HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Vũ Hải Phong NGHIÊN CỨU ỨNG DỤNG MỘT SỐ GIẢI PHÁP BẢO MẬT KẾT NỐI TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY Chuyên ngành Mã số : Hệ thống thơng tin : 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2022 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Nguyễn Tất Thắng Phản biện 1: PGS TS Trần Đình Quế Phản biện 2: TS Tạ Quang Hùng Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: giờ, ngày 15 tháng 01 năm 2022 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng 1 MỞ ĐẦU Ngày nay, với linh hoạt triển khai/mở rộng, tối ưu chi phí hỗ trợ tối đa nhu cầu doanh nghiệp, tổ chức, điện toán đám mây trở thành giải pháp thay mơ hình sở hạ tầng truyền thống Đi kèm với phát triển vũ bão điện toán đám mây, tính bảo mật đường truyền kết nối hệ thống trở thành quan tâm hàng đầu triển khai hệ thống điện toán đám mây cho doanh nghiệp, tổ chức Để có tính bảo mật đồng thành phần, cần tham gia nhà mạng (ISP), nhà cung cấp dịch vụ cloud (Cloud Provider) hệ thống quản lý, lưu trữ liệu online để đưa hệ thống bảo mật chung nhằm tối ưu tính bảo mật kết nối liên mạng bên Luận văn trình bày số biện pháp bảo mật điện toán đám mây hệ thống quản lý doanh nghiệp theo trình tự sau: - Chương 1: Tổng quan Thực trạng bảo mật hệ thống điện toán đám mây - Chương 2: Bảo mật kết nối hệ thống điện toán đám mây - Chương 3: Ứng dụng hệ thống bảo mật kết nối zerotrust hệ thống điện toán đám mây - Chương 4: Kết bàn luận CHƯƠNG TỔNG QUAN VÀ THỰC TRẠNG BẢO MẬT TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY Tổng quan điện toán đám mây Điện tốn đám mây– Cloud Computing mơ hình điện tốn cung cấp nguồn tài nguyên máy tính, bao gồm thứ liên quan đến điện tốn máy tính cho người dùng tùy theo mục đích sử dụng thơng qua kết nối Internet Hay nói đơn giản điện toán đám mây việc cung cấp dịch vụ điện toán - bao gồm máy chủ, lưu trữ, sở liệu, mạng, phần mềm, phân tích trí tuệ - qua hệ thống mạng lưới Internet toàn cầu (“đám mây”) để cung cấp thay đổi nhanh hơn, tài nguyên co giãn linh hoạt tối ưu chi phí theo quy mơ/nhu cầu Như vậy, điện tốn đám mây coi bước ảo hóa, bao gồm ảo hóa phần cứng ứng dụng, thành phần quản lý, tổ chức, vận hành hệ thống ảo hóa trước Các đặc điểm 1.1 Tự cấu hình theo nhu cầu (On-deman self-service) Mạng lưới truy cập rộng lớn (Broad Network Access) Tài nguyên chia sẻ (Resource Pooling) Tính linh hoạt nhanh (Rapid elasticity) Ước lượng dịch vụ (Measured service) 1.2 mây Lịch sử hình thành mốc phát triển điện toán đám Năm 1999 đánh dấu cột mốc điện toán đám mây đời Salesforce.com, ứng dụng tiên phong việc định hình khái niệm cung cấp ứng dụng doanh nghiệp thông qua trang web đơn giản Tiếp thep Salesforce.com xuất Amazon Web Services (AWS) vào năm 2002, AWS cung cấp chuỗi dịch vụ dựa tảng đám mây lưu trữ, tính tốn AI- trí tuệ nhân tạo thơng qua Amazon Mechanical Turk Vào năm 2004, Facebook thức đời tạo cách mạng việc giao tiếp người với người Sự phát triển tảng điện toán đám mây Amazon tiếp tục đánh dấu vào năm 2006 công ty mở rộng dịch vụ điện tốn đám mây mà khởi đầu đời Elastic Compute Cloud (EC2) Năm 2008, HTC công bố điện thoại sử dụng Android Năm 2009, Google Apps thức phát hành Trong năm 2010, công ty phát triển điện tốn đám mây để tích cực cải thiện dịch vụ khả đáp ứng để phục vụ nhu cầu cho người sử dụng cách tốt 1.3 Kiến trúc hệ thống điện tốn đám mây Mơ hình điện tốn đám mây bao gồm mặt trước Front end mặt sau Back end kết nối thông qua mạng mà đa số trường hợp Internet Phần mặt trước Front end coi phương tiện chuyên chở để người dùng tương tác với hệ thống Phần mặt sau Back end đám mây, nơi cung cấp ứng dụng, máy tính, máy chủ lưu trữ liệu để tạo đám mây dịch vụ - Front-end phần thuộc phía khách hàng dùng máy tính - Back-end đề cập đến đám mây hệ thống, bao gồm tất tài nguyên cần thiết để cung cấp dịch vụ điện toán đám mây Back end bao gồm thành phần sau: o Cơ sở hạ tầng (Infrastructure) o Lưu trữ (Storage) o Cloud Runtime o Dịch vụ (Service) o Ứng dụng (Cloud Application) Các mơ hình điện tốn đám mây 1.4 1.4.1 Các mơ hình triển khai hệ thống điện tốn đám mây Hiện nay, có mơ hình triển khai điện tốn đám mây sử dụng phổ biến, bao gồm Đám mây công cộng (Public Cloud), Đám mây riêng (Private Cloud), Đám mây lai (Hybrid Cloud) Đám mây cộng đồng (Community Cloud) Đám mây công cộng (Public Cloud): Đám mây công cộng dịch vụ bên thứ (người bán) cung cấp tồn ngồi tường lửa cơng ty Đám mây công cộng nhà cung cấp đám mây quản lý xây dựng nhằm mục đích phục vụ cơng cộng Đám mây riêng (Private Cloud): Đám mây riêng dịch vụ điện toán đám mây cung cấp doanh nghiệp 5 Đám mây lai (Hybrid Cloud): Đám mây lai kết hợp đám mây cơng cộng Đám mây riêng Mơ hình cho phép khai thác điểm mạnh hai mơ hình đưa phương thức sử dụng tối ưu cho người sử dụng Đám mây cộng đồng (Community Cloud): Đám mây cộng đồng dịch vụ tảng điện toán đám mây nhiều tổ chức, doanh nghiệp hợp tác xây dựng cung cấp cho cộng đồng Đám mây công cộng Đám mây riêng Đám mây lai Đám mây cộng đồng Yêu cầu trình Yêu cầu trình Yêu cầu trình độ vận hành hệ độ vận hành hệ độ vận hành hệ thống thống thống Dễ dàng thiết lập sử dụng Dễ Bảo vệ liệu quyền riêng tư Thấp Cao Kiểm soát liệu Ít khơng Cao Độ tin cập Thấp Cao Cao Tương đối cao Khả mở rộng tính linh hoạt Cao Cao Cao Dung lượng cố định Hiệu chi phí Rẻ Nhu cầu đầu tư phần cứng riêng Khơng Tốn chi phí, mơ hình đắt Cao Tương đối cao Tương đối cao Tương đối cao Ít tốn chi Chi phí phí đám chia sẻ mây riêng, đắt thành viên mơ hình tham gia cơng cộng Tùy thuộc vào Tùy thuộc vào Tùy thuộc vào nhu cầu nhu cầu nhu cầu Các mơ hình triển khai khác: Đám mây phân tán (Distributed Cloud) Đám mây liên kết (Intercloud) Đa đám mây (Multicloud) Các mơ hình dịch vụ (tầng đám mây cung cấp) 1.4.2 Phần mềm dịch vụ (SaaS - Software as a Service): viết tắt “Software as a Service”, dịch vụ cho phép người dùng sử dụng software (phần mềm) thông qua network (hệ thống mạng) Nền tảng dịch vụ (PaaS): viết tắt “Platform as a Service”, dịch vụ cho phép người dùng sử dụng platform (môi trường phát triển) cho ứng dụng thông qua hệ thống mạng Cơ sở hạ tầng dịch vụ (IaaS): IaaS từ viết tắt “Infrastructure as a Service” Đây dịch vụ cho phép người dùng sử dụng sở hạ tầng CNTT cần thiết cho việc xây dựng hệ thống Như vậy, tùy theo nhu cầu cụ thể mà tổ chức, doanh nghiệp chọn để triển khai ứng dụng mô hình cho phù hợp 1.5 Một số nhà cung cấp dịch vụ điện toán đám mây Trên giới có 200 nhà cung cấp dịch vụ điện tốn đám mây, nhà cung cấp thường mạnh riêng tập trung vào mạnh riêng lĩnh vực điện tốn đám mây Sau số nhà cung cấp dịch vụ điện toán đám mây tiêu biểu dẫn dắt thị trường - Amazon - Microsoft - Google Top 10 nhà cung cấp dịch vụ điện toán đám mây xét theo tiêu chí chất lượng dịch vụ, hạ tầng mạng lưới thị phần theo Gartner 2019: Amazon Web Services (AWS) Microsoft Azure Google Cloud Alibaba Cloud IBM Cloud Oracle Salesforce SAP Rackspace Cloud 10 VMWare Kết luận Chương Trong chương luận văn phân tích, tìm hiểu nội dung điện tốn đám mây, bao gồm khái niệm, lịch sử hình thành phát triển, vai trị, kiến trúc mơ hình dịch vụ, mơ hình triển khai điện tốn đám mây, nhà cung cấp dịch vụ điện toán đám mây lớn giới 8 CHƯƠNG BẢO MẬT KẾT NỐI TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 2.1 Khái niệm an tồn thơng tin An tồn thơng tin hoạt động bảo vệ tài sản thông tin, bao gồm sản phẩm quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thơng tin, An tồn thơng tin lĩnh vực rộng, có liên quan đến hai khía cạnh an tồn mặt vật lý an toàn mặt kỹ thuật - Mục tiêu an tồn thơng tin: o Đảm bảo tính bảo mật o Đảm bảo tính tồn vẹn o Đảm bảo tính xác thực o Đảm bảo tính sẵn sàng 2.2 Một số tiêu chuẩn an ninh thông tin Ban kỹ thuật tiêu chuẩn quốc tế JTC1/SC 27 “IT Security Techniques” công bố 130 tiêu chuẩn quốc tế lĩnh vực an ninh thông tin 2.2.1 Tiêu chuẩn hệ thống quản lý an ninh Hiện nay, giới tồn họ tiêu chuẩn hệ thống quản lý an ninh thuộc ISO 27000 Bộ tiêu chuẩn ISO 27000 hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) xây dựng để áp dụng cho tổ chức, loại hình, kích cỡ hay mơi trường kinh doanh tổ chức Người sử dụng chuyên gia, quản lý kinh doanh có liên quan đến hoạt động quản lý hệ thống an ninh 9 Để đạt tiêu an ninh có ISO 27000 khó khăn tốn Số lượng chứng chứng nhận đạt phù hợp với ISO/IEC 27001 toàn giới lên đến số 7940 Một tiêu chuẩn lĩnh vực quản lý an ninh đáng nhắc tới ISO/IEC 31000 quản lý rủi ro 2.2.2 Tiêu chuẩn an ninh thơng tin điện tốn đám mây Tổ chức ISO công bố 04 tiêu chuẩn liên quan đến điện toán đám mây là: ISO/IEC 17203:2011 quy định định dạng mã hóa mở OVF, ISO/IEC 17826:2012 giao diện quản lý liệu đám mây CDMI, ISO/IEC 17963:2013 quản lý dịch vụ web, cuối ISO/IEC TR 30102:2012 thủ tục kỹ thuật cho DAPS (Nền tảng dịch vụ ứng dụng phân tán) Ngoài tiêu chuẩn ISO/IEC 27017 đưa ngun tắc kiểm sốt an ninh thơng tin cho dịch vụ điện tốn đám mây Ngồi ra, Viện Tiêu chuẩn Công nghệ Quốc gia Mỹ (NIST) đưa nguyên tắc phân loại chuẩn điện toán đám mây, đồng thời theo hàng loạt tiêu chuẩn điện tốn đám mây đời: - Về xác thực ủy quyền: RFC 5246, RFC 3820, RFC 5280, X.509 (ISO/IEC 9594-8), RFC 5849, OpenID, XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), FIPS 181, FIPS 190, FIPS 196… - Về tính bí mật: RFC 5246, KMIP (Key Management Interoperability Protocol), XML, FIPS 140-2, FIPS 185, FIPS 197, FIPS 188… - Về tính tồn vẹn: XML, FIPS 180-3, FIPS 186-3, FIPS 198-1,… - Về quản lý nhận diện: SPML (Service Provisioning Markup Language), X.idmcc, SAML, OpenID, FIPS 201-1,… 10 - Về thủ tục an ninh: NIST SP 800-126, NIST SP 800-61, X.1500, X.1520, X.1521, PCI, FIPS 191… - Về quản lý sách: XACML, FIPS 199, FIPS 200,… - Về tính tương hợp: OCCI (Open Cloud Computing Interface), CDMI, - IEEE P2301, IEEE P2302… - Về tính khả chuyển: CDMI, OVF (Open Virtualization Format), IEEE P2301… 2.2.3 Tiêu chuẩn an ninh thông tin liệu Hiện tiêu chuẩn ISO 8000 chia thành 04 mảng: Phần đến phần 99: Chất lượng liệu chung; Phần 100 đến phần 199: Chất lượng liệu gốc; Phần 200 đến phần 299: Chất lượng liệu giao dịch; Phần 300 đến phần 399: Chất lượng liệu sản phẩm Ngoài tiêu chuẩn kiến trúc liệu xây dựng như: - ISIS-MTT: Đặc tả tính tương hợp chữ ký cơng nghiệp (MailTrusT): đưa cách chứng thực khóa cơng khai, chứng thực thuộc tính thu hồi chứng thực, thiết lập gửi yêu cầu đến quan chứng thực phản hồi, thiết lập thơng điệp mã hóa chữ ký - Phương pháp mã hóa khơng đối xứng RSA, mã hóa đối xứng AES, thuật toán hàm băm SHA 256, quản lý khóa XML V2 - Các tiêu chuẩn ISO 7811, ISO 7816 thẻ nhận dạng, thẻ thông minh tiếp xúc không tiếp xúc, thẻ từ thẻ mạch tích hợp,… 11 Tiêu chuẩn đánh giá an ninh thông tin 2.2.4 Tiêu chuẩn đánh giá an ninh thông tin chung CC (Common Criteria) đưa tiêu chí đánh giá an ninh chung cho sản phẩm hệ thống thông tin Hiện nay, CC chuyển thành tiêu chuẩn quốc tế tiêu chuẩn ISO/IEC 15408 tiêu chuẩn ISO/IEC 18045 Trong đó, ISO/IEC 18045:2008 quy định hành động tối thiểu thực chuyên gia đánh giá thựchiện đánh giá theo ISO/IEC 15408, sử dụng tiêu chứng để đánh quy định ISO/IEC 15408 Tiêu chuẩn không quy định hành động đảm bảo đánh giá thành phần mà chưa có chấp thuận đánh giá chung Đây xem tiêu chí đánh giá chung cho sản phẩm, thiết bị hệ thống công nghệ thông tin Ngồi hệ thống ISMS, có ISO/IEC 27007:2011 đưa nguyên tắc đánh giá hệ thống an ninh thông tin, tiêu chuẩn sử dụng để đánh giá an ninh thông tin cho hệ thống thông tin thông thường, kể hệ thống ISMS Một số vấn đề bảo mật ứng dụng điện toán đám mây 2.3 2.3.1 Quản lý định danh truy nhập Định nghĩa Công nghệ Zero Trust: Ngày nay, liệu đám mây public/private mạng kết hợp, mô hình bảo mật Zero Trust phát triển để giải loạt cơng tồn diện 12 Ngun tắc Zero Trust: Mơ hình Zero Trust giả định vi phạm xác minh yêu cầu thể yêu cầu bắt nguồn từ mạng mở Bất kể yêu cầu bắt nguồn từ đâu hay truy nhập vào tài ngun Zero Trust ln nhắc nhở “không tin cậy, xác minh” Mỗi yêu cầu truy nhập xác thực, ủy quyền mã hóa đầy đủ trước cấp quyền truy nhập Các nguyên tắc phân vùng cực nhỏ quyền truy nhập đặc quyền tối thiểu áp dụng để giảm thiểu hành vi xâm nhập mạng Thơng tin phân tích phong phú sử dụng để phát ứng phó với bất thường thời gian thực với nguyên tắc sau: - Xác minh rõ ràng - Sử dụng quyền truy nhập đặc quyền tối thiểu - Giả định vi phạm Cùng với gia tăng mô hình làm việc từ xa tương tác nhiều hệ thống điện toán đám mây, Zero Trust Network Access (ZTNA) gần ứng dụng nhiều cách kiểm sốt quyền truy cập vào ứng dụng người dùng ứng dụng cư trú đâu Cách thức hoạt động ZTNA: ZTNA cho phép người dùng thiết bị thực truy nhập/tác động chưa chứng minh an tồn ngược lại với hệ thống Như vậy, ZTNA mở rộng tính xác thực Zero Trust mạng giảm lỗ hổng công ẩn ứng dụng khỏi Internet: - Kiểm soát truy cập: Xác thực dựa danh tính kiểm sốt truy cập gán dịch vụ có tích hợp ZTNA, kết hợp lại thành 13 giải pháp thay cho kiểm soát truy cập dựa t-rên IP thường sử dụng với hầu hết cấu hình mạng VPN - Khả hiển thị & Kiểm soát với SASE: Các giải pháp cạnh dịch vụ truy cập an toàn (SASE) kết hợp xác thực dựa danh tính ZTNA khả kiểm soát truy cập chi tiết mang đến cách tiếp cận tổng thể, hoàn chỉnh 2.3.2 An minh mạng - Phân vùng mạng lưới: Hiện nay, nhà cung cấp dịch vụ điện toán đám mây sử dụng công nghệ phân vùng mạng để hạn chế truy cập vào thiết bị máy chủ phân vùng mạng Ngồi ra, nhà cung cấp tạo phân vùng mạng ảo cách ly dựa hạ tầng vật lý, tự động giới hạn không cho người dùng dịch vụ tiếp cận phân vùng mạng định cách ly - Mạng riêng ảo (VPN): Các nhà cung cấp dịch vụ Internet triển khai kết nối an tồn từ mơi trường điện tốn đám mây tới tài nguyên private hệ thống, liệu/ứng dụng triển khai hệ thống điện toán đám mây công cộng Mạng VPN yêu cầu cần phải có để chạy mơi trường điện tốn đám mây riêng - Bảo mật tường lửa: Các chi nhánh khách hàng sử dụng hệ thống điện toán đám mây thường bổ sung tường lửa mạng để bảo vệ vành đai (đám mây riêng ảo/truy cập mạng cấp độ mạng con) tạo nhóm an ninh mạng cho truy cập cấp độ phiên (instance) Các nhóm an ninh bảo mật phịng tuyến phòng thủ đầu tiên, hiệu để cấp quyền truy cập vào tài nguyên điện toán đám mây - Vi phân vùng mạng (Micro-segmentation): Việc phát triển ứng dụng điện toán đám mây tập hợp dịch vụ nhỏ 14 mang lại lợi an ninh bảo mật cách ly chúng thông qua sử dụng phân vùng mạng Thiết lập tảng điện tốn đám mây có khả triển khai vi phân vùng thông qua tự động hóa cấu hình mạng cấp phát tài ngun mạng điều cần thiết 2.3.3 Bảo vệ liệu Một số vấn đề bảo mật liệu sử dụng hệ thống điện tốn đám mây: - Vị trí liệu (data locatity): Với mơ hình SaaS, người dùng sử dụng phần mềm công cụ nhà cung cấp để xử lý liệu họ.Trong số trường hợp, nhà cung cấp dịch vụ điện toán đám mây phải thực yêu cầu phải tiết lộ liệu người dùng bàn giao thiết bị vật lý cho bên thứ ba quan pháp luật - Toàn vẹn liệu (data integrity): Trong hệ thống phân tán, có nhiều sở liệu ứng dụng cần quản lý Ứng dụng SaaS thường sử dụng API dựa XML Việc thiếu kiểm sốt tính tồn vẹn làm liệu bị sai lệch, đó, nhà phát triển phải đảm bảo tính tồn vẹn liệu không bị tổn hại - Phân tách liệu (data segregation): Dữ liệu người sử dụng chia sẻ vị trí lưu trữ vật lý, điều dễ dẫn đến xâm nhập liệu Kẻ công công đơn lẻ truy cập vào lượng thơng tin bí mật nhiều tổ chức khách hàng, lấy lượng thơng tin phong phú Nếu khơng có chế cách ly liệu người dùng khác khả bị xâm phạm liệu cao 15 - Truyền liệu: Với vấn đề truyền liệu, có số lo ngại chung an ninh, liệu truyền tới đám mây thông qua mạng công cộng (thường Internet) sử dụng đám mây công cộng Để bảo vệ liệu đường truyền, cần thuật tốn mã hóa đủ mạnh (mã hóa liệu nhận máy chủ, sau giải mã, xử lý lại mã hóa máy chủ gửi đi) giao thức sử dụng để truyền liệu có tính bảo mật tính tồn vẹn (ví dụ HTTPs, FTPs) Khi liệu chuyển giao nước khác nhau, cần xem xét vấn đề tuân thủ quy định riêng khác - Truy cập liệu: Trong điện tốn đám mây, sách an ninh nên thiết kế với mục đích kiểm sốt quyền truy cập liệu đối tượng sử dụng, nên đảm bảo liệu truy cập người phân quyền, ngăn chặn truy cập trái phép Một số đối tượng liệu nên trao quyền để xử lý liệu đám mây cách sẵn sàng 16 CHƯƠNG 3: NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG BẢO MẬT KẾT NỐI ZERO TRUST TRONG HỆ THỐNG ĐIỆN TỐN ĐÁM MÂY Trong khn khổ luận văn này, học viên triển khai hệ thống bảo mật Zero Trust cung cấp Cloudflare vào hệ thống điện toán đám mây hybrid bao gồm Google Cloud server On-premise 3.1 Xây dựng hệ thống điện toán đám mây 3.1.1 Giới thiệu hệ thống Google Cloud Google Cloud Platform (GCP) dịch vụ Public Cloud Google cung cấp hạ tầng Google Đây hạ tầng cho dịch vụ chủ lực Google Gmail, Youtube, Google Maps,… Đây tảng điện tốn đám mây cho phép người dùng sử dụng, tạo lập ứng dụng, liệu hệ thống Chúng ta thao tác nguồn tài nguyên GCP qua giao diện web control, command line web API Một số ưu điểm Google Cloud Platform: - Tự động hóa việc triển khai ứng dụng đại - Khả kiểm sốt chi phí - Tính thân thiện 3.1.2 Giới thiệu hệ thống quản lý mạng lưới Team Cloudflare Hệ thống quản lý mạng lưới Team Cloudflare đơn vị đầu việc áp dụng bảo mật kết nối Zero Trust giới, Zero Trust Sercurity thành phần quan hệ thống SASE - Secure Access Service Edge (được định nghĩa Gartner – mơ hình 17 chuyển đổi cơng nghệ bảo mật kết nối mạng thành tảng đám mây nhằm đảm bảo khả mở rộng an tồn nhanh chóng Sự kết hợp mạng an ninh mạng SASE đáp ứng thách thức chuyển đổi kinh doanh kỹ thuật số, điện tốn biên tính di động nhân lực) Vậy nên việc áp dụng triển khai sớm hệ thống bảo mật Zero Trust giúp bảo vệ hệ thống điện toán đám mây ứng dụng vào trình chuyển đổi lên cloud doanh nghiệp giữ song song hệ thống On-premise Cloud Các tính bật Zero Trust Cloudflare: - Bảo mật truy cập ứng dụng - Thực thi sách truy cập xác thực thiết bị - Liên kết xác thực danh tính với nhà cung cấp danh tính - Khả truy cập giám sát đơn giản 3.1.3 Xây dựng hệ thống điện toán đám mây - Luận văn thực xây dựng hệ thống điện toán đám mây Google Cloud sử dụng phương thức bảo mật kết nối cung cấp bửi OpenVPN Cloudflare Chuẩn bị: - Cài đặt máy ảo hệ thống Google Cloud sử dụng hệ điều hành Ubuntu Ubuntu 20.04.3 LTS dùng để cấu hình Cloudflared OpenVPN - Cài đặt máy chủ ảo hệ thống Google Cloud sử dụng hệ điều hành Debian 10 dùng để cấu hình máy chủ web Nginx Cài đặt máy ảo Google Cloud: 18 - Tiến hành cài đặt cấu hình cho máy ảo cf-tunnel với địa IP nội bộ: 10.140.0.4, dùng để kết nối với hệ thống Cloudflare OpenVPN - Tiến hành cài đặt Nginx website server theo hướng dẫn [12] cho hệ điều hành Debian 10 máy ảo Nginx Google Cloud Cấu hình hệ thống Team Cloudflare: - Tiến hành cài đặt hệ thống Team Cloudflare theo hướng dẫn [9;10] cho hệ điều hành Ubuntu máy ảo CF-Tunnel - Khởi tạo kích hoạt CF-Tunnel hệ thống Cloudflare, thực gán route 10.140.0.0/24 từ hệ thống Google Cloud qua tunnel 69f7c32a-902f-4850-9c29-166d17f9fd50 cung cấp Cloudflare, cụ thể sau: Cấu hình hệ thống OpenVPN: - Tiến hành cài đặt hệ thống OpenVPN theo hướng dẫn [11] cho hệ điều hành Ubuntu máy ảo CF-Tunnel với thông tin sau: 3.2 Thực nghiệm đánh giá 3.2.1 Đảm bảo an toàn truy cập Website Nội Yêu cầu bảo mật: - Thực cấu hình bảo mật website nội Nginx 10.140.0.3: giới hạn quyền truy cập vào port 80 (HTTP) port 22 (SSH) cho user vuhaiphong249@gmail.com nhằm giới hạn quyền tác động vào dịch vụ 10.140.0.3 19 - Các user lại truy cập vào port 80 website 10.140.0.3 Các quyền tác động/chỉnh sửa áp dụng cho user có quyền cao account admin Thiết lập bảo mật: - Cấu hình bảo mật Team Cloudflare cho user vuhaiphong249@gmail.com - Cấu hình bảo mật Team Cloudflare cho phép user truy cập port 80 - Hệ thống OpenVPN chưa có chức cấp quyền truy cập cụ thể đến website cho user Kết quả: - User haiphongbb@gmail.com có quyền truy cập đến 10.140.0.3 - User vuhaiphong249@gmail.com khơng có quyền truy cập đến 10.140.0.3 port 80 22 Đánh giá - Hệ thống OpenVPN chưa có chức phân quyền truy cập đến website cụ thể cho user - Hệ thống Team Cloudflare cấu hình cấp quyền cho user, đáp ứng yêu cầu: 3.2.2 Đảm bảo an toàn truy cập Website Public Yêu cầu bảo mật - Bảo mật cho website phongvh6.com truy cập lãnh thổ Việt Nam 20 - Bảo mật trang viettel.phongvh6.com truy cập lãnh thổ Việt Nam user phongvh6.viettel.com.vn - Bảo mật trang fpt.phongvh6.com truy cập lãnh thổ Việt Nam user vuhaiphong249@gmail.com Thiết lập bảo mật - Cấu hình giới hạn lãnh thổ truy cập cho phongvh6.com.vn/test - Cấu hình bảo mật Team Cloudflare cho Viettel.phongvh6.com.vn - Cấu hình bảo mật Team Cloudflare cho FPT.phongvh6.com.vn Kết - User haiphongbb@gmail.com khơng có quyền truy cập vào trang phongvh6.com/test hệ thống xác định vị trí Bỉ, thay vào hệ thống gửi email cảnh báo bảo mật bị vi phạm - Với thông tin location Việt Nam hệ thống Cloudflare cho phép user phongvh6.viettel.com.vn đăng nhập trang web Viettel.phongvh6.com - Với thông tin location Bỉ hệ thống Cloudflare không gửi code đăng nhập tới email phongvh6.viettel.com.vn để thực đăng nhập trang web Viettel.phongvh6.com Đánh giá - Hệ thống Cloudflare Access vận hành giải pháp bảo mật Zero Trust Access giúp phân quyền cho vùng lãnh thổ nhóm user, đáp ứng yêu cầu: o Chỉ gửi email xác nhận đăng nhập tới email định danh xác định vị trí truy cập lãnh thổ cấp phép 21 o Bảo mật truy cập cụ thể đến path website cần phân quyền tác động cho nhóm user tổ chức 22 Kết luận Chương Trên sở nghiên cứu hệ thống bảo mật áp dụng chương 2, chương tập trung vào xây dựng hệ thống điện toán đám mây tích hợp giải pháp bảo mật kết nối Zero Trust cho thành phần hệ thống Để thực nghiệm tính hiệu ứng dụng cơng nghệ bảo mật Zero Trust, học viên tiến hành xây dựng hệ thống điện toán đám mây Google Cloud, cài đặt hệ thống mạng riêng ảo OpenVPN Cloudflare Team cấu hình kịch bảo mật hệ thống có cơng từ ngồi nội hệ thống Từ rút số kết luận, làm sở chứng minh tính hữu dụng công nghệ bảo mật Zero Trust nhằm triển khai ứng dụng thực tiễn 23 CHƯƠNG 4: KẾT QUẢ VÀ BÀN LUẬN Kết luận Luận văn “Nghiên cứu ứng dụng số giải pháp bảo mật kết nối hệ thống điện tốn đám mây” hồn thành đạt số kết sau: Đã nghiên tìm hiểu nội dung điện toán đám mây, bao gồm khái niệm, lịch sử hình thành phát triển, vai trị, kiến trúc mơ hình dịch vụ, mơ hình triển khai điện tốn đám mây Trên cở sở đó, luận văn nghiên cứu đánh giá tiêu chuẩn an ninh số biện pháp bảo mật kết nối áp dụng nay, từ đưa hướng nghiên cứu sâu vào giải pháp bảo mật kết nối Zero Trust thực nghiệm tính hiệu ứng dụng công nghệ bảo mật Zero Trust Kiến nghị Với nghiên cứu thực tiễn, xây dựng áp dụng giải pháp bảo mật Zero Trust, luận văn rút ưu nhược điểm giải phát đề xuất, làm sở chứng minh tính hữu dụng công nghệ bảo mật Zero Trust nhằm triển khai ứng dụng thực tiễn Tuy nhiên để giải triệt để vấn đề bảo mật hệ thống điện toán đám mây, cần tiếp tục thực nghiên cứu chuyển sâu, ứng dụng sâu rộng cho phần mềm lẫn phần cứng nhằm hướng đến giải pháp tối đa cho hệ thống Mặt khác, cần ứng dụng thực tiễn bảo mật kết nối cho hệ thống điện toán đám mây tương lai gần để sớm đưa chuẩn hóa bảo mật nhà cung cấp dịch vụ  ... trạng bảo mật hệ thống điện toán đám mây - Chương 2: Bảo mật kết nối hệ thống điện toán đám mây - Chương 3: Ứng dụng hệ thống bảo mật kết nối zerotrust hệ thống điện toán đám mây - Chương 4: Kết. .. liệu đám mây cách sẵn sàng 16 CHƯƠNG 3: NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG BẢO MẬT KẾT NỐI ZERO TRUST TRONG HỆ THỐNG ĐIỆN TỐN ĐÁM MÂY Trong khn khổ luận văn này, học viên triển khai hệ thống bảo mật. .. Kết luận Chương Trên sở nghiên cứu hệ thống bảo mật áp dụng chương 2, chương tập trung vào xây dựng hệ thống điện tốn đám mây tích hợp giải pháp bảo mật kết nối Zero Trust cho thành phần hệ thống