Giáo trình An ninh mạng là tài liệu phục vụ cho sinh viên ngành Công nghệ thông tin và An toàn thông tin thuộc chương trình đào tạo 150 tín chỉ của Trường Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh. Tài liệu được biên soạn nhằm cung cấp cho sinh viên các kiến thức cơ bản về an toàn thông tin, các nguy cơ tấn công và giải pháp an toàn trên cơ sở hạ tầng mạng, mạng wifi, cũng như các ứng dụng mạng. Ngoài ra, tài liệu cũng đề cập đến các giao thức bảo mật mạng như TLS, IPSec, PGP, SSH nhằm hỗ trợ các dịch vụ mạng hoạt động an toàn, đồng thời đưa ra các giải pháp tổng thể cho toàn hệ thống mạng như Firewall, IDSIPS. Tài liệu không chỉ đề cập đến những cơ sở lý thuyết mà còn trình bày một số kỹ năng cần thiết để khai thác các lỗ hổng, thực hiện tấn công; đồng thời thiết lập, cài đặt và quản trị hệ thống mạng một cách an toàn. Hy vọng tài liệu sẽ có ích cho các sinh viên và những người muốn xây dựng các hệ thống mạng, quản trị an toàn các mạng doanh nghiệp. Mặc dù đã rất cố gắng trong quá trình biên soạn, nhưng tài liệu có thể vẫn còn thiếu sót trong trình bày, biên soạn, nhóm tác giả mong nhận được những đóng góp của độc giả để tài liệu được hoàn thiện hơn trong những lần tái bản sau
NGUYỄN THỊ THANH VÂN (Chủ biên) HUỲNH NGUYÊN CHÍNH GIÁO TRÌNH AN NINH MẠNG NHÀ XUẤT BẢN ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH NGUYỄN THỊ THANH VÂN (Chủ biên) HUỲNH NGUN CHÍNH GIÁO TRÌNH AN NINH MẠNG (Dùng cho sinh viên ngành Cơng nghệ thơng tin, An tồn thông tin) NHÀ XUẤT BẢN ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH - 2023 LỜI NĨI ĐẦU Giáo trình An ninh mạng tài liệu phục vụ cho sinh viên ngành Công nghệ thông tin An tồn thơng tin thuộc chương trình đào tạo 150 tín Trường Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh Tài liệu biên soạn nhằm cung cấp cho sinh viên kiến thức an tồn thơng tin, nguy cơng giải pháp an tồn sở hạ tầng mạng, mạng wifi, ứng dụng mạng Ngoài ra, tài liệu đề cập đến giao thức bảo mật mạng TLS, IPSec, PGP, SSH nhằm hỗ trợ dịch vụ mạng hoạt động an toàn, đồng thời đưa giải pháp tổng thể cho tồn hệ thống mạng Firewall, IDS/IPS Tài liệu khơng đề cập đến sở lý thuyết mà cịn trình bày số kỹ cần thiết để khai thác lỗ hổng, thực công; đồng thời thiết lập, cài đặt quản trị hệ thống mạng cách an toàn Hy vọng tài liệu có ích cho sinh viên người muốn xây dựng hệ thống mạng, quản trị an toàn mạng doanh nghiệp Mặc dù cố gắng q trình biên soạn, tài liệu cịn thiếu sót trình bày, biên soạn, nhóm tác giả mong nhận đóng góp độc giả để tài liệu hoàn thiện lần tái sau Nhóm tác giả MỤC LỤC MỤC LỤC .5 DANH MỤC TỪ VIẾT TẮT .12 DANH MỤC CÁC HÌNH ẢNH 13 DANH MỤC BẢNG BIỂU 19 CHƯƠNG GIỚI THIỆU VỀ AN NINH MẠNG 21 1.1 Khái quát mạng máy tính 21 1.1.1 Mơ hình kết nối hệ thống mở OSI TCP/IP 21 1.1.2 Giao thức TCP UDP 23 1.1.3 Thiết lập kết nối TCP 24 1.1.4 Giao thức IP, địa IP cổng .25 1.1.5 Địa MAC giao thức phân giải địa ARP 26 1.1.6 Dịch vụ phân giải tên miền DNS 28 1.1.7 Dịch vụ cấp phát IP động DHCP 28 1.1.8 Cơ chế chuyển dịch địa NAT 28 1.1.9 Các thiết bị mạng 29 1.1.10 Mạng riêng ảo VPN .30 1.2 An tồn thơng tin mạng 31 1.2.1 CIA Triad .31 1.2.2 AAA - Authentication, Authorization, Accounting 32 1.2.3 Thuật ngữ an tồn thơng tin 33 1.3 Các nguy an tồn thơng tin 34 1.4 Đối phó với nguy an tồn thông tin .34 1.5 Các dạng tin tặc (hackers) 35 1.6 Quản lý cố 36 1.7 Tổng kết chương 37 1.8 Câu hỏi tập 37 CHƯƠNG ĐÁNH GIÁ AN TOÀN HỆ THỐNG MẠNG VÀ CÁC DỊCH VỤ MẠNG 41 2.1 Sự cần thiết đánh giá an toàn mạng .41 2.1.1 Security Audit 41 2.1.2 Vulnerability Assessments .42 2.1.3 Penetration Testing 42 2.2 Các phương pháp đánh giá an toàn mạng 42 2.3 Footprinting Reconnaissance 43 2.3.1 Giới thiệu .43 2.3.2 Các dạng Footprinting 43 2.3.3 Enumeration – liệt kê thông tin mạng 46 2.3.4 Các công cụ quét, liệt kê thông tin mạng .47 2.4 Scanning 49 2.4.1 Quét host 50 2.4.2 Quét cổng .52 2.4.3 Quét lỗ hổng 56 2.5 Penetration Testing .58 2.5.1 Hộp đen (Black box) 58 2.5.2 Hộp trắng (White box) 59 2.5.3 Hộp xám (Gray box) 59 2.6 Đánh giá dịch vụ mạng 59 2.6.1 Đánh giá dịch vụ mạng thông thường .59 2.6.2 Đánh giá dịch vụ mạng Microsoft .74 2.6.3 Đánh giá dịch vụ Email 82 2.6.4 Đánh giá dịch vụ Web Server 89 2.7 Tổng kết chương 94 2.8 Câu hỏi ôn tập .95 CHƯƠNG TẤN CÔNG MẠNG 99 3.1 Giới thiệu công mạng 99 3.2 Tấn công mật .100 3.2.1 Non-Electronic .100 3.2.2 Active Online .100 3.2.3 Passive Online 101 3.2.4 Default Password 101 3.2.5 Offline 102 3.2.6 Cách phịng chống cơng mật 102 3.3 Tấn công leo thang đặc quyền (Escalating Privileges) 102 3.3.1 Khái niệm công leo thang đặc quyền .102 3.3.2 Các dạng leo thang đặc quyền .103 3.3.3 Phịng chống cơng leo thang đặc quyền 103 3.4 Tấn công DoS (Denial of Service) 104 3.4.1 Flooding: SYN TCP, UDP, ICMP, HTTP 105 3.4.2 Spoofing: SYN, source address 107 3.4.3 Distributed DoS (DDoS) 108 3.4.4 Reflection DoS .109 3.4.5 Amplification DoS: DNS .109 3.4.6 Smurf 110 3.4.7 Ping of death 111 3.4.8 Cách phịng chống cơng DoS 111 3.5 Tấn công Sniffing 112 3.5.1 Khái niệm Sniffing .112 3.5.2 Sniffing chủ động thụ động .112 3.5.3 Cách phòng chống công Sniffing 113 3.6 Tấn công Session Hijacking .114 3.6.1 Khái niệm Session Hijacking .114 3.6.2 Quá trình Session Hijacking 114 3.6.3 Các dạng Session Hijacking 115 3.6.4 Cách phòng chống công Session Hijacking 116 3.7 Tấn công Web Server 117 3.7.1 Các cố bảo mật Web Server 117 3.7.2 Các công Web Server .117 3.7.3 Các phương pháp công Web Server .118 3.7.4 Cách phịng chống cơng Web Server .119 3.8 Tấn công ứng dụng Web .120 3.8.1 Các mối đe dọa ứng dụng Web 120 3.8.2 Các phương pháp công ứng dụng Web 121 3.8.3 Cách phịng chống cơng ứng dụng Web 122 3.9 Tấn công SQL Injection .122 3.9.1 Khái niệm SQL Injection .122 3.9.2 Các dạng SQL Injection .123 3.9.3 Các phương pháp công SQL Injection 124 3.9.4 Cách phịng chống cơng SQL Injection 125 3.10 Tấn công Social Engineering 125 3.10.1 Khái niệm Social Engineering 125 3.10.2 Các giai đoạn công Social Engineering .125 3.10.3 Các hình thức cơng Social Engineering .126 3.10.4 Phịng chống cơng Social engineering 127 3.11 Mã độc công mạng 127 3.11.1 Khái niệm mã độc công mạng 127 3.11.2 Các dạng mã độc phòng chống .128 3.12 Tổng kết chương .134 3.13 Câu hỏi tập .135 CHƯƠNG AN TOÀN CƠ SỞ HẠ TẦNG MẠNG .141 4.1 Giới thiệu an toàn hạ tầng mạng 141 4.1.1 Hạ tầng mạng nguy 141 4.1.2 Chức an toàn hạ tầng mạng 143 4.1.3 Các thách thức với an toàn hạ tầng mạng 144 4.2 An toàn hạ tầng mạng – phần Switching 145 4.2.1 Hoạt động Switch nguy 145 4.2.2 Tấn công MAC Flooding .146 4.2.3 Tấn công ARP Poisoning .149 4.2.4 Tấn công STP .152 4.2.5 Tấn công VLAN 156 4.2.6 Thực nghiệm công phần Switching 161 4.3 An toàn hạ tầng mạng – phần Routing .173 4.3.1 Hoạt động định tuyến nguy 173 4.3.2 Tấn công External Internal 174 4.3.3 Tấn công giao thức RIP phương pháp phịng chống 177 4.3.4 Tấn cơng giao thức OSPF phương pháp phịng chống 182 4.3.5 Tấn cơng giao thức BGP phương pháp phòng chống 183 4.4 An toàn hạ tầng mạng – Dịch vụ địa chỉ, tên miền 191 4.4.1 Các dạng công DHCP 191 4.4.2 Các dạng công DNS .196 4.5 Bảo vệ sở hạ tầng mạng - Phương pháp tiếp cận 200 4.5.1 Nguồn gốc vấn đề bảo mật sở hạ tầng mạng 200 4.5.2 Tách phân tầng sở hạ tầng mạng 200 4.5.3 Tách lớp sở hạ tầng mạng - Lọc địa MAC .202 4.5.4 Phân cấp sở hạ tầng mạng mạng STP 203 4.5.5 Phân tách sở hạ tầng mạng lớp 205 4.5.6 Một sở hạ tầng mạng hoàn toàn ẩn – định hướng 257 4.6 Tổng kết chương 208 4.7 Câu hỏi tập .208 CHƯƠNG CÁC GIAO THỨC AN TOÀN MẠNG .212 5.1 Bảo mật tầng TCP/IP 212 5.2 Giao thức bảo mật tầng Network – IPSec 213 5.2.1 Giới thiệu IPSec 213 5.2.2 Các thành phần IPSec 216 5.2.3 Giao thức AH ESP 217 5.2.4 Chế độ truyền .218 5.2.5 Quản lý khóa IKE - Internet Key Exchange 221 5.2.6 Thuật tốn mã hóa IPSec 225 5.2.7 Chính sách IPsec 227 5.3 Giao thức bảo mật tầng Transport 228 5.3.1 Giới thiệu SSL 228 5.3.2 Các khái niệm SSL .229 5.3.3 Kiến trúc SSL .232 5.3.4 Giao thức TLS – Transport Layer Security 235 5.4 Giao thức bảo mật tầng Application 237 5.4.1 Giao thức HTTPS 237 5.4.2 Giao thức SSH .239 5.4.3 Giao thức PGP .246 5.4.4 Chuẩn S/MIME 253 5.5 Tổng kết chương 257 5.6 Câu hỏi tập .257 CHƯƠNG AN TỒN MẠNG KHƠNG DÂY 261 6.1 Các nguy mạng Wireless 261 6.2 Bảo mật mạng Wireless 261 6.2.1 Wired Equivalent Privacy (WEP) 262 6.2.2 Chuẩn bảo mật IEEE 802.11i .263 6.2.3 WiFi Protected Access (WPA), WPA2, WPA3 271 6.3 Bảo mật tầng vận chuyển mạng không dây 272 6.3.1 Giới thiệu WTLS (Wireless Transport Layer Security) .272 6.3.2 Kiến trúc WTLS 273 6.3.3 So sánh TLS WTLS 274 6.4 Các cơng mạng WiFi giải pháp phịng chống .275 6.4.1 Tấn công dựa vào tiêu chuẩn an tồn thơng tin 275 6.4.2 Tấn cơng dựa vào đặc điểm mạng không dây 275 6.5 Giải pháp phịng chống cơng WiFi 278 6.6 Thực nghiệm số công WiFi 279 6.6.1 Tấn công DoS AP 279 6.6.2 Tấn công crack mật WPA-PSK 280 6.7 Tổng kết chương 283 6.8 Câu hỏi tập .283 sẻ cho nhiều người sử dụng, hạ tầng đám mây dùng chế đo lường thích hợp để đo việc sử dụng tài nguyên cho cá nhân 8.1.4 Các mơ hình triển khai điện tốn đám mây Hình 8.2: Mơ hình triển khai điện tốn đám mây Hình 8.2 mơ tả mơ hình triển khai điện tốn đám mây, gồm: Đám mây công cộng (Public Cloud): Đám mây thiết lập cung cấp cho rộng rãi người dùng thơng qua Internet Nó có đặc trưng hạ tầng thống nhất, sách chung, nguồn lực chia sẻ cho nhiều thuê bao, đa quy mô Mơ hình đám mây thường an tồn mơ hình khác thường cung cấp dịch vụ phần mềm chung phần mềm văn phòng, chat, họp trực tuyến,… Đám mây riêng (Private Cloud): Đám mây thiết lập cho tổ chức mạng nội Nó quản lý tổ chức bên thứ ba tồn sở hạ tầng trước có Mơ hình thường dành quyền truy cập vào tài nguyên cho người dùng nội tổ chức chủ sở hữu đám mây, bảo vệ quy trình, quy chế bảo mật riêng, điều làm cho khó bị cơng Đám mây riêng có đặc điểm hạ tầng khơng đồng nhất, sách tùy chỉnh, tài nguyên dành riêng, sở hạ tầng tự có Đám mây cộng đồng (Community Cloud): Đây dạng đám mây mà hạ tầng chia sẻ vài tổ chức Nó hỗ trợ vài thứ chung cộng đồng đó, chẳng hạn nhiệm vụ, sách bảo mật, chuẩn,… Đám mây hỗn hợp (Hybrid Cloud): Hạ tầng đám mây kết nối nhiều mơ hình triển khai đám mây (chung, riêng, cộng đồng) 8.2 Các rủi ro với điện toán đám mây Liên minh bảo mật đám mây (CSA - Cloud Security Alliance) liệt kê mối đe dọa bảo mật cụ thể đám mây, với biện pháp đối phó đề xuất: 315 8.2.1 Lạm dụng sử dụng bất điện tốn đám mây Đối với nhiều nhà cung cấp đám mây, việc đăng ký bắt đầu sử dụng dịch vụ đám mây tương đối dễ dàng, số chí cịn cung cấp thời gian dùng thử miễn phí có giới hạn Điều cho phép kẻ công xâm nhập vào bên đám mây để tiến hành công khác gửi thư rác, công mã độc từ chối dịch vụ Các dịch vụ PaaS IaaS thường bị cơng kiểu Các biện pháp đối phó bao gồm (1) quy trình đăng ký xác nhận ban đầu chặt chẽ hơn; (2) tăng cường giám sát điều phối gian lận thẻ tín dụng; (3) xem xét tồn diện lưu lượng mạng khách hàng; (4) giám sát danh sách đen công khai cho vùng mạng người 8.2.2 Giao diện API không an toàn Khách hàng thường dùng API để quản lý tương tác với dịch vụ đám mây Tính bảo mật tính khả dụng dịch vụ đám mây phụ thuộc vào tính bảo mật API Từ xác thực kiểm soát truy cập đến mã hóa giám sát hoạt động, giao diện phải thiết kế để bảo vệ chống lại hành vi vơ tình độc hại nhằm phá vỡ sách bảo mật Các biện pháp đối phó bao gồm (1) phân tích mơ hình bảo mật giao diện đám mây; (2) đảm bảo xác thực mạnh mẽ kiểm soát truy cập thực với việc truyền có mã hóa; (3) hiểu chuỗi phụ thuộc liên quan đến API 8.2.3 Nội gián độc hại Theo mơ hình điện tốn đám mây, tổ chức từ bỏ quyền kiểm soát trực tiếp nhiều khía cạnh bảo mật gây nguy hoạt động nội gián độc hại Các biện pháp đối phó bao gồm: (1) thực thi quản lý chuỗi cung ứng nghiêm ngặt tiến hành đánh giá nhà cung cấp toàn diện; (2) nêu rõ yêu cầu nguồn nhân lực phần hợp đồng pháp lý; (3) u cầu tính minh bạch thơng lệ quản lý an tồn thơng tin tổng thể, báo cáo tuân thủ; (4) xác định quy trình thơng báo vi phạm bảo mật 8.2.4 Các vấn đề chia sẻ Các nhà cung cấp IaaS cung cấp dịch vụ họ theo cách mở rộng cách chia sẻ sở hạ tầng, điều dễ bị công Các biện pháp đối phó bao gồm: (1) thực phương pháp tốt bảo mật để cài đặt/cấu hình; (2) giám sát môi trường thay đổi/hoạt động trái phép; (3) thúc đẩy xác thực kiểm soát truy cập mạnh 316 mẽ hoạt động truy cập quản trị; (4) vá khắc phục lỗ hổng bảo mật; (5) tiến hành quét lỗ hổng bảo mật kiểm tra cấu hình 8.2.5 Mất rị rỉ liệu Một số khách hàng vi phạm bảo mật gây rò rỉ liệu Các biện pháp đối phó bao gồm: (1) triển khai API mạnh mẽ kiểm sốt ngừng hoạt động; (2) mã hóa bảo vệ tính tồn vẹn liệu q trình truyền tải; (3) phân tích bảo vệ liệu thời gian thiết kế chạy; (4) thực hoạt động tạo, lưu trữ quản lý tiêu hủy khóa mạnh mẽ 8.2.6 Chiếm đoạt tài khoản dịch vụ Thông tin đăng nhập bị đánh cắp dẫn đến bị chiếm đoạt tài khoản mối đe dọa hàng đầu Khi đánh cắp tài khoản, kẻ cơng thường truy cập vào khu vực quan trọng dịch vụ điện toán đám mây triển khai, cho phép chúng xâm phạm tính bảo mật, tính tồn vẹn tính khả dụng dịch vụ Các biện pháp đối phó bao gồm: (1) cấm chia sẻ thơng tin tài khoản người dùng dịch vụ; (2) tận dụng kỹ thuật xác thực hai yếu tố mạnh mẽ có thể; (3) sử dụng giám sát chủ động để phát hoạt động trái phép; (4) hiểu sách hợp đồng khách hàng nhà cung cấp dịch vụ đám mây 8.2.7 Các rủi ro không xác định Khi sử dụng sở hạ tầng đám mây, khách hàng thiết phải nhường quyền kiểm soát cho nhà cung cấp số vấn đề ảnh hưởng đến bảo mật Do đó, khách hàng phải quan tâm xác định rõ ràng vai trò trách nhiệm liên quan đến việc quản lý rủi ro Các biện pháp đối phó bao gồm (1) tiết lộ nhật ký liệu áp dụng; (2) tiết lộ phần/tồn thơng tin chi tiết sở hạ tầng (ví dụ: cấp vá tường lửa); (3) giám sát cảnh báo thông tin cần thiết 8.3 Bảo vệ liệu đám mây 8.3.1 Đặc điểm liệu đám mây Dữ liệu máy tính nói chung có nhiều mối đe dọa như: việc xóa thay đổi ghi mà khơng có lưu nội dung gốc, việc hủy liên kết ghi khỏi ngữ cảnh khiến khơng thể khôi phục được, việc lưu trữ phương tiện khơng đáng tin cậy, việc khóa mã hóa, bên trái phép truy cập vào liệu nhạy cảm Trên môi trường đám mây, mối đe dọa xâm nhập liệu gia tăng nữa, số lượng tương tác nhiều, đặc điểm kiến trúc hoạt động môi trường đám mây 317 Môi trường sở liệu sử dụng điện tốn đám mây thay đổi Một số nhà cung cấp hỗ trợ mơ hình nhiều phiên bản, cung cấp Hệ quản trị Cơ sở liệu chạy máy ảo cho thuê bao đám mây Điều cho phép người đăng ký kiểm sốt hồn tồn việc xác định vai trò, ủy quyền người dùng tác vụ quản trị khác liên quan đến bảo mật Một số nhà cung cấp khác hỗ trợ mơ hình nhiều người th, cung cấp môi trường xác định trước cho người đăng ký đám mây chia sẻ với người thuê khác, thường thông qua việc gắn thẻ liệu với số nhận dạng người đăng ký Việc gắn thẻ sử dụng cá thể độc quyền, thực chất dựa vào nhà cung cấp để thiết lập trì mơi trường sở liệu an toàn Dữ liệu phải bảo mật trạng thái nghỉ, vận chuyển sử dụng, đồng thời việc truy cập vào liệu phải kiểm soát, cụ thể: Đối với liệu trạng thái nghỉ: Khách hàng mã hóa sở liệu lưu trữ liệu mã hóa đám mây, nhà cung cấp khơng có quyền truy cập vào khóa mã hóa Đối với q trình truyền tải liệu: Khách hàng sử dụng mã hóa để bảo vệ liệu Kiểm sốt truy cập: Khách hàng thực thi kỹ thuật kiểm soát truy cập, nhà cung cấp có liên quan mức độ tùy thuộc vào mơ hình dịch vụ sử dụng 8.3.2 Một giải pháp bảo mật liệu đám mây Giải pháp thực mã hóa tồn sở liệu khơng cung cấp khóa mã hóa/giải mã cho nhà cung cấp dịch vụ Người dùng có khả truy cập mục liệu riêng lẻ dựa tìm kiếm lập mục tham số chính, mà phải tải xuống toàn bảng từ sở liệu, giải mã bảng làm việc với kết giải mã Để cung cấp tính linh hoạt hơn, phải có khả làm việc với sở liệu dạng mã hóa Cách tiếp cận mơ tả Hình 8.3, gồm bốn thực thể có liên quan: • Chủ sở hữu liệu – Data owner: Một tổ chức tạo liệu để cung cấp cho việc phát hành có kiểm sốt cho người tổ chức cho người dùng bên • Người dùng - User: Người dùng nhân viên tổ chức cấp quyền truy cập vào sở liệu thông qua máy chủ người dùng bên tổ chức cấp quyền truy cập sau xác thực • Máy khách - Client: Thông qua giao diện truy vấn người dùng 318 chuyển thành truy vấn liệu mã hóa lưu trữ máy chủ • Máy chủ - Cloud Server: Máy chủ đám mây thuộc sở hữu chủ sở hữu liệu thông thường sở sở hữu trì nhà cung cấp bên ngồi Một tổ chức nhận liệu mã hóa từ chủ sở hữu liệu cung cấp chúng để phân phối cho khách hàng Hình 8.3: Mơ hình mã hóa sở liệu đám mây 8.5 Dịch vụ bảo mật điện toán đám mây Thuật ngữ Security as a Service (SecaaS) thường có nghĩa gói dịch vụ bảo mật cung cấp nhà cung cấp dịch vụ nhằm giảm bớt phần lớn trách nhiệm bảo mật từ doanh nghiệp đến nhà cung cấp dịch vụ bảo mật Trong số dịch vụ thường cung cấp xác thực, chống virus, chống phần mềm độc hại, phát xâm nhập quản lý kiện bảo mật Trong bối cảnh điện toán đám mây, SecaaS phân đoạn việc cung cấp CP SaaS Liên minh bảo mật đám mây xác định loại dịch vụ SecaaS mô tả Hình 8.4: • Quản lý danh tính quyền truy cập • Ngăn ngừa liệu • Bảo mật web • Bảo mật e-mail • Đánh giá bảo mật • Quản lý xâm nhập 319 • Thơng tin bảo mật quản lý kiện • Mã hóa • Tính liên tục kinh doanh phục hồi sau thảm họa • An ninh mạng Hình 8.4: Mơ hình dịch vụ bảo mật điện tốn đám mây 8.5.1 Quản lý danh tính truy cập (IAM) Quản lý danh tính truy cập (IAM - Identity and access management) bao gồm người, quy trình hệ thống sử dụng để quản lý quyền truy cập vào tài nguyên doanh nghiệp đảm bảo danh tính thực thể xác minh Quản lý danh tính cung cấp danh tính, cung cấp quyền truy cập cho người dùng xác định sau hủy cấp phép từ chối quyền truy cập người dùng không phép Phần quản lý truy cập IAM liên quan đến dịch vụ xác thực kiểm soát truy cập 320 8.5.2 Ngăn ngừa mát liệu (DLP) Ngăn ngừa mát liệu (DLP - Data loss prevention) thực giám sát, bảo vệ xác minh tính bảo mật liệu trạng thái nghỉ, chuyển động sử dụng Phần lớn DLP triển khai ứng dụng khách hàng Nhà cung cấp đám mây cung cấp dịch vụ DLP, chẳng hạn thực quy tắc chức thực liệu ngữ cảnh khác 8.5.3 Bảo mật web email Dịch vụ thực theo thời gian thực thông qua cài đặt phần mềm/ thiết bị đám mây cách ủy quyền chuyển hướng lưu lượng truy cập Web tới nhà cung cấp đám mây Điều cung cấp lớp bảo vệ bổ sung chống virus, ngăn phần mềm độc hại xâm nhập thông qua hoạt động duyệt Web Dịch vụ bảo mật Web dựa đám mây bao gồm thực thi sách sử dụng, lưu liệu, kiểm soát lưu lượng kiểm soát truy cập Web Bảo mật email cung cấp quyền kiểm soát email đến/đi, tránh khỏi lừa đảo, tệp đính kèm độc hại, thực thi sách cơng ty ngăn chặn thư rác Nhà cung cấp dịch vụ đám mây kết hợp chữ ký điện tử ứng dụng email cung cấp mã hóa email tùy chọn 8.5.4 Đánh giá bảo mật Mặc dù dịch vụ nằm dịch vụ đám mây, nhà cung cấp cung cấp công cụ điểm truy cập để tạo điều kiện cho hoạt động đánh giá khác 8.5.5 Quản lý xâm nhập, kiện thông tin an toàn (SIEM) Quản lý xâm nhập bao gồm phát hiện, ngăn chặn phản ứng xâm nhập Cốt lõi dịch vụ việc triển khai hệ thống phát xâm nhập (IDS) hệ thống ngăn chặn xâm nhập (IPS) điểm vào đám mây máy chủ đám mây SIEM (Security Information and Event Management) tổng hợp liệu nhật ký kiện từ mạng, ứng dụng hệ thống ảo thực Thơng tin sau tương quan phân tích để cung cấp báo cáo thời gian thực cảnh báo thơng tin/sự kiện cần can thiệp loại phản ứng khác Nhà cung cấp dịch vụ đám mây thường cung cấp dịch vụ tích hợp tổng hợp thơng tin từ nhiều nguồn khác đám mây mạng doanh nghiệp khách hàng 8.5.6 Mã hóa Đây dịch vụ phổ biến cung cấp cho liệu trạng 321 thái nghỉ đám mây, lưu lượng email, thông tin quản lý mạng dành riêng cho máy khách thông tin nhận dạng Các dịch vụ mã hóa cung cấp liên quan đến loạt vấn đề phức tạp, bao gồm quản lý khóa, cách triển khai dịch vụ mạng riêng ảo (VPN) đám mây, mã hóa ứng dụng truy cập nội dung liệu 8.5.7 Tính liên tục kinh doanh phục hồi sau thảm họa Dịch vụ bao gồm biện pháp chế để đảm bảo khả phục hồi hoạt động trường hợp có gián đoạn dịch vụ Nhà cung cấp cung cấp lưu nhiều địa điểm, với phương tiện chuyển đổi dự phòng phục hồi thảm họa đáng tin cậy Dịch vụ phải bao gồm sở hạ tầng linh hoạt, dự phòng chức phần cứng, hoạt động giám sát, trung tâm liệu phân phối theo địa lý khả tồn mạng 8.5.8 An ninh mạng Bao gồm dịch vụ bảo mật phân bổ quyền truy cập, phân phối, giám sát bảo vệ dịch vụ tài nguyên Các dịch vụ bao gồm tường lửa biên, tường lửa máy chủ bảo vệ từ chối dịch vụ Nhiều dịch vụ khác liệt kê phần này, bao gồm quản lý xâm nhập, quản lý danh tính truy cập, bảo vệ liệu bảo mật Web đóng góp vào dịch vụ an ninh mạng 8.6 Tổng kết chương Chương trình bày thành phần điện tốn đám mây, rủi ro số phương pháp bảo vệ liệu điện tốn đám mây Ngồi ra, chương cịn trình bày số giải pháp dịch vụ bảo mật môi trường đám mây Trong tập trung vào việc sử dụng cơng nghệ mã hóa liệu, quản lý truy cập (IAM - Identity and Access Management), chống thất thoát liệu (DLP - Data Loss Prevention), quản lý kiện an tồn thơng tin (SIEM - Security Information and Event Management), triển khai dịch vụ nhằm đảm bảo tính liên tục kinh doanh (BCP - Business Continuity Planning) phục hồi sau thảm họa (RDP - Disaster Recovery Plan) 8.7 Câu hỏi tập Công ty xem xét việc sử dụng hệ thống lưu trữ dựa đối tượng (object-based storage), nơi liệu đặt môi trường lưu trữ nhà cung cấp quản lý thông qua việc sử dụng lệnh gọi API Loại dịch vụ điện toán đám mây sử dụng? 322 A IaaS B PaaS C CaaS D SaaS Câu sau tên gọi cho tảng đám mây Amazon? A Azure B AWS C Cloudera D ASW Thuật ngữ IaaS viết tắt câu sau đây? A IT-as-a-Service B Infrastructure-as-a-Service C Internet-as-a-Service D Interoperability-as-a-Service Mơ hình sau coi mơ hình dịch vụ điện tốn đám mây hồn chỉnh nhất? A PaaS B IaaS C CaaS D SaaS Amazon Web Services (AWS) Microsoft Azure ví dụ về? A Public cloud providers B Private cloud providers C Hybrid cloud providers D Dynamic cloud providers Mơ hình dịch vụ đám mây cung cấp cho người tiêu dùng sở hạ tầng để tạo ứng dụng triển khai ứng dụng nó? A SaaS B PaaS C IaaS D IDaaS Sản phẩm DLP (Data loss prevention) phân loại thành mơ hình triển khai sau? A Zero-trust cloud-based B Cloud-based agent-based C Network-based agent-based D Các câu trả lời 323 Công ty bạn quan tâm đến việc lưu giữ liệu đám mây Ban quản lý cảm thấy đám mây công cộng không an tồn lo ngại chi phí đám mây riêng Giải pháp muốn giới thiệu gì? A Nói với họ khơng có rủi ro với đám mây cơng cộng (public cloud) B Nói với họ họ phải tìm cách lập ngân sách cho đám mây riêng (private cloud) C Đề nghị họ xem xét đám mây cộng đồng (community cloud) D Khuyến nghị không sử dụng giải pháp đám mây vào lúc Nhóm phát triển bạn chủ yếu sử dụng Windows, họ cần phát triển giải pháp cụ thể chạy Linux Giải pháp sau tốt cho phép lập trình viên truy cập vào hệ thống Linux để phát triển thử nghiệm bạn muốn sử dụng cloud? A Cài đặt máy tính dạng dual-boot cho Windows Linux B PaaS C Cài đặt vài máy Linux để làm việc D IaaS 10 Bạn CIO cho công ty nhỏ Công ty muốn sử dụng lưu trữ đám mây cho số liệu mình, chi phí mối quan tâm lớn Mơ hình triển khai đám mây sau tốt nhất? A Community cloud B Private cloud C Public cloud D Hybrid cloud 11 Người quản trị muốn sử dụng điện toán đám mây đặt cơng ty Thuật ngữ sau mơ tả loại giải pháp điện toán đám mây này? A Infrastructure as a service B Hybrid cloud C Private cloud D Platform as a service 12 Người quản trị muốn phát mối đe dọa bên tiềm ẩn cách sử dụng hệ thống quản lý kiện thơng tin bảo mật (SIEM) Tính SIEM phù hợp với yêu cầu này? A Phân tích cảm xúc B Tổng hợp nhật ký C Giám sát an ninh 324 D Phân tích hành vi người dùng 13 Thành phần SIEM thu thập liệu gửi đến SIEM để phân tích? A An alert level B A trend analyzer C A sensor D A sensitivity threshold 14 Dữ liệu ghi nhãn cho phép hệ thống DLP làm gì? A Hệ thống DLP phát nhãn áp dụng biện pháp bảo vệ thích hợp B Hệ thống DLP điều chỉnh nhãn dựa thay đổi sơ đồ phân loại C Hệ thống DLP thông báo cho tường lửa lưu lượng truy cập phải phép qua D Hệ thống DLP xóa liệu khơng gắn nhãn 15 Cơng nghệ để giúp ngăn liệu bí mật bị gửi tổ chức qua email? A DLP B IDS C Firewall D UDP 16 Người quản trị thấy rằng, có nhiều cá nhân cơng ty lưu trữ thơng tin nhạy cảm máy tính xách tay họ theo cách khơng an tồn có khả vi phạm sách bảo mật cơng ty Người quản trị sử dụng cơng cụ sau để kiểm soát vấn đề này? A Network DLP B Network IPS C Endpoint DLP D Endpoint IPS 17 Dịch vụ đám mây có khả sử dụng để phát triển phần mềm? A SaaS B IaaS C PaaS D DraaS 18 Loại kế hoạch nêu thủ tục cần tuân theo thảm họa 325 xảy làm gián đoạn hoạt động bình thường doanh nghiệp? A Business continuity plan B Business Impact Assessment C Disaster recovery plan D Vulnerability assessment 19 Điều sau bao gồm định nghĩa quy trình ứng phó khẩn cấp? A Operations Planning B Disaster Recovery Planning C Business Continuity Planning D Backup Planning 20 Tính liên tục doanh nghiệp chủ yếu giải mục tiêu bảo mật sau đây? A Availability B Integrity C Confidentiality D Accountability 326 TÀI LIỆU THAM KHẢO [1] William Stallings, Lawrie Brown, Cryptography and Network Security Principles and Practice 6th Edition, Pearson Education, Inc, 2014 [2] Chris McNab, Network Security Assessment, Oreilly, 2016 [3] Ric Messier, CEH v10 Certified Ethical Hacker Study Guide, John Wiley & Sons, 2019 [4] Angus Wong, Alan Yeung, Network Infrastructure Security, Springer Science, 2009 [5] Behrouz A Forouza, Introduction to cryptography and network security, McGraw-Hill, 2008 [6] Stewart Miller: WiFi Security, McGraw-Hill Professional, 2003 [7] Willie L Pritchett, David De Smet, Kali Linux Cookbook, Packt Publishing, 2013 [8] Ronald L Krutz, Russell Dean Vines, Cloud Security: A Comprehensive Guide to Secure Cloud Computing, Wiley Publishing, Inc., 2010 [9] Richard A Deal, “Cisco Router Firewall Security”, Publisher : Cisco Press, 2004 327 Giáo trình An ninh mạng Nguyễn Thị Thanh Vân (chủ biên), Huỳnh Nguyên Chính Trường Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh NHÀ XUẤT BẢN ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH Trụ sở: Phòng 501, Nhà Điều hành ĐHQG-HCM, phường Linh Trung, thành phố Thủ Đức, Thành phố Hồ Chí Minh ĐT: 028 62726361 E-mail: vnuhp@vnuhcm.edu.vn Văn phòng đại diện: Tòa nhà K-Trường Đại học Khoa học Xã hội & Nhân văn, số 10-12 Đinh Tiên Hoàng, phường Bến Nghé, Quận 1,Thành phố Hồ Chí Minh ĐT: 028 62726390 Website: www.vnuhcmpress.edu.vn Chịu trách nhiệm xuất nội dung TS ĐỖ VĂN BIÊN Biên tập LÊ THỊ MINH HUỆ Sửa in THANH HÀ Trình bày bìa TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỒ HỒ CHÍ MINH Đối tác liên kết TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỒ HỒ CHÍ MINH Xuất lần thứ Số lượng in: 250 cuốn, khổ 16 x 24cm Số XNĐKXB: 362-2023/CXBIPH/13-05/ĐHQGTPHCM QĐXB số: 12/QĐNXB cấp ngày 10/02/2023 In tại: Công ty TNHH In & Bao bì Hưng Phú Địa chỉ: 162A/1, KP1A, phường An Phú, TP Thuận An, tỉnh Bình Dương Nộp lưu chiểu: Năm 2023 ISBN: 978-604-73-9659-7 Bản quyền tác phẩm bảo hộ Luật Xuất Luật Sở hữu trí tuệ Việt Nam Nghiêm cấm hình thức xuất bản, chụp, phát tán nội dung chưa có đồng ý tác giả Nhà xuất ĐỂ CÓ SÁCH HAY, CẦN CHUNG TAY BẢO VỆ TÁC QUYỀN!