1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu hệ thống giám sát cho hạ tầng Cloud OpenStack

80 7 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên cứu hệ thống giám sát cho hạ tầng Cloud OpenStack
Tác giả Đặng Thế Long
Người hướng dẫn ThS. Ninh Thị Thu Trang
Trường học Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành An Toàn Thông Tin
Thể loại Đồ án tốt nghiệp
Năm xuất bản 2024
Thành phố Hà Nội
Định dạng
Số trang 80
Dung lượng 27,78 MB

Nội dung

Bằng cách theo dõi lưu lượng mạng,kiểm tra các sự kiện không bình thường và so sánh chúng với các mẫu đáng ngờ, hệ thống giám sát an toàn mạng có thé phát hiện các hành vi độc hại như tấ

Trang 1

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG

KHOA AN TOÀN THÔNG TIN

ĐÈ TÀI: NGHIÊN CỨU HỆ THÓNG GIÁM SÁT

CHO HA TANG CLOUD OPENSTACK

Giảng viên hướng dian : ThS Ninh Thị Thu Trang

Sinh viên thực hiện : Đặng Thế Long

Mã sinh viên : BI9DCATI13

ó : DI9CQAT01-B

: 2019-2024 : Đại học chính quy

Hà Nội, 2024

Trang 2

DO AN TOT NGIỆP LOI CAM DOAN

LOI CAM DOANTôi xin cam đoan rang đồ án tốt nghiệp “Nghiên cứu hệ thống giám sát cho hạtầng Cloud OpenStack” là công trình nghiên cứu của bản thân mình Những phần có

sử dụng tài liệu tham khảo đã có trong đồ án và đã được liệt kê và nêu rõ tại phần tài

liệu tham khảo Đồng thời những kết quả được trình bày trong đồ án đều do tự mình

làm, không sao chép, đạo nhái.

Nếu như sai, tôi xin chịu hoàn toàn trách nhiệm và chịu tất cả các kỷ luật củakhoa cũng như nhà trường đề ra

Trang 3

ĐỎ ÁN TÓT NGHIỆP LỜI CẢM ƠN

LOI CAM ON

Lời đầu tiên, em xin bay tỏ lòng biết ơn sâu sắc đến các thầy cô khoa An Toản

Thông Tin đã trang bị cho em những kiến thức cơ bản trong suốt thời gian học tập tại

trường dé em có thé hoàn thành đề tài đồ án tốt nghiệp “Nghiên cứu hệ thống giám sát

cho hạ tầng cloud OpenStack.

Đặc biệt, em xin bày tỏ sự kính trọng và lòng biết ơn sâu sắc đến cô ThS NinhThị Thu Trang đã trực tiếp hướng dẫn, giúp đỡ em dé em có thé hoàn thành đồ án này

Vì thời gian và kiến thức còn hạn hẹp nên đề tài đồ án của em không tránh khỏi

những lỗi còn thiếu sót, em rất mong sự góp ý của thầy cô để em rút kinh nghiệm và

hoàn thành tốt hơn vào những bài báo cáo cho công việc sau này

Em xin chúc các thầy cô luôn mạnh khỏe và ngày càng thành công hơn trên conđường giảng dạy của mình Em xin trân trọng cảm ơn!

Trang 4

DANH MỤC CÁC HINH VẼ 22: 2222 2222112221112221122112111 1 tre V

DANH MỤC CÁC BANG BIÊU - -55: 22 t2 tre vii

DANH MUC TU VIET TAT 017 viii

98/9627 |

CHƯƠNG 1: GIỚI THIỆU CHUNG -.-: ©252¿22++t2EEvtttEEkrrrtrkrrrrrrrrrrrrrrrt 2

1.1 Tổng quan về giám sát an toàn mạng ¿+ 2 +x+EE+E£E£EeEeEErkzErrerrrs 2

1.2 Những lợi ích và khó khăn thách thức khi triển khai hệ thống giám sát an

/0š8›7i 177 4

1.2.1 Những lợi ích của hệ thống giám sát an toàn mạng - z5: 41.2.2 Những khó khăn thách thức của hệ thống giám sát an toàn mang 61.3 Tổng quan về điện toán đám May csesessessesesesesecsesesesesssesesesesees 6

1.3.1 _ Giới thiệu về điện toán đám mây - 2 2+52+E++E+EzEerEerrerrkrree 6

1.3.2 Những lợi ích của Cloud compufIng - - -‹- s- + + s++sevexseeeeerxss 9

1.3.3 Cac công nghệ ảo hóa c - c 211 1S v11 1111111111811 E11 18kg 101.4 Các mối đe dọa bảo mật và biện pháp an toàn cho điện toán đám mây 12

1.4.1 Các mối đe dọa bảo mật -.-:-ccctccsttttttittrttrrrrrirrrrrrirrrrrriei 12

1.4.2 _ Biện pháp an toàn cho điện toán dam mây, - ¿555 +5<sss++++xs2 17

Kết luận chương l -¿- 2: ©2¿©5£22+22E2E122E221211221221211211211212121121212 21c te 19

CHƯƠNG 2: GIÁM SAT HẠ TANG CLOUD OPENSTACK - -: 20

2.1 Tổng quan về OpenStack 2-+s++x+2ESEEEEEEEEEEE2EE21212111121 1111 xe 20

2.2.1 OpenStack Identity Service eecccecceeseeeseceeeeeneeeseeeeesteeeeseeeeeseaes 21

2.2.2 OpenStack Image S€TVIC€ - SH TH ng nếp 22

2.2.3 OpenStack Compute S€TVIC€ L1 n S319 SH 1911111 1 ng ven 24

2.2.6 OpenStack Object Storage S€TVICC LH ng ve, 30

a

DANG THE LONG — D19CQATO1-B I

Trang 5

ĐỎ ÁN TÓT NGHIỆP MỤC LỤC

2.2.7 OpenStack Dashboard S€TVIC€ -.- ng nhiệt 31

2.3 Giải pháp an toàn cho OpenSfack - -.- c 22 112 v11 9 11111111 2xx ree 33

2.3.1 Vẫn dé an toàn trong OpenStack - :- s+cx+xeEzEeErxerersrrerees 33

2.3.2 Kiểm soát và quản lý truy cập - - scctct T21 E111 rrrryt 332.3.3 Bảo mật OpenStacK c1 t1 v12 1191112111111 11g 1 ng xrr 332.4 Hệ thống giám sát cho OpenStack sử dụng Graylog Server - 34

2.4.1 Giới thiệu về Graylog SerV€F :- 2t St EEEEE2EEEEEEE2EEEErkrkeg 34

2.4.2 So sánh Graylog Server với một số hệ thống giám sát an toàn mạng

khác 37

2.4.3 Log tap trung LH TH TH net 38

2.4.4 Sử dụng Graylog Server dé giám sát hạ tang Cloud OpenStack 39

Kết luận chương 2 ¿- 2-52 SES St 1E21E11E1111112112112111111111111 1110111111111 eg 41

CHUONG 3: CÂU HINH CAI DAT, TRIEN KHAI VÀ THU NGHIỆM 42

3.1 ESTO COM (CCH C0) 11 oS 42

3.2 Sử dung Graylog Server dé giám sát OpenStack c.cececseseseeeeseeeeeeeees 43

3.2.1 _ Thử nghiệm OpenStack và Graylog S€TV€T .- - set 43

3.2.2 _ Tan công Brute-Force và giám sát hệ thống OpenStack 50

3.2.3 Tấn công Dos và giám sát hệ thống OpenStack -s 5+: 33

Kết luận chương 3 - 52 SE 1 Ề1121E112111211111121111111 11101111101 101011111 re 56

40005001157 57

PHU LUC 1: CÀI ĐẶT HỆ THONG 00 ssesesssssssssseeesssneeesnnesessneecsneesneeenneesteeeneentees 60

PHU LUC 2: CÀI ĐẶT CAC DỊCH VU OPENSTACK cssssssessessseseessneeseeeesneeees 63

DANG THE LONG — D19CQATO1-B IV

Trang 6

ĐỎ ÁN TÓT NGHIỆP DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC HÌNH VẾ

Hình 1.1: Kiến trúc điện toán đám mây 2-2 s+S2EE2EE2EE2EE2EE2E2EEE11121EEE 1E xe 7

Hình 1.2: Kiến trúc ảo hóa -5:c 2+2 tre 11

Hình 1.3: Cac loại ảo hOa cece cccccccccecsssceceecsseeecccessseeeceesssseeesesssseeesessseeeeeeeeeenses 11

Hình 1.4: Mô hình 3 lớp bảo vệ đám May ee cecccesccessceseceeseeeseceeseeeseesseeeeseeeseees 17

Hình 1.5: Mô hình Encryption PTOX - G2 1121 1121111111911 1111 1111111111118 11 ngrv 18

Hình 1.6: Mô hình VPN Coud c1 23111 9 9 9 1 9 HH nh nệt 19

Hình 2.1: Kiến trúc Glance : c:-55+t22xt22xx 2231222127 22 .t.tttrtrrrrrre 23

Hình 2.2: Kiến trúc INOVa 2 2-52 2S2E29EEEEEEEE1221271211211271211211211111 21111 T1 ce 26

Hình 2.3: Kiến trúc Cinder .-: cs:222xt222 t2 ri 29

Hình 2.4: Cau hình bản sao Swift 5c: 22t 212 t.E.rrrrrrre 30

Hình 2.5: Kiến trúc Swift 22t 2 tr HH re 31

Hình 2.6: Giao diện đăng nhập OpenStack - - - c 32 1112111111111 111111118111 re 32

Hình 2.7: Kiến trúc Graylog S€TVeT - 2-5251 SE SE EEEE12E12E1211211717111 1111111 xe 36

Hình 2.8: Quản lý log tap trung - - St 121 119 1S 111kg kg k như 39

Hình 2.9: Kiến trúc hệ thống giám sát ¿- 2 SE E911 1E E12171511E1 111111 xe, 40

Hình 2.10: Input trên Graylog S€TV€T G0 213111121112 1111111111 1901111881 ngư 41

Hình 3.1: Sơ đồ hệ thong cecccccecccccsccssssesscsscssessessessessessessessesscssesscsscsucecsucsvsesecsesecaees 42

Hình 3.2: Tạo group DATTÌN - 01112 111011110111 1011111011 ng kg ket 43

Hình 3.3: Tạo Keypair DATN - - c1 2211112111211 1121 1111111111101 1 01110111111 18111 hưu 44

Hình 3.4: Tạo image ubuntu S€TVCT - 2c 2.12211121113511 1 1111111111 key 44

Hình 3.5: Tạo private network DATN - LH HH HH HH nhện 45

Hình 3.6: Tao project DATTÍN c1 21112 1110 1111011111011 11011 TH TH 45

Hình 3.7: Tao user B19DDC AT] Ẵ ¿2 1133222311111 12331 111112553111 12953111 krrrrrer 46

Hình 3.8: Tao instance DA TÌN 2222311101111 1111 Sn S993 1 11k k kg 5 46

Hình 3.9: Log đăng nhập OpenStack - - ch HH HH như 47

Hình 3.10: Log tao group DATÌN - - c1 2c 1121112 1110111012111 1111011111801 11g key 47

Hình 3.11: Log tạo keypair DATTN c2 12211121111 1111111111111 11111111111 kg vkp 48

Hình 3.12: Log tạo image ubunfU S€TV©T - 6 + 1 9E ng ngư 48

Hình 3.13: Log tạo private network DATÌN - c1 1121112 1111211118111 18111 ve 49

Hình 3.14: Log tạo project DATTÌN c 1 21112111111 1111 111 1111111111118 11181111 key y 49

Hình 3.15: Log tạo người dùng B19IDC AT] 13 - 5c 3213333 Ekssrrerrsrrrerree 50

Hình 3.16: Log tao instance DATN - - LH HH TH ngư Hhưệt 50

Hình 3.18: Tan công OpenStack ((I) -¿ ¿- 2 s+S22EE2E22E12EEEE2EEE121212121E11 11111 cre 52

a

DANG THE LONG — D19CQATO1-B V

Trang 7

DO AN TOT NGHIỆP DANH MUC CAC HINH VE

Hình 3.19: Tan công OpenStack (2) c.cccccsccssessessessessessessessessesscsesessesessssesesesseseeaeaeeees 52

Hình 3.20: Log giám sát tan công brute-force (1) c.cccecccessesseseeseseseesesesesseseseseeseeesees 53

Hình 3.21: Log giám sat tan công brute-force (2) ¿- + e+etE££E£EEeErErEerxrkerees 33

Hình 3.22: Thực hiện tấn công Dos ((]) - 2 2 £+S+E£2E£EE£EEEEEEEEEEEEEEEEEEErErrrrree 54

Hình 3.23: Log tan công Dos (2) cssssssssessessessessessessessessessssssssssecssecsesusssssacsesueaeaeeess 55

Hình 3.24: Log giám sát hệ thống khi bị tan công Dos (1) c.ccceccccsessssesesesesesesesesees 55

Hình 3.25: Log giám sát hệ thống khi bi tan công Dos (2) ¿2 +cs+xzx+zxze+ 56

a

DANG THE LONG — D19CQATO1-B VI

Trang 8

DO AN TOT NGHIỆP DANH MUC CAC BANG BIEU

DANH MUC CAC BANG BIEU

Bảng 2.1: Tùy chọn lưu trữ dia ảO - - 0 1211121112111 1111111111101 111g 111g key 24

Bảng 2.2: Dinh dạng dia ảO - 2 2 2321112111211 1111 1191111111111 111 1111k HH Hư 24

Bảng 2.3: So sánh Graylog Server và ELK StaCK - - se 37

Bang 2.4: So sánh Graylog Server và Splunk - + 3S 1+2 Exserrseeserrres 37

Bảng 2.5: So sánh Graylog Server và Prometheus c + +2 ‡+vrsssrssseerres 38

DANG THE LONG — D19CQATO1-B VII

Trang 9

DO ÁN TOT NGHIỆP DANH MỤC TỪ VIẾT TẮT

DANH MỤC TỪ VIẾT TẮT

Từ viết tắt Ý nghĩa tiếng anh Ý nghĩa tiếng việt

AMD Advanced Micro Devices

API Application Programming | Giao diện lập trình ứng

Interface dụng

AWS Amazon Web Service Cơ sở hạ tầng dưới dạng

dịch vụ CSA Cloud Security Alliance Lién minh bao mat dam

may

DB Database Co sở đữ liệu

DDoS Distributed Denial of Service Từ chối dich vu phan tan

DoS Denial of Service Từ chối dich vu

EC2 Elastic Compute Cloud Điện toán đám mây dan hồi

GELF Graylog Extended Log Format

HTTP Hypertext Transfer Protocol Giao thức mang HTTP

laaS Infrastructure as a Service Co sở hạ tang dưới dang

dich vu

KVM Kernel-based Virtual Machine Máy ảo dựa trên hat nhân

NFS Network File System Hệ thống tệp tin Network

NIST National Institute of Standards Viện Quốc gia về tiêu

and Technology chuân và công nghệ

PaaS Platform as a Service Nền tảng dưới dạng dịch

vụ REST Representational State Transfer Giao thức mang REST

SaaS Software as a Service Phần mềm dưới dạng dịch

vụ

TCP Transmission Control Protocol

UDP User Datagram Protocol

VCL Apache Virtual Computing Lab Phong thi nghiém dién toan

ao Apache

VLAN Virtual Local Area Network Mang cục bộ ảo

VMM Virtual Machine Monitor Trinh quan ly may ao

VPN Virtual Private Network Mang riéng tu

WAF Web Application Firewall Tường lửa ứng dụng Web

XCP Xen Cloud Platform Nền tảng đám mây Xen

a

Trang 10

ĐỎ ÁN TÓT NGHIỆP LỜI MỞ ĐẦU

LỜI MỞ ĐẦU

Trong thời đại số hóa ngày nay, việc triển khai và quan lý hạ tang cloud đã trởthành xu hướng quan trọng cho các tổ chức và doanh nghiệp Ha tang cloudOpenStack, với tính linh hoạt và mở rộng, đang được sử dụng rộng rãi dé xay dung vaquan ly các môi trường điện toán đám mây Tuy nhiên, dé đảm bảo hoạt động 6n định

và hiệu quả của hạ tầng cloud OpenStack, việc giám sát và quản lý các thành phần của

nó là cực kỳ quan trọng Vấn đề như hiệu năng, khả năng mở rộng, sự én định, bảomật và sẵn sàng phục vụ là những yếu tố cần được theo đõi và đảm bao

Mục tiêu của đồ án “Nghiên cứu hệ thống giám sát cho hạ tầng cloudOpenStack” là nghiên cứu và phát triển một hệ thống giám sát đáp ứng yêu cau của hạtang cloud OpenStack Và hệ thống giám sát được chon trong đồ án để giám sát hạtầng cloud OpenStack là Graylog Server Dé đạt được mục tiêu này, đồ án tập trungvào việc tìm hiểu về cau trúc và thành phần của hạ tang cloud OpenStack, các yêu tốcần được giám sát và quản lý, cùng với hệ thống log, syslog, rsyslog, log tập trung va

hệ thống giám sát Graylog Server

Nội dung đồ án gồm 3 chương như sau:

- _ Chương | tìm hiểu tổng quan về hệ thong giám sát an toàn mạng, những

lợi ích và thách thức của hệ thống giám sát an toàn mạng Trình bày tổngquan về điện toán đám mây, an toàn điện toán dam mây, hệ thong ao hoa

- Chuong 2 tìm hiéu vé hé thong OpenStack, cac dich vu cua OpenStack,

an toàn cho hệ thống OpenStack Tìm hiểu về Graylog Server va sử dungmáy chủ Graylog Server dé giám sát hạ tang cloud OpenStack

- Chương 3 triển khai hệ thống OpenStack và sử dụng máy chủ Graylog

Server dé giám sát hệ thong OpenStack

LÔ QC

DANG THE LONG — DI9CQAT01-B 1

Trang 11

điện toán dam mây, mô hình của điện toán đảm mây, các dich vụ điện toán đảm mây

pho biến, những lợi ích của điện toán đám mây trong lĩnh vực công nghệ thông tin vacác công nghệ do hóa Ngoài ra, chương I cũng dé cập đến các mối de dọa bảo mậtđến điện toán đám mây và những van dé về an toàn của điện toán đám mây

1.1 Tổng quan về giám sát an toàn mạng

Giám sát an toàn mang là quá trình theo dõi và kiểm soát các hoạt động và tài

nguyên trong mạng dé phát hiện và ngăn chặn các môi de dọa bảo mật Nó bao gồm

việc thu thập thông tin từ các thiết bi mạng, hệ thống và ứng dụng dé phân tích và đưa

ra các biện pháp bảo mật hiệu quả.

Mục tiêu chính trong giám sát an toàn mạng là:

- Phat hiện xâm nhập: Giám sat an toàn mạng giúp phát hiện các hoạt động

không hợp lệ hoặc xâm nhập vào mạng Bằng cách theo dõi lưu lượng mạng,kiểm tra các sự kiện không bình thường và so sánh chúng với các mẫu đáng

ngờ, hệ thống giám sát an toàn mạng có thé phát hiện các hành vi độc hại

như tấn công mạng, phần mềm độc hại hoặc sử dụng trái phép tài nguyên

mạng.

- Phan tích và báo cáo sự cố: Giám sát an toàn mạng cung cấp kha năng phân

tích dữ liệu và tạo báo cáo về các sự cố bảo mật Nó giúp nhận biết các lỗhồng và yếu điểm trong hệ thống mạng, từ đó đưa ra các giải pháp cải thiện

và ngăn chặn các vụ vi phạm bao mật tiềm ấn

- Theo dõi va quản ly tai nguyên: Giám sat an toàn mạng giúp theo dõi và quản

lý tài nguyên mạng như máy chủ, thiết bị mạng, ứng dụng và dịch vụ Nó chophép phát hiện sự có về hiệu suất, sử dụng tài nguyên không hợp lý và theo

dõi tuân thủ các quy định và chính sách an toàn mạng.

- Phan tích hành vi và định tuyến: Giám sát an toàn mạng cung cấp cái nhìn

tổng quan về hoạt động mạng và hành vi của người dùng Nó giúp xác địnhcác hoạt động đáng ngờ, như truy cập không hợp lệ, truy cập từ xa đáng ngờhoặc sử dụng nguồn lực mang theo cách không đúng

- Bao vệ dữ liệu và tuân thủ quy định: Giám sát an toàn mạng giúp đảm bao

bảo mật và tuân thủ các quy định về quyên riêng tư và bảo vệ dit liệu Nó cóthể theo dõi việc truy cập dữ liệu, xác định các dạng dữ liệu nhạy cảm và ápdụng các biện pháp bảo mật phù hợp.

Hoạt động giám sát an toàn mạng bao gồm [1]:

DANG THE LONG — DI9CQAT01-B 2

Trang 12

ĐỎ ÁN TÓT NGHIỆP CHUONG |

- Bao vệ: Tập trung vào việc ngăn chặn xâm nhập và tan công khai thác trai

phép vào hệ thống Các chức năng bao gồm đánh giá lỗ hồng, quản lý chống

lại các phần mềm độc hai, dao tạo nâng cao nhận thức của người dùng và các

nhiệm vụ đảm bảo thông tin khác.

- Do tìm (phát hiện): Tập trung vào việc phát hiện và phân tích các tan công

đang xảy ra theo thời gian thực hoặc đã xảy ra Việc phát hiện xâm nhậpmạng có thé dựa vào so sánh mẫu, dựa trên dấu hiệu bat thường hoặc phântích trạng thái bất thường của giao thức

- Phan ứng: Tập trung vào việc phan ứng lại sau khi có một tan công đã xảy ra

Chức năng bao gồm ngăn chặn sự cố, phân tích thiệt hai dựa trên máy chủ va

các thành phần của hệ thống mạng, phân tích phần mềm độc hại và báo cáo

sự CỐ

- Duy trì: Tập trung vào việc quản lý con người, tiễn trình và công nghệ liên

quan đến việc bảo vệ mạng máy tính (Computer Network Defense — CND)

để bảo vệ cho hệ thống mạng: đồng thời thường xuyên cập nhật các mẫu dữliệu để phát hiện được các tấn công mới Điều này bao gồm hợp đồng, biênchế, đào tạo, phát triển và triển khai công nghệ, quản lý các hệ thống hỗ trợ.Hoạt động giám sát an toàn mạng nhằm mục đích thu thập, phân tích tình hình

để xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hồng bảo mật, mã độc tồn tại trong hệ thong mạng, giúp cảnh bao, khắc phục, xử lý kịp thời.

Hoạt động giám sat an toàn mạng cần được thực hiện thường xuyên, liên tục Chủquản hệ thống thông tin cần xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo từ hệthong giám sát dé đề ra phương án ứng phó, khắc phục khan cấp Chu trình giám sát antoàn mạng bao gồm ba giai đoạn: thu thập dtr liệu, phát hiện xâm nhập và phân tích dtr

liệu [1].

- Thu thập dtr liệu: La quá trình được thực hiện với sự kết hợp của cả phần

cứng và phần mềm trong việc tạo, sắp xếp, lưu trữ dữ liệu cho việc phát hiện

xâm nhập và phân tích dữ liệu trong hệ thống giám sát an toàn mạng Thuthập dir liệu bao gồm các nhiệm vụ chính: Xác định các vị trí có nhiều điểmyếu tồn tại trong tô chức; Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ

chức; Xác định nguồn dit liệu có liên quan; Tiền xử lý, chuẩn hoá nguồn dữ

liệu thu thập được; Cấu hình công SPAN hoặc sử dụng Test Access Point(TAP) dé thu thập dữ liệu gói tin; Xây dựng hệ thống lưu trữ SAN phục vulưu giữ nhật ký (log) và Cấu hình phần cứng và phần mềm thu thập đữ liệu

- Phat hiện xâm nhập: Là quá trình theo đõi và phân tích các van đề xảy ra

trong hệ thông dé tìm kiếm dấu hiệu xâm nhập Quá trình phát hiện xâm nhậpthường được tự động hóa trở thành một sản phẩm phần mềm hoặc phần

cứng, với một số gói phần mềm phổ biến như: Snort IDS và Bro IDS của hệ

thống phát hiện xâm nhập mạng (NIDS); OSSEC, AIDE hoặc McAfee HIPS

LÔ QC

DANG THE LONG — D19CQAT01-B 3

Trang 13

ĐỎ ÁN TÓT NGHIỆP CHUONG |

1.2.

của hệ thống phát hiện xâm nhập máy chủ (HIDS) Một số ứng dụng như

Quản ly sự kiện va thông tin bao mật (Security Information and Event Management — SIEM) sẽ sử dụng ca dữ liệu dựa trên mang va dữ liệu dựatrên máy chủ dé phát hiện xâm nhập dựa trên các sự kiện liên quan

Phân tích dữ liệu: Là giai đoạn được thực hiện khi một người diễn giải và

xem xét đữ liệu cảnh báo Điều này thường sẽ liên quan đến việc xem xét thuthập dữ liệu bồ sung từ các nguồn dữ liệu khác Phân tích đữ liệu có thê được

thực hiện với các nhiệm vụ sau: Phân tích gói tin; Phân tích mạng; Phân tích

máy chủ và Phân tích phần mềm độc hại

Những lợi ích và khó khăn thách thức khi triển khai hệ thống giám sát an

toàn mạng.

1.2.1 Những lợi ích của hệ thong giám sát an toàn mang

Những tổ chức khác nhau sẽ sử dụng những hệ thống giám sát an toàn mạng với

mục đích khác nhau, do đó lợi ích thu được cũng khác nhau Có ba lợi ích lớn nhất của

hệ thống giám sát an toàn mạng đó là: quản lý tập trung, giám sát an toàn mạng và cảithiện hiệu quả trong hoạt động xử lý sự cố

Quản lý tập trung: Rất nhiều tổ chức triển khai hệ thống giám sát an toànmạng với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giảipháp nhật ký tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện

an ninh và thường xuyên truyền dir liệu nhật ký (log) này về máy chủ hệthống giám sát an toàn mạng Một máy chủ hệ thống giám sát an toàn mạngnhận dit liệu nhật ký từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiệnthống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sutương quan giữa các sự kiện an ninh của các thiết bị Một tổ chức không cócác hệ thống tập trung dữ liệu nhật ký sẽ cần rất nhiều công sức trong việctập hợp báo cáo Trong môi trường như vậy, cần phải tạo ra báo cáo riêng vềtình trạng hoạt động cho mỗi thiết bị đầu cuối, hoặc lay dữ liệu định kì bằngcách thủ công từ mỗi thiết bị rồi tập hợp chúng lại và phân tích để thành mộtbáo cáo Khó khăn xảy ra là không nhỏ do sự khác biệt hệ điều hành, ứngdụng và các phần mềm khác nhau dẫn đến các nhật ký sự kiện an ninh đượcghi lại khác nhau Chuyên đổi tat cả thông tin đó thành một định dang chungđòi hỏi việc phát triển hoặc tùy biến mã nguồn rất lớn Một lí do khác chothấy tại sao hệ thống giám sát an toàn mạng rất hữu ích trong việc quản lý vàbáo cáo tập trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn

quốc tế như Health Insurance Portability and Accountability Act (HIPAA),

Payment Card Industry Data Security Standard (PCI DSS) và

Sarbanes-Oxley Act (SOX) Nhờ hệ thống giám sát an toàn mạng, một tổ chức có thé

LÔ QC

DANG THE LONG - D19CQATO1-B 4

Trang 14

ĐỎ ÁN TÓT NGHIỆP CHUONG |

tiết kiệm đáng ké thời gian, nguồn lực đề đạt được đủ các yêu cầu về báo cáo

an ninh định kỳ [2].

- _ Giám sát an toàn mạng: Lí do chính cho việc triển khai hệ thống giám sát an

toàn mang là hệ thống này có thé phát hiện ra các sự cố mà các thiết bi thôngthường không phát hiện được Thứ nhất, rất nhiều thiết bị đầu cuối có phầnmềm ghi lại sự kiện an ninh nhưng không tích hợp khả năng phát hiện sự có

Dù có thể quan sát các sự kiện và tạo ra các nhật ký, chúng luôn thiếu khảnăng phân tích dé xác định các dấu hiệu của hành vi độc hai Ly do thứ hainâng cao khả năng phát hiện của hệ thống giám sát an toàn mạng là chúng cóthể cho thấy sự tương quan sự kiện giữa các thiết bị Băng cách thu thập sựkiện của toàn tô chức, hệ thống giám sát an toàn mạng có thể thấy đượcnhiều phần khác nhau của các cuộc tan công thông qua nhiều thiết bị và sau

đó tái cau trúc lại chuỗi sự kiện và xác định cuộc tan công ban đầu là gì và nó

đã thành công hay chưa Nói theo cách khác, trong khi một giải pháp ngăn

chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệđiều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộctấn công đó, một hệ thống giảm sát an toàn mạng có thể kiểm tra dé liệu nhật

ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mãđộc, hay tan công thành công hay chưa, từ đó có thể thực hiện cách li chúng

ra một mạng riêng và xử lí cuộc tan công Cần hiểu rang hệ thống giám sát antoàn mạng không thay thế các sản phẩm kiểm soát an ninh phát hiện tắn côngnhư hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềmdiệt virus Một hệ thong giám sat an toàn mang độc lập không có tác dung gingoài theo dõi các sự kiện an ninh đang diễn ra Hệ thống giám sát an toànmạng được thiết kế dé sử dụng các dữ liệu nhật ký được ghi lại bởi các phầnmềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo Ngoài ra,rất nhiều sản phẩm hệ thống giám sát an toàn mạng có khả năng ngăn chặncác cuộc tan công mà chúng phát hiện khi các cuộc tấn công đang diễn ra Hệthống giám sat an toàn mang không tự minh trực tiếp ngăn chặn các cuộc tấn

công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghiệpnhư tường lửa và chuyên chúng đến phan cấu hình dé ngăn chặn hành vi độc

hại Điều này cho phép hệ thống giám sát an toàn mạng ngăn chặn các cuộctan công không nhận biết được bởi các thành phan an ninh khác của doanhnghiệp Dé có những bước tiến xa hơn, một tổ chức cần tìm kiếm và thu thậpcác IEM (các thông tin về các mối nguy hại, hình thức tấn công ) từ các

nguồn bên ngoài đáng tin cậy Nếu hệ thống giám sát an toàn mạng phát hiện

bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu cuối, nó sẽ phảnứng ngăn chặn các kết nối hoặc làm gián đoạn, cách ly thiết bị đang tươngtác với thiết bị khác nhăm ngăn ngừa cuộc tan công từ điểm đầu tiên [2]

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG — D19CQAT01-B 5

Trang 15

ĐỎ ÁN TÓT NGHIỆP CHUONG |

- Cai thiện hoạt động xử lý sự cố hiệu quả: Một lợi ích khác của các sản phẩm

hệ thống giám sát an toàn mạng là gia tăng đáng kể hiệu quả việc xử lý sự cố,

tiết kiệm đáng ké thời gian và nguồn lực đối cho các nhân viên xử lý sự cố

Hệ thống giám sát an toàn mạng cải thiện điều này bằng cách cung một mộtgiao diện đơn giản dé xem xét tat cả dữ liệu nhật ký an ninh từ nhiều thiết bịđầu cuối Sản phẩm hệ thống giám sát an toàn mạng cho phép tổ chức cóđược bức tranh toàn cảnh về các sự kiện an ninh xảy ra Băng cách tập hợpcác dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành củathiết bị đầu cuối, ứng dụng và các phần mềm khác, hệ thống giám sát an toànmạng có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấncông và xâm hai ân dấu dang sau các dữ liệu này [2]

1.2.2 Những khó khăn thách thức của hệ thống giám sát an toàn mạng

Sự ra đời của hệ thống giám sat an toan mạng là một bước phat triển tiến bộ

trong lĩnh an toàn thông tin mạng, tuy nhiên vẫn còn nhiều khó khăn, thách thức trongquá trình hoạt động [1].

Về mặt kỹ thuật: Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật

tấn công phức tạp cũng được thiết kế đặc biệt đề lần tránh khỏi sự phát hiện của các hệthống bảo mật Các cuộc tan công mạng hiện nay thường sử dụng các kỹ thuật tinh vikhó bị hệ thống bảo mật phát hiện như tấn công sử dụng lỗ hồng zero-day, tắn công kỹ

nghệ xã hội (Social Engeenering), tan công phat tan mã độc, tấn công có chủ đích

(APT) Quản trị viên thường chỉ phát hiện ra tan công khi đã có những thiệt hại nhất

định trên hệ thống Ngoài tan công mang, các hiểm hoa tan công từ chính trong mạng

nội bộ, mạng LAN của cơ quan, tổ chức cũng là một trong những mối đe dọa an toàn

thông tin nghiêm trọng Các cuộc tấn công này rất khó bị phát hiện theo các cách thức

và kỹ thuật thông thường [1].

VỀ mặt con người: Việc dao tạo, xây dựng đội ngũ nguồn nhân lực thực hiện

giám sát mạng còn chưa được quan tâm đúng mức Các chuyên gia giám sát an toàn

mạng chưa phủ rộng được tất cả các cơ quan, tổ chức có sử dụng mạng hiện nay Việctrang bị các kỹ năng thực hành cho đội ngũ quản trị viên dé có được hiệu quả tốt tronggiám sat an toản mạng va ứng cứu sự cố mạng là một vấn đề khó khăn Trình độ, kỹnăng về đảm bảo an toàn thông tin của người dùng tại các cơ quan, doanh nghiệp chưađồng đều, dé tạo ra lỗ hông dé tội phạm mạng lợi dụng, khai thác [1]

Về mặt chính sách: Chi phí cần thiết để xây dựng và duy trì một hệ thống giámsát an toàn mạng không nhỏ và không phải tô chức nào cũng có thé đáp ứng được.Trong đó bao gồm chi phi phần cứng cần thiết dé thu thập và phân tích lượng dữ liệulớn được tạo ra từ các chức năng giám sát mạng, chi phí chi trả cho lực lượng chuyêngia đề thực hiện phân tích giám sát an toàn mạng và chi phí để đầu tư cơ sở hạ tầng

[1].

LÔ QC

DANG THE LONG — D19CQAT01-B 6

Trang 16

ĐỎ ÁN TÓT NGHIỆP CHUONG |

1.3 Tong quan về điện toán dam mây

1.3.1 Giới thiệu về điện toán đám mây

Điện toán đám mây là một thuật ngữ dùng để mô tả một nền tảng hoặc một loại

ứng dụng dùng dé cung cấp, cau hình tài nguyên máy tính đến người dùng thông qua

môi trường internet Máy chủ trên đám mây có thể là máy vật lý hoặc máy ảo Các

đám mây thường bao gồm các tài nguyên điện toán như vùng mạng lưu trữ, thiết bị

mạng, tường lửa và các thiết bị bảo mật Điện toán đám mây được mở rộng đề người

dùng có thể truy cập thông qua môi trường internet Các ứng dụng đám mây trong điện

toán đám mây sử dụng các trung tâm đữ liệu lớn và các máy chủ mạnh mẽ dé lưu trữ

các ứng dụng Web và dich vụ Web Bat kỳ ai có kết nối internet phù hợp và trình duyệttiêu chuẩn đều có thê truy cập đến ứng dụng đám mây [3]

Môi trường của điện toán đám mây hỗ trợ tính toán nhanh chóng bằng cách cungcấp các máy chủ vật lý va máy chủ ảo dé các ứng dụng có thê chạy trên đó Điện toánđám mây bắt nguồn từ điện toán lưới về việc chia một nhiệm vụ lớn thành nhiều nhiệm

vụ nhỏ hơn chạy song song trên các máy chủ riêng biệt Điện toán đám mây cũng hỗ

trợ các kiến trúc Web ba tầng chạy các ứng dụng Web 2.0 Đám mây không chỉ là một

tập hợp các tài nguyên máy tính vì nó còn cung cấp cơ chế quản lý các tài nguyên đó

Quản lý bao gồm việc cung cấp, thay đổi, hủy, tạo lại hệ thống, cân bang khối lượng

công việc và giám sat [3 |.

Hình 1.1: Kiến trúc điện toán dam mây

Theo NIST (Viện Quốc gia về tiêu chuẩn và công nghệ Mỹ) điện toán đám mây

gồm năm đặc điểm thiết yếu, bốn mô hình triển khai và ba mô hình dịch vụ Năm đặc

điểm thiết yếu gồm: tự phục vụ mạng theo yêu cầu, truy cập mạng rộng, tông hợp tàinguyên, độ co dãn nhanh và dịch vụ được đo lường [4].

DANG THE LONG — D19CQAT01-B 7

Trang 17

ĐỎ ÁN TÓT NGHIỆP CHUONG |

Tự phục vụ mạng theo yêu cầu: người dùng có thé don phương cung cấp

các khả năng tính toán khi cần mà không yêu cầu sự tương tác của con

người với từng nhà cung cấp dịch vụ

Truy cập mạng rộng: được hiểu là các tài nguyên, dịch vụ Cloud có trênmạng cần được truy cập thông qua các thiết bị thông thường

Tổng hợp tài nguyên: được hiểu là tài nguyên của nhà cung cấp được gộplại để phục vụ nhiều người dùng khác nhau

Độ co dãn nhanh: được hiểu là dịch vụ Cloud có thể được cung cấp vàgiải phóng một cách linh hoạt, tức là dich vụ Cloud có thé dé dang thayđối phụ thuộc vào nhu cầu thực tế của người dùng

Dịch vụ được đo lường: được hiểu là dịch vụ Cloud có thê tự động kiểmsoát và tối ưu hóa việc sử dụng tài nguyên của người dùng Việc sử dụngtai nguyên duoc theo dõi, kiểm soát và báo cáo mang lại sự minh bạchcho cả nhà cung cấp và người dùng dịch vụ

NIST đưa liệt kê ra bốn mô hình triển khai phố biến cho điện toán đám mây baogồm: Public Cloud, Private Cloud, Hybrid Cloud và Community Cloud [4]

Public Cloud là mô hình có thé được sở hữu, quản ly và vận hành bởi một

tổ chức kinh doanh, học thuật hoặc chính phủ Mô hình này không giớihạn số lượng người dùng, dé sử dụng và là mô hình phổ biến nhất

Microsoft Office 365, Microsoft Azure, Amazon Web Service (AWS),

NTC Cloud Service là những vi dụ điển hình của mô hình Public Cloud

Private Cloud được cung cấp để sử dụng, quản lý bởi một người dùng,

một tô chức hoặc một bên thứ ba cung cấp các dịch vụ về Cloud MỗiPrivate Cloud có thể đặt tại trung tâm dữ liệu của người dùng hoặc tạitrung tâm đữ liệu của nhà cung cấp

Hybrid Cloud là mô hình Cloud được kết hợp bởi hai hoặc nhiều cơ sở hạtầng Cloud riêng biệt Các Cloud riêng biệt được liên kết với nhau bằng

công nghệ được tiêu chuẩn hóa hoặc độc quyền cho phép di chuyên dữ

liệu và ứng dụng.

Community Cloud là mô hình cơ sở hạ tầng được chia sẻ cho nhiều người

dùng, tổ chức sử dụng với chung một mục đích Community Cloud có thểđược một tổ chức hoặc một đơn vị thứ ba chuyên cung cấp các dịch vụ

Cloud quản lý.

Ba mô hình dịch vụ cung cấp trong Cloud computing được NIST đề cập đến là:

Software as a Service, Platform as a Service, Infrastructure as a Service [4].

Software as a Service (SaaS): Các phần mềm ứng dung chạy trên trung

tâm đữ liệu và được quản lý bởi nhà cung cấp dịch vụ Các ứng dụng có

thê truy cập được từ nhiều thiết bị máy khách khác nhau thông qua trình

LÔ QC

DANG THE LONG — D19CQAT01-B 8

Trang 18

ĐỎ ÁN TÓT NGHIỆP CHUONG |

duyệt Web hoặc giao diện ứng dụng Vi dụ điển hình cho mô hình này làMicrosoft Office 365.

- Platform as a Service (PaaS): cung cấp cho người tiêu dùng triển khai trên

cơ cở hạ tang Cloud do người dùng mua hoặc tự tạo bằng ngôn ngữ lậptrình Trong mô hình này thì các server chạy trên trung tâm dữ liệu vàđược quản lý bởi nhà cung cấp dịch vụ Vi dụ điển hình cho mô hình này

là Window Azure va Amazone Web Service (AWS).

- Infrastructure as a Service (IaaS): cung cấp cho người tiêu dùng các tai

nguyên xử lý, lưu trữ, mạng va các tài nguyên điện toán cơ ban khác.

Trong mô hình này các server chạy trên trung tâm dữ liệu của nhà cung

cấp nhưng được quản lý bởi người dùng Tất cả các chương trình, ứngdụng chạy trên server đều được quản lý bởi người dùng bao gồm cả hệđiều hành, ứng dụng và các dữ liệu

1.3.2 /Những lợi ích của Cloud computing

Cơ sở hạ tầng của điện toán đám mây cho phép các doanh nghiệp sử dụng hiệuquả hơn với các phan cứng va phần mềm của họ Các doanh nghiệp có thé bỏ các ràocan vật ly trong các hệ thống biệt lập và tự động hóa việc quản lý nhóm các hệ thống

như quản lý một thực thé duy nhất Điện toán đám mây là một hệ thống ảo hóa và là

một sự phát triển cho các trung tâm dit liệu quản lý hệ thống tự động, cân bằng khốilượng công việc và ảo hóa Điện toán đám mây là mô hình tiết kiệm chi phí Dam mâygiúp khởi chạy các ứng dụng Web 2.0 một cách nhanh chóng và có thé mở rộng theonhu cầu của người dùng khi cần

Điện toán đám mây cũng có thêm các lợi ích đặc trưng như: tăng tính linh hoạt

của hệ thống, sử dụng tài nguyên theo nhu cầu, tăng tính khả dụng của hệ thống, tiếtkiệm phần cứng, gỡ bỏ các dịch vụ trong thời gian thực, thanh toán theo nhu cầu sử

dung [5].

- Tang tinh linh hoạt của hệ thống: cung cấp kha năng triển khai va mo rộng

quy mô các dịch vụ mới một cách nhanh chóng.

- Sw dụng tài nguyên công nghệ thông tin theo yêu cầu: tùy thuộc vào nhu cầu

của khách hàng mà nhà cung cấp cấp phát cấu hình hệ thống cho người dùng

- Tang tinh kha dung của hệ thống: giúp hệ thống có thể cân bằng được tinh

khả dụng của phần cứng và dịch vụ Khi một trong các phần cứng bị hỏng sẽ

không làm ảnh hưởng đến hệ thống mà chỉ làm giảm tài nguyên hệ thống

- Tiét kiệm phần cứng: giúp hệ thống quản ly tài nguyên, tránh gây lãng phí

khi phải cấp phát các hệ thống riêng biệt cho mỗi tác vụ và dich vụ

- Gỡ bỏ các dịch vụ trong thời gian thực: giúp hệ thống có thé giải phóng tài

nguyên máy chủ dé phục vụ cho các dịch vụ mới

LÔ QC

DANG THE LONG — D19CQAT01-B 9

Trang 19

ĐỎ ÁN TÓT NGHIỆP CHUONG |

- Thanh toán theo nhu cau sử dung: giúp người dùng có thé thanh toán theo

dung lượng tài nguyên như tốc độ CPU (Bộ xử lý trung tâm), RAM (Bộ nhớtruy cập ngẫu nhiên), HDD (Ô đĩa cứng) được sử dụng

Tóm lại, mô hình “Điện toán đám mây” là một mô hình có khả năng mở rộng và

độ linh hoạt cao Các công ty, tổ chức có thể triển khai một cách nhanh chóng, chỉ phíthấp và ít xảy ra rủi do nhất có thể

1.3.3 Các công nghệ ao hóa

Ảo hóa (Virtualization) là công nghệ đang phát triển trên thế giới trong lĩnh vựccông nghệ thông tin Ảo hóa đang ngày cảng trở đên phố biến và được nhiều tổ chức

sử dụng dé kết hợp với khối lượng công việc giúp hệ thống có thé mở rộng và linh

hoạt hơn Trong điện toán đám mây, ảo hóa giúp việc tạo ra các phiên bản ảo của tải

nguyên hoặc thiết bị như máy chủ, hệ điều hành, thiết bị lưu trữ, mạng Việc sử dụng

ảo hóa sẽ dé dang trong việc cung cấp tinh sẵn sang cho các ứng dụng quan trong cũng

như triển khai và chuyên đổi ứng dụng [6]

Hiện nay, có một số loại ảo hóa phô biến đó là: Kho lưu trữ ảo hóa, máy chủ ảo

hóa, mạng ảo hóa, ứng dụng ảo hóa, bộ nhớ ảo hóa, nền tảng ảo hóa và phần cứng ảo

hóa [6].

- Kho lưu trữ ảo hóa: là loại ảo hóa tong hợp các không gian lưu trữ vật lý từ

nhiều thiết bị mạng vảo một thiết bị lưu trữ Loại ảo hóa này được tạo thànhbởi các phần mềm ứng dụng đề phục vụ cho quá trình sao lưu và phục hồi

- May chủ ảo hóa: là loại ảo hóa cho phép các hệ điều hành khác nhau cùng

chia sẻ phần cứng cũng như dé dàng chuyên đổi các hệ điều hành giữa cácphần cứng khác nhau Với sự hỗ trợ của phần mềm và sử dụng máy chủ ảohóa thì các nhà quản trị có thê chia một máy chủ vật lý thành nhiều máy chủ

ảo khác nhau.

- Mang ảo hóa: là loại ảo hóa kết hợp các tài nguyên trong mang bang cách

chia bằng thông có sẵn cho các kênh, và mỗi kênh là độc lập với các kênh

khác.

- Ung dụng ảo hóa: là loại ảo hóa cho phép các tài nguyên máy tính được phân

phối linh hoạt trong thời gian thực

- Bộ nhớ ảo hóa: là loại ảo hóa chia sẻ bộ nhớ vật lý cũng như phân bổ động

cho các máy ảo.

- _ Nền tảng ảo hóa, phần cứng ảo hóa: là loại ảo hóa có khái niệm là tạo ra một

máy ảo hoạt động giống như một máy tính thật có hệ điều hành Bên trong

phần cứng ảo hóa, phần mềm ảo được đặt trên hệ thống phần cứng

Công nghệ ảo hóa dé dàng che dấu các đặc điểm vật ly của tài nguyên máy tinh

khỏi người dùng Công nghệ ảo hóa có thể dễ dàng cung cấp ảo giác thông qua

hypervisor/VMM (Virtual Machine Monitor) Hypervisor/VMM là một lớp phần mềm

LÔ QC

DANG THE LONG — D19CQAT01-B 10

Trang 20

DO AN TOT NGHIỆP CHUONG 1

cho phép nhiều hệ điều hành cùng chạy trên một máy chủ vật ly cũng như cung cấp

khả năng trừu tượng hóa cho máy ảo [6].

Hardware

Hình 1.2: Kiến trúc ảo hóa

Theo Red Hat, hypervisor là phần mềm trừu tượng hóa phần cứng khỏi hệ điềuhành, cho phép nhiều hệ điều hành cùng chạy trên một phần cứng Hypervisor chạytrên hệ thống máy chủ cho phép các máy ảo cũng chạy trên hệ thống máy chủ đó TheoVMWare, hypervisor là phan mềm cung cấp khả năng phân vùng ảo chạy trực tiếp trênphần cứng nhưng ảo hóa các dịch vụ mạng Từ những định nghĩa trên, hypervisor làmột lớp phần mềm mỏng cung cấp khả năng trừu tượng hóa phần cứng cho hệ điềuhành bằng cách cho phép nhiều hệ điều hành ảo hoặc nhiều phiên bản của cùng một hệđiều hành ảo [7]

Do sự phát triển của nền tảng ảo công nghệ ảo hóa nên phần cứng cũng có phầnthay đổi Vì thế, Intel và AMD đã tạo ra phần mở rộng cho kiến trúc x86 được gọi lầnlượt là Intel VT-x và AMD-VT Ảo hóa tận dụng kiến trúc của x86 dé cung cấp chế độ

ảo hóa được bảo vệ Chipset Intel 80286 đã giới thiệu hai phương pháp về địa chỉ bộ

nhớ đó là: địa chỉ bộ nhớ thực và địa chỉ bộ nhớ bảo vệ Dia chỉ bộ nhớ ảo cung cấpnhiều tính năng hỗ trợ đa hướng [7]

Dựa trên nền tảng đó hypervisor có thể được chia thành hai loại đó là: Native

hypervisor (Bare-Metal hypervisor), Hosted hypervisor.

Hypervisor Software (VMM}

Hình 1.3: Cac loại ao hóa

"7 DANG THE LONG — DI9CQAT01-B 11

Trang 21

ĐỎ ÁN TÓT NGHIỆP CHUONG |

Native hypervisor (Bare-Metal hypervisor) là hypervisor chạy trực tiếp trên phan

cứng Trong loại nay hypervisor là một mã nhỏ chịu trách nhiệm lên lich va phân bổ hệ

thống vì không có hệ điều hành nào chạy bên dưới nó Ví dụ điển hình cho loại

hypervisor này là Vmware ESX (Elastic Sky X) và Xen Hosted hypervisor được gọi

la hypervisor được lưu trữ vì nó chạy như một ứng dung trong hệ điều hành.Hypervisor loại này thường thực hiện các input/output thay cho các máy ảo Các máy

ảo đưa ra yêu cầu lên hypervisor, sau đó hypervisor đưa các yêu cầu này đến hệ điềuhành Sau khi yêu cầu được máy chủ xử lý xong sẽ được trả lại cho máy ảo thông quahypervisor Tuy nhiên sự khác biệt của hai hypervisor này không phải lúc nào cũng là

rõ ràng, KVM (Kernel-based Virtual Machine) của Linux và Bhyve của FreeBSD có

thao tác trực tiếp trên máy host như một Native hypervisor nhưng vẫn sử dụng nềntảng hệ điều hành chung như một Hosted hypervisor [7]

1.4 Các mối đe dọa bảo mật và biện pháp an toàn cho điện toán đám mây

1.4.1 Các mối đe dọa bảo mật

Ngày càng có nhiều dữ liệu và ứng dụng chuyến sang sử dụng nền tảng đám

mây Mặc du, điện toán đám mây có một số lợi thế như truy cập thông tin trên bat kỳ

thiết bị nào có kết nối internet, cộng tác với đồng nghiệp trên cùng một tài liệu, lưu trữ

lượng lớn dit liệu với chi phí thấp nhưng nó cũng đi kèm với nhiều mối de dọa vàthách thức về bao mật [8]

Điện toán đám mây tiếp tục thay đôi cách các tô chức sử dụng, lưu trữ và chia sẻ

dữ liệu, ứng dụng và khối lượng công việc, đồng thời cũng xuất hiện một loạt các mối

đe dọa và thách thức bảo mật mới Với rất nhiều đữ liệu đưa lên đám mây, đặc biệt làcác dịch vụ đám mây công cộng thì những tài nguyên này đã trở thành mục tiêu hấpdẫn cho kẻ tan công [8]

Nhăm cung cấp cho các tổ chức kiến thức về các mối lo ngại về bảo mật đámmây dé họ có thé đưa ra các quyết định có hiểu biết về chiến lược áp dụng đám mây,Liên minh bảo mật đám mây (Cloud Security Alliance - CSA) đã xuất bản báo cáo mớinhất về “Các mối đe dọa hàng đầu đối với Điện toán đám mây: Egregious Eleven”.Báo cáo phản ánh sự đồng thuận giữa các chuyên gia bảo mật trong cộng đồng CSA vềcác van dé bảo mật quan trọng nhất trên đám mây CSA cho biết, trong khi có nhiều longại về bảo mật trong đám mây, danh sách này tập trung vào 11 mối đe dọa liên quan

cụ thé đến tính chat chia sẻ, tính chất theo yêu cầu của điện toán đám mây [8]

1.4.1.1 Vi phạm dit liệu [8]

Mối de dọa vi phạm di liệu vẫn giữ thứ hạng số một trong cuộc khảo sát Điềunày là dé hiểu vì mối đe doa này có thé gây ra thiệt hại lớn về danh tiếng và tài chính.Chúng có thé dẫn đến mat quyền sở hữu trí tuệ (Intellectual Property - IP) và các tráchnhiệm pháp lý Những điểm chính của CSA liên quan đến mối đe dọa vi phạm dữ liệubao gồm:

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG - DI9CQAT01-B 12

Trang 22

ĐỎ ÁN TÓT NGHIỆP CHUONG |

- Nhiing kẻ tan công muốn có dữ liệu, vì vậy các doanh nghiệp cần xác định

giá trị của dữ liệu và tác động của việc mất đữ liệu

- _ Ai có quyền truy cập vào dữ liệu là một câu hỏi quan trọng cần giải quyết dé

- Cac doanh nghiệp cần có các kế hoạch ứng phó sự cố và đã được kiểm

chứng, bao gồm liên quan đến các nhà cung cấp dịch vụ đám mây

1.4.1.2 Cau hình sai và không kiểm soát thay đổi day đủ [8]

Đây là một mối đe dọa mới trong danh sách của CSA và không có gì đáng ngạcnhiên khi có nhiều vi dụ về các doanh nghiệp vô tình dé lộ đữ liệu qua đám mây Vídụ: CSA trích dẫn sự cố chính xác, trong đó nhà cung cấp để cơ sở dữ liệuElasticsearch chứa dit liệu cá nhân của 230 triệu người tiêu dùng Hoa Kỳ có thé truycập công khai do định cấu hình sai

Theo CSA, các công ty không chỉ phải lo lắng về việc mat dữ liệu mà còn phải

quan tâm về việc xóa hoặc sửa đôi các tài nguyên được thực hiện với mục đích làmgián đoạn hoạt động kinh doanh Báo cáo cho rằng lỗi thuộc về các biện pháp kiểmsoát thay đối kém đối với hầu hết các lỗi cấu hình sai

Những điểm mau chốt của CSA liên quan đến việc định cấu hình sai và không

kiểm soát thay đôi đầy đủ bao gồm: Sự phức tạp của các tài nguyên dựa trên đám mâykhiến việc cấu hình rất khó; Các biện pháp kiêm soát và quản lý thay đồi truyền thốngkhó có hiệu quả trên đám mây; Sử dụng các công cụ tự động hoá dé quét liên tục détìm các tài nguyên được định cấu hình sai

1.4.1.3 Thiếu chiến lược và kiến trúc bảo mật đám mây [8]

Có một thực tế là các doanh nghiệp mong muốn giảm thiêu thời gian cần thiết để

di chuyên hệ thống và dữ liệu lên đám mây thường được ưu tiên hơn van dé bảo mật.Kết quả là, công ty bắt đầu hoạt động trên đám mây bằng cách sử dụng cơ sở hạ tầng

và chiến lược bảo mật không được thiết kế cho nó Đây là một vấn đề lớn

Những điểm mau chốt của CSA liên quan đến việc thiếu kiến trúc và chiến lượcbảo mật đám mây bao gồm: Kiến trúc bảo mật cần phải phù hợp với các mục đích và

mục tiêu kinh doanh; Phát triển và triển khai một khung kiến trúc bảo mật; Luôn cậpnhật các mô hình về mối đe dọa; Triển khai công cụ giám sát liên tục

1.4.1.4 Quản lý danh tính, thông tin xác thực, quyên truy cập và quản lý khóa kém [8]

Một mối đe dọa mới trong danh sách của CSA là quản lý và kiểm soát truy cập

kém về dit liệu, hệ thống và tài nguyên vật lý như phòng máy chủ và tòa nhà Báo cáo

lưu ý rằng đám mây yêu cầu các tô chức thay đổi các thông lệ liên quan đến quản lý

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG — D19CQAT01-B 13

Trang 23

ĐỎ ÁN TÓT NGHIỆP CHUONG |

danh tinh và truy cap (IAM) Theo báo cáo, hậu qua của việc không làm như vậy cóthé dẫn đến các sự cố và vi phạm an ninh do: Thông tin đăng nhập không được bảo vệ

can mật; Không thay đôi các khóa mật mã, mật khâu và chứng chỉ định kỳ; Thiếu khả

năng mở rộng; Không sử dụng xác thực đa yếu tố; Không sử dụng mật khẩu mạnh.Những điểm mau chốt của CSA liên quan đến việc không đủ danh tinh, thông tin xácthực, quyền truy cập và quản lý khóa bao gồm:

- Bảo mật tài khoản, bao gồm cả việc sử dụng xác thực hai yếu tố

- Sur dụng các biện pháp kiểm soát danh tính và truy cập nghiêm ngặt cho

người dùng đám mây, đặc biệt, hạn chế việc sử dụng tài khoản gốc.

- Tach biệt và phân đoạn tài khoản, đám mây riêng ảo và nhóm xác thực dựa

trên nhu cầu kinh doanh và nguyên tắc đặc quyền tối thiểu

- Thực hiện lưu trữ thông tin khoá, mật khâu tập trung và có thê thay đổi

định kỳ.

Xóa thông tin đăng nhập và đặc quyền truy cập không sử dụng.

1.4.1.5 Chiếm đoạt tài khoản [8]

Chiếm đoạt tài khoản vẫn là một mối đe dọa với đám mây Khi các nỗ lực lừađảo ngày càng tỉnh vi, hiệu quả hơn và có mục tiêu cụ thể, nguy cơ kẻ tấn công giànhđược quyên truy cập vào các tài khoản có đặc quyền cao là rất lớn Lừa đảo khôngphải là cách duy nhất mà kẻ tấn công có thê lay được thông tin đăng nhập Họ cũng cóthé có được chúng bang cách xâm nhập vào chính dịch vụ đám mây dé đánh cắp chúng

thông qua các phương tiện khác.

Một khi kẻ tấn công có thể xâm nhập vào hệ thống băng tài khoản hợp pháp,

chúng có thé gây ra rất nhiều gián đoạn, bao gồm đánh cắp hoặc phá hủy dit liệu quantrọng, ngừng cung cấp dịch vụ hoặc gian lận tài chính CSA khuyến nghị giáo dụcngười dùng về các mối nguy hiểm và các dấu hiệu của việc chiếm đoạt tài khoản để

giảm thiểu rủi ro

Những điểm chính của CSA liên quan đến việc chiếm đoạt tài khoản bao gồm:Đừng chỉ đặt lại mật khẩu khi thông tin đăng nhập tài khoản bị đánh cắp Phải giảiquyết các nguyên nhân gốc rễ; Cách tiếp cận chuyên sâu về phòng thủ và kiểm soátIAM mạnh mẽ là cách phòng thủ tốt nhất

1.4.1.6 Mới de dọa từ nội bộ [8]

Các mối đe doa từ những người nội bộ đáng tin cậy cũng là một van đề nghiêm

trọng trên đám mây, cũng như đối với các hệ thống tại chỗ Người nội bộ có thể là

nhân viên hiện tại hoặc cũ, nhà thầu hoặc đối tác kinh doanh đáng tin cậy, bất kỳ aikhông phải vượt qua hàng rào phòng thủ của công ty đề truy cập vào hệ thống của

công ty.

Người trong nội bộ không cần phải có ác ý để gây thiệt hại Họ có thể vô tìnhkhiến dir liệu và hệ thống gặp rủi ro CSA trích dẫn nghiên cứu Chi phí cho các mỗi dedọa nội gián năm 2018 của Viện Ponemon, trong đó nói rang 64% tat cả các sự cô nội

ÍÝ%=dễẳễẳễaaoa Ứ—>ố=

DANG THE LONG — DI9CQAT01-B 14

Trang 24

ĐỎ ÁN TÓT NGHIỆP CHUONG |

gian duoc bao cao 1a do so suất của nhân viên hoặc nhà thầu Sơ suất đó có thé bao

gồm các máy chủ đám mây bị cấu hình sai, lưu trữ dữ liệu nhạy cảm trên thiết bị cánhân hoặc trở thành nạn nhân cua email lừa đảo.

Các điểm rút ra chính của CSA liên quan đến các mối đe dọa từ nội gián baogồm:

- Tiến hành đào tạo và giáo dục nhân viên về các phương pháp thích hợp để

bảo vệ dữ liệu và hệ thống, làm cho giáo dục trở thành một quá trình liên tục.

- _ Thường xuyên kiểm tra và sửa chữa các máy chủ đám mây bị cấu hình sai

- Han chế quyền truy cập vào các hệ thống quan trọng

1.4.1.7 Cac giao điện va API không an toàn [8]

Giảm xuống vị trí thứ bảy từ vị trí thứ ba vào năm 2018 theo OWASP, các giaodiện và API không an toàn là một phương thức tấn công phô biến Vào năm 2018,Facebook đã trải qua một vụ vi phạm ảnh hưởng đến hơn 50 triệu tài khoản đo lỗ hồngđược giới thiệu trong tính năng View As của họ Đặc biệt khi được liên kết với giaodiện người dùng, các lỗ hồng API có thé cung cấp cho những kẻ tan công một conđường đề đánh cắp thông tin đăng nhập của người dùng hoặc nhân viên

Báo cáo của CSA cho biết các tổ chức cần hiểu rằng API và giao diện ngườidùng là những phan tiếp xúc nhiều nhất của hệ thống và họ khuyến khích việc bao mậtcho các thành phần này nên thực hiện từ thiết kế khi xây dựng chúng

Các điểm rút ra chính của CSA liên quan đến các giao diện và API không antoàn bao gồm:

- _ Nghiêm ngặt thực hiện các hạng mục như kiểm kê, thử nghiệm, kiểm toán và

bảo vệ hoạt động bat thường

- Bao vệ các khóa dé xác thực API và tránh sử dụng lại

- Xem xét mã nguồn mở framework cho API như Giao diện điện toán đám

mây mở (Open Cloud Computing Interface - OCCI) hoặc Giao diện quản lý

cơ sở hạ tang đám mây (Cloud Infrastructure Management Interface - CIMI).1.4.1.8 Nên tảng điều khiển yếu [8]

Một nền tảng điều khiển bao gồm các quá trình sao chép dữ liệu, di chuyển va

lưu trữ Nền tảng kiểm soát sẽ yếu nếu người phụ trách các quy trình này không có

toàn quyền kiểm soát logic, bao mật và xác minh của cơ sở hạ tang đữ liệu, theo CSA

Các bên liên quan đến kiểm soát cần phải hiểu cấu hình bảo mật, cách dữ liệu lưuchuyên và các điểm yếu hoặc điểm mù của kiến trúc Nếu không làm như vậy có thêdẫn đến rò ri dữ liệu, không có dt liệu hoặc hỏng đữ liệu

Những điểm chính của CSA liên quan đến nền tảng điều khiển yếu bao gồm:

Đảm bảo rằng nhà cung cấp dịch vụ đám mây cung cấp các biện pháp kiểm soát bảo

mật cần thiết dé thực hiện các nghĩa vụ pháp lý va theo luật định; Thực hiện thâm định

dé đảm bảo nhà cung cấp dịch vụ đám mây sở hữu một nền tảng điều khiến thích hợp

DANG THE LONG — D19CQAT01-B 15

Trang 25

ĐỎ ÁN TÓT NGHIỆP CHUONG |

1.4.1.9 Các lỗi cấu trúc cơ sở va cầu trúc thiết bị [8]

Cấu trúc cơ sở hạ tang của nhà cung cấp dich vụ đám mây nắm giữ thông tin bảomật về cách nó bảo vệ hệ thống của mình và nó cung cấp thông tin đó qua các lệnh gọiAPI Các API giúp khách hàng phát hiện truy cập trái phép, nhưng cũng chứa thông tinnhạy cảm cao như nhật ký hoặc dữ liệu hệ thống kiểm tra

Cac API cũng là một điểm không an toàn tiềm ấn có thé cung cấp cho những kẻtan công quyên truy cập vào dữ liệu hoặc khả năng làm gián đoạn các khách hàng trêndam mây Việc triển khai API kém thường là nguyên nhân gây ra lỗ hong Mặt khác,khách hàng có thê không hiểu cách triển khai các ứng dụng đám mây đúng cách Điềunày đặc biệt đúng khi chúng kết nối các ứng dụng không được thiết kế cho môi trường

đám mây.

Những điểm mau chốt của CSA liên quan đến các lỗi cấu trúc cơ sở và cấu trúcthiết bị bao gồm:

- Pam bảo rằng nhà cung cấp dịch vụ đám mây cung cấp khả năng hiển thị và

chỉ ra các biện pháp giảm nhẹ các lỗi.

- _ Triển khai các tính năng và điều khiển thích hợp trong các thiết kế gốc dam

mây.

- Pam bao rang nhà cung cấp dich vụ dam mây tiến hành thử nghiệm thâm

nhập và cung cấp các phát hiện cho khách hàng

1.4.1.10 Khả năng sử dụng đám mây hạn chế [8]

Một phàn nàn phô biến giữa các chuyên gia bảo mật là môi trường đám mây

khiến họ "mù" nhiều dữ liệu mà họ cần dé phát hiện và ngăn chặn hoạt động độc hại.

CSA chia thách thức về hạn chế này thành hai loại: Sử dụng ứng dụng chưa được cấp

phép và sử dụng sai những ứng dụng được cấp phép

Các ứng dụng của nhân viên sử dụng mà chưa được cấp phép hoặc hỗ trợ của IT

và nhóm bảo mật là một nguy cơ tiềm ân về mat an toàn thông tin Bat kỳ ứng dụng

nào không đáp ứng các nguyên tắc của công ty về bảo mật đều có nguy cơ mà nhóm

bảo mật có thê không biết

Việc sử dụng sai ứng dụng được cấp phép có thể là người được ủy quyền sử

dụng ứng dụng đã được phê duyệt hoặc tác nhân đe dọa bên ngoài sử dụng thông tin

đăng nhập bị đánh cắp Báo cáo của CSA cho biết, các nhóm bảo mật cần có khả năngphân biệt được sự khác nhau giữa người dùng hợp lệ và không hợp lệ băng cách phát

hiện các hành vi ngoài quy chuẩn

Những điểm chính của CSA liên quan đến khả năng hiển thị sử dụng đám mâyhạn chế bao gồm:

- Phat triển khả năng hiển thị trên cloud theo mô hình từ trên xuống liên quan

đến con người, quy trình và công nghệ

LÔ QC

DANG THE LONG — D19CQAT01-B 16

Trang 26

ĐỎ ÁN TÓT NGHIỆP CHUONG |

- Tién hành dao tạo bắt buộc trong toàn công ty về các chính sách sử dụng dam

mây được chấp nhận và việc thực thi

- _ Yêu cầu kiến trúc sư bảo mật đám mây hoặc nhân viên quản lý rủi ro của bên

thứ ba xem xét tất cả các dịch vụ đám mây không được phê duyệt

- Pau tư vào một nhà môi giới bảo mật truy cập đám mây (Cloud Access

Security Broker - CASB) hoặc các công do phần mềm xác định defined Gateways - SDG) dé phân tích các hoạt động bên ngoài

(Software Pau tư vào một tường lửa ứng dụng web đề phân tích các kết nối đến

- _ Triển khai mô hình không tin cậy trong toàn tô chức

1.4.1.11 Lam dung và sử dung bat chính các dịch vụ đám mây [8]

Những kẻ tan công đang sử dụng các dịch vụ đám mây hợp pháp dé hỗ trợ cáchoạt động của chúng Ví dụ, chúng có thể sử dụng dịch vụ đám mây dé lưu trữ phầnmềm độc hại ngụy trang trên các trang web như GitHub, khởi chạy các cuộc tan côngDDoS, phân phối email lừa đảo, khai thác tiền kỹ thuật số, thực hiện gian lận nhấp

chuột tự động hoặc thực hiện một cuộc tấn công vét cạn dé lay cap thông tin đăng

nhập.

CSA nói rằng các nhà cung cấp dịch vụ đám mây nên có các biện pháp giảmthiểu dé ngăn chặn và phát hiện các hành vi lam dụng như gian lận công cụ thanh toán

hoặc sử dụng sai các dịch vụ dam mây Điều quan trọng đối với các nhà cung cấp dịch

vụ đám mây là phải có sin một khuôn khổ ứng phó sự cố dé ứng phó với việc sử dung

sai và cho phép khách hang báo cáo việc sử dụng sai.

Các điểm rút ra chính của CSA liên quan đến việc lạm dụng và sử dụng sai các

dịch vụ đám mây bao gồm:

- Theo dõi việc sử dụng đám mây của nhân viên dé xem có hành vi lạm dụng

hay không.

- Sử dụng các giải pháp ngăn chặn mat mat dir liệu đám mây để theo dõi và

ngăn chặn việc xâm nhập dữ liệu.

1.4.2 Biện pháp an toàn cho điện toán dam may

Đảm bảo an toàn là vẫn đề sống còn với sự phát triển của điện toán đám mây

Hiện nay, có rất nhiều tô chức và doanh nghiệp đã nghiên cứu và đưa ra nhiều giảipháp an toàn cho điện toán đám mây Sau đây là một vài mô hình an toàn va thuật toán

mã hóa được sử dụng rộng rãi dé đảm bảo an toàn cho điện toán đám mây

LÔ QC

DANG THE LONG — D19CQAT01-B 17

Trang 27

DO AN TOT NGHIỆP CHUONG 1

1.4.2.1 Mô hình ba lop bảo vệ dữ liệu trên điện toan dam mây

OTP Data Integrity Data Fast Authentication Recovery

Hình 1.4: Mô hình 3 lớp bao vệ dam mây

Lớp 1 (Layer 1) xác thực người dùng truy cập trên điện toán đám mây Giải pháp

thường dùng trong lớp này là sử dụng mật khâu một lần (One Time Password — OTP).Các hệ thống đòi hỏi tính an toàn thì sẽ yêu cầu xác thực đến từ hai phía nhưng do nhàcung cấp điện toán đám mây là miễn phí nên chỉ xác thực một chiều Lớp 2 (Layer 2)đảm bảo các tính chất an toản đữ liệu là mã hóa dữ liệu, toàn vẹn dữ liệu và đảm bảotính riêng tư của người dùng thông qua các thuật toán mã hóa đối xứng Lớp 3 (Layer3) là lớp dit liệu của người dùng phục vụ cho việc phục hồi nhanh dữ liệu theo tốc độ

Hình 1.5: Mô hình Encryption Proxy

Mô hình này đảm bảo đữ liệu an toàn và bí mật trong quá trình truyền và lưu trữ

giữ liệu giữa người dùng và Cloud Đề các bản mã được quản lý và lưu trữ mà khôngcần giải mã thì thuật toán mã hóa dit liệu đồng phôi và thuật toán mã hóa dữ liệu đồng

DANG THE LONG — D19CQAT01-B 18

Trang 28

ĐỎ ÁN TÓT NGHIỆP CHUONG |

phôi day đủ được ứng dụng trong mô hình này Thông tin bí mật của người dùng phục

vụ quá trình mã hóa và giải mã được lưu trữ tại Secure Storage [9].

1.4.2.3 Mô hình bảo vệ dữ liệu sử dung VPN Cloud

Computation Cloud

bon sues

Hình 1.6: Mô hình VPN Cloud

Mô hình bảo vệ dữ liệu sử dung VPN Cloud là mô hình dam bao dữ liệu trên

kênh truyền được an toàn Đây là mô hình thường được các tổ chức có nhu cầu an toàn

dữ liệu cao sử dụng VPN Cloud giúp việc kết nối giữa người dùng và Cloud, cũngnhư kết nối các Private Cloud được an toàn và bảo mật thông qua chuẩn IPSec (IP

Security) [9].

Kết luận chương 1

Như vậy, chương 1 đã trình bày khái quát về Hệ thống giám sát an toàn mạng,những lợi ích và khó khăn của hệ thống giám sát an toàn mạng Bên cạnh đó chương 1cùng trình bày khái quát về điện toán đám mây: định nghĩa, sự ra đời, mô hình, dịch vụ

của điện toán đám mây Những lợi ích của điện toán đám mây Các công nghệ ảo hóa

cho điện toán đám mây phô biến hiện nay Những mối de doa bảo mật với điện toán

đám mây và phương pháp bảo đảm an toàn cho điện toán đám mây.

DANG THE LONG — D19CQAT01-B 19

Trang 29

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

CHUONG 2: GIAM SÁT HẠ TANG CLOUD OPENSTACK

Chuong 2 trinh bay tong quan vé ha tang cloud OpenStack: dinh nghia, lich strphát hành, nguôn cảm hứng ra đời của OpenStack, các phiên ban của OpenStack, cácdich vụ chính trong OpenStack và các giải pháp an toàn cho OpenStack Ngoài ra,trong chương này còn tim hiểu về Graylog Server, so sánh Graylog Server với các hệthống giám sát an toàn mạng khác và xây dựng hệ thong Graylog Server dé giảm sát

hệ thong OpenStack

2.1 Tổng quan về OpenStack

Sự ra đời của OpenStack có nguồn gốc từ một sự kết hợp đầy cảm hứng giữaRackspace Hosting và NASA Rackspace Hosting là một nhà cung cấp dịch vụ đám

mây và hosting Nhận thấy nhu cầu của khách hàng cho một nền tảng đám mây mở và

các tiêu chuẩn hóa nên họ đã tạo ra một giải pháp không bị ràng buộc bởi các nhà cungcấp đám mây độc quyên Cùng lúc đó, NASA đang tìm kiếm một giải pháp điện toánđám mây dé quản ly và chia sẻ dữ liệu lớn từ các dự án nghiên cứu và khám phá không

gian của minh.

Kết qua la Rackspace va NASA đã cùng nhau công bố dự án OpenStack vàonăm 2010 Rackspace đóng góp mã nguồn cho phan lưu trữ Nova, trong khi NASAđóng góp mã nguồn cho phần điều khiển Horizon, dựa trên dự án Nebula của mình.Hai tổ chức này đã thay sự phát triển nhanh chóng của công nghệ điện toán dam mây

và nhận thức được nhu cầu ngày càng tăng về các giải pháp quản lý hạ tầng đám mây

Ngoài ra, cảm hứng từ sự thành công của các dự án mã nguồn mở khác nhưLinux và Apache cũng góp phần thúc đầy sự ra đời của OpenStack Cộng đồng mãnguồn mở đã nhận thức được sức mạnh và lợi ích của việc hợp tác, chia sẻ kiến thức

và phát triển chung Đó là lý do OpenStack trở thành một dự án mã nguồn mở, thu hút

sự tham gia của nhiều công ty và các nhân

Từ những nguồn cảm hứng này, OpenStack đã phát triển và trở thành một trong

những nền tang đám mây mã nguồn mở phổ biến nhất trên thé giới Nó cung cấp chocác tô chức khả năng linh hoạt và tiêu chuẩn hóa trong việc xây dựng, triển khai và

quản lý hạ tầng điện toán đám mây của riêng họ

OpenStack là một nền tảng đám mây mã nguồn mở được xây dựng dé cung cap

một giải pháp tiêu chuân hóa và linh hoạt cho việc triển khai và quan lý hạ tang điện

toán đám mây Nó cung cấp một bộ công cụ và giao diện lập trình ứng dụng API cho

phép người dùng xây dựng và quản lý các tài nguyên điện toán đám mây, bao gồm

máy ảo, mạng và lưu trữ, trên một cụm máy chủ phân tán OpenStack được xây dựng

dựa trên mô hình kiến trúc mở và phân tán, cho phép người dùng tự xây dựng một môi

trường đám mây linh hoạt và tùy chỉnh theo nhu cầu của họ Nền tảng này bao gồm

nhiều du án con, mỗi dự an tập trung vào một khía cạnh cụ thé của hạ tầng đám mây

LÔ QC

DANG THE LONG — D19CQAT01-B 20

Trang 30

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

như tính năng điều khiển (Nova), mang (Neutron), lưu trữ (Cinder, Swift), giao diện

người dùng (Horizon) và nhiều dự án khác

Với OpenStack, người dùng có thé quản lý tai nguyên điện toán đám mây củamình thông qua giao diện web, giao diện dòng lệnh hoặc các công cụ tự động hóa Nó cung cấp khả năng tự động mở rộng, giúp tăng khả năng chịu tải và khả năng mở rộng của hệ thống OpenStack cũng hỗ trợ chuẩn mở và giao thức tiêu chuẩn, cho phép tích hợp dé dàng với các công nghệ và giải pháp khác trong hạ tang điện toán dam mây.

Với mục tiêu tạo ra một môi trường dam may mở, tiêu chuẩn và linh hoạt,OpenStack đã trở thành một trong những nền tảng đám mây mã nguồn mở phổ biếnnhất trên thế giới Nó được sử dụng rộng rãi bởi các tổ chức, doanh nghiệp va nhacung cấp dịch vụ điện toán đám mây để xây dựng và quản lý hạ tầng điện toán đám

mây của minh một cách hiệu quả và lĩnh hoạt.

OpenStack có ba đặc điểm chính đó là: có thé mở rộng, tương thích và linh hoạt,nguồn mở Giải pháp này đã được triển khai trên toàn thé giới ở các công ty có khốilượng dit liệu lớn và có thé mở rộng quy mô đến 1 triệu máy vật lý, 60 triệu máy ảo vahàng tỷ đối tượng được lưu trữ OpenStack hỗ trợ hầu hết các giải pháp ảo hóa trên thịtrường như là ESX (Elastic Sky X), Hyper-V, KVM, LXC (Linux Containers), QEMU

(Quick Emulator), UML (Unified Modeling Language), Xen va XenServer La một

công nghệ nguồn mở, toàn bộ mã có thé được sửa đổi va điều chỉnh khi cần thiết Dự

án OpenStack cũng trình bày một quy trình xác nhận đề áp dụng và phát triển các tiêuchuẩn mới Dự án OpenStack được nhiều công ty trên thế giới hỗ trợ và dựa trên mã

nguồn được NASA và Rackspace sử dụng OpenStack được viết bằng python và triển

khai hai API kiểm soát là API EC2 và Rackspace [10]

OpenStack được ra mắt vào năm 2010 đến nay và đã được hình thành và phát

triển qua nhiều giai đoạn với 25 phiên bản

2.2 Cac dịch vụ cơ bản trong OpenStack

Kiến trúc cơ bản của OpenStack gồm sáu thành phần chính đó là: Identity

service (keystone), Image service (glance), Compute service (nova), Networking service (neutron), Dashboard service (horizon) va Block Storage service (cinder).

2.2.1 OpenStack Identity Service

Keystone là dich vụ OpenStack cung cấp xác thực API, token, catalog va Policy

Dịch vu keystone được tô chức như một nhóm các dịch vu nội bộ được cung cấp trên

một hoặc nhiều điểm cuối Keystone gồm hai phiên bản, Identity v2 sử dụng UUID

(Universally Unique Identifier) con Identity v3 sử dụng PKI (Public Key

Infrastructure), sử dung một cặp key mở va đóng dé sac minh chéo và xác thực

Keystone chịu trách nhiệm quản lý danh tính và dịch vụ xác thực trong hệ thống.Keystone gồm bốn chức năng chính là xác thực và ủy quyên, quản lý danh tính, quan

ly dự án, tích hợp mở rộng Trong đó, xác thực và ủy quyền là cơ chế kiểm soát truy

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG — DI9CQAT01-B 21

Trang 31

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

cập vào các dịch vụ và tài nguyên trong hệ thống Nó hỗ trợ nhiều phương thức xác

thực như mật khẩu, mã thông báo, federation và identity federation Keystone quản lýdanh tính người dùng, dự án và các vai trò liên quan Nó cho phép tạo, cập nhật và xóangười dùng, gán vai trò và quản lý phân quyền truy cập Keystone hỗ trợ quản lý dự án

và phân cấp tài nguyên theo dự án Quản lý dự án cho phép xác định phạm vi và quản

lý quyền truy cập của người dùng đối với các tài nguyên trong dự án Keystone tíchhợp với các hệ thống quản lý danh tính bên ngoài như LDAP (Lightweight DirectoryAccess Protocol), Microsoft Active Directory và OpenID Connect Điều này cho phéptích hợp dé dàng với hạ tầng hiện có và quan lý danh tinh từ nhiều nguồn khác nhau

Keystone được thiết kế dé phù hợp với nhiều mô hình dữ liệu Một số kiểu dữliệu chính được sử dụng trong Keystone đó là: kiểu dir liệu người dùng, kiểu dữ liệunhóm, kiểu dữ liệu dự án, kiểu dữ liệu miền, kiểu đữ liệu vai trò, kiểu dữ liệu mãthông báo, kiểu dữ liệu bố sung, kiểu dữ liệu luật

- Kiểu di liệu người dùng có thông tin xác thực tài khoản được liên kết với

một hoặc nhiều dự án hoặc miễn

- Kiéu dữ liệu nhóm là tập hợp những người dùng được liên kết với một hoặc

nhiều dự án hoặc miền

- _ Kiểu dữ liệu dự án là đơn vị chứa một hoặc nhiều người dùng

- _ Kiểu di liệu miền chứa người dùng nhóm và dự án

- Kiểu di liệu vai trò là phần di liệu được liên kết với nhiều dự án người

- _ Kiểu dé liệu luật mô tả một tập hợp các yêu cầu thực hiện hành động

Trong Keystone, người dùng đại diện cho một người dùng API cá nhân Nhóm là

vùng chứa đại diện cho một tập hợp người dùng Dự án đại điện cho quyền sở hữu đơn

vị cơ sở trong OpenStack, tất cả tài nguyên trong OpenStack phải được sở hữu bởi một

dự án cụ thé Miễn là nơi chứa các dự án, người dùng và nhóm Mỗi dự án, người dùng

và nhóm phải được sở hữu bởi đúng một tên miễn Vai trò chỉ ra mức độ ủy quyền màngười dùng cuối có thé nhận được Một vai trò có thé được chỉ định tai cấp độ người

dùng hoặc nhóm Mã thông báo được dùng dé xác thực các yêu cầu của người dùng

2.2.2 OpenStack Image Service

Dich vu Image Service hay còn được gọi là Glance cung cap dich vụ lưu trữ, ghi

và phân phối hình ảnh đĩa ảo Nó cung cấp một API tương thích với kiến trúc REST để

thực hiện truy vấn thông tin về hình ảnh được lưu trữ trên các hệ thống lưu trữ khácnhau [10].

LÔ QC

DANG THE LONG — DI9CQAT01-B 22

Trang 32

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

Glance ra mắt lần đầu tiên trong bản phát hành Bexar, và được thiết kế dé trở

thành một dịch vụ độc lập dành cho những người cần tô chức các bộ hình ảnh đĩa ảo

lớn Tuy nhiên, khi sử dụng Glance cùng với Nova va Swift, nó cung cấp giải pháp

toàn diện dé quản lý hình ảnh đĩa ảo đám mây [11]

Trién trúc của Glance gồm ba phan đó là: Glance-api, Glance-registry va imagestore Trong đó Glance-api nhận lệnh gọi API giống như Nova-api và các đĩa imageđược đặt trong image store Glance-registry xem lưu trữ và truy xuất siêu dữ liệu vềhình anh Image store là kho lưu trữ hình ảnh và nó cũng có thé là Swift Kiến trúc củaGlance được thê hiện qua hình 2.1 [11]

Glance-api có chức năng tương tự như Nova-api ở chỗ nó nhận các yêu cầu API

đến và sau đó liên lạc với các thành phần khác đề tạo điều kiện thuận lợi cho việc truy

vấn, truy xuất, tải lên hoặc xóa image Theo mặc định Glance-api lang nghe trên cổng

9292 Phiên bản Glance-registry đi kèm với Glane được coi là phiên bản tham chiếu vi

hầu hết các bản cài đặt lớn sẽ cài các phiên bản Glance-registry riêng lẻ cho dịch vụ

của họ Phiên bản tham chiếu sử dụng sqlite3 dé lưu trữ siêu dit liệu và dùng

Glance-api để giao tiếp Theo mặc định Glance-registry lắng nghe trên cổng 9191 Cơ sở dữ

liệu của Glance chỉ gồm hai bảng đó là bảng hình ảnh và bảng thuộc tính hình ảnh.Bảng hình ảnh gồm định dạng đĩa, định dạng vùng chứa, kích thước và một số thuộc

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG — D19CQAT01-B 23

Trang 33

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

tính khác Bảng thuộc tính hình ảnh chứa siêu dữ liệu của hình ảnh Trong khi hình ảnh

và siêu dữ liệu hình ảnh được lưu trữ trong cơ sở dữ liệu thì hình ảnh được lưu trữ

trong image store Image store là nơi lưu trữ anh đĩa ảo và có một số tùy chọn trong

bảng 2.3 Mỗi lựa chọn đều có điểm mạnh và điểm yếu riêng Tuy nhiên, hầu hết cáccài đặt lớn sẽ sử dụng Swift, trong khi các cài đặt nhỏ hơn có thể sử dụng hệ thống tệpvới máy chu NFS Kho lưu trữ S3 hoặc HTTP chỉ hữu ích khi sử dung dé tham khảo

các hình ảnh công khai có sẵn [11].

Bảng 2.1: Tùy chon lưu trữ đĩa ao

Image store M6 ta

Fileystem Lưu trữ, xóa va lây hình anh từ thư mục hệ thông tệp

được chỉ định trong tệp cấu hình Đây có thể là hệthống tệp trên 6 đĩa dùng chung

HTTP Truy xuat hình ảnh từ URL Đây là lưu trữ hình ảnh

chỉ đọc Hình ảnh sẽ được lưu vào URL thông qua cơ

chế khác

Swift Lưu trữ, xóa và lay hình ảnh từ ban cài dat Swift

S3 Xóa hoặc lay hình anh từ dịch vụ S3 của Amazon

Glance hỗ trợ nhiều định dang đĩa ảo va vùng chứa Dia ảo tương tự như 6 đĩa

khởi động của máy chủ vật lý Các công nghệ ảo hóa khác nhau hỗ trợ các định dạng đĩa khác nhau Glance hỗ trợ các định dạng đĩa như sau [11]:

Bảng 2.2: Định dạng đĩa ảo

Định dạng đĩa Ghi chú

Raw Định dạng không có cau trúc

VHD Dinh dang phố biến nhất, được hỗ trợ bởi hầu hết cac

công nghệ ảo hóa OpenStack ngoại trừ KVM.

VMDK Định dạng phô bién của Vmware

Qcow2 Định dạng ảnh QEMU (Quick Emulator), định dạng gốc

cho KVM và QEMU (Quick Emulator).

VDI Dinh dang dia ao cua Oracle VM VirtualBox

ISO Dinh dang lưu trữ đĩa quang.

AMI, ARI, AKI Hinh anh may, ramdisk va kernel cua Amazon

2.2.3 OpenStack Compute Service

OpenStack Compute, còn được gọi là Nova, là một nền tang quan lý kiểm soát

cơ sở hạ tang dé kiểm soát các đám mây IaaS Nova có phạm vi tương tự như AmazonEC2 và Rackspace CloudServers Nova cho phép quản lý các mạng máy ảo lớn và cóthê mở rộng Nó cung cấp giao diện quản trị và API cần thiết cho việc điều phối đámmây Nó bao gồm quản lý phiên bản cho máy chủ, mạng và kiểm soát truy cập [10]

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG — DI9CQAT01-B 24

Trang 34

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

Các máy chủ API xử lý các yêu cầu REST, thường liên quan đến đọc/ghi cơ sở

dữ liệu, gửi tin nhắn RPC đến các dịch vụ Nova khác và tạo phản hồi cho các lệnh gọi

REST Nova sử dụng cơ sở dữ liệu SQL truyền thống dé lưu trữ thông tin Cơ sở dữ

liệu được truy cập thông qua lớp đối tượng dé đảm báo khi nút điều khiển được nângcấp vẫn có thể giao tiếp với các nút điện toán đang chạy bản phát hành trước đó [12]

Cấu trúc dịch vụ của Nova gồm bốn thành phần đó là: máy chủ API, hàng đợitin nhắn, nhân viên điện toán và điều khiển mạng lưới [12]

- May chủ APT là trung tâm của của đám mây, nó thực hiện lệnh và kiểm soát

bộ ảo hóa, lưu trữ và kết nối mạng sẵn có sẵn theo chương trình tới ngườidùng Điểm cuối API là các dịch vụ web HTTP cơ bản xử lý xác thực, ủyquyền cũng như các chức năng chỉ huy và kiểm soát cơ bản bang nhiều APIkhác nhau theo Amazon, Rackspace và các mô hình liên quan Điều này chophép API có khả năng tương thích với nhiều bộ công cụ hiện có dé tương tácvới các nhà cung cấp khác

- Hang đợi tin nhắn điều phối sự tương tác giữa các nút tính toán, bộ điều

khiển mạng, điểm cuối API, bộ lập lich và các thành phần khác Thông tinđến và đi từ bộ điều khiển đám mây được xử lý bởi các yêu cầu HTTP thôngqua nhiều điểm cuối API Một sự hiện chuyền tiếp tin nhắn bắt đầu từ việcmáy chủ API nhận được yêu cầu từ người dùng, máy chủ API xác thực người

dùng và đảm bảo họ được phép ra lệnh Các đối tượng liên quan trong yêu

cầu được đánh giá, yêu cầu sẽ được chuyên đến công cụ xếp hàng cho cáccông nhân có liên quan Khi một yêu cầu công việc phù hợp được đưa vàohàng đợi, nhân viên sẽ nhận nhiệm vụ nhiệm vụ và bắt đầu thực hiện nó Saukhi hoàn thành, một phản hồi sẽ được gửi đến hàng đợi được máy chủ APInhận và chuyên tiếp đến máy chủ gốc người dùng Các mục cơ sở dữ liệu

được truy vấn, thêm hoặc xóa khi cần thiết trong quá trình quá trình

- _ Nhân viên điện toán quan lý các phiên bản điện toán trên máy chủ Họ sẽ dựa

vào lệnh API dé thực hiện các nhiệm vụ chạy phiên bản, xóa phiên bản, khởiđộng lại phiên bản, đính kèm tệp, phân tách khối lượng, nhận giao diện điềukhiến

- _ Điều khiến mạng lưới quản lý tài nguyên mạng trên máy chủ Các máy chủ

API gửi lệnh thông qua hàng đợi tin nhắn, sau đó được sử lý bởi bộ điều

khiển mạng Các hoạt động mà bộ điều khiển mạng thực hiện là phân bé địa

chi IP có định, câu hình VLAN cho dự án và định cấu hình mang cho các nút

điện toán.

Nova kiểm soát trình ảo hóa thông qua máy chủ API Lựa chọn tốt nhất sử dụnghypervisor có thể khó khăn và tốn ngân sách, nguồn lực Phần lớn việc phát triểnOpenStack được thực hiện trên các hệ thống xử dụng các trình ảo hóa dựa trên KVM

Nova hỗ trợ các trình ảo hóa sau: Baremetal, Hyper-V, Kernel-based Virtual Machine

DANG THE LONG — D19CQAT01-B 25

Trang 35

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

(KVM), Linux Container (LXC), Quick Emulator (QEMU), Virtuozzo, Vmware vSphere, zVM [12].

Kiến trúc của Nova gồm có sáu thành phần chính là: DB, API, Scheduler,

Compute, Conductor, Placement [12].

- DB là SQL cơ sở dé liệu dùng dé lưu trữ dữ liệu

- API nhận các yêu cầu HTTP từ giao diện, sửa đổi và giao tiếp với các thành

phần khác thông qua hàng đợi tin nhắn

- Scheduler lên lich và quyết định máy chủ sẽ sử dụng phiên bản nào

- Compute quản lý các hoạt động giao tiếp với bộ ảo hóa và máy ảo

- Conductor xử lý các yêu cầu xây dựng, thay đổi kích thước, hành động làm

proxy cơ sở dữ liệu hoặc xử lý chuyền đổi đối tượng

- Placement theo dõi nhà cung cấp tài nguyên và cách sử dụng

External service

Nova service

— > oslo messaging - ng>» OB

Placement

Đề sử dụng dịch vụ Nova cần phải có người dùng, dự án, vai trò Hệ thống Nova

được thiết kế dé những người tiêu dùng khác nhau sử dụng dưới dạng các dự án trên

một hệ thống dùng chung và các nhiệm vụ truy cập dựa trên vai trò Kiểm soát vai trò

các hành động mà người dùng được phép thực hiện Dự án là các thùng chứa tài

nguyên biệt lập tạo thành phần chính trong cơ cấu tô chức dịch vụ Nova Một dự án

thường bao gồm mạng, tệp, máy ảo, hình ảnh, khóa và người dùng Roles kiểm soátcác hành động mà người dùng được phép thực hiện [12].

2.2.4 OpenStack Networking Service

OpenStack Networking hay còn được gọi là Neutron là một hệ thống căm, có thé

mở rộng va dựa trên API dé quan ly mang va dia chi IP trong dam mây dựa trên

a

DANG THE LONG — D19CQAT01-B 26

Trang 36

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

OpenStack Neutron là một dịch vụ có thé cài đặt độc lập với các dịch vụ OpenStackkhác như Nova, Glance, Keystone, Cinder, Horizon Các dich vụ Neutron có thé duoc

phân chia giữa nhiều máy chủ dé cung cấp kha năng phục hồi và su phòng hoặc chúng

có thé được cau hình để hoạt động trên một nút duy nhất Neutron hién thị giao diệnlập trình ứng dụng hoặc API cho người dùng và chuyên yêu cầu đến các plugin mangđược cấu hình dé xử lý bổ sung Người dùng có thé xác định kết nối mang trong đámmây và các nhà khai thác dam mây được phép tận dụng các công nghệ mạng khácnhau để nâng cao và cung cấp năng lượng cho đám mây Giống như các dịch vụOpenStack khác, Neutron yêu cầu quyên truy cập vào cơ sở đữ liệu dé lưu trữ cấu hình

mạng liên tục [13].

Neutron bao gồm nhiều công nghệ có thé tìm thấy trong trung tâm dit liệu đó là:

Chuyén mạch, định tuyến, cân bằng tai, tường lửa và mạng riêng ảo Các tính năng này

có thé được cấu hình dé tận dụng phần mềm thương mại hoặc nguồn mở và cung cấp

cho nhà điều hành đám mây tất cả các công cụ cần thiết để xây dựng một đám mây

hoạt động độc lập Neutron cũng cung cấp một khuôn khổ cho các nhà cung cấp bên

thứ ba xây dựng và nâng cao khả năng của đám mây [13].

Chuyên mạch ảo được định nghĩa là một ứng dụng phần mềm kết nối các máy ảovới mạng ảo ở lớp 2 hoặc lớp lên kết đữ liệu của mô hình OSI Neutron hỗ trợ nhiềunền tảng chuyển mạch ảo, bao gồm Linux birdges provided va Open vSwitch Open

vSwitch còn được gọi là OVS là một switch ảo nguồn mở hỗ trợ các giao thức và các

giao điện quản lý tiêu chuẩn bao gồm NetFlow, SPAN (Switched Port Analyzer),

RSPAN (Remove Switched Port Analyzer), LACP (Link Aggregation Control

Protocol) va VLAN Tuy nhiên, nhiều tinh năng trong số này không được hién thị cho

người dùng thông qua API OpenStack [13].

OpenStack cung cấp kha năng định tuyến va NAT (Network AddressTranslation) thông qua việc chuyển tiếp IP, iptables và không gian mạng Mỗi khônggian mạng có bảng định tuyến, giao điện và quy trình iptables riêng cung cấp tính nănglọc và dịch địa chỉ mạng Việc định cấu hình bộ định tuyến trong Neutron cho phép

các phiên bản tương tác và liên lạc với các mạng bên ngoài hoặc các mạng trên đám

mây Không gian bộ định tuyến cũng được tận dụng bởi các dịch vụ mạng như dịch vụ

tường lửa và dịch vụ mạng riêng ảo [13].

Cân bằng tải được giới thiệu lần đầu tiên trong bản phát hành Grizzly Cung cấp

cho người dùng khả năng phân phối các yêu cầu của máy khách triên nhiêu phiên bản

hoặc máy chủ Trong bản phát hành Kilo OpenStack đã giới thiệu phiên bản thứ 2 của

API cân bằng tải API v2 là một cải tiến vượt bậc so với v1 Neutron trang bị | plugin

cho cân bằng tải sử dụng HAProxy trong quá trình triển khai tham chiếu nguồn mở

Trang 37

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

phiên bản sẽ được đặt vào các nhóm có chung chức năng và bộ quy tắc Trong triển

khai tham chiếu, khi sử dụng tường lửa ảo do tường lửa cung cấp dưới dạng dịch vụ

FwaaS, bảo mật được xử lý ở rìa mạng của bộ định tuyến thay vì ở nút điện toán [13]

Mạng riêng ảo (VPN) là một mở rộng mạng riêng qua mạng công cộng nhưInternet VPN cho phép máy tính gửi và nhận dữ liệu qua mạng công cộng như thé nóđược kết nối với mạng riêng Neutron cung cấp một bộ API để cho phép người dùngtạo các đường ham VPN dựa trên IPSec (IP Security) từ bộ định tuyến Neutron đếncác công từ xa khi sử dụng tham chiếu nguồn mở [13]

Kiến trúc tham chiếu Neutron có ít bốn loại lưu lượng mạng phổ biến là mang

quản lý, mạng API, mạng bên ngoài và mạng khách [13].

- Mang quan lý là mạng nội bộ trong 1 số bản phân phối, được sử dụng để liên

lạc nội bộ giữa các máy chủ cho các dịch vụ như dịch vụ nhắn tin và dịch vụ

cơ sở đữ liệu Tất cả các máy chủ sẽ liên lạc với nhau qua mạng này Mạngquản lý có thé được câu hình như một mạng biệt lập trên giao điện chuyêndụng hoặc kết hợp với các mạng khác

- Mạng API được sử dụng dé hiển thi OpenStack API cho người dùng và các

dịch vụ trong đám mây.

- Mang bên ngoài cung cấp cho bộ định tuyến Neutron khả năng truy cập

mạng Khi bộ định tuyến được cấu hình và gắn vào mạng bên ngoài, mạng sẽtrở thành nguồn địa chỉ IP cho các phiên bản và tài nguyên mạng khác

- Mang khách là mạng dành riêng cho lưu lượng phiên bản Các tùy chon cho

mạng khách bao gồm mạng cục bộ bị giới hạn bởi một nút cụ thể, mặt phẳnghoặc Vlan hoặc lớp phủ ảo được thực hiện bằng cách đóng gói GRE (Generic

Routing Encapsulation) hoặc XVLAN (Extended VLAN).

2.2.5 OpenStack Block Storage Service

Block Storage hay còn được gọi là Cinder cung cấp khả năng lưu trữ khối liêntục tài nguyên mà phiên bản điện toán có thể sử dụng Cinder không cung cấp giải

pháp lưu trữ chia sẻ như NES.

Kiến trúc của Cinder gồm 7 thành phần chính là: Cinder-client, Cinder-api,

Cinder-schedule, Cinder-volume, Drive, Storage, SQL DB.

- Cinder-client cho phép người dùng sử dung CLI/UI (giao diện điều khién) dé

tao request.

- Cinder-api chấp nhận và chi đường cho các request

- Cinder-schedule lên lich và định tuyến đường đi cho các request tới những

volume thích hợp.

- Cinder-volume quản lý các thiết bi Block Storage

- Drive chứa các mã dé liên lạc với các loại lưu trữ khác nhau

- Storage là các thiết bị lưu trữ từ các nhà cung cấp khác nhau

- SQL DB dùng dé back up đữ liệu từ Swift, Celp

LÔ QC

DANG THE LONG — D19CQAT01-B 28

Trang 38

dịch vụ Cinder Nó chỉ hỗ trợ các OpenStack API Cinder-scheduler lên lịch và định

tuyến các yêu cầu đến dịch vụ Tùy thuộc vào câu hình có thể lên lịch quay vòng cho

các volume hoặc có thể sử dụng bộ lập lịch lọc Bộ lập lịch lọc cho phép lọc công suất,vùng sẵn sàng, loại khối lượng va khả năng Cinder-volume quản lý các thiết bịCinder Cinder-backup dung cấp phương tiện để lưu volume Cinder vào OpenStackSwift.

Khai niệm cơ bản của OpenStack Cinder là “volume”, một khối lưu trữ ảo đượctạo ra và quản lý Volume có thé được coi như một 6 đĩa cứng ảo, cho phép lưu trữ dữliệu của các máy ảo Ngoài ra, Cinder cung cấp tính năng “snapshot” dé tạo bản sao dữ

liệu hiện tải của volume làm bản sao lưu hoặc sử dụng cho mục đích khác.

Cinder hỗ trợ nhiều loại hệ thống lưu trữ như LVM, Ceph, NFS, iCSI và nhiềuhơn nữa Điều nay cho phép người quản trị cấu hình Cinder dé sử dụng các hệ thống

lưu trữ hiện có trong môi trường.

Đề quan lý việc lưu trữ, Cinder cung cấp tính năng “hạn ngạch” dé giới han số

lượng volume và dung lượng lưu trữ cho từng người dùng và dự án Hạn ngạch giúp

ngăn chặn việc sử dụng quá mức và đảm bảo sự cân bang tài nguyên trong hệ thống

Một tính năng quan trọng khác của Cinder là “đa đính kèm” cho phép một volume

được gắn kết đồng thời với nhiều máy ảo Hỗ trợ việc chia sẻ dữ liệu giữa các máy ảo

và cung cấp khả năng sử dụng trong các hệ thống file

Cinder cung cấp các giao diện quản lý và điều chỉnh thông qua API và giao diệnđiều khiển (CLI) Nhờ vậy, người quản trị có thé tạo, xóa, thay đổi kích thước và gankết volume một cách dễ dàng và linh hoạt

LÔ QC

DANG THE LONG — D19CQAT01-B 29

Trang 39

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

2.2.6 OpenStack Object Storage Service

Object Storage hay còn được gọi là Swift, là dự án lâu đời và trưởng thành nhất

trong OpenStack Đây là công nghệ cơ bản hỗ trợ dịch vụ Cloud Files của Rackspace.

Swift cung cấp một kho đối tượng dự phòng và có khả năng mở rộng tương tự như S3của Amazon Đề cung cấp khả năng mở rộng và dự phòng, nó ghi đè nhiều bản sao củatừng đối tượng vào nhiều máy chủ lưu trữ trong các vùng riêng biệt Các vùng là mộtnhóm các máy chủ lưu trữ cách ly với nhau để bảo vệ khỏi các lỗi Mức độ cô lập tùythuộc vào nhà điều hành đám mây, chúng có thé bị cô lập trên các máy chủ khác nhau,các giá đỡ khác nhau, các phần khác nhau của trung tâm dir liệu hoặc thậm chí cáctrung tâm dữ liệu khác nhau [11].

Swift là một kho lưu trữ đối tượng, không phải là một máy chủ tệp tin Có théthấy Swift và máy chủ tệp tin khá giống nhau nhưng vẫn có những điểm khác biệt

quan trong Swift chỉ đơn giản là lưu các tệp theo nhóm logic thông qua giao thức

RESTful Chúng không phải là một hệ thống tệp thực sự và cungc không thê truy cập

qua các giao thức chia sẻ tệp tiêu chuẩn như NFS (Hệ thống tệp mạng), CIFS (Hệ

thống tệp Internet chung), AFS (Hệ thống tệp Appleshare) Dé truy cập file của mìnhthì cần phải sử dụng Swift API [11]

Swift có thé định cấu hình về số lượng bản sao, cũng như sỐ lượng vùng đượcđịnh cấu hình Các phương pháp hiện nay yêu cầu ba bản sao được viết trên năm vùng

Vi số lượng bản sao nhỏ hon hoặc bằng số lượng vùng, Swift cố gang cân bang việclưu đối tượng vào máy chủ lưu trữ dé ghi và đọc [11]

Hình 2.10: Cấu hình bản sao Swift

Swift chấp nhận yêu cầu của người dùng cuối thông qua các quy trình

swift-proxy Swift-proxy cấp nhận yêu cầu của người dùng cuối, ủy quyền và xác thực

chúng, sau đó chuyền chúng tới các quy trình đối tượng, tài khoản hoặc vùng chứa déhoàn thành Swift-proxy chấp nhận các yêu cầu thông qua OpenStack API trên công

80 Ngoài ra còn một phần mềm trung gian đề hỗ trợ giao thức Amazon S3 [11]

Swift xử lý xác thực thông qua quy trình ba bước Đầu tiên người dùng xác thựcthông qua hệ thống xác thực và nhận được một mã thông báo Bước này chỉ bắt buộc

— —==—=— -nmmm——>>>>—ềễ

DANG THE LONG — D19CQAT01-B 30

Trang 40

ĐỎ ÁN TÓT NGHIỆP CHƯƠNG 2

nếu người dùng không có mã thông báo hợp lệ Mã thông báo có giá trị trong giới hạn

thời gian do nhà điều hành cấu hình Sau đó người dùng đưa ra yêu cau thứ hai tới

Swift, chuyển mã thông báo cùng với yêu cầu trong tiêu đề HTTP Cuối cùng,

Swift-proxy xác thực mã thông báo và phản hồi yêu cầu người dùng với sự trợ giúp củaSwift-account, Swift-container và Swift-object Xác thực Swift có thé được triển khaithông qua phần mềm trung gian WSGI (Web Server Gateway Interface) hoặc dướidạng một hệ thống riêng biệt Hầu hết trong các cài đặt, tùy chọn phần mềm trung gianWSGI sẽ đơn giản hơn Tuy nhiên một số doanh nghiệp có thê thấy cách tiếp cận hệthống riêng biệt dé tích hợp hơn với sơ đồ xác thực hiện tại của họ Swift cung cấp mã

xác thực mẫu được gọi là swauth, mã này lưu trữ cơ sở dữ liệu xác thực trong chính

Swift-chứa trong dịch vu Swift Swift-object ánh xạ các tệp được lưu trữ trên nút lưu trữ.

Mỗi quy trình này chịu trách nhiệm thực hiện các yêu cầu từ nút proxy, cũng như kiểmtra ánh xạ của chúng và sao chép mọi thông tin không nhất quán sang các nút khác

Hinh 2.11: Kién tric Swift

DANG THE LONG - DI9CQAT01-B 31

Ngày đăng: 08/03/2024, 13:52

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w