Xây dựng giải pháp mã hóa ổ đĩa ảo trên môi trường điện toán đám mây iaas

TrueCrypt h tr các thu t toán mã hóa AES, Serpent, và Twofish.. Gửi yêu cầu mount ổ đĩa ảo2.. Yêu cầu chặn quá trình lưu mount ổ đĩa ảo3.. Gửi yêu cầu lấy khóa mã hóa 4.. Thực hiện quá tr

1 Hc viên: Nguyt

M  C L C MC LC 1

 4

LI C 5

DANH MC CÁC KÝ HI U, CH  VI T T T 6

DANH MC HÌNH V 7

DANH MC CÁC BNG 9

PHN M U 10

1 T ng quan 10

2 Mc tiêu, nhim v và ph m vi c a lu    10

3 c hin 11

4 Kt qu c 11

          AN NINH THÔNG  12

1 T ng quan v    12

1.1 Khái ni 12

1.2  12

1.3 Mô hình dch v  c a Cloud computing 13

1.3.1 Mô hình h t dch v  IaaS t 14

1.3.2 Mô hình n t dch v n t PaaS 15

1.3.3 Mô hình phn m t d ch v  SaaS 15

1.4 Các mô hình tri n khai c a cloud computing 16

1.4.1 ng (Public cloud) 16

1.4.2  16

1.4.3 oud) 16

1.5 Mt s   n n t n m 17

1.5.1 Eucalyptus 17

1.5.2 OpenNeubula 18

1.5.3 OpenStack 18

1.5.4 CloudStack 18

2 T ng quan v CloudStack 18 

2.1 Gii thi u v CloudStack 18

2.2 m c a CloudStack 19

2.2.1 Các khái ni m liên quan 20

2.3 Kin trúc CloudStack 22

2.3.1 Máy ch qun lý 22

3 Các v  25

3.1 Các v  25

3.2 V m bo an ninh d ling IaaS 27

3.3 Các gi i pháp mã hóa d  ling IaaS 29

3.3.1 Bitlocker 31

3.3.2 VeraCrypt 31

4 Gii pháp mã hóa d u TrueCrypt 31li 5 Kt lun 36

   NG GI I PHÁP MÃ HÓA    O TRÊN CLOUDSTACK 37

1 V  b o mt d lii dùng trên CloudStack 37

2 Gii pháp mã hóa  o 38

2.1  ho  ng c a gi i pháp 38

2.2 Kin trúc gii pháp 41

2.2.1 Module mã hóa 41

2.2.2 Module qun lý khóa 42

2.2.3 c khóa mã hóa 44

3 Kt lun 46

N KHAI, TH NGHI  48

1 Trin khai th nghi m gi  i pháp 48

1.1 t h th ng CloudStack 48

1.1.1 Mô hình th nghi m 48

1.1.2 t Cloud management server 48

1.1.3 t, cu hình NFS 50

1.1.4 t máy ch host 51

1.1.5 Chu  n b m u máy o h ng 51 th 1.1.6 T o zone 52

1.1.7 T o m t, máy o và   o 54

1.2 t, s  d ng gi i pháp mã hóa   o 57

1.2.1 t 57

1.2.2 S d ng 58 

1.3 Kim th 60

2  62

2.1 Hi 62

2.1.1 Kch bn 62

2.1.2 Kt qu 62

2.2 Tính hiu qu 64

2.3 ng d ng c a gii pháp 64

KT LUN 66

1 Kt qu c 66

2 Nhng m t còn h n ch 66  

3 ng phát tri n 66

TÀI LIU THAM KH O 67



Tác gi  lu u c a riêng tác gi 

lu t c a quá trình nghiên c u t vi c t p h p các ngu n tài li u, các       

ki n th n vi c t thu th p các thông tin liên quan và liên h     th  c t t i

 công tác Các s li u, k t qu nêu trong lu    ng

c ai công b trong b t k công trình nào khác   

L  I C

c tiên, tôi tác gi lu     c g i l i c    n các Quý

Thng d o th c s , Vi n Công Ngh     Thông

Tin và Truy i h c Bách khoa Hà N i, nh n tình truy n 

t ki n th c trong quá trình tôi h c t      n ki n th c th c s h u ích,     

không ch làm n n t ng cho quá trình nghiên c u khóa n, mà còn là hành trang     lu

giúp tôi vng hoc Công ngh thông tin 

nói riêng và trong cu c s ng nói chung  

Cui cùng tôi xin g i l i bi  n bè nh 

luôn bên c và tu ki n t t nh t cho tôi trong su t quá trình h c t     p

c hin lu

Do th i gian có h n và kinh nghi m nghiên c u khoa h      u nên

luu thi u sót, r t mong nh  c ý ki n góp ý c a Quý Th y/Cô và       

các b n h c viên

H c viên th c hi    n lu

t Nguy

DANH M  C CÁC KÝ HI U, CH    VI T T T 

T vi   t t t Din gi

AES Advanced Encryption Standard Thui xng

nâng cao API Application Programming Interface  Giao di n l p trình ng d ng    

AWS Amazon Web Service D ch v Web ca Amazon

CPU Central Processing Unit B x lý trung tâm  

CSP Cloud Service Provider  Nhà cung c p d ch v    

IaaS Infrastructure as a Service H t   t dch v

KVM Kernel-based Virtual Machine

JSON Java Script Object Notation   nh d ng d li u Java Script   

NIST National Institute of Standards and Technology

SaaS Software as a Service Phn m t dch v

PaaS Platform as a Service N n t  t dch v 

SSL Secure Sockets Layer

VM Virtual Machine  Máy o 

XML eXtensible Markup Language  Ngôn ng  u m r ng  

DANH M C HÌNH V 

Hình 1: n th ng 14

Hình 2: Các mô hình tri n khai c a Cloud computing 16 

Hình 3: Mô hình CloudStack 19

Hình 4: Kin trúc CloudStack 22

Hình 5: Kin trúc c a Management server 23

Hình 6: Kho sát v nh ng v    i v i cloud computing 25

Hình 7: Kin trúc h th ng IaaS 28 

Hình 8: Kin trúc module mã hóa 34

Hình 9: Giao tip gi a các project 34

Hình 10: Lung x lý thao t o t o volume mã hóa 35  

Hình 11: Lung thao tác g n    36

Hình 12: Giao dii dùng truy c p vào máy o 37 

Hình 13: Mã hóa  o trên CloudStack 38

Hình 14: Quá trình mã hóa  o 39

Hình 15: Quá trình gii mã d li u trên    o 40

Hình 16: Kt qu Benchmark các gii thut mã hóa c a TrueCrypt 41

Hình 17:   d ng gi i pháp mã hóa 42

Hình 18: Khi to mã hóa 44 

Hình 19:  45

Hình 20: Quá trình khôi phc khóa mã hóa 46

Hình 21: Mô hình trin khai gi i pháp 48

Hình 22:    d li u c a cloudstack 50

Hình 23: Máy ch host 51

Hình 24: C u hình s d ng SSL cho web portal 52  

Hình 25: Giao din qu n tr cloudstack 53 

Hình 26: T o zone 53

Hình 27: Kích hot zone 54

Hình 28: Hoàn thành to zone 54

Hình 29: T o m  t máy o 55

Hình 30: T o máy o 55 

Hình 31: Hoàn thành to máy o 56

Hình 32: Truy c p vào máy o thông qua console proxy 56 

Hình 33: T o   o 57

Hình 34: G n   o cho máy o 57

Hình 35: Ch n d ch v mã hóa 58

Hình 36: Mã hóa  o 59

Hình 37:  60

Hình 38: Quá trình khôi phc khóa mã hóa 60

DANH M C  CÁC B NG

B ng 1: So sánh m t s   n n t n m 17

B ng 2: K t qu so sánh t  c ghi vng RAM 2GB 62

B ng 3: K t qu so sánh t  c ghi vng RAM 4GB 63

B ng 4: K t qu so sánh t  c ghi vng RAM 6GB 63

thông tin (IaaS)

Tuy nhiên nh ng nghiên c u g  t cho th y v    v b o m t, an toàn 

thô     l c t t c p

quan tâm Nhc bii dùng doanh nghi p) luôn th c m  c

liu vi  d    li u c a mình trong h t ng c a nhà cung c    p li u có an toàn hay ko?

Còn các nhà cung c p d ch v    u v  m b o 

an toàn d  li u cho khách hàng, t  c lòng tin t  i dùng

 i v i lo i hình d ch v    p h t n toán (IaaS

cloud computing) thì toàn b d   lii dùng trên các máy ch  c cung

c p b i nhà cung c p cloud computing      i d ng các volume (  

c a máy o trên h t ng c a nhà cung c p d ch v Vì v          m bo

an toàn cho d lii dùng trên h ng th cloud là v quan tr ng Gi i pháp  

mã hóa d u c li      ng cloud computing là m t trong 

nh ng n m b o an toàn d u N i dung lu li   xu t gi i pháp  

mã hóa toàn b   o cc cung c p b i nhà cung c p d   ch v

- t, th nghi m gi i pháp mã hóa d u trên n n t ng CloudStack    li  

3  c hi n 

- Tham kh o các tài li u, bài báo, sách nghiên c u v các v     an ninh d 

li

- S d  n m i x ng mã ngu n m , các n n t ng     o

hóa, gi i pháp cloud mã ngu n m xây d ng gi i pháp và th nghi       m

-  n c/ghi d lic và sau khi mã hóa

- Tìm hi u nhu c u th c t s d ng gi i pháp cho cá nhân và trong doanh       

 1:   Y VÀ CÁC V  AN NINH THÔNG  



1 T ng quan v   

1.1 Khái ni

Có nhi u phát bi u v    a các hang nghiên

c u công ngh thông tin, theo Wikipedia   n toá

mn toán có kh  ng và các tài nguyên

 c c cung c t d ch v trên m [18] ho c

theo NIST t mô hình cho phép truy c p m ng thu n ti n,    

theo nhu cn mn toán dùng chung, có th nh c u hình (ví   

d   ng, máy ch , ng d ng) có th   c cung c p và thu h i m  t

cách nhanh chóng v i yêu c u t i thi u v qu n lý ho c can thi p c a nhà cung c         p

dch v [10]

Tuy nhiên  c hi u m   s

d ng tài nguyên tính toán có kh   i theo nhu cc cung c

là m t d ch v t bên ngoài v i chi phí tr cho m i l n s d ng Thu t ng             

mâ   i dùng có th truy c  n tài nguyên t n t i  

NIST cloud computing standards roadmap) [10].:

- On -demand self-service: khách hàng có th  c cung c p tài n 

máy ch  m t cách t ng theo yêu c u mà không c n ph    i

có s  hay can thi p t phía nhà cung c p d   ch v

- Broad network accessi dùng có th d dàng truy c   

ch   v i m t ng d ng có kh   p m ng (Internet) t b t k    thi t b

nào, bao g m máy tính, thi t b  c

- Location independent resource pooling: tài nguyên tính toán c a nhà cung 

c ph c v nhi  m hu

(multi-tenancy model), v i các tài nguyên v t lý và tài nguyên   c c p 

ng và thu h i d a theo yêu c u c a khách hàng S không ph thu c vào       

v  trí  không bin kim

soát v trí chính xác c c cung c p Ví d v i nguyên có    tà

th bao g , x lý, b nhng và các máy o 

- Rapid elasticity: tài nguyên có th  c cung c p m t cách nhanh chóng và  

m m d o, có th     dàng tùy theo yêu c u c a khách  

hàng V i khách hàng, tài nguyên luôn s n sàng và có th coi là vô t n, có    

th yêu c u vào b t c th   m nào

- Measured service: các h ng cloud t  th  u khi n và tinh ch nh tài  

(SaaS); N n t  t d ch v (PaaS) và H t   t d ch v (IaaS) M t

n, có th so sánh các mô hình này v i mô hình truy n th ng     

Hình 1: So sánh các mô hình điện toán đám mây và mô hình truyề n th ng ố

(ngu n: http://antoanthongtin.vn) ồ

1.3.1 Mô hình h t   t d ch v IaaS   

Mô hình IaaS cung ci dùng m t h t   i hình th c các 

máy ch o   r , m t d ch vi dùng có th n khai và tri

chy ph n m m b t k trên máy o, có th bao g m c h u hành và các ng           

di dùng không quu khi n h t ng th c c    

quy n ki m soát h    , các ng d ng và m t s thành ph n m    

b n (ví d   ng l a, cân b ng t i) trên máy ch o h       c c p Nh ng d ch   

v     c tính phí s d ng d    ng tính toán hay tài

i dùng s d ng [10]  

Nhbi u c a IaaS:

- Cung c p h t   t d ch v : bao g m c máy ch ( o), thi t b m ng,        

b nh ng, trang thi t b  trung tâm d li u

- Kh   r ng linh ho t 

- i tùy theo th c t  

- Nhii thuê có th cùng dùng chung trên m t tài nguyên (nhi u máy o    

trên cùng mt máy th t) 

- C doanh nghi i l i ích cho công ty b i m t ngu n tài nguyên 

tính toán tng h p 

M t s nhà cung c p IaaS     Amazon v i Amazon Elastic Compute Cloud 

(EC2) Rackspace, GoGrid Ngoài ra, m t s doanh nghi p có th t xây d ng h       

tha mình d a trên n n t ng c a các gi i pháp mã ngu n m có       

th         k

CloudStack là m t gi i pháp có nhi dàng tri n khai, h tr nhi u    

n n t ng o hóa, kh     n lý h t ng v t lý l n, cung c p s n các giao di      n

i dùng, qu n tr v i h th      t s c trình bày m c  

3 c

1.3.2 Mô hình n  n tt d ch v PaaS  

Mô hình PaaS cung ci dùng kh  n khai và phát tri n  ng

d ng c a chính h trên h t ng cloud s d ng các ngôn ng l p trình và công c do          

nhà cung c p cloud h (ví d java, python, Net) M t s   tr    gi

Windows Azure, Google App Eng[10]

1.3.3 Mô hình ph n m   t d ch v SaaS  

Mô hình SaaS cung ci dùng kh    d ng các ng d ng c  a

nhà cung c p ch y trên h t ng cloud và có th truy c p t nhi u thi t b u cu           i

thông qua m t giao di      t trình duy t Web (ví d , web- 

i dùng không qu n lý hay ki m soát h t   i, m ng, 

máy ch , h    hay th m chí m t s  c u hình ng d ng h ng, mà   th

ch    s d ng ng d ng kèm theo m t s    c u hình h n ch v   i ng d [10]

1.4 Các mô hình tri n khai c a cloud computing 

Hình 2: Các mô hình tri n khai c a Cloud computing ể ủ

1.4.2  Priv ate cloud)

Private cloud là các d ch v   c cung c p trong các doanh 

nghi p  c các doanh nghi p tr c tip qu n lý [10] 

1.4.3  Hybrid cloud)

Là s k t h p c   m

m nh c a t  c s d ng t   i s

trình Java, C và python Java, Ruby và C++ Python Java

 Walrus - SCP - SQLite3 OpenStack Store NFS, Local Storage

N n t ng o   

hóa h  tr Xen, KVM Xen, KVM, Virtual Box

Xen, KVM, Hyper-V, VMware

Xen, XCP, KVM, Hyper-V,

VMware, Virtual Box

M ng  DHCP server on

the cluster controller

Manual configuration OpenStack Compute Linux Bridge hoc Open vSwitch

 ng l a  ,

VPN Không Không H (OpenStack Neutron) tr H (tích hs n) tr p

Cân b ng t i   Không Không H (OpenStack Neutron) tr H (tích hs n) tr p



Qu  n tr Command line, Web Command line Command line Command line, Web, API

B ng 1: So sánh m t s n n t ả ộ ố ề ảng đám mây IaaS mã nguồ n m ở

1.5.1 Eucalyptus

Là m t ph n m m mã ngu n m Linux-based cung c p n n t       

mô hình IaaS v i c         ho     m

m nh c a Eucalyptus là kh     vi c xây d ng h ng mà không yêu ctr   th u

quá cao v m t c u hình ph n c ng, ngoài ra Euccalyptus h k t n i v i d ch v      tr     

  a Amazon AWS Ki n trúc c     n, linh ho t và 

c module hóa Ngoài

Rackspace hosting và NASA Openstack bao g m 3 d án chính: Openstack  

Compute (có ch  n lý, c p phát tài nguyên o hóa cho các máy o),   

Openstack Object Storage (thc hi n vi        li u h th ng) và  

m nh n ch   n t i d ch

v cho các   o) Hi n t ng mã ngu n m  

xây d ng h t  nh v i s h tr c a các hãng máy tính l n trên      

th  gi

1.5.4 CloudStack

Apache CloudStack là ph n m m mã ngu n m vi t trên n n Java,       c thi t k  

   h tr tri n khai và qu n lý m t h th ng m ng l n các máy o, tính s n sàng cao         

và tính m r ng  CloudStack hi n t i h    tr

khá t t cho nhi u công ngh        

XenServer và n n t ng Xen Cloud  m t trong nh ng n n  

tnh nh t hi n nay    n t xu tri n khai

h t  c trình bày chi ti t trong ph n  

tip theo

2 T ng quan v CloudStack  

2.1 Gii thi  u v CloudStack

CloudStack là h  thng h u hành       mã ngu n m , cho  

 i dùng ph i h p          cung c p 

Infrastructure -a service (Iaas) as  Amazon EC2 CloudStack ph i h p các  

ngu n tài nguyên o hóa thành m  ng nh y nhi m cho th  

  i s d ng t t o các máy o và s d ng tùy theo nhu c u riêng c a h [17]        

CloudStack có th áp d ng tri n khai c 03 mô hình Private Cloud, Public     

Cloud, Hybrid Cloud

có th qu n lý kho ng 10.000 máy ch v t lý Các máy ch qu n lý t p trung        

trên m t quy mô l n, lo i b s c n thi t c a các c m máy tính qu n lý trung          

gian Không có m t thành ph  m ch u l i duy nh t b i v    y

vi c b o trì các máy ch có th     c th c hi ng th i mà không làm nh  

n h th ng các máy   y trong h th ng  

- Tính s n sàng cao: có kh     t c ph máy o, khi c 

m máy o b l i h ng s c g ng khôi ph c l Máy ch qu n lý (cloud t    th     i  

management) có th  c tri n khai trên nhi u máy ch v t lý và có kh     

  ng cân b ng t i  

- CloudStack s d ng security groups ho c chia Vlan t o thành các m ng      o

giúp cô l p các tài kho i dùng  ng kh  n lý truy

c p, phân quy i dùng

- H nhi u giao di tr      i dùng và h  thng cloud:

CloudStack c      i h  thng qua Web UI,

command line  qu n lý tài nguyên 

- Cung c p các d ch v m ng : Ngoài vi c cung c p các d ch v o hóa (RAM,         

CPU,    ) CloudStack còn cung c p các d ch v m     

b ng t i, DHCP, routing, VLAN, firewall, VPN  

- H nhi u giao thtr  : NFS, SCSI, FC, FCoE

- Cung ci dùng CloudStack có kh:  p tài

nguyên mi dùng có th l a chn gi i h i

c a tài nguyên (CPU, RAM, HDD) và h   thng s t ng co giãn tài   

nguyên tùy theo t i th c t  c a máy o 

- H API chu n: CloudStack cung c p các API chu n cho l p trình viên  tr    

phát tri n ng d ng tích h p vào h ng qu n lý giúp các nhà cung c p có      th  

th tùy bi n h  th ng mt cách linh ho 7] t.[1

2.2.1 Các khái ni m liên quan

Zone: Có th ánh x m  t data center vm

nhi u tài nguyên Khi tri n khai CloudStack, m t máy ch qu n lý d ch v cloud có       

th  qu n lý nhi u Zone 

Pod: Trong m t data center thì có nhi u t rack, m i t rack có m t Switch k      t

n i các máy ch trong t     ánh x m   t t y

trong vt Pod là m t nhóm các thi t b phân c p theo    

layer-2 trong mô hình OSI Hay nói d hi n, sau này nh ng thi t b    c

c u hình cùng m t m  

Cluster: cluster bao g m m t ho c nhi u Host và thành ph      Primary

Storage Cluster trong th c t là m t c m các máy tính v    c liên k t v i nhau  

 cùng th c thi m t nhi m v   i qu n tr tri   cluster thì

không c n ph i lo lng khi mt ph n t trong cluster b  t kt ni

Host: là m t ph n t     chy các

d ch v o hóa Host chính là m t server v t lý mà sau này nhà qu n tr cloud s        

trin khai

Hypervisor: là n n t ng   t trên các host, hypervisor giúp h 

thng CloudStack có th o hóa tài nguyên ph n c    cung c p tài nguyên o  

i dùng CloudStack h tr các hypervisor   Xenserver, VMware, OracleVM,

KVM, XCP

Primary storage: là m t thành ph n c a Cluster T   a các phân vùng 

o cho các máy o và t t c các máy    y trên Host Khi tri n khai th c  

t , khu v  chính s  c dùng làm Primary Storage

Secondary storage: là m t ph n trong Zone T  a các templates, ISO

images, và các snapshots c a máy o, c ng o Khi tri n khai, trong m t Zone s        

ch  c n m  và backup d li u  

Console Proxy: là m t máy  c sinh ra b i h ng cloud s d ng làm máy  th  

ch i dùng truy c p t xa b ng trình duy t vào máy o   

Network: ClousStack cung c p hai mô hình tri n khai network khi tri n khai h    

tn (Basic) và nâng cao (Advanced)

- Basic: s d ng m t l p m ng share duy nh t Các máy o t o ra trong cùng        

Template: là các m u (bao g   t h u hành ho c b n ghost các  

máy c t  o s t o máy o

Root disk: là  a h  u hành c a các máy tính o, khi m  c

t o ra m nh CloudStack s t o 01 ch   a h u hành c a máy o Root    

trên primary storage

Data disk: là  c g n thêm vào máy     d u cli i dùng

CloudStack khuy trên root disk Data disk là

 trên primary storage

Management server là ph n m m qu  a CloudStack,

cung c p giao di i qu n tr   i dùng cu  c u

hình và qu n tr h t   u khi n vi c c p phát tài   

nguyên o hóa (máy ch o, ram o, c ng o, m ng         i dùng, nó có

th c trin khai trên các máy ch v t lý ho c các máy ch o 7]      [1

Hình 5: Kiế n trúc c a Management server ủ (ngu n: CloudStack.apache.org) ồ

Các thành ph n c a Management server:  

- Kernel: module kernel có ba ch

 Nh n l nh th c thi t API và chuy n t i các Plugin x      ng Ví

- REST API: Là module ph c v     a admin/user v i h   th , ng

REST API bao gm OAM&P A , End User API, EC2 API, Other APIs, PI

Pluggable Service API Engine

- m nhi m vi c cung c p các d ch v cho h th ng,       

 admin l a ch n s d ng Ví d : d ch v HA (High       

Avaiable service)

- Management: Là modu m nhi m ch        ng

trong h ng Bao g m vi c qu n lý tài nguyên, ti n trình x  th        d

liu và các s ki n trên h ng   th

-     m nhi m vi c truy    p gi a 

Management Server v i Agent ch        c

truy n theo hai format là XML ho c JSON  

- m nhi m vi c qu  i Management

Server Tùy vào Hypervisor ch y trên Host mà có Agent qu ng

Ví d v i KVM ta có CloudAgent là Agent mà CloudStack t    i

c phát tri n b  i v i ESXI thì ta

c phát tri n b i VMware Agent ph i h p v i Hypervisor     

 qu n lý và phân b tài nguyên cho các máy o bao g m: network, storage,    

image, snapshot

- i cho các l nh x lý trên h th ng, theo ki n     

 i b ng bc th c thi theo mô hình 

FIFO, tuy nhiên là mô hình b ng b        i

không nh t thi t ph i ch     c nó hoàn thành m i b u x 

lý

-    d li u cho c h th  

d u li

- Client: Là module ph c v vi      phía user User có r t nhi u

     i h th ng, bao g m: CLI, UI, CloudPortal,   

CloudBridge, các công c công c ng c a Amazon   

3 Các v an ninh thông tin  ng 

Thng kê t m t kh o sát c a IDC cho th y, an ninh chính là v      i

dùng quan tâm nh t khi ch n l  a dch v  

Hình 6: Khả o sát v nh ng v ề ữ ấn đề đố ớ i v i cloud computing

(ngu n: blogs.idc.com) ồ

Nhà phân tích Jay Heiser, Mark Nicolett 9 v  v an ninh v cloud 

computing cho khách hàng và nhà cung c p   [5]:

Quy  n truy c p d     li u c i dùng: M t doanh nghi p s c m th    y

không an toàn, khi d u nh y c m cli   c x lý bên ngoài

 mình hoc qu n lý b i qu n tr không thu c     mình

 i v i m t doanh nghi i qu n tr d li u c a công ty     

c qu n lý và ph i có cam k t v m b o an toàn cho d li u c        

Tính tuân th: i dùng i ch u trách nhi m cu i cùng v an ninh    

và s toàn v n cho chính d u c a h , th m chí khi nó n m trong s ki  li      m

soát c a m t nhà cung c p d ch v Các nhà cung c p d ch v truy n th ng          

c ki c l p và có các ch ng ch m b o an toàn thông    

tin do bên th ba c p, các nhà cung c p d ch v truy     n thp

cho khách hang c a h    thông tin v m u khi n d li u c a khách    

hàng Các nhà cung c p cloud computing không có kh   

V     d u li : Khi s d ng cloud,   i dùng ng không bit

chính xác d u c li    c t , i dùng thm

chí không bi quc gia nào Do   m b o an toàn cho 

d  lin thi t có s cam k t v m    t

lu t pháp v   m b o an toàn cho d u  li

liu thì các v  v thu i khóa mã hóa

và tính s n sàng c a d u khi s d ng các gi i pháp mã hóa là v  li     quan

trng

Tính s n sàng:  Tính s n sàng là m t trong nh ng l i th l n c a d ch v         

 Tuy nhiên, m t s nhà cung c p d ch v      t

thông tin, có th x ng h p nhà cung c p d ch v     

h u tra nguyên nhân các s c tr   

Kh   n t i: Nhà cung ct doanh nghi p, trong 

  o (virtual disk), các   o này th c ch t là các file nh (virtual image)   

   trên h th ng     (image repository) c a nhà cung c p d ch v    

cloudi dùng b t/tt máy o c   c cung c p b i nhà cung c  p

d ch v cloud thì các    c g n/g vào các máy    i dùng truy

xut d li  u c a mình [6] [7] [9] [15]

Hình 7: Kiế n trúc h ệ thố ng IaaS (ngu n: [6], trang 91) ồ

V i vi c toàn b d u trong     li  o c  i d ng

các file trên các repository c a nhà cung c p d  n m t s    an toàn d 

li u c  i dùn 

-   t n công tr c ti p vào máy o qua m ng: hacker có th t n công      

tr c ti p vào các máy i dùng thông qua các l h ng c a các ph   n

mt trên máy o ho c Trojan house  

-    t d li u trong quá trình truy n file trong h th ng: trong quá   

trình t o/xóa/b t/tt máy o các file   c truy n gi a các thành ph n   

trong h  thu này hoàn toàn có th    t n công

dn m t d  lii dùng

- H  th  c a nhà cung c p cloud b t n công: khi h     th

c a nhà cung c p b t n công, hacker hoàn toàn có th l      

o ci dùng và d ng l i h th    mount  t máy o khác 

c toàn b d li u c  i dùng     

-       qu n tr c a h th ng cloud: qu n tr c a h th ng cloud có toàn     

quy n truy c p và có th truy c   o ci dùng Trong

ng h p máy tính c a qu n tr h th ng b t n công thì hacker hoàn toàn        

có th chi c d  li u c  i dùng  

3.3 Các gi i pháp mã hóa d  li ng IaaS

  m b o an toàn cho d li u c   ng IaaS thì mã hóa

d lic xem là gi i pháp c n thi t, tuy nhiên vi c l a ch n các       thut toán mã

 dài khóa và v qu n lý khóa mã hóa là h t s c quan tr ng Trên môi    

ng IaaS có th tri n khai các gi i pháp mã hóa d li     [1] [11] [13]:

- c (File/folder Encryption) là gi: i pháp th c hi n mã hóa  

c riêng l   a máy o Các gi i pháp này  

i dùng t  t, qu n lý và th c hi n mã hóa/gi i    

mã d  lii dùng ch n V i các gi  c thì

i dùng có th tùy ch c c 

th  c n mã hóa M t s gi i pháp mã hóa d   

Các thu t toán mã hóa h tr    

nhiên, v i các gi i pháp ki  i dùng ph i t qu n lý khóa mã hóa   

c       x y ra các ngu  i dùng quên khóa mã hóa

ho c làm l   

- Mã hóa toàn b   o (Full Virtual Disk Encryption): là gi i pháp mã hóa 

mà toàn b d u c li a    , gi ng ho mã

hóa     i (on- -the         li u t ng

c mã hóa ho c gi c ghi xuo ho c ngay khi d  

li c n p lên mà không có b t k s can thi p nào c    i dùng D 

li trên m  t c mã hóa (encryption volume) không

th  c n i dùng không cung cng m t 

trong ba hình th c là m t kh u (password) ho c t p tin có ch a khóa      

(keyfile) ho c khóa mã hóa (encryption key) Toàn b d u trên    li  

c mã hóa (ví d n i dung c a t ng file,  

ng còn tr ng, siêu d li u ) Vi c tri n khai gi i pháp mã hóa theo      

dng có 02 cách thc hin:

 i dùng t  t các gi i pháp mã hóa trên máy o c a mình: v i    

i dùng ph i t t o, qu n lý khóa mã hóa, t tri n khai      các gic d u Vi li i dùng t qu n lý  khóa mã hóa d  li trên có th d n nhi

m t an toàn d u  li

 Nhà cung c p d ch v cloud tri n khai gi i pháp mã hóa d u: Nhà      li

cung c p d ch v Cloud Computing t xây d ng gi i pháp mã hóa d       liu cho khách hàng c a h Cách làm này có y   m là yêu c u khách hàng cung c p khóa mã hóa c a h cho nhà cung c p d ch v      

y dù mu n hay không thì nhà cung c p d ch v Cloud    

 c d li u khách hàng Ví d v cách làm này có    

th   k t i Amazon S3 Server Side Encryption Vi c mã hóa d u   li

c giao trách nhi m cho bên th    c nhà cung c p d ch v   Cloud Computing và khách hàng c a h    ng R t nhi u nhà  cung c p d ch v mã hóa d u l n có th k ra là: TrendMicro (gi   li    i pháp SecureCloud), Vormetric, SafeNet (gi i pháp ProtectV), Voltage, Porticor Các nhà cùng c p d ch v  

b t tay v i các gi    m b o an toàn d li  i dùng c a h , có th    li  d ng SecureCloud, ProtectV, Porticor), Amazon EC2 (s d ng SecureCloud), Amazon  Web Service (s d 

có m t y     i s d ng ph  quy n thao tác trên h  thng Cloud cho bên th ba (bên cung c p gi      

v y, bên th ba l i có quy n thao tác v i tài nguyên c a khách hàng      trên h ng Cloud Computing (ví d th  y máy ch o c a khách   hàng)[14]

3.3.1 Bitlocker

BitLocker ph n m m mã hóa mã ngulà   c tích h p s n

trên các h u hành (t Windows 7 tr lên) c a Microsoft cho phép mã hóa toàn     

b d u trong  li  ng, USB và các thi t b    khác giúp ch ng l i nh ng   

i, truy c p trái phép vào d u M  li nh Bitlocker s d ng gi i thu t mã    

hóa AES mã khch  i chui (Cipher Block Chaining CBC)  hoc mã kh i h p  

(XEX-based tweaked-codebook mode with ciphertext stealing XTS) v i khóa có  

Là ph n m m mã hóa d u mã ngu n m    li   c phát tri n b i IDRIX có kh   

   tr mã hóa toàn b d li u trên         mã hóa d li u trên  

(on- -fly encryption) VeraCrypt mã hóa d u the li  ch  XTS và h tr

các gii thut mã hóa AES, Serpent, Twofish, Camellia và Kuznyechik

4 Gi i pháp mã hóa d u TrueCrypt  li

TrueCrypt c phát tri n b TrueCrypt Foundation gi i pháp mã hóa d u  i   li

mã ngu n m có kh       m chí c   a h  u

hành TrueCrypt h  tr  t trên h  u hành Windows và Linux [19]

TrueCrypt h tr các thu t toán mã hóa AES, Serpent, và Twofish   

 thi t l p và qu n lý c a TrueCrypt là mã hóa      - -the

    li u t c mã hóa ho c gi c

ghi xung ho c ngay khi d  li c n p lên mà không có b t k s    can

thip nào c i dùng D   li trên m  t c mã hóa

(encryption volume) không th   c n i dùng không cung c 

khóa mã hóa b ng m t trong ba hình th c là m t kh u (password) ho c t p tin có       

ch a khóa (keyfile) ho c khóa mã hóa (encryption key)

Toàn b d u trên   li      c mã hóa (ví d     

folder, n i dung c a t  ng còn tr ng, siêu d u ) D u có th  li li 

c copy t m t   a c a TrueCrypt sang mt  ng không

mã hóa  c l i) mng mà không có s khác bi t nào c , k c     

các thao tác kéo- th

Khi m t t  c nó s  c gi i mã on- -fly (trong b nh /RAM),  the  

 c l i khi t p tin hay t c chép lên TrueCrypt thì s     c t ng

TrueCrypt không n p toàn b d u c n mã hóa (file/folder)    li 

  ti n hành mã hóa hay gi  n p m t 

ph n t p tin vào b nh c hi n quá t    th  p ti p nh ng ph n còn   

l "cu n chi u này làm cho b nh không b chi m d ng toàn     

b  n có th n hành mã hoá/gi i mã trong su t quá trình x lý tti    

c, ghi, xem video

Tt k d  lic ging mà ch t m

th lên RAM, khi h  th ng shutdown/restart ho c b s c m t ngu     t

ngt thì d li  u v ng thái an toàn

1 Boot m nhi m ch i phân vùng boot sector

trong la chn mã hóa phân vùng cha h  u hành

chính là: Read Decrypted Sector và Write Encrypted Sector Project này

c ti p v i t t c các project còn l i (boot, mount, format, crypto)     

c a module 

 Read Decryptc d lic gi i mã t c ng    

 Write Encrypted Sector: ghi d lic mã hóa vào c ng  

- Boot: là project th c hi n ch      i quá trình boot máy o

ng h p th c hi n mã hóa phân vùng ô c ng ch a h u hành Khi       

o, module s hi n th h p tho i yêu c     i

dùng nh   thc hi n quá trình mã hóa/gi i mã M t s hàm    

chính ca project Boot bao g m: 

 Execute Boot Sector: thc hi n quá trình n p bootloader  

 Get System Partition y thông tin c a các phân vùng system : l 

 Boot Menu: hi n th  menu la chn boot

- Mount: là project th c hi n ch    n (mount) và g (unmount) các 

i dùng th c hi c/ghi d li u  

a project này là:

 Mount/Dismount All: g   n/g t t c các volume mã hóa

 Mount/Dismount Driver: g  n/g ng

- Format: là project th c hi n ch  nh d ng volume, ph c v quá trình   

mã hóa d u Hai hàm chính c a project này l li  à: