Nghiên cứu giải pháp IDS (Intrusion Detection System) đảm bảo an toàn trong Điện toán đám mây

toán đám mây” ra đờiTuy nhiên, Vấn đề an ninh đảm bảo an toàn thông tin nói chung và trong Điện toán dám mây nói riêng, cần được các nhà cung cấp các dịch vụ cung nhu người sử dụng quan

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG

ey"

NGUYEN VAN CUONG

NGHIEN CUU GIAI PHAP IDS DAM

Chuyên ngành: KHOA HOC MAY TÍNH

Mã số : 60.48.01.01

TÓM TẮT LUẬN VĂN THẠC SĨ

Hà Nội - 2014

Người hướng dẫn khoa học: TS Trịnh Anh Tuấn

Phản biện 1: TS NGUYÊN TRONG DUONG

Phản biện 2: PGS TS ĐẶNG VĂN CHUYÉT

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn

thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: 10 giờ 10 ngày 09 tháng 08 năm 2014

Có thê tìm hiệu luận văn tại:

— Thư viện của Học viện Công nghệ Bưu chính

Viễn thông

toán đám mây” ra đời

Tuy nhiên, Vấn đề an ninh đảm bảo an toàn thông

tin nói chung và trong Điện toán dám mây nói riêng, cần

được các nhà cung cấp các dịch vụ cung nhu người sử

dụng quan tâm thích đáng.

Xuất phát từ thực tế đó, mục tiêu chính của luận

văn là: Nghiên cứu giải pháp sử dụng IDS để đảm bảo antoàn trong công nghệ điện toán đám mây Cau trúc luận

văn gồm Phần mở đầu, Phần kết luận và 3 chương nội dung, cụ thé như sau:

Chương 1: Tổng quan về công nghệ điện toán đám mây.

Chương 2: An toàn bảo mật dữ liệu trong điện toán đám mây Chương 3: Giải pháp IDS dam bảo an toàn trong điện toán đám mây.

Chương 1: TONG QUAN VE CÔNG NGHỆ

DIEN TOAN DAM MAY

1.1 Khai niém dién toan dam may

1.1.1 Lịch sử phat triển của điện toán đám

A

may

Thuật ngữ điện toán đám mây xuất hiện bắt nguồn

từ ứng dụng điện toán lưới (grid computing) trong thập

niên 1980, tiếp theo là điện toán theo nhu cầu (utility

computing) và phần mềm dịch vu (SaaS)

1.1.1 Khái niệm về điện toán đám mây

Thuật ngữ “Điện toán đám mây” (cloud computing)

ra đời vào khoảng giữa năm 2007 nhăm để khái quát

lại các hướng phát triển mới của công nghệ thông tin nhờ

vào mạng Internet băng thông rộng và các trung tâm điện

toán không lồ của các hãng công nghệ như Google,

Amazon, IBM, Microsoft,

Theo định nghĩa của NIST 1: “Điện toán dam mây

là một mô hình cho phép thuận tiện, truy cập mạng theo

yêu câu đên một nơi chứa các nguôn tài nguyên tính

toán có thé chia sé và cấu hình được (ví dụ: mạng, máy

1.1 Mô hình kiến trúc của điện toán đám mây

1.2 Mô hình kiến trúc của điện toán đám mây

Kiến trúc của điện toán đám mây gồm có 5 lớp

chính:

1.2.1 Lớp Khách hàng (Client) 1.2.2 Lớp ứng dụng (Application)

1.2.3 Lớp nên tảng (Platform)

1.2.4Lớp cơ sở hạ tầng (Infữastructure)

1.2.5Lớp May chu (Server)

1.3 Những đặc điểm của điện toán đám mây

1.3.1 Tự phục vụ theo nhu cầu

1.3.2 Truy xuất diện rộng (Broad network

access) 1.3.3 Dung chung tai nguyén (Resource

pooling)

1.3.4Kha năng dan hồi nhanh (Rapid

elasticity)

1.3.5Diéu tiét dich vu (Measured service)

1.4 Các loại dịch vụ của điện toán dam mây

1.4.1 Mô hình dịch vụ

1.4.1.1 Dịch vu hạ tầng (Iaas)

Cung cấp cho người dùng hạ tầng thô thường là

dưới hình thức các máy ảo như là một dịch vụ Dịch vụ

laaS cung cấp các dich vu cơ bản chang hạn như các máy

chủ ảo, lưu trữ dữ liệu, và cơ sở dữ liệu trên một nền tảng

dé triển khai và chạy các ứng dụng của người dùng

1.4.1.2 Dịch vụ nền tang (Paas)

Là dịch vụ mà nhà cung cấp cho thuê một tập hợp

các tài nguyên yêu cầu để người phát triển có thể thực

hiện được toàn bộ việc phát triển và triển khai các ứngdụng ma không cần bất kì thao tác tải hay cài đặt phanmềm nảo

1.4.1.3 Dịch vụ phần mềm ứng dụng

(SaaS)

Đó là phần mém được phát triển và hoạt động trên

nên tảng web được quản lý bởi nhà cung cấp và cho phép người dùng truy cập từ xa Không giống như phần mềm

đóng gói truyền thống người sử dụng thường phải cài đặtvào hệ thông máy tính hoặc các máy chủ của họ, nhà cungcấp phần mềm dịch vụ SaaS làm chủ sở hữu phần mềmnày và chạy phần mềm đó trên hệ thống máy tính ở trên

trung tâm cơ sở dữ liệu.

1.4.2 Mô hình triển khai

1.4.2.1 Dam mây công cộng (Public

Cloud)

Đây là mô hình mà hạ tang DTDM được một tô

chức sở hữu và cung câp dưới dạng dịch vụ rộng rãi cho

tất cả các khách hàng thông qua ha tang mang Internet

hoặc các mạng công cộng diện rộng Các ứng dụng khác nhau chia sẻ chung tài nguyên tính toán, mạng và lưu trữ.

Do đó khách hàng sử dụng dịch vụ trên Public

Cloud sẽ bao gồm tất cả các tầng lớp mà khách hàng cánhân và doanh nghiệp nhỏ sẽ có được lợi thé trong viéc

dé dang tiếp cận các ứng dụng công nghệ cao, chất lượng

mà không phải dau tư ban đâu, chi phí sử dụng thấp, linh

hoạt.

1.4.2.2 Đám mây riêng (Private Cloud)

Là các dịch vụ đám mây được cung cấp trongdoanh nghiệp Những đám mây này tồn tại bên trong

tường lửa công ty và chúng được doanh nghiệp quản lý.

Các đám mây riêng đưa ra nhiều lợi ích giống như các

đám mây chung thực hiện với sự khác biệt chính: Doanh

nghiệp có trách nhiệm thiết lập và bảo trì đám mây này

Các đám mây riêng đưa ra nhiều lợi ích giỗng như

các đám mây chung, điểm khác biệt là doanh nghiệp chịutrách nhiệm thiết lập và bảo trì đám mây, các đám mây

riêng có nhiêu lợi thê hơn so với đám mây chung.

mây cộng đông thì ngoài việc cing chung lĩnh vực hoạt

động kinh doanh thì các doanh nghiệp cần phải có nhiềuđiểm tương đồng như có cùng mối quan tâm chung về bảo

mật

1.4.2.4 Đám mây lai (Hybrid Cloud)

Mô hình đám mây lai (Hybrid Cloud) là sự kết hợp

của đám mây công cộng và dam mây riêng (hình 1.9).

Những đám mây này thường được các doanh nghiệp tạo ra

Và chịu trách nhiệm quản lý Nó được phân chia giữa

doanh nghiệp và nhà cung cấp đám mây công cộng Đám

mây lai sử dụng các dịch vụ có trong đám mây công cộng

và đám mây riêng.

Mô hình đám mây lai cho phép một doanh nghiệp

thiết lập cơ cấu tốt nhất cho mô hình kinh doanh củamình Nó tăng cường kiểm soát các Ung dụng nỘi bộ mà

doanh nghiệp triển khai ở bên trong tường lửa của mìnhtrong khi vẫn cung cấp phương tiện để sử dụng điện

toán đám mây khi nó phù hợp với các nhu cầu doanh

- Giảm độ phức tap trong cơ cầu doanh nghiệp

- Chi phi đầu tư thấp

- Tốc độ xử lý nhanh, không còn phụ thuộc vảo

dụng vì một mục đích khác.

- Tính sẵn sang: Các trung tâm điện toán dam mây

hay hạ tầng mạng có thể gap sự cố, khiến cho dich vụ đámmây bị “treo” bất ngờ, nên người dùng không thể truy cập

các dịch vụ và dữ liệu của mình trong những khoảng thời

gian nao đó.

- Khả năng mắt dữ liệu: Một vài dịch vụ lưu trữ dữliệu trực tuyến trên đám mây bất ngờ ngừng hoạt động

hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài

trường hợp, vì một lý do nào đó, dữ liệu người dùng bị

mat và không thê phục hồi được

Chương 2: AN TOÀN BẢO MẬT TRONG DỮ

LIEU ĐAM MAY

2.1 Cơ bản về bảo mật thông tin trong điện

toán đám mây

Trong phân này luận văn sẽ nêu một cách tông

quan nhât vê vân đê an ninh bảo mật mạng và an ninh

bảo mật trong hệ thống điện toán đám mây

2.1.1 Tổng quan về an ninh bảo mật mạng

2.1.2 Tổng quan về an ninh bảo mật trong

hệ thống điện toán đám mây

2.2 Các vẫn đề về an toàn bảo mật

2.2.1 An toàn bảo mật ở mức hạ tầng

An ninh của các dịch vụ ở tầng thấp như tầng

vật lý hay ha tầng (IaaS) phụ thuộc vào nhà cung cấp,tức là chủ sở hữu của đám mây Hiện tại, có một số nhàcung cấp dich vụ IaaS nhưng chưa có chuẩn nào về an

ninh cho các dịch vu này VỀ mặt nguyên tac, khách

hàng thuê bao dịch vụ laaS có thê áp đặt các chính sách

an ninh của mình bang cách phát triển các dich vụ hay

tiện ích riêng thông qua các dịch vụ của tầng vật lý và

các dịch vụ laaS của nhà cung câp.

Những mối đe doa an toàn ở mức này có thé

liên quan tới máy chu ảo (Virtual Machine) như là virut

và các phần mềm độc hại khác Nhà cung cấp dịch vụchịu trách nhiệm chính về giải pháp cho vấn đề này

2.2.2 An toàn bảo mật ở mức dịch vụ nền

tảng

Ở mức trung gian, dịch vụ nền tảng (PaaS) dựatrên dịch vụ tầng dưới (IaaS) và cung cấp dịch vu củamình cho tầng trên nó (SaaS) Ở mức này, các dịch vụ

hay tién ich về an toàn có thé được cai đặt thêm hoặc cầuhình các dịch vụ được cung cấp từ tầng dưới Ở đây,người dùng có thể quản trị phần thuê bao của mình để

tạo ra môi trường thực thi các ứng dụng Vì dịch vụ

nên tảng là dịch vụ đa thuê bao, nhiều người dùng nên

cơ chế xác thực, chứng thực là rất quan trọng Trách

nhiệm bảo mật va an toan trong trường hợp này liên

quan đến cả nhà cung cấp, người thuê bao và người

dùng (user).

2.2.3 An toàn bảo mật ở mức dịch vụ phần

oO»

mem

Ở mức dich vụ phần mềm (SaaS), các phan

mềm được cung cấp như là dịch vụ trên mạng, sử dụng

các chính sách bảo mật dữ liệu và tài nguyên khác từ các

tang bên dưới cung cấp Một số dịch vụ phần mém kháphố biến hiện nay là Google Search Engine, Googlemail Khách hàng của các dịch vụ này không biết

được dữ liệu của mình được quản lý và khai thác như

thế nào và nó nằm ở đâu trên thế giới này Vấn đề anninh ở đây liên quan đến bảo mật dữ liệu, rò rỉ thông tinnhạy cảm va nguy cơ bi tấn công từ chối truy cập

Trách nhiệm về an toàn được chia sẻ cho nhà cung cấp

hạ tầng đám mây và nhà cung cấp dịch vụ phần mềm

Các phần mềm được cung cấp trên nền web (web-based

application) Các web này thường được đặt ở máy chủ ảo

trên đám mây, cho nên chúng phải được kiểm tra bằng

cách quét các yếu điểm web nhờ vào một ứng dụng quét

- _ Nguy cơ mat an toàn thông tin

- _ Nguy cơ về virut

- - Nguy cơ lừa đảo và lỗ hồng web

- Kha năng rủi ro trong quá trình triển khai

- Chính sách bảo mật hiện tại của hệ thống có

thể không phù hợp

- Việc triên khai mô hình đám mây chưa đáp

ứng được yêu câu uỷ thác

- Cac nha cung cap dich vu su dung cac chuan

bảo mật thiếu thực tế kinh nghiệm (SAML,

WSTrust, ISO, )

- Khong AI sé quan sat và chịu trách nhiệm bao

đảm an toàn cho dữ liệu.

2.4 Bảo mật với IDS 2.4.1 Khái niệm IDS

Hệ thống phát hiện xâm nhập (IDS) là hệ thống cónhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm

nhập, cũng như các hành vi khai thác trái phép tai nguyên

của hệ thống được bảo vệ

2.4.2 Kiến trúc hệ thống IDS

Kiến trúc của hệ thống IDS bao gồm các thành

phan chính: Thành phan thu thập gói tin (information

collection), thành phần phân tích gói tin(Dectection),

thành phan phản hồi (respontion) nếu gói tin đó được

phát hiện là một tấn công cua tin tặc

2.4.3 Phân loại IDS

2.4.3.1 Network Base IDS (NIDS)

2.4.3.2 Host Base IDS (HIDS)

Chuong 3: GIAI PHAP IDS DAM BAO AN

TOAN TRONG DIEN TOAN DAM MAY

3.1 Mô phỏng IDS cho mô hình điện toán

đám mây

Người sử dụng công nghệ điện toán dam mây công

cộng triển khai một hệ thống phát hiện xâm nhập IDS để

hỗ trợ bảo vệ các máy ảo của họ, chống lại các cuộc tấn công bắt nguồn từ bên ngoai hệ thống Internet hoặc những

nguôn gôc tan công chính bên trong điện toán dam mây

attacker

attacker attacker

Public Cloud

attacker

Các tính năng của IDS trong quá trình hệ thống

điện toán dam mây hoạt động như sau:

- Theo yêu cau đàn hồi

- Kha năng di chuyên

- Hé thông điêu khiên

- Tuy chỉnh quy tắc

- - Độ tin cậy

3.2 Đề xuất kiến trúc IDS trong mô hình

điện toán đám mây

Kiến trúc IDSaaS gồm có 5 thành phần chính bao

gồm: Intrusion Engine, Output Processor, Events

Database, Alerts Management, Rule-set Manager nhu hinh

Traffic Collection

Intrusion Engine

(Snort)

Alert Insertion

Alert

Analysis

Security

Administrator Alerts Management Storage Unit

(Snorby) (Events Database)

3.3 Khao sát va đánh gia thử nghiệm với

mô hình điện toán dam mây Amazon

3.3.1 Mô hình điện toán dam mây của

Amazon

Amazon Elastic Compute Cloud (EC2) được

Amazon ra cho ra đời vào năm 2006, EC2 đã trở thành

một nền tảng đám mây đăng cấp thế giới Với mô hình

kính doanh, Amazon Web Services nói chung thường

được coi là một trong những dịch vụ tốt nhất

3.3.2 Khảo sát

Khảo sát thực nghiệm băng các kịch bản IDSaaS

trong dịch vụ web của Amazon bằng cách thực hiện đám

mây EC2 đã nêu ở trên Tất cả các thành phần IDSaaSđược dưa theo hình thức cấu trúc của Amazon MachineImages (AMD), và theo yêu cầu tính năng đàn hồi IDSaaS

vì vậy ta có thể thực hiện thực nghiệm bắt đầu các trường

hợp đánh giá chi phi trong quá trình sử dụng dịch vụ đám

mây cụ thể như sau:

Ô- oo” Internet ˆ « IDSaaS in Amazon Cloud

- Thành phan: IDSaaS được xây dựng bang cách

sử dụng một bộ công cụ mã nguồn mở Với các bộ luật

Snort tạo nên hệ thống phát hiện xâm nhập trên mã

nguồn mở, trong quá trình đó thì thành phan output và

Barnyard2 [12] là thành phần chính được sử dụng trong

Intrusion Engine va Event Database Sử dụng cơ sở dtr

liệu Msql dé lưu trữ các thông bao trong quá trình thực

hiện.

- Môi trường mạng: Các IDSaaS sử dung Virtual

Private Cloud (VPC) từ dịch vụ của Amazon Thiết lập

mạng V- Lan ta có thé tạo ra một khu vực mang private

giữa danh giới với đám mây công cộng, mà chỉ có người

dùng có quyền kiểm soát ứng dụng đặt trong đó

- IDSaaS VMs: Ta phải quan tâm tới 2 vấn đề

chính đó là: cách thức quan lý IDSaaS ([DSaaS Manager) và IDS Core.

- Security Groups (SG): Nhóm bảo mật nay sẽ xác

định cho phép hay không cho phép các dịch vụ chạy trên

mỗi VM trong đám mây Amazon EC2 hay không.

3.3.3 Đánh giá thử nghiệm

3.3.3.1 Thử nghiệm khảo sát chỉ phí của

IDSaaS

Đánh giá hiệu quả của IDSaaS bang cách đo

lượng chi phi gia tang khi doanh nghiệp sử dụng các ứng

dụng trong đám mây công cộng khi triển khai giải pháp

IDSaaS và khi không triển khai giải pháp IDS, từ thực

nghiệm này kết luận kết quả cho thấy chỉ phí gia tăng khi

sử dụng IDSaaS của người sử dụng hay của các doanh

nghiệp có thé chấp nhận được hay không

External Internal

Location Location

Base Network HTTP Request | 0,303 Sec 0,224 Sec

(No VPC, No

IDSaaS FTP Request 16,731 Sec 3,969 Sec

VPC Network HTTP Request | 0,310Sec |0,230 Sec

(No IDSaas) FTP Request 17,040 Sec 4,098 Sec

IDSaaS Network HTTP Rule 0,329 Sec 0,232 Sec

(VPC IDSaas FTP Rule 18, 505 Sec | 4,337 Sec

3.3.3.2 Thứ nghiệm IDSaaS Rules

Trong phần thực nghiệm này ta thực hiện việc thiết lập

và quan sát, đánh giá số lượng các rule trong các kịch

bản xâm nhập của từng giai đoạn khác nhau tới Intrusion

Engine (IDS Core VM) Cụ thé chia làm 3 giai đoạn như

sau:

Giai đoạn 1: Số lượng Rule bao gồm một bộ hoan

chỉnh các rules (18833 rules)

- Giai doan 2: Giam rule va thiét lap 11 rules dai

diện cho phản ứng tan công (Attack-Response (A-R))

- Giai đoạn 3: Cuối cùng kết hợp với một rule duy

nhất dé tự động phát hiện các cuộc tấn công - Automatic

Directory Listing (ADL)

Két qua thuc nghiém trén cho thay ly do cho phéptất cả các rule trong bộ hoàn chỉnh ở giai đoạn 1 hoạtđộng sẽ làm giảm hiệu suất Intrusion Engine nó sẽ tăng

khả năng cảnh báo sai.

3.3.3.3 Thử nghiệm phân phối IDSaaS

Thực hiện thử nghiệm quá trình phân phối hay cai đặt

IDSaaS tại các vụ trí khác nhau trong hệ thông dam may

Cụ thể trong phần này ta xem xét 3 cấu hình chính như

Sau:

- Cấu hình 1: Đặt IDS Core VM và các và các

Manager VM trong cùng khu vực của một VPC điện toán

đám mây.

- Cau hình 2: Vị tri Manager VM năm bên ngoài

đám mây của doanh nghiệp

Đề đảm bảo cho quyên riêng tư trong quá trình quan lý

lưu trữ các cảnh báo, cũng như giảm chi phí lưu trữ lich sử

các cảnh báo.

- Câu hình 3: Những IDS Core VM và Manager

VM là đặt lại các khu vực khác nhau của dam mây Cac ứng dụng của doanh nghiệp va IDS Core VM được đặt

trong EU khu vực điện toán dam mây, là vi trí trong khu

vực phí Đông Hoa Ky của các đám mây Amazon, và

Manager VM năm trong vi trí các đám mây công cộng

Kết quả cho thấy với giá trị chi phí trong khoảngthời gian như trong cấu hình 2 và cau hình 3 là do khoảngcách địa lý trong quá trình truyền cảnh báo giữa hai khuvực Amazon khác nhau Ngược lại trong cầu hình 1 do

IDS Core VM và các và các Manager VM trong cùng khu

vực của một VPC điện toán đám mây cho nên kết quả đem

lại với hiệu suất cao, chi phí về thời gian thấp nhiều so vớicấu hình 2 va cau hình 3 Các kết quả được thé hiện trong

biêu đô: