“Thâm nhập” kho lưu trữ chứng chỉ SSL của Symantec


Hết sức ấn tượng và thú vị với hệ thống bảo an cho trung tâm dữ liệu vận hành hạ tầng khóa công khai (PKI) của Symantec. Mời bạn cùng viếng thăm một trong những nơi chứa dữ liệu quan trọng được phòng vệ cực kỳ nghiêm ngặt nhất trên Internet thông qua loạt ảnh sau từ trang tin công nghệ CNET cùng với phần dẫn giải được mình dịch từ bài này:
http://news.cnet.com/2300-11386_3-10013290-1.html

Gần một con đường rộng, uốn khúc với phong cảnh hữu tình có một tòa nhà màu be khiêm tốn với duy nhất một lối vào dẫn tới một trong những nơi chứa dữ liệu quan trọng được bảo vệ chặt chẽ nhất trên Internet. Khi cánh cửa mở ra để mời bạn bước vào thì lập tức bạn sẽ được tiếp đón bởi các cảnh vệ làm việc 24/7 đang ngồi đằng sau lớp kính bảo vệ.

Chắc bạn sẽ để ý rằng không thấy bóng dáng của đại sảnh mà thông thường có trong thiết kế của các cao ốc văn phòng và thay vào đó là một căn phòng nhỏ có các dấu hiệu chỉ ra rằng đây là một nơi được phòng vệ kỹ lưỡng: nhiều cảnh vệ, các camera an ninh, mỗi cửa ra vào đều được bảo vệ bằng keypad. Vậy là bạn đã qua được một trong nhiều lớp bảo vệ vòng ngoài trên chặng đường truy cập tới kho lưu trữ các chứng chỉ SSL của Symantec.

Đây là một trong bốn data center chính vận hành hạ tầng khóa công khai (PKI) của Symantec và việc ra vào tại đây được giới hạn hết sức nghiêm ngặt. Chỉ những nhân viên mà nhiệm vụ của họ đòi hỏi một lý do đặc biệt mới được phép truy cập vào tòa nhà, và thậm chí cả cấp CEO cũng không có quyền truy cập.

Tại mỗi cửa đều được trang bị một thiết bị nhận dạng và xác thực người dùng dựa trên các đặc điểm về sinh trắc học của họ như vân tay, võng mạc mắt. Chỉ rất rất ít số người được chấp thuận để tiến sâu vào trung tâm của tòa nhà.

Đây là Trust Services Operations Center, nó có ít nhất 4 lớp cửa bảo vệ, với các kỹ sư ngày đêm giám sát sức khỏe cho hệ thống bảo an của Symantec bao gồm việc theo dõi các lưu lượng Internet trên khắp thế giới đổ về trung tâm.

Trên chặng đường xuyên qua nhiều lớp bảo an để tiến về trung tâm của tòa nhà, bạn sẽ bắt gặp các bức tường rất kiên cố với hai lớp kim loại và chúng được xây lắp từ sàn cho tới trần nhà.

Chạy hết hành lang này rồi đi qua một cửa được bảo vệ bởi thiết bị quét vân tay là sẽ tới được data center nơi mà Symantec cấp phát các chứng chỉ số và tiếp nhận khoảng 4.5 tỉ truy vấn từ Internet được gửi tới mỗi ngày để xác minh tính hiệu lực của chứng chỉ số sử dụng giao thức OCSP.

Symantec SSL Certificate Vault được bảo vệ trước các rủi ro do các mối đe dọa từ con người (như hacker, nhân viên) cho tới thiên nhiên (như động đất, hỏa hoạn).

Keypad, thiết bị quét võng mạc mắt, đầu đọc vân tay là các cơ chế để giới hạn truy cập được dùng trong nhiều lớp bảo an cho tòa nhà. Các hành lang hướng về phía trung tâm của tòa nhà được tăng cường an ninh vì đây sẽ là nơi thủ tục Key Ceremony (tạo cặp khóa công khai và bí mật) diễn ra, và hầu hết các thông tin bảo mật có giá trị được khởi tạo và lưu trữ.

Cũng dễ hiểu khi mà hệ thống bảo an ở đây áp dụng các tiêu chuẩn cho quân đội và các best practice được xây dựng dựa trên tiêu chuẩn của Bộ Quốc phòng dành để bảo vệ cho loại thông tin tuyệt mật.

Một phòng máy chủ nằm trong 1 của 14 data center của Synmantec nằm rải rác trên thế giới. Chúng chứa chứng chỉ và CRL của các CA với khả năng tiếp nhận hơn 4,5 tỉ truy vấn kiểm tra chứng chỉ mỗi ngày.

Trong ít hơn 1 giây, hệ thống sẽ xác minh nhận dạng của một Web site bằng cách kiểm tra tính hợp lệ của khóa công khai được chứa trong chứng chỉ số được cấp cho Web site đó.

Lối vào khu data center đặt tại trung tâm của tòa nhà nằm sau nhiều lớp bảo an và nhân viên cần phải được xác thực bằng 2 yếu tố, bao gồm sinh trắc học trước khi được cấp quyền truy cập. Các máy chủ được bảo vệ bởi các khóa điện từ được dùng cho quân đội.

Thêm hình ảnh về một phòng máy chủ khác trong data center, nơi đây cũng chứa các chứng chỉ số của Symantec. Phòng này rất hiếm khi chào đón khách mời từ bên ngoài vào.

Nhiều camera an ninh như thế này được lắp đặt xuyên suốt trong tòa nhà, tại bất cứ đâu bạn đặt chân tới thì luôn có ai đó đang dõi theo bạn. Thường thì bạn sẽ không đơn độc ở những nơi thế này vì nhiều cửa an ninh yêu cầu hai người cùng vào một lúc và khi ra khỏi thì hai người đó cũng phải đi cùng nhau.

Tiếp tục đi qua một loạt các hành lang hẹp khác sẽ tới được một phòng có trang bị máy quét võng mạc mắt là phòng Key Ceremony.

Chỉ sau khi trải qua các bước quét võng mạc mắt, quét thẻ, và nhập vào đúng mã PIN thì mới được phép truy cập vào trái tim của quá trình xác thực của Symantec. Đây là nơi mà các khóa được khởi tạo lần đầu và cũng là nơi đảm thẩm định hàng tỉ các giao dịch mỗi ngày.

Một thiết bị phát hiện chuyển động được gắn trên trần của phòng Key Ceremony.

Đây có thể coi là phòng chứa (vault) an toàn nhất trong tòa nhà. Nó được bảo vệ bởi một lớp kiểm soát truy cập bằng cơ chế quét võng mạc mặt. Có 120 hộp ký gửi an toàn nằm trong 9 két chống cháy và tất cả được đặt trong một lồng chống trộm với một ổ khóa đặc biệt. Không ai có thể ra vào phòng này một mình, và cần nhiều chìa khóa từ các cá nhân được tin cậy để mở khóa.

Một lưới bằng kim loại có khả năng co giãn được dùng trong các bức tường để tạo nên một phòng chứa an toàn nhất tại trung tâm của tòa nhà.

Hardware Security Module (HSM) là thiết bị được dùng để tạo và lưu trữ cặp khóa bí mật và công khai. Vì vậy mà các thiết bị này cần thiết phải được lưu trữ tại trung tâm của System Vault và được bảo vệ bởi tầng tầng lớp lớp các mức an ninh chuẩn công nghiệp dành cho quân đội.

Thiết bị HSM được dùng để tạo và lưu trữ cặp khóa được đút vào một đầu đọc thẻ. Sau đó đầu đọc thẻ chứa HSM này được kết nối tới một thiết bị cho phép nhập vào mã PIN. Tiếp đến thiết bị cung cấp mã PIN đó được kết nối với một máy tính mà trên đó được cài sẵn ứng dụng Certificate Authority. Thiết bị cũng hỗ trợ việc trích xuất dữ liệu từ HSM ra các ổ USB.

Những khóa này được dùng để mở khóa các phần khác nhau của mật khẩu và sau dùng mật khẩu đó để mở khóa thiết bị được dùng để khởi tạo cặp khóa công khai – bí mật dùng cho suốt quá trình xác thực Key Ceremony.

Key Ceremony script chứa chi tiết các bước cần thiết để tạo các khóa và chứng chỉ số. Việc này thường mất ít nất từ 20 phút tới nhiều giờ phụ thuộc vào chiều dài và độ phức tạp của các khóa được tạo. Toàn bộ quá trình Key Ceremony cần được lưu lại cả kể các thao tác gõ lệnh hay nhấn chuột.

Khác với những gian phòng khác với nhiều camera an ninh và cảm biến chuyển động, đây là một phòng khá bình thường với một nửa tá ghế, một số cây viết nằm trên một bàn lớn, một camera đặt trên một giá ba chân nối với một giao diện điều khiển ghi hình và hai máy Windows. Các máy này không kết nối tới Internet vì lý do an ninh và được sử dụng để tạo ra các khóa mật mã và giấy chứng nhận kỹ thuật số liên kết với chúng.

Thiết bị nhập mã PIN được kết nối với các máy tính chạy ứng dụng Cetifificate Authority trong suốt quá trình key ceremony.

Sau khi quá trình key ceremony được hoàn tất và các khóa mật mã cùng với các chứng chỉ số liên quan được khởi tạo thì chúng được bỏ vào trong một bao nhựa trong suốt rồi được đưa tới nơi an toàn và bí mật nhất.

–manthang

3 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s