 |
|
Định danh hai nhân tố |
Chính vì
vậy, mỗi tháng hệ thống máy tính của hãng này phải hứng chịu hàng trăm
nghìn cuộc tấn công khác nhau, trở thành mục tiêu “ưu thích” nhất của
tin tặc (hacker).
Tuy nhiên,
cho tới nay vẫn chưa có một vụ đột nhập nào thành công bởi bức tường
thành Microsoft quá vững chắc, có thể làm nản lòng bất cứ một cao thủ
hacker nào.
Những thứ
quý giá nhất mà Microsoft đang lưu giữ là tài sản trí tuệ, bao gồm mã
nguồn của tất cả hệ điều hành và ứng dụng của hãng này. Microsoft đã
bảo vệ những tài sản sống còn này một cách rất nghiêm ngặt.
Để tiếp
cận chúng, người ta phải trải qua nhiều tầng bảo vệ khác nhau chẳng hạn
như tường lửa và phải truy cập bằng giao thức IPsec.
Ngoài ra,
toàn bộ hệ thống mạng nội bộ của Microsoft đều được trang bị cơ chế
theo dõi các hành vi đáng ngờ, quét phát hiện và tiêu diệt virus, phần
mềm độc hại, và nhiều thứ khác nữa.
Có một
điều ngạc nhiên là Microsoft lại cho phép nhân viên của mình kết nối
tới mạng công ty thông qua phương pháp truy cập từ xa RAS (còn gọi là
Mạng riêng ảo - VPN).
Với một
môi trường mạng phức tạp như Microsoft, thì VPN tỏ ra khá thiếu an
toàn. Nhưng làm thế nào mà Microsoft có thể hóa giải được các nguy cơ
thường trực trong khi vẫn đảm bảo được khả năng cung cấp kết nối VPN
cho nhân viên và khách hàng?
Định danh hai nhân tố
Lớp bảo vệ
đầu tiên cho Microsoft VPN chính là định danh hai nhân tố. Sau một sự
cố đột nhập nho nhỏ cách đây 8 năm, Microsoft đã cho cài đặt một nền
tảng khóa công cộng (public key) dựa trên cơ chế xác nhận, và phát thẻ
thông minh cho tất cả nhân viên và nhà thầu, cho phép họ truy cập từ xa
tới mạng công ty.
Định danh hai nhân tố yêu cầu người dùng cần phải có một thiết bị vật lý, ở đây là thẻ thông minh, và mật khẩu truy cập.
Sự cố được
đề cập ở trên chính là vụ một đột nhập vào mạng Microsoft của một
cracker (kẻ phá mã). Người này đã sử dụng tên đăng nhập và mật khẩu lấy
cắp của nhân viên Microsoft và đã tiếp cận được một số mã nguồn.
Vụ này
được Walls Street Journal, Computerworld và một số tờ công nghệ khác
đăng lại nhưng Microsoft đã không thừa nhận thông tin này.
Kết nối Sandbox
Lớp bảo vệ
thứ hai cho mạng kết nối Microsoft VPN là “sandbox”. Trong bảo mật máy
tính thì sandbox là một cơ chế bảo vệ giúp chạy an toàn các chương
trình.
Nó thường
được sử dụng để thực thi mã chưa được thử nghiệm, hoặc các chương trình
từ bên thứ ba, nhà cung cấp hoặc từ người dùng không tin cậy chưa được
kiểm chứng.
Trước khi
một máy tính kết nối có thể truy cập vào bất cứ tài nguyên hệ thống nào
trên mạng Microsoft, nó phải chịu sự kiểm soát của một chương trình an
ninh. Chỉ khi máy tính này đạt được những yêu cầu an toàn cần thiết, nó
mới được phép kết nối vào mạng Microsoft.
Một chiếc
máy tính chuẩn có thể kết nối vào mạng Microsoft phải cài đặt đầy đủ
các bản vá lỗi, tường lửa Windows Firewall phải được kích hoạt, và
không được kết nối tới bất cứ mạng VPN nào khác, hoặc đang sử dụng một
phần mềm truy cập từ xa nào khác.
Nếu trình
kiểm tra của Microsoft phát hiện ra máy tính không đủ yêu cầu, nó sẽ tự
thực hiện những quy trình cần thiết, chẳng hạn như cài đặt bản vá lỗi,
nâng cấp chương trình diệt virus…
Nếu người
dùng từ chối nâng cấp, ngay lập tức trình quét sẽ ngắt kết nối vào
mạng. Khi quy trình kiểm tra này kết thúc, và PC đạt đủ yêu cầu, nó sẽ
được phép kết nối vào sandbox và vào mạng doanh nghiệp.
Mã hóa và mật khẩu mạnh
Microsoft
hiện đang tin tưởng và sử dụng giải pháp bảo mật có tên là EAP-TLS kết
hợp với thẻ thông minh. Giải pháp này là sự tổng hợp của nhiều yếu tố
như mã hóa VPN, định danh, mật khẩu cực mạnh, và cơ chế thay đổi mật
khẩu thường xuyên.
Nếu đã
từng trải nghiệm qua cơ chế bảo vệ của Windows Server 2003, bạn có thể
hình dung ra mạng Microsoft cũng sử dụng một cơ chế tương tự.
E-mail và IM không qua RAS
Khi nào có
tuyết rơi ở khu vực Puget Sound, nơi có nhiều nhân viên Microsoft sinh
sống thì cũng là khi lượng kết nối VPN tới mạng nội bộ bị quá tải do
hầu hết nhân viên đều làm việc ở nhà.
Các nhân
viên Microsoft thường gửi và nhận một số lượng lớn e-mail, và đó chính
là nguyên tắc làm việc của họ. Tuy nhiên, nếu làm việc ở nhà mà kết nối
VPN quá tải, họ sẽ phải sử dụng một giải pháp khác do nhóm Exchange
phát triển. Đó là phương pháp kết nối tới máy chủ mail đầy đủ chức năng
mà không cần trình kết nối phải ở trên mạng.
Để làm
được điều đó, Microsoft đã thiết lập máy chủ proxy Exchange để Outlook
truy cập vào Exchange thông qua RPC trên nền HTTP (được bảo vệ bằng cơ
chế mã hóa SSL).
Cách đây
vài năm, Microsoft đã phát triển các máy chủ proxy Exchange, cũng như
các đoạn script (kịch bản) để đơn giản hóa quá trình thiết lập proxy
cho các client Outlook.
Giải pháp
này rất lý tưởng cho nhân viên và nhà thầu làm việc từ xa trên máy tính
của họ, không cần sử dụng VPN mà vẫn truy cập được vào e-mail và trao
đổi qua IM.
