NGHIÊN CỨU VỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Nguyễn Tuấn Khanh NGHIÊN CỨU VỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ : 60.48.15 TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT HÀ NỘI – NĂM 2012 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TS LÊ HỮU LẬP Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Ngày với phát triển mạnh mẽ công nghệ thông tin, mạng Internet ngày có tốc độ nhanh hơn, với dịch vụ mạng Internet ngày nở rộ, công nghệ nghiên cứu triển khai nhanh phải kể đến công nghệ “Điện toán đám mây” Cùng với phát triển công nghệ thông tin, tội phạm công nghệ cao ngày diễn biến phức tạp, chúng ăn cắp thông tin quan trọng làm ảnh hưởng lớn đến doanh nghiệp cá nhân Vấn đề an ninh bảo mật thông tin nói chung Điện toán đám mây nói riêng, cần nhà cung cấp dịch vụ người sử dụng quan tâm thích đáng Với lý học viên quan tâm lựa chọn đề tài “ Nghiên cứu bảo mật điện toán đám mây” Mục đích đề tài Nghiên cứu phương pháp tăng cường an ninh bảo mật cho điện toán đám mây Từ có khuyến nghị giúp doanh nghiệp, người sử dụng có biện pháp phòng ngừa nhằm hạn chế mức thấp việc mát liệu, rủi ro rò rỉ thông tin, cung cấp cung tham gia sử dụng dịch vụ điện toán đám mây Đối tượng phạm vi nghiên cứu Tập trung nghiên cứu an ninh bảo mật điện toán đám mây cho nhà cung cấp dịch vụ người sử dụng Phương pháp nghiên cứu Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật điện toán đám mây, đánh giá nguy tiềm tàng đề xuất giải pháp tăng cường chế an ninh bảo mật điện toán đám mây Nội dung luận văn chia làm chương Chương giới thiệu tổng quan điện toán đám mây Chương trình bày an ninh bảo mật điện toán đám mây Chương tìm hiểu số giải pháp an ninh bảo mật điện toán đám mây số hãng bảo mật cung cấp dịch vụ điện toán đám mây Chương đề xuất số khuyến nghị an ninh bảo mật điện toán đám mây Hà Nội, ngày 10 tháng 10 năm 2012 Học viên Nguyễn Tuấn Khanh CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 Đặt vấn đề Ngày nay, công ty, doanh nghiệp, việc quản lý tốt, hiệu liệu riêng công ty liệu khách hàng, đối tác toán ưu tiên hàng đầu không ngừng gây khó khăn cho họ Để quản lý nguồn liệu đó, ban đầu doanh nghiệp phải đầu tư, tính toán nhiều loại chi phí, chi phí cho phần cứng, phần mềm, thiết bị mạng, chi phí cho quản trị viên, chi phí bảo trì, sửa chữa,…Ngoài họ phải tính toán khả mở rộng, nâng cấp thiết bị; phải kiểm soát việc bảo mật liệu tính sẵn sàng cao liệu Từ toán điển vậy, thấy có nơi tin cậy giúp doanh nghiệp quản lý tốt nguồn liệu đó, doanh nghiệp không quan tâm nhiều đến sở hạ tầng, công nghệ mà tập trung vào công việc kinh doanh họ mang lại cho họ hiệu lợi nhuận ngày cao Thuật ngữ “cloud computing” đời bắt nguồn từ hoàn cảnh “Cloud computing” xuất phát từ ý tưởng đưa tất thứ liệu, phần mềm, tính toán…lên mạng Internet Chúng ta không trông thấy máy chủ riêng doanh nghiệp để lưu trữ liệu, phần mềm mà số “máy chủ ảo” tập trung mạng Các “máy chủ ảo” cung cấp dịch vụ giúp cho doanh nghiệp quản lý liệu dễ dàng hơn, họ trả chi phí cho lượng sử dụng dịch vụ họ, mà không cần phải đầu tư nhiều vào sở hạ tầng quan tâm đến phát triển công nghệ Xu hướng đặc biệt có lợi cho công ty, doanh nghiệp vừa nhỏ 1.2 Khái niệm điện toán đám mây Theo Wikipedia [2]: “Điện toán đám mây (cloud computing) mô hình điện toán có khả co giãn (scalable) linh động tài nguyên thường ảo hóa cung cấp dịch vụ mạng Internet” Điện toán đám mây, gọi điện toán máy chủ ảo, mô hình điện toán (hình 1.1) sử dụng công nghệ máy tính phát triển dựa vào mạng Internet Hình 1.1 Mô hình Điện toán đám mây Theo Gartner [19]: “Một mô hình điện toán nơi mà khả mở rộng linh hoạt công nghệ thông tin cung cấp dịch vụ cho nhiều khách hàng sử dụng công nghệ Internet” Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng theo co giãn mặt kinh tế, nơi chứa sức mạnh tính toán, kho lưu trữ, tảng dịch vụ trực quan, ảo hóa co giãn linh động, phân phối theo nhu cầu cho khách hàng bên thông qua Internet” Theo Viện Tiêu chuẩn Công nghệ (NIST) đưa nghĩa định nghĩa sau [14]: “Điện toán đám mây mô hình cho phép vị trí thuận tiện, khách hàng truy cập mạng theo yêu cầu chia sẻ tài nguyên máy tính (mạng, máy chủ, lưu trữ, ứng dụng dịch vụ) nhanh chóng từ nhà cung cấp Trong trường hợp xấu phải cung cấp dịch vụ hoạt động mức tương tác” 1.3 Mô hình tổng quan điện toán đám mây 1.3.1 Mô hình tổng quan điện toán đám mây Theo định nghĩa, nguồn điện toán khổng lồ phần mềm, dịch vụ nằm máy chủ ảo Internet thay máy tính gia đình văn phòng (trên mặt đất) để người kết nối sử dụng họ cần Hiện nay, nhà cung cấp đưa nhiều dịch vụ điện toán đám mây theo nhiều hướng khác nhau, đưa chuẩn riêng cách thức hoạt động khác [2] Do đó, việc tích hợp đám mây để giải toán lớn khách hàng vấn đề khó khăn Chính vậy, nhà cung cấp dịch vụ có xu hướng tích hợp đám mây lại với đưa chuẩn chung để giải toán lớn khách hàng 1.3.2 Mô hình kiến trúc điện toán đám mây 1.3.2.1 Thành phần Hai thành phần quan trọng kiến trúc điện toán đám mây biết đến front end back end Front end phần phía khách hàng dùng máy tính Nó bao gồm hệ thống mạng khách hàng (hoặc máy tính) ứng dụng sử dụng để truy cập vào đám mây thông qua giao diện người dùng trình duyệt web Back end đám mây, bao gồm máy tính khác nhau, máy chủ thiết bị lưu trữ liệu 1.3.2.2 Mô hình kiến trúc Đối với mạng Internet tổ chức lập để quản lí thống với giao thức, mô hình Các thiết bị hoạt động Internet thiết kế cho phù hợp với mô hình điện toán đám mây Trong điện toán đám mây hình thành nên mô hình cho (hình 1.4) Bao gồm thành phần sau: - Thành phần Ứng dụng cung cấp dịch vụ phần mềm đến tổ chức cá nhân có nhu cầu sử dụng - Thành phần Nền tảng cung cấp dịch vụ công cụ để phát triển, thử nghiệm triển khai ứng dụng điện toán đám mây cho khách hàng - Thành phần Cơ sở hạ tầng cung cấp dịch vụ máy chủ, lưu trữ liệu, sở liệu công cụ quản trị tài nguyên cho tổ chức, cá nhân có nhu cầu 1.3.3 Các mô hình triển khai Trong điện toán đám mây nhà cung cấp dịch vụ đưa mô hình [7] để tổ chức, cá nhân lựa chọn tùy thuộc vào nhu cầu đặc thù công việc, chi phí mà tổ chức, cá nhân bỏ để tham gia sử dụng dịch vụ điện toán đám mây Những mô hình bao gồm: Đám mây công cộng, đám mây riêng, đám mây lai đám mây cộng đồng Sau mô hình điện toán đám mây triển khai 1.3.3.1 Đám mây “công cộng” – Public Cloud Computing Mô hình nói đến đề cập tới điện toán đám mây mô hình đám mây công cộng Đây mô hình mà hạ tầng điện toán đám mây tổ chức sỡ hữu cung cấp dịch vụ rộng rãi cho tất khách hàng thông qua hạ tầng mạng Internet mạng công cộng diện rộng Các ứng dụng khác chia sẻ chung tài nguyên tính toán, mạng lưu trữ Do vậy, hạ tầng điện toán đám mây thiết kế để đảm bảo cô lập liệu khách hàng tách biệt truy cập 1.3.3.2 Đám mây riêng – Private Cloud Computing Là dịch vụ đám mây cung cấp doanh nghiệp Những đám mây tồn bên mô hình mạng công ty chúng doanh nghiệp quản lý Các đám mây riêng đưa nhiều lợi ích giống đám mây chung, điểm khác biệt doanh nghiệp chịu trách nhiệm thiết lập bảo trì đám mây Việc thiết lập đám mây riêng không chi phí cho việc sử dụng trì hoạt động liên tục đám mây vượt chi phí sử dụng đám mây chung Các đám mây riêng có nhiều lợi so với đám mây chung Việc kiểm soát chi tiết tài nguyên khác đám mây giúp công ty có lựa chọn cấu hình phù hợp Các đám mây riêng lý tưởng công việc thực không cần đến đám mây chung không lo ngại tới vấn đề an ninh, quản lý 1.3.2.3 Đám mây lai – Hybrid Cloud Computing Đám mây lai kết hợp đám mây công cộng riêng (hình 1.9) Những đám mây thường doanh nghiệp tạo chịu trách nhiệm quản lý Nó phân chia doanh nghiệp nhà cung cấp đám mây công cộng Đám mây lai sử dụng dịch vụ có đám mây công cộng đám mây riêng Các đám mây lai hầu hết thường sử dụng làm việc sau: - Là nơi ứng dụng lưu trú đám mây ứng dụng quan trọng trang web - Là nơi thí nghiệm, nơi đám mây sử dụng với vùng làm việc tạm thời - Khả bổ sung hay bùng nổ dịch vụ nơi đám mây sử dụng cho đột biến bất ngờ Hạn chế với đám mây lai khó khăn việc tạo quản lý chúng Giải pháp đặt tiếp nhận cung cấp dịch vụ từ nguồn khác thể chúng có nguồn gốc từ nơi tương tác đám mây riêng chung 1.3.2.4 Đám mây cộng đồng - Community Cloud Computing Các đám mây cộng đồng đám mây chia sẻ số tổ chức hỗ trợ cộng đồng cụ thể có mối quan tâm chung như: chung mục đích, yêu cầu an ninh, sách Một đám mây cộng đồng thiết lập số tổ chức có yêu cầu tương tự tìm cách chia sẻ sở hạ tầng để thực số lợi ích điện toán đám mây Mô hình điện toán đám mây cộng đồng tốn mô hình điện toán khác như: đám mây công cộng, đám mây riêng, đám mây lai, đáp ứng riêng tư, an ninh tuân thủ sách tốt 1.4 Đặc điểm điện toán đám mây Điện toán đám mây có đặc điểm sau đây: - Nhanh chóng cải thiện với người dùng có khả cung cấp sẵn tài nguyên sở hạ tầng công nghệ cách nhanh chóng tốn - Chi phí giảm đáng kể chi phí vốn đầu tư chuyển sang hoạt động khác doanh nghệp - Sự độc lập thiết bị vị trí làm cho người dùng truy cập hệ thống cách sử dụng trình duyệt web mà không quan tâm đến vị trí họ hay thiết bị mà họ dùng, ví dụ PC, mobile - Nhiều người sử dụng giúp chia sẻ tài nguyên giá thành, cho phép tập trung hóa sở hạ tầng, tận dụng hiệu hệ thống - Độ tin cậy cải thiện - Phân phối theo nhu cầu sử dụng - Quản lý hiệu suất hoạt động kiến trúc quán, kết nối dùng cấu trúc web service để giao tiếp hệ thống - Việc bảo mật cải thiện nhờ vào tập trung hóa liệu, tài nguyên trọng bảo mật, v.v…nhưng nâng cao mối quan tâm việc quyền điều khiển liệu nhạy cảm - Khả trì ổn định 1.5 Các loại dịch vụ điện toán đám mây Điện toán đám mây cung cấp dịch vụ khác theo mô hình dịch vụ đám mây khác Có ba loại dịch vụ điện toán đám mây sau: 1.5.1 Dịch vụ hạ tầng (Iaas) Cung cấp cho người dùng hạ tầng thô (thường hình thức máy ảo) dịch vụ Dịch vụ IaaS cung cấp dịch vụ chẳng hạn máy chủ ảo, lưu trữ liệu, sở liệu tảng để triển khai chạy ứng dụng người sử dụng a Những đặc trưng tiêu biểu dịch vụ hạ tầng: Cung cấp tài nguyên dịch vụ: bao gồm máy chủ, thiết bị mạng, nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm liệu Khả mở rộng linh hoạt Chi phí thay đổi tùy theo thực tế Nhiều người thuê dùng chung tài nguyên Cấp độ doanh nghiệp: đem lại lợi ích cho công ty nguồn tài nguyên tính toán tổng hợp b Lợi ích IaaS Các tổ chức, cá nhân tiết kiệm vốn đầu tư vào hệ thống lớn, doanh nghiệp không cần phải đầu tư thêm máy chủ, thường chạy 70% công suất hai ba lần năm, thời gian lại chạy 7-10% tải 1.5.2 Dịch vụ tảng (Paas) Dịch vụ tảng cung cấp giao diện lập trình ứng dụng (API-Application Programing Interface) cho phát triển ứng dụng tảng trừu tượng PaaS cung cấp tảng tinh toán tập giải pháp nhiều lớp Nó hỗ trợ việc triển khai ứng dụng mà người sử dụng không cần quan tâm đến phức tạp việc trang bị quản lý lớp phần cứng phần mềm bên PaaS cung cấp tất tính cần thiết để hỗ trợ chu trình sống việc xây dựng, cung cấp ứng dụng dịch vụ web sẵn sàng Internet mà không cần thao tác tải hay cài đặt phần mềm cho người phát triển, quản lý tin học, hay người dùng cuối Nó biết đến với tên khác cloudware a Những đặc trưng tiêu biểu: Phục vụ cho việc phát triển, triển khai vận hành ứng dụng giống môi trường phát triển tích hợp Các công cụ khởi tạo với giao diện web Kiến trúc đồng Tích hợp dịch vụ web sở liệu Hỗ trợ cộng tác nhóm phát triển Công cụ hỗ trợ tiện tích b Thuận lợi khó khăn: Một số thuận lợi: Dịch vụ tảng thời kì đầu ưa chuộng tính vốn ưa thích dịch vụ phần mềm, bên cạnh có tích hợp yếu tố tảng hệ thống Ưu điểm dự án tập hợp công việc nhóm có phân tán địa lý Khả tích hợp nhiều nguồn dich vụ web Giảm chi phí lề tích hợp dịch vụ bảo mật, khả mở rộng, kiểm soát lỗi… Giảm chi phí trừu tượng hóa công việc lập trình mức cao để tạo dục vụ, giao diện người dùng yếu tố ứng dụng khác Tạo điều kiện dễ dàng cho việc phát triển ứng dụng đa người dùng cho người không nhóm lập trình mà kết hợp nhiều nhóm làm việc Một số Khó khăn: Ràng buộc nhà cung cấp: nghĩa khách hàng phụ thuộc vào nhà cung cấp sử dụng nhà cung cấp khác mà chịu chi phí chuyển đổi đáng kể Giới hạn phát triển: độ phức tạp khiến không phù hợp với yêu cầu phát triển nhanh tính phức tạp thực tảng web 1.5.3 Dịch vụ phần mềm ứng dụng (SaaS) Dịch vụ phần mềm mô hình triển khai ứng dụng mà người cung cấp cho người sử dụng dịch vụ theo yêu cầu Những nhà cung cấp SaaS lưu trữ ứng dụng máy chủ họ tải ứng dụng xuống thiết bị khách hàng, vô hiệu hóa sau kết thúc thời hạn Những đặc trưng tiêu biểu: Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng Quản lý hoạt dộng từ vị trí tập trung nơi khách hàng, cho phép khác hàng truy xuất từ xa thông qua web Cung cấp ứng dụng thông thường gần gũi với mô hình ánh xạ từ đến nhiều mô hình ánh xạ từ đến bao gồm đặc trưng kiến trúc, giá quản lý Những tính tập trung nâng cấp, giải phóng người dùng khỏi việc tải vá lỗi cập nhật Thường xuyên tích hợp phần mềm giao tiếp mạng diện rộng 1.6 Các lợi ích điện toán đám mây Điện toán đám mây đời để giải vấn đề sau: Vấn đề lưu trữ liệu Vấn đề sức mạnh tính toán Vấn đề cung cấp tài nguyên, phần mềm Tính linh động Giảm bớt phí Tạo nên độc lập Tăng cường độ tin cậy Bảo mật Bảo trì dễ dàng 1.7 Các khó khăn, thách thức Trong trình thực điện toán đám mây, người ta nhận thấy số khó khăn, thách thức sau: Về bảo mật Về khả không kiểm soát liệu CHƯƠNG II: AN NINH BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 2.1 Tổng quan an ninh bảo mật 2.1.1 Tổng quan an ninh bảo mật mạng An ninh bảo mật mạng bảo vệ mạng tổ chức, cá nhân trước việc đánh cắp sử dụng sai mục đích thông tin kinh doanh bí mật chống lại công mã độc từ virus sâu máy tính mạng Internet, Intranet Nếu an ninh mạng không triển khai tổ chức, cá nhân có khả gặp rủi ro trước xâm nhập trái phép, làm ngừng trệ hoạt động mạng, gián đoạn dịch vụ, không tuân thủ quy định chí hành động phạm pháp 2.1.1.1 Xác định nguy hệ thống mạng Một số nguy cần phải xác định sau: Lỗ hổng hệ thống việc xác định lỗ hổng hệ thống điểm truy cập vào hệ thống Xác định mối đe dọa: Đây công việc khó khăn mối đe dọa thường không xuất rõ ràng (ẩn), thời điểm quy mô phương thức công trước Không kiểm soát cấu hình hệ thống chiếm tỷ lệ lớn số lỗ hổng bảo mật Những nguy nội mạng Xác định phần mềm có nhiều lỗ hổng tạo hội cho hacker xâm nhập vào hệ thống Nguy nằm cấu trúc phần cứng thiết bị tin học, phần mềm hệ thống ứng dụng hãng sản xuất cài sẵn loại “rệp” điện tử theo ý đồ định trước, gọi “bom điện tử” Chính sách bảo mật an toàn thông tin: không chấp hành chuẩn an toàn, không xác định rõ quyền vận hành hệ thống 2.1.1.2 Một số giải pháp an ninh bảo mật mạng [10] a Hệ thống tường lửa (Firewall) Hệ thống Firewall giải pháp bảo vệ mạng hiệu phổ biến Firewall thiết bị điều khiển truy cập hệ thống mạng, hỗ trợ việc bảo vệ mạng bên tổ chức tránh công từ bên Vị trí nằm biên giới mạng mạng trong, firewall thiết bị bảo mật mạng cần thiết Hệ thống firewall thường bao gồm loại: phần cứng phần mềm, thường dùng theo phương thức ngăn chặn hay tạo luật địa khác Các phương thức kiểm soát lưu lượng vào/ra firewall: Packet Filter: Phân tích gói tin dựa theo tập luật (lọc tin) Chặn gói tin trái phép Proxy Firewall: Kiểm soát thông tin mức ứng dụng Tạo tin lớp ứng dụng gửi tới / nhận từ hệ thống có yêu cầu Stateful Inspection: Phương pháp không cần kiểm tra nội dung gói tin So sánh phần cốt lõi gói tin với sở liệu xác thực Theo dõi thông tin dựa theo đặc tính xác định trước qua chặn lại b Giải pháp mã hoá, chứng thực người dùng Giải pháp Mã hoá thông tin Mã hoá nhằm đảm bảo yêu cầu sau: Tính bí mật (confidentiality): liệu không bị xem “bên thứ 3” Tính toàn vẹn (Integrity): liệu không bị thay đổi trình truyền Tính không từ chối (Non-repudiation): chế người thực hành động chối bỏ làm, kiểm chứng nguồn gốc người đưa tin Một số giải thuật mã hoá Giải thuật băm (Hashing Encryption) Giải thuật mã hoá đồng bộ/đối xứng (Symmetric) Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric) Giải pháp chứng thực người dùng: Là trình thiết lập tính hợp lệ người dùng trước truy cập thông tin hệ thống c Giải pháp mạng riêng ảo VPN (Virtual Private Network) VPN mạng riêng ảo kết nối thông qua mạng công cộng cung cấp chế bảo mật môi trường mạng không an toàn Đặc điểm VPN liệu trình truyền mã hóa, người sử dụng đầu xa chứng thực, VPN sử dụng đa giao thức IPSec, SSL nhằm tăng thêm tính bảo mật hệ thống, bên cạnh tiết kiệm chi phí việc triển khai d Bảo mật IDS (Phát công) IDS (Intrusion Detection System) hệ thống phát xâm nhập, hệ thống bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống chuông báo động cấu hình để giám sát điểm truy cập theo dõi, phát xâm nhập attacker Có khả phát đoạn mã độc hại hoạt động hệ thống mạng có khả vượt qua firewall 2.1.1.3 Những lưu ý người sử dụng mạng Một số vấn đề an ninh bảo mật tham gia dịch vụ mạng: Thiết lập công cụ quản lý, kiểm tra điều khiển hệ thống máy tính để chống việc xâm nhập trái phép sảy Việc bảo vệ mật tên miền bạn cách cẩn thận, sử dụng mật đủ mạnh tối thiểu ký tự trở lên kết hợp chữ số chữ Bảo mật thông tin mua hàng trực tuyến: 2.1.2 An ninh bảo mật điện toán đám mây An ninh bảo mật điện toán đám mây (đôi gọi đơn giản "đám mây bảo mật") lĩnh vực phát triển bảo mật máy tính, an ninh mạng, rộng rãi an ninh thông tin Nó dùng để tập hợp rộng rãi sách, công nghệ, kiểm soát triển khai để bảo vệ liệu, ứng dụng, sở hạ tầng liên quan đến điện toán đám mây 2.1.2.1 Các vấn đề an ninh bảo mật liên quan đến điện toán đám mây Có số vấn đề an ninh bảo mật liên quan đến điện toán đám mây, tập trung vào hai loại chính: Các vấn đề an ninh bảo mật mà nhà cung cấp dịch vụ điện toán đám mây phải đối mặt (tổ chức cung cấp phần mềm, tảng, sở hạ tầng dịch vụ thông qua mô hình điện toán đám mây) Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán đám mây Trong hầu hết trường hợp, nhà cung cấp phải đảm bảo sở hạ tầng họ an toàn liệu khách hàng họ ứng dụng bảo vệ 2.1.2.2 An ninh bảo mật riêng tư liệu Để đảm bảo liệu an toàn (người sử dụng trái phép không truy cập đơn giản bị mát liệu) liệu riêng tư trì, nhà cung cấp dịch vụ điện toán đám mây tham gia vào lĩnh vực sau: Bảo vệ liệu Nhận dạng quản lý Nhà cung cấp đảm bảo máy vật lý đầy đủ an toàn việc truy cập vào máy tất liệu khách hàng khách hàng có nhu cầu truy cập không bị hạn chế Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng họ có quyền truy cập thường xuyên dự đoán trước liệu ứng dụng họ Các nhà cung cấp dịch vụ đám mây phải đảm bảo ứng dụng có sẵn dịch vụ thông qua đám mây an toàn cách thực thủ tục kiểm tra chấp nhận cho mã ứng dụng bên đóng gói Các nhà cung cấp đảm bảo tất liệu quan trọng phải cất dấu người uỷ quyền có quyền truy cập toàn liệu 2.2 Các mối đe dọa an ninh bảo mật điện toán đám mây 2.2.1 Các nguy mối đe dọa điện toán đám mây 2.2.1.1 Nguy an toàn thông tin Trong điện toán truyền thống, doanh nghiệp phải tìm đủ giải pháp để đảm bảo an toàn cho thông tin đặt hạ tầng thiết bị mình, khó để họ tin tưởng giao lại thông tin mà họ đặt xác đâu lại quản lý người không quen biết theo mô hình đám mây Vì vậy, an toàn thông tin nguy quan tâm đặc biệt 2.2.1.2 Nguy virus Do khả phá hoại lây lan nhanh, virus máy tính nguy lớn nhắc đến vấn đề an ninh bảo mật thông tin Việc tập trung hóa thông tin đám mây rút ngắn thời gian tiết kiệm tiền bạc việc diệt virus, song nguy ảnh hưởng virus không thay đổi chí nguy hiểm 2.2.1.3 Nguy lừa đảo trực tuyến lỗ hổng Web Hiện nay, đa phần người sử dụng Internet chưa nhận thức đầy đủ an ninh bảo mật thông tin Do đó, lừa đảo trực tuyến nguy an ninh bảo mật lớn thường bị hacker sử dụng để chiếm đoạt thông tin cách bất hợp pháp 2.2.1.4 Nguy công mạng Hiện giới tội phạm công nghệ cao có phương thức công mạng sau: 2.2.1.4.1 Tấn công chủ động Tấn công chủ động tên gọi công mà người công hoàn toàn công khai chủ động tổ chức thực công với mục đích làm giảm hiệu làm tê liệt hoạt động mạng máy tính hệ thống 2.2.1.4.2 Tấn công bị động Bao gồm quét, bắt trộm nghe trộm gói tin xem phương pháp công đơn giản hiệu 2.2.1.4.3 Tấn công mật Bao gồm việc dự đoán, so sánh tra mật thông qua từ điển mật 2.2.1.4.4 Tấn công mã nguồn mã mật Bao gồm phương pháp cửa sau (BackDoor), Virus, Trojans, Worms, khóa mật mã yếu thuật toán 2.2.1.5 Nguy tính sẵn sàng dịch vụ chưa đáp ứng đầy đủ 2.2.2 Các phần mềm độc hại Thuật ngữ "phần mềm độc hại" bao hàm tất loại phần mềm độc hại thiết kế để làm hại máy tính mạng Phần mềm độc hại cài đặt máy người sử dụng mà nạn nhân không hay biết, thường thông qua liên kết lừa đảo nội dung tải xuống đăng nội dung đáng mong ước Phần mềm độc hại bao gồm (nhưng không giới hạn) loại sau: 2.2.2.1 Virus máy tính Virus máy tính chương trình phần mềm có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, máy tính ) 2.2.2.2 Sâu máy tính (Worms) Sâu máy tính thường coi nhánh virus có vài khác biệt Sâu máy tính chương trình tự chép, không lây nhiễm tới tập tin máy tính virus Thay vào đó, tự cài vào máy tính lần, sau tìm cách lây lan sang máy tính khác 2.2.2.3 Trojan horse Trojan chương trình giả dạng phần mềm hợp pháp khởi động gây hại cho máy tính Trojan tự động lây lan qua máy tính, đặc tính để phân biệt chúng với virus sâu máy tính 2.2.2.4 Web ứng dụng nguy bảo mật liệu 2.2.2.4.1 Injection Các dạng công SQL Injection: - Dạng công vượt qua kiểm tra đăng nhập: Với dạng công này, tin tặc dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web - Dạng công sử dụng câu lệnh SELECT: Dạng công phức tạp Để thực kiểu công này, kẻ công phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dò tìm điểm yếu khởi đầu cho việc công - Dạng công sử dụng câu lệnh INSERT: Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để tham gia Chức thiếu sau đăng kí thành công, người dùng xem hiệu chỉnh thông tin - Dạng công sử dụng stored-procedures: Việc công storedprocedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống 'sa' 2.2.2.4.2 Lỗi cấu hình bảo mật (Security misconfiguration) Các máy chủ web máy chủ ứng dụng xương sống ứng dụng web Chúng cung cấp số dịch vụ ứng dụng web sử dụng bao gồm dịch vụ thư mục, lưu trữ liệu hòm thư điện tử 2.2.2.4.3 Lưu trữ mật mã không an toàn (Insecure cryptographic storage) 2.2.3 Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ công xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống phân loại gồm lỗ hổng C, B, A sau: Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo DoS (Denial of Services - Từ chối dịch vụ) Lỗ hổng loại B: Lỗ hổng loại cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ nên dẫn đến mát lộ thông tin yêu cầu bảo mật Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng bên truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống 2.2.4 Đánh giá chung mối đe dọa an ninh bảo mật điện toán đám mây 2.2.4.1 Nhưng đánh giá mức độ an ninh bảo mật - Giảm 30% sẵn sàng mã công - Nhiều cải tiến việc vá lỗ hổng an ninh - Sự giảm sút số lượng thư rác - Những cải tiến chất lượng phầm mềm giúp giảm nửa số lượng lỗ hổng an ninh XSS 2.2.4.2 Tin tặc thay đổi phương thức công ♦ Tin tặc điều chỉnh kỹ thuật công - Tấn công nhằm vào lỗ hổng an ninh Shell Command Injection - Gia tăng đột biết dò mật tự động - Tấn công phishing nhằm vào trang mạng xã hội dịch vụ chuyển gói ♦ Phương thức công hacker - Tin tặc công thiết bị di động tăng 19% - Tấn công nhằm vào mạng xã hội có gia tăng 2.2.4.3 Không có an toàn tuyệt đối môi trường điện toán CHƯƠNG III: TÌM HIỂU MỘT SỐ GIẢI PHÁP AN NINH BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 3.1 Hiện trạng chung an ninh bảo mật điện toán đám mây 3.2 Một số giải pháp an ninh bảo mật điện toán đám mây 3.2.1 Giải pháp tăng lực bảo mật HP 3.2.2 Giải pháp bảo mật điện toán đám mây Trend Micro 3.2.3 Giải pháp bảo mật điện toán đám mây Panda Security 3.2.4 Giải pháp bảo mật điện toán đám mây Symantec 3.2.5 Phân tích đánh giá giải pháp Mặc dù giải pháp hãng đưa dạng phương pháp bảo mật cho điện toán đám mây, xong lên nhìn nhận vào thực tế số hãng Sony, Yahoo, Amazon… bị công bị đánh cắp nhiều thông tin Chính phần lớn tổ chức tham gia dịch vụ điện toán đám mây có tâm lý chung e dè đưa liệu lên mây Để đảm bảo an ninh bảo mật nhà cung cấp dịch vụ điện toán đám mây có hiệu quả: - Yếu tố người quan trọng, người sử dụng phải đào tạo bước sử dụng công cụ an ninh bảo mật - Sự tiện lợi phương pháp an ninh bảo mật - Độ tin cậy tổ chức tham gia dịch vụ nhà cung cấp dịch vụ bới doanh nghiệp quan tâm đến yếu tố là: Cấp độ an ninh – Sự riêng tư – Sự tuân thủ pháp lý theo hợp đồng - Các nhà cung cấp dịch vụ cần công khai sách bảo mật; quyền truy cập hệ thống lưu trữ nhân viên quản trị dịch vụ điện toán đám mây - Có phản hồi tới cá nhân chịu trách nhiệm tổ chức tham gia dịch vụ có truy cập đến tài nguyên tổ chức - Các giải pháp an ninh bảo mật cho truy cập dịch vụ điện toán đám mây thiết bị di động cần phải quan tâm thích đáng CHƯƠNG IV: ĐỀ XUẤT CÁC KHUYẾN NGHỊ VỀ AN NINH BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 4.1 Mục đích việc đề xuất Đưa khuyến nghị nguyên tắc an ninh bảo mật nhà cung cấp dịch vụ điện toán đám mây tổ chức, doanh nghiệp định tham gia sử dụng dịch vụ đám mây, dựa vào ý kiến nhà cung cấp dịch vụ xem xét lại hệ thống an ninh bảo mật tăng cường an ninh bảo mật cho liệu khách hàng họ, tổ chức tham gia dịch vụ điện toán đám mây có nhìn khách quan bảo mật lựa chọn phải cân nhắc điều khoản hợp đồng ký kết với nhà cung cấp để đảm bảo liệu tổ chức an toàn bảo mật, không mát, rò rỉ 4.2 Các nguyên tắc 4.2.1 Đối với nhà cung cấp dịch vụ Tính minh bạch Giới hạn lĩnh vực sử dụng Tiết lộ Hệ thống quản lý an ninh bảo mật Khả bổ sung lĩnh vực an ninh bảo mật Đảm bảo an ninh bảo mật cho liệu khách Vị trí cất giữ liệu Thông báo rò rỉ thông tin Kiểm soát, giám sát Khả di chuyển liệu Báo cáo Bảo vệ mạng ảo Dữ liệu phụ Bảo vệ Server – Side 4.2.2 Đối với người sử dụng dịch vụ Các nguyên tắc tổ chức, cá nhân tham giac dịch vụ điện toán đám mây: - Bảo vệ Client – Side - Sự lây nhiễm virus - Vấn đề truy cập từ nội - Sở hữu liệu - Hợp đồng dịch vụ - Theo dõi - Quản lý rủi - Chính sách bảo mật - Đánh giá tài sản liệu - Để bảo vệ máy tính tổ chức, cá nhân khỏi công dạng Phishing Pharming để ăn cắp thông tin tổ chức, cá nhân cần phải lưu ý vấn đề sau : 4.2.3 Đối với nhà cung cấp thứ - Đưa điều khoản an ninh bảo mật liệu khách hàng nhà cung cấp trực tiếp ký kết hợp đồng - Triển khai biện pháp an ninh bảo mật liệu cho hệ thống máy tính khách hàng - Hướng dẫn cách phòng tránh nguy mát thông tin truy cập (User, password) - Hỗ trợ khắc phục cho tổ chức tham gia dịch vụ điện toán đám mây có cố an ninh bảo mật sảy - Khi xây dựng hệ thống phần mềm nên giảm đến mức tối thiểu lỗ hổng an ninh bảo mật phải vá lỗi lỗ hổng bị phát KẾT LUẬN Cùng với tốc độ phát triển nhanh CNTT, điện toán đám mây nhà cung cấp triển khai Việt Nam tạo lên xu cho việc ứng dụng CNTT vào hoạt động sản xuất, kinh doanh tổ chức, cá nhân an ninh bảo mật mạng máy tính nói chung điện toán đám mây nói riêng vấn đề mang tính cấp thiết, khiến cho tổ chức, cá nhân nhiều nghi ngại tham gia sử dụng dịch vụ điện toán đám mây Các tổ chức kinh doanh “đám mây” phải đảm bảo an ninh bảo mật liệu thông tin cho khách hàng họ cách an toàn Những quy định pháp lý, cam kết bảo đảm bí mật, khả an ninh bảo mật trước công ác ý từ bên vào nhà cung cấp dịch vụ có thực hiệu đáng tin cậy tổ chức, cá nhân tham gia sử dụng dịch vụ Mục đích đề tài nhằm tìm hiểu khái niệm bản, kiến trúc, công nghệ mối quan tâm an ninh bảo mật liệu trước tổ chức định sử dụng dịch vụ điện toán đám mây, nguy an ninh bảo mật “đám mây”, giải pháp an ninh bảo mật “đám mây”, tổ chức cung cấp dịch vụ đám mây để đảm bảo an ninh bảo mật triển khai điện toán đám mây An ninh bảo mật điện toán đám mây phụ thuộc vào an toàn thành phần tạo nên bao gồm phần cứng phần mềm phía máy khách, môi trường trung gian, máy trạm ảo, ứng dụng triển khai, lưu trữ liệu,…Để đảm bảo trình sử dụng dịch vụ đám mây diễn theo kỳ vọng tổ chức cần đảm bảo tất yếu tố an toàn Tuy nhiên với khuôn khổ hạn chế, luận văn số thiếu sót mang tính nghiên cứu lý thuyết, chưa có nhiều thực nghiệm Hướng nghiên cứu tập trung sâu nghiên cứu an ninh bảo mật dịch vụ PaaS điện toán đám mây, đề xuất giải pháp cho dịch vụ ... khuyến nghị an ninh bảo mật điện toán đám mây Hà Nội, ngày 10 tháng 10 năm 2012 Học viên Nguyễn Tuấn Khanh CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 Đặt vấn đề Ngày nay, công ty, doanh nghiệp, việc