ttlv nguyen tuan khanh
TRANSCRIPT
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
------------------------------------------
Nguyễn Tuấn Khanh
NGHIÊN CỨU VỀ BẢO MẬT
TRONG ĐIỆN TOÁN ĐÁM MÂY
CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ : 60.48.15
TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT
HÀ NỘI – NĂM 2012
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TS. LÊ HỮU LẬP
Phản biện 1: ……………………………………………………………………………
Phản biện 2: …………………………………………………………………………..
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu
chính Viễn thông
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
MỞ ĐẦU
Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, mạng
Internet ngày càng có tốc độ nhanh hơn, cùng với đó là các dịch vụ trên mạng
Internet ngày càng nở rộ, các công nghệ mới cũng được nghiên cứu và triển khai rất
nhanh trong đó phải kể đến công nghệ “Điện toán đám mây”.
Cùng với sự phát triển của công nghệ thông tin, tội phạm công nghệ cao
ngày càng diễn biến hết sức phức tạp, chúng ăn cắp các thông tin quan trọng làm
ảnh hưởng rất lớn đến các doanh nghiệp cũng như các cá nhân. Vấn đề an ninh bảo
mật thông tin nói chung và trong Điện toán đám mây nói riêng, cần được các nhà
cung cấp các dịch vụ cũng như người sử dụng quan tâm thích đáng. Với lý do trên
học viên quan tâm và lựa chọn đề tài “ Nghiên cứu về bảo mật trong điện toán đám
mây”
Mục đích của đề tài
Nghiên cứu phương pháp tăng cường an ninh bảo mật cho điện toán đám
mây. Từ đó có các khuyến nghị giúp doanh nghiệp, người sử dụng có các biện pháp
phòng ngừa nhằm hạn chế mức thấp nhất việc mất mát dữ liệu, rủi ro về rò rỉ thông
tin, khi cung cấp cung như tham gia sử dụng các dịch vụ điện toán đám mây.
Đối tượng và phạm vi nghiên cứu
Tập trung nghiên cứu về an ninh bảo mật trong điện toán đám mây cho nhà
cung cấp dịch vụ cũng như người sử dụng.
Phương pháp nghiên cứu
Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật trong điện
toán đám mây, đánh giá các nguy cơ tiềm tàng và đề xuất giải pháp tăng cường cơ
chế an ninh bảo mật trong điện toán đám mây.
Nội dung của luận văn được chia làm 4 chương chính. Chương 1 giới thiệu
tổng quan về điện toán đám mây. Chương 2 trình bày về an ninh bảo mật trong điện
toán đám mây. Chương 3 tìm hiểu một số giải pháp an ninh bảo mật trong điện toán
đám mây của một số hãng bảo mật và cung cấp dịch vụ điện toán đám mây. Chương
4 đề xuất một số khuyến nghị về an ninh bảo mật trong điện toán đám mây.
Hà Nội, ngày 10 tháng 10 năm 2012
Học viên
Nguyễn Tuấn Khanh
CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1 Đặt vấn đề
Ngày nay, đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu quả dữ liệu
của riêng công ty cũng như dữ liệu khách hàng, đối tác là một trong những bài toán
được ưu tiên hàng đầu và đang không ngừng gây khó khăn cho họ. Để có thể quản
lý được nguồn dữ liệu đó, ban đầu các doanh nghiệp phải đầu tư, tính toán rất nhiều
loại chi phí, như chi phí cho phần cứng, phần mềm, thiết bị mạng, chi phí cho quản
trị viên, chi phí bảo trì, sửa chữa,…Ngoài ra họ còn phải tính toán khả năng mở
rộng, nâng cấp thiết bị; phải kiểm soát việc bảo mật dữ liệu cũng như tính sẵn sàng
cao của dữ liệu. Từ một bài toán điển hình như vậy, chúng ta thấy được rằng nếu có
một nơi tin cậy giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các doanh
nghiệp sẽ không quan tâm nhiều đến cơ sở hạ tầng, công nghệ mà chỉ tập trung
chính vào công việc kinh doanh của họ thì sẽ mang lại cho họ hiệu quả và lợi
nhuận ngày càng cao hơn. Thuật ngữ “cloud computing” ra đời bắt nguồn từ một
trong những hoàn cảnh như vậy. “Cloud computing” còn được xuất phát từ ý tưởng
đưa tất cả mọi thứ như dữ liệu, phần mềm, tính toán…lên trên mạng Internet.
Chúng ta sẽ không còn trông thấy các máy chủ của riêng các doanh nghiệp để lưu
trữ dữ liệu, phần mềm nữa mà chỉ còn một số các “máy chủ ảo” tập trung ở trên
mạng. Các “máy chủ ảo” sẽ cung cấp các dịch vụ giúp cho doanh nghiệp có thể
quản lý dữ liệu dễ dàng hơn, họ sẽ chỉ trả chi phí cho lượng sử dụng dịch vụ của họ,
mà không cần phải đầu tư nhiều vào cơ sở hạ tầng cũng như quan tâm đến sự phát
triển của công nghệ. Xu hướng này đặc biệt có lợi cho các công ty, doanh nghiệp
vừa và nhỏ.
1.2 Khái niệm cơ bản điện toán đám mây
Theo Wikipedia [2]:
“Điện toán đám mây (cloud computing) là một mô hình điện toán có khả
năng co giãn (scalable) linh động và các tài nguyên thường được ảo hóa được cung
cấp như một dịch vụ trên mạng Internet”.
Điện toán đám mây, còn gọi là điện toán máy chủ ảo, là mô hình điện toán
(hình 1.1) sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet.
Hình 1.1 Mô hình Điện toán đám mây
Theo Gartner [19]: “Một mô hình điện toán nơi mà khả năng mở rộng và linh
hoạt về công nghệ thông tin được cung cấp như một dịch vụ cho nhiều khách
hàng đang sử dụng các công nghệ trên Internet”.
Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà
hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ,
các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được
phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”.
Theo Viện Tiêu chuẩn và Công nghệ (NIST) đã đưa ra nghĩa định nghĩa như
sau [14]: “Điện toán đám mây là một mô hình cho phép ở một vị trí thuận tiện,
khách hàng có thể truy cập mạng theo yêu cầu và được chia sẻ tài nguyên máy tính
(mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) được nhanh chóng từ nhà cung cấp.
Trong trường hợp xấu nhất thì cũng phải cung cấp dịch vụ hoạt động ở mức tương
tác”.
1.3 Mô hình tổng quan của điện toán đám mây
1.3.1 Mô hình tổng quan của điện toán đám mây
Theo định nghĩa, các nguồn điện toán khổng lồ như phần mềm, dịch vụ ... sẽ
nằm tại các máy chủ ảo trên Internet thay vì trong máy tính gia đình và văn phòng
(trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần.
Hiện nay, các nhà cung cấp đưa ra nhiều dịch vụ của điện toán đám mây theo
nhiều hướng khác nhau, đưa ra các chuẩn riêng cũng như cách thức hoạt động khác
nhau [2]. Do đó, việc tích hợp các đám mây để giải quyết một bài toán lớn của
khách hàng vẫn còn là một vấn đề khó khăn. Chính vì vậy, các nhà cung cấp dịch
vụ đang có xu hướng tích hợp các đám mây lại với nhau và đưa ra các chuẩn chung
để giải quyết các bài toán lớn của khách hàng.
1.3.2 Mô hình kiến trúc điện toán đám mây
1.3.2.1 Thành phần
Hai thành phần quan trọng của kiến trúc điện toán đám mây được biết đến là
front end và back end.
Front end là phần phía khách hàng dùng máy tính. Nó bao gồm hệ thống mạng
của khách hàng (hoặc máy tính) và các ứng dụng được sử dụng để truy cập vào đám
mây thông qua giao diện người dùng có thể là một trình duyệt web.
Back end chính là đám mây, bao gồm các máy tính khác nhau, máy chủ và các
thiết bị lưu trữ dữ liệu.
1.3.2.2 Mô hình kiến trúc
Đối với mạng Internet như hiện nay thì các tổ chức đã được lập ra để quản lí
và cùng thống nhất với nhau về các giao thức, các mô hình. Các thiết bị hoạt động
trong Internet được thiết kế sao cho phù hợp với mô hình điện toán đám mây. Trong
điện toán đám mây cũng hình thành nên mô hình cho chính nó (hình 1.4). Bao gồm
các thành phần sau:
- Thành phần Ứng dụng cung cấp các dịch vụ phần mềm đến các tổ chức cá
nhân có nhu cầu sử dụng.
- Thành phần Nền tảng cung cấp các dịch vụ cơ bản là các bộ công cụ để phát
triển, thử nghiệm và triển khai ứng dụng trên nền điện toán đám mây cho khách
hàng.
- Thành phần Cơ sở hạ tầng cung cấp các dịch vụ máy chủ, lưu trữ dữ liệu, cơ
sở dữ liệu cũng như các công cụ quản trị tài nguyên đó cho các tổ chức, cá nhân có
nhu cầu.
1.3.3 Các mô hình triển khai
Trong điện toán đám mây các nhà cung cấp dịch vụ đã đưa ra 4 mô hình [7] để
các tổ chức, cá nhân lựa chọn tùy thuộc vào nhu cầu và đặc thù công việc, cũng như
chi phí mà tổ chức, cá nhân bỏ ra để tham gia sử dụng các dịch vụ điện toán đám
mây.
Những mô hình này bao gồm: Đám mây công cộng, đám mây riêng, đám mây
lai và đám mây cộng đồng. Sau đây là các mô hình điện toán đám mây đã được
triển khai.
1.3.3.1 Đám mây “công cộng” – Public Cloud Computing
Mô hình đầu tiên được nói đến khi đề cập tới điện toán đám mây chính là mô
hình đám mây công cộng. Đây là mô hình mà hạ tầng điện toán đám mây được một
tổ chức sỡ hữu và cung cấp dịch vụ rộng rãi cho tất cả các khách hàng thông qua hạ
tầng mạng Internet hoặc các mạng công cộng diện rộng. Các ứng dụng khác nhau
chia sẻ chung tài nguyên tính toán, mạng và lưu trữ. Do vậy, hạ tầng điện toán đám
mây được thiết kế để đảm bảo cô lập về dữ liệu giữa các khách hàng và tách biệt về
truy cập.
1.3.3.2 Đám mây riêng – Private Cloud Computing
Là các dịch vụ đám mây được cung cấp trong doanh nghiệp. Những đám mây
này tồn tại bên trong mô hình mạng công ty và chúng được doanh nghiệp quản lý.
Các đám mây riêng đưa ra nhiều lợi ích giống như các đám mây chung, điểm
khác biệt chính là doanh nghiệp chịu trách nhiệm thiết lập và bảo trì đám mây. Việc
thiết lập đám mây riêng đôi khi không còn chi phí cho việc sử dụng và duy trì hoạt
động liên tục của đám mây và có thể vượt quá chi phí khi sử dụng một đám mây
chung.
Các đám mây riêng có nhiều lợi thế hơn so với đám mây chung. Việc kiểm
soát chi tiết các tài nguyên khác nhau trên đám mây giúp công ty có các lựa chọn
cấu hình phù hợp. Các đám mây riêng sẽ rất lý tưởng khi công việc đang được thực
hiện không cần đến một đám mây chung và sẽ không lo ngại tới vấn đề an ninh,
quản lý.
1.3.2.3 Đám mây lai – Hybrid Cloud Computing
Đám mây lai là sự kết hợp của các đám mây công cộng và riêng (hình 1.9).
Những đám mây này thường do doanh nghiệp tạo ra và chịu trách nhiệm quản lý.
Nó được phân chia giữa doanh nghiệp và nhà cung cấp đám mây công cộng. Đám
mây lai sử dụng các dịch vụ có trong cả đám mây công cộng và đám mây riêng.
Các đám mây lai hầu hết thường được sử dụng làm những việc sau:
- Là nơi các ứng dụng lưu trú trong đám mây và các ứng dụng quan trọng vẫn
còn trên trang web.
- Là nơi thí nghiệm, nơi đám mây được sử dụng với vùng làm việc tạm thời.
- Khả năng bổ sung hay bùng nổ dịch vụ nơi đám mây được sử dụng cho các
đột biến bất ngờ.
Hạn chế chính với đám mây lai là khó khăn trong việc tạo ra và quản lý chúng.
Giải pháp đặt ra là tiếp nhận và cung cấp các dịch vụ từ các nguồn khác nhau như
thể chúng có nguồn gốc từ một nơi và có thể tương tác giữa các đám mây riêng và
chung.
1.3.2.4 Đám mây cộng đồng - Community Cloud Computing
Các đám mây cộng đồng là các đám mây được chia sẻ bởi một số tổ chức và
hỗ trợ một cộng đồng cụ thể có mối quan tâm chung như: chung mục đích, yêu cầu
an ninh, chính sách.
Một đám mây cộng đồng có thể được thiết lập bởi một số tổ chức có yêu cầu
tương tự và tìm cách chia sẻ cơ sở hạ tầng để thực hiện một số lợi ích của điện toán
đám mây.
Mô hình điện toán đám mây cộng đồng tốn kém hơn những mô hình điện toán
khác như: đám mây công cộng, đám mây riêng, đám mây lai, nhưng nó có thể đáp
ứng về sự riêng tư, an ninh hoặc tuân thủ các chính sách tốt hơn.
1.4 Đặc điểm của điện toán đám mây
Điện toán đám mây có các đặc điểm chính sau đây:
- Nhanh chóng cải thiện với người dùng có khả năng cung cấp sẵn các tài
nguyên cơ sở hạ tầng công nghệ một cách nhanh chóng và ít tốn kém.
- Chi phí được giảm đáng kể và chi phí vốn đầu tư được chuyển sang hoạt
động khác của doanh nghệp.
- Sự độc lập giữa thiết bị và vị trí làm cho người dùng có thể truy cập hệ thống
bằng cách sử dụng trình duyệt web mà không quan tâm đến vị trí của họ hay thiết bị
nào mà họ đang dùng, ví dụ như PC, mobile.
- Nhiều người sử dụng giúp chia sẻ tài nguyên và giá thành, cho phép tập trung
hóa cơ sở hạ tầng, tận dụng hiệu quả các hệ thống.
- Độ tin cậy được cải thiện
- Phân phối theo nhu cầu sử dụng.
- Quản lý được hiệu suất hoạt động và các kiến trúc nhất quán, kết nối được
dùng là cấu trúc web service để giao tiếp hệ thống.
- Việc bảo mật được cải thiện nhờ vào tập trung hóa dữ liệu, các tài nguyên
chú trọng bảo mật,..v.v…nhưng cũng nâng cao mối quan tâm về việc mất quyền
điều khiển dữ liệu nhạy cảm.
- Khả năng duy trì và ổn định.
1.5 Các loại dịch vụ của điện toán đám mây
Điện toán đám mây cung cấp các dịch vụ khác nhau theo các mô hình dịch vụ
đám mây khác nhau.
Có ba loại dịch vụ của điện toán đám mây chính sau:
1.5.1 Dịch vụ hạ tầng (Iaas)
Cung cấp cho người dùng hạ tầng thô (thường là dưới hình thức các máy ảo)
như là một dịch vụ.
Dịch vụ IaaS cung cấp các dịch vụ cơ bản chẳng hạn như các máy chủ ảo, lưu
trữ dữ liệu, và cơ sở dữ liệu trên một nền tảng để triển khai và chạy các ứng dụng
của người sử dụng.
a. Những đặc trưng tiêu biểu của dịch vụ hạ tầng:
� Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bị mạng, bộ
nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ liệu.
� Khả năng mở rộng linh hoạt.
� Chi phí thay đổi tùy theo thực tế.
� Nhiều người thuê có thể cùng dùng chung trên một tài nguyên.
� Cấp độ doanh nghiệp: đem lại lợi ích cho công ty bởi một nguồn tài nguyên
tính toán tổng hợp.
b. Lợi ích của IaaS
Các tổ chức, cá nhân tiết kiệm được vốn đầu tư vào hệ thống là rất lớn, vì các
doanh nghiệp sẽ không cần phải đầu tư thêm các máy chủ, thường chỉ chạy 70%
công suất hai hoặc ba lần trong năm, thời gian còn lại chỉ chạy 7-10% tải.
1.5.2 Dịch vụ nền tảng (Paas)
Dịch vụ nền tảng cung cấp giao diện lập trình ứng dụng (API-Application
Programing Interface) cho phát triển ứng dụng trên một nền tảng trừu tượng . PaaS
cung cấp nền tảng tinh toán và một tập các giải pháp nhiều lớp. Nó hỗ trợ việc triển
khai ứng dụng mà người sử dụng không cần quan tâm đến sự phức tạp của việc
trang bị và quản lý các lớp phần cứng và phần mềm bên dưới. PaaS cung cấp tất cả
các tính năng cần thiết để hỗ trợ chu trình sống của việc xây dựng, cung cấp một
ứng dụng và dịch vụ web sẵn sàng trên Internet mà không cần bất kì thao tác tải hay
cài đặt phần mềm cho những người phát triển, quản lý tin học, hay người dùng cuối.
Nó còn được biết đến với một tên khác là cloudware.
a. Những đặc trưng tiêu biểu:
� Phục vụ cho việc phát triển, triển khai và vận hành ứng dụng giống như là môi
trường phát triển tích hợp
� Các công cụ khởi tạo với giao diện trên nền web.
� Kiến trúc đồng nhất.
� Tích hợp dịch vụ web và cơ sở dữ liệu.
� Hỗ trợ cộng tác nhóm phát triển.
� Công cụ hỗ trợ tiện tích.
b. Thuận lợi và khó khăn:
Một số thuận lợi:
� Dịch vụ nền tảng đang ở thời kì đầu và được ưa chuộng ở những tính năng vốn
được ưa thích bởi dịch vụ phần mềm, bên cạnh đó có tích hợp các yếu tố về nền
tảng hệ thống.
� Ưu điểm trong những dự án tập hợp những công việc nhóm có sự phân tán về
địa lý.
� Khả năng tích hợp nhiều nguồn của dich vụ web
� Giảm chi phí ngoài lề khi tích hợp các dịch vụ về bảo mật, khả năng mở rộng,
kiểm soát lỗi…
� Giảm chi phí khi trừu tượng hóa công việc lập trình ở mức cao để tạo dục vụ,
giao diện người dùng và các yếu tố ứng dụng khác.
� Tạo điều kiện dễ dàng hơn cho việc phát triển ứng dụng đa người dùng cho
những người không chỉ trong nhóm lập trình mà có thể kết hợp nhiều nhóm cùng
làm việc
Một số Khó khăn:
� Ràng buộc bởi nhà cung cấp: nghĩa là một khách hàng phụ thuộc vào một nhà
cung cấp và không thể sử dụng nhà cung cấp khác mà không phải chịu chi phí
chuyển đổi đáng kể.
� Giới hạn phát triển: độ phức tạp khiến nó không phù hợp với yêu cầu phát triển
nhanh vì những tính năng phức tạp khi hiện thực trên nền tảng web
1.5.3 Dịch vụ phần mềm ứng dụng (SaaS)
Dịch vụ phần mềm là một mô hình triển khai ứng dụng mà ở đó người cung
cấp cho người sử dụng dịch vụ theo yêu cầu. Những nhà cung cấp SaaS có thể lưu
trữ ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị khách hàng, vô
hiệu hóa nó sau khi kết thúc thời hạn.
Những đặc trưng tiêu biểu:
� Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng.
� Quản lý các hoạt dộng từ một vị trí tập trung hơn là tại mỗi nơi của khách hàng,
cho phép khác hàng truy xuất từ xa thông qua web.
� Cung cấp ứng dụng thông thường gần gũi với mô hình ánh xạ từ một đến nhiều
hơn là mô hình ánh xạ từ một đến một bao gồm cả các đặc trưng kiến trúc, giá
cả và quản lý.
� Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việc tải các
bản vá lỗi và cập nhật.
� Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diện rộng
1.6 Các lợi ích của điện toán đám mây
Điện toán đám mây ra đời để giải quyết các vấn đề sau:
� Vấn đề về lưu trữ dữ liệu
� Vấn đề về sức mạnh tính toán
� Vấn đề về cung cấp tài nguyên, phần mềm.
� Tính linh động
� Giảm bớt phí
� Tạo nên sự độc lập
� Tăng cường độ tin cậy.
� Bảo mật.
� Bảo trì dễ dàng.
1.7 Các khó khăn, thách thức
Trong quá trình hiện thực điện toán đám mây, người ta nhận thấy một số khó
khăn, thách thức sau:
� Về bảo mật
� Về khả năng không kiểm soát dữ liệu
CHƯƠNG II: AN NINH BẢO MẬT TRONG ĐIỆN TOÁN
ĐÁM MÂY
2.1 Tổng quan về an ninh bảo mật
2.1.1 Tổng quan về an ninh bảo mật mạng
An ninh bảo mật mạng bảo vệ mạng của các tổ chức, cá nhân trước việc đánh
cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng
mã độc từ virus và sâu máy tính trên mạng Internet, Intranet. Nếu an ninh mạng
không được triển khai các tổ chức, cá nhân có khả năng sẽ gặp rủi ro trước xâm
nhập trái phép, làm ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không
tuân thủ quy định và thậm chí là các hành động phạm pháp.
2.1.1.1. Xác định các nguy cơ đối với hệ thống mạng
Một số nguy cơ cần phải xác định sau:
� Lỗ hổng của hệ thống việc xác định các lỗ hổng của hệ thống được bắt đầu
từ các điểm truy cập vào hệ thống.
� Xác định các mối đe dọa: Đây là một công việc khó khăn vì các mối đe dọa
thường không xuất hiện rõ ràng (ẩn), thời điểm và quy mô cũng như phương
thức tấn công không biết trước.
� Không kiểm soát hoặc mất cấu hình hệ thống chiếm một tỷ lệ lớn trong số
các lỗ hổng bảo mật.
� Những nguy cơ trong nội bộ mạng.
� Xác định các phần mềm có nhiều lỗ hổng tạo cơ hội cho hacker xâm nhập
vào hệ thống.
� Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học, trong
phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại “rệp” điện
tử theo ý đồ định trước, gọi là “bom điện tử”.
� Chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn,
không xác định rõ các quyền trong vận hành hệ thống.
2.1.1.2. Một số giải pháp an ninh bảo mật mạng [10]
a. Hệ thống tường lửa (Firewall)
Hệ thống Firewall là giải pháp bảo vệ mạng hiệu quả và phổ biến nhất hiện
nay.
Firewall là thiết bị điều khiển truy cập của hệ thống mạng, hỗ trợ việc bảo vệ
mạng bên trong của tổ chức tránh được những cuộc tấn công từ bên ngoài. Vị trí
nằm trên biên giới giữa mạng ngoài và mạng trong, firewall là một thiết bị bảo mật
mạng cần thiết. Hệ thống firewall thường bao gồm 2 loại: phần cứng và phần mềm,
thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ
khác nhau.
Các phương thức kiểm soát lưu lượng vào/ra của firewall:
� Packet Filter: Phân tích các gói tin dựa theo tập luật (lọc tin). Chặn gói tin
trái phép.
� Proxy Firewall: Kiểm soát thông tin mức ứng dụng. Tạo các bản tin lớp
ứng dụng gửi tới / nhận từ các hệ thống có yêu cầu
� Stateful Inspection: Phương pháp không cần kiểm tra nội dung từng gói tin.
So sánh các phần cốt lõi của gói tin với cơ sở dữ liệu xác thực. Theo dõi
thông tin dựa theo các đặc tính xác định trước để cho qua hoặc chặn lại.
b. Giải pháp mã hoá, chứng thực người dùng
� Giải pháp Mã hoá thông tin
Mã hoá nhằm đảm bảo các yêu cầu sau:
� Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”.
� Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình
truyền.
� Tính không từ chối (Non-repudiation): là cơ chế người thực hiện hành
động không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được
nguồn gốc hoặc người đưa tin.
Một số giải thuật mã hoá
� Giải thuật băm (Hashing Encryption)
� Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)
� Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)
� Giải pháp chứng thực người dùng: Là quá trình thiết lập tính hợp lệ của
người dùng trước khi truy cập thông tin trong hệ thống.
c. Giải pháp mạng riêng ảo VPN (Virtual Private Network)
VPN là một mạng riêng ảo được kết nối thông qua mạng công cộng cung cấp
cơ chế bảo mật trong một môi trường mạng không an toàn. Đặc điểm của VPN là
dữ liệu trong quá trình truyền được mã hóa, người sử dụng đầu xa được chứng thực,
VPN sử dụng đa giao thức như IPSec, SSL nhằm tăng thêm tính bảo mật của hệ
thống, bên cạnh đó tiết kiệm được chi phí trong việc triển khai.
d. Bảo mật bằng IDS (Phát hiện tấn công)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống
bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống chuông
báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự
xâm nhập của các attacker. Có khả năng phát hiện ra các đoạn mã độc hại hoạt động
trong hệ thống mạng và có khả năng vượt qua được firewall.
2.1.1.3. Những lưu ý đối với người sử dụng mạng
Một số vấn đề về an ninh bảo mật khi tham gia các dịch vụ trên mạng:
� Thiết lập các công cụ quản lý, kiểm tra và điều khiển hệ thống máy tính để
chống việc xâm nhập trái phép sảy ra.
� Việc bảo vệ mật khẩu tên miền của bạn một cách cẩn thận, sử dụng những mật
khẩu đủ mạnh tối thiểu là 8 ký tự trở lên kết hợp chữ số và chữ cái..
� Bảo mật thông tin khi mua hàng trực tuyến:
2.1.2 An ninh bảo mật trong điện toán đám mây
An ninh bảo mật điện toán đám mây (đôi khi được gọi đơn giản là "đám mây
bảo mật") là một lĩnh vực mới trong sự phát triển của bảo mật máy tính, an ninh
mạng, và rộng rãi hơn an ninh thông tin. Nó dùng để chỉ một tập hợp rộng rãi các
chính sách, công nghệ, và kiểm soát triển khai để bảo vệ dữ liệu, ứng dụng, và cơ sở
hạ tầng liên quan đến điện toán đám mây.
2.1.2.1 Các vấn đề an ninh bảo mật liên quan đến điện toán đám mây
Có một số vấn đề an ninh bảo mật liên quan đến điện toán đám mây, nhưng tập
trung vào hai loại chính:
� Các vấn đề an ninh bảo mật mà các nhà cung cấp dịch vụ điện toán đám mây
phải đối mặt (tổ chức cung cấp phần mềm, nền tảng, hoặc cơ sở hạ tầng như một
dịch vụ thông qua mô hình điện toán đám mây).
� Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán đám
mây.
Trong hầu hết trường hợp, các nhà cung cấp phải đảm bảo rằng cơ sở hạ tầng
của họ là an toàn và rằng các dữ liệu khách hàng của họ và các ứng dụng được bảo
vệ.
2.1.2.2 An ninh bảo mật sự riêng tư của dữ liệu
Để đảm bảo dữ liệu được an toàn (người sử dụng trái phép không được truy
cập hoặc chỉ đơn giản là bị mất mát dữ liệu) và dữ liệu riêng tư đó được duy trì, nhà
cung cấp dịch vụ điện toán đám mây tham gia vào các lĩnh vực sau:
� Bảo vệ dữ liệu
� Nhận dạng quản lý
� Nhà cung cấp đảm bảo rằng các máy vật lý đầy đủ an toàn và việc truy cập vào
các máy này cũng như tất cả các dữ liệu của khách hàng khi khách hàng có nhu cầu
truy cập không bị hạn chế.
� Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng rằng họ sẽ có
quyền truy cập thường xuyên và có thể dự đoán trước dữ liệu và ứng dụng của họ.
� Các nhà cung cấp dịch vụ đám mây phải đảm bảo rằng các ứng dụng có sẵn
như là một dịch vụ thông qua các đám mây được an toàn bằng cách thực hiện thủ
tục kiểm tra và chấp nhận cho mã ứng dụng bên ngoài hoặc đóng gói.
� Các nhà cung cấp đảm bảo rằng tất cả các dữ liệu quan trọng phải được cất dấu
và người được uỷ quyền mới có quyền truy cập toàn bộ dữ liệu của mình.
2.2 Các mối đe dọa về an ninh bảo mật trong điện toán đám mây
2.2.1 Các nguy cơ và các mối đe dọa trên điện toán đám mây
2.2.1.1 Nguy cơ mất an toàn thông tin
Trong điện toán truyền thống, các doanh nghiệp còn phải tìm đủ mọi giải pháp
chỉ để đảm bảo an toàn cho những thông tin đặt ngay trên hạ tầng thiết bị của chính
mình, thì rất khó để họ tin tưởng giao lại thông tin khi mà họ không biết nó được
đặt chính xác ở đâu và lại được quản lý bởi những người không quen biết theo mô
hình đám mây. Vì vậy, mất an toàn thông tin luôn là nguy cơ được quan tâm đặc
biệt nhất.
2.2.1.2 Nguy cơ virus
Do khả năng phá hoại và lây lan nhanh, virus máy tính là một trong những
nguy cơ lớn khi nhắc đến các vấn đề an ninh bảo mật thông tin. Việc tập trung hóa
thông tin trong đám mây có thể rút ngắn thời gian và tiết kiệm tiền bạc trong việc
diệt virus, song nguy cơ và ảnh hưởng của virus sẽ không thay đổi thậm chí còn
nguy hiểm hơn.
2.2.1.3 Nguy cơ lừa đảo trực tuyến và các lỗ hổng Web
Hiện nay, đa phần người sử dụng Internet vẫn chưa nhận thức đầy đủ về an
ninh bảo mật thông tin. Do đó, lừa đảo trực tuyến là một nguy cơ an ninh bảo mật
lớn và thường bị hacker sử dụng để chiếm đoạt thông tin một cách bất hợp pháp.
2.2.1.4 Nguy cơ tấn công mạng
Hiện nay giới tội phạm công nghệ cao có 4 phương thức tấn công mạng sau:
2.2.1.4.1 Tấn công chủ động
Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn công
hoàn toàn công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục
đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ
thống.
2.2.1.4.2 Tấn công bị động
Bao gồm quét, bắt trộm và nghe trộm các gói tin có thể được xem là một
phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả.
2.2.1.4.3 Tấn công mật khẩu
Bao gồm việc dự đoán, so sánh và tra mật khẩu thông qua một bộ từ điển mật
khẩu.
2.2.1.4.4 Tấn công mã nguồn và mã mật
Bao gồm các phương pháp cửa sau (BackDoor), Virus, Trojans, Worms, các
khóa mật mã yếu và thuật toán.
2.2.1.5 Nguy cơ về tính sẵn sàng của các dịch vụ chưa đáp ứng đầy đủ
2.2.2 Các phần mềm độc hại
Thuật ngữ "phần mềm độc hại" bao hàm tất cả các loại phần mềm độc hại được
thiết kế để làm hại máy tính hoặc mạng. Phần mềm độc hại có thể được cài đặt trên
máy người sử dụng mà nạn nhân không hay biết, thường thông qua các liên kết lừa
đảo hoặc nội dung tải xuống được đăng như là nội dung đáng mong ước.
Phần mềm độc hại bao gồm (nhưng không giới hạn) ở các loại sau:
2.2.2.1 Virus máy tính
Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính
nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file
chương trình, văn bản, máy tính...).
2.2.2.2 Sâu máy tính (Worms)
Sâu máy tính thường được coi là một nhánh của virus nhưng có một vài khác
biệt cơ bản. Sâu máy tính là một chương trình tự sao chép, nhưng không lây nhiễm
tới các tập tin trong máy tính như virus. Thay vào đó, nó sẽ tự cài vào máy tính chỉ
một lần, sau đó tìm cách lây lan sang máy tính khác.
2.2.2.3 Trojan horse
Trojan là chương trình giả dạng phần mềm hợp pháp nhưng khi khởi động sẽ
gây hại cho máy tính. Trojan không thể tự động lây lan qua máy tính, đây cũng là
đặc tính để phân biệt chúng với virus và sâu máy tính.
2.2.2.4 Web ứng dụng và nguy cơ bảo mật dữ liệu
2.2.2.4.1 Injection
Các dạng tấn công bằng SQL Injection:
- Dạng tấn công vượt qua kiểm tra đăng nhập: Với dạng tấn công này, tin tặc
có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi khi dùng các câu lệnh SQL
thao tác trên cơ sở dữ liệu của ứng dụng web.
- Dạng tấn công sử dụng câu lệnh SELECT: Dạng tấn công này phức tạp hơn.
Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng
các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho
việc tấn công.
- Dạng tấn công sử dụng câu lệnh INSERT: Thông thường các ứng dụng web
cho phép người dùng đăng kí một tài khoản để tham gia. Chức năng không thể thiếu
là sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của
mình.
- Dạng tấn công sử dụng stored-procedures: Việc tấn công bằng stored-
procedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi với quyền quản trị hệ
thống 'sa'.
2.2.2.4.2 Lỗi cấu hình bảo mật (Security misconfiguration)
Các máy chủ web và máy chủ ứng dụng là xương sống của một ứng dụng web.
Chúng cung cấp một số dịch vụ là các ứng dụng web sử dụng bao gồm dịch vụ thư
mục, lưu trữ dữ liệu và hòm thư điện tử.
2.2.2.4.3 Lưu trữ mật mã không an toàn (Insecure cryptographic storage)
2.2.3 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành
động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một
hệ thống được phân loại gồm lỗ hổng C, B, A như sau:
� Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức
tấn công theo DoS (Denial of Services - Từ chối dịch vụ).
� Lỗ hổng loại B: Lỗ hổng loại này cho phép người sử dụng có thêm các
quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ nên có thể dẫn đến
mất mát hoặc lộ thông tin yêu cầu bảo mật.
� Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở bên ngoài có
thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm
phá hủy toàn bộ hệ thống.
2.2.4 Đánh giá chung về các mối đe dọa về an ninh bảo mật trong điện
toán đám mây
2.2.4.1 Nhưng đánh giá về mức độ an ninh bảo mật
- Giảm 30% sự sẵn sàng của mã tấn công
- Nhiều cải tiến trong việc vá các lỗ hổng an ninh
- Sự giảm sút về số lượng thư rác
- Những cải tiến về chất lượng phầm mềm đã giúp giảm một nửa số lượng lỗ
hổng an ninh XSS
2.2.4.2. Tin tặc thay đổi phương thức tấn công
♦ Tin tặc điều chỉnh các kỹ thuật tấn công
- Tấn công nhằm vào các lỗ hổng an ninh Shell Command Injection.
- Gia tăng đột biết về dò mật khẩu tự động.
- Tấn công phishing nhằm vào các trang mạng xã hội và dịch vụ chuyển gói.
♦ Phương thức tấn công mới của hacker
- Tin tặc tấn công các thiết bị di động tăng 19%.
- Tấn công nhằm vào các mạng xã hội có sự gia tăng.
2.2.4.3 Không có sự an toàn tuyệt đối trong môi trường điện toán
CHƯƠNG III: TÌM HIỂU MỘT SỐ GIẢI PHÁP AN NINH
BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY
3.1 Hiện trạng chung về an ninh bảo mật trong điện toán đám mây
3.2 Một số giải pháp an ninh bảo trong mật điện toán đám mây
3.2.1 Giải pháp tăng năng lực bảo mật của HP
3.2.2 Giải pháp bảo mật điện toán đám mây của Trend Micro
3.2.3 Giải pháp bảo mật điện toán đám mây của Panda Security
3.2.4 Giải pháp bảo mật điện toán đám mây của Symantec
3.2.5 Phân tích đánh giá các giải pháp
Mặc dù các giải pháp của các hãng đưa ra rất đang dạng về các phương pháp
bảo mật cho điện toán đám mây, xong chúng ta cũng lên nhìn nhận vào một thực tế
là một số hãng như Sony, Yahoo, Amazon… bị tấn công và bị đánh cắp rất nhiều
thông tin. Chính vì vậy phần lớn các tổ chức tham gia các dịch vụ điện toán đám
mây đều có tâm lý chung là e dè khi đưa dữ liệu lên mây.
Để đảm bảo an ninh bảo mật của các nhà cung cấp dịch vụ điện toán đám mây
có hiệu quả:
- Yếu tố con người rất quan trọng, người sử dụng phải được đào tạo bài bản các
bước sử dụng các công cụ an ninh bảo mật.
- Sự tiện lợi của các phương pháp an ninh bảo mật.
- Độ tin cậy của các tổ chức tham gia dịch vụ đối với nhà cung cấp dịch vụ bới vì
các doanh nghiệp quan tâm đến 3 yếu tố chính đó là: Cấp độ an ninh – Sự riêng tư –
Sự tuân thủ pháp lý theo hợp đồng.
- Các nhà cung cấp dịch vụ cần công khai chính sách bảo mật; quyền truy cập hệ
thống lưu trữ đối với nhân viên quản trị dịch vụ điện toán đám mây.
- Có sự phản hồi tới cá nhân chịu trách nhiệm chính của tổ chức tham gia dịch vụ
khi có sự truy cập đến tài nguyên của tổ chức.
- Các giải pháp an ninh bảo mật cho các truy cập dịch vụ điện toán đám mây trên
các thiết bị di động cần phải được quan tâm thích đáng.
CHƯƠNG IV: ĐỀ XUẤT CÁC KHUYẾN NGHỊ VỀ AN NINH
BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY
4.1 Mục đích của việc đề xuất
Đưa ra những khuyến nghị về các nguyên tắc an ninh bảo mật đối với các nhà
cung cấp dịch vụ điện toán đám mây cũng như các tổ chức, doanh nghiệp khi quyết
định tham gia sử dụng các dịch vụ đám mây, dựa vào các ý kiến này các nhà cung
cấp dịch vụ sẽ xem xét lại hệ thống an ninh bảo mật và tăng cường an ninh bảo mật
cho các dữ liệu khách hàng của họ, các tổ chức khi tham gia các dịch vụ điện toán
đám mây có cái nhìn khách quan về bảo mật và lựa chọn cũng như phải cân nhắc
các điều khoản trong hợp đồng khi ký kết với các nhà cung cấp để đảm bảo dữ liệu
của tổ chức luôn được an toàn bảo mật, không mất mát, rò rỉ.
4.2 Các nguyên tắc cơ bản
4.2.1 Đối với nhà cung cấp dịch vụ
� Tính minh bạch
� Giới hạn lĩnh vực sử dụng.
� Tiết lộ.
� Hệ thống quản lý an ninh và bảo mật.
� Khả năng bổ sung trong lĩnh vực an ninh và bảo mật.
� Đảm bảo an ninh bảo mật cho các dữ liệu của khách .
� Vị trí cất giữ dữ liệu.
� Thông báo về rò rỉ thông tin.
� Kiểm soát, giám sát.
� Khả năng di chuyển dữ liệu.
� Báo cáo.
� Bảo vệ mạng ảo.
� Dữ liệu phụ.
� Bảo vệ Server – Side.
4.2.2 Đối với người sử dụng dịch vụ
Các nguyên tắc cơ bản của các tổ chức, cá nhân khi tham giac các dịch vụ điện
toán đám mây:
- Bảo vệ Client – Side
- Sự lây nhiễm virus
- Vấn đề truy cập từ nội bộ.
- Sở hữu dữ liệu.
- Hợp đồng dịch vụ
- Theo dõi
- Quản lý rủi do.
- Chính sách bảo mật.
- Đánh giá tài sản dữ liệu
- Để bảo vệ máy tính của các tổ chức, cá nhân khỏi các cuộc tấn công dạng
Phishing và Pharming để ăn cắp thông tin thì các tổ chức, cá nhân cần phải lưu ý
các vấn đề sau :
4.2.3 Đối với nhà cung cấp thứ 3
- Đưa ra các điều khoản về an ninh bảo mật dữ liệu của khách hàng đối với các
nhà cung cấp trực tiếp khi ký kết hợp đồng.
- Triển khai các biện pháp an ninh bảo mật dữ liệu cho hệ thống máy tính của
khách hàng.
- Hướng dẫn cách phòng tránh nguy cơ mất mát thông tin truy cập (User,
password).
- Hỗ trợ và khắc phục cho các tổ chức tham gia dịch vụ điện toán đám mây khi có
sự cố an ninh bảo mật sảy ra.
- Khi xây dựng hệ thống phần mềm nên giảm đến mức tối thiểu các lỗ hổng an
ninh bảo mật và phải vá lỗi khi lỗ hổng bị phát hiện.
KẾT LUẬN
Cùng với tốc độ phát triển nhanh của CNTT, điện toán đám mây đã được các
nhà cung cấp triển khai tại Việt Nam tạo lên một xu thế mới cho việc ứng dụng
CNTT vào các hoạt động sản xuất, kinh doanh của các tổ chức, cá nhân chính vì
vậy an ninh bảo mật mạng máy tính nói chung và điện toán đám mây nói riêng là
vấn đề mang tính cấp thiết, nó khiến cho các tổ chức, cá nhân còn nhiều nghi ngại
khi tham gia sử dụng các dịch vụ điện toán đám mây.
Các tổ chức kinh doanh những “đám mây” phải đảm bảo an ninh bảo mật về dữ
liệu và thông tin cho các khách hàng của họ một cách an toàn. Những quy định
pháp lý, những cam kết bảo đảm bí mật, khả năng an ninh bảo mật trước các cuộc
tấn công ác ý từ bên ngoài vào những nhà cung cấp dịch vụ này có thực sự hiệu quả
và đáng tin cậy đối với các tổ chức, cá nhân tham gia sử dụng các dịch vụ. Mục đích
của đề tài này nhằm tìm hiểu về các khái niệm cơ bản, kiến trúc, các công nghệ và
các mối quan tâm về an ninh bảo mật dữ liệu trước khi các tổ chức quyết định sử
dụng dịch vụ điện toán đám mây, các nguy cơ về an ninh bảo mật trong “đám mây”,
các giải pháp về an ninh bảo mật trong “đám mây”, các tổ chức cung cấp dịch vụ
đám mây để đảm bảo an ninh bảo mật khi triển khai điện toán đám mây.
An ninh bảo mật điện toán đám mây còn phụ thuộc vào sự an toàn của các thành
phần tạo nên nó bao gồm cả phần cứng và phần mềm phía máy khách, môi trường
trung gian, máy trạm ảo, các ứng dụng triển khai, lưu trữ dữ liệu,…Để đảm bảo
rằng quá trình sử dụng các dịch vụ đám mây được diễn ra theo đúng kỳ vọng các tổ
chức cần đảm bảo rằng tất cả các yếu tố này đều được an toàn.
Tuy nhiên với khuôn khổ hạn chế, luận văn còn một số thiếu sót và chỉ mang
tính nghiên cứu lý thuyết, chưa có nhiều những thực nghiệm. Hướng nghiên cứu
tiếp theo sẽ tập trung đi sâu nghiên cứu về an ninh bảo mật dịch vụ PaaS của điện
toán đám mây, đề xuất các giải pháp cho dịch vụ này.