AN NINH BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN BÀI THU HOẠCH MƠN ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY KHOA KHOA HỌC MÁY TÍNH Giáo viên hướng dẫn:PGS.TS Nguyễn Phi KhứHọc viên thực hiện:Vũ Xuân VinhMã số học viên:CH1301117 Tháng 6, 2014 Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 LỜI MỞ ĐẦU Thuật ngữ điện toán đám mây (Cloud Computing), đời năm 2007, xu chủ đạo hạ tầng IT doanh nghiệp với nhiều ưu điểm Trong quy trình đánh giá hệ thống để xây dựng đám mây riêng chung, bảo mật coi vấn đề quan trọng đưa xem xét Nhiều ý kiến cho với điện toán đám mây, bảo mật nhược điểm lớn Tuy nhiên, đánh giá hồn tồn sai lầm khơng hiểu nguy công chế bảo mật để phòng chống nguy hệ thống điện tốn đám mây Nó giúp người quản trị đưa chiến lược phù hợp cho điện toán đám mây doanh nghiệp Trong thu hoạch em trình bày nghiên cứu điện tốn đám mây việc ứng dụng Việt Nam, phần hai đề cập tổng quan an ninh bảo mật Phần ba giới thiệu vấn đề an ninh điện toán đám mây giải pháp an ninh triển khai thực tế điện toán đám mây Qua đây, em xin gửi lời cảm ơn chân thành đến thầy Nguyễn Phi Khứ, người tận tâm truyền đạt kiến thức tảng mơn học “Điện tốn lưới đám mây” mà cịn giúp em có sở vững để phục vụ cho việc nghiên cứu sau Trang ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 MỤC LỤC HÌNH ẢNH Hình 1.1: Minh họa điện tốn đám mây .5 Hình 1.2: Các mơ hình triển khai Cloud .7 Hình 2.1: Mã hóa giải mã sử dụng việc mã hóa khóa đối xứng 18 Hình 2.2: Mã hóa giải mã sử dụng việc mã hóa khóa bất đối xứng 21 Hình 2.3: Sự chống thái sử dụng mã hóa khóa bất đối xứng 23 Hình 2.4: Mã hóa gấp lần với mã hóa khóa bất đối xứng .24 Hình 2.5: Chữ ký số 26 Hình 2.6: Kiểm tra chữ ký số 27 Hình 2.7: Chứng thực 28 Hình 2.8: Định dạng chứng thực X.509 29 Hình 2.9: Những hoạt động gởi thông điệp bên gởi bên nhận mà hai tin tưởng tổ chức ban hành chứng nhận 30 Hình 2.10: Cơ sở hạ tầng khóa cơng khai với mơt tổ chức đăng ký riêng biệt 32 Hình 2.11: Cơ sở hạ tầng khóa cơng khai tổng qt 33 Hình 2.12 Hai cấp tổ chức ban hành chứng nhận 34 Hình 2.13: Những tổ chức ban hành chứng nhận chứng nhận chéo .35 Hình 2.14: Sự xác thực tương hỗ 36 Hình 2.15 SSH tunneling 37 Hình 3.1: Sự phức tạp vấn đề an tồn điện tốn đám mây 39 Hình 3.2: Kiến trúc phân tầng dịch vụ điện toán đám mây 40 Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 MỤC LỤC LỜI MỞ ĐẦU MỤC LỤC HÌNH ẢNH 1.1 Một số khái niệm điện toán đám mây .9 1.2 Kiến trúc điện toán đám mây 13 1.3 Sự phát triển điện toán đám mây .14 1.3.1 Tình hình phát triển giới 14 1.3.1 Tình hình phát triển giới 14 Tại Mỹ, điện toán đám mây trở thành giải pháp phổ biến thay cho cơng nghệ điện tốn truyền thống kể từ năm 2011 Chính phủ Mỹ khuyến khích quan Liên bang sử dụng đám mây coi giải pháp hữu hiệu để tiết kiệm kinh phí đầu tư cho cơng nghệ thơng tin, góp phần giảm thiểu thâm hụt ngân sách Điển hình có nhiều tổ chức tiến hành xây dựng, áp dụng triển khai Điện tốn đám mây phục vụ cơng việc như: 15 Tại Mỹ, điện toán đám mây trở thành giải pháp phổ biến thay cho cơng nghệ điện tốn truyền thống kể từ năm 2011 Chính phủ Mỹ khuyến khích quan Liên bang sử dụng đám mây coi giải pháp hữu hiệu để tiết kiệm kinh phí đầu tư cho cơng nghệ thơng tin, góp phần giảm thiểu thâm hụt ngân sách Điển hình có nhiều tổ chức tiến hành xây dựng, áp dụng triển khai Điện toán đám mây phục vụ công việc như: 15 Cơ quan quản lý dịch vụ chung GSA (General Services Adminstration) 16 Cơ quan quản lý dịch vụ chung GSA (General Services Adminstration) 16 Cơ quan Hàng không vũ trụ NASA (National Aeronautics and Space Administration) 16 Cơ quan Hàng không vũ trụ NASA (National Aeronautics and Space Administration) 16 Sở Nội vụ (Department of the Interior) 16 Sở Nội vụ (Department of the Interior) 16 Sở Y tế Dịch vụ dân sinh HHS (Department of Health and Human Services) 16 Sở Y tế Dịch vụ dân sinh HHS (Department of Health and Human Services) 16 Cục điều tra dân số 16 Cục điều tra dân số 16 Nhà trắng .16 Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 Nhà trắng 16 1.3.2 Tình hình phát triển Việt Nam 16 1.3.2 Tình hình phát triển Việt Nam 16 Thực trạng triển khai điện toán đám mây 16 Thực trạng triển khai điện toán đám mây 16 IBM doanh nghiệp tiên phong lĩnh vực mở trung tâm điện toán đám mây vào tháng 9, 2008 với khách hàng Công ty cổ phần cơng nghệ truyền thơng Việt Nam Sau đó, Microsoft công ty hàng đầu tiếp bước điện toán đám mây thị trường Việt Nam, giai đoạn phát triển thử nghiệm 16 IBM doanh nghiệp tiên phong lĩnh vực mở trung tâm điện toán đám mây vào tháng 9, 2008 với khách hàng Công ty cổ phần công nghệ truyền thông Việt Nam Sau đó, Microsoft cơng ty hàng đầu tiếp bước điện toán đám mây thị trường Việt Nam, giai đoạn phát triển thử nghiệm 16 Tiếp theo phải kể đến FPT – công ty công nghệ Việt Nam khẳng định vị tiên phong cơng nghệ lễ ký với Microsoft châu Á – Trend Micro để hợp tác phát triển đám mây châu Á Trend Micro cho điện toán đám mây đem lại hội cho Việt Nam cơng nghệ hồn tồn giúp giới trẻ Việt Nam vốn động có thêm điều kiện sáng tạo phát huy tài 16 Tiếp theo phải kể đến FPT – công ty công nghệ Việt Nam khẳng định vị tiên phong công nghệ lễ ký với Microsoft châu Á – Trend Micro để hợp tác phát triển đám mây châu Á Trend Micro cho điện toán đám mây đem lại hội cho Việt Nam cơng nghệ hồn tồn giúp giới trẻ Việt Nam vốn động có thêm điều kiện sáng tạo phát huy tài 16 Một số quan phủ lựa chọn mơ hình Private Cloud Community Cloud cho dự án xây trung tâm tích hợp liệu cho môi trường phát triển, kiểm thử, điển Tài ngun & Mơi trường, Khoa học & Công nghệ, Thông tin & Truyền thông địa phương TP Hồ Chí Minh, Đà Nẵng, Cà Mau Gần đây, xuất thêm nhiều công ty cung cấp dịch vụ đám mây, song đa số tập trung vào phân khúc thị trường hẹp, chẳng hạn QTSC, VNTT, Prism, Exa, HostVN… Một số nhà cung cấp Bkav, FPT, VDC, NEO… cung cấp dịch vụ riêng lẻ quản lý văn phòng, nhân sự, quan hệ khách hàng Nhiều công ty Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 chưa triển khai ứng dụng công nghệ mà dừng mức nghiên cứu khảo sát 16 Một số quan phủ lựa chọn mơ hình Private Cloud Community Cloud cho dự án xây trung tâm tích hợp liệu cho mơi trường phát triển, kiểm thử, điển Tài nguyên & Môi trường, Khoa học & Công nghệ, Thông tin & Truyền thông địa phương TP Hồ Chí Minh, Đà Nẵng, Cà Mau Gần đây, xuất thêm nhiều công ty cung cấp dịch vụ đám mây, song đa số tập trung vào phân khúc thị trường hẹp, chẳng hạn QTSC, VNTT, Prism, Exa, HostVN… Một số nhà cung cấp Bkav, FPT, VDC, NEO… cung cấp dịch vụ riêng lẻ quản lý văn phòng, nhân sự, quan hệ khách hàng Nhiều công ty chưa triển khai ứng dụng công nghệ mà dừng mức nghiên cứu khảo sát 16 Tuy nhiên theo chuyên gia nhận định, giải pháp tối ưu để doanh nghiệp nước ta giảm thiểu chi phí tăng hiệu suất làm việc mức tối đa Nhưng thực tế, công nghệ thực chưa đạt mức kỳ vọng mang lại 17 Tuy nhiên theo chuyên gia nhận định, giải pháp tối ưu để doanh nghiệp nước ta giảm thiểu chi phí tăng hiệu suất làm việc mức tối đa Nhưng thực tế, công nghệ thực chưa đạt mức kỳ vọng mang lại 17 Tương lai cho doanh nghiệp Việt Nam 17 Tương lai cho doanh nghiệp Việt Nam 17 Một tín hiệu vui cho phát triển điện toán đám mây Việt Nam hầu hết tổ chức, doanh nghiệp có hiểu biết đám mây có kế hoạch sử dụng vòng năm tới Theo kết nghiên cứu công bố hội thảo “Toàn cảnh CNTT-TT Việt Nam – Viet Nam ICT Outlook –VIO 2013” (VIO 2013) : 17 Một tín hiệu vui cho phát triển điện toán đám mây Việt Nam hầu hết tổ chức, doanh nghiệp có hiểu biết đám mây có kế hoạch sử dụng vịng năm tới Theo kết nghiên cứu công bố hội thảo “Toàn cảnh CNTT-TT Việt Nam – Viet Nam ICT Outlook –VIO 2013” (VIO 2013) : 17 Chỉ có 3% tổ chức, doanh nghiệp cho biết khơng có kế hoạch triển khai dịch vụ đám mây 17 Chỉ có 3% tổ chức, doanh nghiệp cho biết khơng có kế hoạch triển khai dịch vụ đám mây 17 25% tìm hiểu, nghiên cứu, đánh giá chưa có kế hoạch sử dụng 17 25% tìm hiểu, nghiên cứu, đánh giá chưa có kế hoạch sử dụng 17 8% sử dụng sau tháng 17 8% sử dụng sau tháng 17 39% sử dụng dịch vụ đám mây 17 39% sử dụng dịch vụ đám mây 17 19% sử dụng dịch vụ đám mây gia tăng việc sử dụng 17 Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 19% sử dụng dịch vụ đám mây gia tăng việc sử dụng 17 Đáng ý việc Viettel thử nghiệm cung cấp dịch vụ Cloud VPS – dịch vụ điện toán đám mây công cộng mức hạ tầng Cùng tham gia mảng thị trường với Viettel VDC – cung cấp dịch vụ gồm Managed Backup (quản lý dự phòng lưu liệu) IaaS (dịch vụ web cung cấp máy chủ, hệ thống lưu trữ, thiết bị mạng phần mềm qua mơ hình dịch vụ tự phục vụ tự động) 17 Đáng ý việc Viettel thử nghiệm cung cấp dịch vụ Cloud VPS – dịch vụ điện tốn đám mây cơng cộng mức hạ tầng Cùng tham gia mảng thị trường với Viettel VDC – cung cấp dịch vụ gồm Managed Backup (quản lý dự phòng lưu liệu) IaaS (dịch vụ web cung cấp máy chủ, hệ thống lưu trữ, thiết bị mạng phần mềm qua mơ hình dịch vụ tự phục vụ tự động) 17 Theo kết qua nghiên cứu vừa ông Chu Tiến Dũng, chủ tịch Hội Tin học TP.HCM (HCA) công bố hội thảo VIO 2013 Viettel VMS hai nhà mạng tiên phong triển khai ứng dụng điện tốn đám mây riêng để tiết kiệm chi phí rút ngắn thời gian phát triển dịch vụ Vào tháng 6/2013, MobiFone công bố triển khai thỏa thuận hợp tác chiến lược xây dựng giải pháp di động Việt Nam dựa tảng điện toán đám mây IBM cho Trung tâm di động khu vực Các giải pháp di động dựa tảng điện toán đám mây hỗ trợ MobiFone kết nối hàng nghìn nhân viên, đặc biệt giao dịch viên thành phố Hồ Chí Minh thơng qua thiết bị di động 18 Theo kết qua nghiên cứu vừa ông Chu Tiến Dũng, chủ tịch Hội Tin học TP.HCM (HCA) công bố hội thảo VIO 2013 Viettel VMS hai nhà mạng tiên phong triển khai ứng dụng điện toán đám mây riêng để tiết kiệm chi phí rút ngắn thời gian phát triển dịch vụ Vào tháng 6/2013, MobiFone công bố triển khai thỏa thuận hợp tác chiến lược xây dựng giải pháp di động Việt Nam dựa tảng điện toán đám mây IBM cho Trung tâm di động khu vực Các giải pháp di động dựa tảng điện toán đám mây hỗ trợ MobiFone kết nối hàng nghìn nhân viên, đặc biệt giao dịch viên thành phố Hồ Chí Minh thơng qua thiết bị di động 18 Những thách thức cho điện toán đám mây Việt Nam 18 Những thách thức cho điện toán đám mây Việt Nam .18 Việc triển khai ứng dụng đám mây Việt Nam đối mặt với nhiều thách thức như: sở hạ tầng chưa đồng bộ, khách hàng thiếu niềm tin nhà cung cấp dịch vụ đám mây cam kết chất lượng dịch vụ, bảo mật thơng tin, chi phí đầu tư cho hạ tầng đám mây cao quy mô thị trường nhỏ nhà cung cấp dịch vụ nước khó cạnh tranh với nhà cung cấp dịch vụ toàn cầu, khả liên kết Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 nhà cung cấp dịch vụ đám mây yếu Đặc biệt so với nước khu vực, Việt Nam chưa có sáng kiến, chương trình nhằm khuyến khích phát triển thị trường hay ứng dụng đám mây .18 Việc triển khai ứng dụng đám mây Việt Nam đối mặt với nhiều thách thức như: sở hạ tầng chưa đồng bộ, khách hàng thiếu niềm tin nhà cung cấp dịch vụ đám mây cam kết chất lượng dịch vụ, bảo mật thơng tin, chi phí đầu tư cho hạ tầng đám mây cao quy mơ thị trường cịn nhỏ nhà cung cấp dịch vụ nước khó cạnh tranh với nhà cung cấp dịch vụ toàn cầu, khả liên kết nhà cung cấp dịch vụ đám mây yếu Đặc biệt so với nước khu vực, Việt Nam chưa có sáng kiến, chương trình nhằm khuyến khích phát triển thị trường hay ứng dụng đám mây 18 2.1 Những khái niệm 18 1.3.3 Kết nối bảo mật 18 1.3.3 Kết nối bảo mật .18 1.3.4 Việc xác thực mật 19 1.3.4 Việc xác thực mật 19 1.3.5 Mã hóa giải mã .20 1.3.5 Mã hóa giải mã 20 2.2 Các phương pháp mã hóa 21 1.3.6 Mã hóa khóa đối xứng (Symmetric Key Cryptography) 21 1.3.6 Mã hóa khóa đối xứng (Symmetric Key Cryptography) 21 1.3.7 Mã hóa khóa bất đối xứng (Asymetric cryptography) .23 1.3.7 Mã hóa khóa bất đối xứng (Asymetric cryptography) 23 1.3.8 Cơ sở hạ tầng khóa cơng khai (PKI) 27 1.3.8 Cơ sở hạ tầng khóa cơng khai (PKI) 27 2.2.4 Những hệ thống/ giao thức sử dụng chế an ninh .38 2.2.4 Những hệ thống/ giao thức sử dụng chế an ninh 38 3.1 Tổng quan 41 3.2 Các vấn đề an ninh điện toán đám mây 42 3.2.1 Vấn đề an toàn liên quan đến kiến trúc điện toán đám mây 42 3.2.2 Vấn đề quản lý an toàn hệ thống 46 3.2.3 Vấn đề bảo vệ riêng tư bảo mật liệu 46 3.3 Các mối đe dọa an ninh bảo mật điện toán đám mây 48 3.3.1 Các nguy mối đe dọa điện toán đám mây .48 3.3.2 Các phần mềm độc hại 49 Trang ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 3.3.3 Các lỗ hổng bảo mật .51 3.4 Một số giải pháp an ninh bảo mật điện toán đám mây 52 3.4.1 Giải pháp tăng lực bảo mật HP .52 3.4.2 Giải pháp bảo mật điện toán đám mây Trend Micro .53 3.4.4 Giải pháp bảo mật điện toán đám mây Symantec 54 3.4.5 Phân tích đánh giá giải pháp 54 TÀI LIỆU THAM KHẢO 56 CHƯƠNG ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG TẠI VIỆT NAM 1.1 Một số khái niệm điện toán đám mây Điện toán đám mây (cloud computing), cịn gọi điện tốn máy chủ ảo, mơ hình điện tốn sử dụng cơng nghệ máy tính phát triển dựa vào mạng Internet Thuật ngữ “đám mây” lối nói ẩn dụ mạng Internet liên tưởng độ phức tạp sở hạ tầng chứa Ở mơ hình điện tốn này, khả liên quan đến công nghệ thông tin cung cấp dạng “dịch vụ”, cho phép người sử dụng truy cập dịch vụ công nghệ từ nhà cung cấp mà khơng cần phải có kiến thức, kinh nghiệm cơng nghệ đó, không cần quan tâm đến sở hạ tầng phục vụ cơng nghệ Trang ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 Hình 1.1 Minh họa điện tốn đám mây Các mơ hình triển khai bao gồm: • Public Cloud: dịch vụ cloud nhà cung cấp dịch vụ cung cấp cho người sử dụng rộng rãi Các dịch vụ cung cấp quản lý nhà cung cấp dịch vụ ứng dụng người dùng nằm hệ thống cloud • Private Cloud: mơ hình này, sở hạ tầng dịch vụ xây dựng để phục vụ cho tổ chức hay doanh nghiệp Điều giúp cho doanh nghiệp kiểm soát tối đa liệu, bảo mật chất lượng dịch vụ • Community Cloud: mơ hình hạ tầng đám mây chia sẻ số tổ chức cho cộng đồng người dùng tổ chức Các tổ chức đặc thù không tiếp cận với dịch vụ Public Cloud chia sẻ chung hạ tầng community cloud để nâng cao hiệu đầu tư sử dụng Trang 10 ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 Hình 2.13 Sự xác thực tương hỗ Sự xác thực tương hỗ điểm tới điểm Sự xác thực tương hỗ sử dụng tài ngun tính tốn giao tiếp người dùng tài nguyên tính tốn điển hình nằm điện tốn đám mây Xác thực tương hỗ có sử dụng cho trao đổi email bí mật để xác thực nguồn gốc email, để mã hóa thơng điệp bảo mật, điều không thực cho email cá nhân • Secure Shell (SSH) Chương trình Secure Shell phát triển vào năm 1995 Tatu Ylonen (một nhà nghiên cứu đại học công nghệ Helsinki, Phần Lan) để tạo kết nối an tồn hai máy tính trao đổi liệu theo cách an toàn Kể từ SSH tinh chế lại Yoen số người khác, trở thành chuẩn cho người dùng để đăng nhập vào máy tính từ xa cách an tồn SSH sử dụng mã hóa cho tính bảo mật tồn vẹn liệu, mật mã hóa khóa cơng khai cho xác thực Xác thực máy tính từ xa xác thực người dùng có sẵn thường việc xác thực máy tính Trang 39 ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 từ xa thực xác thực mật thực cho việc xác thực người dùng SSH cung cấp tính bổ sung chẳng hạn tunneling Trong SSH tunneling, kết nối an tồn giả mạo thơng qua mạng khơng an tồn cách mã hóa bọc tin nhắn với giao thức SSH, sau sử dụng cổng SSH (port 22) minh họa hình 2.14 Hình 2.14 SSH tunneling • Giao thức SSL (Secure Socket Layer) Giao thức SSL cung cấp kết nối an toàn sử dụng chứng nhận khóa cơng khai Giao thức lần giới thiệu Netscape vào năm 1994 với phiên giới thiệu vào năm 1996 Nó áp dụng rộng rãi cho kết nối client-server an toàn hỗ trợ trình duyệt Netscape Microsoft Internet Explorer Giao thức TLS (Transport Layer Security) dựa SSL SSL yêu cầu việc sinh số ngẫu nhiên đầu cuối kết nối trao đổi với chứng nhận Có vài thơng điệp trao đổi client server Trang 40 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 CHƯƠNG AN NINH VÀ BẢO MẬT TRONG MƠI TRƯỜNG ĐIỆN TỐN ĐÁM MÂY 3.1 Tổng quan Theo Wikipedia bảo mật điện toán đám mây (gọi tắt bảo mật đám mây) lĩnh vực phát triển thuộc bảo mật máy tính, bảo mật mạng rộng bảo mật thơng tin Nó đề cập đến tập rộng sách, cơng nghệ quyền điều khiển triển khai để bảo vệ liệu, ứng dụng hạ tầng tích hợp điện tốn đám mây Bảo mật điện tốn đám mây khơng đề cập đến sản phẩm phần mềm bảo mật cho đám mây phần mềm antivirus, antispam, anti-DDOS,… mà rộng Bỏ qua vấn đề kỹ thuật, từ quan điểm người dùng vấn đề chủ yếu cản trở việc chấp nhận điện toán đám mây là: - Các doanh nghiệp giao việc quản lý an ninh cho bên thứ ba khơng kiểm sốt vấn đề an ninh - Tài sản nhiều người thuê bao khác nằm vị trí (server) sử dụng dịch vụ mà rõ cách thức kiểm soát an ninh, bảo mật nhà cung cấp - Thiếu đảm bảo an toàn, an ninh hợp đồng người dùng (người thuê bao) điện toán đám mây nhà cung cấp điện toán đám mây - Các máy chủ tập trung tài sản có giá trị công khai sở hạ tầng làm tăng xác suất cơng nguy hiểm Nhìn chung có nhiều vấn đề cần bàn định chấp nhận điện toán đám mây vấn đề an toàn đặt lên hàng đầu Vấn đề an toàn điện tốn đám mây phức tạp liên quan đến nhiều khia cạnh chủ thể: kiến trúc, dịch vụ , đặc trưng đám mây, thuê bao, chủ sở hữu, sách bảo mật liệu… Trang 41 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 Hình 3.1 Sự phức tạp vấn đề an tồn điện toán đám mây 3.2 Các vấn đề an ninh điện toán đám mây 3.2.1 Vấn đề an tồn liên quan đến kiến trúc điện tốn đám mây Một đám mây điện tử cụm máy tính kết nối thơng qua mạng cục mạng diện rộng sở ảo hóa tài nguyên phần cứng nhờ chức ảo hóa để cung cấp cách suốt dịch vụ điện tốn đám mây SaaS, PaaS IaaS Mơ hình triển khai đám mây cơng cộng, riêng cộng đồng hay hỗn hợp đề cập chương đầu Các dịch vụ điện toán đám mây có kiến trúc phân tầng (layer), tầng cung cấp dịch vụ tiện ích riêng sở dịch vụ tiện ích tầng thấp Vì Trang 42 ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 an ninh hệ thống phụ thuộc vào an ninh tầng thiết kế cài đặt kèm theo dịch vụ hay tiện ích Hình 3.2 Kiến trúc phân tầng dịch vụ điện tốn đám mây • An ninh mức hạ tầng An ninh dịch vụ tầng thấp tầng vật lý hay hạ tầng (IaaS) phụ thuộc vào nhà cung cấp, tức chủ sở hữu đám mây Hiện tại, có số nhà cung cấp dịch vụ IaaS chưa có chuẩn an ninh cho dịch vụ Về mặt nguyên tắc, khách hàng thuê bao dịch vụ IaaS áp đặt sách an ninh cách phát triển dịch vụ hay tiện ích riêng thông qua dịch vụ tầng vật lý dịch vụ IaaS nhà cung cấp Chính sách an toàn mức phức tạp nhiều sách khác áp đặt lên môi trường phần cứng (vật lý) Những mối đe dọa an tồn mức liên quan tới máy chủ ảo (Virtual Machine) vi-rút phần mềm độc hại khác Nhà cung cấp dịch vụ chịu trách nhiệm giải pháp cho vấn đề Khách hàng thuê bao thực giải pháp sách an tồn riêng cho mình, từ làm gia tăng gánh nặng lên phần cứng hiệu chung hệ thống Các máy chủ ảo bị lây nhiễm hay bị kiểm soát phần mềm độc hại Trong trường hợp này, sách an ninh khách hàng bị vơ hiệu, nhà cung cấp dịch vụ phải người có vai trị Trang 43 ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 an ninh mức Ngồi ra, IaaS khai thác hạ tầng vật lý sách chung DNS Server, Switch, IP protocal… Vì vậy, khả bị cơng vào “khách hàng yếu nhất” sau “lây lan” cho khách hàng khác Vấn đề khách hàng th bao khơng thể can thiệp nhiều máy chủ ảo chia sẻ tài nguyên vật lý CPU, nhớ, đĩa… Mọi ánh xạ vật lý-máy ảo, máy ảo-vật lý thông qua “bộ ảo hóa”, bị phần mềm độc hại kiểm sốt tồn khách hàng đám mây bị mối hiểm họa • An ninh mức dịch vụ tảng Ở mức trung gian, dịch vụ tảng (PaaS) dựa dịch vụ tầng (IaaS) cung cấp dịch vụ cho tầng (SaaS) Ở mức này, dịch vụ hay tiện ích an tồn cài đặt thêm cấu hình dịch vụ cung cấp từ tầng Ở đây, người dùng quản trị phần th bao để tạo môi trường thực thi ứng dụng Hiện nay, dịch vụ PaaS đám mây dựa mô hình kiến trúc hướng dịch vụ (SOA) nguy an toàn giống hệt nguy an tồn SOA cơng từ chối dịch vụ (DoS), công XML nhiều cách cơng khác Vì dịch vụ tảng dịch vụ đa thuê bao, nhiều người dùng nên chế xác thực, chứng thực quan trọng Trách nhiệm bảo mật an toàn trường hợp liên quan đến nhà cung cấp, người thuê bao người dùng (user) Các dịch vụ PaaS phải cung cấp môi trường đế phát triển ứng dụng bao gồm chức tác nghiệp, chức an toàn quản lý hệ thống Nhà cung cấp cần có chế bắt buộc chứng thực để truy cập dịch vụ PaaS, người thuê bao có trách nhiệm phát triển hay cung cấp chức bảo mật cần thiết thông qua chế chứng thực chung người dùng phải có trách nhiệm bảo vệ tài khoản đăng nhập cá nhân • An ninh mức dịch vụ phần mềm Trang 44 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 Ở mức dịch vụ phần mềm (SaaS), phần mềm cung cấp dịch vụ mạng, sử dụng sách bảo mật liệu tài nguyên khác từ tầng bên cung cấp Một số dịch vụ phần mềm phổ biến Google Search Engine, Google Mail… Khách hàng dịch vụ khơng biết liệu quản lý khai thác nằm đâu giới Vấn đề an ninh liên quan đến bảo mật liệu, rị rỉ thơng tin nhạy cảm nguy bị công từ chối truy cập… Trách nhiệm an toàn chia sẻ cho nhà cung cấp hạ tầng đám mây nhà cung cấp dịch vụ phần mềm Người dùng đầu cuối (end user) người dùng phần mềm với lựa chọn cấu hình khác cung cấp phần mềm nên khơng có nhiều vai trị an tồn hệ thống Người dùng cuối biết tin vào nhà cung cấp phần mềm cam kết nhà cung cấp trách nhiệm bảo mật Thơng thường cam kết điều khoản hợp đồng thuê bao phần mềm, : an tồn thơng tin chất lượng dịch vụ Chúng thường bao gồm : dung lượng liệu, tồn vẹn liệu, sách phân tán, lưu phục hồi liệu có cố, độ tin cậy, tính riêng tư an toàn mạng với cam kết khác chất lượng dịch vụ dung lượng đường truyền, tính sẵn dùng Ở mức này, phần mềm cung cấp web Các web thường đặt máy chủ ảo đám mây, chúng phải kiểm tra cách quét yếu điểm web nhờ vào ứng dụng qt đó, ví dụ phần mềm có chức tương ứng Các tường lửa dùng để ngăn chặn công vào điểm yếu biết phần mềm web Những công việc thuộc nhà cung cấp phần mềm đám mây, người dùng cuối nhiều tham gia vào lựa chọn cấu hình khác mà thơi Tình hình dẫn đến lộn xơn cấu hình an tồn chung hệ thống tính chất đa th bao, kéo theo lỗ hổng an toàn hệ thống Vì vậy, nhà cung cấp phải có sách chung bắt buộc cách kiểm sốt cho cấu hình an tồn, bảo mật phải qn, chặt chẽ khơng có lỗ hổng Trang 45 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 3.2.2 Vấn đề quản lý an toàn hệ thống Vấn đề quản lý nhằm đảm bảo cho áp dụng sách bảo mật đắn, cộng tác có trách nhiệm bên có liên quan điện tốn đám mây Nghiên cứu quản lý an toàn đám mây phức tạp liên quan đến số lượng lớn người có liên quan với yêu cầu khác an toàn Việc quản lý an toàn liên quan tới việc xây dựng yêu cầu an tồn, đặc tả sách an tồn, chế kiểm sốt cấu hình khác an tồn tương ứng với sách đặc thù Việc quản lý động ln phải đáp ứng yêu cầu mới, phản hồi từ môi trường từ q trình kiểm sốt an tồn Điện toán đám mây cung cấp dịch dụ sở hợp đồng trách nhiệm (SLA Service Level Agreement), pháp lý quan trọng tranh chấp, bất đồng sau Hợp đồng thông thường bao gồm chất lượng dịch vụ, tính sẵn dùng, độ tin cậy an toàn Và bao cam kết hợp đồng, có điều khoản trả phí dịch vụ xử phạt bồi thường Một đòi hỏi cao an toàn thường dẫn đến tiêu tốn nhiều nguồn lực mức giá dịch vụ cao lên tương ứng Cần lưu ý đòi hỏi khắc khe an tồn ảnh hưởng đến hiệu chung hệ thống (nặng nề chậm chạp hơn) Vì vậy, cần có cân u cầu an tồn, chi phí hiệu hệ thống 3.2.3 Vấn đề bảo vệ riêng tư bảo mật liệu Nội dung việc bảo vệ riêng tư bảo mật liệu đám mây tương tự việc bảo vệ riêng tư bảo mật liệu truyền thống Nó liên quan tới tất giai đoạn vòng đời liệu Nhưng đặc tính mở đa nhiệm đám mây, nội dung việc bảo vệ riêng tư bảo mật liệu đám mây có đặc tính riêng Trang 46 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 Khái niệm riêng tư khác quốc gia, văn hóa tính pháp lý khác Định nghĩa tương thích tổ chức hợp tác phát triển kinh tế OECD “mọi thông tin liên quan tới việc nhận dạng cá thể nhận dạng (đối tượng liệu)” Một định nghĩa phổ biến khác cung cấp tổ chức AICPA CICA chuẩn GAPP “các quyền nghĩa vụ cá nhân tổ chức với việc tôn trọng thu thập, sử dụng, trì thơng cáo thơng tin cá nhân” Theo mơ hình truyền tải dịch vụ, mơ hình triển khai đặc tính cần thiết điện toán đám mây, vấn đề bảo vệ riêng tư bảo mật liệu vấn đề cần phải giải sớm Các vấn đề tồn tất lớp mơ hình truyền tải dịch vụ SPI giai đoạn vòng đời liệu Thách thức bảo vệ tính riêng tư chia sẻ liệu bảo vệ thông tin cá nhân Các hệ thống điển hình yêu cầu bảo vệ riêng tư hệ thống thương mại điện tử lưu trữ thơng tin thẻ tín dụng hệ thống chăm sóc sức khỏe với số liệu sức khỏe Khả điều khiển thông tin bộc lộ truy cấp thơng tin mạng trở thành vấn đề quan tâm Các quan tâm bao gồm việc liệu thơng tin nhân lưu trữ hay đọc bên thứ ba mà không cần đồng ý, hay liệu bên thứ ba lần vết trang web mà người dùng ghé thăm Vấn đề quan tâm khác liệu website ghé thăm thu thập, lưu trữ chia sẻ thơng tin cá nhân người dùng Chìa khóa cho việc bảo vệ tính riêng tư mơi trường đám mây phân chia gắt gao liệu nhạy cảm liệu không nhạy cảm cách thức mã hóa thành phần Theo phân tích cho vấn đề bảo vệ riêng tư bảo mật liệu, giải pháp bảo mật toàn diện tích hợp đáp ứng u cầu phịng thủ chun sâu cần thiết Liên quan đến bảo vệ riêng tư, việc nhận dạng cách ly liệu riêng tư cơng việc Chúng nên đánh giá suốt trình thiết kế ứng dụng dựa đám mây Với vấn đề bảo vệ riêng tư bảo mật liệu, thách thức việc phân tách liệu nhạy cảm điều khiển truy cập Mục đích thiết kế tập Trang 47 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 tảng bảo vệ riêng tư quản lý nhận dạng ứng dụng hay dịch vụ điện tốn đám mây Do đặc tính di động người dùng tổ chức lớn, hệ thống quản lý nhận dạng cần phải có khả tự động cung cấp tài khoản người dùng nhanh chóng để đảm bảo khơng có truy cập trái phép vào tài nguyên đám mây tổ chức số người dùng khỏi tổ chức Các giải thuật điều khiển truy cập cấp quyền nên đạt đến mơ hình điều khiển truy cập có khả mở rộng, tái sử dụng hợp đáp ứng yêu cầu cấp quyền truy cập hợp pháp Các giải thuật bảo vệ riêng tư dựa tính tốn đạt dẫn thời gian thực động, cấp quyền giám sát chủ sở hữu liệu riêng tư họ truy cập 3.3 Các mối đe dọa an ninh bảo mật điện toán đám mây 3.3.1 Các nguy mối đe dọa điện tốn đám mây • Nguy an tồn thơng tin Trong điện tốn truyền thống, doanh nghiệp cịn phải tìm đủ giải pháp để đảm bảo an tồn cho thơng tin đặt hạ tầng thiết bị mình, khó để họ tin tưởng giao lại thơng tin mà họ khơng biết đặt xác đâu lại quản lý người khơng quen biết mơ hình đám mây Vì vậy, an tồn thơng tin ln nguy quan tâm đặc biệt • Nguy virus Do khả phá hoại lây lan nhanh, virus máy tính nguy lớn nhắc đến vấn đề an ninh bảo mật thơng tin Việc tập trung hóa thơng tin đám mây rút ngắn thời gian tiết kiệm tiền bạc việc diệt virus, song nguy ảnh hưởng khơng thay đổi chí cịn nguy hiểm • Nguy lừa đảo trực tuyến lỗ hổng Web Trang 48 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 Hiện nay, đa phần người sử dụng Internet chưa nhận thức đầy đủ an ninh bảo mật thơng tin Do đó, lừa đảo trực tuyến nguy an ninh bảo mật lớn thường bị kẻ xấu sử dụng để chiếm đoạt thơng tin cách bất hợp pháp • Nguy công mạng Giới tội phạm công nghệ cao có phương thức cơng mạng sau Tấn công chủ động Là công mà người cơng hồn tồn cơng khai chủ động tổ chức thực công với mục đích làm giảm hiệu hoặt làm tê liệt hoạt động mạng máy tính hệ thống Tấn công bị động Bao gồm quét, bắt trộm nghe trộm gói tin xem phương pháp công đơn giản hiệu Tấn công mật Bao gồm việc dự đốn, so sánh tra mật thơng qua từ điển mật Tấn công mã nguồn mã mật Bao gồm phương pháp Backdoor, Virus, Trojans, Worms khóa mật mã yếu thuật toán nhằm làm suy yếu hay ăn cắp thông tin hệ thống 3.3.2 Các phần mềm độc hại Phần mềm độc hại bao gồm tất loại phần mềm thiết kế để làm hại máy tính mạng Nó cài đặt máy người sử dụng mà nạn nhân không hay biết, thường thông qua liên kết lừa đảo nội dung tải xuống đăng nội dung đáng mong ước Trang 49 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 • Virus máy tính Virus máy tính chương trình phần mềm có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, máy tính…) • Sâu máy tính (Worms) Thường coi nhánh virus có vài khác biệt Sâu máy tính chương trình tự chép, khơng lây nhiễm tới tập tin máy tính virus Thay vào đó, tự cài vào máy tính lần sau tìm cách lây sang máy tính khác • Trojan horse Là chương trình giả dạng phần mềm hợp pháp khởi động gây hại cho máy tính Trojan khơng thể tự động lây lan qua máy tính, đặc tính để phân biệt chúng với virus worms • Web ứng dụng nguy bảo mật liệu o Injection Có nhiều dạng công SQL Injection: - Dạng công vượt qua kiểm tra đăng nhập: Với dạng cơng này, tin tặc dễ dàng vượt qua trang đăng nhập vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web - Dạng công sử dụng câu lệnh SELECT: Dạng công phức tạp Để thực kiểu công này, kẻ công phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dị tìm điểm yếu khởi đầu cho việc cơng Trang 50 ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 - Dạng công sử dụng câu lệnh INSERT: Thông thường ứng dụng web cho phép người dùng đăng ký tài khoản để tham gia Chức thiếu sau đăng ký thành công, người dùng xem hiệu chỉnh thơng tin - Dạng cơng sử dụng stored-procedures: Việc công stored-procedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống ‘sa’ o Lỗi cấu hình bảo mật Các máy chủ web máy chủ ứng dụng xương sống ứng dụng web Chúng cung cấp số dịch vụ ứng dụng web sử bao gồm dịch vụ thư mục, lưu trữ liệu hòm thư điện tử o Lưu trữ mật mã khơng an tồn 3.3.3 Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống phân loại gồm lỗ hổng C, B, A sau  Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo DoS (Denial of Services – Từ chối dịch vụ)  Lỗ hổng loại B: Lỗ hổng loại cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ nên dẫn đến mát lộ thông tin yêu cầu bảo mật Trang 51 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014  Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng bên ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống 3.4 Một số giải pháp an ninh bảo mật điện toán đám mây 3.4.1 Giải pháp tăng lực bảo mật HP Các giải pháp HP "hỗ trợ doanh nghiệp xây dựng thực chiến lược bảo mật toàn diện nhằm xử lý nguy trở ngại tiềm từ gia tăng điện toán di động, đám mây truyền thông xã hội" Việc cung cấp bảo mật HP thực cung cấp giải pháp Thông thường HP doanh nghiệp khách hàng thực buổi hội thảo đánh giá an ninh bảo mật (security workshop) để từ đánh giá vấn đề nhu cầu bảo mật doanh nghiệp/tổ chức Một phận phụ trách dịch vụ bảo mật - HP Enterprise Services - giúp doanh nghiệp chuyển đổi quy trình an ninh, bảo mật Đây phận phụ trách cung cấp dịch vụ th ngồi quy trình doanh nghiệp BPO (Business Process Outsourcing) HP, bao gồm việc ứng dụng có độ an ninh bảo mật cao từ thiết kế Các sức mạnh an ninh bảo mật mà HP trang bị cho doanh nghiệp HP ArcSight Express 3.0 với khả theo dõi phát hành vi người dùng đe doạ không gian số; HP Reputation Security Montor cung cấp danh sách địa DNS IP xấu; HP Fortify Software Security Center suite giúp quét lỗ hổng điểm yếu ứng dụng (với số lượng lên đến hàng nghìn) triển khai hệ thống tập đồn Cịn Tipping Point giúp theo dõi phát điểm yếu theo thời gian thực cung cấp vá ảo bảo vệ hệ thống sửa lỗi thức cung cấp Trang 52 ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014 3.4.2 Giải pháp bảo mật điện toán đám mây Trend Micro Giải pháp Trend Micro ứng dụng kiến trúc client - cloud mang tính cách mạng, kết hợp dịch vụ đánh giá độ tin cậy file, email web dựa “đám mây” với công nghệ quét thông minh Trend Micro Smart Scanning để bảo vệ theo thời gian thực có tính cập nhật cao chống lại mối đe dọa tinh vi Giải pháp có khả ngăn chặn mối đe dọa trước chúng tiếp cận máy tính phần ứng dụng thiết kế nằm máy chủ Trend Micro Cấu trúc phần thuộc đám mây giúp làm nhẹ nhớ, giảm dung lượng lưu trữ tải xử lý máy tính, dẫn đến tăng đáng kể hiệu suất hoạt động Cơ chế quét thông minh Trend Micro Smart Scan, bảo vệ trực tiếp từ đám mây Internet, ứng phó với mối đe dọa nhanh nhiều so với phần mềm bảo mật thông thường kết nối với thông tin liệu độ tin cậy liên tục cập nhật Trend Micro Cơ chế quét thông minh tương tác với số (index) nhớ đệm máy tính, với cơng nghệ chẩn đốn giám sát hành vi, chế giúp bảo vệ máy tính khơng kết nối Internet Sự kết hợp hiệu giúp ngăn chặn mối đe dọa máy tính có kết nối Internet hay khơng Nó tận dụng hạ tầng Mạng bảo vệ thơng minh Trend Micro (Trend Micro Smart Protection Network) để phân tích đánh giá tập tin hoạt động trực tuyến nhằm ngăn chặn mối đe dọa Người dùng không cần phải quan tâm đến việc cập nhật khối lượng lớn sở liệu dấu hiệu nhận dạng ổ cứng máy tính cách thường xuyên 3.4.3 Giải pháp bảo mật điện toán đám mây Panda Security Panda Cloud Protection tên giải pháp điện toán đám mây Panda Security, tạo bao bọc để bảo vệ người sử dụng máy tính trước hiểm họa Virus máy tính Virus từ Internet Hãy hình dung này, tất máy tính cloud bảo vệ đám mây (cloud) dày đặc Khi có cố xảy ra, máy tính đám mây đó, Trang 53 ... CHƯƠNG AN NINH VÀ BẢO MẬT TRONG MƠI TRƯỜNG ĐIỆN TỐN ĐÁM MÂY 3.1 Tổng quan Theo Wikipedia bảo mật điện toán đám mây (gọi tắt bảo mật đám mây) lĩnh vực phát triển thuộc bảo mật máy tính, bảo mật mạng... sách bảo mật liệu… Trang 41 ĐIỆN TỐN LƯỚI VÀ ĐÁM MÂY 2014 Hình 3.1 Sự phức tạp vấn đề an tồn điện tốn đám mây 3.2 Các vấn đề an ninh điện tốn đám mây 3.2.1 Vấn đề an tồn liên quan đến kiến trúc điện. .. dụng Việt Nam, phần hai đề cập tổng quan an ninh bảo mật Phần ba giới thiệu vấn đề an ninh điện toán đám mây giải pháp an ninh triển khai thực tế điện toán đám mây Qua đây, em xin gửi lời cảm ơn