Nghiên cứu giải pháp IDS (Intrusion Detection System) đảm bảo an toàn trong Điện toán đám mây

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG

NGUYEN VAN CUONG

NGHIEN CUU GIAI PHAP IDS DAM

Chuyên ngành: KHOA HOC MAY TÍNH

Mã số : 60.48.01.01

TÓM TẮT LUẬN VĂN THẠC SĨ Hà Nội - 2014

Người hướng dẫn khoa học: TS Trịnh Anh Tuấn

Phản biện 1: TS NGUYÊN TRONG DUONGPhản biện 2: PGS TS ĐẶNG VĂN CHUYÉT

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn

thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: 10 giờ 10 ngày 09 tháng 08 năm 2014

Có thê tìm hiệu luận văn tại:

— Thư viện của Học viện Công nghệ Bưu chính

Viễn thông

MỞ ĐẦU

Thế giới công nghệ thông tin và viễn thông liên tục được cải tiễn thay đôi và phát trién không ngừng, cùng với nó là sự đòi hỏi đầu tư về cơ sở vật chất dẫn đến chi phí hạ tầng ngày cảng lớn, chính vì vậy phải có một giải pháp

công nghệ mới dé giảm thiểu chi phí đó Công nghệ “Điện

toán đám mây” ra đời

Tuy nhiên, Vấn đề an ninh đảm bảo an toàn thông

tin nói chung và trong Điện toán dám mây nói riêng, cần

được các nhà cung cấp các dịch vụ cung nhu người sử

dụng quan tâm thích đáng.

Xuất phát từ thực tế đó, mục tiêu chính của luận

văn là: Nghiên cứu giải pháp sử dụng IDS để đảm bảo an toàn trong công nghệ điện toán đám mây Cau trúc luận

văn gồm Phần mở đầu, Phần kết luận và 3 chương nội dung, cụ thé như sau:

Chương 1: Tổng quan về công nghệ điện toán đám mây.

Chương 2: An toàn bảo mật dữ liệu trong điện toán đámmây Chương 3: Giải pháp IDS dam bảo an toàn trongđiện toán đám mây.

Chương 1: TONG QUAN VE CÔNG NGHỆ DIEN TOAN DAM MAY

1.1 Khai niém dién toan dam may

1.1.1 Lịch sử phat triển của điện toán đám

Thuật ngữ điện toán đám mây xuất hiện bắt nguồn

từ ứng dụng điện toán lưới (grid computing) trong thập

niên 1980, tiếp theo là điện toán theo nhu cầu (utility

computing) và phần mềm dịch vu (SaaS).

1.1.1 Khái niệm về điện toán đám mây

Thuật ngữ “Điện toán đám mây” (cloud computing)

ra đời vào khoảng giữa năm 2007 nhăm để khái quát lại các hướng phát triển mới của công nghệ thông tin nhờ

vào mạng Internet băng thông rộng và các trung tâm điện

toán không lồ của các hãng công nghệ như Google,

Amazon, IBM, Microsoft,

Theo định nghĩa của NIST 1: “Điện toán dam mây

là một mô hình cho phép thuận tiện, truy cập mạng theo

yêu câu đên một nơi chứa các nguôn tài nguyên tính

toán có thé chia sé và cấu hình được (ví dụ: mạng, máy

chủ, lưu trữ, ứng dụng và dịch vụ), ở đó chúng có thê

được cung cấp và phát hành nhanh chóng với nỗ lực quản lý hoặc tương tác với nhà cung cấp tối thiểu”.

1.1 Mô hình kiến trúc của điện toán đám mây

1.2 Mô hình kiến trúc của điện toán đám mây

Kiến trúc của điện toán đám mây gồm có 5 lớp

1.2.1 Lớp Khách hàng (Client)

1.2.2 Lớp ứng dụng (Application)

1.2.3 Lớp nên tảng (Platform)

1.2.4Lớp cơ sở hạ tầng (Infữastructure)

1.2.5Lớp May chu (Server)

1.3 Những đặc điểm của điện toán đám mây

1.3.1 Tự phục vụ theo nhu cầu

1.3.2 Truy xuất diện rộng (Broad network

1.3.5Diéu tiét dich vu (Measured service)

1.4 Các loại dịch vụ của điện toán dam mây1.4.1 Mô hình dịch vụ

1.4.1.1 Dịch vu hạ tầng (Iaas)

Cung cấp cho người dùng hạ tầng thô thường là

dưới hình thức các máy ảo như là một dịch vụ Dịch vụ

laaS cung cấp các dich vu cơ bản chang hạn như các máy

chủ ảo, lưu trữ dữ liệu, và cơ sở dữ liệu trên một nền tảng

dé triển khai và chạy các ứng dụng của người dùng

1.4.1.2 Dịch vụ nền tang (Paas)

Là dịch vụ mà nhà cung cấp cho thuê một tập hợp

các tài nguyên yêu cầu để người phát triển có thể thực

hiện được toàn bộ việc phát triển và triển khai các ứng dụng ma không cần bất kì thao tác tải hay cài đặt phan mềm nảo

1.4.1.3 Dịch vụ phần mềm ứng dụng

Đó là phần mém được phát triển và hoạt động trên

nên tảng web được quản lý bởi nhà cung cấp và cho phép người dùng truy cập từ xa Không giống như phần mềm

đóng gói truyền thống người sử dụng thường phải cài đặt vào hệ thông máy tính hoặc các máy chủ của họ, nhà cung cấp phần mềm dịch vụ SaaS làm chủ sở hữu phần mềm này và chạy phần mềm đó trên hệ thống máy tính ở trên

trung tâm cơ sở dữ liệu.

1.4.2 Mô hình triển khai

1.4.2.1 Dam mây công cộng (Public

Đây là mô hình mà hạ tang DTDM được một tô

chức sở hữu và cung câp dưới dạng dịch vụ rộng rãi cho

tất cả các khách hàng thông qua ha tang mang Internet

hoặc các mạng công cộng diện rộng Các ứng dụng khácnhau chia sẻ chung tài nguyên tính toán, mạng và lưu trữ.

Do đó khách hàng sử dụng dịch vụ trên Public

Cloud sẽ bao gồm tất cả các tầng lớp mà khách hàng cá nhân và doanh nghiệp nhỏ sẽ có được lợi thé trong viéc

dé dang tiếp cận các ứng dụng công nghệ cao, chất lượng mà không phải dau tư ban đâu, chi phí sử dụng thấp, linh

1.4.2.2 Đám mây riêng (Private Cloud)

Là các dịch vụ đám mây được cung cấp trong doanh nghiệp Những đám mây này tồn tại bên trong

tường lửa công ty và chúng được doanh nghiệp quản lý.

Các đám mây riêng đưa ra nhiều lợi ích giống như các

đám mây chung thực hiện với sự khác biệt chính: Doanh

nghiệp có trách nhiệm thiết lập và bảo trì đám mây này.

Các đám mây riêng đưa ra nhiều lợi ích giỗng như

các đám mây chung, điểm khác biệt là doanh nghiệp chịu trách nhiệm thiết lập và bảo trì đám mây, các đám mây

riêng có nhiêu lợi thê hơn so với đám mây chung.

1.4.2.3 Dam may cộng đồng

Đám mây cộng đồng được xây dựng nhằm mục đích chia sẻ hạ tầng giữa các tô chức (doanh nghiệp) Vi

dụ các doanh nghiệp hoạt động trong cùng lĩnh vực y tế có thé chia sẻ chung đám mây Tuy nhiên để xây dựng đám

mây cộng đông thì ngoài việc cing chung lĩnh vực hoạt

động kinh doanh thì các doanh nghiệp cần phải có nhiều điểm tương đồng như có cùng mối quan tâm chung về bảo

1.4.2.4 Đám mây lai (Hybrid Cloud)

Mô hình đám mây lai (Hybrid Cloud) là sự kết hợp

của đám mây công cộng và dam mây riêng (hình 1.9).

Những đám mây này thường được các doanh nghiệp tạo raVà chịu trách nhiệm quản lý Nó được phân chia giữa

doanh nghiệp và nhà cung cấp đám mây công cộng Đám

mây lai sử dụng các dịch vụ có trong đám mây công cộng

và đám mây riêng.

Mô hình đám mây lai cho phép một doanh nghiệp

thiết lập cơ cấu tốt nhất cho mô hình kinh doanh của mình Nó tăng cường kiểm soát các Ung dụng nỘi bộ mà

doanh nghiệp triển khai ở bên trong tường lửa của mình trong khi vẫn cung cấp phương tiện để sử dụng điện

toán đám mây khi nó phù hợp với các nhu cầu doanh

- Giảm độ phức tap trong cơ cầu doanh nghiệp

- Chi phi đầu tư thấp.

- Tốc độ xử lý nhanh, không còn phụ thuộc vảo

thiết bị và vị trí địa lý

- Dễ dàng mở rộng, nâng cấp

1.5.2 Khó khăn

- Tính riêng tư: Các thông tin về người dùng và dữ liệu được chứa trên đám mây không chắc chắn được đảm bảo tính riêng tư và các thông tin đó cũng có thé bị sử

dụng vì một mục đích khác.

- Tính sẵn sang: Các trung tâm điện toán dam mây

hay hạ tầng mạng có thể gap sự cố, khiến cho dich vụ đám mây bị “treo” bất ngờ, nên người dùng không thể truy cập

các dịch vụ và dữ liệu của mình trong những khoảng thời

gian nao đó.

- Khả năng mắt dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây bất ngờ ngừng hoạt động

hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài

trường hợp, vì một lý do nào đó, dữ liệu người dùng bị

mat và không thê phục hồi được.

Chương 2: AN TOÀN BẢO MẬT TRONG DỮ

LIEU ĐAM MAY

2.1 Cơ bản về bảo mật thông tin trong điện

toán đám mây

Trong phân này luận văn sẽ nêu một cách tông

quan nhât vê vân đê an ninh bảo mật mạng và an ninh

bảo mật trong hệ thống điện toán đám mây.

2.1.1 Tổng quan về an ninh bảo mật mạng

2.1.2 Tổng quan về an ninh bảo mật tronghệ thống điện toán đám mây

2.2 Các vẫn đề về an toàn bảo mật

2.2.1 An toàn bảo mật ở mức hạ tầng

An ninh của các dịch vụ ở tầng thấp như tầng

vật lý hay ha tầng (IaaS) phụ thuộc vào nhà cung cấp, tức là chủ sở hữu của đám mây Hiện tại, có một số nhà

cung cấp dich vụ IaaS nhưng chưa có chuẩn nào về an

ninh cho các dịch vu này VỀ mặt nguyên tac, khách

hàng thuê bao dịch vụ laaS có thê áp đặt các chính sách

an ninh của mình bang cách phát triển các dich vụ hay

tiện ích riêng thông qua các dịch vụ của tầng vật lý và

các dịch vụ laaS của nhà cung câp.

Những mối đe doa an toàn ở mức này có thé

liên quan tới máy chu ảo (Virtual Machine) như là virut

và các phần mềm độc hại khác Nhà cung cấp dịch vụ chịu trách nhiệm chính về giải pháp cho vấn đề này.

2.2.2 An toàn bảo mật ở mức dịch vụ nền

Ở mức trung gian, dịch vụ nền tảng (PaaS) dựa trên dịch vụ tầng dưới (IaaS) và cung cấp dịch vu của mình cho tầng trên nó (SaaS) Ở mức này, các dịch vụ

hay tién ich về an toàn có thé được cai đặt thêm hoặc cầu hình các dịch vụ được cung cấp từ tầng dưới Ở đây, người dùng có thể quản trị phần thuê bao của mình để

tạo ra môi trường thực thi các ứng dụng Vì dịch vụ

nên tảng là dịch vụ đa thuê bao, nhiều người dùng nên

cơ chế xác thực, chứng thực là rất quan trọng Trách

nhiệm bảo mật va an toan trong trường hợp này liên

quan đến cả nhà cung cấp, người thuê bao và người

dùng (user).

2.2.3 An toàn bảo mật ở mức dịch vụ phần

Ở mức dich vụ phần mềm (SaaS), các phan

mềm được cung cấp như là dịch vụ trên mạng, sử dụng

các chính sách bảo mật dữ liệu và tài nguyên khác từ các

tang bên dưới cung cấp Một số dịch vụ phần mém khá phố biến hiện nay là Google Search Engine, Google mail Khách hàng của các dịch vụ này không biết

được dữ liệu của mình được quản lý và khai thác như

thế nào và nó nằm ở đâu trên thế giới này Vấn đề an ninh ở đây liên quan đến bảo mật dữ liệu, rò rỉ thông tin nhạy cảm va nguy cơ bi tấn công từ chối truy cập

Trách nhiệm về an toàn được chia sẻ cho nhà cung cấp

hạ tầng đám mây và nhà cung cấp dịch vụ phần mềm Các phần mềm được cung cấp trên nền web (web-based

application) Các web này thường được đặt ở máy chủ ảo

trên đám mây, cho nên chúng phải được kiểm tra bằng cách quét các yếu điểm web nhờ vào một ứng dụng quét

nào đó

Vì vậy, các nhà cung câp phải có những chính sáchchung băt buộc và cách kiêm soát sao cho những câu

hình an toàn, bảo mật phải nhât quán, chặt chẽ và không

có lỗ hồng.

2.3 Các nguy cơ làm mat an toàn bảo mật

dữ liệu

- _ Nguy cơ mat an toàn thông tin - _ Nguy cơ về virut

- - Nguy cơ lừa đảo và lỗ hồng web

- Kha năng rủi ro trong quá trình triển khai

- Chính sách bảo mật hiện tại của hệ thống có thể không phù hợp

- Việc triên khai mô hình đám mây chưa đáp

ứng được yêu câu uỷ thác

- Cac nha cung cap dich vu su dung cac chuan

bảo mật thiếu thực tế kinh nghiệm (SAML,

WSTrust, ISO, )

- Khong AI sé quan sat và chịu trách nhiệm baođảm an toàn cho dữ liệu.

2.4 Bảo mật với IDS2.4.1 Khái niệm IDS

Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm

nhập, cũng như các hành vi khai thác trái phép tai nguyên

của hệ thống được bảo vệ

2.4.2 Kiến trúc hệ thống IDS

Kiến trúc của hệ thống IDS bao gồm các thành

phan chính: Thành phan thu thập gói tin (information

collection), thành phần phân tích gói tin(Dectection),

thành phan phản hồi (respontion) nếu gói tin đó được

phát hiện là một tấn công cua tin tặc

2.4.3 Phân loại IDS

2.4.3.1 Network Base IDS (NIDS)2.4.3.2 Host Base IDS (HIDS)

Chuong 3: GIAI PHAP IDS DAM BAO AN

TOAN TRONG DIEN TOAN DAM MAY

3.1 Mô phỏng IDS cho mô hình điện toán

đám mây

Người sử dụng công nghệ điện toán dam mây công

cộng triển khai một hệ thống phát hiện xâm nhập IDS để

hỗ trợ bảo vệ các máy ảo của họ, chống lại các cuộc tấn công bắt nguồn từ bên ngoai hệ thống Internet hoặc những

nguôn gôc tan công chính bên trong điện toán dam mây

Các tính năng của IDS trong quá trình hệ thống

điện toán dam mây hoạt động như sau:

- Theo yêu cau đàn hồi

- Kha năng di chuyên- Hé thông điêu khiên

- Tuy chỉnh quy tắc

- - Độ tin cậy

3.2 Đề xuất kiến trúc IDS trong mô hình

điện toán đám mây

Kiến trúc IDSaaS gồm có 5 thành phần chính bao

gồm: Intrusion Engine, Output Processor, Events

Database, Alerts Management, Rule-set Manager nhu hinh

Administrator Alerts Management Storage Unit

(Snorby) (Events Database)

3.3 Khao sát va đánh gia thử nghiệm với

mô hình điện toán dam mây Amazon

3.3.1 Mô hình điện toán dam mây của

Amazon Elastic Compute Cloud (EC2) được

Amazon ra cho ra đời vào năm 2006, EC2 đã trở thành

một nền tảng đám mây đăng cấp thế giới Với mô hình

kính doanh, Amazon Web Services nói chung thường

được coi là một trong những dịch vụ tốt nhất

3.3.2 Khảo sát

Khảo sát thực nghiệm băng các kịch bản IDSaaS

trong dịch vụ web của Amazon bằng cách thực hiện đám

mây EC2 đã nêu ở trên Tất cả các thành phần IDSaaS được dưa theo hình thức cấu trúc của Amazon Machine Images (AMD), và theo yêu cầu tính năng đàn hồi IDSaaS vì vậy ta có thể thực hiện thực nghiệm bắt đầu các trường

hợp đánh giá chi phi trong quá trình sử dụng dịch vụ đám

mây cụ thể như sau:

Ô- oo” Internet ˆ « IDSaaS in Amazon Cloud

- Thành phan: IDSaaS được xây dựng bang cách

sử dụng một bộ công cụ mã nguồn mở Với các bộ luật

Snort tạo nên hệ thống phát hiện xâm nhập trên mã

nguồn mở, trong quá trình đó thì thành phan output và

Barnyard2 [12] là thành phần chính được sử dụng trong

Intrusion Engine va Event Database Sử dụng cơ sở dtr

liệu Msql dé lưu trữ các thông bao trong quá trình thực

- Môi trường mạng: Các IDSaaS sử dung Virtual

Private Cloud (VPC) từ dịch vụ của Amazon Thiết lập

mạng V- Lan ta có thé tạo ra một khu vực mang private

giữa danh giới với đám mây công cộng, mà chỉ có người

dùng có quyền kiểm soát ứng dụng đặt trong đó.

- IDSaaS VMs: Ta phải quan tâm tới 2 vấn đề

chính đó là: cách thức quan lý IDSaaS ([DSaaSManager) và IDS Core.

- Security Groups (SG): Nhóm bảo mật nay sẽ xác

định cho phép hay không cho phép các dịch vụ chạy trên

mỗi VM trong đám mây Amazon EC2 hay không.

3.3.3 Đánh giá thử nghiệm

3.3.3.1 Thử nghiệm khảo sát chỉ phí của

Đánh giá hiệu quả của IDSaaS bang cách đo

lượng chi phi gia tang khi doanh nghiệp sử dụng các ứng

dụng trong đám mây công cộng khi triển khai giải pháp IDSaaS và khi không triển khai giải pháp IDS, từ thực nghiệm này kết luận kết quả cho thấy chỉ phí gia tăng khi

sử dụng IDSaaS của người sử dụng hay của các doanh

nghiệp có thé chấp nhận được hay không.

External Internal

Location Location

Base Network HTTP Request | 0,303 Sec 0,224 Sec

(No VPC, No

IDSaaS FTP Request 16,731 Sec 3,969 Sec

VPC Network HTTP Request | 0,310Sec |0,230 Sec

(No IDSaas) FTP Request 17,040 Sec 4,098 Sec

IDSaaS Network HTTP Rule 0,329 Sec 0,232 Sec

(VPC IDSaas FTP Rule 18, 505 Sec | 4,337 Sec

3.3.3.2 Thứ nghiệm IDSaaS Rules

Trong phần thực nghiệm này ta thực hiện việc thiết lập và quan sát, đánh giá số lượng các rule trong các kịch

bản xâm nhập của từng giai đoạn khác nhau tới Intrusion

Engine (IDS Core VM) Cụ thé chia làm 3 giai đoạn như sau:

Giai đoạn 1: Số lượng Rule bao gồm một bộ hoan

chỉnh các rules (18833 rules)

- Giai doan 2: Giam rule va thiét lap 11 rules dai

diện cho phản ứng tan công (Attack-Response (A-R)).

- Giai đoạn 3: Cuối cùng kết hợp với một rule duy

nhất dé tự động phát hiện các cuộc tấn công - Automatic

Directory Listing (ADL)

Két qua thuc nghiém trén cho thay ly do cho phép tất cả các rule trong bộ hoàn chỉnh ở giai đoạn 1 hoạt động sẽ làm giảm hiệu suất Intrusion Engine nó sẽ tăng

khả năng cảnh báo sai.

3.3.3.3 Thử nghiệm phân phối IDSaaS

Thực hiện thử nghiệm quá trình phân phối hay cai đặt

IDSaaS tại các vụ trí khác nhau trong hệ thông dam may

Cụ thể trong phần này ta xem xét 3 cấu hình chính như

- Cấu hình 1: Đặt IDS Core VM và các và các

Manager VM trong cùng khu vực của một VPC điện toán

đám mây.

- Cau hình 2: Vị tri Manager VM năm bên ngoài

đám mây của doanh nghiệp

Đề đảm bảo cho quyên riêng tư trong quá trình quan lý

lưu trữ các cảnh báo, cũng như giảm chi phí lưu trữ lich sử

các cảnh báo.

- Câu hình 3: Những IDS Core VM và Manager

VM là đặt lại các khu vực khác nhau của dam mây Cacứng dụng của doanh nghiệp va IDS Core VM được đặt

trong EU khu vực điện toán dam mây, là vi trí trong khu

vực phí Đông Hoa Ky của các đám mây Amazon, và

Manager VM năm trong vi trí các đám mây công cộng

Kết quả cho thấy với giá trị chi phí trong khoảng thời gian như trong cấu hình 2 và cau hình 3 là do khoảng cách địa lý trong quá trình truyền cảnh báo giữa hai khu vực Amazon khác nhau Ngược lại trong cầu hình 1 do

IDS Core VM và các và các Manager VM trong cùng khu

vực của một VPC điện toán đám mây cho nên kết quả đem

lại với hiệu suất cao, chi phí về thời gian thấp nhiều so với cấu hình 2 va cau hình 3 Các kết quả được thé hiện trong

biêu đô: