Giải đáp: Healthcheck Pro có xâm phạm đến bảo mật máy chủ?
Logigal Healthceck Pro là một phần mềm giám sát đám mây cho phép người dùng phần cứng máy chủ Secure Logiq dễ dàng theo dõi các thành phần chính của tất cả các thiết bị mà họ đã triển khai trên thực tế. Để giải pháp cảnh báo và giám sát Healthcheck hoạt động, máy chủ phải có kết nối với internet và đang chạy dịch vụ Healthcheck. Chức năng này đã đặt ra câu hỏi về an ninh mạng liệu rằng Healcheckpro có xâm phạm đến bảo mật mấy chủ của đơn vị. Bài viết này sẽ giải đáp cho vấn đề trên.
Phần cứng máy chủ đã triển khai kết nối trở lại trung tâm dữ liệu
Lợi ích của việc Healthcheck Pro kết nối trở lại trung tâm dữ liệu thay vì để máy chủ trung tâm dữ liệu kết nối với máy từ xa mang lại hệ điều hành bảo mật đáng kể cũng như làm cho việc cấu hình và thiết lập trở nên dễ dàng hơn.
Làm việc theo cách này có nghĩa là bạn không cần biết địa chỉ IP công khai của máy chủ, không có cổng chuyển tiếp hoặc cấu hình bộ định tuyến khác được thực hiện. Về lý thuyết, tất cả các cổng kết nối đến có thể bị chặn trong khi chỉ cho phép cổng 443 làm kết nối đi và Healthcheck sẽ có khả năng giao tiếp với trung tâm dữ liệu.
Tóm lại Healthcheck không chấp nhận bất kỳ kết nối nào có nghĩa là bạn không cần bất kỳ cổng bổ sung nào mở ra thế giới bên ngoài khi mà điều này có thể làm tăng nguy cơ bị các mối đe dọa mạng bên ngoài. Nó cũng làm cho việc thiết lập và cấu hình Healthcheck Pro trở nên cực kỳ đơn giản.
Hash key duy nhất cho mỗi công ty cũng như số sê-ri duy nhất cho mỗi máy
Trong quá trình cài đặt Healthcheck Pro, nó yêu cầu hash key được tạo ngẫu nhiên cho công ty mà máy chủ sẽ được chỉ định cũng như số sê-ri duy nhất của máy. Nếu không có cả hai điều này chính xác và khớp với cơ sở dữ liệu nội bộ của Secure Loqiq về khách hàng và số sê-ri của máy được chế tạo, quá trình cài đặt sẽ không thành công hoặc kết nối sẽ không được cấp phép.
Điều này làm cho các kết nối đến trung tâm chỉ giới hạn ở các máy được hỗ trợ bởi Secure Logiq và ngăn chặn bất kỳ kết nối độc hại nào truy cập vào máy chủ đám mây. Việc cài đặt Healthcheck Pro được thực hiện tại nhà trong quá trình sản xuất máy mới và sẽ yêu cầu quyền truy cập từ xa từ một trong những nhân viên hỗ trợ của Secure Logiq để cài đặt trên bất kỳ máy cũ nào. Gói cài đặt không được cung cấp công khai, điều này hạn chế việc giải cấu trúc phần mềm cho các mục đích xấu.
Máy chủ từ xa và kết nối trình duyệt sử dụng mã hóa SSL cho tất cả dữ liệu
Mã hóa SSL là tiêu chuẩn cho ngân hàng trực tuyến cũng như các trang web thương mại điện tử lớn và ngăn dữ liệu của bạn bị bên thứ ba chặn khi thực hiện giao dịch. Vì lý do này, các máy chủ được triển khai giao tiếp thông qua kết nối được mã hóa SSL trở lại trung tâm dữ liệu. Chứng chỉ SSL phải được thanh lọc và cấp phép hàng năm để chúng vẫn có giá trị.
Các máy chủ từ xa được triển khai tại hiện trường kết nối trở lại trung tâm dữ liệu bằng cách sử dụng các kết nối được mã hóa SSL cũng như phiên trình duyệt để xem và giám sát phần cứng.
Chứng chỉ SSL có một cặp key: key công khai và key riêng tư. Các key này hoạt động cùng nhau để thiết lập kết nối được mã hóa. Chứng chỉ cũng chứa cái được gọi là “chủ đề”, là danh tính của chủ sở hữu chứng chỉ / trang web.
Để có được chứng chỉ, bạn phải tạo yêu cầu ký chứng chỉ (CSR) trên máy chủ của mình. Quá trình này tạo key riêng tư và khóa công khai trên máy chủ của bạn. Tệp dữ liệu CSR mà bạn gửi đến tổ chức phát hành chứng chỉ SSL (được gọi là Tổ chức phát hành chứng chỉ hoặc CA) chứa key công khai. CA sử dụng tệp dữ liệu CSR để tạo cấu trúc dữ liệu để khớp với key riêng tư của bạn mà không ảnh hưởng đến chính key đó. CA không bao giờ nhìn thấy khóa cá nhân.
Khi bạn nhận được chứng chỉ SSL, bạn sẽ cài đặt nó vào máy chủ của mình. Bạn cũng cài đặt chứng chỉ trung gian thiết lập độ tin cậy của Chứng chỉ SSL của bạn bằng cách gắn nó với chứng chỉ gốc của các CA của bạn.
Trong hình ảnh bên dưới, bạn có thể thấy những gì được gọi là chuỗi chứng chỉ. Nó kết nối chứng chỉ máy chủ của bạn với chứng chỉ gốc của các CA (trong trường hợp này là chứng chỉ gốc của DigiCert) thông qua chứng chỉ trung gian.
Phần quan trọng nhất của chứng chỉ SSL là nó được ký kỹ thuật số bởi một CA đáng tin cậy, như DigiCert. Bất kỳ ai cũng có thể tạo chứng chỉ, nhưng các trình duyệt chỉ tin cậy các chứng chỉ đến từ một tổ chức trong danh sách các CA đáng tin cậy. Các trình duyệt đi kèm với danh sách các CA đáng tin cậy được cài đặt sẵn, được gọi là cửa hàng Trusted Root CA. Để được thêm vào cửa hàng Trusted Root CA và trở thành tổ chức phát hành chứng chỉ, một công ty phải tuân thủ và được kiểm tra chống lại các tiêu chuẩn bảo mật và xác thực do trình duyệt thiết lập.
Giấy chứng nhận SSL do CA cấp cho một tổ chức và miền / trang web của tổ chức đó xác minh rằng bên thứ ba đáng tin cậy đã xác thực danh tính của tổ chức đó. Vì trình duyệt tin tưởng CA, trình duyệt hiện cũng tin tưởng danh tính của tổ chức đó. Trình duyệt cho phép người dùng biết rằng trang web an toàn và người dùng có thể cảm thấy an toàn khi duyệt trang web và thậm chí nhập thông tin bí mật của họ.
>> Tham khảo: DANH MỤC SẢN PHẨM QUẢN LÝ MÁY CHỦ SECURE LOGIQ – CHÂU ÂU
Chứng chỉ SSL tạo kết nối an toàn như thế nào?
Khi trình duyệt cố gắng truy cập trang web được bảo mật bằng SSL, trình duyệt và máy chủ web sẽ thiết lập kết nối SSL bằng quy trình được gọi là “SSL Handshake” (xem sơ đồ bên dưới). Lưu ý rằng SSL là ẩn đối với người dùng và xảy ra ngay lập tức.
Về cơ bản, ba key được sử dụng để thiết lập kết nối SSL: key công khai (public key), key riêng tư (private key) và key theo phiên (session key). Mọi thứ được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa riêng và ngược lại. Vì mã hóa và giải mã bằng khóa riêng tư và khóa công khai cần nhiều sức mạnh xử lý, chúng chỉ được sử dụng trong quá trình cài đặt SSL để tạo khóa phiên đối xứng. Sau khi kết nối an toàn được thực hiện, key theo phiên được sử dụng để mã hóa tất cả các dữ liệu được truyền đi.
Trình duyệt kết nối với máy chủ web (trang web) được bảo mật bằng SSL (https). Trình duyệt yêu cầu máy chủ tự nhận dạng.
Máy chủ gửi bản sao Chứng chỉ SSL của nó, bao gồm cả khóa công khai của máy chủ.
Trình duyệt kiểm tra gốc chứng chỉ dựa trên danh sách các CA đáng tin cậy và chứng chỉ đó là chứng chỉ chưa hết hạn, chưa được thu hồi và tên chung của nó có hợp lệ cho trang web mà nó đang kết nối hay không. Nếu chứng chỉ được duyệt tin cậy, trình duyệt sẽ tạo, mã hóa và gửi lại khóa phiên đối xứng bằng key công khai của máy chủ.
Máy chủ giải mã key theo phiên đối xứng bằng cách sử dụng key riêng của nó và gửi lại một xác nhận được mã hóa bằng key theo phiên để bắt đầu phiên được mã hóa.
Máy chủ và Trình duyệt hiện mã hóa tất cả dữ liệu được truyền bằng key theo phiên.
-
Nhiều cấp độ người dùng hạn chế chức năng
Tài khoản Healthcheck Pro sẽ được cung cấp sau khi yêu cầu thiết lập và thực hiện trên tài khoản quản trị viên. Người dùng tài khoản quản trị này có khả năng tạo các cấp độ người dùng khác nhau, hạn chế những gì họ có thể thay đổi và xem trong phần mềm. Mặc dù không có cài đặt nào có thể sử dụng để có thể ảnh hưởng đến bảo mật của hệ thống bảo mật, quản trị viên có thể xóa người dùng nhanh chóng và dễ dàng.
-
Việc triển khai xác thực hai giai đoạn trong tương lai
Để tăng cường bảo mật từ phía người dùng đăng nhập vào hệ thống, hệ thống có kế hoạch thêm tùy chọn cho phép xác thực hai lớp cho người dùng. Điều này loại bỏ mọi khả năng bẻ khóa mật khẩu của giao diện web.
Để tìm hiểu phương thức sử dụng phần mềm Health Check Pro và các giải pháp công nghệ từ Secure LogiQ, ngay bây giờ khách hàng hãy liên hệ tới LightJSC để tìm kiếm hướng dẫn chi tiết và bài bản nhất – 0986.672.406 (Mr. Quang Đạt) / info@lightjsc.com