HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - lu an n va ĐINH VĂN NHƢ PHONG ie gh tn to p NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY d oa nl w u nf va an lu ll LUẬN VĂN THẠC SĨ KỸ THUẬT oi m z at nh z m co l gm @ an Lu HÀ NỘI - 2017 n va ac th si HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THƠNG - lu an n va ĐINH VĂN NHƢ PHONG gh tn to p ie NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY d oa nl w ll u nf va an lu CHUYÊN NGÀNH : KỸ THUẬT VIỄN THÔNG MÃ SỐ: 60.52.02.08 oi m z at nh LUẬN VĂN THẠC SĨ KỸ THUẬT z m co l gm @ NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN TIẾN BAN an Lu HÀ NỘI - 2017 n va ac th si i LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu tơi Mọi số liệu, kết nghiên cứu luận văn trung thực chƣa cơng bố cơng trình khác Tác giả luận văn (Kí ghi rõ họ tên) lu an n va Đinh Văn Như Phong p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si ii LỜI CẢM ƠN Để hoàn thành đề tài luận văn thạc sĩ cách hoàn chỉnh, bên cạnh nỗ lực cố gắng thân cịn có hƣớng dẫn nhiệt tình Thầy, Cô, giúp đỡ bạn bè suốt thời gian học tập nghiên cứu thực luận văn thạc sĩ Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến PGS TS Nguyễn Tiến Ban, Thầy trực tiếp hƣớng dẫn, bảo tận tình, chu đáo có nhận xét, góp ý quý báu giúp em suốt trình thực luận văn luận văn đƣợc lu an hoàn thành n va Em xin gửi làm cảm ơn đến tất Thầy, Cô giáo Học viện Công nghệ Bƣu nghiên cứu học tập thời gian qua gh tn to Viễn thơng tận tình bảo tạo điều kiện thuận lợi để em đƣợc ie Hà Nội, 16 tháng 01 năm 2017 p Học viên d oa nl w an lu ll u nf va Đinh Văn Như Phong oi m z at nh z m co l gm @ an Lu n va ac th si iii MỤC LỤC LỜI CAM ĐOAN i DANH MỤC CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH vii LỜI MỞ ĐẦU .viii CHƢƠNG TỔNG QUAN ĐIỆN TOÁN ĐÁM MÂY 1.1 Giới thiệu 1.2 Khái niệm điện toán đám mây 1.3 Mơ hình điện tốn đám mây 1.3.1 Mơ hình tổng quan điện tốn đám mây lu 1.3.2 Mơ hình kiến trúc điện tốn đám mây an 1.3.3 Các mơ hình triển khai va n 1.4 Đặc điểm điện toán đám mây 10 1.5.1 Dịch vụ hạ tầng (IaaS) 11 1.5.2 Dịch vụ tảng (PaaS) 12 ie gh tn to 1.5 Các loại dịch vụ điện toán đám mây 11 p 1.5.3 Dịch vụ phần mềm ứng dụng (SaaS) 14 w 1.6 Các lợi ích điện toán đám mây 15 oa nl 1.7 Các khó khăn thách thức 16 d 1.8 Kết luận chƣơng 16 an lu CHƢƠNG VẤN ĐỀ AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY 18 va 2.1 Tổng quan an tồn thơng tin mạng 18 u nf 2.1.1 Vấn đề đảm bảo an tồn thơng tin 18 ll 2.1.2 An tồn thơng tin điện toán đám mây 20 m oi 2.2 Các mối đe dọa an tồn thơng tin điện tốn đám mây 21 z at nh 2.2.1 Các nguy mối đe dọa điện toán đám mây 21 2.2.2 Các phần mềm độc hại 27 z 2.2.3 Các lỗ hổng bảo mật 32 gm @ 2.2.4 Đánh giá mối đe dọa an tồn thơng tin điện toán đám mây 34 2.3 Kết luận chƣơng 36 m co l CHƢƠNG GIẢI PHÁP ĐẢM BẢO AN TOÀN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY CHO DOANH NGHIỆP 38 3.1 An tồn thơng tin cho điện tốn đám mây doanh nghiệp 38 an Lu 3.1.1 Tình hình chung tồn giới 38 n va ac th si iv 3.1.2 Tình hình ứng dụng Việt Nam 38 3.1.3 Yêu cầu chung an tồn thơng tin 39 3.2 Nguy an tồn thơng tin điện toán đám mây doanh nghiệp 41 3.3 Giải pháp đảm bảo an tồn thơng tin điện toán đám mây cho doanh nghiệp 43 3.3.1 Những lí luận chung giải pháp an tồn thông tin 43 3.3.2 Đề xuất khung quy chế để xây dựng, triển khai, vận hành, trì hệ thống đám mây đảm bảo an tồn thơng tin cho doanh nghiệp Việt Nam 49 3.3.3 Đề xuất mơ hình điện toán đám mây triển khai 51 3.3.4 Đề xuất giải pháp hạ tầng hệ thống đám mây 52 3.3.5 Đề xuất giải pháp công nghệ lƣu trữ hệ thống đám mây 54 3.3.6 Đề xuất giải pháp liệu hệ thống đám mây 55 lu 3.4 Kết luận chƣơng 58 an va KẾT LUẬN 59 n TÀI LIỆU THAM KHẢO 60 p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si v DANH MỤC CHỮ VIẾT TẮT ACK Acknowledgment Xác nhận DDoS Distributed Denial Of Service Từ chối dịch vụ phân tán DHCP Dynamic Host Configuration Protocol Giao thức cấu hình động DNS Domain Name System Hệ thống then miền DoS Denial of Service Từ chối dịch vụ Distributed Reflection Denial of Service Từ chối dịch vụ phản xạ phân tán Hypertext Transfer Protocol Giao thức truyền tải siêu văn Infrastucture as a Service Dịch vụ sở hạ tầng Intrusion Detection System Hệ thống phát xâm nhậm Intrusion Prevention System Hệ thống chống xâm nhập DRDoS lu an va HTTP n IDS p ie gh tn to IaaS Công nghệ thông tin Information Technology oa nl IT w IPS International Organization Standardization for LAN Local Area Network LDAP Lightweight Protocol NIST National Institute of Standards and Technology NFS Network File System PaaS Platform as a Service POP3 Post Office Protocol Version Giao thức Bƣu điện TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn d ISO an lu Tổ chức chuẩn hóa quốc tế u nf va Mạng cục ll Directory Giao thức truy nhập nhanh dịch vụ thƣ mục Access oi m z at nh Viên tiêu chuẩn công nghệ quốc gia Mỹ z Dịch vụ tảng m co l gm @ Hệ thống file mạng an Lu n va ac th si vi lu URL Uniform Resource Locator Đƣờng dẫn SAN Storage Area Network Khu vực lƣu trữ mạng SaaS Software as a Service Dịch vụ phần mềm SIP Session Initialize Protocol Khởi tạo phiên giao thức SLA Service Level Agreement Hợp đồng dịch vụ SYN Synchronize Đồng hóa RDC Remote Desktop Connection Kết nối máy tính từ xa VLAN Virtual Local Area Network Mạng LAN ảo Virtual Private Network Mạng riêng ảo an VPN n va Công nghệ thông tin ÐTĐM Điện toán đám mây p ie gh tn to CNTT d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si vii DANH MỤC CÁC HÌNH Hình 1.1 Mơ hình Điện toán đám mây Hình 1.2 Mơ hình máy chủ ảo điện toán đám mây Hình 1.3 Xu hƣớng tích hợp điện toán đám mây Hình 1.4 Các thành phần điện toán đám mây Hình 1.5 Những mơ hình đám mây Hình 1.6 Mơ hình đám mây riêng Hình 1.7 Cấu hình đám mây riêng Hình 1.8 Sự kết hợp đám mây cơng cộng đám mây riêng lu Hình 1.9 Mơ đám mây cộng đồng 10 an Hình 1.10 Mơ hình IaaS 12 va Hình 1.11 Mơ hình Platform as a Service 13 n tn to Hình 2.1 Tổng quan sơ đồ hình công DDoS 25 gh Hình 2.2 Minh họa lây nhiễm virus qua thƣ điện tử 28 p ie Hình 2.3 Minh họa phá hoại virus 29 Hình 2.4 Minh họa sâu máy tính 29 nl w Hình 3.1 Một số nhà cung cấp dịch vụ điện toán đám mây [10] 38 d oa Hình 3.2: Mơ hình ba lớp bảo vệ liệu 45 lu Hình 3.3: Mơ hình bảo mật dựa Encryption Proxy 45 ll u nf va an Hình 3.4: Mơ hình bảo vệ liệu sử dụng VPN Cloud 46 oi m z at nh z m co l gm @ an Lu n va ac th si viii LỜI MỞ ĐẦU Điện toán đám mây (Cloud Computing) xu chủ đạo hạ tầng IT doanh nghiệp với nhiều ƣu điểm Trong quy trình đánh giá hệ thống để xây dựng đám mây riêng chung, an tồn thơng tin đƣợc coi vấn đề quan trọng đƣợc đƣa xem xét Hiểu đƣợc nguy công nhƣ chế bảo mật để phòng chống nguy hệ thống điện toán đám mây giúp ngƣời quản trị đƣa đƣợc chiến lƣợc phù hợp cho điện toán đám mây lu doanh nghiệp an n va Cùng với phát triển công nghệ thông tin, tội phạm công nghệ trọng làm ảnh hƣớng lớn đến doanh nghiệp nhƣ cá nhân Vấn gh tn to cao ngày diễn biến phức tạp, chúng ăn cắp thông tin quan p ie đề an tồn thơng tin nói chung Điện tốn đám mây nói riêng, cần w đƣợc nhà cung cấp dịch vụ nhƣ ngƣời sử dụng quan tâm thích đáng oa nl Với lý học viên quan tâm lựa chọn đề tài “Nghiên cứu giải d pháp đảm bảo an tồn thơng tin điện toán đám mây” lu u nf va an Kết cấu luận văn đƣợc chia làm chƣơng: Chƣơng 1: Tổng quan điện toán đám mây ll Chƣơng 2: Vấn đề an tồn thơng tin điện tốn đám mây m oi Chƣơng 3: Giải pháp đảm bảo an toàn thơng tin điện tốn đám z at nh mây cho doanh nghiệp z Kết luận: Trong phần đƣa kết luận vấn đề làm đƣợc gm @ luận văn đề xuất hƣớng nghiên cứu l Học viên hy vọng luận văn tài liệu tham khảo có giá trị an Lu tồn thơng tin cho điện tốn đám mây m co cho ngƣời bắt đầu tìm hiểu nghiên cứu giải pháp đảm bảo an n va ac th si 46 Mơ hình bảo mật dựa Encryption Proxy Hệ thống đƣợc thiết kế để mã hóa tồn liệu ngƣời dùng trƣớc đƣa lên đám mây (Hình 3.2) Quá trình mã hóa/giải mã xác thực đƣợc thơng qua Encryption Proxy Mơ hình đảm bảo liệu an tồn bí mật q trình truyền (transmission) lƣu trữ (storage) ngƣời dùng đám mây Để mã đƣợc xử lý quản lý lƣu trữ mà khơng cần giải mã thuật tốn mã hóa liệu đồng phôi (homomorphic encryption algorithm) đồng phôi đầy đủ (fully hommomorphic) đƣợc quan tâm nghiên cứu ứng dụng mơ hình Thơng tin bí mật lu ngƣời dùng phục vụ q trình mã hóa/giải mã đƣợc lƣu Secure Storage an va Mơ hình bảo vệ liệu sử dụng VPN Cloud n Trong mơ hình (Hình 3.3), để đảm bảo liệu kênh truyền đƣợc an gh tn to toàn, ngƣời ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đƣờng truyền ie đám mây riêng với ngƣời sử dụng với đám mây Với tổ chức p có nhu cầu an tồn liệu cao triển khai thƣờng lựa chọn mơ hình điện tốn nl w đám mây riêng (Private Cloud Computing) d oa VPN Cloud giúp cho việc kết nối ngƣời dùng đám mây, nhƣ ll u nf va an lu kết nối đám mây riêng đƣợc an tồn bảo mật thơng qua chuẩn IPSec oi m z at nh z m co l gm @ an Lu Hình 3.4: Mơ hình bảo vệ liệu sử dụng VPN Cloud n va ac th si 47 Công nghệ VPN hệ thống mạng truyền thống phát huy nhiều ƣu việt đƣợc dùng phổ biến Tuy nhiên, với cơng nghệ điện tốn đám mây ln địi hỏi tính linh động (dynamic) mềm dẻo (elastic) tổ chức nhƣ quản lý hệ thống, kỹ thuật dynamic VPN hay elastic VPN phù hợp Khi số lƣợng kết nối VPN hệ thống điện toán đám mây lớn địi hỏi mơ hình thiết lập VPN phù hợp tƣơng ứng Có hai mơ hình VPN thƣờng đƣợc quan tâm Hub and - Spoke Full- Mesh Việc đƣa liệu “lên mây” cần phải đƣợc đảm bảo an tồn Chính sử dụng tiện ích điện tốn đám mây, cần tuân thủ số lu nguyên tắc dƣới đây: an va Quản lý n Đây khâu quan trọng, có vai trị kiểm sốt, giám sát gh tn to sách, thủ tục tiêu chuẩn cho việc phát triển ứng dụng nhƣ Chấp hành quy định an toàn bảo mật liệu p ie việc thiết kế, thực hiện, kiểm tra giám sát việc triển khai dịch vụ nl w Sự tuân thủ liên quan đến phù hợp với đặc điểm kỹ thuật, tiêu chuẩn, quy d oa định luật pháp Các quốc gia khác có qui định chế độ an ninh - bảo an lu mật khác Vì vậy, cần tuân thủ cách nghiêm túc đắn u nf toán đám mây va nhằm đảm bảo an tồn thơng tin sử dụng dịch vụ môi trƣờng điện ll Tin tƣởng nhà cung cấp dịch vụ điện toán đám mây m oi Vấn đề lo ngại công nghệ điện tốn đám mây an tồn thơng z at nh tin nằm ngun lý tổ chức liệu cơng nghệ điện tốn đám mây Trong mơ hình tính tốn thơng thƣờng (khơng sử dụng “đám mây”), ngƣời z gm @ dùng tự lựa chọn cấu hình ứng dụng, tự giải vấn đề phát sinh, có vấn đề tổ chức bảo vệ lƣu liệu Còn điện toán đám mây, l m co việc đƣợc ủy thác cho nhà cung cấp dịch vụ thật khó mà nắm bắt đƣợc họ thực việc nhƣ Vậy khách hàng phải hồn tồn trơng an Lu cậy vào nhà cung cấp dịch vụ Trong thỏa thuận nhà cung cấp dịch vụ n va ac th si 48 khách hàng, thƣờng có điều khoản rõ: bảo vệ liệu việc khách hàng Nguy hết liệu lúc rò rỉ thông tin nhạy cảm rào cản đáng kể việc ứng dụng dịch vụ điện toán đám mây dạng phần mềm (SaaS) nhiều ngƣời dùng Cần nói thêm rằng, chun gia lĩnh vực an tồn thơng tin xây dựng hệ thống bảo vệ sử dụng khái niệm “nguy cơ”, tức là, nhƣ liệu cần bảo vệ thứ mà chẳng cần rõ ràng khơng nên xây dựng hệ thống bảo vệ phức tạp, đắt tiền Khi sử dụng dịch vụ đƣợc cung cấp hãng lớn nhƣ Google hay Amazon khách hàng khơng phải lo trƣờng hợp ngƣời lạ xâm nhập vào trung lu tâm liệu (DataCenter) lấy trộm hết liệu máy chủ, ổ cứng bị cắp an n va Hệ thống máy tính doanh nghiệp tiếng thị trƣờng thƣờng đƣợc bảo nghiệp lớn ln phải cố gắng bảo vệ uy tín mình, họ thực thi tất gh tn to vệ tốt so với hệ thống máy tính tổ chức có quy mơ nhỏ Những doanh p ie biện pháp cần thiết xây dựng đội ngũ chuyên trách để đảm bảo an toàn Kiến trúc hệ thống nl w Cấu trúc hệ thống phần mềm đƣợc sử dụng để cung cấp dịch vụ đám d oa mây bao gồm phần cứng phần mềm thƣờng trú trọng đám mây Vị trí vật lý an lu sở hạ tầng đƣợc xác định nhà cung cấp dịch vụ đám mây nhƣ mô tả chân thực va mức độ tin cậy khả mở rộng logic Các máy ảo thƣờng phục vụ nhƣ u nf hình ảnh trừu tƣợng đơn vị triển khai tƣơng đối lỏng lẻo với ll kiến trúc lƣu trữ đám mây Các ứng dụng đƣợc xây dựng giao diện lập trình m oi dịch vụ truy cập Internet, điều thƣờng liên quan đến việc nhiều thành phần đám z at nh mây giao tiếp với thành phần khác qua giao diện lập trình ứng dụng Bảo vệ liệu z gm @ Dữ liệu đƣợc lƣu trữ đám mây thƣờng cƣ trú môi trƣờng đƣợc chia sẻ với khách hàng khác Các tổ chức chuyển liệu nhạy cảm sửa l m co đổi liệu đám mây, phải chắn tài khoản để truy cập vào liệu đƣợc kiểm soát chặt chẽ liệu đƣợc lƣu trữ an toàn an Lu n va ac th si 49 Kiểm toán điện toán đám mây Vấn đề cần quan tâm, kiểm tốn thao tác đƣợc thực ngƣời dùng lẫn quản trị Khi doanh nghiệp sử dụng nhiều dịch vụ có nhầm lẫn việc phân quyền Về nguyên tắc, ngƣời quản trị có quyền “làm tất cả” nên có khả hủy hoại hệ thống, hệ thống chạy mạng cục hay chạy đám mây Chỉ cần vài lệnh ngƣời quản trị toàn liệu bị xóa, lƣu bị tiêu hủy Nhƣng trƣờng hợp điện toán đám mây, hủy hoại đơn giản gây hậu nghiêm trọng nhiều Để giảm thiểu hậu đó, nhà cung cấp khách hàng cần thực lƣu lu độc lập Khi đó, liệu bị ngƣời quản trị doanh nghiệp xóa, yêu cầu an n va phục hồi từ nhà cung cấp, liệu bị xóa ngƣời quản trị 3.3.2 Đề xuất khung quy chế để xây dựng, triển khai, vận hành, trì hệ thống gh tn to nhà cung cấp phục hồi lại từ lƣu doanh nghiệp p ie đám mây đảm bảo an tồn thơng tin cho doanh nghiệp Việt Nam w Ngồi việc có khung hành lang pháp lý để quy định việc đảm bảo an oa nl tồn thơng tin hệ thống điện tốn đám mây nói chung, xin đề xuất d khung quy chế để xây dựng, triển khai, vận hành trì hệ thống đám mây lu an đảm bảo an tồn thơng tin nhƣ sau: u nf va Yêu cầu chung với nhà cung cấp ĐTĐM ll Do tính chất quan trọng liệu quan nhà nƣớc, hệ oi m thống điện tốn đám mây ngồi việc cung cấp môi trƣờng linh hoạt, ổn z at nh định cần phải đảm bảo an tồn cho thơng tin liệu ln chuyển hệ thống Chính vậy, tơi xin đề xuất theo hƣớng cần có quy định quản lý z @ nhà nƣớc đối vơí tổ chức, doanh nghiệp cung cấp giải pháp để xây dựng l gm triển khai hệ thống đám mây quan nhà nƣớc nhƣ sau: m co - Có Giấy chứng nhận đăng ký doanh nghiệp có hiệu lực, Giấy chứng nhận đăng ký kinh doanh có hiệu lực, Giấy chứng nhận an Lu đầu tƣ có hiệu lực, có ghi ngành, nghề kinh doanh kinh doanh n va ac th si 50 dịch vụ điện toán đám mây - Hệ thống trang thiết bị để xây dựng hệ thống hạ tầng điện tốn đám mây phải có giấy chứng nhận chứng minh đảm bảo an tồn thơng minh tuân thủ c ác tiêu chuẩn bảo mật - Có phƣơng án dự phịng đảm bảo trì hoạt động an toàn, liên tục khắc phục có cố xảy - Có biện pháp đảm bảo an tồn, bảo mật thơng tin, bí mật thơng tin, liệu - Có áp dụng hệ thống quản lý chất lƣợng, hệ thống quản lý an toàn, bảo mật thông tin theo tiêu chuẩn hành lu an Đối với quan nhà nước xây dựng hệ thống đám mây n va - Việc đầu tƣ xây dựng hệ thống đám mây quan nhà nƣớc tn to phải tuân thủ theo quy hoạch, đảm bảo yêu cầu kỹ thuật, chất lƣợng, an tồn, gh bảo mật thơng tin, phạm vi phục vụ đủ lớn, khả thi quản lý khai thác, p ie đảm bảo hiệu đầu tƣ w - Phải tuân thủ nghiêm ngặt quy định chuẩn kết nối, chuẩn liệu, oa nl trang thiết bị phần cứng phần mềm, yêu cầu hạ tầng, mức đảm bảo kỹ thuật, d chất lƣợng dịch vụ, an tồn, bảo mật thơng tin theo quy định lu va an - Đảm bảo không đƣợc truyền tải, lƣu trữ đám mây thông tin quan nhà nƣớc thuộc danh mục bí mật nhà nƣớc; u nf ll - Phải tuân thủ nghiêm quy định pháp luật viễn thông, công m oi nghệ thông tin, lƣu trữ bảo mật thông tin quan nhà nƣớc; z at nh - Việc sử dụng dịch vụ điện toán đám mây quan nhà nƣớc phải bảo đảm khai thác hiệu tài nguyên mạng máy tính nâng cao chất lƣợng z gm @ ứng dụng công nghệ thông tin hoạt động quan Nhà nƣớc Đối với tổ chức, doanh nghiệp cung cấp dịch vụ ĐTĐM nhằm đảm bảo yêu l sau: m co cầu an tồn bảo mật cần phải có quy định trách nhiệm nội dung an Lu - Có trách nhiệm công bố công khai hợp đồng sử dụng dịch vụ điện n va ac th si 51 toán đám mây mẫu trang thông tin điện tử tổ chức, doanh nghiệp - Cung cấp đầy đủ thông tin dịch vụ cho ngƣời sử dụng dịch vụ: chất lƣợng dịch vụ, giá dịch vụ, nguyên tắc mức độ bồi thƣờng thiệt hại, quyền nghĩa vụ tổ chức, doanh nghiệp cung cấp dịch vụ; quyền nghĩa vụ ngƣời sử dụng dịch vụ; thông tin khác liên quan - Đảm bảo trì chất lƣợng dịch vụ nhƣ mức cơng bố Thƣờng xuyên tự kiểm tra chất lƣợng dịch vụ cung ứng Khi phát mức chất lƣợng dịch vụ không phù hợp với mức công bố phải thực biện pháp khắc phục để đảm bảo chất lƣợng dịch vụ lu an 3.3.3 Đề xuất mơ hình điện tốn đám mây triển khai va n Dựa vào sở nghiên cứu công nghệ ĐTĐM vấn đề ảnh tn to hƣởng đến an tồn thơng tin ĐTĐM Việt Nam, tơi đề xuất mơ ie gh hình tổng thể mơ hình triển khai sở hạ tầng ĐTĐM cho nhóm dịch vụ p IaaS, cụ thể trung tâm thông tin liệu nl w 3.3.3.1 Mơ hình tổng thể d oa Đám mây đƣợc xây dựng theo mơ hình đám mây riêng có phạm vi cung cấp va mây bao gồm: an lu dịch vụ cho quan, tổ chức thuê hạ tầng, dịch vụ cung cấp đám u nf Dịch vụ lƣu trữ liệu cung cấp cho quan ll Dịch vụ máy ảo cung cấp tài nguyên tính tốn cho đơn vị phục vụ oi m triển khai ứng dụng CNTT z at nh Dịch vụ mạng ảo giúp đơn vị xây dựng nhóm máy ảo có kết z nối mạng để triển khai ứng dụng mang tính tƣơng tác @ an Lu Cấu trúc mạng m co 3.3.3.2 Mơ hình triển khai sở hạ tầng l thống tảng sở hạ tầng gm Tất dịch vụ đƣợc cung cấp cho quan, doanh nghiệp Phần lõi trung tâm liệu bao gồm: lớp kết nối mạng ngoại vi, lớp n va ac th si 52 mạng quy tụ, lớp mạng truy cập Cấu trúc ảo hóa Tồn hệ thống ảo hóa đƣợc điều khiển giám sát hệ quản trị sở hạ tầng, quản trị dịch vụ ĐTĐM tập trung Mơ hình hệ thống quản lý hạ tầng đám mây Mơ hình hệ thống quản lý hạ tầng đám mây bao gồm chức quản lý hạ tầng Mơ hình phụ thuộc vào công nghệ cụ thể hãng cung cấp hạ tầng đƣợc triển khai 3.3.4 Đề xuất giải pháp hạ tầng hệ thống đám mây lu an Hạ tầng kỹ thuật đảm bảo an tồn thơng tin va n Hạ tầng vật lý hệ thống CNTT ĐTĐM cần đƣợc đảm bảo: to tn Thiết lập hệ thống CNTT phòng phù hợp Các hệ thống bảo vệ phòng chữa cháy phù hợp p ie gh Kiểm sốt truy cập tới phịng w Các hệ thống cung cấp điện phù hợp oa nl Các hệ thống điều hồ khơng khí phù hợp d Sao lƣu liệu theo khái niệm lƣu liệu liên quan ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si 53 lu an n va p ie gh tn to d oa nl w lu va an Hình 3.5 Kiến trúc hạ tầng việc đảm bảo an ninh truy cập vùng u nf Để đảm bảo yêu cầu kết hợp với hệ thống quản trị, hệ thống ll điều kiển khiển tự động thơng minh nhằm mang đến lợi ích sau: m oi Thiết lập mơi trƣờng tiêu chuẩn, an tồn ổn định cho triển khai dịch vụ z at nh cho thuê hạ tầng z Đảm bảo điều kiện cho hoạt động liên tục hệ thống công nghệ gm @ thơng tin, có khả chống lại cố điện, cố cháy, nổ ảnh hƣởng đến hoạt động hạ tầng Cung cấp điều kiện tiêu chuẩn môi trƣờng nhƣ: l m co hệ thống thơng gió, làm mát, hệ thống chống ẩm đảm bảo trì hoạt động ổn định trung tâm liệu nâng cao tuổi thọ thiết bị phần cứng an Lu n va ac th si 54 Đảm bảo điều kiện hạ tầng cho nhu cầu vận hành, bảo trì phát triển hệ thống tƣơng lai Trong thiết kế chuẩn hạ tầng kỹ thuật cho phòng máy chủphải dựa tiêu chuẩn quốc tế thƣờng bao gồm: Giải pháp sàn nâng cho phòng máy chủ Giải pháp nguồn cung cấp Giải pháp làm mát Giải pháp giám sát bảo mật phòng máy chủ Giải pháp Phòng cháy chữa cháy lu an Giải pháp cắt lọc set n va 3.3.5 Đề xuất giải pháp công nghệ lưu trữ hệ thống đám mây tn to 3.3.5.1 Công nghệ lƣu trữ ie gh Do dung lƣợng liệu gia tăng không ngừng, yêu cầu ngày cao p hiệu truy xuất, tính ổn định sẵn sàng liệu; việc lƣu trữ nl w trở nên quan trọng Lƣu trữ liệu khơng cịn đơn giản cung cấp oa thiết bị lƣu trữ dung lƣợng lớn mà bao gồm khả quản lý, chia sẻ d nhƣ lƣu phục hồi liệu trƣờng hợp lu va an Hiện có số loại hình lƣu trữ liệu nhƣ: u nf - DAS (Direct Attached Storage): lƣu trữ liệu qua thiết bị gắn trực ll tiếp m NAS (Network Attached Storage): lƣu trữ liệu vào thiết bị lƣu trữ oi - - z at nh thông qua mạng IP SAN (Storage Area Network): lƣu trữ liệu qua mạng lƣu trữ chuyên z gm @ dụng riêng Mỗi loại hình lƣu trữ liệu có ƣu nhƣợc điểm riêng đƣợc dùng l cho mục đích định Dƣới mơ hình lƣu trữ liệu tổng quát: m co an Lu n va ac th si 55 Hình 3.6.Các mơ hình lƣu trữ liệu lu 3.3.5.2 Sao lƣu dự phòng liệu an n va Sao lƣu khôi phục liệu mối quan tâm cụ thể ngƣời quản tn to trị IT, họ cần quản lý liệu ngày lớn phức tạp bị cắt gh giảm chi phí nhƣng phải đảm bảo khả đáp ứng đƣợc dịch vụ ngày p ie tăng doanh nghiệp nl w Nhiều tổ chức nhận thức đơn giản, không đầu tƣ, trang bị để phù hợp với d oa thách thức việc lƣu khôi phục liệu sở hạ tầng an lu họ lỗi thời Hệ thống mạng IT không phù hợp số lƣợng ứng dụng va quan trọng ngày tăng thời gian ngừng hệ thống (downtime) u nf giảm Hoặc họ đối phó cách chắp vá, khắc phục cách cần ll làm cho ứng dụng cụ thể oi m 3.3.6 Đề xuất giải pháp liệu hệ thống đám mây z at nh 3.3.6.1 Mơ hình AAA z Các dịch vụ AAA đƣợc chia làm ba phần, xác thực (authentication), điều @ gm khiển truy cập (access control) tính cƣớc (accounting) Ta tìm hiểu m co l khác ba phần cách thức chúng làm việc nhƣ Nhận dạng xác thực (Identification & Authentication ) an Lu n va ac th si 56 Nhận dạng phƣơng pháp ngƣời dùng báo cho hệ thống biết họ Bộ phận nhận dạng ngƣời dùng hệ thống quản lý chế tƣơng đối đơn giản, hoạt động dựa hệ thống tên ngƣời dùng (username) định danh ngƣời dùng (userID) Những yêu cầu nhận dạng đòi hỏi định danh dùng để nhận dạng: - Phải định danh - Không để dùng để xác định địa vị hay tầm quan trọng ngƣời dùng tổ chức Ví dụ nhƣ khơng đƣợc để lộ username CEO hay Giám đốc… lu Xác thực dùng để nhận dạng (identify) ngƣời dùng Chẳng hạn an n va cách so sánh mật mà ngƣời dùng đăng nhập với mật đƣợc lƣu trữ Điều khiển truy cập(Access Control) Điều khiển truy cập bƣớc kiểm tra xem ngƣời dùng đƣợc p ie gh tn to hệ thống trƣớc phép tr uy cập vào khu vực liệu server hay đám mây Nó liên nl w quan đến việc quản lý truy cập user, thông qua việc xác thực, kết hợp d oa với luật(Rule) đƣợc quản lý ngƣời quản lý mà cho phép hay khơng cho an lu phép user thực hành động định u nf Approve va Access Control gồm bƣớc: bƣớc ủy quyền(authorization) bƣớc ll Access control đƣợc sử dụng để thiết lập mối quan hệ chủ m oi thể(users, process, program) đối tƣợng(file, database, devices), dựa z at nh xác đị nh quyền truy cập vào đối tƣợng Sự ủy quyền (authorization) hay cịn gọi thức hóa định z Tính cước(Accounting) l gm @ nghĩa quyền ngƣời dùng hệ thống m co Accounting hành động thu thập liệu lƣợng tiêu thụ tài nguyên cho mục đíc h: phân tích xu hƣớng, phân bổ lực toán, kiểm toán an Lu n va ac th si 57 định giá chi phí, theo dõi mơ hình sử dụng ngƣời dùng cá nhân, máy chủ, dịch vụ… Accounting cho phép nhà quản trị thu thập thơng tin nhƣ thời gian bắt đầu, thời gian kết thúc ngƣời dùng truy cập vào hệ thống, câu lệnh thực thi, thống kê lƣu lƣợng sau lƣu trữ thông tin hệ thống sở liệu quan hệ Nói cách khác, accounting cho phép giám sát dịch vụ tài nguyên đƣợc ngƣời dùng sử dụng Việc sử dụng AAA vấn đề bảo mật an tồn thơng tin Các nhà cung cấp dịch vụ tích hợp liệu dựa cơng nghệ đám mây lu ngày phải điều khiển việc truy cập nhƣ giám sát thông tin mà ngƣời an n va dùng đầu cuối thao tác Những việc làm đƣa đến thành cơng hay tn to thất bại dịch vụ ĐTĐM Với ý tƣởng đó, AAA cách thức tốt để giám sát mà ngƣời dùng đầu cuối làm mạng Ta gh p ie xác thực, cấp quyền, điều khiển truy cập cho ngƣời dùng nhƣ tập hợp đƣợc thông tin nhƣ thời gian bắt đầu hay kết thúc ngƣời dùng oa nl w Nhƣ ta thấy, bảo mật vấn đề quan trọng.Với mức độ điều khiển, thật dễ d dàng để cài đặt bảo mật quản trị mạng Ta định nghĩa vai trị (role) an lu đƣa cho ngƣời dùng lệnh mà họ cần để hoàn thành nhiệm vụ họ u nf va theo dõi thay đổi mạng Với khả log lại kiện, ta có điều chỉnh thích hợp với yêu cầu đặt Tất thành ll oi m phần cần thiết để trì tính an tồn, bảo mật cho mạng z at nh 3.3.6.2 Kỹ thuật quản lý truy cập liệu Quản lý truy cập sách hay thủ tục cho phép, từ chối z @ hạn chế quyền truy cập tới hệ thống Nó thực quản lý theo dõi l gm ghi lại hành động có liên quan đến hoạt động truy cập vào hệ thống nhƣ có chế xác định ngƣời cố gắng vào cách trái phép m co Hiện có nhiều loại mơ hình quản lý truy cập, phổ biến là: an Lu Điều khiển truy cập tùy quyền (Discre tionnary Access Control – DAC) n va ac th si 58 Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) Điều khiển truy cập dựa vai trò (Role -based Access Control - RBAC) 3.4 Kết luận chƣơng Trong chƣơng số nguy tiềm ẩn yêu cầu an tồn thơng tin ngƣời dùng doanh nghiệp, đem lại số khuyến cáo, đề xuất chi tiết từ xây dựng biện pháp để đảm bảo an tồn thơng tin cho điện tốn đám mây doanh nghiệp lu an n va p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si 59 KẾT LUẬN điên tốn ệ tồn thông tin ô ật, ật trƣớ ộc ô ên ệu ậ luận văn ân iệm ầ ông nghệ ệu trƣ tồn mây iện tồn thơng tin lu an thơng tin y ây ây ệ n va tồn thông tin ây tn to Với mục tiêu đặt nhƣ vậy, luận văn tiến hành nghiên cứu đạt gh đƣợc kết sau đây: p ie  Nghiên cứu đƣợc tổng quan điện toán đám mây  Các vấn đề an toàn thơng tin điện tốn đám mây oa nl w  Một số giải pháp đảm bảo an tồn thơng tin điện toán đám mây Em xin chân thành cảm ơn PGS.TS Nguyễn Tiến Ban giúp đỡ em hoàn d an lu thành luận văn Dù cố gắng nhiên luận văn em nhiều thiếu sót, ll u nf va em mong nhận đƣợc góp ý thầy oi m z at nh z m co l gm @ an Lu n va ac th si 60 TÀI LIỆU THAM KHẢO [1] Leymann, C.F.F., R.R.W Schupeck, and P Arbitter (2014), “Cloud Computing Patterns Fundamentals to Design, Build, and Manage Cloud Applications”, pp 201- 223 [2] Kavis, M.J (2014), Architecting the Cloud: “Design Decisions for Cloud Computing Service Models (SaaS, PaaS, and IaaS)”, pp 109-116 [3] Ryan Ko, Raymond Choo (2015), “The Cloud Security Ecosystem: Technical, Legal, Business and Management Issues 1st Edition” Syngress [4] Dave Shackleford (2013), “Virtualization Security: Protecting Virtualized lu an Environments 1st Edition” John Willey & Son Inc.pp 74-96 va [5] Raghuram Yeluri , E.C.-L (2014), Building the Infrastructure for Cloud n John R Vacca (2015), “Cloud Computing Security Foundations and [6] Challenges” CRC Press.pp 197-238 p ie gh tn to Security: A Solutions View (Expert's Voice in Internet Security), pp502- 532 w [7] Raj Samani, Jim Reavis, Brian Honan (2015), “CSA Guide to Cloud oa nl Computing: Implementing Cloud Privacy and Security 1st Edition” Syngress d [8] Yuri Diogenes, Dr Thomas W Shinder, Debra Littejohn Shinder (2016), an lu “Microsoft Azure Security Infrastructure 1st Edition” Microsoft u nf va [9] Ronald L Krutz, Russell Dean Vines (2014), “A Comprehensive Guide to Secure Cloud Computing” Wiley Publishing ll oi m z at nh z m co l gm @ an Lu n va ac th si