Bài giảng Điện toán đám mây: Chương 4 - ThS. Hoàng Thị Thu

Trang 1

1-BÀI GIẢNG MƠN

ĐIỆN TỐN ĐÁM MÂY(Cloud computing)

Giảng viên: ThS Hồng Thị Thu

Điện thoại/E-mail:0326189970 thuht@ptit.edu.vnBộ mơn: Mạng viễn thông – Khoa Viễn thông 1Học kỳ/Năm biên soạn: II/ 2022-2023

Trang 2

1-• Giới thiệu về mơn học, giảng viên• Hỏi đáp sinh viên có nền tảng gì

• Làm quen với sinh viên: Lớp trưởng, lớp phó, sốlượng nam nữ

• Thơng tin liên hệ: sđt, email• Danh sách lớp với 4 cột điểm.

• Nhắc sinh viên ghi số thứ tự ở bìa vở môn học, saunày cần cho các bài kiểm tra, bài tập (khi có danhsách chính thức)

Trang 3

1-Đánh giá môn học

Chuyêncần10% (Đánh giá dựa trên số giờ đihọc, ý thức chuẩn bị bài và tinhthần tích cực thảo luận)

Bàitập, thảo luận, hoạt động nhóm

10% -đánh giá nội dung riêngtừng cá nhân

Kiểm tra10% (viết – 2 bài, lấy trung bình)Bài thicuối kỳ70% thiviết (ơn theo đề cương và

bàigiảng) Bài thicuối kỳ khơng

được sử dụng tài liệungồi tàiliệu được pháttrong phịng thi (nếu có)

Trang 4

1-oGiữ trật tự, không gây ảnh hưởng tới bạn xung quanh

oĐi học đầy đủ

oNộp bài tập lớn đúng hạn

Trang 5

1-Mục tiêu môn học

Trang bị cho sinh viên các kiến thức nền tảng về điện

toán đám mây và các giải pháp ứng dụng của điệntoán đám mây trong mạng truyền thơng Nội dungchính của học phần gồm các khái niệm, các mơ hìnhdịch vụ đám mây, các mơ hình triển khai đám mây,các cơng nghệ nền tảng cho điện toán đám mây và anninh trên đám mây.

Đồng thời, môn học giúp sinh viên nghiên cứu và phát

triển các ứng dụng trên nền tảng điện toán đám mâydựa trên các kiến thức nền tảng đã học.

Trang 6

1- C2- Kiến trúc điện toán đám mây

 C3- Truy nhập và lưu trữ dữ liệu

 C4- Bảo mật trong điện toán đám mây

 2 tiết kiểm tra

 2 tiết ơn tập

 Bài tập: 6 tiết – làm nhóm.

 Thi cuối kỳ: Thi viết

 Giờ tự học: 0 tiết

Trang 7

1-Chương 4: Bảo mật trong ĐTĐM

Nội dung chương 4

•4.1 Khái quát nguy cơ và tác động tới điện tốn đám mây

•4.2 Mã hóa dữ liệu đám mây

•4.3 Bảo mật hệ thống điều hành

•4.4 Bảo mật cho giải pháp ảo hóa

•4.5 Kết luận chương

Trang 8

1-83/5/2023

nhưng cũng có những lo ngại về bảo mật.

Do sự chia sẻ lớn của cơ sở hạ tầng và tài nguyên =>

rủi ro bảo mật.

Hệ thống bảo mật dựa trên đám mây cần giải quyết tất

Trang 9

1-93/5/2023

Nguyên lý bảo mật chung

• Việc triển khai cơ chế quản lý danh tính và kiểm sốttruy cập trong doanh nghiệp hết sức cần thiết.

• Bảo mật hệ thống máy tính: bảo vệ cả hệ thống và cảdữ liệu mà nó lưu trữ.

• Cáchbảomậtnhưmộtkhíacạnhquan

trọng của kiến trúc đám mây trải dài trên tất cả các lớpcủa mơ hình tham chiếu.

Trang 10

1-103/5/2023

• Nhà cung cấp phải đảm bảo an ninh cho CSHT củachính mình cũng như dữ liệu,ứng dụng của khách hàng.• NTD phải xác minh và đảm bảo rằng nhà cung cấp đã

sử dụng tất cả các biện pháp bảo mật có thể để đảmbảo an toàn cho các dịch vụ.

Trang 11

1-113/5/2023

Thoả thuận mức dịch vụ SLA

• Thiết lập mối quan hệ tin cậy giữa nhà cung cấp dịch vụvà NTD => SLA nêu chi tiết về các khả năng ở cấp độdịch vụ mà các nhà cung cấp hứa hẹn sẽ cung cấp vàcác yêu cầu/mong đợi mà NTD đã nêu.

• Tài liệu SLA nên bao gồm các vấn đề bảo mật.

Trang 12

1-123/5/2023

• Đe doạ là một sự kiện có thể gây hại cho hệ thống Nócó thể làm hỏng độ tin cậy của hệ thống vàlàm giảm tính bảo mật, tính khả dụng/tính tồn vẹn củathông tin được lưu trữ trong hệ thống.

Trang 13

1-133/5/2023

Đe doạ, tính rủi ro

• Nghe trộm: Cuộc tấn cơng này bắt các gói dữ liệu

trong q trình truyền mạng và tìm kiếm thơng tin nhạycảm để tạo nền tảng cho một cuộc tấn cơng.

• Gian lận (Fraud): Nó được thực hiện thơng qua các

giao dịch ngụy biện và việc thay đổi dữ liệu một cáchsai lệch để tạo ra một số lợi nhuận bất hợp pháp.

• Trộm cắp: ăn cắp bí mật thương mại hoặc dữ liệu để

Trang 14

1-143/5/2023

• Phá hoại: thực hiện thơng qua nhiều cách khác

nhau như phá vỡ tính tồn vẹn của dữ liệu (đượcgọi là phá hoại dữ liệu), trì hỗn sản xuất, tấncơng từ chối dịch vụ (DoS),…

• Tấn cơng bên ngồi: Chèn mã độc hại hoặc vi

Trang 15

Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.

1-4.1.KHÁI QUÁT NGUY CƠ VÀ TÁC ĐỘNG TỚI ĐIỆN TỐN ĐÁM MÂY

153/5/2023

Mối đe doạ với ĐTĐM

• Cơ sở hạ tầng: mối đe dọa về bảo mật cơ

sở hạ tầng cấp độ ứng dụng, cấp độ máychủ/cấp độ mạng.

• Thơng tin: dữ liệu của người dùng

• Kiểm soát truy cập: xác thực và quản lý

Trang 16

1-163/5/2023

Bảo mật với CSHT ĐTĐM

• Kiểm sốt quyền truy cập vào các tàinguyên vật lý hỗ trợ CSHT đám mây.

Trang 17

1-4.1.KHÁI QUÁT NGUY CƠ VÀ TÁC ĐỘNG TỚI ĐIỆN TOÁN ĐÁM MÂY

173/5/2023

• Cấp độ mạng: đảm bảo tính bảo mật, tính

tồn vẹn và tính sẵn sàng của dữ liệu.

• Sử dụng các kỹ thuật mã hóa và chữ kýđiện tử.

Trang 18

1-183/5/2023

• Cấp máy chủ: đảm bảo khơng có mối đe dọa

mới nào xảy ra đối với các máy chủ dành riêngcho ĐTĐM.

Trang 19

1-4.1.KHÁI QUÁT NGUY CƠ VÀ TÁC ĐỘNG TỚI ĐIỆN TOÁN ĐÁM MÂY

193/5/2023

Mức ứng dụng:

• Ở cấp độ IaaS: người dùng chủ yếu chịu tráchnhiệm quản lý và bảo mật các máy chủ ảo màhọ làm việc cùng với các nhà cung cấp.

• Ở cấp độ PaaS: bảo mật nền tảng và các ứngdụng của NTD triển khai trên nền tảng PaaS.

Trang 20

1-203/5/2023

An toàn và bảo mật của hệ thống vật lí

• Cơ sở cung cấp điện liên tục (UPS).

• Các biện pháp an tồn chống cháy thích hợp để giảmthiểu thiệt hại trong trường hợp thiên tai.

• Cơ sở làm mát và thơng gió thích hợp.

• Hạn chế nghiêm ngặt đối với quyền truy cập vật lý vàomáy chủ Những người không được phép không đượcphép tiếp cận khu vực này.

Trang 21

1-4.2 Mã hoá dữ liệu đám mây

213/5/2023

Bảo mật dữ liệu

• Xác định dữ liệu u cầu mã hóa.

• Mạng cơng cộng: truyền dữ liệu qua các mạngcơng cộng như internet.

• Mạng riêng: truyền dữ liệu qua mạng riêng đượcbảo mật chẳng hạn như mạng cục bộ được thiếtlập cho địa điểm văn phòng.

Trang 22

1-223/5/2023

• Cơng nghệ bao gồm mạng, cơ sở dữ liệu, hệđiều hành, ảo hóa, lập lịch tài nguyên, quản lýgiao dịch, cân bằng tải, kiểm soát luồng và quảnlý bộ nhớ.

Trang 23

233/5/2023

• Truyền dữ liệu: là q trình gửi dữ liệu số hoặcdữ liệu tương tự qua một phương tiện truyềnthơng tới một hoặc nhiều thiết bị máy tính,mạng, truyền thông hoặc điện tử.

Trang 24

1-243/5/2023

• An ninh mạng: đảm bảo an ninh cho các tài sản

của tổ chức đó và tất cả lưu lượng truy cập mạng.• Tính tồn vẹn của dữ liệu xác định dữ liệu nào

trong hệ thống máy tính có thể được chia sẻ vớibên thứ ba.

Trang 25

253/5/2023

• Vị trí dữ liệu: Lưu trữ đám mây là một mơ hìnhlưu trữ dữ liệu máy tính, trong đó dữ liệu kỹthuật số được lưu trữ trong các nhóm logic.

Trang 26

1-263/5/2023

Kỹ thuật mã hoá trong đám mây

• Mã hóa đám mây là việc chuyển đổi dữ liệu củakhách hàng sử dụng dịch vụ Đám mây thành vănbản mã.

Trang 27

273/5/2023

• Mã hóa đồng hình hồn tồn (FHE): cho phéptính tốn trên dữ liệu được mã hóa, đồng thờicho phép tính tổng và tích của dữ liệu được mãhóa mà khơng cần giải mã.

Trang 28

1-283/5/2023

Mã hóa dựa trên thuộc tính khóa-chính sách phi tập trung

• Các mơ-đun con: thiết lập tồn cầu, thiết lậpquyền hạn, cấp khóa, mã hóa và giải mã.

• Thiết lập tồn cầu: mơ-đun này nhận tham số bảomật làm tham số hệ thống đầu vào và đầu ra.

Trang 29

293/5/2023

• Phát hành khóa: người dùng và quyền hạn vềthuộc tính tương tác thơng qua giao thức cungcấp khóa ẩn danh để xác định một tập hợp cácthuộc tính thuộc về người dùng.

Trang 30

1-303/5/2023

Trang 31

313/5/2023

Trị chơi bảo mật

• Người dùng gửi một danh sách các bộ thuộc tính và cácquyền hạn về thuộc tính gồm các cơ quan có thẩmquyền cho hệ thống.

• Hệ thống tạo ra các khóa cơng khai và riêng tư tươngứng với các thuộc tính và quyền hạn được cung cấp bởingười dùng.

Trang 32

1-323/5/2023

Trò chơi bảo mật

• Truy vấn khố bí mật: kẻ thù được phép thực

hiện bất kỳ số lượng truy vấn khóa bí mật nàomà anh ta muốn chống lại quyền hạn.

Trang 33

1-4.2 Mã hố dữ liệu đám mây

333/5/2023

• Thách thức: Đối thủ gửi hai bản tinm0 và

m1 đến đối thủ ở miền thuần túy.

Trang 34

1-343/5/2023

• Tiếp tục truy vấn khố bí mật: Kẻ thù

Trang 35

353/5/2023

• Đoán: bây giờ đối thủ đoán xem bản tin

nào đã được mã hóa bởi đối thủ.

Trang 36

1-363/5/2023

• Mã hố đồng hình hồn tồn (FHE)

Trang 37

373/5/2023

• Trước tiên, người dùng xác minh cấu hình củaĐám mây thông qua giám sát từ xa và thiết lậpkhóa bí mật được chia sẻ với các nút khởi động.• Sau khi xử lý, người dùng cung cấp các tham số

Trang 38

1-383/5/2023

• Dữ liệu của người dùng được mã hóa theo khóa bímật đồng hình sẽ được gửi đến các nút HC đểthực hiện các phép tính đồng hình.

Trang 39

393/5/2023

• Khi cần khởi động chuỗi ký tự trong tính tốnđồng hình, bản mã trung gian dự kiến được gửi từcác nút HC đến các nút khởi động.

Trang 40

1-403/5/2023

Trang 41

413/5/2023

• Mã hố có thể tìm kiếm

• Mã hóa có thể tìm kiếm hoạt động bằng cáchhiển thị phân đoạn thơng tin của ngữ cảnh cóthể được sử dụng để xác định ngữ cảnh.

Trang 42

1-423/5/2023

• Một hệ điều hành cho phép nhiều ứng dụng chiasẻ tài nguyên phần cứng của một hệ thống vậtlý tuân theo một bộ chính sách.

• Bảo vệ các ứng dụng chống lại các cuộc tấncông nguy hiểm.

Trang 43

1-4.3 Bảo mật cho hệ điều hành

433/5/2023

Trang 44

1-443/5/2023

• Một giải pháp cho vấn đề đường dẫn tincậy là phân rã một cơ chế phức tạp thànhmột số thành phần với các vai trò được xácđịnh rõ ràng.

Trang 45

453/5/2023

• Hệ điều hành chỉ cung cấp các cơ chế yếuđể các ứng dụng xác thực lẫn nhau vàkhông có đường dẫn tin cậy giữa ngườidùng và ứng dụng.

Trang 46

1-463/5/2023

Bảo mật máy ảo

Hình 4.1: (a) Các dịch vụ bảo mật ảo(b) Một máy ảo bảo mật chuyên dụng

Công nghệ VM cungcấp sự cách ly chặtchẽ hơn giữa các máyảo với nhau so với việccách ly các quy trìnhtrong một hệ điều

Trang 47

473/5/2023

• (i) Chi phí phần cứng cao hơn vì một hệ thống ảođòi hỏi nhiều tài nguyên hơn như chu kỳ CPU, bộnhớ, đĩa và băng thơng mạng;

• (ii) Chi phí phát triển bộ hypervisor và sửa đổihệ điều hành chủ trong trường hợp ảo hóa;

Trang 48

1-483/5/2023

• Thiếu tài nguyên và từ chối dịch vụ đối với mộtsố máy ảo.

• Các cuộc tấn cơng kênh bên máy ảo.

• Triển khai máy ảo giả mạo hoặc khơng an tồn.• Sự hiện diện của hình ảnh máy ảo khơng an tồn

Trang 49

493/5/2023

Các mối đeo dọa bảo mật bởi hệ điều hành quản lý

• Hypervisor phải dựa vào hệ điều hành quản lý đểtạo máy ảo và truyền dữ liệu vào và ra từ máy ảokhách tới các thiết bị lưu trữ và giao diện mạng.• Hệ điều hành quản lý hỗ trợ các công cụ quản trị,

Trang 50

1-503/5/2023

1 Phân bổ bộ nhớ trong không gian địa chỉ Dom0và tải hạt nhân của hệ điều hành khách từ bộnhớ thứ cấp.

Trang 51

513/5/2023

Trang 52

1-523/5/2023

Để triển khai một hệ thống thời gian chạy an toàn,

chúng ta phải chặn và kiểm soát các

Trang 53

533/5/2023

• Tính riêng tư và tính tồn vẹn của CPU của máy ảo.• Tính riêng tư và tính tồn vẹn của bộ nhớ ảo VM

Trang 54

1-543/5/2023

• Ảnh hưởng tiêu cực đến hiệu suất, do chi phí bổsung.

• Nhu cầu về các hệ thống mạnh

Trang 55

1-4.3 Bảo mật cho giải pháp ảo hố

553/5/2023

• Hỗ trợ mơ hình phân phối IaaS Người dùng IaaSchọn một ảnh phù hợp với mơi trường ứng dụngcục bộ, sau đó tải lên và chạy ứng dụng trên đámmây bằng ảnh này.

• Tăng độ tin cậy Hệ điều hành với tất cả các ứng

dụng đang chạy dưới nó có thể được

Trang 56

1-563/5/2023

• Cơ chế đơn giản để thực hiện các chính sách quảnlý tài nguyên Một hệ điều hành và các ứng dụngchạy dưới nó có thể được chuyển đến một máychủ khác để cân bằng tải của hệ thống.

Trang 57

1-4.3 Bảo mật cho giải pháp ảo hố

573/5/2023

• Bảo mật nhật ký và bảo vệ chống xâm nhập Khiđược triển khai ở cấp hệ điều hành, tính năng pháthiện xâm nhập có thể bị vơ hiệu hóa và kẻ xâmnhập có thể sửa đổi nhật ký.

Trang 58

1-583/5/2023

Các mối đe dọa bảo mật ảo hóa

• Máy chủ duy nhất: chia sẻ tài ngun làm cho ảo

hóa hiệu quả chi phí Một bộ tài ngun điện tốnvật lý có thể thực hiện nhiều mục đích và chạy mộtsố máy ảo.

• Các mối đe dọa đối với trình ảo hóa: bảo mật

Trang 59

1-4.3 Bảo mật cho giải pháp ảo hoá

593/5/2023

Các mối đe dọa bảo mật ảo hóa

• Cấu hình phức tạp: ảo hóa thêm một lớp trừu

tượng khác vì thế gia tăng sự phức tạp cho các hệthống điện tốn.

• Phân cấp đặc quyền: tấn công leo thang đặc