ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA KHOA HỌC MÁY TÍNH **********    ********** TIỂU LUẬN CHUYÊN ĐỀ TÍNH TOÁN LƯỚI ĐỀ TÀI: PHƯƠNG PHÁP BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY GIẢNG VIÊN HƯỚNG DẪN: PGS.TS. NGUYỄN PHI KHỨ HỌC VIÊN THỰC HIỆN: LÊ MINH TRÍ MSHV: CH1101148 Thành phố Hồ Chí Minh Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây 07/2013 MỤC LỤC Nội dung Trang DANH MỤC CÁC HÌNH 5 LỜI NÓI ĐẦU 6 CHƯƠNG I:TỔNG QUAN 7 1/ Giới thiệu: 7 2/ Sự tiến hóa của mô hình điện toán: 8 3/ Một số ứng dụng tiêu biểu: 10 3.1/Google App Engine: 10 3.2/Windows Azure: 10 3.3/Amazon Web Services: 10 CHƯƠNG II:ĐIỆN TOÁN ĐÁM MÂY 11 1/ Khái niệm: 11 2/ Đặc điểm: 11 2.1/Tính tự phục vụ theo nhu cầu: 11 2.2/Truy cập diện rộng: 12 2.3/Dùng chung tài nguyên và độc lập vị trí: 12 2.4/Khả năng co giãn nhanh chóng: 12 2.5/Chi trả theo thực dùng: 12 2.6/Độ tin cậy: 13 2.7/Hiệu suất: 13 2.8/Khả năng chịu đựng: 13 3/ Sự khác biệt giữa điện toán đám mây và điện toán truyền thống: 13 4/ Mô hình các lớp dịch vụ: 14 4.1/Dịch vụ hạ tầng IaaS (Infrastructure as a Service): 14 4.2/Dịch vụ nền tảng PaaS (Platform as a Service): 15 4.3/Dịch vụ phần mềm SaaS (Software as a Service): 15 4.4/Dịch vụ dữ liệu DaaS (Database as a Service): 16 5/ Các mô hình triển khai: 16 HVTH: Lê Minh Trí (CH1101148) Trang 2 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây 5.1/Mô hình đám mây riêng (Private Cloud): 16 5.2/Mô hình đám mây công cộng (Public Cloud): 17 5.3/Mô hình đám mây cộng đồng (Community Cloud): 18 5.4/Mô hình đám mây lai (Hybrid Cloud): 19 5.5/Mô hình đám mây riêng ảo (Virtual Private Cloud): 19 6/ Ưu điểm và nhược điểm: 20 6.1/Ưu điểm: 20 6.2/Nhược điểm: 21 7/ Lợi ích của điện toán đám mây: 22 CHƯƠNG III:BẢO MẬT THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY 23 1/ Các nguyên tắc bảo mật cơ bản: 24 1.1/Mã hóa dữ liệu: 24 1.2/Quản lý: 24 1.3/Chấp hành các quy định về an toàn và bảo mật dữ liệu: 24 1.4/Tin tưởng: 25 1.5/Kiến trúc hệ thống: 25 1.6/Nhận dạng và quản lý truy cập: 25 1.7/Cách ly các hệ thống phần mềm: 26 1.8/Sẵn sàng với các sự cố có thể xảy ra: 26 1.9/Ứng phó với các sự cố xảy ra: 26 2/ Kiến trúc bảo mật điện toán đám mây: 26 2.1/ Tầng người dùng (User layer): 27 2.1.1/Người dùng cuối: 27 2.1.2/Gói bảo mật: 27 2.1.3/Bảo mật trình duyệt của người dùng: 28 2.1.4/Xác thực người dùng: 28 2.2/ Tầng cung cấp dịch vụ (Service Provider Layer): 28 2.2.1/Nhận diện và phân quyền truy cập dịch vụ: 28 2.2.2/Tính riêng tư của dữ liệu: 28 HVTH: Lê Minh Trí (CH1101148) Trang 3 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây 2.2.3/Bảo mật dữ liệu khi truyền tải: 29 2.2.4/Chống tấn công D-DOS: 29 2.2.5/Quản lý tài khoản người dùng: 29 2.3/ Tầng máy ảo (Virtual Machine layer): 29 2.3.1/Quản lý máy ảo: 29 2.3.2/Bản quyền dữ liệu: 29 2.4/ Tầng máy chủ (Data Center Layer): 30 2.4.1/Bảo mật cơ sở dữ liệu: 30 2.4.2/Bảo mật mạng và máy chủ: 30 CHƯƠNG IV:XÂY DỰNG BIỆN PHÁP BẢO MẬT LỚP NGƯỜI DÙNG 31 1/ Mã hóa và Giải mã: 31 2/ Định danh cục bộ và định danh liên đoàn: 32 2.1/Định danh cục bộ: 32 2.2/Định danh liên hợp (Federated Indentity): 32 3/ Chứng thực và cấp phép: 34 CHƯƠNG V:KẾT LUẬN & HƯỚNG PHÁT TRIỂN 36 1/ Kết luận: 36 2/ Hướng phát triển: 36 TÀI LIỆU THAM KHẢO 38 HVTH: Lê Minh Trí (CH1101148) Trang 4 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây DANH MỤC CÁC HÌNH Hình 1: Sự tiến hóa của điện toán đám mây 9 Hình 2: Mô hình điện toán đám mây 11 Hình 3: Mô hình các lớp dịch vụ 14 Hình 4: Các mô hình đám mây 16 Hình 5: Mô hình đám mây riêng 17 Hình 6: Mô hình đám mây công cộng 18 Hình 7: Mô hình đám mây cộng đồng 18 Hình 8: Mô hình đám mây lai 19 Hình 9: Mô hình đám mây riêng ảo 20 Hình 10: Kiến trúc bảo mật theo tầng của điện toán đám mây 27 Hình 11: Mã hóa trước khi chuyển dữ liệu nên đám mây 31 Hình 12: Thực hiện cơ chế đăng nhập một lần 33 Hình 13: Quản lý định danh liên hợp trong đám mây 33 Hình 14: Kiến trúc định danh phân tầng 34 HVTH: Lê Minh Trí (CH1101148) Trang 5 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây LỜI NÓI ĐẦU Nhịp độ phát triển của ngành công nghệ thông tin đang là một vấn đề rất được các ngành khoa học, giáo dục, kinh tế,… quan tâm. Nó hiện hữu với tầm vóc hết sức to lớn và mạnh mẽ. Hệ thống các phần mềm ứng dụng, hệ thống máy chủ của các tổ chức, cơ quan, doanh nghiệp cũng ngày càng tăng nhanh. Điều đó dẫn tới chi phí đầu tư cho hạ tầng công nghệ thông tin ngày càng lớn, chi phí cho việc quản lý hệ thống cũng tăng lên. Để giảm thiểu chi phí và tăng khả năng ứng dụng công nghệ thông tin trong sản xuất kinh doanh của doanh nghiệp, việc áp dụng điện toán đám mây chính là giải pháp mang lại nhiều lợi ích nhất. Trong mô hình điện toán đám mây, mọi vấn đề liên quan tới công nghệ thông tin đều được cung cấp dưới dạng các dịch vụ. Nhờ đó, các tổ chức, doanh nghiệp hay cá nhân khi sử dụng dịch vụ công nghệ không cần phải có kiến thức, kinh nghiệm chuyên sâu về công nghệ, cũng như không cần phải quan tâm đến cơ sở hạ tầng của công nghệ đó. Điện toán đám mây là sự kết hợp của những dịch vụ đáng tin cậy được phân phối qua các trung tâm dữ liệu và được xây dựng trên những máy chủ với cấp độ khác nhau của các công nghệ ảo hóa. Bên cạnh những lợi ích đáng kể thì vấn đề lo ngại duy nhất trong điện toán đám mây chính là an toàn thông tin, nó nằm trong chính nguyên lý tổ chức dữ liệu của mô hình này. Từ lý do đó, người nghiên cứu xin chọn đề tài Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây. Qua bài tiểu luận, em xin gửi lời cảm ơn chân thành, sâu sắc đến thầy PGS.TS Nguyễn Phi Khứ, người đã tận tình truyền đạt cho em những kiến thức sâu rộng, bổ ích về môn Tính toán lưới. Từ đó giúp em nắm vững hơn về cơ sở lý thuyết, và có được một nền tảng kiến thức cơ bản tạo điều kiện thuận lợi để em hoàn thành tốt bài tiểu luận này. Em cũng xin gửi lời cảm ơn đến các anh/chị cùng khóa đã nhiệt tình chia sẽ tài liệu và những thông tin cần thiết trong suốt quá trình học. HVTH: Lê Minh Trí (CH1101148) Trang 6 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây Thân mến, Người nghiên cứu CHƯƠNG I: TỔNG QUAN 1/ Giới thiệu: Trong vài năm qua, công nghệ thông tin đã bắt đầu một mẫu hình mới - điện toán đám mây. Được ra đời từ giữa năm 2007, mặc dù điện toán đám mây chỉ là một cách khác để cung cấp các tài nguyên máy tính, chứ không phải là một công nghệ mới, nhưng nó đã châm ngòi cho cuộc cách mạng trong cách cung cấp thông tin và dịch vụ của các tổ chức. Lúc đầu điện toán trên máy tính lớn (mainframe) thống trị công nghệ thông tin. Cấu hình mạnh mẽ này cuối cùng đã cho ra đời mô hình khách-chủ. Công nghệ thông tin hiện đại ngày càng trở thành một chức năng của công nghệ di động, điện toán lan tỏa hoặc mọi nơi và tất nhiên, cả điện toán đám mây. Tuy nhiên, cuộc cách mạng này, giống như mọi cuộc cách mạng có các thành phần của quá khứ mà từ đó nó phát triển lên. Điện toán đám mây ngày càng được nhiều công ty theo đuổi và sản phẩm của nó cũng ngày càng phong phú. Tuy vậy, điện toán đám mây ở Việt Nam vẫn còn khá mới mẻ. Một vài công ty bắt đầu đi tiên phong trong lĩnh vực này như IBM, Microsoft, HP, Intel, FPT…Việt Nam là một trong những nước đầu tiên trong khu vực sử dụng điện toán đám mây và đang dần tiếp cận dịch vụ đám mây thông qua các dự án của một số doanh nghiệp nước ngoài như Microsoft, Intel … Công nghệ này được coi là giải pháp cho những vấn đề mà nhiều công ty đang gặp phải như thiếu năng lực công nghệ thông tin, chi phí đầu tư hạn chế…Với khả năng tạo điều kiện cho doanh nghiệp hoạt động hiệu quả, thông minh và tiết kiệm chi phí hơn, việc phát triển và cung cấp các dịch vụ điện toán đám mây ở Việt Nam là xu hướng tất yếu của thời đại. HVTH: Lê Minh Trí (CH1101148) Trang 7 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây Điện toán đám mây là một mô hình mới, chính xác hơn là mô hình ứng dụng và khai thác điện toán mới, được đánh giá là rất tiềm năng và mang lại hiệu quả cao. Nó được ưa chuộng nhiều bởi các doanh nghiệp vừa và nhỏ không có điều kiện về thiết bị công nghệ thông tin, nhân sự và nguồn tài chính có giới hạn. Nhưng vấn đề ở đây là các nhà cung cấp dịch vụ “đám mây” có đảm bảo độ an toàn về dữ liệu và thông tin cho các khách hàng của họ hay không? Những quy định pháp lý, những cam kết đảm bảo bí mật, khả năng bảo mật trước các cuộc tấn công ác ý từ bên ngoài nhằm vào những nhà cung cấp dịch vụ này có thực sự hiệu quả và đáng tin cậy đối với các doanh nghiệp hay không? Để trả lời cho những câu hỏi đó, người nghiên cứu đã tìm hiểu về các kiến thức cơ bản, đồng thời đưa ra các phương pháp bảo mật và an toàn thông tin trong điện toán đám mây. Bảo mật và an toàn thông tin đang là một vấn đề rất được quan tâm của xã hội, đặc biệt là trong môi trường điện toán đám mây bởi đây là mô hình mà dữ liệu tập trung nên khả năng bị mất dữ liệu là rất lớn. Có thể nói, quá trình bảo mật thông tin của mỗi cá nhân là hết sức quan trọng, vì đi kèm với thông tin người dùng lưu giữ là lợi ích chung của toàn bộ doanh nghiệp. Đặc biệt trong một thời điểm mà thông tin đang được so sánh với muôn vàng và sự thất thoát thông tin đang gia tăng đáng kể như hiện nay.Vì vậy, người dùng khi đưa dữ liệu lên đám mây không thể chỉ tin vào các dịch vụ bảo mật của nhà cung cấp dịch vụ mà họ cần có một phương thức riêng để bảo mật cho dữ liệu của mình. 2/ Sự tiến hóa của mô hình điện toán: Mô hình điện toán tiến hóa qua các thời kì lịch sử khác nhau do sự phát triển của máy tính và hạ tầng mạng truyền thông. Từ thế hệ máy tính thứ nhất đến thế hệ thứ ba, máy tính vẫn là các máy tính cồng kềnh, đắt đỏ; các chương trình ứng dụng được phát triển với chi phí rất cao do sự thiếu thân thiện của ngôn ngữ lập trình cũng như điều kiện vận hành và sử dụng hệ thống khắt khe. HVTH: Lê Minh Trí (CH1101148) Trang 8 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây Hình 1: Sự tiến hóa của điện toán đám mây Thế hệ thứ 4 của máy tính xuất hiện những năm 70 đến nay với sự xuất hiện của vi xử lí với các ngôn ngữ lập trình thân thiện, phù hợp hơn cho từng lĩnh vực ứng dụng đặc thù. Với việc cho ra đời máy tính cá nhân đầu những năm 80 của IBM và Apple, điện toán đã được tiếp cận rộng rãi và trở nên phổ thông. Bước sang những năm 80 nhất là những năm 90 công nghệ và hạ tầng mạng. Truyền thông đã có những bước phát triển vượt bậc, với sự ra đời của mạng Internet kết nối toàn cầu và sự bùng nổ của ứng dụng Web. Ngày nay, những năm đầu thế kỷ 21, hạ tầng máy tính, viễn thông đã hội tụ trên nền công nghệ số. Công nghệ kết nối có dây, không dây qua cáp đồng, cáp quang, vệ tinh, wifi, mạng 3G, 4G,… cho phép kết nối mạng toàn cầu, vươn tới cả vùng sâu, vùng xa nghèo khó. Với hạ tầng ICT phát triển như vậy, các thiết bị tính toán cũng hết sức đa dạng từ các siêu máy tính, máy chủ lớn, tới các máy tính cá nhân, máy tính xách tay, các thiết bị di động thông minh hay các điện thoại di động giá rẻ đều có thể kết nối với nhau – một thế giới đã kết nối. Khi thế giới điện toán đã kết nối, làm thế nào để khai thác được tối đa năng lực điện toán đó với chi phí thấp nhất và nhanh nhất? Làm thế nào để một doanh nghiệp có hệ thông ứng dụng ERP trong vòng 24 giờ? Làm thế nào để dự án phần mềm có môi trường phát triển với công cụ quản lý dự án sẵn sàng trong vòng 4 giờ? Làm thế nào để cô giáo hiệu trưởng ở vùng cao có thể có ứng dụng quản lí hồ sơ, giáo án tức HVTH: Lê Minh Trí (CH1101148) Trang 9 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây thì mà không phải tìm hiểu các bước “cài đặt” hoặc “sao lưu dữ liệu”? Không thể kể hết các nhu cầu tương tự, nhưng có thể nói điện toán đám mây là mô hình được kỳ vọng đáp ứng các nhu cầu đó, đem sản phẩm và dịch vụ công nghệ thông tin chất lượng cao đến mọi đối tượng theo nhu cầu, với thời gian nhanh hơn và chi phí rẻ hơn. 3/ Một số ứng dụng tiêu biểu: 3.1/ Google App Engine: Google App Engine (GAE) cho phép bạn triển khai ứng dụng của mình trên hạ tầng của Google. Việc xây dựng ứng dụng với App Engine rất dễ dàng, thuận lợi trong quá trình bảo trì, dễ mở rộng khi có lượng truy cập tăng, hoặc khi có thêm nhu cầu lưu trữ. GAE hỗ trợ 2 môi trường phát triển ứng dụng : Java runtime environment và Python runtime environment 3.2/ Windows Azure: Windows Azure cho phép triển khai ứng dụng windows và lưu trữ dữ liệu trên nền tảng hạ tầng của Microsoft thông qua môi trường Internet. Windows Azure cung cấp môi trường phát triển ứng dụng sử dụng .NET Framework, Native Code…Hỗ trợ các ngôn ngữ thông thường như C#, Visual Basic, C++ hoặc có thể bằng java. Sử dụng Visual Studio hoặc công cụ phát triển khác. 3.3/ Amazon Web Services: Amazon Web Services là tập hợp các dịch vụ cung cấp cho người lập trình có khả năng truy cập tới hạ tầng kiến trúc tính toán kiểu sẵn sàng để sử dụng (ready-to- use) của Amazon. Các máy tính có nền tảng vững chắc đã được xây dựng và tinh chế qua nhiều năm của Amazon có thể cho phép bất cứ ai cũng có quyền cập tới Internet. Amazon cung cấp một số dịch vụ Web đáp ứng được một số yêu cầu cốt lõi của hầu hết các hệ thống như: lưu trữ, tính toán, truyền thông điệp và tập dữ liệu HVTH: Lê Minh Trí (CH1101148) Trang 10 [...]... luật và các quy định về an ninh và bảo mật tồn tại trong phạm vi quốc gia khác nhau Để có thể làm tạo ra một quy định chung phù hợp ở tất cả mọi nơi là một vấn đề khó khăn đối với các nhà cung cấp dịch vụ điện toán đám mây và môi trường điện toán đám mây HVTH: Lê Minh Trí (CH1101148) Trang 24 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây 1.4/ Tin tưởng: Theo mô hình điện toán đám mây, ... phân bổ và xác thực định danh cho tất cả các đám mây riêng và đám mây chung Đám mây riêng và đám HVTH: Lê Minh Trí (CH1101148) Trang 33 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây mây chung sử dụng miền KPG của mình để thực hiện phân bổ, xác thực thông tin của người sử dụng và máy chủ trên đám mây của mình Mỗi người dùng và máy chủ sẽ được định danh bởi chính họ Định danh này là... trên nền điện toán đám mây Software as a Service (SaaS) sẽ phải cung cấp luôn một gói bảo mật gọi là Security as a Service chạy song song trên máy chủ điện toán đám mây HVTH: Lê Minh Trí (CH1101148) Trang 27 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây 2.1.3/ Bảo mật trình duyệt của người dùng: Trong điện toán đám mây, người dùng thực hiện tất cả các thao tác với ứng dụng thông qua... cần độ tin cậy cao hơn nữa HVTH: Lê Minh Trí (CH1101148) Trang 30 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây CHƯƠNG IV: XÂY DỰNG BIỆN PHÁP BẢO MẬT LỚP NGƯỜI DÙNG Vấn đề an toàn thông tin đối với doanh nghiệp là vấn đề sống còn do vậy bảo mật chính là rào cản lớn nhất quyết định liệu điện toán đám mây có được sử dụng rộng rãi nữa hay không Hầu hết các nhà cung cấp dịch vụ đám mây. .. sách bảo mật tốt nhất có thể để thuyết phục người dùng sử dụng dịch vụ đám mây của họ Người dùng cũng không thể hoàn toàn tin tưởng vào cơ chế bảo mật của nhà cung cấp mà cần có chính sách HVTH: Lê Minh Trí (CH1101148) Trang 23 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây riêng để đảm bảo an toàn cho dữ liệu của mình nhất là các dữ liệu bí mật và quan trọng 1/ Các nguyên tắc bảo mật. .. bảo mật luôn được đặt lên hàng đầu Trong điện toán đám mây, kiến trúc bảo mật rất chặt chẽ được thể hiện thành các tầng khác nhau theo sơ đồ sau: HVTH: Lê Minh Trí (CH1101148) Trang 26 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây Hình 10: Kiến trúc bảo mật theo tầng của điện toán đám mây 2.1/ Tầng người dùng (User layer): 2.1.1/ Người dùng cuối: Đó chính là người thuê ứng dụng điện. .. nằm trên dịch vụ đám mây, do nhà cung cấp dịch vụ đám mây đó bảo vệ và quản lý Chính điều này khiến cho khách hàng, nhất là các công ty lớn cảm thấy không an toàn đối với những dữ liệu quan trọng của mình khi sử dụng dịch vụ đám mây HVTH: Lê Minh Trí (CH1101148) Trang 17 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây Hình 6: Mô hình đám mây công cộng 5.3/ Mô hình đám mây cộng đồng (Community... “Advanced Encryption Standard (AES)” như AES-128, AES-192, hoặc AES-256 Hình 11: Mã hóa trước khi chuyển dữ liệu nên đám mây HVTH: Lê Minh Trí (CH1101148) Trang 31 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây 2/ Định danh cục bộ và định danh liên đoàn: 2.1/ Định danh cục bộ: Trong điện toán đám mây có thể được mô tả như sau “Khả năng của mỗi tổ chức/cá nhân có thể kiểm soát các thông. .. kiến trúc điện toán đám mây, các vấn đề về bảo mật và an toàn thông tin trong điện toán đám mây, cung cấp các kiến thức ban đầu cho việc đánh giá, vận hành, quản lý và điều hành an ninh trong các môi trường điện toán đám mây 2/ Hướng phát triển: Ngày càng có nhiều công ty tham gia vào quá trình phát triển các ứng dụng điện toán đám mây tiêu biểu như Microsoft, Google, Intel, IBM…đã và đang tạo ra một HVTH:... khác nhau và kết nối các VPC thông qua Site-toSite VPN (kết nối giữa các site của doanh nghiệp với nhau) Và do đó việc truy cập tài nguyên trên đám mây thông qua mạng VPN như là truy xuất tài nguyên cục bộ HVTH: Lê Minh Trí (CH1101148) Trang 19 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây giúp dịch vụ an toàn và đáng tin cậy hơn rất nhiều so với dùng chúng trên hạ tầng đám mây công . phương pháp bảo mật và an toàn thông tin trong điện toán đám mây. Bảo mật và an toàn thông tin đang là một vấn đề rất được quan tâm của xã hội, đặc biệt là trong môi trường điện toán đám mây. (CH1101148) Trang 4 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây DANH MỤC CÁC HÌNH Hình 1: Sự tiến hóa của điện toán đám mây 9 Hình 2: Mô hình điện toán đám mây 11 Hình 3:. tính toán, truyền thông điệp và tập dữ liệu HVTH: Lê Minh Trí (CH1101148) Trang 10 Phương pháp bảo mật và an toàn thông tin trong điện toán đám mây CHƯƠNG II: ĐIỆN TOÁN ĐÁM MÂY 1/ Khái niệm: Điện