HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG
NGUYEN VAN CUONG
NGHIEN CUU GIAI PHAP IDS DAM
Chuyên ngành: KHOA HOC MAY TÍNH
Mã số : 60.48.01.01
TÓM TẮT LUẬN VĂN THẠC SĨ Hà Nội - 2014
Trang 2Người hướng dẫn khoa học: TS Trịnh Anh Tuấn
Phản biện 1: TS NGUYÊN TRONG DUONGPhản biện 2: PGS TS ĐẶNG VĂN CHUYÉT
Luận văn sẽ được bảo vệ trước Hội đông châm luận văn
thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: 10 giờ 10 ngày 09 tháng 08 năm 2014
Có thê tìm hiệu luận văn tại:
— Thư viện của Học viện Công nghệ Bưu chính
Viễn thông
Trang 3MỞ ĐẦU
Thế giới công nghệ thông tin và viễn thông liên tục được cải tiễn thay đôi và phát trién không ngừng, cùng với nó là sự đòi hỏi đầu tư về cơ sở vật chất dẫn đến chi phí hạ tầng ngày cảng lớn, chính vì vậy phải có một giải pháp
công nghệ mới dé giảm thiểu chi phí đó Công nghệ “Điện
toán đám mây” ra đời
Tuy nhiên, Vấn đề an ninh đảm bảo an toàn thông
tin nói chung và trong Điện toán dám mây nói riêng, cần
được các nhà cung cấp các dịch vụ cung nhu người sử
dụng quan tâm thích đáng.
Xuất phát từ thực tế đó, mục tiêu chính của luận
văn là: Nghiên cứu giải pháp sử dụng IDS để đảm bảo an toàn trong công nghệ điện toán đám mây Cau trúc luận
văn gồm Phần mở đầu, Phần kết luận và 3 chương nội dung, cụ thé như sau:
Chương 1: Tổng quan về công nghệ điện toán đám mây.
Chương 2: An toàn bảo mật dữ liệu trong điện toán đámmây Chương 3: Giải pháp IDS dam bảo an toàn trongđiện toán đám mây.
Trang 4Chương 1: TONG QUAN VE CÔNG NGHỆ DIEN TOAN DAM MAY
1.1 Khai niém dién toan dam may
1.1.1 Lịch sử phat triển của điện toán đám
Thuật ngữ điện toán đám mây xuất hiện bắt nguồn
từ ứng dụng điện toán lưới (grid computing) trong thập
niên 1980, tiếp theo là điện toán theo nhu cầu (utility
computing) và phần mềm dịch vu (SaaS).
1.1.1 Khái niệm về điện toán đám mây
Thuật ngữ “Điện toán đám mây” (cloud computing)
ra đời vào khoảng giữa năm 2007 nhăm để khái quát lại các hướng phát triển mới của công nghệ thông tin nhờ
vào mạng Internet băng thông rộng và các trung tâm điện
toán không lồ của các hãng công nghệ như Google,
Amazon, IBM, Microsoft,
Theo định nghĩa của NIST 1: “Điện toán dam mây
là một mô hình cho phép thuận tiện, truy cập mạng theo
yêu câu đên một nơi chứa các nguôn tài nguyên tính
Trang 5toán có thé chia sé và cấu hình được (ví dụ: mạng, máy
chủ, lưu trữ, ứng dụng và dịch vụ), ở đó chúng có thê
được cung cấp và phát hành nhanh chóng với nỗ lực quản lý hoặc tương tác với nhà cung cấp tối thiểu”.
1.1 Mô hình kiến trúc của điện toán đám mây
1.2 Mô hình kiến trúc của điện toán đám mây
Kiến trúc của điện toán đám mây gồm có 5 lớp
1.2.1 Lớp Khách hàng (Client)
1.2.2 Lớp ứng dụng (Application)
1.2.3 Lớp nên tảng (Platform)
Trang 61.2.4Lớp cơ sở hạ tầng (Infữastructure)
1.2.5Lớp May chu (Server)
1.3 Những đặc điểm của điện toán đám mây
1.3.1 Tự phục vụ theo nhu cầu
1.3.2 Truy xuất diện rộng (Broad network
1.3.5Diéu tiét dich vu (Measured service)
1.4 Các loại dịch vụ của điện toán dam mây1.4.1 Mô hình dịch vụ
1.4.1.1 Dịch vu hạ tầng (Iaas)
Cung cấp cho người dùng hạ tầng thô thường là
dưới hình thức các máy ảo như là một dịch vụ Dịch vụ
laaS cung cấp các dich vu cơ bản chang hạn như các máy
chủ ảo, lưu trữ dữ liệu, và cơ sở dữ liệu trên một nền tảng
dé triển khai và chạy các ứng dụng của người dùng
1.4.1.2 Dịch vụ nền tang (Paas)
Trang 7Là dịch vụ mà nhà cung cấp cho thuê một tập hợp
các tài nguyên yêu cầu để người phát triển có thể thực
hiện được toàn bộ việc phát triển và triển khai các ứng dụng ma không cần bất kì thao tác tải hay cài đặt phan mềm nảo
1.4.1.3 Dịch vụ phần mềm ứng dụng
Đó là phần mém được phát triển và hoạt động trên
nên tảng web được quản lý bởi nhà cung cấp và cho phép người dùng truy cập từ xa Không giống như phần mềm
đóng gói truyền thống người sử dụng thường phải cài đặt vào hệ thông máy tính hoặc các máy chủ của họ, nhà cung cấp phần mềm dịch vụ SaaS làm chủ sở hữu phần mềm này và chạy phần mềm đó trên hệ thống máy tính ở trên
trung tâm cơ sở dữ liệu.
1.4.2 Mô hình triển khai
1.4.2.1 Dam mây công cộng (Public
Đây là mô hình mà hạ tang DTDM được một tô
chức sở hữu và cung câp dưới dạng dịch vụ rộng rãi cho
Trang 8tất cả các khách hàng thông qua ha tang mang Internet
hoặc các mạng công cộng diện rộng Các ứng dụng khácnhau chia sẻ chung tài nguyên tính toán, mạng và lưu trữ.
Do đó khách hàng sử dụng dịch vụ trên Public
Cloud sẽ bao gồm tất cả các tầng lớp mà khách hàng cá nhân và doanh nghiệp nhỏ sẽ có được lợi thé trong viéc
dé dang tiếp cận các ứng dụng công nghệ cao, chất lượng mà không phải dau tư ban đâu, chi phí sử dụng thấp, linh
1.4.2.2 Đám mây riêng (Private Cloud)
Là các dịch vụ đám mây được cung cấp trong doanh nghiệp Những đám mây này tồn tại bên trong
tường lửa công ty và chúng được doanh nghiệp quản lý.
Các đám mây riêng đưa ra nhiều lợi ích giống như các
đám mây chung thực hiện với sự khác biệt chính: Doanh
nghiệp có trách nhiệm thiết lập và bảo trì đám mây này.
Các đám mây riêng đưa ra nhiều lợi ích giỗng như
các đám mây chung, điểm khác biệt là doanh nghiệp chịu trách nhiệm thiết lập và bảo trì đám mây, các đám mây
riêng có nhiêu lợi thê hơn so với đám mây chung.
Trang 91.4.2.3 Dam may cộng đồng
Đám mây cộng đồng được xây dựng nhằm mục đích chia sẻ hạ tầng giữa các tô chức (doanh nghiệp) Vi
dụ các doanh nghiệp hoạt động trong cùng lĩnh vực y tế có thé chia sẻ chung đám mây Tuy nhiên để xây dựng đám
mây cộng đông thì ngoài việc cing chung lĩnh vực hoạt
động kinh doanh thì các doanh nghiệp cần phải có nhiều điểm tương đồng như có cùng mối quan tâm chung về bảo
1.4.2.4 Đám mây lai (Hybrid Cloud)
Mô hình đám mây lai (Hybrid Cloud) là sự kết hợp
của đám mây công cộng và dam mây riêng (hình 1.9).
Những đám mây này thường được các doanh nghiệp tạo raVà chịu trách nhiệm quản lý Nó được phân chia giữa
doanh nghiệp và nhà cung cấp đám mây công cộng Đám
mây lai sử dụng các dịch vụ có trong đám mây công cộng
và đám mây riêng.
Mô hình đám mây lai cho phép một doanh nghiệp
thiết lập cơ cấu tốt nhất cho mô hình kinh doanh của mình Nó tăng cường kiểm soát các Ung dụng nỘi bộ mà
Trang 10doanh nghiệp triển khai ở bên trong tường lửa của mình trong khi vẫn cung cấp phương tiện để sử dụng điện
toán đám mây khi nó phù hợp với các nhu cầu doanh
- Giảm độ phức tap trong cơ cầu doanh nghiệp
- Chi phi đầu tư thấp.
- Tốc độ xử lý nhanh, không còn phụ thuộc vảo
thiết bị và vị trí địa lý
- Dễ dàng mở rộng, nâng cấp
1.5.2 Khó khăn
- Tính riêng tư: Các thông tin về người dùng và dữ liệu được chứa trên đám mây không chắc chắn được đảm bảo tính riêng tư và các thông tin đó cũng có thé bị sử
dụng vì một mục đích khác.
Trang 11- Tính sẵn sang: Các trung tâm điện toán dam mây
hay hạ tầng mạng có thể gap sự cố, khiến cho dich vụ đám mây bị “treo” bất ngờ, nên người dùng không thể truy cập
các dịch vụ và dữ liệu của mình trong những khoảng thời
gian nao đó.
- Khả năng mắt dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây bất ngờ ngừng hoạt động
hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài
trường hợp, vì một lý do nào đó, dữ liệu người dùng bị
mat và không thê phục hồi được.
Chương 2: AN TOÀN BẢO MẬT TRONG DỮ
LIEU ĐAM MAY
2.1 Cơ bản về bảo mật thông tin trong điện
toán đám mây
Trong phân này luận văn sẽ nêu một cách tông
quan nhât vê vân đê an ninh bảo mật mạng và an ninh
bảo mật trong hệ thống điện toán đám mây.
2.1.1 Tổng quan về an ninh bảo mật mạng
2.1.2 Tổng quan về an ninh bảo mật tronghệ thống điện toán đám mây
Trang 122.2 Các vẫn đề về an toàn bảo mật
2.2.1 An toàn bảo mật ở mức hạ tầng
An ninh của các dịch vụ ở tầng thấp như tầng
vật lý hay ha tầng (IaaS) phụ thuộc vào nhà cung cấp, tức là chủ sở hữu của đám mây Hiện tại, có một số nhà
cung cấp dich vụ IaaS nhưng chưa có chuẩn nào về an
ninh cho các dịch vu này VỀ mặt nguyên tac, khách
hàng thuê bao dịch vụ laaS có thê áp đặt các chính sách
an ninh của mình bang cách phát triển các dich vụ hay
tiện ích riêng thông qua các dịch vụ của tầng vật lý và
các dịch vụ laaS của nhà cung câp.
Những mối đe doa an toàn ở mức này có thé
liên quan tới máy chu ảo (Virtual Machine) như là virut
và các phần mềm độc hại khác Nhà cung cấp dịch vụ chịu trách nhiệm chính về giải pháp cho vấn đề này.
2.2.2 An toàn bảo mật ở mức dịch vụ nền
Ở mức trung gian, dịch vụ nền tảng (PaaS) dựa trên dịch vụ tầng dưới (IaaS) và cung cấp dịch vu của mình cho tầng trên nó (SaaS) Ở mức này, các dịch vụ
Trang 13hay tién ich về an toàn có thé được cai đặt thêm hoặc cầu hình các dịch vụ được cung cấp từ tầng dưới Ở đây, người dùng có thể quản trị phần thuê bao của mình để
tạo ra môi trường thực thi các ứng dụng Vì dịch vụ
nên tảng là dịch vụ đa thuê bao, nhiều người dùng nên
cơ chế xác thực, chứng thực là rất quan trọng Trách
nhiệm bảo mật va an toan trong trường hợp này liên
quan đến cả nhà cung cấp, người thuê bao và người
dùng (user).
2.2.3 An toàn bảo mật ở mức dịch vụ phần
Ở mức dich vụ phần mềm (SaaS), các phan
mềm được cung cấp như là dịch vụ trên mạng, sử dụng
các chính sách bảo mật dữ liệu và tài nguyên khác từ các
tang bên dưới cung cấp Một số dịch vụ phần mém khá phố biến hiện nay là Google Search Engine, Google mail Khách hàng của các dịch vụ này không biết
được dữ liệu của mình được quản lý và khai thác như
thế nào và nó nằm ở đâu trên thế giới này Vấn đề an ninh ở đây liên quan đến bảo mật dữ liệu, rò rỉ thông tin nhạy cảm va nguy cơ bi tấn công từ chối truy cập
Trang 14Trách nhiệm về an toàn được chia sẻ cho nhà cung cấp
hạ tầng đám mây và nhà cung cấp dịch vụ phần mềm Các phần mềm được cung cấp trên nền web (web-based
application) Các web này thường được đặt ở máy chủ ảo
trên đám mây, cho nên chúng phải được kiểm tra bằng cách quét các yếu điểm web nhờ vào một ứng dụng quét
nào đó
Vì vậy, các nhà cung câp phải có những chính sáchchung băt buộc và cách kiêm soát sao cho những câu
hình an toàn, bảo mật phải nhât quán, chặt chẽ và không
có lỗ hồng.
2.3 Các nguy cơ làm mat an toàn bảo mật
dữ liệu
- _ Nguy cơ mat an toàn thông tin - _ Nguy cơ về virut
- - Nguy cơ lừa đảo và lỗ hồng web
- Kha năng rủi ro trong quá trình triển khai
- Chính sách bảo mật hiện tại của hệ thống có thể không phù hợp
Trang 15- Việc triên khai mô hình đám mây chưa đáp
ứng được yêu câu uỷ thác
- Cac nha cung cap dich vu su dung cac chuan
bảo mật thiếu thực tế kinh nghiệm (SAML,
WSTrust, ISO, )
- Khong AI sé quan sat và chịu trách nhiệm baođảm an toàn cho dữ liệu.
2.4 Bảo mật với IDS2.4.1 Khái niệm IDS
Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm
nhập, cũng như các hành vi khai thác trái phép tai nguyên
của hệ thống được bảo vệ
2.4.2 Kiến trúc hệ thống IDS
Kiến trúc của hệ thống IDS bao gồm các thành
phan chính: Thành phan thu thập gói tin (information
collection), thành phần phân tích gói tin(Dectection),
thành phan phản hồi (respontion) nếu gói tin đó được
phát hiện là một tấn công cua tin tặc
Trang 162.4.3 Phân loại IDS
2.4.3.1 Network Base IDS (NIDS)2.4.3.2 Host Base IDS (HIDS)
Chuong 3: GIAI PHAP IDS DAM BAO AN
TOAN TRONG DIEN TOAN DAM MAY
3.1 Mô phỏng IDS cho mô hình điện toán
đám mây
Người sử dụng công nghệ điện toán dam mây công
cộng triển khai một hệ thống phát hiện xâm nhập IDS để
hỗ trợ bảo vệ các máy ảo của họ, chống lại các cuộc tấn công bắt nguồn từ bên ngoai hệ thống Internet hoặc những
nguôn gôc tan công chính bên trong điện toán dam mây
Trang 17Các tính năng của IDS trong quá trình hệ thống
điện toán dam mây hoạt động như sau:
- Theo yêu cau đàn hồi
- Kha năng di chuyên- Hé thông điêu khiên
- Tuy chỉnh quy tắc
- - Độ tin cậy
3.2 Đề xuất kiến trúc IDS trong mô hình
điện toán đám mây
Kiến trúc IDSaaS gồm có 5 thành phần chính bao
gồm: Intrusion Engine, Output Processor, Events
Database, Alerts Management, Rule-set Manager nhu hinh
Administrator Alerts Management Storage Unit
(Snorby) (Events Database)
Trang 183.3 Khao sát va đánh gia thử nghiệm với
mô hình điện toán dam mây Amazon
3.3.1 Mô hình điện toán dam mây của
Amazon Elastic Compute Cloud (EC2) được
Amazon ra cho ra đời vào năm 2006, EC2 đã trở thành
một nền tảng đám mây đăng cấp thế giới Với mô hình
kính doanh, Amazon Web Services nói chung thường
được coi là một trong những dịch vụ tốt nhất
Trang 193.3.2 Khảo sát
Khảo sát thực nghiệm băng các kịch bản IDSaaS
trong dịch vụ web của Amazon bằng cách thực hiện đám
mây EC2 đã nêu ở trên Tất cả các thành phần IDSaaS được dưa theo hình thức cấu trúc của Amazon Machine Images (AMD), và theo yêu cầu tính năng đàn hồi IDSaaS vì vậy ta có thể thực hiện thực nghiệm bắt đầu các trường
hợp đánh giá chi phi trong quá trình sử dụng dịch vụ đám
mây cụ thể như sau:
Ô- oo” Internet ˆ « IDSaaS in Amazon Cloud
Trang 20- Thành phan: IDSaaS được xây dựng bang cách
sử dụng một bộ công cụ mã nguồn mở Với các bộ luật
Snort tạo nên hệ thống phát hiện xâm nhập trên mã
nguồn mở, trong quá trình đó thì thành phan output và
Barnyard2 [12] là thành phần chính được sử dụng trong
Intrusion Engine va Event Database Sử dụng cơ sở dtr
liệu Msql dé lưu trữ các thông bao trong quá trình thực
- Môi trường mạng: Các IDSaaS sử dung Virtual
Private Cloud (VPC) từ dịch vụ của Amazon Thiết lập
mạng V- Lan ta có thé tạo ra một khu vực mang private
giữa danh giới với đám mây công cộng, mà chỉ có người
dùng có quyền kiểm soát ứng dụng đặt trong đó.
- IDSaaS VMs: Ta phải quan tâm tới 2 vấn đề
chính đó là: cách thức quan lý IDSaaS ([DSaaSManager) và IDS Core.
- Security Groups (SG): Nhóm bảo mật nay sẽ xác
định cho phép hay không cho phép các dịch vụ chạy trên
mỗi VM trong đám mây Amazon EC2 hay không.
3.3.3 Đánh giá thử nghiệm
Trang 213.3.3.1 Thử nghiệm khảo sát chỉ phí của
Đánh giá hiệu quả của IDSaaS bang cách đo
lượng chi phi gia tang khi doanh nghiệp sử dụng các ứng
dụng trong đám mây công cộng khi triển khai giải pháp IDSaaS và khi không triển khai giải pháp IDS, từ thực nghiệm này kết luận kết quả cho thấy chỉ phí gia tăng khi
sử dụng IDSaaS của người sử dụng hay của các doanh
nghiệp có thé chấp nhận được hay không.
External Internal
Location Location
Base Network HTTP Request | 0,303 Sec 0,224 Sec
(No VPC, No
IDSaaS FTP Request 16,731 Sec 3,969 Sec
VPC Network HTTP Request | 0,310Sec |0,230 Sec
(No IDSaas) FTP Request 17,040 Sec 4,098 Sec
IDSaaS Network HTTP Rule 0,329 Sec 0,232 Sec
(VPC IDSaas FTP Rule 18, 505 Sec | 4,337 Sec
Trang 223.3.3.2 Thứ nghiệm IDSaaS Rules
Trong phần thực nghiệm này ta thực hiện việc thiết lập và quan sát, đánh giá số lượng các rule trong các kịch
bản xâm nhập của từng giai đoạn khác nhau tới Intrusion
Engine (IDS Core VM) Cụ thé chia làm 3 giai đoạn như sau:
Giai đoạn 1: Số lượng Rule bao gồm một bộ hoan
chỉnh các rules (18833 rules)
- Giai doan 2: Giam rule va thiét lap 11 rules dai
diện cho phản ứng tan công (Attack-Response (A-R)).
- Giai đoạn 3: Cuối cùng kết hợp với một rule duy
nhất dé tự động phát hiện các cuộc tấn công - Automatic
Directory Listing (ADL)
Két qua thuc nghiém trén cho thay ly do cho phép tất cả các rule trong bộ hoàn chỉnh ở giai đoạn 1 hoạt động sẽ làm giảm hiệu suất Intrusion Engine nó sẽ tăng
khả năng cảnh báo sai.
Trang 233.3.3.3 Thử nghiệm phân phối IDSaaS
Thực hiện thử nghiệm quá trình phân phối hay cai đặt
IDSaaS tại các vụ trí khác nhau trong hệ thông dam may
Cụ thể trong phần này ta xem xét 3 cấu hình chính như
- Cấu hình 1: Đặt IDS Core VM và các và các
Manager VM trong cùng khu vực của một VPC điện toán
đám mây.
- Cau hình 2: Vị tri Manager VM năm bên ngoài
đám mây của doanh nghiệp
Trang 24Đề đảm bảo cho quyên riêng tư trong quá trình quan lý
lưu trữ các cảnh báo, cũng như giảm chi phí lưu trữ lich sử
các cảnh báo.
- Câu hình 3: Những IDS Core VM và Manager
VM là đặt lại các khu vực khác nhau của dam mây Cacứng dụng của doanh nghiệp va IDS Core VM được đặt
trong EU khu vực điện toán dam mây, là vi trí trong khu
vực phí Đông Hoa Ky của các đám mây Amazon, và
Manager VM năm trong vi trí các đám mây công cộng
Kết quả cho thấy với giá trị chi phí trong khoảng thời gian như trong cấu hình 2 và cau hình 3 là do khoảng cách địa lý trong quá trình truyền cảnh báo giữa hai khu vực Amazon khác nhau Ngược lại trong cầu hình 1 do
IDS Core VM và các và các Manager VM trong cùng khu
vực của một VPC điện toán đám mây cho nên kết quả đem
lại với hiệu suất cao, chi phí về thời gian thấp nhiều so với cấu hình 2 va cau hình 3 Các kết quả được thé hiện trong
biêu đô: