Cùng với sự phát triển của các kết nối Internet băng thông rộng và máy tính/thiết bị cá nhân, người ta có thể làm việc tại bất cứ đâu như: ở nhà, khách sạn, sân bay, quán cafe Internet, trên đường đi công tác… vào bất cứ thời gian nào. Phương thức làm việc mới có thể giúp tăng hiệu suất làm việc của nhân viên, giảm chi phí, nhưng các tổ chức và DN lại phải đối đầu với nguy cơ thất thoát thông tin cũng như mất an toàn của hệ thống. Vậy làm thế nào để giải quyết vấn đề này?
Các rủi ro đối với người dùng từ xa và hệ thống mạng của DN
Đối lập với các lợi ích mà phương thức làm việc từ xa mang lại, tổ chức/DN cũng phải đối mặt với không ít các rủi ro, các rủi ro thường gặp nhất là:
• Cấu hình không chuẩn và việc thiếu các bản vá lỗi làm tăng các mối nguy hiểm.
Các máy tính (MT) ở nhà do thiếu sự giám sát của các chuyên gia CNTT nên thường có cấu hình không phù hợp trong việc chia sẻ file hay in ấn, gây nên những nguy cơ như lộ thông tin quan trọng đối với bạn cùng phòng, vợ con. Những người làm việc từ xa thường không sử dụng hệ điều hành và các ứng dụng không được cập nhật mới nhất, ngay cả các PM diệt virus cũng không được cập nhật. Vì vậy các MT ở nhà thường dễ bị nhiễm virus và các chương trình phá hoại hơn các MT ở trong công ty. Việc phát hiện, làm sạch các MT này thường mất nhiều thời gian hơn. Do đó, MT của những người làm việc từ xa là một nguyên nhân tiềm tàng gây mất an toàn cho cả hệ thống mạng khi truy cập từ xa vào hệ thống.
• Mạng không dây (Wireless) không an toàn với cấu hình mặc định.
Một mối nguy hiểm đối với môi trường MT tại nhà chính là Wireless. Ngày nay, nhiều MT ở nhà được nối bằng mạng Wireless. Đa số các thiết bị Wireless thường được cấu hình mặc định và tính năng kiểm soát WEP (phương thức để mã hóa và xác thực trong kết nối Wireless) ở chế độ tắt, những người dùng thông thường thường quên hoặc không biết cách bật tính năng này lên. Chính vì vậy những người dùng khác có thể sử dụng như là một phương tiện để xâm nhập vào hệ thống bên trong, truy cập vào mục chia sẻ file. Nguy hiểm hơn nữa là những kẻ tấn công giỏi vẫn có thể dễ dàng vượt qua rào cản WEP.
• Nguy cơ bị tấn công MT ở nhà.
Với các kết nối băng thông rộng, các kẻ tấn công có thể tiết kiệm thời gian để xâm nhập vào máy người dùng ở nhà. Trừ khi có các sản phẩm như tường lửa cá nhân được triển khai hợp lý, còn không thì các hoạt động dò đường, tìm cách xâm nhập của hacker sẽ không bị phát hiện trong thời gian dài. Những hacker này có thể khai thác các cổng được mở trên MT để ăn cắp tài nguyên hoặc phá hoại các hệ thống không được bảo vệ kết nối khác.
Ngoài ra, không thể không kể đến mối nguy hại từ những PM phá hoại (các loại virus, sâu MT) làm chậm hệ thống của người dùng, phá hoại file và các ứng dụng, làm tiêu tốn băng thông. Các loại sâu MT thường cài đặt một cửa hậu trên MT bị lây nhiễm để sau này những kẻ gửi thư rác thông qua đó gửi các email quảng cáo hoặc ăn trộm thông tin. Nguy hại hơn phải kể đến các PM gián điệp thường được đính kèm trong các PM chia sẻ, các bức ảnh hay file nhạc. Nếu không có các giải pháp bảo mật (BM) thích hợp, những kẻ tấn công có thể dùng loại PM này để truy cập đến các tài nguyên trong hệ thống thông qua các mạng riêng ảo (VPN) không được bảo vệ.
Giải pháp hạn chế rủi ro khi làm việc từ xa
Để hạn chế các rủi ro khi làm việc từ xa, có thể áp dụng công nghệ mã hóa đường truyền (tạo đường hầm) theo chuẩn IPSec hoặc SSL (Secure Sockets Layer) từ người dùng tới tài nguyên của DN/tổ chức. Mỗi một chuẩn mã hóa có ưu nhược điểm khác nhau, chuẩn mã hóa IPSec độ ổn định cao, hỗ trợ các ứng dụng tốt nhưng đòi hỏi phải cài đặt và cấu hình rất phức tạp cho các máy trạm này trước khi kết nối. Trong khi đó mạng riêng ảo sử dụng công nghệ mã hóa SSL (gọi tắt là SSLVPN) cho phép kết nối từ bất cứ đâu có kết nối mạng và một trình duyệt web thông dụng, mà không cần cấu hình trên máy trạm khi kết nối tới tài nguyên của DN/tổ chức.
Hiện nay trên thị trường Aventail là một trong những hãng được đánh giá có giải pháp SSL VPN dễ dàng triển khai và tối ưu về công nghệ. Các công nghệ nổi bật của Aventail là:
• Bảo vệ tài nguyên hệ thống
Aventail được xây dựng như một cổng truy cập các tài nguyên, nó hạn chế tối đa các truy cập trực tiếp vào hệ thống, che giấu toàn bộ mô hình mạng (Topology) đối với mạng bên ngoài, qua đó các hacker từ xa không có khả năng truy cập trực tiếp vào các tài nguyên, cũng như không có khả năng tấn công từ chối dịch vụ vào các tài nguyên của hệ thống. Aventail cũng hạn chế tối đa việc lợi dụng đường truyền để phát tán thư rác, các mã độc hại vào trong hệ thống mạng cũng như lợi dụng các tài nguyên này để tấn công các hệ thống khác.
• Xác thực mạnh các người dùng từ xa
Nhằm đảm bảo chỉ có người dùng hợp pháp mới có khả năng kết nối tới các tài nguyên của hệ thống, ngoài phương thức xác thực của mình, Aventail hỗ trợ các phương thức xác thực người dùng khác như SecurID, Certificate, Radius, AD… và các phương thức xác thực mạnh khác có khả năng tạo thành hệ thống xác thực qua N yếu tố, tùy thuộc vào lựa chọn của khách hàng, sẽ giúp cho khách hàng đảm bảo đúng người có quyền mới có thể khai thác tài nguyên của hệ thống.
• Mã hóa dữ liệu trên đường truyền với công nghệ SSL VPN
Công nghệ SSL VPN với các thuật toán mã hóa mạnh của Aventail cung cấp một phương thức kết nối mà các người dùng từ xa không cần cài đặt chương trình đặc biệt nào khi kết nối đến tài nguyên của tổ chức/DN. Điểm đặc biệt trong công nghệ SSL VPN của Aventail so với một số sản phẩm SSL VPN cùng loại là Aventail hỗ trợ mọi ứng dụng, tài nguyên trên giao thức chuẩn TCP.
• Chính sách điều khiển truy cập tới các tài nguyên
Aventail cho phép áp dụng các chính sách khác nhau đối với từng tài nguyên, đối với từng người dùng, thậm chí cho phép áp dụng chính sách theo cả độ an toàn của thiết bị/MT mà người dùng từ xa sử dụng để truy cập đến tài nguyên.
• Kiểm soát an ninh đối với thiết bị/MT của người dùng từ xa
Một trong những rủi ro đối với phương thức làm việc từ xa là các MT của người dùng không được đảm bảo an toàn. Giải pháp bảo vệ máy trạm (End Point Control) của Aventail có khả năng thiết lập chính sách an toàn cho các máy trạm bằng cách tích hợp chặt chẽ với tường lửa cá nhân và PM chống virus, đảm bảo chỉ những thiết bị người dùng cuối đã được bảo vệ đúng đắn mới được phép kết nối đến tài nguyên của hệ thống.
Riêng đối với các máy PDA và MT công cộng ở quán Café Internet, Aventail giới hạn quyền truy cập đối với một số tài nguyên. Ví dụ, khi người dùng từ xa truy cập đến tài nguyên từ MT công cộng(không đảm bảo an toàn) sẽ chỉ được truy cập email, một số ứng dụng Web và không cho phép truy cập file hoặc dữ liệu nhạy cảm của DN. Ngoài ra, giải pháp của Aventail cung cấp nhiều tính năng BM cao hơn, ví dụ các máy từ xa sẽ được quét dọn để xóa các dữ liệu nhạy cảm đã tạo ra trong quá trình kết nối hoặc dữ liệu tải về sẽ được đưa vào một “kho mã hóa” tạm thời và chúng sẽ bị xóa khi phiên làm việc kết thúc.