Cơ sở hạ tầng di động ảo giải pháp bảo đảm an toàn thông tin trong môi trường di động
15:29 | 01/11/2016 | GP ATTM
Ngày nay, sử dụng thiết bị di động cá nhân (Bring Your Own Device - BYOD) như máy tính bảng hay điện thoại thông minh để giải quyết công việc đang là xu hướng tất yếu. Xu hướng này đã buộc các tổ chức/doanh nghiệp phải triển khai các chiến lược bảo mật di động một cách toàn diện và tiện dụng cho người dùng. Bài báo giới thiệu khái quát một số giải pháp đảm bảo an toàn mạng cho các doanh nghiệp khi triển khai mô hình BYOD, đặc biệt phân tích các lợi thế của cơ sở hạ tầng di động ảo - VMI.
Xu hướng BYOD hiện nay đã mang lại nhiều lợi ích như: khả năng tạo ra các cơ hội việc làm mới, sử dụng lực lượng lao động di động, tăng sự hài lòng của nhân viên và cắt giảm chi phí của doanh nghiệp.... Theo kết quả cuộc khảo sát của công ty nghiên cứu Gartner với các nhà quản lý công nghệ (CIO) trên toàn thế giới cho thấy, đến năm 2017 hầu hết các doanh nghiệp sẽ hỗ trợ nhân viên trong việc sử dụng các thiết bị cá nhân phục vụ cho công việc. Trong đó có tới 25% doanh nghiệp sẽ có kho ứng dụng riêng để phục vụ công việc. Ngoài ra, ước tính đến năm 2018, số thiết bị thuộc sở hữu của nhân viên phục vụ cho công việc sẽ nhiều hơn gấp 2 lần số thiết bị thuộc sở hữu của các TC/DN.
Tuy nhiên, các thiết bị này lại chính là những lỗ hổng an toàn thông tin để tin tặc có thể tấn công và đánh cắp thông tin, dữ liệu của doanh nghiệp. Vì vậy, nhằm tránh các nguy cơ về bảo mật trong môi trường BYOD, các TC/DN cần thực hiện các biện pháp: Đảm bảo dữ liệu không thể được truy cập nếu một thiết bị di động bị mất hoặc bị đánh cắp; thực thi xác thực và mã hóa mạnh; ngăn chặn phần mềm di động độc hại hoặc các ứng dụng của bên thứ ba truy cập dữ liệu doanh nghiệp; giám sát hoạt động có ý đồ xấu của người dùng như truy cập trái phép hoặc ăn cắp dữ liệu; cung cấp, nâng cấp và vá lỗi ứng dụng di động.
Doanh nghiệp có thể sử dụng một số giải pháp để đảm bảo an toàn thông tin như: Quản lý thiết bị di động (Mobile Device Management - MDM); Quản lý ứng dụng di động (Mobile Application Management - MAM); Quản lý di động doanh nghiệp (Enterprise Mobility Managerment - EMM); các chương trình phần mềm chống virus, mã độc hay Cơ sở hạ tầng di động ảo (Vitual Mobile Infrastructure - VMI).... Mỗi nền tảng nêu trên đều có những điểm mạnh và điểm yếu. Vì vậy, cần phải đánh giá một cách toàn diện để áp dụng các nền tảng một cách hiệu quả nhất. Sau đây sẽ phân tích một số giải pháp an toàn và đưa ra đánh giá để hỗ trợ TC/DN trong việc lựa chọn.
Quản lý thiết bị di động MDM
Để bảo vệ các thiết bị di động, các hãng bảo mật và các nhà sản xuất điện thoại đã đưa ra giải pháp Quản lý thiết bị di động - MDM. MDM cung cấp kiểm soát mức thiết bị dành cho điện thoại và máy tính bảng, cho phép các tổ chức xóa dữ liệu trên các thiết bị từ xa, giới hạn các ứng dụng có thể được cài đặt và các cấu hình cài đặt mức thiết bị (device-level) khác.
Tuy nhiên, chỉ triển khai MDM thì doanh nghiệp không thể bảo vệ được dữ liệu một cách toàn diện. Bởi MDM không kiểm soát được các ứng dụng mà chỉ giới hạn các ứng dụng người dùng có thể cài đặt, dẫn đến việc không thể hạn chế được những thao tác mà người dùng thực hiện trên các ứng dụng. Do đó, người dùng vẫn có thể tải về các tập tin nhạy cảm trên điện thoại của họ hoặc sao chép dữ liệu từ các ứng dụng doanh nghiệp vào các ứng dụng của cá nhân. Nhiều trường hợp nhân viên đã chỉnh sửa trái phép các tập tin hoặc hình ảnh, nhưng MDM không bảo vệ ở mức ứng dụng để có thể điều chỉnh quyền truy cập nhằm kiểm tra hoặc ngăn chặn dữ liệu giả mạo.
Ngoài ra, MDM không được nhân viên ưa thích, vì họ thường không muốn thực hiện quy định của tổ chức về những yêu cầu cài đặt hoặc xóa dữ liệu cá nhân khi bị thất lạc điện thoại.
Một hạn chế lớn của MDM là người dùng có thể phát hiện ra cách để phá vỡ kiểm soát MDM và tải các ứng dụng di động không được phép. Nhưng ngay cả khi người dùng không vô hiệu hóa chính sách MDM, thì nó cũng không thể bảo vệ dữ liệu điện thoại di động từ các cuộc tấn công mạng và các mối đe dọa nội bộ.
Quản lý ứng dụng di động - MAM
Để giải quyết những nhược điểm của MDM, nhiều hãng bảo mật di động phát triển giải pháp Quản lý ứng dụng di động - MAM. Các giải pháp MAM có thể quản lý và cô lập (sandbox) các ứng dụng liên quan tới kinh doanh, thực thi xác thực người dùng ở mức ứng dụng và báo cáo về việc sử dụng ứng dụng.
Để bổ sung tính năng MAM cho các ứng dụng, các nhà phát triển ứng dụng phải tích hợp Bộ công cụ phát triển phần mềm SDK MAM phức tạp vào các ứng dụng của họ, cho nên hầu hết các hãng bảo mật di động chỉ hỗ trợ khoảng vài chục ứng dụng di động trong hệ thống cho các đối tác của họ - một phần rất nhỏ trong hàng triệu các ứng dụng trong Google Play hoặc Apple App Store. Các nhân viên hoặc phải sử dụng các ứng dụng này, hoặc phải sử dụng các ứng dụng năng suất thấp hơn và không được phát triển bởi các nhà cung cấp bảo mật di động của mình.
Ngoài ra, các tổ chức cũng có thể sử dụng hệ thống xác thực truy nhập một lần SSO (single sign-on), gắn bản quyền tài liệu (document watermarking), kiểm toán hoạt động người dùng và các sản phẩm chống mã độc. Nếu các bộ phận trong tổ chức muốn chia sẻ bí mật các tư liệu (như video đào tạo hoặc các bản ghi bài thuyết trình) thì bộ phận ATTT cần phải có phương án quản lý bản quyền kỹ thuật số (Digital Rights Management - DRM) cho các thiết bị di động.
Quản lý di động doanh nghiệp - EMM
Giải pháp Quản lý di động doanh nghiệp - EMM bao gồm MDM, MAM và các công cụ bảo mật như các sản phẩm đã giới thiệu ở phần trước.
Tuy nhiên, tổng chi phí để triển khai một giải pháp EMM để đảm bảo an toàn mạng, chống lại phần mềm độc hại, các mối đe dọa nội bộ và giải quyết các yêu cầu tuân thủ là lớn hơn nhiều lần so với chi phí cơ bản để quản lý và xóa thiết bị sử dụng giải pháp MDM.
Cơ sở hạ tầng di động ảo VMI
Cơ sở hạ tầng di động ảo VMI là một giải pháp tương tự như giải pháp ảo hóa hạ tầng máy tính VDI (Virtual Desktop Infrastructure), nhưng thay vì việc ảo hóa các ứng dụng máy tính để bàn với Windows, VMI ảo hóa hệ điều hành Android và các ứng dụng.
Mô tả triển khai VMI với điện thoại, máy tính bảng, máy tính xách tay truy nhập từ xa tới máy chủ VMI và các ứng dụng di động
Với VMI, các tổ chức sẽ vận hành Android từ xa qua trung tâm dữ liệu của họ hoặc trên đám mây. Khi đó, người sử dụng có thể truy nhập từ xa tới các ứng dụng Android bằng iPhone, iPad, các thiết bị cài hệ điều hành Android, điện thoại Windows HTML5, điện thoại Blackberry, thậm chí cả máy tính để bàn Windows. Những ưu điểm vượt trội của VMI trong việc đảm bảo an toàn thông tin cho TC/DN bao gồm:
- Ngăn ngừa mất dữ liệu do thiết bị bị mất trộm bằng cách đảm bảo dữ liệu không bao giờ được lưu trữ trên các thiết bị người dùng cuối. Với VMI, các TC/DN không cần quy định nhân viên phải báo cáo khi mất điện thoại.
- Giám sát hoạt động người dùng thông qua bản ghi chi tiết (detailed logging) hoặc ghi lại những hoạt động diễn ra trên màn hình (screen recording). Khi người dùng di động truy cập vào CRM, ERP, hoặc các ứng dụng thanh toán từ điện thoại, thì VMI sẽ ghi lại những giao dịch này nhằm phục vụ cho mục đích pháp lý.
- Ngăn chặn rò rỉ dữ liệu bằng cách chống chụp màn hình và đánh dấu bản quyền. Các chính sách vùng đệm (Clipboard) cũng có thể ngăn chặn người dùng sao chép dữ liệu từ các ứng dụng doanh nghiệp sang ứng dụng cá nhân.
- Đáp ứng tuân thủ bằng cách thực thi mã hóa và xác thực mạnh. VMI cung cấp xác thực đa yếu tố và mã hóa SSL 4096 bit cho tất cả các ứng dụng doanh nghiệp. Những biện pháp này cũng bảo vệ chống lại các cuộc tấn công man-in-the-middle Wifi và brute force, một loại hình tấn công mạng nhằm mục đích truy cập được vào chế độ điều khiển bên trong theo cơ chế Login.
- Tập trung vào việc vá lỗ hổng hệ điều hành và ứng dụng. Với những lỗ hổng mới như Stagefright và XcodeGhost, bộ phận ATTT phải dựa vào các nhà cung cấp thiết bị để phát hành bản vá lỗi cho người dùng cuối. Tuy nhiên, nhiều nhà cung cấp thiết bị sẽ không vá lỗi cho điện thoại cũ. Với VMI, tổ chức có thể nhận và áp dụng các bản vá lỗi trong trung tâm dữ liệu của họ.
- Giảm các cuộc gọi tới bộ phận hỗ trợ dịch vụ ATTT (IT helpdesk) với cơ chế đăng nhập một lần. Khi người dùng đăng nhập vào không gian làm việc VMI, họ có thể truy cập tất cả các ứng dụng mà không cần phải chứng thực lại.
- Quét tất cả các ứng dụng di động để phát hiện virus và các lỗ hổng. Với VMI, tổ chức có thể sử dụng các giải pháp chống phần mềm độc hại mà họ lựa chọn để quét các tập tin hoặc phân tích ứng dụng di động nhằm phát hiện những hành vi nguy hiểm. Nếu phát hiện những lỗ hổng trong ứng dụng hoặc nền tảng, đội ngũ ATTT có thể nhanh chóng vá chúng tại các trung tâm dữ liệu, thay vì chờ đợi nhà sản xuất thiết bị vá trên các thiết bị người dùng cuối.
- Do không cần phải cài đặt, cấu hình hay hỗ trợ các ứng dụng di động trên các thiết bị của người dùng cuối, nên chi phí vận hành thấp.
Không chỉ cung cấp một giải pháp toàn diện và an toàn để quản lý và bảo vệ các ứng dụng di động, VMI còn dễ dàng triển khai trên đám mây hoặc trên máy chủ tiêu chuẩn.
Kết luận
Hiện nay, để giải quyết tất cả các khía cạnh của bảo mật di động cần có một giải pháp toàn diện, hiệu quả và bảo đảm an toàn. Do đó, TC/DN đang phải sử dụng kết hợp nhiều các biện pháp bảo mật để bảo vệ dữ liệu tránh khỏi các nguy cơ như mất trộm thiết bị, các cuộc tấn công và các mối đe dọa bên trong. Với cách thức này, bộ phận ATTT phải phụ thuộc nhiều vào các nhà cung cấp ứng dụng di động và các nhà sản xuất thiết bị, khiến việc thực thi các chính sách nhất quán trên tất cả người dùng và tất cả các ứng dụng gần như không thể thực hiện được.
Trong các giải pháp trên, VMI với khả năng cung cấp truy nhập dễ dàng, an toàn tới các ứng dụng từ bất kỳ thiết bị di động hoặc máy tính để bàn thông qua một trình duyệt hỗ trợ web HTML5; giảm các rủi ro liên quan đến hành vi trộm cắp thiết bị vật lý (vì dữ liệu nhạy cảm không bao giờ được lưu trữ trên điện thoại hoặc máy tính bảng); bảo mật và kiểm toán mạnh mẽ… là giải pháp đơn giản và hiệu quả để bảo vệ các ứng dụng di động và dữ liệu cho các TC/DN trong môi trường di động. Đây chính là một giải pháp tốt cho các TC/DN trong thời điểm hiện tại.
Tuy nhiên, các thiết bị này lại chính là những lỗ hổng an toàn thông tin để tin tặc có thể tấn công và đánh cắp thông tin, dữ liệu của doanh nghiệp. Vì vậy, nhằm tránh các nguy cơ về bảo mật trong môi trường BYOD, các TC/DN cần thực hiện các biện pháp: Đảm bảo dữ liệu không thể được truy cập nếu một thiết bị di động bị mất hoặc bị đánh cắp; thực thi xác thực và mã hóa mạnh; ngăn chặn phần mềm di động độc hại hoặc các ứng dụng của bên thứ ba truy cập dữ liệu doanh nghiệp; giám sát hoạt động có ý đồ xấu của người dùng như truy cập trái phép hoặc ăn cắp dữ liệu; cung cấp, nâng cấp và vá lỗi ứng dụng di động.
Doanh nghiệp có thể sử dụng một số giải pháp để đảm bảo an toàn thông tin như: Quản lý thiết bị di động (Mobile Device Management - MDM); Quản lý ứng dụng di động (Mobile Application Management - MAM); Quản lý di động doanh nghiệp (Enterprise Mobility Managerment - EMM); các chương trình phần mềm chống virus, mã độc hay Cơ sở hạ tầng di động ảo (Vitual Mobile Infrastructure - VMI).... Mỗi nền tảng nêu trên đều có những điểm mạnh và điểm yếu. Vì vậy, cần phải đánh giá một cách toàn diện để áp dụng các nền tảng một cách hiệu quả nhất. Sau đây sẽ phân tích một số giải pháp an toàn và đưa ra đánh giá để hỗ trợ TC/DN trong việc lựa chọn.
Quản lý thiết bị di động MDM
Để bảo vệ các thiết bị di động, các hãng bảo mật và các nhà sản xuất điện thoại đã đưa ra giải pháp Quản lý thiết bị di động - MDM. MDM cung cấp kiểm soát mức thiết bị dành cho điện thoại và máy tính bảng, cho phép các tổ chức xóa dữ liệu trên các thiết bị từ xa, giới hạn các ứng dụng có thể được cài đặt và các cấu hình cài đặt mức thiết bị (device-level) khác.
Tuy nhiên, chỉ triển khai MDM thì doanh nghiệp không thể bảo vệ được dữ liệu một cách toàn diện. Bởi MDM không kiểm soát được các ứng dụng mà chỉ giới hạn các ứng dụng người dùng có thể cài đặt, dẫn đến việc không thể hạn chế được những thao tác mà người dùng thực hiện trên các ứng dụng. Do đó, người dùng vẫn có thể tải về các tập tin nhạy cảm trên điện thoại của họ hoặc sao chép dữ liệu từ các ứng dụng doanh nghiệp vào các ứng dụng của cá nhân. Nhiều trường hợp nhân viên đã chỉnh sửa trái phép các tập tin hoặc hình ảnh, nhưng MDM không bảo vệ ở mức ứng dụng để có thể điều chỉnh quyền truy cập nhằm kiểm tra hoặc ngăn chặn dữ liệu giả mạo.
Ngoài ra, MDM không được nhân viên ưa thích, vì họ thường không muốn thực hiện quy định của tổ chức về những yêu cầu cài đặt hoặc xóa dữ liệu cá nhân khi bị thất lạc điện thoại.
Một hạn chế lớn của MDM là người dùng có thể phát hiện ra cách để phá vỡ kiểm soát MDM và tải các ứng dụng di động không được phép. Nhưng ngay cả khi người dùng không vô hiệu hóa chính sách MDM, thì nó cũng không thể bảo vệ dữ liệu điện thoại di động từ các cuộc tấn công mạng và các mối đe dọa nội bộ.
Quản lý ứng dụng di động - MAM
Để giải quyết những nhược điểm của MDM, nhiều hãng bảo mật di động phát triển giải pháp Quản lý ứng dụng di động - MAM. Các giải pháp MAM có thể quản lý và cô lập (sandbox) các ứng dụng liên quan tới kinh doanh, thực thi xác thực người dùng ở mức ứng dụng và báo cáo về việc sử dụng ứng dụng.
Để bổ sung tính năng MAM cho các ứng dụng, các nhà phát triển ứng dụng phải tích hợp Bộ công cụ phát triển phần mềm SDK MAM phức tạp vào các ứng dụng của họ, cho nên hầu hết các hãng bảo mật di động chỉ hỗ trợ khoảng vài chục ứng dụng di động trong hệ thống cho các đối tác của họ - một phần rất nhỏ trong hàng triệu các ứng dụng trong Google Play hoặc Apple App Store. Các nhân viên hoặc phải sử dụng các ứng dụng này, hoặc phải sử dụng các ứng dụng năng suất thấp hơn và không được phát triển bởi các nhà cung cấp bảo mật di động của mình.
Ngoài ra, các tổ chức cũng có thể sử dụng hệ thống xác thực truy nhập một lần SSO (single sign-on), gắn bản quyền tài liệu (document watermarking), kiểm toán hoạt động người dùng và các sản phẩm chống mã độc. Nếu các bộ phận trong tổ chức muốn chia sẻ bí mật các tư liệu (như video đào tạo hoặc các bản ghi bài thuyết trình) thì bộ phận ATTT cần phải có phương án quản lý bản quyền kỹ thuật số (Digital Rights Management - DRM) cho các thiết bị di động.
Quản lý di động doanh nghiệp - EMM
Giải pháp Quản lý di động doanh nghiệp - EMM bao gồm MDM, MAM và các công cụ bảo mật như các sản phẩm đã giới thiệu ở phần trước.
Tuy nhiên, tổng chi phí để triển khai một giải pháp EMM để đảm bảo an toàn mạng, chống lại phần mềm độc hại, các mối đe dọa nội bộ và giải quyết các yêu cầu tuân thủ là lớn hơn nhiều lần so với chi phí cơ bản để quản lý và xóa thiết bị sử dụng giải pháp MDM.
Cơ sở hạ tầng di động ảo VMI
Cơ sở hạ tầng di động ảo VMI là một giải pháp tương tự như giải pháp ảo hóa hạ tầng máy tính VDI (Virtual Desktop Infrastructure), nhưng thay vì việc ảo hóa các ứng dụng máy tính để bàn với Windows, VMI ảo hóa hệ điều hành Android và các ứng dụng.
Mô tả triển khai VMI với điện thoại, máy tính bảng, máy tính xách tay truy nhập từ xa tới máy chủ VMI và các ứng dụng di động
- Ngăn ngừa mất dữ liệu do thiết bị bị mất trộm bằng cách đảm bảo dữ liệu không bao giờ được lưu trữ trên các thiết bị người dùng cuối. Với VMI, các TC/DN không cần quy định nhân viên phải báo cáo khi mất điện thoại.
- Giám sát hoạt động người dùng thông qua bản ghi chi tiết (detailed logging) hoặc ghi lại những hoạt động diễn ra trên màn hình (screen recording). Khi người dùng di động truy cập vào CRM, ERP, hoặc các ứng dụng thanh toán từ điện thoại, thì VMI sẽ ghi lại những giao dịch này nhằm phục vụ cho mục đích pháp lý.
- Ngăn chặn rò rỉ dữ liệu bằng cách chống chụp màn hình và đánh dấu bản quyền. Các chính sách vùng đệm (Clipboard) cũng có thể ngăn chặn người dùng sao chép dữ liệu từ các ứng dụng doanh nghiệp sang ứng dụng cá nhân.
- Đáp ứng tuân thủ bằng cách thực thi mã hóa và xác thực mạnh. VMI cung cấp xác thực đa yếu tố và mã hóa SSL 4096 bit cho tất cả các ứng dụng doanh nghiệp. Những biện pháp này cũng bảo vệ chống lại các cuộc tấn công man-in-the-middle Wifi và brute force, một loại hình tấn công mạng nhằm mục đích truy cập được vào chế độ điều khiển bên trong theo cơ chế Login.
- Tập trung vào việc vá lỗ hổng hệ điều hành và ứng dụng. Với những lỗ hổng mới như Stagefright và XcodeGhost, bộ phận ATTT phải dựa vào các nhà cung cấp thiết bị để phát hành bản vá lỗi cho người dùng cuối. Tuy nhiên, nhiều nhà cung cấp thiết bị sẽ không vá lỗi cho điện thoại cũ. Với VMI, tổ chức có thể nhận và áp dụng các bản vá lỗi trong trung tâm dữ liệu của họ.
- Giảm các cuộc gọi tới bộ phận hỗ trợ dịch vụ ATTT (IT helpdesk) với cơ chế đăng nhập một lần. Khi người dùng đăng nhập vào không gian làm việc VMI, họ có thể truy cập tất cả các ứng dụng mà không cần phải chứng thực lại.
- Quét tất cả các ứng dụng di động để phát hiện virus và các lỗ hổng. Với VMI, tổ chức có thể sử dụng các giải pháp chống phần mềm độc hại mà họ lựa chọn để quét các tập tin hoặc phân tích ứng dụng di động nhằm phát hiện những hành vi nguy hiểm. Nếu phát hiện những lỗ hổng trong ứng dụng hoặc nền tảng, đội ngũ ATTT có thể nhanh chóng vá chúng tại các trung tâm dữ liệu, thay vì chờ đợi nhà sản xuất thiết bị vá trên các thiết bị người dùng cuối.
- Do không cần phải cài đặt, cấu hình hay hỗ trợ các ứng dụng di động trên các thiết bị của người dùng cuối, nên chi phí vận hành thấp.
Không chỉ cung cấp một giải pháp toàn diện và an toàn để quản lý và bảo vệ các ứng dụng di động, VMI còn dễ dàng triển khai trên đám mây hoặc trên máy chủ tiêu chuẩn.
Kết luận
Hiện nay, để giải quyết tất cả các khía cạnh của bảo mật di động cần có một giải pháp toàn diện, hiệu quả và bảo đảm an toàn. Do đó, TC/DN đang phải sử dụng kết hợp nhiều các biện pháp bảo mật để bảo vệ dữ liệu tránh khỏi các nguy cơ như mất trộm thiết bị, các cuộc tấn công và các mối đe dọa bên trong. Với cách thức này, bộ phận ATTT phải phụ thuộc nhiều vào các nhà cung cấp ứng dụng di động và các nhà sản xuất thiết bị, khiến việc thực thi các chính sách nhất quán trên tất cả người dùng và tất cả các ứng dụng gần như không thể thực hiện được.
Trong các giải pháp trên, VMI với khả năng cung cấp truy nhập dễ dàng, an toàn tới các ứng dụng từ bất kỳ thiết bị di động hoặc máy tính để bàn thông qua một trình duyệt hỗ trợ web HTML5; giảm các rủi ro liên quan đến hành vi trộm cắp thiết bị vật lý (vì dữ liệu nhạy cảm không bao giờ được lưu trữ trên điện thoại hoặc máy tính bảng); bảo mật và kiểm toán mạnh mẽ… là giải pháp đơn giản và hiệu quả để bảo vệ các ứng dụng di động và dữ liệu cho các TC/DN trong môi trường di động. Đây chính là một giải pháp tốt cho các TC/DN trong thời điểm hiện tại.
