Bảo vệ cơ sở hạ tầng IT của doanh nghiệp trước các mối de dọa tấn công luôn là những ưu tiên hàng đầu của mỗi doanh nghiệp.
Ngày nay, các cuộc tấn công mạng tương đối đa dạng với nhiều cách thức và mục đích khác nhau như: đánh cắp tài sản trí tuệ, xâm nhập và phát tán virus, sử dụng các phần mềm độc hại, các thiết bị để đánh cắp dữ liệu,…
Các vị trí dễ bị tấn công có thể kể đến như vành đai mạng, ứng dụng máy chủ và hệ điều hành, dữ liệu, nền tảng phần cứng và thậm chí cả firmware máy chủ. Khi số lượng các cuộc tấn công và chi phí của các mối đe dọa ngày càng tăng lên, doanh nghiệp đã nhanh chóng dành nhiều nỗ lực nâng cấp các bề mặt để bảo vệ và chống lại.
Khi số lượng các cuộc tấn công và chi phí của các mối đe dọa tăng lên, ngày càng nhiều vị trí đang được “cô lập” để bảo vệ chống lại chúng.
Máy chủ là nguồn tài nguyên chứa các dữ liệu quan trọng và riêng tư của doanh nghiệp mà tin tặc luôn tìm cách đánh cắp. Phần cứng máy chủ và hệ điều hành (OS) thường có những lỗ hổng lớn tạo cơ hội cho tin tặc tấn công vào chuỗi cung ứng và firmware, xâm nhập hệ thống mà không bị phát hiện.
Phương pháp bảo mật truyền thống không còn khả năng chống lại các mối đe dọa mới. Cơ sở hạ tầng máy chủ hiện đại yêu cầu phần cứng và phần mềm phải kết hợp mạnh mẽ cùng nhau ở cấp firmware để ngăn chặn sự xâm nhập trái phép. Đó cũng là lý do HPE và Red Hat Enterprise Linux đang cùng nhau đổi mới một cách toàn diện giải pháp bảo mật máy chủ.
1. Yêu cầu bảo mật mới
Cơ sở hạ tầng máy tính ngày nay khác rất nhiều so với 5-10 năm trước. Vành đai mạng đã không còn. Hầu hết cơ sở hạ tầng IT của các doanh nghiệp sử dụng mô hình đám mây lai và các tài sản có thể được truy cập trực tiếp. Dù biết trên thực tế, các mối đe dọa bảo mật gây ra rủi ro rất lớn, nhưng nhiều mô hình hoạt động của doanh nghiệp vẫn giống nhau: chúng được xây dựng trên một chuỗi tin cậy. Nếu firmware bị xâm phạm, toàn bộ cơ sở nền tảng của hệ điều hành, máy chủ và các quy trình đều sẽ bị xâm nhập.
Nói một cách đơn giản, hệ điều hành máy chủ và phần cứng phải được bảo mật với nhau ngay từ đầu. Điều đó tức là các chương trình điều khiển được tích hợp giúp ngăn chặn xâm nhập sẽ ngừng chạy quy trình ngay khi phát hiện sự cố.
2. HPE và Red Hat Enterprise Linux: Tăng tốc chuyển đổi giải pháp bảo mật máy chủ
HPE và Red Hat Enterprise Linux cùng nhau mang đến giải pháp mặt phẳng dữ liệu (data plane) – nơi các gói tin (packet) được di chuyển giữa các điểm cuối và control plane để bảo vệ vượt trội cũng như phát hiện và phục hồi trong khi hiệu suất vẫn được duy trì ở mức cao.
3. Sức mạnh bên trong: Máy chủ HPE Gen10
Máy chủ HPE Gen10 được xây dựng để ảo hóa với các tính năng bảo mật giúp bảo vệ phần cứng, firmware và mạng khỏi các truy cập và sử dụng trái phép. Các tính năng bao gồm:
– HPE Silicon Root of Trust — HPE là nhà cung cấp độc quyền công nghệ Silicon Root of Trust, cố định firmware vào chip HPE Integrated Lights-Out (iLO) 5 tùy chỉnh. Chipset iLO 5 hoạt động như một Silicon Root of Trust bao gồm một hàm mã hóa được nhúng trong phần cứng silicon để không thể chèn bất kỳ phần mềm độc hại, vi rút hoặc mã độc nào có thể làm hỏng quá trình khởi động. Phần cứng iLO 5 xác định có thực thi phần firmware iLO hay không dựa trên việc nó có khớp với hàm mã hóa được lưu trữ vĩnh viễn trong silicon chipset iLO hay không.
- HPE Silicon Root of Trust đã giành được danh hiệu Marsh Cyber CatalystSM, một minh chứng cho khả năng giảm thiểu rủi ro của công nghệ. Marsh Cyber CatalystSM giúp các tổ chức đưa ra lựa chọn sáng suốt hơn về các sản phẩm và dịch vụ an ninh mạng mà họ sử dụng để quản lý rủi ro mạng của doanh nghiệp.
- Silicon Root of Trust độc quyền của HPE là nền tảng cho toàn bộ quy trình “khởi động và khôi phục an toàn”, cho phép máy chủ Gen10 trở thành danh mục máy chủ tiêu chuẩn ngành bảo mật nhất thế giới. Silicon Root of Trust tạo thành một liên kết duy nhất giữa silicon HPE tùy chỉnh và phần mềm HPE iLO để đảm bảo máy chủ không thực thi mã bị xâm phạm. Việc xây dựng bảo mật trực tiếp vào silicon HPE cung cấp sự bảo vệ tối ưu, chống lại các cuộc tấn công firmware và ransomware, cũng như khả năng tự động khôi phục phần firmware máy chủ cần thiết.
– Runtime firmware verification (Xác minh chương trình cơ sở thời gian chạy) — Công nghệ HPE độc quyền tiến hành quét theo các khoảng thời gian đã chọn trên chương trình cơ sở thiết yếu của máy chủ. Nếu mã bị xâm nhập hoặc phần mềm độc hại được chèn vào chương trình cơ sở quan trọng, cảnh báo nhật ký kiểm tra HPE iLO sẽ được tạo để gắn cờ xâm phạm. Khách hàng cũng có thể cài đặt tùy chọn để tự động khôi phục phần firmware được xác thực.
– Secure Boot (Khởi động an toàn) — Khởi động an toàn là tính năng bảo mật tiêu chuẩn công nghiệp được triển khai trong UEFI BIOS. Khởi động an toàn đảm bảo rằng bộ nạp khởi động hệ điều hành, cùng với các trình điều khiển được khởi chạy trong quá trình khởi động, được ký chữ ký điện tử và xác thực dựa trên một tập hợp các chứng chỉ đáng tin cậy được BIOS lưu trữ an toàn. Khi khởi động an toàn – Secure Boot được bật, chỉ các trình điều khiển đã được xác thực thì bộ nạp khởi động hệ điều hành mới được thực thi.
– Bộ xử lý bảo mật AMD — Bộ xử lý bảo mật AMD chuyên dụng được nhúng trong hệ thống AMD EPYC trên một con chip có sẵn trong các kiểu máy chủ HPE Gen10 bộ xử lý AMD EPYC ™, quản lý khởi động an toàn và xác thực HPE BIOS trong quá trình khởi động.
– Secure supply chain (Chuỗi cung ứng an toàn) — HPE giảm nguy cơ đe dọa chuỗi cung ứng, chẳng hạn như vật liệu giả mạo và phần mềm độc hại, bằng cách kiểm tra các nhà cung cấp thành phần và tìm nguồn cung ứng từ các quốc gia được chỉ định theo Đạo luật Hiệp định Thương mại. HPE giảm thiểu rủi ro bảo mật hơn nữa bằng cách phát triển BIOS, chương trình cơ sở quản lý và chip iLO5 nội bộ.
4. Sức mạnh bên trong: Red Hat enterprise linus 8.1
Red Hat Enterprise Linux 8.1 là một hệ điều hành mã nguồn mở, cung cấp một nền tảng nhất quán, tập trung vào bảo mật cho các hoạt động kinh doanh hiện đại trên cơ sở hạ tầng IT phân tán. Các tổ chức IT được trao quyền để bảo vệ tài sản thông tin tốt hơn với các công cụ bảo mật tích hợp như:
a. Phiên đầu cuối được tích hợp với kiểm tra được ghi lại
Tính năng này có thể ghi lại cả đầu vào và đầu ra các phiên shell của người dùng, bao gồm cả việc thay đổi kích thước và thời gian của cửa sổ văn bản — và tương quan giữa chúng với môi trường và trạng thái của hệ thống. Các phiên được ghi lại dưới dạng bản ghi kiểm tra định dạng JSON thông qua tệp, nhật ký hệ thống hoặc syslog. Tích hợp với Dịch vụ Bảo mật Hệ thống Daemon và Quản lý Danh tính Red Hat cho phép ghi lại trên cơ sở mỗi người dùng hoặc mỗi nhóm. Các phiên có thể được phát lại qua window terminal hoặc web console.
b. System-wide cryptographic profile – Hồ sơ mật mã toàn hệ thống
Hồ sơ mật mã toàn hệ thống giúp quản lý và tự động hóa cài đặt mật mã dễ dàng hơn, giảm nguy cơ lỗi và tăng khả năng tuân thủ. Các chính sách mật mã trên toàn hệ thống với sự hỗ trợ cho OpenSSL 1.1.1 và TLS 1.3 giúp duy trì sự tuân thủ về mật mã. Thay vì định cấu hình dịch vụ theo cách thủ công, quản trị viên CNTT có thể thay đổi cài đặt mật mã trên toàn bộ môi trường bằng một lệnh duy nhất.
c. Các cấu hình Linux (SELinux) được tăng cường bảo mật
Các cải tiến về chính sách bảo mật cho các điều khiển truy cập bắt buộc của SELinux cũng như các cấu hình SELinux tập trung vào vùng chứa được bao gồm trong Red Hat Enterprise Linux 8.1. Sau này cho phép quản trị viên CNTT tạo ra các chính sách bảo mật phù hợp hơn để kiểm soát cách các dịch vụ được container truy cập vào tài nguyên hệ thống máy chủ. Điều này giúp dễ dàng củng cố hệ thống trước các mối đe dọa bảo mật nhắm mục tiêu đến các ứng dụng gốc đám mây và cung cấp một cách hợp lý hơn để duy trì sự tuân thủ quy định bằng cách giảm nguy cơ chạy các vùng chứa đặc quyền.
d. Bản vá hạt nhân trực tiếp – Live kernel patching
Hỗ trợ đầy đủ cho bản vá kernel trực tiếp giúp giữ cho khối lượng công việc quan trọng chạy an toàn hơn. Các bản cập nhật hạt nhân có thể được áp dụng để khắc phục các lỗ hổng phổ biến quan trọng hoặc quan trọng (CVE) đồng thời giảm nhu cầu khởi động lại hệ thống.
e. Red Hat Insights
Red Hat Insights cho phép các tổ chức CNTT hưởng lợi từ kinh nghiệm và kiến thức kỹ thuật của các Kỹ sư được Red Hat chứng nhận, giúp dễ dàng xác định, ưu tiên và giải quyết các vấn đề trước khi hoạt động kinh doanh bị ảnh hưởng. Red Hat Insights cung cấp phân tích chủ động trên các cơ sở hạ tầng hỗn hợp, hoàn chỉnh, vì vậy các tổ chức CNTT có thể chủ động xác định và khắc phục các rủi ro trên cơ sở hạ tầng Red Hat ngay từ thời điểm hệ điều hành được triển khai.
f. Chứng chỉ bảo mật
Là nền tảng cho khối lượng công việc nhạy cảm và quan trọng, Red Hat Enterprise Linux 8.1 được kiến trúc cho nhiều chứng chỉ bảo mật mới nhất, bao gồm Tiêu chuẩn xử lý thông tin liên bang (FIPS) và Tiêu chí chung (CC).
5. Điểm mấu chốt
Các máy chủ tiêu chuẩn công nghiệp chạy hệ điều hành dễ bị tấn công không có chỗ trong cơ sở hạ tầng CNTT phân tán hiện đại. Thay vào đó, các tổ chức cần máy chủ và hệ điều hành hoạt động cùng nhau để ngăn chặn sự xâm nhập. HPE và Red Hat Enterprise Linux đang cùng nhau cung cấp giải pháp bảo mật máy chủ tiên tiến nhất hiện nay. Các tổ chức CNTT được hưởng lợi từ sự yên tâm khi biết rằng họ có công nghệ hàng đầu trong ngành và sự kết hợp phần cứng-phần mềm đã được thử nghiệm cung cấp hệ điều hành và máy chủ tiêu chuẩn ngành an toàn nhất thế giới.