Nghiên cứu công nghệ ảo hóa để xây dựng đám mây riêng tại trung tâm dữ liệu tỉnh quảng trị

BỘ GIÁO DỤC VÀ ĐÀO TẠO DAI HOC HUE

TRUONG DAI HOC KHOA HOC

TRAN THANH HA

NGHIEN CUU CONG NGHE AO HOA DE XAY DUNG DAM MAY RIENG

TAI TRUNG TAM DU LIEU TINH QUANG TRI

LUAN VAN THAC SI KHOA HOC

CONG NGHE THONG TIN

Thừa Thiên Huế, 2019

BỘ GIÁO DỤC VÀ ĐÀO TẠO DAI HOC HUE

TRUONG DAI HOC KHOA HOC

TRAN THANH HA

NGHIEN CUU CONG NGHE AO HOA DE XAY DUNG DAM MAY RIENG

TAI TRUNG TAM DU LIEU TINH QUANG TRI

CHUYEN NGANH: KHOA HOC MAY TINH MA SO: 8480101

LUẬN VĂN THẠC SĨ KHOA HỌC

ĐỊNH HƯỚNG NGHIÊN CỨU

NGƯỜI HƯỚNG DẪN KHOA HỌC

PGS.TS NGUYEN MAU HAN

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu và tìm hiểu của riêng tôi Mọi thông tin và số liệu được tham khảo và sử dụng trong luận văn này là trung thực, có nguồn gốc rõ ràng và có cơ sở lý thuyết tham khảo Các nội dung như luận điểm, đữ liệu và kết quả nghiên cứu trong luận văn do tôi tự tìm hiểu, phân tích, tông hợp một cách trung thực, khách quan

Tác giả luận văn

LỜI CẢM ƠN

Để luận văn này hoàn thành và đạt kết quả tôi nhận được sự giúp đỡ từ nhiều phía Với tình cảm, chân thành, cho phép tôi bày tỏ lòng biết ơn sâu sắc đến các đơn vị, cá nhân đã tạo điều kiện thuận lợi cho tôi hoàn thành luận văn này

Trước xin gửi lời cảm ơn chân thành đến thầy giáo PGS.TS Nguyễn Mậu Hân người đã trực tiếp hướng dẫn, giúp đỡ và tạo mọi điều kiện thuận lợi cho tôi từ lúc tìm hiểu, định hướng cũng như hỗ trợ tìm kiếm tài liệu trong lĩnh vực ảo hóa, điện toán đám mây cho đến lúc hoàn thành luận văn này Xin chân thành lòng biết ơn đến toàn thê quý thầy cô giáo công tác tại Khoa Công nghệ thông tin và Phòng Đào tạo Sau Đại học của Trường Đại học Khoa học Huế đã giúp đỡ, truyền đạt những kiến thức quý báu cũng như tạo mọi điều kiện thuận lợi nhất cho tôi trong suốt quá trình học tập cho đến khi tơi hồn thành luận văn này

Xin chân thành cảm ơn lãnh đạo Sở Thông tin và Truyền thông và Trung tâm Công nghệ thông tin và Truyền thông Quảng Trị, gia đình và những người thân đã luôn động viên, giúp đỡ, tạo điều kiện để tôi hoàn thành luận văn này

Vi thời gian có hạn nên không thể tránh khỏi thiếu sót, rất mong được sự đóng góp ý kiến từ thầy cô và các bạn dé có thê giúp hoàn thiện đề tài Tôi xin chân thành cảm ơn!

Huế, tháng 07 năm 2019

Trần Thanh Hà

MỤC LỤC

27980 )/0)710057 ÔỎ 1 Chuong 1 TONG QUAN VE DIEN TOÁN ĐÁM MÂY .-. 5 <¿ 4

1.1 GIỚI THIỆU VẺ ĐIỆN TOÁN ĐÁM MÂY 5222 2222222122212222 xe 4

1.1.1 Khái nệm 1.1.2 Lợi ích

1.2 THÀNH PHẢN VÀ KIÊN TRÚC CỦA ĐIỆN TOÁN ĐÁM MÂY 5 1.3 MOT SO DAC TRUNG CUA DIEN TOÁN ĐÁM MÂY 7 1.4 UU NHUGC DIEM CỦA ĐIỆN TOÁN ĐÁM MÂY -c-+cce2 § 1.5 MƠ HÌNH VÀ DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY . 5¿ 10

1.5.1 Các mô hình triển khai

1.5.2 Các mô hình dịch vụ điện toán đám mây

1.6 CONG CU LUU TRU VÀ XỬ LY TREN MOI TRUONG DIEN TOÁN

DAM MAY ooceececcececcecesseseseeseseeses te ere te tes testes isttasestintitessisititetsitsisitsitenseseeseeees 15 1.7 VAN DE BAO MAT VA AN TOAN THONG TIN TRONG ĐIỆN TOÁN ĐÁM MÂYY 2 22 21221211221211211211211211222121122212122212121212122121 re 16

1.8 TIỂU KẾT CHƯƠNG l 2 2S 222E2212512122121121211212122121212121 xe 24 Chương 2 MỘT SỐ GIẢI PHÁP KỸ THUẬT ẢO HÓA -. 25

2.1 GIỚI THIỆU VẺ CÔNG NGHE AO HOA

2.1.1 Khái niệm ảo hóa - CC 2 2222201111112112211 1111111552211 11 11111152811 xx5

2.1.2 Ưu điểm của ảo hóa 525- 2222 222521212212112122212121221 re 25 2.1.3 Nhược điểm ¿5:22 2: 221121121121121121121121112121.cerre 26

2.1.4 Các mức độ của ảo hóa - 2.21122222202211 111 1115551111111 xxx 27 2.1.5 Một số phương pháp và ứng dụng của công nghệ ảo hóa 30

2.2.MỘT SỐ GIẢI PHÁP CÔNG NGHẸ ẢO HÓA .- 52 522c2222cssc2 32

2.2.1 Công nghệ ao hoa Vmware vSphere

3.2.1 Thực trạng cv ST nh TH nghệ 43

3.2.2 Giải pháp 252-221 22211212212212122122122222212 re 46

3.3 THIẾT KẺ MƠ HÌNH CÀI ĐẶT VÀ TRIÊN KHAI -5+5+ss552 48 3.3.1 Thiết kế mô hình . 2 2 22122221121211212112122121122121222 re 48 3.3.2 Cài đặt và triển khai - 5 S1 221 221 221212212122121221 xe 51

3.3.3 Công việc đã thực hiện 31 3.3.4 Công việc sẽ dự kiến tiếp tục thực hiện ¿+ 2222222 22sssss°2 52

344 ĐÁNH GIA HIEU QUA SAU KHI TRIEN KHAI AP DUNG KY THUAT

ẢO HÓA 2 0 5221 2212212112121121211212121122122122122121212121212122 re 52

3.5 MỘT SÓ ĐẺ XUẤT, KIÊN NGHỊ, 5 - 22 2121222121121221212212 222 55 3.6 TIEU KET CHUONG 83.00 co ceceeseseesesesestess tet tet vee tteettesisentetensensnseneetes 56

KET LAN seveessescssecenreserensrenasecsenensecee green ecusreannareanmcnintnenaeenmemnnncs 57 IV 00009090709 0804.700100 58 ¡2:88 109.7 acc acc 59

DANH MỤC CÁC BẢNG

Bang 1.1 Các lỗ hồng an toàn bảo mật trong hệ thông đám mây Bảng 2.2 So sánh tính nang gitta Vmware vSphere va XenServer Bảng 3.1 Yêu cầu tối thiêu phần cứng của máy chủ vật lý để cài XenServer

DANH MỤC CÁC HÌNH

Hinh 1.1 Các tầng của điện toán đám mâyy ¿2-52 221 E221222212121221212212 xe 6

Hình 1.2 Mô tả kiến trúc phân tầng của điện toán đám mây

Hình 1.3 Các đặc trưng cơ bản của điện toán đám mây 8

Hình 1.4 Mô hình Private CÏoud - c1 212211212 12 112218111 Hye 10 Hình 1.5 Mô hình Public Cloud - - ¿5c 12212211211 1221221 tre 11

Hình 1.6 Mô hình Hybrid Cloud - c1 122131111211 1E ESEEskkkrrkesrkrse 12 Hình 1.7 Mô hình Community Cloud c1 E2 E*EEsrEEsrkrrrresrerse 12 Tĩnh l6 Dị cH-VỤ HỖ can titv6LS590068648801.00003406135E402/G1800008EBISDMESSG/4043I6L808/40680/060004 13 Hình 1.9 Dịch vụ laaS . 2222222222221 1111115122111 1111152511111 1 115112211111 x rẻ 14

Hình 1.10 Mô hình nền tảng như một dịch vụ -2- 5255 2222222E2522E222222222522 15

Hình 1.11 Giao diện hệ thống quản lý cơ sở hạ tầng ảo hóa từ xa 16 Hình 1.12 Kết quả khảo sát mức độ quan ngại khi sử dụng điện toán đám mây 17 Hình 1.13 Quy trình quản lý rủi ro về an toàn và bảo mật - 5 -+cs2cscc2 21

Hình 14.M6 hinh 40 6a sscssecisscsa ssn nwennanea rescore 26

Hinh 15 M6 hinh Application Streaming của CIẨrIX -ccccc sexy 29 Hinh 16 Cac l6p thanh phan cia VMware vSphere 0.0.ccccccccccccscsseseeeeeeteeeeee 33 Hình 17 Giao diện XefSerVeF .- Q0 ccc cccceeeseeeeeseecsesseeessessustseeeseeeesssssaees 36 Hình 18 Giao diện Xen])eskfOp -.- S 219 ST Thy nu 36 Hình 19 Giao diện XenADD 1 1S SSn Tnhh HH nhưy 37

Hình 20 Sơ đồ mạng trước khi chưa ảo hóa 2-5-5222 2E2522125221221212212222 2x2 46

Hình 21 Sơ đồ mạng sau khi ảo hóa 2-5255 5 2S 2221221252 512121212122121222122 22 50 Hình 3.3 Danh mục các máy chủ ảo đang hoạt động ¿5S s‡Sccsscxcsvy 54

DANH MỤC CÁC THUẬT NGỮ VÀ CHỮ VIẾT TÁT

TT | Phần viết tắt Phần viết đầy đủ

Application Programming Interface (Giao diện lập trình

1 API ——

2 ATBM An toan bao mat 3 CNTT Công nghệ thông tin

4 CPU Central Processing Unit (b6 xt lí trung tâm) 5 DTDM Dién toan dam may

6 HDD Hard Disk Drive (O dia cing)

7 NAS Network attached storage (thiết bị lưu trữ gắn vào mạng) 8 PMUD Phần mềm ứng dụng

- Redundant Array of Independent Disks (Hình thức ghép > Raid nhiều ô đĩa cứng vật lý)

10 RAM Random Access Memory (bộ nhớ ngoài) 11 SAN Storage Area Networking (hé thong luu trir)

12 THDL Tích hợp dữ liệu

13.| UBND Ủy ban nhân dân

PHAN MỞ ĐẦU

Điện toán đám mây còn gọi là điện toán máy chủ ảo, là mô hình điện toán sử dụng các công nghệ máy tính và phát triển đựa vào mạng Internet Thuật ngữ "đám mây" ở đây là lối nói ân dụ chỉ mạng Internet và như một liên tưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó Thuật ngữ "cloud computing" ra đời giữa năm 2007 nhằm khái quát lại các hướng phát triển của cơ sở hạ tầng CNTT vốn đã và đang diễn ra từ những năm qua Quan niệm này có thê được diễn giải một cách đơn giản: các nguồn tính toán không lồ như các phần cứng (máy chủ), phần mềm, và các dịch vụ (chương trình ứng dụng), sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vi trong máy tính gia đình và văn phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần Mặc dù điện toán đám mây chỉ là một cách khác để cung cấp các tài nguyên máy tính, không phải là một công nghệ mới, nhưng nó đã châm ngòi một cuộc cách mạng trong cách cung cấp thông tin và dịch vụ của các tổ chức

Đặc điểm nổi bật của điện toán đám mây chính là khả năng co giãn linh hoạt, sự tiện lợi và giảm tối đa chi phí cho người dùng Chính điều này thu hút sự quan tâm và ứng dụng của nhiều đơn vị nhất là cơ quan nhà nước khi đầu tư triển khai Trung tâm tích hợp dữ liệu

Cùng với sự phát triển về cơng nghệ điện tốn đám mây, từ thực tế và tính hiệu quả ứng dụng điện toán đám mây, đối chiếu với hiện trạng hạ tầng máy chủ, thiết bị mạng tại Trung tâm Dữ liệu của tỉnh Quảng Trị do Trung tâm Công nghệ thông tin và Truyền thông thuộc Sở Thông tin và Truyền thông quản lý, việc ảo hóa và triển khai ứng dụng hệ thống phần mềm điện toán đám mây tại Trung tâm Dữ

liệu tỉnh Quảng Trị ở thời điểm hiện nay là cần thiết và phủ hợp với điều kiện thực

tế của địa phương, phù hợp với xu thế ứng dụng khoa học công nghệ tại Trung tâm Dữ liệu tỉnh Quảng TTỊ

ảo hóa xây dựng điện toán đám mây đề vận hành các hệ thống dùng chung cho tỉnh như: Công thông tin điện tử tỉnh, Hệ thống Công giao tiếp dịch vụ công trực tuyến, Hệ thống phần mềm Một cửa điện tử, Hệ thống thư điện tử công vụ, Hệ thống Quản lý văn bản và Điều hành

Trong giới hạn của đề tài về thời gian cũng như cấp độ nghiên cứu, những vấn đề khách quan cũng như chủ quan cần giải quyết Vì vậy luận văn chỉ tập trung vào Cơng nghệ Điện tốn đám mây và đám mây riêng, các công nghệ ảo hóa và ứng dụng nó vào Trung tâm dữ liệu tỉnh Quảng Trị do Trung tâm Công nghệ thông tin va Truyền thông Quảng Trị vận hành

Do là lý do tôi chọn nghiên cứu và thực hiện đề tài: “Nghiên cứu công nghệ ảo hóa để xây dựng đám mây riêng tại Trung tâm Dữ liệu tỉnh Quảng Trị”, dưới sự hướng dẫn của thầy giáo PGS.TS Nguyễn Mậu Hân

Mục tiêu và phương pháp nghiên cứu của luận văn tập trung nghiên cứu về các mô hình điện toán đám mây, một số kỹ thuật của công nghệ ảo hóa và ứng dụng công nghệ áo hóa để xây dựng điện toán đám mây riêng tại Trung tâm Dữ liệu tinh Quảng Trị; Tìm hiểu, phân tích và tông hợp nội dung từ các bài báo, thông tin và các nghiên cứu khoa học đã đăng tải về điện tốn đám mây, các mơ hình điện toán đám mây và các công nghệ ảo hóa phố biến hiện nay Tìm hiểu các kỹ thuật ảo hóa trong xây dựng điện toán đám mây Nghiên cứu hiện trạng ứng dụng Công nghệ thông tin trong cơ quan nhà nước tỉnh Quảng Trị để đưa ra mô hình đám mây tại Trung tâm Dữ liệu tinh Quang Tri Thiết kế mô hình và tiến hành cài đặt thực nghiệm phần mềm XenServer nhằm ảo hóa trên hệ thông máy chủ vật lý đang quản trị và vận hành Sau khi cài đặt sẽ tiến hành đánh giá hiệu quả sau khi áp dụng kỹ thuật ão hóa ở Trung tâm Dữ liệu tỉnh do Trung tâm Công nghệ thông tin và Truyền thông Quảng Trị quản trị và vận hành

Phạm vi nghiên cứu một số kỹ thuật và ứng dụng của Công nghệ ảo hóa, điện tốn đám mây; mơ hình điện toán đám mây riêng

Dữ liệu tỉnh Quảng TTỊ

Bồ cục luận văn gồm 3 chương mở đầu và tiểu kết chương Chương 1 Tổng quan về Điện toán đám mây

Trình bày một số khái niệm cơ bản; thành phần và kiến trúc của điện toán đám mây; đặc trưng, mô hình và dịch vụ của điện toán đám mây

Chương 2 Một số giải pháp kỹ thuật ảo hóa

Giới thiệu các kỹ thuật, công nghệ ảo hóa, và áp dụng kỹ thuật ảo hóa, các giải pháp xây dựng quản lý đám mây riêng đã nêu

Chương 3 Xây dựng đám mây riêng tại Trung tâm Dữ liệu tỉnh Quảng Trị Trên cơ sở kiến thức đã tìm hiểu được ở Chương 1 và Chương 2, Chương 3 tập trung đưa ra các giải pháp và khảo sát, tính tốn về các mơ hình điện toán đám mây riêng cho Trung tâm Dữ liệu tỉnh Quảng Trị Tiến hành cài đặt ảo hóa bằng XenServer và đưa ra các giao diện của hệ thống đám mây riêng đã được triển khai

Chuong 1 TONG QUAN VE DIEN TOÁN DAM MAY

Van đề điện toán đám mây ra đời từ những năm 1950 khi máy chủ tính toán quy mô lớn được triển khai tại một số cơ sở giáo dục và tập đoàn lớn Tài nguyên tính toán của các hệ thống máy chủ này cho phép nhiều người sử đụng đồng thời một tài nguyên tính toán chung

Trong những năm 1960 — 1990, xuất hiện luồng tư tưởng coi máy tính hay tài nguyên công nghệ thông tin có thể được tô chức như hạ tầng dịch vụ công cộng Tức là người dùng dịch vụ công nghệ thông tin như dùng những dịch vụ khác, người dùng không cần quan tâm tới tài nguyên đến từ đâu, được xử lý, phân phối như thế nào, họ chỉ việc sử dụng dịch vụ và trả tiền cho nhà cung cấp theo lượng tiêu dùng của mình Mô hình địch vụ này là nền tảng ra đời của điện toán đám mây Điện toán đám mây hiện tại cung cấp †ài nguyên tính toán dưới dạng dich vụ và tạo cảm giác cho người dùng về một nguồn cung ứng là vô tận

1.1 GIOI THIEU VE DIEN TOAN DAM MAY

1.1.1 Khai niém

Thuật ngữ điện toán đám mây chính thức ra đời vào giữa năm 2007, Điện tốn đám mây là mơ hình điện toán mà mọi giải pháp liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các dịch vu qua mang Internet [3]

Theo Viện tiêu chuẩn và công nghệ quốc gia Bộ Thương mại Mỹ (NIST): Điện toán đám mây là một mô hình cho phép truy cập mạng thuận tiện, theo nhu cầu đến một kho tài nguyên điện toán dùng chung, có thể định cấu hình (ví dụ như mạng, máy chủ, lưu trữ, ứng dụng) có thể được cung cấp và thu hồi một cách nhanh chóng với yêu cầu tối thiêu về quân lý hoặc can thiệp của nhà cung cấp dịch vụ

Điện toán đám mây là một mơ hình điện tốn có khả năng co giãn (scalable), linh động, các tài nguyên thường được ảo hóa và cung cấp như một dịch vụ trên mạng Internet

- Tiết kiệm

+ Người sử dụng không phải đầu tư vào phần cứng, phần mềm và những dịch vụ ngoại vi nào khác, khi mà họ chỉ phải trả tiền cho các nhà cung cấp dịch vụ đối với những dịch vụ tiện ích mà họ sử dụng:

+ Tiết kiệm được chi phí do việc sử dụng hoặc thuê bao dịch vụ nào thì trả tiền cho dịch vụ đó, mà không cần phải có bat kỳ sự ứng tiền đầu tư nào trước đó;

- Có được sự truy cập ngay lập tức tới một kho không lồ các ứng dụng, mà nếu theo cách khác thì không thể đạt tới được;

- Tính mềm dẻo và tính sẵn sàng của các dữ liệu, thông tin được chia sẻ là cao hơn, thúc đây sự hợp tác từ bất kỳ nơi nào trên thế giới - chỉ với một kết nói Internet - Điện toán đám mây cung cấp dịch vụ với khả năng co giãn, vì thế hệ thống của khách hàng có khả năng mở rộng hoặc thu nhỏ một cách linh hoạt tùy theo nhu cầu cụ thê

- Khách hàng có quyền chọn lựa dịch vụ

- Người sử dụng sẽ có sự lựa chọn kết thúc hợp đồng bắt kỳ lúc nào, tránh được rủi ro hồn vốn và sự khơng chắc chắn khi phải đầu tư

- Có thé truy xuất bất cứ ở đâu thông qua Internet

1.2 THÀNH PHẢN VÀ KIÊN TRÚC CỦA ĐIỆN TOAN DAM MAY

Các thành phần trong điện toán đám mây tượng trưng cho các nền tảng Khi hợp lại toàn bộ, chúng tạo thành một kiến trúc hoàn chỉnh của điện toán đám mây (xem hình 1.1)

Tầng thứ nhất là tầng ứng dụng, tầng mà hầu hết mọi người xem như là đám mây Các ứng dụng chạy ở đây và được cung cấp theo yêu cầu của những người dùng

dụng lên đám mây bằng cách sử dụng các ngôn ngữ lập trình và các công cụ đo nhà cung cấp hỗ trợ Application Platform Unified Resource Ỷ Fabric

Hình 1.1 Các tầng của điện toán đám mây

Tang thứ ba là tầng tài nguyên hợp nhất, đây là tầng dùng dé xác định các giao thức chính cho các quá trình khởi tạo, kiểm tra, điều khiến, tính toán của các thao tác được chia sẻ trên các tài nguyên Những giao thức trong tầng này sẽ gọi các chức năng trong tầng tác chế đề truy cập và sử dụng các loại tài nguyên cục bộ

Tầng thứ tư là tầng tác chế là tầng cung cấp các loại tài nguyên chia sẻ, được phép truy cập của mạng lưới thông qua các giao thức mạng Các loại tài nguyên này bao gồm: tài nguyên tính toán, các hệ thống lưu trữ dữ liệu, các danh mục thông tin và các tài nguyên mạng Các thành phần ở tầng này được triển khai ở mức cục bộ; các thao tác tài nguyên đặc biệt diễn ra trong tầng này chính là một kết quả của các thao tác được chia sẽ ở tầng cao hơn

— (ˆ Quản trị đữlệu ` lộ N Dich vu phan mem (Saa$) 3 Tương tác

A Dich vu nén tang (PaaS) :

an & Phat trien img dung tren nen tang dam may

= a

s oS a fi Ầ

ẫ Dich vu co sé ha tang (Taa5)} Quan ly dich vu

5 [May áo, thiết bị hưu trữ, hệ thông mạng]

2 = =

¡ | ==

& 2 3

Ậ|$ Quản lý ao hóa a —

4 + Ty bd Thỏa thuan cap

6 Mang Phần cứng Une dung Dich Vu a ; SO, ` ==== era ã pw 3 sa da 3 Eham pha Quan ly tal nguyen - 2 Cap phep We 4) Luu dy phong Can bang tải | Giảm sát ` — 2 Hình 1.2 Mô tả kiến trúc phân tầng của điện toán đám mây (trich tw: http://itprotraining.vn/vi/cloud-computing/kien-truc-dien-toan-dam-may)

1.3 MOT SO DAC TRUNG CUA DIEN TOAN DAM MAY

Dac trung thir nhất chính là tự phuc vu (On-Demand Self-Service) Dac trưng này dam bảo rằng khách hàng sẽ tự mình có thể đăng ký sử dụng các dịch vụ đám mây thông qua mạng Internet mà không cần phải đến gặp một bên trung gian nào cả Các thao tác liên quan đến đến việc sử dụng dịch vụ như: đăng ký sử dụng, mở rộng thêm tài nguyên, thu hẹp lại, hoặc ngừng sử dụng các dịch vụ có thể tự mình thực hiện thông qua phần tương tác với người sử dụng [2]

Đặc trưng thứ hai là truy cập mạng diện rộng (Broad Network Access) Đặc trưng này đảm bảo rằng tất cả các dịch vụ công nghệ thông tin của điện toán đám mây có thể truy cập bằng nhiều loại hình thiết bị không đồng nhất, trong đó có thể là máy tính để bàn, máy xách tay, điện thoại hay các thiết bị thông minh khác có cài đặt được trình duyệt và kết nối mạng Internet

toán đám mây được xây đựng dựa trên ý tưởng tập trung nguồn tài nguyên thành một hệ thống duy nhất và để chia sẻ tài nguyên cho cộng động người sử dụng tài nguyên đó Kết quả của việc tập trung tài nguyên chính là làm cho hệ thống các dịch vụ của điện toán đám mây trở nên trong suốt với người sử dụng, họ không hề biết đữ liệu của mình đang nằm ở đâu trong điện toán đám mây

Đặc trưng thứ tư là tính đàn hồi nhanh (Rapid Elasticity) Đặc trưng này tạo ra các dịch vụ điện toán đám mây trở nên linh động, người sử dụng có thể sử dụng ngay, tức thời khi cần và có thể thu hẹp, mở rộng hoặc ngưng không dùng các dịch vụ đó

Đặc trưng thứ năm là tính đo lường (Measured Service) Đặc trưng này đảm bảo rằng các địch vụ mà khách hàng đều đo được lượng tài nguyên mà khách hàng đã dùng, khách hàng dùng bao nhiêu trả phí bấy nhiêu giống như các dịch vụ tiêu dùng nước, điện On-Demand Self-Service Broad Network Access Measured Service Resource Pooling Rapid Elasticity

Hình 1.3 Các đặc trưng cơ bản của điện toán đám mây

1.4.ƯU NHƯỢC ĐIÊM CỦA ĐIỆN TOÁN DAM MAY

* Ưu điểm

- Chi phí đầu tư ban đầu về cơ sở hạ tầng, máy móc và nguồn nhân lực của người sử đụng điện toán đám mây được giảm đến mức thấp nhất

- Tốc độ xử lý nhanh, cung cấp cho người dùng những dịch vụ nhanh chóng và giá thành rẻ dựa trên nền tảng cơ sở hạ tầng tập trung (đám mây)

- Khả năng mở rộng được, giúp cải thiện chất lượng các dịch vụ được cung cấp trên “đám mây”

- Các ứng dụng của điện toán đám mây dễ dàng đề sửa chữa hơn bởi lẽ chúng không được cài đặt có định trên một máy tính nào Chúng cũng dễ dàng được hỗ trợ và cài thiện về tính năng

- Tài nguyên sử dụng của điện toán đám mây luôn được quản lý và thống kê trên từng khách hàng và ứng dụng theo từng ngày, từng tuần, từng tháng Điều này đảm bảo cho việc định lượng giá cả của mỗi dịch vụ do điện toán đám mây cung cấp dé người đùng có thê lựa chọn phù hợp [1]

* Nhược điển

- Tính riêng tư: Các thông tin người dùng và dữ liệu được chứa trên điện toán đám mây có đảm bảo được riêng tư, và liệu các thông tin đó có bị sử dụng vì một mục đích nào khác?

- Tính sẵn dùng: Liệu các địch vụ đám mây có bị “treo” bất ngờ, khiến cho người đùng không thể truy cập các dịch vụ và dữ liệu của mình trong những khoảng thời gian nào đó khiến ảnh hưởng đến công việc?

- Mat dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, khiến cho người dùng phải sao lưu đữ liệu của họ từ “đám mây” về máy tính cá nhân Điều này sẽ mất nhiều thời gian Thậm chí một vài trường hợp, vì một lý do nào đó, dữ liệu người dung bi mắt và không thê phục hồi được

toàn bộ dữ liệu của họ trong trường hợp dịch vụ ngừng hoạt động

- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng lại chính là mối lo của người sử dụng dịch vụ của điện toán đám mây Bởi lẽ một khi các đám mây bị tấn cơng hoặc đột nhập, tồn bộ dữ liệu sẽ bị chiếm dụng Tuy nhiên, đây không thực sự là vấn đề của riêng “điện toán đám mây”, bởi lẽ tấn công đánh cắp dữ liệu là vấn đề gặp phải trên bất kỳ môi trường nào, ngay cả trên các máy tính cá nhân

1.5 MÔ HÌNH VÀ DỊCH VỤ ĐIỆN TỐN ĐÁM MÂY

1.5.1 Các mơ hình triển khai

Đám mây riêng (Private Cloud)

Mô hình đám mây riêng là cơ sở hạ tầng đám mây được thiết lập để sử dụng duy nhất bởi một tổ chức, cá nhân cụ thể Chỉ những người thuộc tổ chức, cá nhân đó mới được dùng các dịch vụ trong đám mây Đám mây riêng cung cấp cho tổ chức một điểm kiểm soát duy nhất về bảo mật, khả năng quản lý, quyền riêng tư, kiểm toán, tuân thủ và quan tri

Hinh 1.4 M6 hinh Private Cloud

Mô hình đám mây riêng triển khai phức tạp, chỉ phí cao vì phục vụ cho riêng cá nhân, tổ chức nào đó Tuy nhiên, một số tổ chức đã tìm cách thiết lập Đám mây riêng vì những lý đo khác ngoài tiết kiệm chi phí, chẳng hạn như kiểm soát tốt hơn,

bảo mật, quyền riêng tư, tính linh hoạt tùy chỉnh và độ tin cậy [6] Đám mây công cộng (Public Cloud)

Là đám mây được vận hành và quản lý tại các trung tâm dữ liệu thuộc các nhà cung cấp dịch vụ và được chia sẻ cho cộng đồng người sử dụng Như vậy, nó không nằm sau hệ thống bảo mật tường lửa của tô chức và cũng không có nghĩa là để sử dụng độc quyền, đồng thời do số lượng người dùng địch vụ đông nên chỉ phí sử dụng thấp có khi miễn phí Vì vậy mô hình đám mây công cộng cũng có những nhược điểm như đữ liệu của người sử dụng có khi bị công khai, tính bảo mật, và sở hữu riêng chưa được đảm bảo

Một khảo sát của tổ chức Trend Micro cho 1200 tổ chức với ít nhất 500 nhân viên ở 6 quốc gia lưu ý rằng 93% cho biết họ đang sử dụng ít nhất một nhà cung cấp dịch vụ đám mây, 43% đã có một lỗi bảo mật, 55% lo ngại về lưu trữ chia sẻ không được mã hóa [4]

Customer A Customer B Customer C

Hinh 1.5 M6 hinh Public Cloud

Dam miy lai (Hybrid Cloud)

Là đám mây kết hợp bao gồm ít nhất một đám mây riêng và ít nhất một đám mây công cộng Một số tô chức có thể sử dụng cả hai loại đám mây với các ứng dụng quan trọng được triển khai trên đám mây riêng, trong khi triển khai các ứng

dụng không cần thiết tính bảo mật trên đám mây công cộng Với mô hình này chỉ phí ban đầu triển khai đám mây có thể giảm hơn nhiều so với đám mây riêng, tuy nhiên phần triển khai nội bộ trên đám mây riêng vẫn phải đầu tư chi phi Dam may lai có cả ưu điểm của cả hai mô hình đám mây trên, khắc phục nhược điểm của cả hai loại đám mây này

HYBRID CLOUD

Hình 1.6 Mô hình Hybrid Cloud Dam miy céng dong (Community Cloud)

Community Cloud

Hinh 1.7 M6 hinh Community Cloud

Đám mây cộng đồng cũng giống như đám mây công cộng Tuy nhiên, tat cả thành viên của cộng đồng có chung một mối quan tâm như: mức độ dịch vụ, bảo mật, tuân thủ quy định chung

Một đám mây cộng đồng có thê được thiết lập bởi một số tô chức có yêu cầu

tương tự và tìm cách chia sẻ cơ sở hạ tầng dé thực hiện một số lợi ích của điện toán đám mây Tùy chọn này là tốn kém hơn nhưng có thể đáp ứng về sự riêng tư, an ninh hoặc tuân thủ các chính sách tốt hơn Ví dụ Hệ thống Cao đẳng Cộng đồng Virginia (VCCS) triển khai đám mây cộng đồng đề phục vụ 23 trường cao đẳng và 40 cơ sở trực thuộc

1.5.2 Các mô hình dịch vụ điện toán đám mây

Các dịch vụ của đám mây có rất nhiều loại, có thể kể đến các loại dịch vụ chủ yếu như: phần mềm như một dịch vụ - SaaS, cơ sở hạ tầng như một dịch vụ - Taas [5]

* Mô hình phân mêm như một dịch vụ có các đặc điệm sau khác với các mô hình phần mềm kiểu truyền thống (xem hình 1.8): App Server / / CRM Newsletters ‘ecommerce Payroll Hotsing 0110 0001 01101 Codes Hình 1.8 Dịch vụ SaaS

- Các địch vụ phần mềm của đám mây là phần mềm hoàn chỉnh, có thể sử dụng ngay khi có yêu cầu của người sử dụng

- Người sử dụng ứng dụng thông qua tài khoản truy cập từ web

- Người dùng có thể sử dụng ứng dụng từ bất cứ địa điểm nào, thời gian nào, không nhất thiết phải đến công ty, hay làm việc vào giờ làm việc

- Người sử dụng không mắt thời gian triển khai xây dựng phần mềm, cơ hạ tang dé cai đặt phần mềm, cũng như không mất phí bản quyền phần mềm

- Người sử dụng có thể lựa chọn nhưng thành phần riêng đáp ứng với nhu cầu sử dụng cua minh

- Đặc điểm quan trọng của mô hình này là người sử dụng phải trả phí thường niên cho nhà cung cấp địch vụ này Tuy nhiên mức phí là hợp lý không lớn như chỉ phí đầu tư hệ thống ban đầu

* Mô hình dịch vụ cơ sở hạ tang cũng hay được sử như một dich vu Dich vu này cung cấp các tài nguyên như: card mạng, máy tính, máy chủ, máy chủ ảo và những tài nguyên khác laaS Service Provider Hình 1.9 Dịch vụ IaaS * Mô hình nền tảng được cung cấp như dịch vu (Platform as a Service (PaaS))

- Mô hình này xem xét nền tảng như là dịch vụ, tức là cung cấp các nền tảng công nghệ dưới dạng dịch vụ Ở đây nền tảng theo nghĩa là nền tảng về: công cụ phát triển, nền tảng đữ liệu, nền tảng ngôn ngữ, v v Các tên tuổi lớn trong hướng này như là: Google App Engine của Google, Windows Azure của Microsoft, Force.com cua Salesforce, GridGain, Elastic Compute Cloud của Amazon, V V

Cung cấp các hàm API cho các

‘il platform cua Sun, Microsoft, Oracle, dưới dạng các dich v as Microsoft X ) Hình 1.10 Mô hình nền tảng như một dịch vụ

- Paa§ so với IaaS, bổ sung thêm lớp tích hợp để xây đựng các ứng dụng trên nên tảng có sẵn, bao gồm các phần mềm trung gian, ngôn ngữ và công cụ lập trình

1.6 CÔNG CỤ LƯU TRỮ VÀ XỬ LÝ TRÊN MƠI TRƯỜNG ĐIỆN TỐN

DAM MAY

Lưu trữ web trên điện toán đám mây được sử dụng các nguồn lực của một số cụm máy chủ Về cơ bản, điều này có nghĩa rằng trang web của bạn sử dụng các nguồn tài nguyên ảo của một số máy chủ đề chứa tất cả các khía cạnh của lưu trữ trang web

Lưu trữ trực tuyến là nơi mà dữ liệu được lưu trữ và có thể truy cập đến nhiều khách hàng Đám mây lưu trữ thường được triển khai ở các cầu hình sau: đám mây công cộng, đám mây riêng tư, đám mây cộng đồng, đám mây lai

Để trở nên hiệu quả, những đám mây lưu trữ cần phải nhanh chóng, linh hoạt, khả năng mở rộng và an toàn

Một số công cụ lưu trữ nổi bật trên môi trường đám mây hiện nay là: Google Drive; Dropbox; OneDrive; Amazon Cloud Drive

Cân bằng tải và phân phối tài nguyên linh hoạt: Với các công cụ quan ly tir xa các máy chủ và máy ảo ta sẽ thấy được tình trạng của toàn bộ hệ thống từ đó có

chính sách nâng cấp CPU, RAM, HDD cho máy chủ hoặc máy ảo đó hoặc đi chuyển máy áo đang quá tải đó sang máy chủ vật lý có cầu hình mạnh hơn, có nhiều tài nguyên còn trồng hơn đề hoạt động có hiệu quả

System Capacity {Fetch latest

Primary Storage Management IP Addresses:

Zone: quangtri sẽ Zone: quangtri nã

65% 1.22 TB / 1.86 TB 40% 8/20

Zone: quangtri e ae Zone: quangtri ey

37% I} 39.63 GHz / 105.34 GHz 32% J} 57.63 GB/ 176.62 GB Shared Network IPs Secondary Storage

Zone: quangtri ai Zone: quangtri a

25% 25/100 4% 9} 28.67 GB! 670.67 GB Hình 1.11 Giao diện hệ thống quản lý co sở hạ tầng ảo hóa từ xa

1.7 VẤN DE BAO MAT VA AN TOAN THONG TIN TRONG ĐIỆN TOÁN

DAM MAY

Điện toán đám mây được xem như giải pháp tối ưu đối với chi phi đầu tư cũng như công sức quản lý và vận hành hệ thống Tuy vậy, do tính chất phân tán và trực tuyến, tích hợp nhiều tầng dịch vụ với nhiều công nghệ đặc thù, giải pháp này đồng thời cũng bộc lộ nhiều nguy cơ mới về an toàn bảo mật

Năm 2009, tổ chức khảo sát và phân tích thị trường International Data Corporation (IDC) tiến hành khảo sát ý kiến của các giám đốc thông tin (CIO) từ nhiều công ty hàng đầu về những trở ngại trong việc chuyên đôi sang mô hình dịch vụ đám mây (xem hình 1.12)

Kết quả khảo sát cho thấy vấn đề an toàn bảo mật đang là lo lắng hàng đầu của các tổ chức thuê dịch vụ đám mây [3]

Không đủ khả năng để tùy chỉnh Khả năng tích hợp vào hệ thống hiện có

Áp dụng vào hệ thống hiện có thì khó khăn Thiếu các tiêu chuẩn về khả năng tương tác

Nghỉ ngờ về việc tốn kém hơn mô hình Hiệu năng Độ khả dụng An toàn về bảo mật 70 72 74 76 78 80 82 84 86 88 90 Hình 1.12 Kết quả khảo sát mức độ quan ngại khi sử dụng điện toán đám mây

(trích từ: Điện foán ấm mây Nhà xuât bản Bách khoa Hà Nội)

1.7.1 Một số nguy cơ an toàn và bảo mật trên các tầng dịch vụ đám mây

An toàn và bảo mật đối với tầng dịch vụ phần mêm (SaaS): Với SaaS, gánh nặng về ATBM thuộc về phía nhà cung cấp dịch vụ Các dịch vụ phần mềm thường đặt trọng tâm vào việc tích hợp chức năng đồng thời tối thiêu hóa khả năng can thiệp và mở rộng của người sử dụng Trong khi đó, các dịch vụ nền táng hỗ trợ nhiều hơn khả năng can thiệp và mở rộng Và dưới cùng, các dịch vụ hạ tầng cho phép người sử dụng có khả năng can thiệp và đồng thời chịu trách nhiệm lớn nhất

về ATBM [3]

Nguy cơ thông qua trình duyệt web: Người sử dụng thường truy nhập các ứng dụng đám mây thông qua trình duyệt web Các lỗ hỗng bảo mật từ các trang web có thể tạo nên những nguy cơ mất an toàn thông tin của dịch vụ SaaS Tin tặc từ đó có thê gây thương tốn tới các máy tính của người sử dụng đề thực hiện các hành vi ác ý hoặc ăn trộm các thông tin nhạy cảm A'TBM trong dịch vụ SaaS không khác với trong các ứng dụng web thông thường

Nguy cơ thông qua việc sao lưu dữ liệu (backup data): Trong SaaS, dữ liệu thường được xử lý đưới đạng bản rõ và được lưu trữ trên đám mây Nhà cung cấp dịch vụ SaaS sẽ phải chịu trách nhiệm về bảo mật đữ liệu trong khi chúng được xử

lý và lưu trữ Việc sao lưu dữ liệu rất phô biến trong các hệ thống đám mây cũng tạo nên những vấn đề phát sinh cho bảo mật dữ liệu, nhất là khi nhà cung cấp dịch vụ ký hợp đồng sao lưu lại với một đối tác thứ ba không đáng tin cậy

Nguy cơ từ việc truy cập dịch vụ: Việc các dịch vụ SaaS hỗ trợ khả năng truy cập thông qua trình đuyệt mang lại nhiều thuận lợi, ví đụ như chúng có thê dễ dàng được truy cập từ các thiết bị kết nối mạng khác PC như điện thoại thông minh hay máy tính bảng Tuy nhiên, điều này lại tạo nên những nguy cơ mới về ATBM nếu như các thiết bị đó có các mã độc hay phần mềm ăn trộm dữ liệu, hoặc mang Wifi khơng an toan,

An tồn và bảo mật đối với dịch vụ nên tang (PaaS): PaaS hé tro viée xay dựng các ứng đụng đám mây mà không cần quan tâm tới vấn đề thiết lập và duy tri hạ tầng phần cứng hay môi trường phần mềm Vấn đề ATBM trong PaaS liên quan tới hai khía cạnh: bảo mật trong nội tại của dich vu PaaS va bao mat trong phần mềm của khách hàng triển khai trên nền dịch vụ PaaS [3]

Nguy cơ từ bên thứ ba: Dịch vụ PaaS thường không chỉ cung cấp môi trường phát triển ứng dụng của nhà cung cấp địch vụ mà đôi khi cho phép sử dụng những dịch vụ mạng của bên thứ ba Những dịch vụ này thường được đóng gói dưới dạng thành phần trộn (mashup) Chính vì vậy, ATBM trong các dịch vụ PaaS cũng phụ thuộc vào ATBM của chính các mashup nay

Nguy cơ từ vòng đời của phiên bản ứng dụng: Giống như các loại hình ứng dụng khác, các ứng dụng trên dịch vụ đám mây cũng có thể liên tục nâng cấp phiên bản Việc nâng cấp ứng dụng đòi hỏi nhà cung cấp dịch vụ PaaS phải hỗ trợ tốt cho những thay đổi của ứng dụng Đồng thời, người phát triển cũng cần phải lưu ý rằng sự thay đổi của các thành phần ứng dụng trong quá trình nâng cấp đôi khi gây ra

các vấn đề về ATBM

An toàn và bảo mật đối với dịch vụ hạ tầng (IaaS): laaS cung cấp một vùng chứa tài nguyên như máy chủ, mạng, kho lưu trữ bao gồm cả các tài nguyên được ảo hóa Khách hàng có toàn quyền kiểm soát và quản lý các tài nguyên họ thuê

được Các nhà cung cấp dịch vụ IaaS phải bảo vệ hệ thống khỏi những ảnh hưởng liên quan tới vấn đề ATBM phát sinh từ các tài nguyên cho thuê của khách hàng

Nguy cơ từ giám sát máy ảo: Thành phần giám sát máy ảo (virtual machine monitor — VMM) hay còn gọi là supervisor có trách nhiệm giám sát và quản lý các máy ảo được tạo trên máy vật lý Chính vì vậy, nếu VMM bị tổn thương, các máy ảo đo nó quản lý cũng có thé bị tổn thương Việc thay đổi máy ảo từ một VMM nay sang một VMM khác cũng tạo nên những nguy cơ mới về ATBM

Nguy cơ từ việc chia sẻ tài nguyên: Các máy ảo trên cùng một hệ thống chia sẻ một số tài nguyên chung như CPU, RAM, thiết bị vào ra, Việc chia sẻ này có thể làm giảm tính ATBM của mỗi máy ảo Ví dụ, một máy ảo có thể đánh cắp thông tin của máy ảo khác thông qua bộ nhớ chia sẻ, thời gian thực thi, công giao tiếp

Nguy cơ từ tập tin ảnh máy chủ ảo: Tập tin anh máy chủ ảo trong môi trường laaS là một mẫu sẵn có để tạo nên các máy ảo một cách nhanh chóng Một hệ thống đám mây có thể cung cấp một số ảnh máy ảo trong một kho công cộng đề người dùng có thể đễ đàng tạo nên máy ảo theo nhu cầu của mình Đôi khi hệ thống đám mây có thể cho phép người sử dụng tự tải ảnh máy ảo của mình lên kho công cộng này Điều này tạo nên một nguy cơ về bảo mật khi tin tặc tải lên những ảnh máy ảo có chứa mã độc và người sử dụng có thể dùng những ảnh này đề tạo máy ảo của họ Hơn nữa, qua việc tải ảnh máy ảo lên kho công cộng, người dùng cũng có nguy cơ mất đi những dữ liệu nhạy cảm của mình trong ảnh máy ảo đã tải Ảnh máy ảo cũng tạo ra nguy cơ về bảo mật khi chúng không được vá lỗi giống như các hệ thống

đang vận hành

1.7.2 Một số lỗ hỗng về an toàn và bảo mật trong các hệ thống đám mây

Để giải quyết những vấn đề về ATBM đã đặt ra như trong phần trước, công việc đầu tiên của các nhà cung cấp dịch vụ đám mây là phải xác định được những lỗ hồng có thê tồn tại về ATBM trong hệ thống của mình Một số lỗ hồng điển hình về ATBM trong các hệ thống đám mây được nêu trong bảng 1.1

Bảng 1.1 Các lỗ hồng an toàn bảo mật trong hệ thống đám mây Số TT Lỗ hỗng Mô tả Giao diện người sử dụng và API được cung cấp khơng an tồn

Phân lớn các nhà cung cấp dịch vụ đám mây cung cấp dịch vụ thông qua các giao thức thông dụng Những vấn đề bảo mật gắn với các giao diện này

gồm:

- Chứng nhận sử dụng hợp lệ yếu - Việc kiểm tra xác thực không đủ - Thiếu kiểm tra tính hợp lệ của dữ liệu

Tài nguyên phân bố không giới hạn

Hệ thông có thê gặp phải tình huỗồng dành sẵn quá nhiều tài nguyên nếu như việc đánh giá về tài nguyên sử dụng không chính xác

Các lỗ hồng liên quan

tới đữ liệu

- Khả năng phân tách yêu cho những dữ liệu có nguôn gốc khác nhau (chẳng hạn của các đối tượng cạnh tranh, hoặc của tin tặc) dẫn đến chúng dễ bị đánh cắp

- Dữ liệu khơng được xóa hồn tồn

- Dữ liệu được sao lưu bởi một bên thứ ba không tin cậy - Người sử dụng thường không biết vị trí lưu trữ dit liệu - Dữ liệu thường được lưu trữ, lưu chuyển và xử lý dưới dạng bản rõ Lỗ hồng trong may chủ ảo

- Tôn tại những kênh giao tiếp không tường minh - Cấp phát và giải phóng tài nguyên không hạn chế máy ảo

- Di trú khơng được kiểm sốt

- Khơng kiểm sốt các snapshot dẫn đến rò rỉ dữ liệu

- Các máy ảo có IP có thể quan sát được bên trong đám mây do vậy tin tặc có thể định vị được một máy ảo cần tấn công

Lỗ hồng trong ảnh máy ảo

- Ảnh máy ảo được đặt trên kho lưu trữ công cộng một cách không kiểm sốt

- Ảnh máy ảo khơng thể vá lỗi vì chúng không hoạt động Lỗ hồng Hypervisor trong Khả năng cấu hình linh động của hypervisor có thé khiên chúng bị khai thác Lỗ hồng trong mạng ảo Lô hồng khi chia sẻ các câu nổi ảo giữa các máy ảo

1.7.3 Phương pháp bảo đảm an tồn cho điện tốn đám mây

* Quy trình quản lý rủi ro về an toàn bảo mật

Để đâm bảo an toàn và bảo mật cho hệ thông đám mây, các nhà quản lý dịch

vụ đám mây cần những chiến lược và quy trình hoàn chỉnh thay vì áp dụng những kỹ thuật ứng phó đơn lẻ, rời rạc Nếu chúng ta xem xét các sự cố an toàn và bảo mật là một dạng rủi ro với hệ thống thì việc đảm bảo an toàn và bảo mật cho hệ thống có thể được thực hiện theo một quy trình quản lý rủi ro (xem hinh 1.13)

Giai đuạn Hoat dong

Phân loại tài nguyên thông tin Chọn cơ chế kiểm soat an toan

= ) Lap ké hoach va bao mat Ngan chan | Đănh giá rủi ro

Phát hiện Dae | Triển khai Cãi đặt cœ chế kiểm soát Trả lỏi ; Hanh gia Đánh giá Xem xét dinh ky š 2

Hinh 1.13 Quy trinh quan ly rủi ro về an toàn và bảo mật Các bước thực hiện chính trong quy trình bao gồm:

Bước 1 Lập kế hoạch: Mục tiêu của bước này là nhận định những nguy cơ về an toàn và bảo mật; xác định các cơ chế kiểm soát an toàn và bảo mật (security controls) hiệu quả nhằm giải quyết các nguy cơ; lên kế hoạch cho việc thực hiện các cơ chê kiêm soát an toàn và bảo mật này

Bước 2 Triền khai: Bao gồm việc cài đặt và cấu hình cho các cơ chế kiểm sốt an tồn và bảo mật

Bước 3 Đánh giá: Đánh giá tính hiệu quả của của các cơ chế kiểm soát và định kỳ xem xét tính đầy đủ của cơ chế kiểm soát

Bước 4 Duy trì: Khi hệ thống và các cơ chế kiểm soát đã vận hành, cần thường xuyên cập nhật những thông tin mới về các nguy cơ ATBM

Cơ chế kiểm sốt an tồn và bảo mật (security controls) được hiểu như một kỹ thuật, một hướng dẫn hay một trình tự được định nghĩa tường minh giúp ích cho việc phát hiện, ngăn chặn, hoặc giải quyết các sự cố về an toàn bảo mật

* Các phương pháp bảo mật an tồn thơng tin

Bảo mật trung tâm dữ liệu

Các công ty như Google, Microsoft, Yahoo, Amazon và một số nhà khai thác trung tâm dữ liệu đã có nhiều năm kinh nghiệm trong việc thiết kế, xây dựng và vận hành các trung tâm dữ liệu quy mô lớn Những kinh nghiệm này đã được áp dụng cho chính nền tảng cơ sở hạ tầng điện toán đám mây của họ Kỹ thuật tiên tiến trong việc bảo mật mức vật lý là đặt các trung tâm dữ liệu tại các cơ sở khó nhận biết với những khoảng sân rộng và vành đai kiểm soát được đặt theo tiêu chuẩn quân sự cùng với các biên giới tự nhiên khác Các tòa nhà này nằm trong khu dân cư không đặt biển báo hoặc đánh đấu, giúp cho chúng càng trở nên khó nhận biết Truy cập vật lý được các nhân viên bảo vệ chuyên nghiệp kiểm soát chặt chế ở cả vành đai kiểm soát và tại các lối vào với các phương tiên giám sát như camera, các

hệ thống phát hiện xâm nhập và các thiết bị điện tử khác

Những nhân viên được cấp phép phải sử dụng phương pháp xác thực hai bước không ít hơn ba lần mới có thê truy cập vào tầng trung tâm đữ liệu Thông thường, tất cả khách tham quan hay các nhà thầu phải xuất trình căn cước và phải đăng ký

Sau đó họ tiếp tục được hộ tống bởi đội ngũ nhân viên được cấp phép

Để tránh các cuộc tấn công nội bộ, hệ thống ghi nhật ký và kiểm tra phân tích cho các kết nối cục bộ được kích hoạt thường xuyên Tổ chức AICPA (American Institute of Certified Public Accounfants) cung cấp những tiêu chuẩn kỹ thuật liên quan tới bảo mật kê trên trong chứng nhận SAS 70 Phần lớn các đám mây công cộng đều cần chứng nhận này Chứng nhận này không phải là một danh mục để kiểm tra tại một thời điểm Nó yêu cầu các tiêu chuẩn phải được duy trì trong ít

nhất 6 tháng kê từ khi bắt đầu đăng ký Thông thường chỉ phí để đạt được chứng

nhận này rất lớn mà chỉ các nhà cung cấp hàng đầu mới đạt được

Các biện pháp kiểm soát truy nhập

Tiếp theo vấn đề bảo mật mức vật lý là các kỹ thuật kiểm soát những đối tượng có thể truy nhập vào đám mây Dĩ nhiên điều này là cực kỳ cần thiết, bởi vì thiếu nó, tin tặc có thê truy nhập vào các máy chủ của người sử dụng, đánh cắp

thông tin hoặc sử dụng chúng cho các mục đích xấu Cách thức kiểm soát này được thức hiện qua nhiều bước, thường bắt đầu với thông tin thẻ tín dụng của khách hàng, điện thoại hoặc giấy phép truy cập Mức độ tiếp theo của kỹ thuật kiểm soát truy cập là phải xác định đúng đối tượng truy cập Để tránh rủi ro trong việc xác nhận, một hình thức xác nhận qua các kênh liên lạc khác như điện thoại là cần thiết Thông thường nhà cung cấp sẽ liên hệ với khách hàng và yêu cầu khách hàng trả lời số PIN được hiển thị trên trình duyệt [3]

Hình thức giấy phép truy nhập đơn giản nhất chính là mật khâu Khách hàng có thể lựa chọn cho mình một mật khẩu mạnh hoặc có thể lựa chọn những giấy phép truy nhập nhiều bước như RSA SecurID Người sử dụng cần đùng giấy phép truy nhập khi họ muốn sử dụng địch vụ trực tiếp Ngoài ra, nêu người đùng sử dung dich vu qua API, ho có thể sử dụng khóa truy nhập để thực hiện đăng nhập

Bảo mật dữ liệu và mạng

Bảo mật hệ điểu hành: Bảo mật mức hệ thống có nhiều cấp độ: bảo mật cho hệ điều hành của máy chủ vật lý; bảo mật cho hệ điều hành của các máy ảo chạy trên nó; tường lửa và bảo mật cho cac API

Để bảo mật cho máy chủ vật lý, Amazon yêu cầu người quân trị sử dụng khóa SSH dé truy nhap vao cdc may bastion Bastion là các máy được thiết kế đặc biệt và không cho phép người sử dụng truy nhập tới chúng Sau khi đã truy nhập được vào bastion, người quản trị có thể thực hiện một số lệnh với mức ưu tiên cao lên các máy chủ vật lý Khi người quản trị đã hoàn tất công việc, quyền truy nhập của họ vào các máy bastion sẽ bị rút

Bảo mật cho các hệ thống giám sát: Các hệ thống giám sát thường được sử dụng để bật/tắt các máy ảo, thay đổi tham số về tường lửa Khi các hành vi này được thực hiện qua các APL, có thê bố sung thêm một tầng bảo mật nữa bằng cách mã hóa các gói tin, ví dụ sử dụng SSL Khuyến cáo của các nhà cung cấp dịch vụ là nên luôn luôn sử dụng kênh SSL cho việc thực thi các API của nhà cung cấp dịch vụ

Bảo mật lưu trữ dữ liệu: Các dịch vụ lưu trữ đám mây thường kiểm soát quyền truy nhập dữ liệu thông qua một đanh sách kiểm soát truy nhập (ACL — access control list) Với ACL, người sử dụng có toàn quyền kiểm soát tới những đối tượng được phép sử dụng dịch vụ của họ

Một lo lắng khác cho vấn đề bảo mật đữ liệu là chúng có thê bị đánh cắp trong quá trình truyền thông giữa máy của người sử dụng dịch vụ và đám mây Khi đó các API được bảo vệ bởi SSL sẽ là giải pháp cần thiết Khuyến cáo chung với người dùng là trong mọi trường hợp, nên mã hóa đữ liệu trước khi gửi đến lưu trữ trên đám mây

1.8 TIỂU KÉT CHƯƠNG 1

Điện toán đám mây là một mô hình xuất hiện ở khắp moi noi va dé dang, nha cung cấp chia sẻ tài nguyên thông tin Dem lai nhiều lợi ích cho khách hàng như tiết kiệm, có tính co giãn, khách hàng có quyền lựa chọn dịch vụ cũng như chấp dứt hợp đồng nhanh chóng, và truy xuất mọi nơi

Điện toán đám mây dựa trên kiến trúc về nền tảng, hạ tầng, dịch vụ và lưu trữ Được triển khai dự trên các mô hình về đám mây riêng, đám mây chung, đám mây công cộng và đám mây lai

Để mô hình điện toán đám mây đi vào hoạt động có hiệu quả và phù hợp với hiện trạng của đối tượng cần triển khai điện toán đám mây, Chương 2 sẽ nêu một số nội đung liên quan đến công nghệ ảo hóa như giới thiệu công nghệ ảo hóa, phân tích về các công nghệ ảo hóa đang được ứng dụng rộng rãi để qua đó đề xuất lựa chọn công nghệ ảo hóa nhằm áp dụng ảo hóa hạ tầng máy chủ vật lý cho phù hợp

Chương 2 MỌT SỐ GIẢI PHÁP KỸ THUẠT AO HOA

Công nghệ ảo hóa là một công nghệ được ra đời nhằm khai thác triệt để khả năng làm việc của các phần cứng trong một hệ thống máy tính Nó hoạt động như một tầng trung gian giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó Ý tưởng của công nghệ ảo hóa là từ một máy vật lý đơn lẻ có thê tạo thành nhiều máy ao độc lập Ảo hóa cho phép tạo nhiều máy ảo trên một máy chủ vật lý, mỗi một máy ảo cũng được cấp phát tài nguyên phần cứng như máy thật gồm có các thiết bị như RAM, CPU, Card mạng, 6 dia cứng, các tài nguyên khác và hệ điều hành riêng Khi chạy ứng dụng, người sử dụng không nhận biết được ứng đụng đó chạy trên lớp phần cứng ảo

2.1 GIỚI THIỆU VẺ CÔNG NGHỆ ẢO HÓA

2.1.1 Khái niệm ảo hóa

Ảo hóa (Virtualization) là công nghệ tiên tiến nhất trong một loạt các cuộc cách mạng công nghệ nhằm tăng mức độ ảo hóa hệ thống, cho phép tăng hiệu suất làm việc của máy tính lên một cấp độ chưa từng có

Ảo hóa hệ thống máy chủ tức là tiến hành phân chia một máy chủ thành nhiều máy chủ ảo hoặc kết hợp nhiều máy chủ vật lý thành một máy chủ logic Máy chủ ảo có đủ các tài nguyên vật lý cần thiết như bộ vi xử lý, bộ nhớ, kết nối mang, giống như một máy chủ vật lý (xem hình 2.1) Tuy nhiên máy chủ ảo không hề có tài nguyên độc lập, mà nó chỉ sử dụng tài nguyên được gán từ máy chủ vật lý Vì vậy, máy chủ ảo có hai bản chất cơ bản, đó là các máy chủ ảo sử dụng tài nguyên của máy chủ vật lý và các máy chủ ảo có thê hoạt động như một máy chủ vật lý độc

lập [7]

2.1.2 Ưu điểm của ảo hóa

Việc đầu tư cho một trung tâm tích hợp dữ liệu rất tốn kém Phải đầu tư chi phí cao để mua các máy chủ cấu hình mạnh và các phần mềm bản quyền Mặt khác hầu hết các doanh nghiệp luôn luôn muốn cắt giảm và hạn chế tối đa các chi phí không cần thiết trong khi vẫn đáp ứng được năng suất và tính Ổn định của hệ thống

Vì vậy việc ứng dụng công nghệ ảo hóa trở thành nhu cầu cần thiết của bất kỳ doanh nghiệp nào dù lớn hay nhỏ Điều này cho thấy sự khác biệt giữa hệ thống ảo hóa và không ảo hóa Việc ứng dụng ảo hóa còn đem lại những lợi ích sau: Quản lý đơn giản; Triển khai nhanh; Phục hồi và lưu trữ hệ thống nhanh; Cân bằng tải và phân phối tài nguyên linh hoạt; Tiết kiệm chỉ phí; Ảo hóa góp phần tăng cường tính liên tục, hạn chế ngắt quãng

Hình 14 Mô hình ảo hóa

Bên cạnh đó, ảo hỏa còn tăng độ sẵn sàng, giảm thời gian gián đoạn và dễ dàng mở rộng hệ thống (provision) khi doanh nghiệp đang có một sự kiện hay dự án mà cần nhiều tài nguyên của hạ tầng CNTT

2.1.3 Nhược điểm

Tài nguyên cung cấp cho mỗi máy ảo cần phải hoạch định cần thận Nếu tài nguyên được cấp ít so với thực tế thì hiệu suất ứng dụng sẽ không cao, gây ra mất hiệu quả và ngược lại Do đó, các máy chủ được ảo hóa cần tính toán kĩ tài nguyên để việc sử dụng được hiệu quả

Hạn chế lớn nhất của ảo hóa là nó có một điểm nút sự cố Khi một máy, mà trên đó, mọi giải pháp ảo hóa đang chạy, gặp sự có hay khi chính giải pháp ảo hóa gặp sự có, thì mọi hệ thống phần mềm và phần cứng trên máy chủ đó đều bị gián đoạn

Ảo hóa yêu cầu những máy chủ có cấu hình mạnh nên nó không có khả năng sử dụng máy chủ có cấu hình thấp đề cài đặt các giải pháp ảo hỏa mới

Việc lựa chọn công nghệ ảo hóa cũng gây khó khăn cho người quản lý dé khai thác có hiệu quả hệ thống thiết bị sau khi ảo hóa Công nghệ ảo hóa bản quyền thì có chỉ phí rất cao, công nghệ ảo hóa mã nguồn mở thì ảnh hưởng đến hiệu suất do các tính năng hỗ trợ bị hạn chế

2.1.4 Các mức độ của ảo hóa

Ảo hóa toàn bộ: Toàn bộ phần cứng của máy tính sẽ được ảo hóa hết để một hệ điều hành ảo khác có thể chạy trên đó một cách đầy đủ và bình thường không bị thay đổi hay chỉnh sửa Khi được ảo hóa toàn phần thì máy ảo có thể truy cập và sử dụng hết mọi tính năng của từng phần cứng một bao gồm cả BIOS driver các lệnh nhập/xuất đữ liệu truy cập bộ nhớ Ứng dụng của ảo hóa toàn phần bao gồm: chia sẻ một máy tính cho nhiều người sử đụng cùng lúc cách ly các tài khoản người dùng với nhau cũng như để tang cường tinh bảo mật độ ổn định và hiệu suất làm việc của một hệ thống máy tính

Đây là loại ảo hóa mà ta không cần chỉnh sửa hệ điều hành khách (guest OS) cũng như các phần mềm đã được cài đặt trên nó đề chạy trong môi trường hệ điều hành chủ Khi một phần mềm chạy trên hệ điều hành khách, các đoạn mã của nó không bị biến đổi mà chạy trực tiếp trên hệ điều hành chủ và phần mềm đó như đang được chạy trên một hệ thống thực sự

Ảo hóa song song: Ảo hóa song song không mô phỏng phần cứng đề chạy hệ điều hành ảo, mà phần mềm ảo hóa này là một lớp mỏng đồn các truy cập các hệ điều hành máy chủ vào tài nguyên máy vật lý cơ sở, sử dụng một nhân hệ điều hành đơn đề quản lý các Máy chủ ao và cho phép chúng chạy cùng một lúc (có thê ngầm hiểu, một Máy chủ chính là giao diện người dùng được sử dụng đề tương tác với hệ điều hành) Ảo hóa song song đem lại tốc độ cao hơn so với ảo hóa toàn bộ và hiệu quả sử dụng các nguồn tài nguyên cũng cao hơn Nhưng nó yêu cầu các hệ điều hành khách chạy trên máy áo phải được chỉnh sửa Điều này có nghĩa là không phải

bất cứ hệ điều hành nào cũng có thê chạy ảo hóa song song được (trái với Ảo hóa toàn bộ) XP Mode của Windows 7 là một ví dụ điển hình về ảo hóa song song

Một hệ điều hành được vận hành ngay trên một hệ điều hành chủ đã tồn tại và có khả năng cung cấp một tập hợp các thư viện tương tác với các ứng dụng, khiến cho mỗi ứng dụng truy xuất tài nguyên phần cứng cảm thấy như truy xuất trực tiếp máy chủ vật lý Từ phối cảnh của ứng đụng, nó được nhận thấy và tương tác với các ứng dụng chạy trên hệ điều hành ảo, và tương tác với hệ điều hành ảo mặc dù nó kiểm soát tài nguyên hệ điều hành ảo Nói chung, không thê thấy các ứng đụng này hoặc các tài nguyên hệ điều hành đặt trong hệ điều hành ao

khác

Phương pháp ảo hóa này đặc biệt hữu dụng nếu nhà cung cấp muốn mang lại cho cộng đồng người sử dụng khác nhau các chức năng khác nhau của hệ thống trên một một máy chủ duy nhất Đây là một phương pháp lý tưởng cho các công ty máy chủ Web: Họ sử dụng ảo hóa container (OS ảo) để khiến cho một trang Web chủ “tin rằng” trang web này kiểm sốt tồn bộ máy chủ Tuy nhiên, trên thực tế mỗi trang Web chủ chia sẻ cùng một máy với các trang Web khác, mỗi trang Web này lại có một container riêng

Ảo hóa hệ điều hành yêu cầu rất ít tài nguyên hệ thống, do đó bảo đảm hầu hết tài nguyên máy sẵn có cho các ứng dụng chạy trên container Tuy nhiên, ảo hóa hệ điều hành vẫn có một số nhược điểm Nhược điểm đầu tiên và lớn nhất là phương pháp này thường giới hạn sự lựa chọn hệ điều hành Sự container hóa nghĩa là các container cung cấp một hệ điều hành tương tự như hệ điều hành chủ và thậm chí thống nhất về phiên bản và các bản vá lỗi

Thông thường, khi muốn sử dụng một phần mềm nào đó, người dùng hay có suy nghĩ rằng cần phải tốn thời gian cài đặt phần mềm đó lên trên máy tính, cụ thể hơn là cài đặt lên hệ điều hành đang sử dụng Điều này tốn khá nhiều thời gian, nhất là nếu áp dụng trên những doanh nghiệp lớn, có cả ngàn máy tính, và đồng thời vấn đề quản lý các phần mềm này như ai truy xuất, thời gian truy xuất cho phép ra sao trở thành một thách thức thật sự

Do đó, khái niệm ảo hóa ứng dụng ra đời Một ứng dụng được ảo hóa sẽ không được cài đặt lên máy tính một cách thông thường, mặc dù ở góc độ người sử dụng, ứng dụng vẫn hoạt động một cách bình thường Ảo hóa ứng dụng sẽ giúp tách rời sự phụ thuộc giữa nền tảng phần cứng, hệ điều hành và ứng dụng với nhau

Có khá nhiều tô chức đã tham gia vào quá trình ảo hóa ứng dụng với các mô hình khác nhau Có thể kế đến như Citrix với mô hình Application Streaming, Microsoft với mô hình Microsoft Application Virtualization Ở đây chúng ta sẽ tìm hiểu về mô hình Application Streaming của Citrix (xem hình 2.2) = Application File Share or vee WebDAV (e.g ApplicationHub) 1 ải => Enumeration Service {e.g Citrix XLM Service) Laptop

Hinh 15 M6 hinh Application Streaming cua Citrix (tham khao tai: https://opencloudvn wordpress.com/2014/03/10/kvm/)

Ay”

Kỹ thuật “Streaming” cho phép người quản lý có thể “đây” và quản lý các ứng dụng trên nền tảng hệ điều hành Windows đến bất cứ người dùng nào theo yêu cầu Cụ thê hơn: thông qua các đường truyền đữ liệu được dành riêng, các ứng dụng được tải về thiết bị của người dùng sau đó chạy trên một môi trường giả lập Các thành phần của hệ thống Application Streaming này bao gồm:

- Application Profiler: Tại đây các ứng dụng được đóng gói, kèm với nó là các thông tin như tài nguyên cần thiết để chạy ứng dụng, các quy tắc khi triển khai trên thiết bị người dùng, các thành phần của ứng dụng

+ AppHcation Hub: Sau khi đã được đóng gói kèm theo các thông tin cần thiết, các ứng dụng/phần mềm được lưu trữ tại đây

Một đặc điểm với kỹ thuật này là: Các ứng dụng được lưu trữ tại bộ nhớ cục bộ tại các máy tính cuối của người dùng, và được sử dụng như các phần mềm được cài đặt theo cách truyền thống Nhưng thật sự nó không được cài đặt, mà là chạy trên lớp đệm là môi trường ảo hóa nằm ngay trên hệ điều hành

2.1.5 Một số phương pháp và ứng dụng của công nghệ ảo hóa Một số phương pháp ảo hóa

Ảo hóa hé théng may chi (Server virtualization): Ao hoa may cha 1a céng nghệ ứng dụng ảo hóa nhằm khai thác triệt dé khả năng làm việc của các phần cứng trong một hệ thống máy chủ Ý tưởng của ảo hóa máy chủ là tạo ra nhiều máy chủ ảo trên một máy chủ vật lý, mỗi một máy ảo cũng được cấp phát tài nguyên phần cứng như máy thật với RAM, CPU, card mạng, 6 cứng, hệ điều hành và các ứng dụng riêng

Ảo hóa máy chủ mang lại cơ hội cắt giảm chỉ phí bằng việc giảm số lượng máy tính Ít máy tính hơn nghĩa là cần ít diện tích hơn, ít nhân viên hơn và tiêu thụ điện năng hàng ngày giảm đi

Ngoài ra, ảo hóa cũng hứa hẹn tạo ra khả năng điện toán với hiệu quả cao hơn Ảo hóa chính là chỉa khóa cánh cửa điện toán đám mây Mặc dù không phải là bắt buộc, nhưng những mô hình “đám mây” sử dụng công nghệ ảo hóa sẽ có hiệu năng và tính linh hoạt cao hơn nhờ khả năng chia sẻ các tài nguyên ảo thông qua hệ thống mạng Thực ra, chia sẻ tài nguyên không phải là cái gì mới mẻ, nhưng bằng cách sử dụng ảo hóa, chỉ phí triển khai hệ thống sẽ được giảm đáng kê và bên cạnh đó còn đảm bảo được tính hiệu quả trong việc sử dụng các tài nguyên

Ảo hóa hệ thống lưu trữ (Storage virtualization): Về cơ bản là sự mô phỏng, giả lập việc lưu trữ từ các thiết bị lưu trữ vật lý Người dùng hoặc ứng dụng truy cập vào không cần quan tâm đến mình truy cập vào thiết bị lưu trữ vật lý nào, ở đâu, như thế nào Ví đụ một đĩa vật lý dung lượng lớn có thể được phân thành nhiều đĩa

logic cho mỗi người dùng hay nhiều đĩa vật lý có thể được gộp lại trong một giao diện lưu trữ duy nhất đối với người dùng cuối

Ao hóa hệ thống mang (Network virtualization): La viéc gom cac tai nguyên phần cứng, phần mềm và các chức năng mạng thành một thực thê đơn lẻ, có khả năng quản lý dựa trên phần mềm (được gọi là mạng ảo - virtual network) Thành phần chính của mạng ảo là những đường kết nối ảo và các kênh ảo Các ứng dụng và dịch vụ sẽ được gán để cung cấp trên các kênh cụ thể theo yêu cầu sử đụng (assign for request)

Ao héa Desktop (Desktop Virtualization): Desktop Virtualization 14 nhom công nghệ mới mục tiêu chính là tạo nên một mội trường cơ lập hồn tồn trên máy tính Việc triển khai công nghệ này có thể giúp chúng ta hỗ trợ các ứng dụng cũ chạy trên hệ điều hành hiện tại và giải quyết được vẫn đề tương thích đang gây khó khăn khi muốn nâng cấp hệ thống Từ đó việc cho phép các đoanh nghiệp tiến đến các hệ điều hành mới nhất trở nên dễ dàng và đạt đươc nhiều lợi ích hơn từ những tính năng mới trên đó

Sự đột phá đầu tiên của Microsoft vào Desktop Virtualazion là Microsoft Virtual PC, một sản phẩm phô biến cho việc phát triển và triển khai thử nghiệm Tuy nhiên bên cạnh đó hiện Microsoft đã cho ra đời một sản phâm mới nồi bất với giải phap Desktop Virtualization Chung 1a Microsoft Enterprise Desktop Virtualization (MED-V), là một phan của gói sản phẩm MDOP dành cho khách hàng là doanh nghiệp, Microsoft đã có được khi thâu tóm được Kidaro tháng 5/2008 và sản phẩm tiếp theo là Microsoft Virtual Desktop Infastructure (VDI)

Ứng dụng của ảo hóa

Phục vụ lưu trữ nội dung số: Ngày nay xã hội đang bước vào thời kỳ chuyển đổi số, vì vậy công tác số hóa được các cấp các ngành đây mạnh ứng dụng Vì vậy việc ứng dụng số trên nền Web cũng bùng nỗ đo đó nhiều ứng dụng đã tạo ra lượng dữ liệu lớn hơn dung lượng lưu trữ trên một máy chủ do đó giải quyết vấn đề lưu trữ dữ liệu là yêu cầu cấp bách của các đơn vị Mặt khác nhiều máy cần truy cập cùng