HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Vũ Hải Phong NGHIÊN CỨU ỨNG DỤNG MỘT SỐ GIẢI PHÁP BẢO MẬT KẾT NỐI TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2022 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Vũ Hải Phong NGHIÊN CỨU ỨNG DỤNG MỘT SỐ GIẢI PHÁP BẢO MẬT KẾT NỐI TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY Chuyên ngành Mã số : Hệ thống thông tin : 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC TS NGUYỄN TẤT THẮNG HÀ NỘI - 2022 i LỜI CAM ĐOAN Học viên xin cam đoan luận văn cơng trình nghiên cứu thân học viên, dẫn dắt, hướng dẫn khoa học TS Nguyễn Tất Thắng Tất số liệu, thông tin, kết luận văn trung thực chưa công bố trước hình thức Ngồi ra, nội dung tham khảo kế thừa từ tác giả khác trích dẫn đầy đủ Học viên xin chịu trách nhiệm nghiên cứu Tác giả Vũ Hải Phong ii LỜI CẢM ƠN Học viên trân trọng cảm ơn Lãnh đạo Học viện Công nghệ Bưu Viễn thơng, thầy Khoa Đào tạo sau đại học Học viện dành quan tâm, tạo điều kiện động viên học viên suốt thời gian thực nghiên cứu Học viên xin bày tỏ biết ơn sâu sắc tới TS Nguyễn Tất Thắng nhiệt tình định hướng, bồi dưỡng, hướng dẫn học viên thực nội dung nghiên cứu khoa học suốt trình thực luận văn Mặc dù học viên cố gắng, nhiên, luận văn khơng tránh khỏi thiếu sót Học viên kính mong nhận đóng góp từ phía Học viện, quý thầy cô, nhà khoa học để tiếp tục hoàn thiện tạo tiền đề cho nghiên cứu Xin trân trọng cảm ơn! iii MỤC LỤC LỜI CAM ĐOAN ii LỜI CẢM ƠN ii MỤC LỤC iii MỞ ĐẦU v Lý chọn đề tài Tổng quan vấn đề nghiên cứu .1 Mục đích nghiên cứu Đối tượng phạm vi nghiên cứu .2 Phương pháp nghiên cứu .2 CHƯƠNG 1: TỔNG QUAN VÀ THỰC TRẠNG BẢO MẬT TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 1.1 Tổng quan điện toán đám mây .3 1.2 Các đặc điểm .4 1.3 Lịch sử hình thành mốc phát triển điện toán đám mây .4 1.4 Kiến trúc hệ thống điện toán đám mây .5 1.5 Các mơ hình điện tốn đám mây 1.5.1 Các mơ hình triển khai hệ thống điện tốn đám mây 1.5.2 Đám mây công cộng (Public Cloud): 1.5.3 Đám mây riêng (Private Cloud): 1.5.4 Đám mây lai (Hybrid Cloud): .9 1.5.5 Đám mây cộng đồng (Community Cloud): 1.5.6 Các mơ hình triển khai khác: .10 1.6 Các mơ hình dịch vụ (tầng đám mây cung cấp) .11 1.7 Một số nhà cung cấp dịch vụ điện toán đám mây .13 1.8 Kết luận Chương 14 CHƯƠNG 2: BẢO MẬT KẾT NỐITRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 16 2.1 Khái niệm an tồn thơng tin 16 iv 2.2 Một số tiêu chuẩn an ninh thông tin .17 2.3 Tiêu chuẩn hệ thống quản lý an ninh 17 2.4 Tiêu chuẩn an ninh thơng tin điện tốn đám mây 18 2.5 Tiêu chuẩn an ninh thông tin liệu 19 2.6 Tiêu chuẩn đánh giá an ninh thông tin 19 2.7 Một số vấn đề bảo mật ứng dụng điện toán đám mây 20 2.7.1 Quản lý định danh truy nhập 20 2.8 An minh mạng 23 2.9 Bảo vệ liệu 24 2.10 Kết luận Chương 26 CHƯƠNG 3: NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG BẢO MẬT KẾT NỐI ZERO TRUST TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 27 3.1 Xây dựng hệ thống điện toán đám mây .27 3.1.1 Giới thiệu hệ thống Google Cloud 27 3.1.2 Giới thiệu hệ thống quản lý mạng lưới Team Cloudflare 28 3.1.3 Xây dựng hệ thống điện toán đám mây .30 3.2 Thực nghiệm đánh giá 37 3.2.1 Đảm bảo an toàn truy cập Website Nội 37 3.2.2 Đảm bảo an toàn truy cập Website Public 41 3.3 Kết luận Chương 45 CHƯƠNG 4: KẾT QUẢ VÀ BÀN LUẬN 47 4.1 Kết luận .47 4.2 Kiến nghị 47 v DANH SÁCH HÌNH VẼ Hình 1.1 Mơ hình kiến trúc điện tốn đám mây Hình 1.2 Các mơ hình dịch vụ điện tốn đám mây 11 Hình 1.3 Báo cáo Magic Quadrant Công ty tư vấn CNTT Gartner năm 2019 dịch vụ điện toán đám mây giới 14 Hình 2.1 Các lớp bảo mật Zero Trust .21 Hình 3.1 Mơ hình hoạt động Hệ thống quản lý/ bảo mật Cloudflare 30 Hình 3.2 Đăng nhập giao diện hệ thống Google Cloud .31 Hình 3.3 Cấu hình máy ảo (VM) để thiết lập Cloudflare tunnel Google Cloud 32 Hình 3.4 Cấu hình máy ảo (VM) để cài đặt máy chủ web Nginx .32 Hình 3.5 Tunnel kết nối từ hệ thống Google Cloud tới Cloudflare Network 34 Hình 3.6 Thiết lập Group nhóm Team Cloudflare 34 Hình 3.7 Thiết lập WARP Client đăng nhập vào hệ thống Team 35 Hình 3.8 Tốc độ truy nhập sử dụng hệ thống bảo mật Zero Trust .35 Hình 3.9 Download OpenVPN profile login Client 36 Hình 3.10 Tốc độ truy nhập sử dụng hệ thống bảo mật OpenVPN 37 Hình 3.11 Cấu hình bảo mật Team Cloudflare cho user vuhaiphong249@gmail.com .38 Hình 3.12 Cấu hình bảo mật Team Cloudflare cho phép user truy cập port 80 38 Hình 3.13 Hệ thống OpenVPN chưa có chức cấp quyền truy cập cụ thể đến website cho user 39 Hình 3.14 Kết truy nhập user haiphongbb 39 Hình 3.15 Kết truy cập user vuhaiphong249 .40 Hình 3.16 Cấu hình giới hạn lãnh thổ truy cập cho phongvh6.com.vn/test 41 Hình 3.17 Cấu hình bảo mật Team Cloudflare cho Viettel.phongvh6.com.vn 42 Hình 3.18 Cấu hình bảo mật Team Cloudflare cho FPT.phongvh6.com.vn .42 Hình 3.19 Kết đăng nhập website phongvh6.com/test với location Bỉ 43 Hình 3.20 Kết đăng nhập với user Việt Nam 43 vi Hình 3.21 Kết đăng nhập với user Bỉ 44 Hình 3.22 Kết đăng nhập với người dùng thông thường không đăng nhập hệ thống Cloudflare Teams 45 Hình 3.23 Kết đăng nhập với người dùng thơng thường không sử dụng Cloudflare Teams 45 MỞ ĐẦU Lý chọn đề tài Ngày nay, với linh hoạt triển khai/mở rộng, tối ưu chi phí hỗ trợ tối đa nhu cầu doanh nghiệp, tổ chức, điện toán đám mây trở thành giải pháp thay mô hình sở hạ tầng truyền thống Đi kèm với phát triển vũ bão điện toán đám mây, tính bảo mật đường truyền kết nối hệ thống trở thành quan tâm hàng đầu triển khai hệ thống điện toán đám mây cho doanh nghiệp, tổ chức Để có tính bảo mật đồng thành phần, cần tham gia nhà mạng (ISP), nhà cung cấp dịch vụ cloud (Cloud Provider) hệ thống quản lý, lưu trữ liệu online để đưa hệ thống bảo mật chung nhằm tối ưu tính bảo mật kết nối liên mạng bên Trong phạm vi đề tài này, em trình bày số biện pháp bảo mật điện toán đám mây hệ thống quản lý doanh nghiệp Tổng quan vấn đề nghiên cứu Xác thực định danh kiểm soát truy nhập vào hệ thống: Hiện với cách xác thực truy nhập truyền thống, nhánh truy nhập đến trụ sở để quyền kết nối đến hệ thống điện toán đám mây, nên trụ sợ trở thành mục tiêu số công công nhằm vào hệ thống đánh cắp liệu người dùng Phương thức kết nối bên chưa đồng nhất: Các chi nhánh, trụ sở, Data Center, hệ thống điện toán đám mây sử dụng kết nối Internet truyền thống (MPLS, IP-VPN, …) để kết nối tới thành phần khác hệ thống dẫn đến bất đồng vấn đề bảo mật Hệ thống khung kết nối thành phần hệ thống điện toán đám mây: Dựa nhu cầu thực tế xây dựng hệ thống doanh nghiệp online, hệ thống bao gồm hay nhiều nhà cung cấp dịch vụ cloud, ứng dụng quản lý công việc, văn online Việc kết nối thực tự phát có nhu cầu khơng bảo mật tồn diện truy nhập liệu Mục đích nghiên cứu Hệ thống điện tốn đám mây bao gồm nhiều thành phần cấu tạo kết nối tới hệ thống bên thứ ba, kèm với việc quản trị yêu cầu xác thực định danh kiểm soát truy nhập vào hệ thống riêng lẻ, cần chuẩn hóa kết nối chung áp dụng trực tiếp lên hệ thống mạng lưới sẵn có Hệ thống bảo mật kết nối giải pháp cho vấn đề nêu Mục tiêu nghiên cứu cụ thể trình bày luận văn sau: - Tìm hiểu hệ thống bảo mật kết nối hệ thống điện toán đám mây - Ứng dụng hệ thống bảo mật kết nối vào hệ thống điện toán đám mây doanh nghiệp - Đánh giá tính khả thi Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Bảo mật kết nối hệ thống điện toán đám mây Phạm vi nghiên cứu: Cơ sở lý thuyết liên quan tới bảo mật hệ hệ thống điện toán đám mây ứng dụng bảo mật hệ hệ thống điện toán đám mây quản lý doanh nghiệp Phương pháp nghiên cứu Phương pháp lý thuyết: Khảo sát, phân tích tài liệu khoa học liên quan đến bảo mật kết nối hệ thống điện toán đám mây 35 Hình 3.7 Thiết lập WARP Client đăng nhập vào hệ thống Team - Đánh giá ảnh hưởng tốc độ truy cập sử dụng hệ thống bảo mật Zero Trust Cloudflare: Khi sử dụng hệ thống bảo mật Zero Trust gây tượng trễ ~9ms Tuy nhiên, độ trễ 9ms tương đối nhỏ, khơng gây ảnh hưởng q trình vận hành khai thác hệ thống sử dụng ứng dụng RealTime Data Streaming Hình 3.8 Tốc độ truy nhập sử dụng hệ thống bảo mật Zero Trust 36 Cấu hình hệ thống OpenVPN: - Tiến hành cài đặt hệ thống OpenVPN theo hướng dẫn [11] cho hệ điều hành Ubuntu máy ảo CF-Tunnel với thông tin sau: o External Login : https://34.81.228.150/?src=connect o User: openvpn o Password: 123456aA@ Hình 3.9 Download OpenVPN profile login Client - Đánh giá ảnh hưởng tốc độ truy cập sử dụng hệ thống OpenVPN: Khi sử dụng OpenVPN để bảo mật kết nối hệ thống điện toán đám mây gây tượng trễ ~2ms, khơng gây ảnh hưởng q trình vận hành khai thác hệ thống 37 Hình 3.10 Tốc độ truy nhập sử dụng hệ thống bảo mật OpenVPN 3.2 Thực nghiệm đánh giá 3.2.1 Đảm bảo an toàn truy cập Website Nội Yêu cầu bảo mật: - Thực cấu hình bảo mật website nội Nginx 10.140.0.3: giới hạn quyền truy cập vào port 80 (HTTP) port 22 (SSH) cho user vuhaiphong249@gmail.com nhằm giới hạn quyền tác động vào dịch vụ 10.140.0.3 - Các user lại truy cập vào port 80 website 10.140.0.3 Các quyền tác động/chỉnh sửa áp dụng cho user có quyền cao account admin Thiết lập bảo mật 38 Hình 3.11 Cấu hình bảo mật Team Cloudflare cho user vuhaiphong249@gmail.com Hình 3.82 Cấu hình bảo mật Team Cloudflare cho phép user truy cập port 80 39 Hình 3.93 Hệ thống OpenVPN chưa có chức cấp quyền truy cập cụ thể đến website cho user Kết Hình 3.104 Kết truy nhập user haiphongbb - User haiphongbb@gmail.com có quyền truy cập đến 10.140.0.3 40 Hình 3.115 Kết truy cập user vuhaiphong249 - User vuhaiphong249@gmail.com khơng có quyền truy cập đến 10.140.0.3 port 80 22 Đánh giá - Hệ thống OpenVPN chưa có chức phân quyền truy cập đến website cụ thể cho user - Hệ thống Team Cloudflare cấu hình cấp quyền cho user, đáp ứng yêu cầu: o Chỉ mở Port 80 để user truy cập lấy thông tin website o Bảo mật truy cập port 22 (SSH) nhằm chặn user có nguy tác động trực tiếp vào cấu hình hệ thống, thay đổi cài đặt o Quyền thay đổi cấu hình gán cho admin nên xảy cố rị rỉ tài khoản cá nhân, user thơng thường không vượt qua lớp bảo mật website 41 3.2.2 Đảm bảo an toàn truy cập Website Public Yêu cầu bảo mật - Bảo mật cho website phongvh6.com truy cập lãnh thổ Việt Nam - Bảo mật trang viettel.phongvh6.com truy cập lãnh thổ Việt Nam user phongvh6.viettel.com.vn - Bảo mật trang fpt.phongvh6.com truy cập lãnh thổ Việt Nam user vuhaiphong249@gmail.com Thiết lập bảo mật Hình 3.126 Cấu hình giới hạn lãnh thổ truy cập cho phongvh6.com.vn/test 42 Hình 3.137 Cấu hình bảo mật Team Cloudflare cho Viettel.phongvh6.com.vn Hình 3.148 Cấu hình bảo mật Team Cloudflare cho FPT.phongvh6.com.vn Kết 43 Hình 3.159 Kết đăng nhập website phongvh6.com/test với location Bỉ - User haiphongbb@gmail.com quyền truy cập vào trang phongvh6.com/test hệ thống xác định vị trí Bỉ, thay vào hệ thống gửi email cảnh báo bảo mật bị vi phạm Hình 3.20 Kết đăng nhập với user Việt Nam 44 - Với thông tin location Việt Nam hệ thống Cloudflare cho phép user phongvh6.viettel.com.vn đăng nhập trang web Viettel.phongvh6.com Hình 3.21 Kết đăng nhập với user Bỉ - Với thông tin location Bỉ hệ thống Cloudflare không gửi code đăng nhập tới email phongvh6.viettel.com.vn để thực đăng nhập trang web Viettel.phongvh6.com 45 Hình 3.22 Kết đăng nhập với người dùng thông thường không đăng nhập hệ thống Cloudflare Teams Hình 3.23 Kết đăng nhập với người dùng thông thường không sử dụng Cloudflare Teams Đánh giá - Khi không sử dụng hệ thống Cloudflare Teams tất người dùng mạng Internet có quyền truy cập website Viettel.phongvh6.com gây khơng kiểm soát truy nhập định danh user - Hệ thống Cloudflare Access vận hành giải pháp bảo mật Zero Trust Access giúp phân quyền cho vùng lãnh thổ nhóm user, đáp ứng yêu cầu: o Chỉ gửi email xác nhận đăng nhập tới email định danh xác định vị trí truy cập lãnh thổ cấp phép o Bảo mật truy cập cụ thể đến path website cần phân quyền tác động cho nhóm user tổ chức 3.3 Kết luận Chương Trên sở nghiên cứu hệ thống bảo mật áp dụng chương 2, chương tập trung vào xây dựng hệ thống điện toán đám mây tích hợp giải pháp bảo mật kết nối Zero Trust cho thành phần hệ thống 46 Để thực nghiệm tính hiệu ứng dụng cơng nghệ bảo mật Zero Trust, học viên tiến hành xây dựng hệ thống điện toán đám mây Google Cloud, cài đặt hệ thống mạng riêng ảo OpenVPN Cloudflare Team cấu hình kịch bảo mật hệ thống có cơng từ ngồi nội hệ thống Từ rút số kết luận, làm sở chứng minh tính hữu dụng công nghệ bảo mật Zero Trust nhằm triển khai ứng dụng thực tiễn 47 CHƯƠNG 4: KẾT QUẢ VÀ BÀN LUẬN 4.1 Kết luận Luận văn “Nghiên cứu ứng dụng số giải pháp bảo mật kết nối hệ thống điện toán đám mây” hoàn thành đạt số kết sau: Đã nghiên tìm hiểu nội dung điện toán đám mây, bao gồm khái niệm, lịch sử hình thành phát triển, vai trị, kiến trúc mơ hình dịch vụ, mơ hình triển khai điện tốn đám mây Trên cở sở đó, luận văn nghiên cứu đánh giá tiêu chuẩn an ninh số biện pháp bảo mật kết nối áp dụng nay, từ đưa hướng nghiên cứu sâu vào giải pháp bảo mật kết nối Zero Trust thực nghiệm tính hiệu ứng dụng công nghệ bảo mật Zero Trust 4.2 Kiến nghị Với nghiên cứu thực tiễn, xây dựng áp dụng giải pháp bảo mật Zero Trust, luận văn rút ưu nhược điểm giải phát đề xuất, làm sở chứng minh tính hữu dụng cơng nghệ bảo mật Zero Trust nhằm triển khai ứng dụng thực tiễn Tuy nhiên để giải triệt để vấn đề bảo mật hệ thống điện toán đám mây, cần tiếp tục thực nghiên cứu chuyển sâu, ứng dụng sâu rộng cho phần mềm lẫn phần cứng nhằm hướng đến giải pháp tối đa cho hệ thống Mặt khác, cần ứng dụng thực tiễn bảo mật kết nối cho hệ thống điện toán đám mây tương lai gần để sớm đưa chuẩn hóa bảo mật nhà cung cấp dịch vụ 48 TÀI LIỆU THAM KHẢO: Tiếng Việt: [1] IBM, Hướng dẫn bảo mật tảng giải pháp điện toán đám mây, 2017 [2] Nguyễn Đức Hải, Nghiên cứu Công nghệ Xác thực người dùng ứng dụng Quản lý truy cập Dịch vụ Điện tốn đám mây, Học viện Cơng nghệ Bưu Viễn thơng, 2013 [3] Nguyễn Minh Tiến, Nghiên cứu Bảo vệ An toàn Dữ liệu ki sử dụng Dịch vụ Lưu trữ Điện toán đám mây, Đại học Thái Nguyên, 2015 [4] Nguyễn Thị Mỹ Dung, So sánh Đặc trưng Điện toán đám mây Điện toán lưới, Trường Đại học Đồng Tháp, 2015 [5] Nguyễn Văn Trung, Nghiên cứu việc đảm bảo an tồn thơng tin hệ thống tính tốn lưới, Đại học Quốc gia Hà Nội- Trường Đại học Công nghệ, 2011 [6] Nguyễn Việt Dũng, Bảo vệ Thông tin Môi trường ảo hóa, Đại học Quốc gia Hà Nội- Trường Đại học Cơng nghệ, 2016 [7] Phạm Thị Phượng, Tìm hiểu mơ hình Điện tốn đám mây Vấn đề Bảo mật liệu Điện toán đám mây, Đại học Thái Nguyên- Trường Đại học Công nghệ thông tin truyền thơng, 2019 [8] Trần Thị Nhâm, Mơ hình Điện tốn đám mây Ứng dụng quan doanh nghiệp vừa- nhỏ, Đại học Thái Nguyên- Trường Đại học Công nghệ thông tin truyền thông, 2015 [9] Vương Thị Hải Yến, Nghiên cứu Giải pháp nâng cao an toàn bảo mật cho Điện toán đám mây, Đại học Quốc gia Hà Nội- Trường Đại học Công nghệ, 2017 Tiếng Anh [1] Amazone Web Service (AWS), Architecting for the Cloud, 2018 [2] Microsoft Security, Microsoft Zero Trust Adoption Report, 2021 49 [3] Microsoft Security, Zero Trust Essential eBook [4] Microsoft Security, Zero Trust Maturity Model Website [5] https://aws.amazon.com/vi/what-is-cloud-computing/ [6] https://viettelidc.com.vn/tin-tuc/4-loai-dich-vu-trong-mo-hinh-kim-tuthap-cloud-computing-hien-nay [7] https://tinhte.vn/thread/top-10-nha-cung-cap-dich-vu-dien-toan-dammay-hang-dau-the-gioi.2506637/ [8] https://www.mic.gov.vn/atantt/Pages/TinTuc/135655/Danh-sach-cactieu-chuan-trong-linh-vuc-an-toan-thong-tin.html [9] https://developers.cloudflare.com/cloudflare-one/setup [10] https://developers.cloudflare.com/cloudflare-one/tutorials/zero-trustnetwork-access [11] https://www.ovpn.com/en/guides/ubuntu-cli [12] https://docs.nginx.com/nginx/admin-guide/installing-nginx/installingnginx-open-source/ ... nghiên cứu: Bảo mật kết nối hệ thống điện toán đám mây Phạm vi nghiên cứu: Cơ sở lý thuyết liên quan tới bảo mật hệ hệ thống điện toán đám mây ứng dụng bảo mật hệ hệ thống điện toán đám mây quản lý... kết nối hệ thống điện toán đám mây - Ứng dụng hệ thống bảo mật kết nối vào hệ thống điện toán đám mây doanh nghiệp - Đánh giá tính khả thi Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Bảo. .. CHƯƠNG 3: NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG BẢO MẬT KẾT NỐI ZERO TRUST TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 27 3.1 Xây dựng hệ thống điện toán đám mây .27 3.1.1 Giới thiệu hệ thống Google