Xây dựng hạ tầng PKI trên nền Windows Server 2008 – Phần 5


Xem thêm:
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 3
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 5
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.2

————-

Phần 5 – Bảo mật cho hạ tầng khóa công khai (PKI)

Những biện pháp mà tổ chức có thể triển khai để đảm bảo an toàn cho các CA trong hệ thống được phân làm hai loại chính là:

  • Cấu hình cho CA
  • An toàn vật lý

Các biện pháp này có thể là giới hạn những group nào được phép đăng nhập cục bộ tại CA cho tới việc đặt CA ở những vị trí an toàn hay bảo vệ khóa bí mật của CA.

1.     Cấu hình cho CA

Các biện pháp để cấu hình CA sao cho an toàn bao gồm cấu hình cho dịch vụ Certificate Services và cấu hình cho hệ điều hành Windows Server 2008 làm CA, cụ thể:

  • Giảm tối đa số lượng vai trò đặt lên máy CA: nếu có thể thì không được kết hợp CA với các chức năng khác như domain controller, Exchange Server, v.v.. Càng nhiều vai trò đặt lên máy chủ thì càng khó để bảo vệ nó trước các loại tấn công khác nhau.
  • Sử dụng Security Configuration Wizard để khóa chặt CA: công cụ này sẽ nhận diện và cung cấp thông tin về các vai trò và dịch vụ được cài đặt trên máy CA, tắt các chức năng không cần thiết, áp dụng các cấu hình an toàn cho mạng, và các tùy chọn cho Registry để bảo mật cho các cơ chế xác thực, các thiết lập hệ thống, và các thiết lập kiểm kê (audit) mặc định. Xem thêm tại địa chỉ: http://technet.microsoft.com/en-us/library/cc754997.aspx
  • Kích hoạt tất cả các tùy chọn auditing cho CA: bằng cách này, mục Security Log trong Windows sẽ chứa tất cả các sự kiện liên quan tới hoạt động của Certificate Services như: sao lưu và khôi phục CSDL của CA, thay đổi cấu hình của CA, thay đổi thiết lập an ninh của CA, cấp phát, quản lý và thu hồi chứng chỉ, phát hành CRL, chạy hoặc dừng dịch vụ Active Directory Certificate Services, v.v.. để giúp người quản trị nhận biết được các sự cố về an ninh có thể đã và đang diễn ra.
  • Bật BitLocker Disk Encryption (BDE): tính năng này giúp mã hóa toàn bộ ổ đĩa của máy CA. Một ưu điểm của nó là ngăn chặn khả năng kẻ tấn công đánh cắp đĩa cứng và sử dụng đĩa cứng này trên máy tính khác. Lựa chọn tốt nhất để triển khai BDE cho CA là có chip TPM (Trusted Platform Module) trên bo mạch chủ của CA đó. Con chip này sẽ bảo vệ khóa SRK (Storage Root Key) được dùng để giải mã khóa VEK (Volume Encryption Key) là khóa bảo vệ cho ổ đĩa chứa hệ điều hành của CA. Xem thêm tại địa chỉ: http://msdn.microsoft.com/en-us/library/windows/hardware/gg487306.aspx
  • Giới hạn số lượng thành viên trong group Local Administrators: nếu triển khai CA sử dụng CSP dựa trên phần mềm thì khóa bí mật của CA được lưu ngay tại máy CA đó. Mặc định, tất cả thành viên của group Local Administrators có thể truy cập tới khóa bí mật này và xuất nó ra tập tin dạng PKCS #12. Vì vậy để giới hạn số user có thể truy cập tới khóa bí mật của CA thì cần giới hạn tối đa số thành viên được nằm trong group quản trị này.
  • Phân chia vai trò hợp lý (tuân theo quy định của Common Criteria): cần phải đảm bảo rằng một người không được nắm giữ nhiều vai trò mà chỉ được đảm nhận một trong bốn vai trò là CA Administrator, Certificate Manager, Auditor, Backup Operator. Nếu gán nhiều hơn một vai trò sẽ dẫn đến người dùng bị tước đoạt mọi thao tác quản lý CA.

2.     An toàn vật lý

Dưới đây là một vài biện pháp để bảo đảm an toàn về mặt vật lý cho các máy CA.

  • Đặt các offline CA tại vị trí an toàn: phòng máy chủ nơi chứa các offline CA cần được kiểm soát và giới hạn chặt chẽ việc truy cập. Chỉ cho những cá nhân với vai trò là CA Administrator được phép vào phòng này và ghi nhận tất cả những hành vi cố gắng truy cập khác.
  • Đặt các máy CA trong khung chứa an toàn: để mở các khung chứa máy chủ yêu cầu người dùng cung cấp mã PIN. Một vài mẫu có chức năng ghi nhận tất cả các lần truy cập tới khung chứa và gửi các thông tin này quá kết nối serial.
  • Đặt các linh kiện phần cứng của offline CA ở nơi tách biệt và an toàn: một vài công ty không gắn các ổ cứng cho máy CA mà đặt chúng ở một nơi khác làm cho kẻ tấn công phải tiếp cận được cả máy chủ và ổ cứng để có thể truy cập được vào offline CA.

3.     Bảo vệ khóa bí mật của CA

Nếu có được khóa bí mật của CA thì ai đó có thể dựng lên một máy CA với cùng cặp khóa công khai – bí mật đã biết để mạo nhận rồi cấp phát các chứng chỉ giả nhưng sẽ được tin cậy bởi tất cả người dùng trong PKI. Tệ hơn là nếu lấy được khóa bí mật của CA thì kẻ tấn công có thể tạo nên các CA thứ cấp được tin cậy bởi tất cả các đối tượng trong tổ chức.

Các biện pháp cần thực hiện để bảo vệ khóa bí mật của CA phụ thuộc vào cách thức lưu trữ khóa đó. Đối với CA chạy trên Windows Server 2008 thì có ba khả năng là:

  • Lưu khóa bí mật trong kho chứa cục bộ của máy CA
  • Lưu khóa bí mật trên thiết bị xác thực hai yếu tố, ví dụ như thẻ thông minh
  • Lưu khóa bí mật trên mô-đun bảo mật phần cứng (HSM)

–manthang

6 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s