Symantec Nghiên cứu kiến trúc SEP (SEPM, Client, Database, LUA)

Chi tiết Kiến trúc Hệ thống Symantec Endpoint Protection (SEP)​

Tiếp nối phần giới thiệu tổng quan, chúng ta sẽ đi sâu vào phân tích các thành phần cốt lõi tạo nên kiến trúc vận hành của Symantec Endpoint Protection. Việc hiểu rõ cách các thành phần này tương tác là điều kiện tiên quyết để triển khai và quản trị hệ thống hiệu quả.

Mục lục​

1. Symantec Endpoint Protection Manager (SEPM)
2. Symantec Endpoint Protection Client (Agent)
3. Cơ sở dữ liệu (Database)
4. LiveUpdate Administrator (LUA)
5. Luồng tương tác giữa các thành phần

1. Symantec Endpoint Protection Manager (SEPM)​

SEPM là trung tâm điều hành của toàn bộ hệ thống. Đây là một ứng dụng máy chủ (thường chạy trên Windows Server) đóng vai trò quản lý tập trung.

• Chức năng chính:
  
  • Quản lý chính sách (Policy Management): Thiết lập các luật về tường lửa, antivirus, kiểm soát ứng dụng và thiết bị.
  • Quản lý Client: Theo dõi trạng thái kết nối, cập nhật phần mềm và đẩy (push) các chính sách mới xuống máy trạm.
  • Báo cáo và Cảnh báo: Tổng hợp dữ liệu từ các máy trạm để đưa ra biểu đồ về tình hình mã độc, các cuộc tấn công bị ngăn chặn và trạng thái tuân thủ.
  • Giao diện quản trị: Cung cấp bảng điều khiển (Console) dựa trên Java hoặc Web để quản trị viên thao tác.

2. Symantec Endpoint Protection Client (Agent)​

Đây là thành phần trực tiếp thực hiện nhiệm vụ bảo mật trên các thực thể đầu cuối (End-points) như máy tính người dùng, máy chủ hoặc máy ảo.

• Đặc điểm:
  • Đa nền tảng: Hỗ trợ Windows, macOS và Linux.
  • Giao tiếp hai chiều: Nhận chính sách/cập nhật từ SEPM và gửi trả lại log (nhật ký) sự kiện bảo mật.
  • Tính tự trị: Ngay cả khi mất kết nối với SEPM, Agent vẫn tiếp tục bảo vệ máy tính dựa trên chính sách được lưu cục bộ cuối cùng.

3. Cơ sở dữ liệu (Database)​

Mọi dữ liệu về cấu hình, chính sách, danh sách máy trạm và nhật ký sự kiện đều được lưu trữ tại đây.

• Các lựa chọn lưu trữ:
  
  • Embedded Database: Sử dụng Adaptive Server Anywhere (Sybase). Thường dùng cho các hệ thống quy mô nhỏ hoặc trung bình (dưới 5.000 clients).
  • Microsoft SQL Server: Dành cho các doanh nghiệp quy mô lớn, yêu cầu tính sẵn sàng cao (High Availability) và khả năng mở rộng tốt.
• Tầm quan trọng: Cơ sở dữ liệu là "trí nhớ" của hệ thống. Nếu DB bị hỏng mà không có backup, quản trị viên sẽ mất toàn bộ cấu hình và lịch sử sự kiện của mạng lưới.

4. LiveUpdate Administrator (LUA)​

LUA là một thành phần tùy chọn nhưng cực kỳ quan trọng trong các mạng doanh nghiệp lớn hoặc có băng thông hạn chế.

• Vai trò: Đóng vai trò như một "trạm trung chuyển" bản cập nhật nội bộ.
• Cơ chế hoạt động:
  
  1. LUA kết nối ra Internet để tải các bản cập nhật (signatures, engines) từ Server của Symantec.
  2. Sau đó, LUA lưu trữ các bản cập nhật này tại một máy chủ nội bộ (Distribution Center).
  3. SEPM hoặc các Client sẽ lấy cập nhật trực tiếp từ LUA thay vì ra Internet.
• Lợi ích: Tiết kiệm đáng kể băng thông Internet và cho phép cập nhật cho các máy tính nằm trong vùng mạng bị cô lập (Air-gapped).

5. Luồng tương tác giữa các thành phần​

Kiến trúc SEP hoạt động theo một quy trình khép kín:

1. Cập nhật: LUA (hoặc SEPM) tải dữ liệu mới từ Symantec.
2. Lưu trữ: SEPM cập nhật thông tin mới vào Database.
3. Phân phối: Client kiểm tra (Check-in) với SEPM theo định kỳ (ví dụ: mỗi 5 phút) để nhận lệnh hoặc bản cập nhật mới.
4. Báo cáo: Khi có sự cố bảo mật tại máy trạm, Agent sẽ gửi ngay lập tức thông tin về SEPM để lưu vào Database và hiển thị cảnh báo cho quản trị viên.

Kết luận: Sự phân tách rõ ràng giữa quản lý (SEPM), thực thi (Client) và lưu trữ (Database/LUA) giúp SEP trở thành một giải pháp có khả năng mở rộng linh hoạt, từ một văn phòng nhỏ đến một tập đoàn đa quốc gia với hàng trăm nghìn thiết bị.