Live Mesh và những liên quan bảo mật
Ngu
ồn : quantrimang.com 
Deb Shinder
Quản trị mạng - Microsoft gần đây đã phát hành một bản xem trước về công
nghệ dịch vụ mới Live Mesh của họ. Đây là một dịch vụ “điện toán đám mây” mà
chúng ta đã đợi từ khi Ray Ozzie nói bóng gió về nó trong một bài phát biểu tại
hội thảo của Microsoft vào cuối tháng Ba. Nó cho phép chia sẻ file và đồng bộ
giữa các thiết bị PC (thậm chí cả Mac và Windows Mobile). Tuy nhiên với t
ất cả
sự chia sẻ đó thì sự bảo mật đi kèm là gì? Bài viết này chúng tôi sẽ đề cập đến
những vấn đề có liên quan đến bảo mật của “điện toán đám mây” nói chung và
Live Mesh nói riêng, bên cạnh đó là những cơ chế mà Microsoft đã xây dựng để
bảo vệ các thiết bị đã được “mesh” và dữ liệu của bạn.

Cách bảo vệ cho “Đám mây” như thế nào

Trước khi đi sâu vào Live Mesh, chúng ta cần làm sáng tỏ một số câu hỏi về bảo
mật của “điện toán đám mây” nói chung. Trong một số báo cáo, các chuyên gia
đã nhấn mạnh sự thật rằng, những rủi ro có thể được cải thiện tốt hơn bằng
cách chọn đúng nhà cung cấp dịch vụ và thực hiện các bước đối kịp thời với các
mối đe dọa.
Tuy nhiên các đặc đ
iểm làm cho “điện toán đám mây” có ưu điểm cũng có thể
làm cho nó là trở thành một yếu điểm. Việc tính toán dựa trên đám mây làm cho
dữ liệu của bạn và trong nhiều trường hợp cũng như các ứng dụng của bạn, có
thể truy cập từ bất cứ nơi đâu trên thế giới – nhưng điều đó cũng có nghĩa rằng,
trừ khi bạn có các biện pháp mạnh để bảo mật cho chúng, bằng không điều này
lại chính là “l
ợi bất cập hại” vì ai đó cũng có thể có sự truy cập này ngoài bạn.
Trong thực tế, như một số tài liệu đã chỉ ra, bạn thậm chí còn có thể không biết

dữ liệu của bạn được lưu ở đâu trên thế giới. Đối với hầu hết các chuyên gia bảo
mật thì điều đó quả thực là một vấn đề.
“điện toán đ
ám mây” có thể cũng có một số ưu điểm về bảo mật. Vì dữ liệu của
bạn không “sống” trên một máy tính nội bộ nào, nó không bị ảnh hưởng bởi các
hội chứng như việc mất laptop vì dữ liệu được lưu trữ cục bộ. Dù các laptop có
thể được mã hóa, mã hóa ổ đĩa cứng, được trang bị nhiều phần mềm bảo mật
hoặc phần m
ềm xóa bỏ dữ liệu từ xa – nhưng liệu các nhân viên trong công ty
của bạn liệu có thể lúc nào cũng bảo đảm an toàn đúng cách cho các máy tính
của họ? Chính vì vậy việc lưu dữ liệu ở một địa điểm nào đó trong “đám mây” có
thể tránh được các vấn đề như vậy.
Tuy nhiên, sự lưu trữ tập trung này đôi khi lại có rủi ro do chính nó. Nếu một
hacker nào đó truy cập được vào dữ li
ệu của bạn trên máy chủ của nhà cung
cấp của bạn thì hacker này sẽ chiếm được tất cả. Nhưng nếu được triển khai
đúng cách, việc lưu trữ kiểu này sẽ cho phép dễ dàng hơn trong việc bảo vệ tất
cả dữ liệu trong một địa điểm thay cho thực hiện bảo vệ các file được lưu trên
các máy tính khác nhau. Và chi phí cho bảo mật có thể sẽ giảm vì hãng cung
cấp s
ẽ bỏ tiền đầu tư vào các cơ chế bảo mật của họ trên một loạt máy khách.
Tóm lại, khi nói đến bảo mật, “đám mây” có cả những ưu điểm lẫn nhược điểm
của nó. Nhiều hay ít phụ thuộc vào cách nó được thực thi như thế nào.
Live Mesh làm việc như thế nào?
Trước khi chúng ta đi sâu vào các khía cạnh công nghệ, các bạn cần lưu ý rằng
trong hiện thân hiệ
n hành của nó, Microsoft đang marketing Live Mesh với tư
cách là một dịch vụ khách hàng, không phải là một dịch vụ nhắm đến việc kinh
doanh. Mặc dù vậy, công ty này đã phát hành rất nhiều sản phẩm và các dịch vụ
của nó đối với những khách hàng đầu tiên và nhiều chuyên gia tin tưởng rằng nó

có thể và sẽ được mở rộng cho cả lĩnh vực kinh doanh nếu trở lên nổi tiếng.
Vậy những khác biệt cơ bả
n giữa “đám mây” và “mesh” là gì? Sự khác biệt lớn
nhất ở đây là: mesh là một mesh mang tính cá nhân (trái ngược với “đám mây”
mà bạn chia sẻ với những người chưa từng được biết). Mesh gồm có các thiết bị
khác các thiết bị mà bạn muốn truy cập dữ liệu và các chương trình: cho ví dụ
máy trạm tại nhà của bạn, máy trạm đặt tại văn phòng, ; laptop và thiết bị di động
(hiện bản preview về công nghệ của Live Mesh chỉ hỗ trợ các máy tính Windows
nhưng Microsoft đang lên kế hoạch trong tương lai sẽ hỗ trợ các thiết bị di động
Windows và các máy Mac OS X).
Các thông tin của bạn tự động được đồng bộ hóa trên các thiết bị mà bạn gia
nhập vào mesh của mình bằng cách cài đặt phần mềm Mesh Operating
Environment (MOE). Bạn cũng có thể sử dụng tính năng Live Mesh Remote
Desktop để truy cập vào desktop của các máy tính – gồm có các máy tính chạy
phiên bả
n XP Home và Vista Home không hỗ trợ các kết nối Remote Desktop
gửi đến. Thêm vào đó, mesh cũng gồm thành phần “đám mây”, Live Desktop
dựa trên nền Web để bạn có thể lưu các file (lên đến 5GB) trên các máy chủ của
Microsoft.
Microsoft thực hiện những gì để bảo vệ cho mesh?
Đây là một câu hỏi lớn: Bảo mật ở đây là gì? Sự thẩm định Live Mesh được dựa
trên Windows Live ID (trước đây được biế đến là Microsoft Passport). Passport
được quan niệm như m
ột dịch vụ đăng nhập một lần (single sign-on) cho thương
mại điện tử. Vào năm 2007, một lỗ hổng đã được phát hiện trong Live ID, lỗ
hổng này cho phép người dùng đăng ký một lỗi hoặc một địa chỉ email không tồn
tại với dịch vụ như nó đã được sửa nay sau khi bị phát hiện.
Các tài khoản Live ID có thể được thẩm định theo nhiều cách khác nhau, các
cách này gồm có:
•

Username và password
•
Sự kết hợp Password/PIN
•
Thẻ thông minh Thẻ Cardspace của WindowsRADIUS (cho việc thẩm
định từ điện thoại di động và Xbox)
•
Thẩm định liên đoàn (WS-Trust)
Do hầu hết người dùng Live ID đều phụ thuộc vào phương pháp đầu tiên (ít an
toàn nhất) nên sự bảo mật của tài khoản phụ thuộc vào việc chọn một mật khẩu
mạnh. Live ID hỗ trợ các mật khẩu có chiều dài (lên đến 16 ký tự) gồm có cả các
symbol cũng các ký tự chữ số. khi bạn tạo các thông tin ủy nhiệm của mình, giao
diện Live ID sẽ xét và báo cáo về độ dài mậ
t khẩu của bạn.
Live ID phải trải qua việc kiểm định bảo mật định kỳ bởi các nhà thẩm định độc
lập. Kim Cameron một chuyên gia về Passport đã gia nhập Microsoft với tư cách
là một kiến trúc sư về Identity và Access và đã có nhiều công lao trong việc phát
triển Live ID.
Sau khi người dùng hoặc thiết bị được thẩm định, các thẻ Security Assertion
Markup Language (SAML) được sử dụng cho việc truy cập tài nguyên trên
mesh, SAML chính là một chuẩn dựa trên XML.
Các thẻ được phân biệt bằng một khóa riêng và có thiết lập ngày hết hạn sau
một thời gian nào đó. Dịch vụ Live Mesh kiểm tra các thẻ, nếu các thẻ này hợp lệ
khi đó sẽ cho phép truy cập. Nhìn chung, sự truy cập được cho phép giữa hai
thiết bị nếu thẻ thể hiện rằng cả hai thiết bị thuộc về cùng mộ
t người dùng hoặc
trong trường hợp các thư mục chia sẻ, nếu thẻ hiển thị rằng cả hai thiết bị đều
có cùng thư mục Live Mesh đã được bản đồ hóa.
Lưu lượng giữa máy chủ và máy khách được mã hóa bằng HTTPS. Mã hóa này
nhằm tránh một số tình trạng tấn công. Các thiết bị bạn cho gia nhập vào mesh

đều phải có khóa riêng của nó. Chỉ máy khách mới được biết khóa riêng này,
như vậy lưu lượ
ng không thể bị chặn và đọc trong “đám mây”. Khi bạn kết nối
một thiết bị này với một thiết bị khác thông qua mesh, khi đó sự mã hóa bất đối
xứng được sử dụng để trao đổi khóa còn dữ liệu và các file được truyền tải bằng
cách sử dụng AES 128 bit. Tính nguyên vẹn của dữ liệu được thẩm định thông
qua mã thẩm định thông báo (HMAC - Hash Message Authentication Code) có
khóa mã, mã này sử dụng một hàm hash với một khóa an toàn.
Các file được lưu trên các máy chủ của Microsoft trong “đám mây” (5GB cho lưu
trữ Live Desktop đối với mỗi người dùng) được bảo vệ bằng các điều khiển truy
cập nhưng không được mã hóa.
Một vấn đề khác liên quan đến ở đây là tính năng Remote Desktop. Dịch vụ cho
phép Remote Desktop, wlcrasvc.exe, được cấu hình khởi chạy hoàn toàn tự
động. Nếu bạn kết thúc một quá trình thì một quá trình khác sẽ bắt đầu. Nếu bạn
muốn vô hiệ
u hóa dịch vụ này để tăng độ bảo mật, hãy mở nhắc lệnh với quyền
truy cập quản trị viên và đánh net stop wlcrasvc. Bạn cũng có thể vô hiệu hóa
dịch vụ trong cột Startup Type trong giao diện điều khiển các dịch vụ.
Cuối cùng: với mục đích như hiện nay – cho phép các khách hàng có thể dễ
dàng tích hợp nhiều thiết bị của họ và cung cấp sự truy cập mộ
t cách dễ dàng thì
sự bảo mật lúc này có thể đủ tốt. Tuy nhiên để trở thành một tùy chọn có thể
sống sót đối với thế giới doanh nghiệp, nơi hệ quả của sự thỏa hiệp dữ liệu liên
quan chặt chẽ với vấn đề tài chính thì chúng ta cần xem xét đến một tùy chọn
“bảo mật cao”.