Cơ sở pháp lý liên quan và được sử dụng trong bài viết:

- Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

- Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

- Quyết định 1844/QĐ-BTTTT về Yêu cầu kỹ thuật cơ bản đối với sản phẩm Mạng riêng ảo.

Khái niệm mạng riêng ảo, yêu cầu kỹ thuật cơ bản đối với sản phẩm mạng riêng ảo

1. Khái niệm mạng riêng ảo  

Mạng riêng ảo (Virtual Private Network - VPN) là một mạng riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.

Mạng riêng ảo, hoặc VPN, là một kết nối được mã hóa qua Internet từ thiết bị đến mạng. Kết nối được mã hóa giúp đảm bảo dữ liệu nhạy cảm được truyền an toàn. Nó ngăn chặn những người không được phép nghe lén traffic và cho phép người dùng thực hiện công việc từ xa. Công nghệ VPN được sử dụng rộng rãi trong môi trường doanh nghiệp.

2. Yêu cầu kỹ thuật với sản phẩm mạng riêng ảo

Các yêu cầu kỹ thuật cơ bản đối với sản phẩm Mạng riêng ảo (VPN) được mô tả tại tài liệu ban hành kèm theo Quyết định 1844/QĐ-BTTTT.

Tài liệu bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về chức năng tự bảo vệ, Yêu cầu về dịch vụ mạng riêng ảo dựa trên giao thức SSL/TLS, Yêu cầu về dịch vụ mạng riêng ảo dựa trên giao thức IPSec.

Đơn cử, đối với yêu cầu về quản trị hệ thống, VPN cho phép quản lý vận hành đáp ứng các yêu cầu sau:

- Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình mạng riêng ảo, cấu hình tài khoản xác thực và phân quyền người dùng;

- Cho phép cấu hình thời gian duy trì phiên kết nối quản trị từ xa;

- Cho phép thiết lập, thay đổi các tham số giới hạn đối với kết nối quản trị từ xa tối thiểu cho phép giới hạn địa chỉ IP, giới hạn số phiên kết nối quản trị đồng thời;

- Cho phép đăng xuất tài khoản người dùng có phiên kết nối quản trị từ xa còn hiệu lực;

- Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại.

Bên cạnh đó, VPN cho phép quản trị từ xa an toàn đáp ứng các yêu cầu sau:

- Sử dụng giao thức có mã hóa như TLS hoặc tương đương;

- Tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối.

3. Yêu cầu về kiểm soát lỗi

Bảo vệ cấu hình

Trong trường hợp VPN phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), VPN đảm bảo các loại cấu hình sau mà đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:

- Cấu hình hệ thống;

- Cấu hình quản trị từ xa;

- Cấu hình mạng riêng ảo;

- Cấu hình tài khoản xác thực và phân quyền người dùng.

Đồng bộ thời gian hệ thống

Trong trường hợp VPN phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), VPN đảm bảo thời gian hệ thống phải được đồng bộ tự động đến thời điểm hiện tại.

4. Yêu cầu về log và hiệu năng xử lý 

Yêu cầu về log

Log quản trị hệ thống

- VPN cho phép ghi log quản trị hệ thống về các loại sự kiện sau:

+ Đăng nhập, đăng xuất tài khoản;

+ Xác thực trước khi cho phép truy cập vào tài nguyên, sử dụng chức năng của hệ thống;

+ Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình mạng riêng ảo, cấu hình tài khoản xác thực và phân quyền người dùng;

+ Khởi tạo kết nối mạng riêng ảo;

+ Hủy bỏ phiên kết nối mạng riêng ảo.

- VPN cho phép ghi log quản trị hệ thống có các trường thông tin sau:

+ Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

+ Địa chỉ IP hoặc định danh của máy trạm;

+ Định danh của tác nhân (ví dụ: tài khoản người dùng, tên dịch vụ,...);

+ Thông tin về hành vi thực hiện (ví dụ: đăng nhập, đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác,...);

+ Kết quả thực hiện hành vi (thành công hoặc thất bại);

+ Lý do giải trình đối với hành vi thất bại (ví dụ: không tìm thấy tài nguyên, không đủ quyền truy cập,...).

- Định dạng log

VPN cho phép chuẩn hóa log theo tối thiểu 01 định dạng đã được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.

- Quản lý log

VPN cho phép quản lý log đáp ứng các yêu cầu sau:

a) Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);

b) Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào các giải pháp về quản lý, phân tích, điều tra log.

Yêu cầu về hiệu năng xử lý

Đối với việc áp dụng các sự thay đổi trong các cấu hình: VPN cho phép áp dụng các sự thay đổi trong các cấu hình mà không làm gián đoạn hoạt động dịch vụ mạng riêng ảo quá 01 phút.

5. Yêu cầu về chức năng tự bảo vệ và dịch vụ mạng riêng ảo dựa trên giao thức SSL/TLS

Nội dung yêu cầu về chức năng tự bảo vệ

Thứ nhất: Phát hiện và ngăn chặn tấn công hệ thống

VPN có khả năng tự bảo vệ, ngăn chặn các dạng tấn công phổ biến sau vào giao diện ra bên ngoài của hệ thống, bao gồm tối thiểu các dạng sau:

a) SQL Injection;

b) OS Command Injection;

c) XPath Injection;

d) Remote File Inclusion (RFI);

d) Local File Inclusion (LFI);

e) Cross-Site Scripting (XSS);

g) Cross-Site Request Forgery (CSRF);.

Thứ hai: Cập nhật bản vá hệ thống

VPN có chức năng cho phép cập nhật bản vá để xử lý các điểm yếu, lỗ hổng bảo mật.

Nội dung yêu cầu về dịch vụ mạng riêng ảo dựa trên giao thức SSL/TLS

Thứ nhất: Quản lý thiết lập giao thức mã hóa kênh truyền

VPN có chức năng cho phép quản lý thiết lập giao thức mã hóa kênh truyền SSL và TLS đối với các phiên kết nối mạng riêng ảo đáp ứng các yêu cầu sau:

a) Hỗ trợ nhiều phiên bản, trong đó tối thiểu phải hỗ trợ phiên bản TLS v1.3 (RFC 8446);

b) Cho phép vô hiệu hóa các phiên bản thấp hơn TLS v1.3, trong đó bao gồm các phiên bản của giao thức SSL.

Thứ hai: Quản lý thiết lập bộ mật mã

VPN có chức năng cho phép quản lý thiết lập bộ mật mã đối với các phiên kết nối mạng riêng ảo đáp ứng các yêu cầu sau:

a) Hỗ trợ nhiều các bộ mật mã khác nhau, trong đó, tối thiểu phải hỗ trợ bộ mật mã TLS_AES_256_GCM_SHA384;

b) Cho phép vô hiệu hóa các bộ mật mã yếu hơn hoặc bị công bố có lỗ hổng, điểm yếu đã biết dựa trên tiêu chuẩn chung trong nước hoặc quốc tế.

Thứ ba: Quản lý chứng thư số

VPN có chức năng cho phép quản lý chứng thư số đối với các phiên kết nối mạng riêng ảo đáp ứng các yêu cầu sau:

a) Cho phép đăng ký mới chứng thư số gắn liền với thiết bị đăng ký;

b) Cho phép cài đặt chứng thư số;

c) Cho phép gia hạn chứng thư số;

d) Cho phép thay thế chứng thư số;

đ) Cho phép xem thông tin chi tiết của chứng thư số bao gồm tối thiểu các trường thông tin sau:

- Số hiệu (serial number);

- Tên chủ thể (subject name);

- Tên tổ chức cấp chứng thư số (issuer name);

- Thời hạn còn hiệu lực (validity dates);

- Phần mở rộng X.509 (X.509 extensions);

e) Cho phép tra cứu trạng thái thu hồi của chứng thư số bằng 01 trong các cách thức sau:

- Dựa trên danh sách chứng thư số đã bị thu hồi (CRL) được tải về trực tuyến qua giao thức LDAP hoặc HTTP

- Thông qua giao thức OCSP (RFC 6960).

Thứ tư: Xác thực chứng thư số

a) Trước khi khởi tạo các phiên kết nối mạng riêng ảo, nếu hỗ trợ kiểm tra tính hợp lệ của chứng thư số của máy trạm, máy chủ VPN cho phép sinh cảnh báo và cho phép từ chối khởi tạo kết nối trong các trường hợp sau:

- Chứng thư số không được ký bởi tổ chức cấp chứng thư số tin cậy;

- Chứng thư số hết hạn;

- Chứng thư số đã bị thu hồi;

- Chứng thư số không có thông tin về nguồn tin cậy cung cấp dịch vụ tra cứu trạng thái thu hồi;

- Chứng thư số không trùng khớp với các thông tin của máy trạm.

b) Trước khi khởi tạo các phiên kết nối mạng riêng ảo, máy trạm VPN kiểm tra tính hợp lệ của chứng thư số của máy chủ, và cho phép sinh cảnh báo và cho phép từ chối khởi tạo kết nối trong các trường hợp sau:

- Chứng thư số không được ký bởi tổ chức cấp chứng thư số tin cậy;

- Chứng thư số hết hạn;

- Chứng thư số đã bị thu hồi;

- Chứng thư số không trùng khớp với các thông tin của máy chủ.

Thứ năm: Quản lý thiết lập vận hành dịch vụ

VPN cho phép quản lý thiết lập vận hành dịch vụ đáp ứng tối thiểu 01 trong 02 nhóm yêu cầu sau:

a) Nếu hỗ trợ cơ chế Split Tunneling thì đáp ứng các yêu cầu sau:

- Cho phép kích hoạt/vô hiệu hóa cơ chế này;

- Tích hợp các biện pháp ngăn chặn việc vượt qua sự kiểm soát của đường hầm khi cơ chế này được kích hoạt;

b) Nếu hỗ trợ cơ chế Reverse Proxy thì đáp ứng các yêu cầu sau:

- Tích hợp cơ chế sửa đổi thông tin trên URL;

- Cho phép xóa các thông tin nhạy cảm (nếu có) về các phiên kết nối mạng riêng ảo còn được lưu trên máy trạm (bao gồm thông tin xác thực người dùng, thông tin tự động hoàn thành biểu mẫu, dữ liệu bộ nhớ đệm, dữ liệu lịch sử hoạt động);

- Cho phép thiết lập tự động hủy bỏ phiên kết nối mạng riêng ảo khi người dùng không tương tác trong một khoảng thời gian nhất định.

Thứ sáu: Hỗ trợ giao thức IPv6

VPN cho phép vận hành tương thích với giao thức IPv6. 

(MK LAW FIRM: Bài viết được đăng tải nhằm mục đích giáo dục, phổ biến, tuyên truyền pháp luật và chủ trương, chính sách của Đảng và Nhà nước không nhằm mục đích thương mại. Thông tin nêu trên chỉ có giá trị tham khảo vì vậy Quý khách khi đọc thông tin này cần tham khảo ý kiến luật sư, chuyên gia tư vấn trước khi áp dụng vào thực tế.)

Trên đây là nội dung Luật Minh Khuê đã sưu tầm và biên soạn. Trường hợp trong nội dung tư vấn có điều gì gây nhầm lẫn, chưa rõ ràng hoặc thông tin nêu trong nội dung tư vấn khiến quý khách chưa hiểu hết vấn đề hoặc/ và có sự vướng ngại, thắc mắc, chúng tôi rất mong nhận được ý kiến phản hồi của quý khách hàng. Mọi vướng mắc bạn vui lòng trao đổi trực tiếp với bộ phận luật sư tư vấn pháp luật trực tuyến qua tổng đài gọi số: 1900.6162 hoặc liên hệ văn phòng để nhận được sự tư vấn, hỗ trợ từ Luật Minh Khuê

Rất mong nhận được sự hợp tác!

Trân trọng!

Luật Minh Khuê (Sưu tầm và biên tập).