Synology 2022 – Nâng cấp về bảo mật đăng nhập và kết nối mạng

Vậy là sự kiện thường niên của Synology cũng chính thức được ra mắt trên toàn cầu. Và năm nay là Synology 2022 And Beyond. Do đó sẽ có những sự cập nhật cả về phần cứng lẫn phần mềm và trong bài viết này chúng tôi sẽ giới thiệu những cập nhật về bảo mật !

Cùng theo dõi nhé.

Tổng quan về bảo mật và quyền riêng tư

Hàng nghìn vụ vi phạm bảo mật xảy ra mỗi ngày, gây ra thiệt hại đáng kể về tài chính, danh tiếng và thậm chí là tinh thần. Synology sẽ tiếp tục phát triển các giải pháp bảo mật mạnh mẽ và tinh vi để bảo vệ dữ liệu được lưu trữ trên NAS. Có rất nhiều điều cần xem xét khi bạn triển khai các giải pháp cho doanh nghiệp. Ngay cả đối với mục đích sử dụng cá nhân, bảo mật và quyền riêng tư là những điều quan trọng mà được đánh giá cao trong các sản phẩm và dịch vụ của Synology.

Như nhiều lần chia sẻ, thì ở Synology, vấn đề bảo mật, quyền riêng tư là trụ cột chính chi phối cách xây dựng và thiết kế sản phẩm của mình. Đồng thời liên tục cải tiến cách làm để đảm bảo sản phẩm cuối cùng đáp ứng các tiêu chuẩn rất cao mà cả Synology và khách hàng đều mong đợi.

Những điều Synology làm gần đây hoặc hiện đang làm

•  DSM 7.0 đã triển khai cái mà chúng tôi gọi là “thiết kế hệ thống đặc quyền thấp”. Điều này giảm thiểu số lượng quy trình chạy ở gốc hoặc các đặc quyền cao nhất
• Tài khoản “gốc” hoặc tài khoản quản trị có quyền truy cập cao nhất trên hệ thống. Nói một cách đơn giản, bất cứ thứ gì có quyền truy cập root đều có thể làm được, khá nhiều thứ
• Truy cập tệp, thay đổi cài đặt, cài đặt thứ gì đó, xóa ứng dụng, nâng cấp hệ điều hành, xóa hệ điều hành hoặc thậm chí flash firmware cấp thấp vào phần cứng
• Một trong những thay đổi đáng chú ý nhất là DSM 7.0 sẽ cấm những gói yêu cầu quyền truy cập root. Điều này làm giảm khả năng các gói độc hại có thể dễ dàng tiếp quản hệ thống.

=> Điều này thật tuyệt vời để giúp cải thiện bảo mật ứng dụng bên thứ ba. Nói về các ứng dụng của bên thứ ba, có nhiều khó khăn khi xử lý các dự án nguồn mở.

Synology đã đưa SBOM vào quy trình phát triển của mình

• SBOM là quy trình phần mềm gồm tài liệu là danh sách đầy đủ thành phần trong một phần của phần mềm.
• Nó mô tả mọi thứ được sử dụng, mỗi dự án nguồn mở, các yếu tố phụ thuộc, tính phụ thuộc của dự án và còn nhiều yếu tố khác nữa.
• SBOM giúp làm rõ việc gì xảy ra với phần mềm nào, phiên bản đó là gì và nó có thể được liên kết với gì.
• Cho phép hệ thống hóa cách lưu hồ sơ, sắp xếp và cuối cùng giám sát một lượng mã khổng lồ, giúp cho mã trở nên minh bạch hơn, và dễ dàng theo dõi các vấn đề tiềm ẩn và tránh chúng, và giúp dễ dàng hiểu được phạm vi mã cần được vá, cập nhật khi có sự cố xảy ra.

=> Tóm lại, SBOM mang lại rất nhiều sự minh bạch và gia tăng độ linh hoạt trong toàn bộ quá trình vòng đời của phần mềm.

DSM 7.0 sẽ có thêm một số tính năng được cập nhật: Hỗ trợ TLS 1.3, …

• Hỗ trợ TLS 1.3, áp dụng Khung Giao thức Tiếng ồn, và thêm các hệ thống ưu tiên trước như tự động chặn các kết nối độc hại: Việc bắt đầu với Transport Layer Security hay TLS. 1.3 là một sửa đổi quan trọng mới giúp tăng cường đáng kể một trong những giao thức mã hóa quan trọng mà chúng ta sử dụng trong thực tế bất kỳ thao tác nào của chúng ta qua internet.

Trong DSM 7.0, ngoài việc hỗ trợ nó, bạn thực sự có thể đặt nó thành chỉ cho phép kết nối. Khi được bật, DSM sẽ đảm bảo rằng toàn bộ chuỗi kết nối, giữa NAS và trình duyệt của bạn, được mã hóa bằng giao thức tốt nhất hiện có mà chúng tôi có, đó sẽ là TLS 1.3.
Cài đặt này giúp ngăn chặn các cuộc tấn công hạ cấp bảo mật lợi dụng sự không an toàn hoặc điểm yếu trong các giao thức cũ hơn cũng như bộ mã hóa và mật mã của chúng. Điều này hoạt động tuyệt vời, đặc biệt nếu thiết bị của bạn nói chung là hiện đại và cập nhật.

• Synology cũng đã xác thực hệ thống mật mã của mình thông qua FIPS-140-3 CAVP (Chương trình xác thực thuật toán mật mã), gần đây đã thay thế FIPS-140-2 (đã được xác thực thông qua CAVP).
  Điều này đảm bảo rằng có triển khai vững chắc các thuật toán như AES, ECDSA, SHA, v.v.

Thêm một điều mà Synology cũng đã làm là sử dụng Noise: Nói một cách đơn giản, Noise là một tập hợp các quy tắc, hoặc tên gọi, khuôn khổ của nó, cho phép các hệ thống tạo ra các kênh giao tiếp an toàn thông qua một số phương pháp và giao thức được xác định trước.

• Sử dụng Noise giúp tăng cường an ninh giao thông bằng cách:
• Ít bị ảnh hưởng bởi các cuộc tấn công phát lại
• Có bí mật hoàn hảo về phía trước
• Nội dung bất khả tri
• Không tiết lộ danh tính của khách hàng (thông qua mã hóa siêu dữ liệu)

Ví dụ:

Giả sử bạn đang ở một quán cà phê, sử dụng WiFi công cộng, không được mã hóa để duyệt web. Bất kỳ lưu lượng truy cập không được mã hóa nào qua kết nối này đều có thể dễ dàng bị chặn bởi bất kỳ ai trên mạng đó.

HTTPS, sử dụng TLS, là hình thức bảo mật truyền tải quen thuộc hơn, có thể ngăn người khác biết nội dung của các trang web mà bạn đang truy cập, điều này quan trọng đối với một cái gì đó như ngân hàng, khi bạn đang thanh toán cho một thứ gì đó bằng thẻ tín dụng và rõ ràng là để giữ những thứ như tệp và tin nhắn tức thì của bạn ở chế độ riêng tư.

Điều khó khăn về HTTPS cũ tốt và tiện ích mở rộng, TLS, là có rất nhiều khả năng và phương pháp triển khai khác nhau mà bạn có thể không phải lúc nào cũng an toàn như mong muốn. Ví dụ: các trang web có thể tải các phần tử nhất định qua HTTP và không phải tất cả các triển khai đều hỗ trợ bí mật chuyển tiếp hoàn hảo.

Mặt khác, Noise luôn có thể đảm bảo tất cả những điều đó vì nó vừa cứng cáp hơn, vừa đơn giản hơn và hiện đại hơn nhiều (so với TLS trước 1.3), có nghĩa là đối với các nhà phát triển, việc tạo ra thứ gì đó an toàn dễ dàng hơn nhiều.

Vì vậy, trở lại quán cà phê. Nếu bạn đang kết nối với NAS của mình ở nhà hoặc văn phòng, việc triển khai Noise giữ cho kết nối của bạn riêng tư và an toàn, ngăn chặn các cuộc tấn công MITM và giảm đáng kể lượng dữ liệu có thể bị xâm phạm nếu ai đó cố gắng ghi lại dữ liệu và lưu nó cho đến khi chúng ta có khả năng tính toán để phá vỡ một số thuật toán linh hoạt nhất mà chúng ta có ngày nay.

Noise đã được chứng minh là an toàn và đã được áp dụng bởi các sản phẩm như Whatsapp, Wireguard, dự án Slack’s Nebula và tất nhiên, bây giờ là DSM.

DSM 7.0 cũng áp dụng PKCE (Proof Key for Code Exchange, là một quy trình cấp quyền mới, an toàn hơn dựa trên OAuth 2.0. Bây giờ, ngay cả khi bạn chưa nghe nói về OAuth, có thể bạn đã sử dụng nó nhiều lần.
Bất cứ khi nào bạn đăng nhập vào một trang web hoặc dịch vụ cụ thể bằng tài khoản bên thứ ba, chẳng hạn như Google, Apple, Facebook, v.v., dịch vụ bạn đang đăng nhập có khả năng sử dụng OAuth để đăng nhập an toàn.

Về cơ bản, PKCE giúp ngăn ngừa rò rỉ thông tin đăng nhập khi bạn ủy quyền cho một cái gì đó đăng nhập thay cho bạn.

Đối với một ứng dụng, giả sử như ứng dụng Photos, về cơ bản bạn đang chuyển một tập hợp thông tin đăng nhập vào ứng dụng đó để đăng nhập vào NAS của bạn, rõ ràng là không cần nhập nó mỗi lần. Để giữ an toàn cho điều này, Synology không lưu trữ mật khẩu văn bản rõ ràng, mà là một mã ủy quyền. Về cơ bản, sau lần đăng nhập đầu tiên, nếu thành công, máy chủ sẽ trả lại một “mã thông báo” có thể được sử dụng lại sau này mà không cần sử dụng mật khẩu thực của bạn.

Tuy nhiên, trong một số trường hợp nhất định, điều này có thể được ngăn chặn. Trong cái được gọi là “Cuộc tấn công đánh chặn mã ủy quyền”, một ứng dụng độc hại có thể ăn cắp và sử dụng lại mã. PKCE giải quyết vấn đề này bằng cách đưa các kiểm tra vào quy trình để mỗi khách hàng cần chứng minh họ thực sự “sở hữu” mã thông báo (mã authz).

Một trường hợp khi PKCE đã được triển khai là cho Tài khoản Synology Quy Trình Ủy Quyền trong DSM. Điều này nghĩa là, đối với thiết bị có dịch vụ Synology DDNS Active Insight hoặc C2 Storage Connected, toàn bộ quá trình trao đổi thông tin đăng nhập an toàn hơn nhiều và ít bị ảnh hưởng hơn do bị chặn bằng mã độc.

Về Secure Signin sẽ phát hiện đăng nhập bất thường

Secure Signin được giới thiệu với DSM 7.0, ứng dụng mới cho phép xác thực nhiều bước đơn giản và đăng nhập được phê duyệt. Nó tận dụng PKCE để cung cấp thông tin đăng nhập không mật khẩu an toàn hoặc làm bước thứ hai. Ngoài ra, việc đăng nhập bảo mật cũng đưa vào hỗ trợ FIDO2 để kích hoạt các phím bảo mật USB, Windows Hello và ID Cảm ứng macOS làm bước xác thực thứ hai của bạn.

Một số tính năng mới

Phát hiện đăng nhập bất thường

• Thông qua ứng dụng, sẽ cung cấp thông tin thời gian / địa điểm / thiết bị khi phát hiện các sự kiện bất thường.
• Và khi có điều gì đó xảy ra, quy trình phiên đặt lại thay đổi mật khẩu mới để ghi lại bất thường.
• Nhận thông báo trên các thiết bị đeo và hỗ trợ phê duyệt lý lịch trên thiết bị Android.
• Thêm hỗ trợ tích hợp đăng nhập tài khoản Synology, điều này trở nên quan trọng hơn bây giờ với các ứng dụng C2 mới.

Gần đây đã nâng cấp tài khoản Synology để hỗ trợ đăng nhập an toàn. Với tài khoản Synology của bạn hiện được liên kết với nhiều dịch vụ hơn, chẳng hạn như Active Insight hoặc các dịch vụ C2 mới, quan trọng hơn bao giờ hết là phải có giải pháp an toàn nhưng tiện lợi để bổ sung thêm lớp bảo vệ khác.

Điều cuối cùng chúng ta sẽ thảo luận về các triển khai mới, là một số lịch trình phụ ưu tiên trước. Một tính năng bảo mật cũ nhưng cực kỳ quan trọng được đưa vào DSM, là chức năng chặn tự động.

Nó từng khá đơn giản, một ứng dụng khách sẽ bị cấm trong một khoảng thời gian xác định sau khi một lượng xác định số lần thử ủy quyền không thành công được ghi lại trong một khung thời gian cụ thể.
Chẳng hạn như: 5 lần đăng nhập không thành công trong vòng 5 phút sẽ khiến bạn bị cấm trong 30 ngày.

Điều này thật tuyệt, nhưng với các mạng botnet lớn hơn và phức tạp hơn với ngày càng nhiều IP để truy cập vào bạn, Synology đã giới thiệu Bảo vệ tài khoản về cơ bản khóa các tài khoản người dùng đang bị tấn công.

Trong phiên bản 7.0, chúng tôi đang làm cho toàn bộ hệ thống này có nhiều khả năng hơn một chút, bằng cách giới thiệu danh sách từ chối trên toàn diện. Các IP độc hại đã biết sẽ được xác định bởi nhóm bảo mật của chúng tôi để phân phối cho tất cả các thiết bị hỗ trợ DSM 7.0 có kết nối internet. Nó hoạt động theo cách tương tự như các bản cập nhật chống vi-rút và có thể nhanh chóng được sử dụng để ngăn chặn các cuộc tấn công bằng cách miễn dịch toàn diện.

Tóm tắt

Đối với Synology, bảo mật và quyền riêng tư là những trụ cột chính. Do đó, chúng tôi liên tục cải tiến để đáp ứng các tiêu chuẩn cao của tất cả khách hàng. Tận dụng các giao thức mới để mang lại cho bạn giải pháp tiện ích và an toàn để đăng nhập
vào thiết bị của bạn.

Kết luận

Trền đây là những thông tin về các cập nhật của DSM 7.0 và Secure Signin, và trong sự kiện Synology 2022 And Beyond lần này thì Synology có rất nhiều cập nhật khác, theo dõi ngay Mstar Corp để dược cập nhật tất cả thông tin mới nhất nhé.

Mstar Corp là Service Provider duy nhất của Synology tại Việt Nam. Có đội ngũ IT trình độ chuyên môn cao về NAS Synology cũng như các sản phẩm của Synology. Đã có kinh nghiệm triển khai nhiều dự án từ doanh nghiệp nhỏ cho đến lớn, hay cả đơn vị chính phủ. Liên hệ ngay với đội ngũ Mstar Corp để được hỗ trợ tư vấn về các sản phẩm.

Tham gia Group những người dùng NAS Synology để cùng tìm hiểu sâu hơn về NAS Synology tại đây nhé: Synology Vietnam | Hỗ trợ kỹ thuật – Giải Pháp NAS

Xem thêm các sản phẩm của Synology TẠI ĐÂY

 

---

THÔNG TIN LIÊN HỆ: MSTAR CORP

Hotline: 0943199449 – 0909514461

Email: [email protected]

Fanpage: https://www.facebook.com/mstarcorp/

Group hỗ trợ kỹ thuật: https://www.facebook.com/groups/synologyvn/

Website: mstarcorp.vn

Store: https://store.mstarcorp.vn/

Trụ sở: Tầng 1, 75 Hoàng Văn Thụ, phường 15, quận Phú Nhuận, TP. HCM

Chi nhánh Hà Nội : Tầng 11, tòa nhà Zen Tower, 12 đường Khuất Duy Tiến, P.Thanh Xuân Trung, Q. Thanh Xuân, TP. Hà Nội