Dell  PowerScale , mảng lưu trữ NAS an toàn nhất thế giới [1] , tiếp tục phát triển các khả năng bảo mật vốn đã phong phú của mình với việc giới thiệu gần đây Trình quản lý khóa ngoài để mã hóa dữ liệu khi nghỉ, các cải tiến đối với cấu hình bảo mật STIG và hỗ trợ Khởi động an toàn UEFI trên các nền tảng PowerScale. 

Phiên bản PowerScale OneFS tiếp theo của chúng tôi bổ sung các tính năng bảo mật mới bao gồm chức năng tường lửa dựa trên phần mềm, xác thực đa yếu tố hỗ trợ CAC/PIV, SSO cho WebUI quản trị và dữ liệu tuân thủ FIPS khi truyền. 

Khi bộ tính năng bảo mật PowerScale tiếp tục phát triển, việc đáp ứng mức tuân thủ liên bang cao nhất là tối quan trọng để hỗ trợ các tiêu chuẩn bảo mật của ngành và liên bang. Chúng tôi rất vui mừng thông báo rằng quá trình xác minh theo lịch trình của chúng tôi do Mạng thông tin quốc phòng (DISA) thực hiện để đưa vào Danh sách sản phẩm được DoD chấp thuận sẽ bắt đầu vào tháng 3 năm 2023. Để biết thêm thông tin, hãy xem lịch trình của DISA  tại đây .

Hơn nữa, OneFS sẽ chấp nhận việc chuyển sang mạng chỉ IPv6 với sự hỗ trợ cho USGv6-r1, một tiêu chuẩn mạng quan trọng áp dụng cho hàng trăm cơ quan liên bang và các doanh nghiệp có ý thức bảo mật cao nhất, bao gồm cả DoD. Các hoạt động chứng nhận Tiêu chuẩn chung được làm mới đang được tiến hành và sẽ cung cấp sự bổ sung được đánh giá cao trên phạm vi quốc tế và tập trung vào doanh nghiệp cho các tiêu chuẩn khác đang được hỗ trợ.

Chúng tôi tin rằng việc triển khai mô hình zero trust là nền tảng tốt nhất để xây dựng một khuôn khổ bảo mật mạnh mẽ cho PowerScale. Mô hình này và các nguyên tắc của nó được thảo luận bên dưới.  

Tăng cường bảo mật cho Dell PowerScale với mô hình zero trust

Trong thời đại chuyển đổi số, nhiều nhà cung cấp đám mây và nhân viên làm việc từ xa, giới hạn của trung tâm dữ liệu truyền thống không đủ để cung cấp mức độ bảo mật cao nhất. Theo nghĩa truyền thống, bảo mật được coi là đặt thiết bị của bạn vào một “bong bóng” tưởng tượng. Ý tưởng là miễn là thiết bị nằm trong “bong bóng” được bảo vệ, thì bảo mật đã được tính đến thông qua tường lửa trên chu vi. Tuy nhiên, khái niệm lâu đời về bảo mật của một tổ chức phụ thuộc vào tường lửa không còn phù hợp nữa và là nơi dễ bị tấn công nhất đối với bên độc hại.

Bây giờ trung tâm dữ liệu không còn giới hạn trong một khu vực, khuôn khổ bảo mật phải phát triển, chuyển đổi và thích ứng. Ví dụ, mặc dù tường lửa vẫn rất quan trọng đối với cơ sở hạ tầng mạng, bảo mật phải vượt qua tường lửa và các thiết bị bảo mật.

Tại sao bảo mật dữ liệu lại quan trọng?

Mặc dù đây có vẻ là một câu hỏi dễ, nhưng điều cần thiết là phải hiểu giá trị của những gì đang được bảo vệ. Theo truyền thống, tài sản có giá trị nhất của một tổ chức là cơ sở hạ tầng, bao gồm một tòa nhà và các tài sản cần thiết để sản xuất hàng hóa. Tuy nhiên, trong thời đại Chuyển đổi số, các tổ chức đã nhận ra rằng tài sản quan trọng nhất là dữ liệu của họ.

Tại sao lại sử dụng mô hình không tin cậy?

Vì dữ liệu là tài sản có giá trị nhất của một tổ chức, nên việc bảo vệ dữ liệu là tối quan trọng. Và làm thế nào để chúng ta bảo vệ dữ liệu này trong môi trường hiện đại mà không có giới hạn của trung tâm dữ liệu? Hãy tham gia mô hình zero trust!

Mặc dù Forrester Research lần đầu định nghĩa kiến ​​trúc zero trust vào năm 2010, nhưng gần đây nó đã nhận được nhiều sự chú ý hơn với môi trường bảo mật luôn thay đổi dẫn đến sự tập trung vào an ninh mạng. Kiến trúc zero trust là một mô hình chung và phải được tinh chỉnh để triển khai cụ thể. Ví dụ, vào tháng 9 năm 2019, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã giới thiệu khái niệm Kiến trúc Zero Trust . Do đó, Nhà Trắng cũng đã ban hành Sắc lệnh Hành pháp về Cải thiện An ninh mạng của Quốc gia , bao gồm các sáng kiến ​​zero trust.

Trong kiến ​​trúc zero trust, tất cả các thiết bị phải được xác thực và xác thực. Khái niệm này áp dụng cho tất cả các thiết bị và máy chủ, đảm bảo rằng không có thiết bị nào được tin cậy cho đến khi được chứng minh là không tin cậy. Về bản chất, mô hình tuân thủ chính sách “không bao giờ tin tưởng, luôn xác minh” cho tất cả các thiết bị.   

Ấn phẩm đặc biệt NIST 800-207 Kiến trúc Zero Trust nêu rằng mô hình zero trust được thiết kế dựa trên các nguyên tắc thiết kế sau:

• Mọi nguồn dữ liệu và dịch vụ điện toán đều được coi là tài nguyên.
• Mọi thông tin liên lạc đều được bảo mật bất kể vị trí mạng.
• Quyền truy cập vào các tài nguyên doanh nghiệp riêng lẻ được cấp theo từng phiên.
• Quyền truy cập vào tài nguyên được xác định bởi chính sách động—bao gồm trạng thái có thể quan sát được của danh tính máy khách, ứng dụng/dịch vụ và tài sản yêu cầu—và có thể bao gồm các thuộc tính về hành vi và môi trường khác.
• Doanh nghiệp giám sát và đo lường tính toàn vẹn và mức độ bảo mật của tất cả tài sản sở hữu và liên quan.
• Mọi xác thực và ủy quyền tài nguyên đều được thực hiện động và nghiêm ngặt trước khi được phép truy cập.
• Doanh nghiệp thu thập càng nhiều thông tin càng tốt liên quan đến tình trạng hiện tại của tài sản, cơ sở hạ tầng mạng và thông tin liên lạc và sử dụng thông tin này để cải thiện tình hình bảo mật của mình.

PowerScale OneFS tuân theo mô hình zero trust

Dòng giải pháp NAS mở rộng P owerScale bao gồm các nút lưu trữ toàn flash, lai và lưu trữ lưu trữ có thể được triển khai trên toàn bộ doanh nghiệp – từ biên, đến lõi và đám mây, để xử lý khối lượng công việc dựa trên tệp đòi hỏi khắt khe nhất. PowerScale OneFS kết hợp ba lớp kiến ​​trúc lưu trữ—hệ thống tệp, trình quản lý khối lượng và bảo vệ dữ liệu—thành một cụm NAS mở rộng. Dell Technologies tuân theo Khung an ninh mạng NIST để áp dụng các nguyên tắc không tin cậy trên cụm PowerScale. Khung NIST xác định năm nguyên tắc: xác định, bảo vệ, phát hiện, phản hồi và phục hồi. Việc kết hợp khung từ CSF NIST và mô hình dữ liệu cung cấp cơ sở cho kiến ​​trúc không tin cậy của PowerScale trong năm giai đoạn chính, như thể hiện trong hình sau.

Hãy cùng xem xét từng giai đoạn này và những công cụ nào của Dell Technologies có thể được sử dụng để triển khai chúng.

1. Xác định vị trí, sắp xếp và gắn thẻ tập dữ liệu

Để bảo mật một tài sản, bước đầu tiên là xác định tài sản đó. Trong trường hợp của chúng tôi, đó là dữ liệu. Để bảo mật một tập dữ liệu, trước tiên phải định vị, sắp xếp và gắn thẻ để bảo mật hiệu quả. Đây có thể là một quá trình khó khăn tùy thuộc vào số lượng tập dữ liệu và kích thước của chúng. Chúng tôi khuyên bạn nên sử dụng tính năng Superna Eyeglass Search and Recover để hiểu dữ liệu phi cấu trúc của bạn và cung cấp thông tin chi tiết thông qua một bảng điều khiển duy nhất, như được hiển thị trong hình ảnh sau. Để biết thêm thông tin, hãy xem Tổng quan về sản phẩm Eyeglass Search and Recover .

2. Vai trò và quyền truy cập

Khi chúng ta biết dữ liệu mình đang bảo mật, bước tiếp theo là liên kết các vai trò với dữ liệu được lập chỉ mục. Người quản trị và người dùng có vai trò cụ thể chỉ có quyền truy cập vào một tập hợp con dữ liệu cần thiết cho trách nhiệm của họ. PowerScale OneFS cho phép giới hạn quyền truy cập hệ thống cho một vai trò quản trị thông qua Kiểm soát truy cập dựa trên vai trò (RBAC). Theo thông lệ tốt nhất, chỉ gán các đặc quyền tối thiểu bắt buộc cho mỗi quản trị viên làm cơ sở. Trong tương lai, có thể thêm nhiều đặc quyền hơn khi cần. Để biết thêm thông tin, hãy xem Xác thực, Quản lý danh tính và Ủy quyền của PowerScale OneFS .

3. Mã hóa

Đối với bước tiếp theo trong việc triển khai mô hình không tin cậy, hãy sử dụng mã hóa để bảo vệ dữ liệu khỏi bị đánh cắp và tấn công trung gian.

Mã hóa dữ liệu ở trạng thái nghỉ

PowerScale OneFS cung cấp Mã hóa dữ liệu khi nghỉ (D@RE) bằng cách sử dụng ổ đĩa tự mã hóa (SED), cho phép mã hóa dữ liệu trong quá trình ghi và giải mã trong quá trình đọc bằng khóa mã hóa AES 256 bit, được gọi là khóa mã hóa dữ liệu (DEK). Ngoài ra, OneFS gói DEK cho mỗi SED trong khóa xác thực (AK). Tiếp theo, các AK cho mỗi ổ đĩa được đặt trong trình quản lý khóa (KM) được lưu trữ an toàn trong cơ sở dữ liệu được mã hóa, cơ sở dữ liệu trình quản lý khóa (KMDB). Tiếp theo, KMDB được mã hóa bằng khóa chính (MK) 256 bit. Cuối cùng, khóa chính 256 bit được lưu trữ bên ngoài cụm PowerScale bằng cách sử dụng máy chủ quản lý khóa tuân thủ giao thức tương tác quản lý khóa (KMIP), như thể hiện trong hình sau. Để biết thêm thông tin, hãy xem Mã hóa dữ liệu khi nghỉ của PowerScale .

Dữ liệu trong quá trình mã hóa chuyến bay

Dữ liệu đang truyền được mã hóa bằng giao thức SMB3 và NFS v4.1. Mã hóa SMB có thể được sử dụng bởi các máy khách hỗ trợ mã hóa SMB3, bao gồm Windows Server 2012, 2012 R2, 2016, Windows 10 và 11. Mặc dù SMB hỗ trợ mã hóa gốc, NFS yêu cầu xác thực Kerberos bổ sung để mã hóa dữ liệu đang truyền. OneFS Phiên bản 9.3.0.0 hỗ trợ NFS v4.1, cho phép hỗ trợ Kerberos mã hóa lưu lượng giữa máy khách và cụm PowerScale.

Sau khi quyền truy cập giao thức được mã hóa, bước tiếp theo là mã hóa sao chép dữ liệu. OneFS hỗ trợ mã hóa qua mạng, mã hóa đầu cuối cho việc sao chép dữ liệu SyncIQ, bảo vệ và bảo mật dữ liệu đang truyền giữa các cụm. Để biết thêm thông tin về các tính năng này, hãy xem thông tin sau:

• PowerScale: Thiết kế giải pháp và cân nhắc cho môi trường SMB
• Những cân nhắc và thực hành tốt nhất về thiết kế NFS của PowerScale OneFS
• PowerScale SyncIQ: Kiến trúc, Cấu hình và Những cân nhắc

4. An ninh mạng

Trong môi trường các mối đe dọa mạng ngày càng gia tăng, bảo vệ mạng phải là một phần của bất kỳ mô hình bảo mật nào. Superna Eyeglass Ransomware Defender cho PowerScale cung cấp khả năng phục hồi mạng. Nó bảo vệ cụm PowerScale bằng cách phát hiện các sự kiện tấn công theo thời gian thực và phục hồi sau các cuộc tấn công mạng. Các trình kích hoạt sự kiện tạo ra phản hồi tự động với kiểm tra truy cập theo thời gian thực, như thể hiện trong hình sau.

Khả năng Enterprise AirGap tạo ra một bản sao dữ liệu bị cô lập trong một kho lưu trữ mạng được cô lập khỏi môi trường sản xuất, như thể hiện trong hình sau. Để biết thêm về Giải pháp bảo vệ mạng PowerScale, hãy xem Sách điện tử toàn diện này .

5. Giám sát

Giám sát là một thành phần quan trọng của việc áp dụng mô hình zero trust. Một cụm PowerScale phải được giám sát liên tục thông qua một số công cụ để có thông tin chi tiết về hiệu suất cụm và theo dõi các bất thường. Các tùy chọn giám sát cho cụm PowerScale bao gồm:

• Dell CloudIQ để giám sát chủ động, học máy và phân tích dự đoán.
• Superna Ransomware Defender để bảo vệ cụm PowerScale bằng cách phát hiện các sự kiện tấn công theo thời gian thực và phục hồi sau các cuộc tấn công mạng. Nó cũng cung cấp AirGap.
• PowerScale OneFS SDK để tạo các ứng dụng tùy chỉnh dành riêng cho một tổ chức. Sử dụng OneFS API để cấu hình, quản lý và giám sát chức năng cụm. OneFS SDK cung cấp khả năng hiển thị tốt hơn vào cụm PowerScale.

Phần kết luận

Blog này giới thiệu về việc triển khai mô hình zero trust trên cụm PowerScale. Để biết thêm chi tiết và áp dụng triển khai zero trust hoàn chỉnh, hãy xem phần Kiến trúc Zero Trust của PowerScale  trong sách trắng Dell PowerScale OneFS: Cân nhắc về bảo mật . Bạn cũng có thể khám phá các phần khác trong sách này để tìm hiểu thêm về tất cả các cân nhắc về bảo mật của PowerScale.

Tác giả : Aqib Kazi