14 Giám sát và soát xét việc triển khai giải pháp
A.12 Truy cập định tuyến đến các tổ chức bên thứ ba
A.12.1 Kiến thức cơ bản
Các kết nối bên thứ ba đang tăng lên do các tổ chức làm việc hợp tác nhiều hơn, yêu cầu kết nối trực tiếp và các phương tiện cổng giữa các tổ chức. Hình 7 bên dưới thể hiện giải pháp an toàn kỹ thuật điển hình cho truy cập định tuyến đến tổ chức thứ ba.
Hình 7 – Giải pháp truy cập định tuyến ví dụ tới tổ chức bên thứ ba.
Truy cập định tuyến tới tổ chức khác có thể được thiết lập thông qua các công nghệ WAN hay băng rộng, và được yêu cầu cho nhiều lý do, như truy cập có thể được yêu cầu đến các ứng dụng cơ sở dữ liệu trên một hướng – trong trường hợp hoặc mã bất hợp pháp có thể được đưa ra hoặc truy cập bất hợp pháp có thể được thử bởi người sử dụng trong mạng tới mạng khác. Thông tin được tập hợp phải bao gồm, ví dụ:
• Ứng dụng nào được hỗ trợ trên đường kết nối định tuyến,
• Chi tiết của máy chủ và chúng được đặt ở đâu,
• Chi tiết của PC người sử dụng và chúng được đặt ở đâu,
• Chi tiết của bộ định tuyến bên thứ ba nếu nó tồn tại (bao gồm địa chỉ IP, phương pháp xác
thực, như chứng thư số, bí mật chia sẻ, RADIUS, TACACS+),
• Loại kết nối truyền thông và tốc độ, như VPN trên băng rộng, frame relay, đường kết nối
riêng, dial-up và ISDN.
Cũng hợp lý nếu đối với mỗi truy cập bên thứ ba, tài liệu cấu hình được thiết lập, nếu nó không có sẵn, bao gồm tổng quan của yêu cầu, sơ đồ mạng, thông tin cấu hình, chi tiết địa chỉ IP và xác thực.
(Khi xem xét truy cập định tuyến tới tổ chức bên thứ ba hãy tham khảo ISO/IEC TR 14516:1999 – hướng dẫn sử dụng và quản lý các dịch vụ bên thứ ba tin cậy.)
A.12.2 Rủi ro an toàn
Các rủi ro an toàn chính liên quan đến truy cập định tuyến tới tổ chức bên thứ ba về nguyên tắc liên quan với yếu tố bên thứ ba bất kì là một miền an toàn riêng rẽ với các chính sách riêng của nó – và có thể không an toàn như trong tổ chức. Do đó, các rủi ro an toàn chính liên quan truy cập định tuyến đến tổ chức bên thứ ba bao gồm các liên quan:
- Truy cập bất hợp pháp đến mạng của tổ chức, các ‘hệ thống’ và thông tin liên quan,
- Xâm nhập mã độc thông qua cổng dường như tin cậy,
- Tấn công DoS thông qua bên thứ ba,
- Tin tưởng rằng mạng bên thứ ba có mức an toàn cao hơn Internet.
A.12.3 Các biện pháp an toàn
Các biện pháp an toàn nhằm cho truy cập định tuyến tới tổ chức bên thứ ba có thể bao gồm:
- Tất cả kết nối bên thứ ba cô lập bởi tường lửa khác nhau được sử dụng cho Internet và
các lớp kết nối ngoài khác,
- Áp dụng các phần mềm chống mã độc, bao gồm cả phần mềm làm việc với tường lửa để
kiểm tra cho mã Java và ActiveX (như đề cập trên, mã như vậy không được công nhận bởi phần mềm chống mã độc (bao gồm chống virus) thông thường như là virus và như vậy không thể phát hiện, kiểm tra xem nó có hơp lệ hay không),
- Xác thực mạnh dựa trên thẻ hoặc card, bằng cách, hoặc sử dụng chứng thư số trên túi
khóa hay card thông minh hoặc xác thực hai yếu tố với các thẻ,
- Nếu các kết nối thông qua truy cập định tuyến ISDN, CLID được sử dụng như phương pháp xác thực bổ sung,
- Các bộ định tuyến, bao gồm tại đầu xa của kết nối, xác thực thông qua máy chủ xác thực,
như TACACS+. Tuy nhiên, nếu không đạt được thỏa thuận cho phương pháp xác thực với bên thứ ba thì các bí mật chia sẻ có thể được sử dụng khi có ít triển khai, nó là trao đổi mật khẩu. Với số lượng kết nối lớn, chứng thư số phải được sử dụng do chúng có thể thay đổi thường xuyên,
- Bộ định tuyến bên thứ ba sử dụng cùng phương tiện xác thực, như chứng thư số, chia sẻ
bí mật, RADIUS, TACACS+,
- Các bộ định tuyến tại cả hai đầu của đường kết nối được giữ an toàn ở mức vật lý,
- Tất cả các kết nối bên thứ ba được bao hàm bởi các điều kiện cho tài liệu kết nối an toàn
được kí bởi từng tổ chức bên thứ ba trước khi bất kì kết nối nào được cho phép,
- Xem xét sử dụng IDS/IPS,
- Triển khai biện pháp ghi nhật ký
- Đối với từng truy cập bên thứ ba, tài liệu cấu hình được thiết lập và thỏa thuận bao gồm
tổng quan của yêu cầu, sơ đồ mạng, thông tin cấu hình và chi tiết của địa chỉ IP, phương pháp xác thực.