An toàn thông tin dữ liệu trên điện toán đám mây

9 6 Trang 8 v ACL Access Control List DanhAES Advanced Encryption Standard API Application Programming Interface CC Cloud Computing CPU Central Processing Unit CSA Cloud Security Allia

LUẬN VĂN THẠC SĨ KỸ THUẬT

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

Phạm Hữu Thanh

Chuyên ngành : Kỹ thuật máy tính

i

L I C iii

L iv

v

vii

vii

1

3

1.1 Khái ni 1.2 Ki

1.3 Công ngh o hóa 9

1.4

1.5 Các mô hình tri

- AN TOÀN, B O M T D LI 19

2.1 2.3 2.4 Công ngh m b o an toàn d li 36

ii

3.2 Ki n trúc gi i pháp c a ownCloud 41

ownCloud 4

66

67

iii

L I C

th c cho trong tôi su t th i gian qua

chuyên môn

ôi xin c

uthi

9

iv

L

Lu

Tác gi lu

v

Interface

System

and Technology

cho SOAP

vi

Authoring and Versioning

phiên b n dWeb

-viii

-

-

3



tiêu chu n và công ngh qu c gia M (NIST)

:  n toán cho phép truy c p qua m ng  

  l a ch n và s d ng tài nguyên tính toán (ví d : m ng, máy ch      , ng

d ng và d ch v ) theo nhu c u m t cách thu n ti      ng th i cho 

phép k t thúc s d ng d ch v , gi i phóng tài nguyên d dàng, gi m thi u các giao         

ti p v i nhà cung c p Mô hình này g m có     n, 3 mô hình d ch v  

và 4 mô hình trin khai

c theo dõi, ki m soát và báo cáo minh b ch cho c 2 phía - nhà cung c p và

c dùng chung, ph c v cho nhi u

trình duy t - browser)

các l p con v i vai trò khác nhau Ví d trong l p ph n c ng và m ng có các l

ng d

th (instance) khác nhau c a cùng m t máy ch o truy c p vào nh ng ph n s n

8

i, giúp qu n lý các yêu cthu

9

d ng

11

1.4

p d ch v theo các mô hình khác nhau

t có khá nhi u mô hình khác nhau tuy nhiên t

d ng có th truy c p t các thi t b khác nhau c a khách hàng ho c thông qua m t

12

D ch v ng d ng (SaaS) là m t mô hình d ch v ph n m

cung c p gi y phép m

hay ch

ng d n t nhà cung c p

c cung cthông qua qu ng cáo Ví d trong lo i hình này g m có d ch v web mail,

khách hàng khác

13

d ng l p gi a (middleware), các máy ch ng d ng (application server) cùng các

Tranfer), cho phép xây d ng nhi u d ch v web

Tùy ch n PaaS có ba lo i khác nhau:

không cung c p gi y phép, k thu t

Bluehouse, VMware, Amazon EC2, Microsoft Azure Platform, Sun ParaScale

toàn b l p tài nguyên o hóa cung c

Khi các t ch c và doanh nghi p mu n tri n khai áp d

tài chính h có th xem xét, l a ch n th c hi n tri n khai h th

nghi p Nh ng m mây này t n t i bên trong t ng l a công ty và úng ch c

a vi c thi t l p m

n vi c xây d ng và s d ng h th ng lo i này Ngoài ra chi phí h

15

u l i th

trá nhi m cài ch t, qu n lý, cung c p v b o à trì Các d ch v th ng c cung c p

dùng ki m soát tr c ti p Kh chá hàng c tính phí cho các tài nguyên m h s à

mây lai cung c p các d ch v có trong c không gian công c ng và êng ri

ng này, m t doanh nghi p có th l a ch n phía hay riêng d a trên các m c tiêu và nhu c u c a các d ch v c n tri n khai M

c xây d ng t t có th ph c v các quy trình nhi m v quan tr ng doanh nghi p có yêu c u cao v tính

17

gì doanh nghi p mu n m t cách t c th i Thay vì vi c doanh nghi p ph i tính toán xem có nên m r ng hay không, ph

nay doanh nghi p ch c n yêu c

t ki m chi phí l n nh t b i khi s d ng SaaS khách

lo i b nh ng công vi c th c s không c n thi t cho các doanh nghi

t và duy trì ph n c ng, tr công cho nhân viên, và duy trì các ng d ng

    d ng tài nguyên tính toán: M t trong nh ng câu h

có lãi hay không, có b l c h u v công ngh Khi s d

tâm t i

b o hi m d li u ra sao n u nhà cung c p ng ng d ch v vì lý do tài chính? Ngoài

Trong h

phát cho khách hàng d a trên nhu c u c a h R i ro c a d li

i s d ng d li u Nhà cung c p

c nêu trong các th a thu n m c d ch v c a h Trách nhi m c a nhà cung

ninh (security policy) c a mình b ng cách phát tri n các d ch v hay ti n ích riêng thông qua các d ch v c a t ng v t lý và các d ch v IaaS c a nhà cung c p Chính

23

sách v an toàn m c này là r t ph c t p vì nhi

và cung c p d ch v c a mình cho t ng trên nó (SaaS) m c này, các d ch v hay

c p ph i có nh ng chính sách chung b t bu c và cách ki m soát sao cho nh ng c u hình an toàn, b o m t ph i nh t quán, ch t ch và không có l h ng Trong mô hình

p d ch v Mô hình SaaS k th a các v

25

PaaS bao g m c d li u qu n lý an ninh và an ninh m ng

t ch i d ch v

26



nh các mô hình và k thu t b o m t theo t ng m

d li u di n ra ngay l p t c sau khi d li

27

n này Quy n g n li n v i t ng cá nhân/tài kho n, thi t b ho

trúc nh ng m ng này v c c u thành t nhi u thành ph n khác nhau và có

30

ng SaaS là mtri n khai m t cách tr c ti p, và c n ph i yêu c u t các nhà cung c p c a h

31

i m t v i nhi u th

d ng dành riêng cho m t doanh nghi p hay cá nhân

cung c p d

b o v d li

b sung M c dù mã hóa ho c gi i mã m t t p tin ho c th c hi n mã hóa toàn b

32

theo N u khóa b chi m d ng, thì các d li u có th b t n h

Mandatory Access Control)

nh b i ch s h u c

hành c a Microsoft, chúng ta có th th y vi c th c hi n DAC N u chúng ta

i mà chúng ta mu n cho phép truy c p

41



-

42

các ho ng này vào m t t p tin log cho vi c ki m soát và phân tích v sau

(Active Directory) và LDAP (Lightweight Directory Access Protocol) tích h p cho

c m r ng thông qua các APIs m và

p thông qua trình duy t, t i v , ch nh s a và upload t p tin trong k

c g n trên h th ng s d ng m t ng d ng h th ng t p tin m r ng tùy ch n

Drive, DropBox n u mu

 Capability API: cung c

di n web

46

Apache

DB Server Local Storage

5

-Linux Enterprise Server 12

47

HA Proxy

NFS Server Web server 1

49

8au

Khi

,Cloud





iptables -A INPUT -i lo -j ACCEPT &&

iptables -A INPUT -m conntrack ctstate ESTABLISHED,RELATED -j ACCEPT

&& iptables -A INPUT -p tcp dport 22 -j ACCEPT &&

iptables -A INPUT -p tcp dport 80 -j ACCEPT &&

iptables -A INPUT -p tcp dport 443 -j ACCEPT &&

iptables -A INPUT -j LOG && iptables -A FORWARD -j LOG && iptables -A INPUT

52

y Owncloud Domain: owncloud.bcy.org OS: Ubuntu Server 14.04 IP: 192.168.76.138

y client 1 OS: Windows 7 IP: 192.168.76.133

y client 2 OS: Ubuntu Desktop

14.04 IP: 192.168.76.139

54

0

ownCloud Untrusted Certificate

56

ownCloud

4

-57

5 - T

6

-you

-59

20

-60

ownCloud

-(password-guessing attac

61

-php_captchar()

Log

private function php_captcha($config = array()) {

$assets_path = $this->config->getSystemValue('asset_directory');

$captcha_config = array(

'code' => '', 'min_length' => 5, 'max_length' => 5, 'characters'=>

'ABCDEFGHJKLMNPRSTUVWXYZabcdefghjkmnprstuvwxyz23456789',

'min_font_size' => 28, 'max_font_size' => 28, 'color' => '#666', 'angle_min' => 0, 'angle_max' => 10, 'shadow' => true, 'shadow_color' => '#fff',

62

'shadow_offset_x' => - 1, 'shadow_offset_y' => 1 );

} }

$image_src = $this->urlGenerator->linkToRoute('core.login.showCapcha');

$_SESSION['_CAPTCHA']['config'] = serialize($captcha_config);

return array(

'code' => $captcha_config['code'], 'image_src' => $image_src );

-65

Tr

67

[1] A Chazalet, (2010 ),

Proc IEEE 3rd Int Conf on Cloud Computing, pp 297 304

[2] A Khajeh-Hosseini, D Greenwood, and I Sommeerville, (2010

3rd Int Conf on Cloud Computing, pp 450 457

[3] Borko Furht, Armando Escalante, (2010), Handbook of Cloud Computing,

Springer

[4] C Li, A Raghunathan, and N K.Jha, (2010),

Computing, pp.172 179

[5] J W.Rittinghouse and J F.Ransome, (2010),

[6 NIST Special Publication 800-53 Revision 3, (2009 Recommended Security ] ),

Controls for Federal Information Systems and Organizations

[7] NIST Reference Architecture Analysis Team, (2011),

(version 1) NIST  Information Technology Laboratory Cloud Computing Program

[9] NIST Cloud Computing Collaboration Site,

[10] NIST Cloud Computing Collaboration Site, Basic security functional areas

architecture

architecture component

68

[13] NIST Cloud Computing Collaboration Site,

(initial thoughts for discussion)

[14] NIST Cloud Computing Collaboration Site,

[15 M Azambuja, R Pereira, K Breitman, and M Endler, (2010) ]

Cloud Computing, pp 513 517

[16] M Jensen, S Sch¨age, and J Schwenk, (2010),

Conf on Cloud Computing, pp 540 541

[17 Peter Mell, Timothy Grance, (2011), The NIST Definition of Cloud ]

Computing, NIST Special Publication 800-145

[18 R M Esteves and C Rong, (2010) ]

Proc IEEE 2nd Int Conf on Cloud Computing Technology and Science, pp 593 596

[19] Ronald L.Krutz, Russe Dean Vines, (2010), A Comprehensive Guide to Secure

Cloud Computing, Wiley

[20] Tim Mather, Subra Kumaras, Shahed Latif, (2009), Cloud Sercurity PrivacyAn

[21 The ownCloud developers, (2016), ownCloud Developer Manual Release 9.1 ]

[22 The ownCloud developers, (2016), ownCloud Server Administration Manual ]

Release 9.1

[23] T Miyamoto, M Hayashi, and K Nishimura, (2010),

on Cloud Computing Technology and Science, pp 512 520

[24] Vic(J.R.) Winkler, (2011 ),