BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CHUYÊN NGÀNH CÁC PHƯƠNG PHÁP VÀ GIẢI PHÁP BẢO MẬT TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY Giảng viên hướng dẫn VƯƠNG XUÂN.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CHUYÊN NGÀNH CÁC PHƯƠNG PHÁP VÀ GIẢI PHÁP BẢO MẬT TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY Giảng viên hướng dẫn: VƯƠNG XN CHÍ Sinh viên thực hiện: HỒNG ANH TÚ MSSV: 1800001977 Chun ngành: KỸ THUẬT MÁY TÍNH Khóa: 2018 Tp.HCM, tháng 05 năm 2021 Trường Đại học Nguyễn Tất Thành Khoa Công Nghệ Thông Tin CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc NHIỆM VỤ ĐỒ ÁN CHUYÊN NGÀNH (Sinh viên phải đóng tờ vào báo cáo) Họ tên: Hoàng Anh Tú MSSV: 1800001977 Chuyên ngành: Mạng Máy tính Truyền thông Lớp: 18DTH3A Email: hoanganhtu.ntt@gmail.com SĐT: 0857172345 Tên đề tài: Các phương pháp giải pháp bảo mật tảng điện tốn đám mây Gíao viên hướng dẫn: Vương Xuân Chí Thời gian thực hiện: / /2021 đến / /2021 Nhiệm vụ/nội dung (mô tả chi tiết nội dung, yêu cầu, phương pháp… ) : MÔ TẢ ĐỀ TÀI: Khi ngày có thêm nhiều tổ chức chuyển đổi sang mơ hình điện tốn đám mây để phát triển ứng dụng quản lý tải cơng việc, tảng điện tốn đám mây nhanh chóng cho thấy tính hạn chế mơ hình bảo mật biên mạng/vành đai truyền thống NỘI DUNG VÀ PHƯƠNG PHÁP: - Bảo vệ liệu tuân tuân thủ quy định pháp lý động lực bảo mật điện tốn đám mây - Thẩm tra định danh quản lý truy cập tảng điện toán đám mây - Định nghĩa lại cách ly bảo vệ mạng - Bảo vệ liệu chế mã hóa quản lý khóa mã hóa - Tự động hóa bảo mật cho mơi trường DevOps - Triển khai mơ hình bảo mật U CẦU: Có kiến thức mạng, cloud, đọc hiểu tài liệu tiếng Anh Kỹ trình bày văn máy tính tốt Có tác phong làm việc chăm chỉ, tinh thần trách nhiệm cao Nội dung yêu cầu thông qua Bộ môn TP.HCM, ngày 20 tháng năm 2021 TRƯỞNG BỘ MÔN GIÁO VIÊN HƯỚNG DẪN (Ký ghi rõ họ tên) (Ký ghi rõ họ tên) TS Nguyễn Kim Quốc ThS Vương Xuân Chí LỜI CẢM ƠN Trong thời gian làm đồ án chuyên ngành, em nhận nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cô bạn bè Em xin gửi lời cảm ơn chân thành đến thầy Vương Xuân Chí, giảng viên Bộ môn Đồ Án Chuyên Ngành - Trường Đại Học Nguyễn Tất Thành người tận tình hướng dẫn, bảo em suốt q trình làm tiểu luận mơn học Cuối cùng, em xin chân thành cảm ơn thầy bạn bè, tạo điều kiện, quan tâm, giúp đỡ, em suốt q trình học tập hồn thành Đồ Án Chuyên Ngành LỜI MỞ ĐẦU Ngày với phát triển mạnh mẽ công nghệ thông tin đặc biệt thời điểm cách mạng 4.0 bắt đầu, mạng Internet ngày có tốc độ nhanh hơn, với dịch vụ mạng Internet ngày nở rộ, công nghệ nghiên cứu triển khai nhanh phải kể đến cơng nghệ Ðiện tốn đám mây Tuy nhiên phát triển mạnh mẽ Internet kéo theo nhiều hệ lụy Một số nguy an tồn thơng tin mạng Hiện nay, số lượng tội phạm công nghệ cao gia tăng với hình thức cơng ngày tinh vi phức tạp, chúng ăn cắp, đánh tráo liệu hay làm sập hệ thống phục vụ người dùng Vấn đề an tồn thơng tin mạng trở thành đề tài nóng hổi thu hút quan tâm nghiên cứu nhiều cá nhân tổ chức tồn giới Điện tốn đám mây công nghệ tương lai, người dùng đưa liệu lên đám mây truy cập chúng từ đâu Tuy nhiên việc sử dụng đám mây Internet tồn nhiều rủi ro bảo mật vấn đề cần khắc phục để điện toán đám mây trở nên thân thiện an toàn người dùng NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Điểm đồ án: TPHCM, Ngày …… tháng …… năm Giáo viên hướng dẫn (Ký tên, đóng dấu) MỤC LỤC LỜI CẢM ƠN i LỜI MỞ ĐẦU .ii NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN .iii MỤC LỤC iv DANH MỤC HÌNH ẢNH vi DANH MỤC TỪ VIẾT TẮT viii CHƯƠNG TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY .1 1.1 Lịch sử hình thành: 1.2 Khái niệm điện toán đám mây: .1 1.3 Ưu nhược điểm điện toán đám mây: 1.3.1 Ưu điểm: .2 1.3.2 Nhược điểm: .3 1.4 Các mơ hình triển khai điện toán đám mây: 1.4.1 Đám mây công cộng (Publi c Cloud): 1.4.2 Đám mây riêng (Private Cloud): 1.4.3 Đám mây lai (Hybrid Cloud): .7 1.5 Các loại mô hình dịch vụ điện tốn đám mây: 1.5.1 Phần mềm cung cấp dạng dịch vụ (SaaS): 1.5.2 Nền tảng cung cấp dạng dịch vụ (PaaS): 1.5.3 Hạ tầng cung cấp dạng dịch vụ (Iaas): .11 CHƯƠNG CÁC VẤN ĐỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 13 2.1 Bảo mật điện toán đám mây: 13 2.2 Các nguy lỗ hỏng bảo mật: .13 2.2.1 Lợi dụng tài nguyên điện toán đám mây: 13 2.2.2 Mối đe dọa liệu: 14 2.3 Các loại công điện toán đám mây: 16 2.3.1 Tấn công từ nhà cung cấp dịch vụ: 16 2.3.2 Tấn công mức mạng: 22 2.3.3 Tấn công người dùng: .23 CHƯƠNG CÁC GIẢI PHÁP BẢO MẬT TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY 30 3.1 Mơ hình bảo mật liệu điện toán đám mây: 30 3.1.1 Lớp 2: .31 3.1.2 Lớp 1: .33 3.1.3 Lớp 3: .38 3.2 Giải pháp Encryption Proxy: 39 3.3 Giải pháp VPN Cloud: 41 3.3.1 Cấu trúc hệ thống VPN Cloud: 42 3.3.2 Các giao thức bảo mật VPN Cloud: 42 3.4 Giải pháp điện toán đám mây sử sụng Microsoft Azure: 46 3.4.1 Giới thiệu Microsoft Azure: 46 3.4.2 Bảo mật lớp – Conditional Access: 47 3.4.3 Bảo mật lớp – Mã hóa Azure Storage: 49 3.4.4 Bảo mật lớp – Azure Site Recovery: 52 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 58 DANH MỤC HÌNH ẢNH Hình 1.1: Mơ hình điện tốn đám mây Hình 1.2: Mơ hình đám mây công cộng Hình 1.3: Mơ hình đám mây riêng Hình 1.4: Mơ hình đám mây lai .8 Hình 1.5: Mơ hình SaaS Hình 1.6.: Mơ hình PaaS .11 Hình 1.7: Mơ hình IaaS .12 Hình 2.1: Tấn công SQL Injection .17 Hình 2.2: Tấn cơng DoS .22 Hình 2.3: Tấn công Wrapping 23 Hình 2.4: Tấn cơng Stored XSS 25 Hình 2.5: Tấn cơng Reflected-XSS .25 Hình 2.6: Tấn công ARP Cache Poisoning 26 Hình 2.7: Hoạt động DHCP 27 Hình 2.8: Rouge DHCP Server 28 Hình 3.1: Mơ hình bảo mật lớp điện tốn đám mây 31 Hình 3.2: Mã hóa liệu điện tốn đám mây 31 Hình 3.3: Xác thực OTP với dịch vụ Cloud Google 33 Hình 3.4: Cơ chế đăng ký giao thức OTP Lamport .34 Hình 3.5: Cơ chế xác thực giao thức OTP Lamport .35 Hình 3.6: Cơ chế đăng ký giao thức SAS .36 Hình 3.7: Cơ chế xác thực giao thức SAS 37 Hình 3.8: Giải pháp Encryption Proxy 39 Hình 3.9: Giải pháp VPN Cloud 41 Hình 3.10: IPSec VPN 43 Hình 3.11: SSL VPN 44 Hình 3.12: L2TP VPN 46 Hình 3.13: Giải pháp Microsoft Azure cho điện toán đám mây 47 Hình 3.14: Conditional Access 47 Hình 3.15: Xác thực Conditional Access 48 Hình 3.16: Xác thực bước Conditional Access 49 Hình 3.17: Chọn khóa mã hóa cổng thơng tin Azure .51 Hình 3.18: Mơ hình On-premise 55 IPSec hoạt động chế độ: chế độ đường hầm (tunnel) chế độ vận chuyển (transport): Chế độ đường hầm: Ở chế độ toàn nội dung tin mã hóa truyền tải dạng tin IP khác Chế độ vận chuyển: Ở chế độ này, có phần tải tin tin (payload) mã hóa Để trao đổi thỏa thuận thông số để tạo nên môi trường bảo mật đầu cuối, IPSec dùng giao thức IKE (Internet Key Exchange) IKE giao thức thực q trình trao đổi khóa thỏa thuận thông số bảo mật với như: mã hóa nào, mã hóa thuật tốn gì, bau lâu trao đổi khóa lần Sau trao đổi xong có “hợp đồng” đầu cuối, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Trong q trình trao đổi khóa IKE dùng thuật tốn mã hóa đối xứng, khóa thay đổi theo thời gian Đây đặc tính hay IKE, giúp hạn chế trình trạng bẻ khóa kẻ cơng IPSec hỗ trợ DES, tripple DES AES cho việc mã hóa SHA, MD5 cho việc xác thực Secure Sockets Layer (SSL) Transport Layer Security (TLS): SSL giao thức giúp truyền tải thơng tin cách an tồn bảo mật mạng Internet Khác với IPSec giao thức lớp mạng SSL lại nằm lớp ứng dụng Trên thực tế SSL nằm lớp lớp truyền tải lớp ứng dụng, độc lập với giao thức lớp ứng dụng khác HTTP, FTP, SMTP… Hay nói cách khác, SSL ứng dụng để bảo vệ tính an tồn nhiều loại dịch vụ ứng dụng khác 47 Hình 3.11: SSL VPN Bằng cách sử dụng thuật tốn mã hóa, SSL cung cấp khả như: Xác thực: đảm bảo tính xác thực dịch vụ đám mây mà bạn làm việc đầu kết nối Cũng vậy, dịch vụ đám mây cần phải kiểm tra tính xác thực người sử dụng Mã hố: đảm bảo thơng tin khơng thể bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận Toàn vẹn liệu: đảm bảo thông tin không bị sai lệch phải thể xác thơng tin gốc gửi đến Tương tự IPSec với IKE, SSL sử dụng giao thức SSL Handshake để trao đổi khóa, thương lượng, khởi tạo đồng hóa tham số bảo mật thông tin trạng thái tương ứng đặt hai điểm cuối session nối kết SSL Sau SSL Handshake hoàn tất, liệu ứng dụng gửi nhận cách sử dụng SSL Record tham số bảo mật thương lượng thành phần thông tin trạng thái Do đặc điểm thuộc lớp ứng dụng, nên SSL ngăn cản cơng vào lớp phía tràn ngập TCP SYN cưỡng đoạt session 48 TLS phiên SSL IETF chuẩn hóa Về chúng khác tên gọi, còn hoạt động hoàn toàn tương đương Layer Tunneling Protocol (L2TP): Là giao thức dùng để truyền liệu qua hầm - Tunnel tầng traffic Internet L2TP thường dùng song song với IPSec (đóng vai trò Security Layer - đề cập đến phía trên) để đảm bảo q trình truyền liệu L2TP qua môi trường Internet thông suốt Khơng giống PPTP, VPN "kế thừa" tồn lớp L2TP/IPSec có key xác thực tài khoản chia sẻ Certificate Hình 3.12: L2TP VPN Bằng công nghệ bảo vệ đa lớp tiên tiến mình, coi VPN Cloud giải pháp hoàn hảo cho cá nhân, tổ chức doanh nghiệp muốn bảo vệ tham gia điện toán đám mây Rõ ràng mức bảo mật VPN Cloud mạnh, nhiên để phá vỡ lớp bảo mật 3.4 Giải pháp điện toán đám mây sử sụng Microsoft Azure: 3.4.1 Giới thiệu Microsoft Azure: Azure tảng đám mây hồn chỉnh lưu trữ ứng dụng có doanh nghiệp hợp lý hóa việc phát triển ứng dụng Azure chí tăng cường ứng dụng chỗ Azure tích hợp dịch vụ đám mây mà doanh nghiệp 49 cần để phát triển, thử nghiệm, triển khai quản lý ứng dụng họ, đồng thời tận dụng hiệu điện toán đám mây Bằng cách lưu trữ ứng dụng Azure, người quản trị bắt đầu quy mơ nhỏ dễ dàng mở rộng ứng dụng nhu cầu khách hàng doanh nghiệp tăng lên Azure cung cấp độ tin cậy cần thiết cho ứng dụng có tính sẵn sàng cao, chí bao gồm chuyển đổi dự phòng khu vực khác Các cổng thông tin Azure cho phép ta dễ dàng quản lý tất dịch vụ Azure doanh nghiệp Chúng ta quản lý dịch vụ theo chương trình cách sử dụng API mẫu dành riêng cho dịch vụ Hình 3.13: Giải pháp Microsoft Azure cho điện toán đám mây 3.4.2 Bảo mật lớp – Conditional Access: Conditional Access (Truy cập có điều kiện) công cụ Azure Active Directory sử dụng để mang tín hiệu lại với nhau, đưa định thực thi sách tổ chức Truy cập có điều kiện trung tâm mặt phẳng điều khiển định danh Hình 3.14: Conditional Access 50 Các sách truy cập có điều kiện đơn giản câu lệnh if-then, người dùng muốn truy cập tài nguyên, họ phải hồn thành hành động Ví dụ: Người quản lý bảng lương muốn truy cập ứng dụng bảng lương yêu cầu thực xác thực đa yếu tố để truy cập vào Quản trị viên phải đối mặt với hai mục tiêu chính: Trao quyền cho người dùng làm việc hiệu lúc Bảo vệ tài sản tổ chức Bằng cách sử dụng sách Truy cập có điều kiện, áp dụng điều khiển truy cập phù hợp cần để giữ an toàn cho tổ chức tránh xa người dùng khơng cần thiết Hình 3.15: Xác thực Conditional Access Các sách truy cập có điều kiện thi hành sau xác thực yếu tố hồn thành Truy cập có điều kiện khơng nhằm mục đích phòng thủ tổ chức cho tình cơng từ chối dịch vụ (DoS), sử dụng tín hiệu từ kiện để xác định quyền truy cập Truy cập có điều kiện dựa yêu cầu truy cập từ miền Active Directory (AD) công ty Microsoft Azure để thông báo cho hệ thống trạng thái độ tin cậy thiết bị có yêu cầu truy cập liệu Các thiết bị di động (Android, iOS, Windows phone) cần phải đăng ký vào Microsoft Azure, cung cấp cài đặt sách bảo mật bắt buộc phải xác minh thiết bị không root (đối 51 với thiết bị Android) không bị jailbroken (đối với thiết bị iOS) Còn máy trạm Windows, thiết bị bắt buộc phải tham gia vào miền Domain doanh nghiệp, nơi sách quản trị thi hành Truy cập có điều kiện kết hợp nhiều sách với để liệu doanh nghiệp bảo vệ hoàn toàn tuyệt đối mà đáp ứng tiêu chí cho phép người dùng truy cập từ đâu Với phương thức truy cập đa yêu tố, người dùng muốn truy cập vào liệu tổ chức bắt buộc phải xác thực qua nhiều bước Ví dụ: Người dùng muốn truy cập vào email công ty, bước xác thực tên đăng nhập mật khẩu, họ còn nhận tin nhắn yêu cầu phải nhập mã OTP để hoàn thành phân đoạn đăng nhập Sau bước xác thực trên, người dùng truy cập vào email cơng ty Hình 3.16: Xác thực bước Conditional Access 3.4.3 Bảo mật lớp – Mã hóa Azure Storage: Giới thiệu mã hóa Azure Storage: Azure Storage giải pháp lưu trữ đám mây Microsoft cho tình lưu trữ liệu đại Azure Storage cung cấp kho lưu trữ đối tượng mở rộng quy mô cho đối tượng liệu, dịch vụ hệ thống tệp cho đám mây, kho lưu trữ tin nhắn để nhắn tin đáng tin cậy Dữ liệu Azure Storage mã hóa giải mã cách sử dụng mã hóa AES 256 bit, thuật tốn mã hóa khối mạnh có dựa theo Trin 140-2 Mã hóa Azure Storage tương tự mã hóa BitLocker Windows Mã hóa Azure Storage bật cho tất tài khoản lưu trữ mới, bao gồm Trình quản lý tài nguyên tài khoản lưu trữ cổ điển Mã hóa Azure Storage khơng 52 thể bị vơ hiệu hóa Vì liệu mặc định bảo mật, không cần sửa đổi mã ứng dụng để tận dụng mã hóa Azure Storage Tài khoản lưu trữ mã hóa cấp bậc hiệu suất chúng (tiêu chuẩn cao cấp) mơ hình triển khai (Trình quản lý tài nguyên Azure cổ điển) Tất tùy chọn dự phòng Azure Storage hỗ trợ mã hóa tất tài khoản lưu trữ mã hóa Tất tài nguyên lưu trữ Azure mã hóa, bao gồm đốm màu, đĩa, tệp liệu, hàng đợi bảng Tất siêu liệu mã hóa Mã hóa khơng ảnh hưởng đến hiệu suất Azure Storage Không cần phải trả thêm khoản chi phí bổ sung cho mã hóa Azure Storage Quản lý khóa mã hóa: Chúng ta dựa vào khóa Microsoft quản lý để mã hóa tài khoản lưu trữ quản lý mã hóa khóa riêng Nếu chọn quản lý mã hóa khóa riêng mình, có hai tùy chọn: Chỉ định khóa khách hàng quản lý Azure Key Vault để sử dụng để mã hóa giải mã tất liệu tài khoản lưu trữ Khóa khách hàng quản lý sử dụng để mã hóa tất liệu tất dịch vụ tài khoản lưu trữ Chỉ định khóa khách hàng cung cấp cho hoạt động lưu trữ Blob Một khách hàng thực yêu cầu đọc ghi lưu trữ Blob bao gồm khóa mã hóa theo yêu cầu kiểm soát chi tiết cách liệu blob mã hóa giải mã Hoạt động mã Khóa Microsoft Khóa khách Khóa khách quản lý hàng quản lý hàng cung cấp Azure Azure Azure Tất Lưu trũ Blob, tập Blob hóa/giải mã Dịch vụ lưu trữ Azure hỗ trợ Lưu trữ khóa tin Azure Của hàng lưu trữ khóa Microsoft Azure key Vault Azure key Vault bất ký 53 hàng lưu trữ khóa khác Trách nhiệm luân Microsoft Khách hàng Microsoft Cổng thơng tin Khách hàng chuyển Sử dụng Azure, API REST Truy cập khóa Chỉ Microsoft cuat nhà cung cấp Azure API REST tài nguyên lưu trữ, API ( lưu trữ thư viện quản lý Blob), thư viện lưu trữ Azure, máy khách Azure PowerShell, CLI Storage Microsoft, khách hàng Chỉ Khách hàng Bảng 1: So sánh tùy chọn quản lý khóa mã hóa cho mã hóa Azure Storage Khóa Microsoft quản lý: Mặc định, tài khoản lưu trữ sử dụng khốc mã hóa Microsoft quản lý Quản trị viên xem cài đặt mã hóa cho tài khoản lưu trữ người dùng Cổng thông tin Azure Hình 3.17: Chọn khóa mã hóa cổng thơng tin Azure Các khóa khách hàng quản lý với Azure Key Vault: 54 Quản trị viên quản lý mã hóa Azure Storage cấp tài khoản lưu trữ khóa riêng doanh nghiệp Khi định khóa khách hàng quản lý cấp tài khoản lưu trữ, khóa sử dụng để mã hóa giải mã tất liệu tài khoản lưu trữ, bao gồm blob, queue, file liệu bảng Các khóa khách hàng quản lý cung cấp tính linh hoạt cao để tạo, xoay, vơ hiệu hóa thu hồi điều khiển truy cập Các quản trị viên kiểm tra khóa mã hóa sử dụng để bảo vệ liệu doanh nghiệp Các khóa khách hàng cung cấp: Khi có ứng dụng từ phía khách hàng cung cấp khóa mã hóa theo yêu cầu, Azure Storage thực mã hóa giải mã suốt đọc ghi liệu blob Azure Storage viết hàm băm SHA-256 khóa mã hóa với nội dung blob Hàm băm sử dụng để xác minh tất hoạt động blob sử dụng khóa mã hóa Azure Storage khơng lưu trữ quản lý khóa mã hóa mà khách hàng gửi với yêu cầu Khóa loại bỏ cách an tồn sau q trình mã hóa giải mã hồn tất Khi khách hàng tạo cập nhật blob khóa khách hàng cung cấp, yêu cầu đọc ghi cho blob phải cung cấp khóa Nếu khóa khơng cung cấp theo u cầu cho blob mã hóa khóa khách hàng cung cấp, u cầu khơng thành công với mã lỗi 409 (Xung đột) Nếu ứng dụng khách hàng gửi khóa mã hóa theo yêu cầu tài khoản lưu trữ mã hóa khóa Microsoft quản lý khóa khách hàng quản lý, Azure Storage sử dụng khóa cung cấp theo yêu cầu mã hóa giải mã Để gửi khóa mã hóa phần yêu cầu, khách hàng phải thiết lập kết nối an toàn với Azure Storage HTTPS 3.4.4 Bảo mật lớp – Azure Site Recovery: Hiện nay, thách thức lớn thúc đẩy phát triển doanh nghiệp khả chịu lỗi trì hoạt động Các doanh nghiệp cần có khả phục hồi sau thảm họa (thảm họa tự nhiên thất bại hoạt động kinh doanh) cách 55 nhanh chóng, tối thiểu hóa thời gian ngừng hoạt động tổn thất tiền bạc Do vậy, doanh nghiệp cần áp dụng chiến lược kinh doanh liên tục khắc phục thảm họa (Business Continuity and Disaster Recovery – BCDR) để giữ an toàn cho liệu, đảm bảo ứng dụng khối lượng công việc luôn hoạt động Từ Azure Site Recovery đờ Azure Site Recovery (ASR) giải pháp khôi phục liệu cung cấp dạng dịch vụ (DRaaS), phát triển Azure sử dụng cho mơ hình kiến trúc đám mây đám mây lai ASR cho phép máy ảo Azure, Hyper-V, hệ thống máy chủ vật lý máy ảo VMware chuyển đổi dự phòng thành công khắc phục thành công thảm họa giải Một quy trình chép liệu gần không đổi đảm bảo đồng hóa Đặc điểm Azure Site Recovery: ASR cung cấp tính bản: Sao chép - Sao chép đồng hóa nội dung hệ điều hành đĩa liệu gắn vào máy chủ máy ảo lưu trữ Azure môi trường chỗ khu vực khu vực dự phòng Chuyển đổi – Khả chịu trách nhiệm hốn đổi chức khu vực khu vực dự phòng có vấn đề ảnh hưởng đến hoạt động phía ASR cung cấp nguyên tắc sử dụng làm dịch vụ lưu khôi phục liệu cung cấp dạng dịch vụ: Bảo vệ liệu tự động (Data Protection) dựa việc chép máy ảo máy chủ vật lý Tùy chỉnh kế hoạch khôi phục liệu sau thảm họa Tự động chuyển đổi khôi phục Phục hồi hoạt động sản xuất kiểm tra chuyển đổi dự phòng Theo dõi, tính tốn báo cáo tình trạng liệu sau khôi phục thảm họa 56 Hỗ trợ nhiều hệ điều hành phần mềm bên thứ ba ASR cung cấp chiến lược BCDR chính: Dịch vụ khơi phục: giúp đảm bảo tính liên tục trì hoạt động doanh nghiệp cách trì ứng dụng khối lượng công việc dù khoảng thời gian ngừng hoạt động Dịch vụ khôi phục chép khối lượng công việc chạy máy vật lý ảo từ khu vực đến khu phòng truy cập ứng dụng từ khơng thể Sau phía chạy lại, khơng cần thiết phải coi vị trí Dịch vụ lưu : Dịch vụ lưu Azure giúp liệu an tồn phục hồi cách lưu liệu lên Azure Các dạng Azure Site Recovery: Azure Site Recovery cho phép doanh nghiệp với hạ tầng khác đảm bảo việc khôi phục liệu sau thảm hoạ Microsoft cung cấp mơ hình chính: Azure tới Azure (Azure − Azure): Microsoft Azure cung cấp lựa chọn cho chép liệu VM từ vùng địa lý tới vùng địa lý khác Ví dụ máy chủ ảo đặt trung tâm liệu Azure Hà Nội chép tới trung tâm liệu đặt thành phố Hồ Chí Minh Trung tâm liệu chỗ đến Azure (On-premise − Azure): ASR cho phép việc chép máy ảo máy chủ vật lý chỗ sang Azure Các thay đổi thực máy chép vào tài khoản lưu trữ Azure Nếu lập tức, doanh nghiệp phải đối mặt với thời gian ngừng dịch vụ, máy ảo Azure tạo Azure tiếp tục hoạt động với thời gian ngừng dịch vụ tối thiểu Điều thuận tiện cho doanh nghiệp họ trả tiền cho việc lưu trữ sử dụng Trung tâm liệu chỗ đến trung tâm liệu chỗ (On-premise − On-premise): Trong trường hợp này, khả khôi phục chịu trách nhiệm quản lý việc di chuyển liệu phía phía dự phòng hoạt động kênh liên lạc chúng 57 Hình 3.18: Mơ hình On-premise Ưu điểm Azure Site Recovery: Các mơ hình khắc phục thảm họa truyền thống khác tốn thời gian để thực hiện, giải pháp khắc phục thảm họa Microsoft Azure Site Recovery giúp doanh nghiệp mở khóa nhiều tính mà tổ chức đạt cấp doanh nghiệp Giá thành thấp: Việc sử dụng Azure Site Recovery giúp loại bỏ cần thiết phải trì trung tâm liệu thứ cấp có sở hạ tầng vật lý bổ sung để dự đoán thời gian ngừng dịch vụ kèm với việc khởi động, vận hành bảo trì với giá cao Với Azure Site Recovery, cần trả tiền cho nhớ sử dụng Các chi phí hoạt động khác máy tính áp dụng có cố ngừng dịch vụ Thuận tiện cho việc nhân rộng thử nghiệm: Azure Site Recovery cung cấp diễn tập phục hồi thảm họa sáng tạo cho phép dễ dàng kiểm tra cấu hình nhân rộng mà khơng ảnh hưởng đến mơi trường sản xuất Q trình cho phép doanh nghiệp kiểm tra thiết lập nhanh chóng có thêm niềm tin quy trình chuyển đổi dự phòng hoạt động trơn tru Các tính Azure bổ sung runbooks sử dụng để tự động hóa q trình chuyển đổi dự phòng Tự động hóa làm cho q trình chuyển đổi dự phòng mà không cần can 58 thiệp người, trình nhanh chóng dẫn đến thời gian ngừng dịch vụ tối thiểu Quản lý triển khai đơn giản: Azure Site Recovery dễ dàng bắt đầu mà không cần chuyên môn bổ sung từ phía người quản trị ASR tự động cập nhật với tính Azure chúng phát hành Thứ tự cung cấp máy ảo trường hợp chuyển đổi dự phòng ứng dụng chạy chuỗi máy ảo riêng biệt cấu hình trước để loại bỏ vấn đề kết nối ứng dụng Tuân thủ kiểm tra mà khơng ảnh hưởng đến môi trường sản xuất trực tiếp người dùng cách chạy kịch chuyển đổi dự phòng thử nghiệm SLA 99,9%: Các tổ chức dựa vào Azure Site Recovery để đảm bảo thời gian chết phục hồi tối thiểu đáng tin cậy ASR hứa hẹn khả cung cấp dịch vụ 99,9% hỗ trợ tức 24/7 để quy trình kinh doanh chạy trơn tru 59 KẾT LUẬN Điện toán đám mây thực cách mạng tạo thay đổi kiến trúc máy tính, phát triển cơng cụ phần mềm cách lưu trữ, phân phối sử dụng thông tin Ngày nhiều cá nhân, tổ chức, doanh nghiệp ứng dụng điện toán đám mây cho cơng việc, hoạt động kinh doanh Tuy nhiên yếu mặt bảo mật khiến khơng người tỏ thờ hay phân vân với điện tốn đám mây Muốn đảm bảo an tồn bảo mật điện toán đám mây, nhà cung cấp dịch vụ đám mây nghiên cứu nhiều công nghệ giải pháp ứng dụng vào đám mây họ nghiên cứu cơng nghệ mã hóa, xác thực mới, thiết kế hệ thống phần cứng, phần mềm đảm bảo an tồn hay thiết lập sách an tồn Tất thứ giúp cho điện toán đám mây trở nên tin cậy 60 TÀI LIỆU THAM KHẢO 1) Cloud Computing Security - Sean Carlin, Kevin Curran 2) Firewall and VPN Investigation on Cloud Computing Performance - Siddeeq Y Ameen, Shayma Wail Nourildean – 4/2014 3) Cloud Computing Challenges And Solutions - Nidal M Turab, Anas Abu Taleb, Shadi R Masadeh – 9/2013 4) https://aws.amazon.com/vi/what-is-cloud-computing/ 5) https://vi.wikipedia.org/wiki/Điện_toán_đám_mây/ 6) https://quantrimang.com/tim-hieu-ve-dien-toan-dam-may-118375 7) https://magenest.com/vi/he-thong-dien-toan-dam-may/ 61 ... hình bảo mật liệu điện tốn đám mây: Bảo mật điện toán đám mây đến từ hai mảng chính: bảo mật phía nhà cung cấp dịch vụ đám mây bảo mật phía người sử dụng Các nhà cung cấp điện toán đám mây phải... Mơ hình IaaS 14 CHƯƠNG CÁC VẤN ĐỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 2.1 Bảo mật điện toán đám mây: Điện toán đám mây đem lại cho doanh nghiệp phương thức quản lý tài nguyên cách hiệu quả, linh động... CHƯƠNG CÁC VẤN ĐỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 13 2.1 Bảo mật điện toán đám mây: 13 2.2 Các nguy lỗ hỏng bảo mật: .13 2.2.1 Lợi dụng tài nguyên điện toán đám mây: 13 2.2.2