Chuyên đề: Bảo mật điện toán đám mây An ninh bảo mật điện toán đám mây Giới thiệu An ninh bảo mật điện tốn đám mây (đơi gọi đơn giản "đám mây bảo mật") lĩnh vực phát triển bảo mật máy tính, an ninh mạng, rộng rãi an ninh thơng tin Nó dùng để tập hợp rộng rãi sách, cơng nghệ, kiểm soát triển khai để bảo vệ liệu, ứng dụng, sở hạ tầng liên quan đến điện tốn đám mây Mục tiêu bảo mật thơng tin đám mây  Tính an tồn  Tính đáng tin cậy  Khả tồn : khẳ kháng lại chịu công có khả phục hồi nhanh gây tổn hại  Ngồi cịn có bảy ngun tắc bổ sung để đảm bảo hỗ trợ an tồn thơng tin: bảo mật, tồn vẹn, tính sẵn có, chứng thực, cấp phép, kiểm tra trách nhiệm 2 Các vấn đề an ninh bảo mật liên quan đến điện tốn đám mây Có số vấn đề an ninh bảo mật liên quan đến điện toán đám mây, tập trung vào hai loại chính:  Các vấn đề an ninh bảo mật mà nhà cung cấp dịch vụ điện toán đám mây phải đối mặt  Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán đám mây 3 Các tiêu chuẩn quản lý bảo mật Quản lý bảo mật điện toán đám mây: dựa tiêu chuẩn quản lý bảo mật:  Quản lý tính sẵn sàng  Kiểm sốt truy cập  Quản lý tính dễ bị xâm phạm  Quản lý đường dẫn  Quản lý cấu hình  Phản ứng cố  Hệ thống sử dụng theo dõi truy cập An ninh bảo mật riêng tư liệu Để đảm bảo liệu an tồn (người sử dụng trái phép khơng truy cập đơn giản bị mát liệu) liệu riêng tư trì, nhà cung cấp dịch vụ điện toán đám mây tham gia vào lĩnh vực sau:  Bảo vệ liệu  Nhận dạng quản lý  Nhà cung cấp đảm bảo máy vật lý đầy đủ an toàn việc truy cập vào máy tất liệu khách hàng khách hàng có nhu cầu truy cập khơng bị hạn chế  Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng họ có quyền truy cập thường xun dự đốn trước liệu ứng dụng họ  Các nhà cung cấp đảm bảo tất liệu quan trọng phải cất dấu người uỷ quyền có quyền truy cập tồn liệu 5 An ninh bảo mật mạng  An ninh bảo mật mạng bảo vệ mạng tổ chức, cá nhân trước việc đánh cắp sử dụng sai mục đích thơng tin kinh doanh bí mật chống lại công mã độc từ virus sâu máy tính mạng Internet, Intranet Nếu an ninh mạng khơng triển khai tổ chức, cá nhân có khả gặp rủi ro trước xâm nhập trái phép, làm ngừng trệ hoạt động mạng, gián đoạn dịch vụ, không tuân thủ quy định chí hành động phạm pháp 6 Giới thiệu nguy mối đe dọa điện tốn đám mây 6.1 Nguy an tồn thơng tin Trong điện tốn truyền thống, doanh nghiệp cịn phải tìm đủ giải pháp để đảm bảo an tồn cho thơng tin đặt hạ tầng thiết bị mình, khó để họ tin tưởng giao lại thông tin mà họ khơng biết đặt xác đâu lại quản lý người không quen biết theo mơ hình đám mây Vì vậy, an tồn thơng tin ln nguy quan tâm đặc biệt 6.2 Nguy virus Do khả phá hoại lây lan nhanh, virus máy tính nguy lớn nhắc đến vấn đề an ninh bảo mật thông tin Việc tập trung hóa thơng tin đám mây rút ngắn thời gian tiết kiệm tiền bạc việc diệt virus, song nguy ảnh hưởng virus khơng thay đổi chí cịn nguy hiểm 6.3 Nguy lừa đảo trực tuyến lỗ hổng Web Hiện nay, đa phần người sử dụng Internet chưa nhận thức đầy đủ an ninh bảo mật thơng tin Do đó, lừa đảo trực tuyến nguy an ninh bảo mật lớn thường bị hacker sử dụng để chiếm đoạt thông tin cách bất hợp pháp 6.4 Nguy công mạng Hiện giới tội phạm cơng nghệ cao có phương thức công mạng sau:  Tấn công chủ động Tấn cơng chủ động tên gọi cơng mà người cơng hồn tồn cơng khai chủ động tổ chức thực cơng với mục đích làm giảm hiệu làm tê liệt hoạt động mạng máy tính hệ thống  Tấn cơng bị động Bao gồm quét, bắt trộm nghe trộm gói tin xem phương pháp công đơn giản hiệu  Tấn cơng mật Bao gồm việc dự đốn, so sánh tra mật thông qua từ điển mật  Tấn công mã nguồn mã mật Bao gồm phương pháp cửa sau (BackDoor), Virus, Trojans, Worms, khóa mật mã yếu thuật tốn 7 Các phần mềm độc hại Thuật ngữ "phần mềm độc hại" bao hàm tất loại phần mềm độc hại thiết kế để làm hại máy tính mạng Phần mềm độc hại cài đặt máy người sử dụng mà nạn nhân không hay biết, thường thông qua liên kết lừa đảo nội dung tải xuống đăng nội dung đáng mong ước 7.1 Virus máy tính Virus máy tính chương trình phần mềm có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, máy tính ) 7.2 Sâu máy tính (Worms) Sâu máy tính thường coi nhánh virus có vài khác biệt Sâu máy tính chương trình tự chép, không lây nhiễm tới tập tin máy tính virus Thay vào đó, tự cài vào máy tính lần, sau tìm cách lây lan sang máy tính khác 7.3 Trojan horse Trojan chương trình giả dạng phần mềm hợp pháp khởi động gây hại cho máy tính Trojan khơng thể tự động lây lan qua máy tính, đặc tính để phân biệt chúng với virus sâu máy tính 8 Web ứng dụng nguy bảo mật liệu 8.1 Các dạng công SQL Injection  Dạng công vượt qua kiểm tra đăng nhập: Với dạng công này, tin tặc dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web  Dạng công sử dụng câu lệnh SELECT: Dạng công phức tạp Để thực kiểu công này, kẻ công phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dị tìm điểm yếu khởi đầu cho việc công  Dạng công sử dụng câu lệnh INSERT: Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để tham gia Chức khơng thể thiếu sau đăng kí thành cơng, người dùng xem hiệu chỉnh thơng tin  Dạng cơng sử dụng stored-procedures: Việc công storedprocedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống 'sa' 8.2 Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên hợp  Lỗ hổngbất loại C:pháp Các lỗ hổng loại cho phép thực phương thức công theo DoS (Denial of Services - Từ chối dịch vụ- nỗ lực làm cho người dùng sử dụng tài nguyên máy tính) cố gắng ác ý người hay nhiều người để trang, hay hệ thống mạng sử dụng, làm gián đoạn, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống  Lỗ hổng loại B: Lỗ hổng loại cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ nên dẫn đến mát lộ thông tin yêu cầu bảo mật  Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng bên ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống 9 Giải pháp an ninh bảo mật điện toán đám mây  Giải pháp tăng lực bảo mật HP  Giải pháp bảo mật điện toán đám mây Trend Micro  Giải pháp bảo mật điện toán đám mây Panda Security  Giải pháp bảo mật điện toán đám mây Symantec