14 Giám sát và soát xét việc triển khai giải pháp
A.7 Mạng riêng ảo
A.7.1 Kiến thức cơ bản
VPN là một mạng riêng được triển khai bằng cách sử dụng hạ tầng của các mạng đang tồn tại. Từ quan điểm người sử dụng, VPN hoạt động như một mạng riêng, cung cấp các chức năng và dịch vụ tương tự. Một mạng VPN có thể được sử dụng trong những trường hợp khác nhau, như để:
- Triển khai truy cập từ xa đến một tổ chức từ nhân viên di động hoặc ở bên ngoài,
- Kết nối các vị trí khác nhau của một tổ chức lại với nhau, bao gồm các đường kết nối dự
phòng để triển khai kiến trúc hạ tầng dự phòng,
- Thiết lập các kết nối đến mạng của một tổ chức cho các đối tác tổ chức/kinh doanh khác.
Nói một cách khác, các mạng VPN cho phép hai máy tính hoặc hai mạng kết nối thông tin trên một môi trường trung gian như là mạng Internet. Kết nối này đã được tạo lập theo cách truyền thống với chi phí rất cao bằng cách sử dụng đường thuê bao riêng với những bộ mã hoá đường kết nối. Tuy nhiên, cùng với sự xuất hiện của các đường kết nối Internet tốc độ cao và thiết bị đầu cuối phù hợp tại mỗi điểm cuối thì các phương tiện thông tin đáng tin cậy giữa các vị trí có thể được thiết lập sử dụng các mạng VPN.
A.7.2 Các rủi ro an toàn
Rủi ro an toàn chính liên quan đến các phương tiện thông tin trên một mạng không an toàn chính là rủi ro có liên quan đến các thông tin nhạy cảm có thể bị truy cập bởi các bên bất hợp pháp - dẫn đến việc thông tin bị lộ và/hoặc bị thay đổi trái phép. Bổ sung thêm vào các rủi ro an toàn điển hình có liên quan đến mạng cục bộ và mạng diện rộng (xem Mục A.1 và Mục A.2 ở trên), các rủi ro an toàn điển hình có liên quan đến các mạng VPN bao gồm những rủi ro liên quan tới:
- Việc triển khai không an toàn thông qua:
o Một bộ mật mã không được kiểm thử hoặc có khiếm khuyết,
o Bí quyết được chia sẻ kém và có thể dễ dàng bị phỏng đoán,
o Tôpô mạng nghèo nàn,
o Tình trạng không rõ ràng về sự an toàn của máy khách truy cập từ xa,
o Tình trạng không rõ ràng về xác thực người sử dụng,
- Tính không chắc chắn về sự an toàn của nhà cung cấp dịch vụ cơ bản,
- Hiệu năng hay tính sẵn sàng kém của dịch vụ,
- Không tuân thủ các qui định và yêu cầu của pháp luật trong việc sử dụng mã hoá tại các
quốc gia nhất định.
A.7.3 Các biện pháp an toàn
Trong các mạng VPN, các kỹ thuật mã hoá và/hoặc các giao thức ứng dụng thường được sử dụng để triển khai các chức năng và dịch vụ an toàn, đặc biệt nếu mạng mà VPN được xây dựng trên đó là mạng công cộng (ví dụ như mạng Internet). Trong hầu hết các quy trình triển khai, các đường kết nối phương tiện thông tin giữa những người tham dự được mã hoá để đảm bảo tính bảo mật, và các giao thức xác thực được sử dụng để kiểm tra nhận dạng của các hệ thống được kết nối đến mạng VPN. Thông thường, những thông tin được mã hoá được truyền qua một “đường hầm” an toàn kết nối đến cổng của tổ chức, cùng với tính bảo mật và tính toàn vẹn của thông tin được duy trì. Cổng khi đó xác nhận người sử dụng từ xa và chỉ cho phép người dùng truy cập đến những thông tin được phép nhận hợp pháp.
Vì vậy, mạng VPN là một cơ cấu dựa trên giao thức đường hầm – xử lý một giao thức trọn vẹn (giao thức máy khách) như là một dòng bit đơn và bọc nó trong một giao thức khác (giao thức truyền tải). Thông thường, giao thức truyền tải mạng VPN cung cấp tính an toàn (tính bảo mật và tính toàn vẹn) cho (các) giao thức máy khách. Khi xem xét việc sử dụng các mạng VPN, các khía cạnh về kiến trúc mà phải giải quyết bao gồm:
- An toàn điểm cuối,
- An toàn phần kết thúc,
- Xác thực mạnh,
- Phát hiện xâm nhập,
- Cổng thông tin an toàn (bao gồm cả tường lửa),
- Mã hóa dữ liệu,
- Thiết kế mạng,
- Kết nối khác,
- Chia tách đường hầm,
- Ghi nhật ký kiểm toán và giám sát mạng,
- Quản lý điểm yếu kỹ thuật.
Chi tiết thêm về các mạng VPN, bao gồm về từng khía cạnh kiến trúc này, được cung cấp trong TCVN xxxx-5.