Đẩy dữ liệu đến SecOps qua Sensor (Lightweight)
Sensor đóng vai trò là "điểm thu thập" dữ liệu đầu cuối trong hệ thống SecOps. Tác nhân này hoạt động ngầm, có nhiệm vụ liên tục thu gom log cùng các sự kiện bảo mật và truyền tải an toàn về nền tảng trung tâm.
Phương thức triển khai: Lightweight
Hiện tại, hệ thống hỗ trợ triển khai Sensor theo mô hình Lightweight với các đặc điểm nổi bật:
- Cài đặt trực tiếp: Tích hợp thẳng vào các máy chủ hoặc thiết bị của khách hàng.
- Tối ưu tài nguyên: Thiết kế siêu nhẹ giúp Sensor hoạt động ở chế độ nền với mức chiếm dụng tài nguyên cực thấp (dưới 1% CPU).
- Đảm bảo hiệu năng: Quá trình theo dõi và đẩy dữ liệu diễn ra hoàn toàn trong suốt, không gây bất kỳ ảnh hưởng nào đến hiệu suất hoạt động của máy chủ gốc.
Yêu cầu kỹ thuật
| Thành phần | Mô tả |
|---|---|
| Network Requirements | - Giao thức: HTTPS - Port: 443 - URL: https://ingress-hcm01.csp.cmctelecom.io/events |
| Sensor deployment | - Sensor được cài đặt trên server / endpoint cần thu thập log - Hỗ trợ hệ điều hành: Windows, Linux - Hỗ trợ cài đặt qua Script |
| Authentication | - Sử dụng Key để xác thực |
| Authorization | - Chỉ được phép gửi dữ liệu trong phạm vi file được cấp quyền |
| Rate limit | Để đảm bảo tính ổn định và an toàn, hệ thống áp dụng các giới hạn sau: - Kích thước tối đa: 1MB mỗi request - Tốc độ gửi tối đa: 10 request/ giây (10 RPS) Việc vượt quá giới hạn có thể dẫn đến request bị từ chối. |
Các bước cài đặt Sensor
Để cài đặt Sensor, người dùng cần thực hiện theo 3 bước tuần tự:
Viết Config → Tạo Enrollment key → Cài đặt Sensor.
Bước 1: Viết cấu hình nhận log và đẩy log (Create Config)
- Từ thanh menu bên trái, chọn Data Collections → Sensors → Config
- Tại giao diện trang Configs, chọn nút "Create Config".
- Hệ thống hiển thị popup, người dùng nhập tên cấu hình tại ô "Config name", sau đó chọn "Create".
- Trang chỉnh sửa cấu hình sẽ hiển thị với nội dung mẫu (template) mặc định. Người dùng thực hiện thay đổi cấu hình dựa trên template này (tham chiếu tài liệu chuẩn opentelemetry)
- Sau khi hoàn tất nội dung, người dùng có thể kiểm tra lỗi cú pháp bằng cách chọn nút "Test" tại khung "Test config".
- Chọn "Save as draft" để lưu bản nháp nếu chưa muốn áp dụng ngay lập tức.
- Chọn "Publish" để kích hoạt và sử dụng cấu hình.
- Hiện tại hệ thống chỉ support filelogreceiver
- Chỉ có thể Publish sau khi cấu hình đã được lưu ở trạng thái bản nháp (Save as draft).
Bước 2: Tạo mã xác thực (Enrollment key)
Enrollment key đóng vai trò là "chìa khóa" để Sensor kết nối an toàn với hệ thống máy chủ
- Từ thanh menu bên trái, chọn Data Collections → Sensors → Enrollment.
- Tại giao diện Enrollment Keys, nhấn nút "Create key".
- Thiết lập các thông tin bắt buộc trong popup:
- Key name (Bắt buộc): Đặt tên cho key để dễ quản lý mã xác thực.
- Config: Chọn bản Config đã tạo ở Bước 1 để gán vào Key này
- Chọn button "Create" để hoàn tất quá trình tạo key.
Bước 3: Download và cài đặt Sensor
Cài đặt tự động bằng dòng lệnh (Command Line)
- Từ thanh menu bên trái, chọn Data Collections → Sensors → Sensor
- Tại giao diện Sensors, nhấn button "Install Sensor"
- Thiết lập các thông tin trong popup:
- Select Type (Bắt buộc): Chọn Light weight
- Select enrollment key (Bắt buộc): Chọn key bạn vừa tạo ở Bước 2
- OS (Bắt buộc): Chọn OS của máy bạn chuẩn bị cài Sensor. Hệ thống hỗ trợ 2 loại OS (Linux / Windows)
- Sau khi người dùng chọn xong các trường trên thì hệ thống sẽ tự động tạo ra một đoạn mã lệnh (Command line) tương ứng. Người dùng chỉ cần Copy đoạn lệnh này và chạy trực tiếp trên máy Endpoint để hệ thống tự động tải và cài đặt.
Bước 4: Check log sau khi được đẩy vào
- Sau khi cài đặt Sensor thành công, một bản ghi cài đăt Sensor hiển thị lên Sensor list view.
- Người dùng có thể kiểm tra log được gửi về trong màn Search và chọn log Sensor vừa tạo
Trạng thái Sensor
| Trạng thái | Mô tả |
|---|---|
| Pending | Trạng thái mặc định khi Sensor được cài trên máy người dùng. |
| Active | Trạng thái Sensor gửi chỉ số health check. Cứ 2 phút Sensor sẽ gửi chỉ số health check về lần, nếu có thì trạng thái là Active |
| Error | Nếu Sensor không gửi chỉ số health check thì trạng thái là Error kèm lỗi gửi về. |
Cơ chế hoạt động (đọc thêm)
1. Luồng giao tiếp cơ bản
Bước 1 - Yêu cầu cấp phép: Sau khi cài đặt kèm Enrollment Key, Client gọi API sang nền tảng SecOps để yêu cầu đăng ký.
Bước 2 - Cấp phát chứng chỉ: SecOps tiếp nhận, tạo Client Secret và gửi trả Client Certificate (Cert) về cho Client.
Bước 3 - Khởi tạo kết nối (Init Connect): Sensor phía client gửi đồng thời Enrollment Key và Client Cert đến Sensor Gateway. Sensor Gateway sử dụng các thông tin này để xác thực và thiết lập môi trường mTLS (Mutual TLS).
Bước 4 - Nhận cấu hình và truyền dữ liệu: Sau khi mTLS được thiết lập (tạo thành một đường hầm mã hóa an toàn), Sensor sẽ tải Config từ hệ thống và bắt đầu liên tục gửi dữ liệu (log, event) qua lại một cách bảo mật.
2. Vai trò của các thành phần chính
Enrollment Key: Mã định danh ban đầu do SecOps cấp, dùng để xác thực quyền đăng ký của Sensor ở Bước 1 và tham gia cùng Client Cert để định danh thiết bị khi khởi tạo kết nối (Init Connect) ở Bước 3.
Client Certificate: Chứng chỉ bảo mật riêng biệt được SecOps cấp cho từng Sensor, dùng để xác thực hai chiều.
Sensor Gateway: Cổng giao tiếp trung tâm của SecOps, chịu trách nhiệm tiếp nhận Init Connect, xác thực Sensor và quản lý các kết nối đầu vào.
mTLS (Mutual TLS): Môi trường mạng an toàn và được mã hóa hai chiều, đảm bảo dữ liệu truyền qua lại giữa Sensor và Gateway không bị nghe lén hay can thiệp.
Config: Tệp cấu hình quy định cụ thể cách thức hoạt động của Sensor (ví dụ: cần thu thập loại log nào, giám sát thư mục nào,...).