kế hoạch thực hiện bài tập lớn bảo mật dữ liệu trong mạng điện toán đám mây

Vậy làm thế nào để cácnhà cung cấp dịch vụ điện toán đám mây có thể đảm bảo những thông tin quantrọng đó của người dùng không bị lộ.Đề tài “Bảo mật dữ liệu trong mạng điện toán đám mây”

ĐẠI HỌC BÁCH KHOA HÀ NỘI

TRƯỜNG CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

KẾ HOẠCH THỰC HIỆN BÀI TẬP LỚN

Môn học: An toàn phần mềm và hệ thốngGiảng viên hướng dẫn: PGS Nguyễn Khanh VănHọc viên: Cao Minh Sơn – 20212625M

Hà Nội 10– 2022

ĐỀ TÀI: BẢO MẬT DỮ LIỆU TRONG MẠNG ĐIỆNTOÁN ĐÁM MÂY

1 Giới thiệu đề tài

Hiện nay, cùng với sự phát triển nhanh chóng của công nghệ thông tin, hệthống phần mềm ứng dụng, hệ thống máy chủ của các doanh nghiệp vừa và nhỏcũng tăng lên nhanh chóng Điều đó dẫn tới chi phí đầu tư cho hạ tầng thông tinngày càng lớn, chi phí quản lý vận hành và bảo trì cũng tăng lên đáng kể Đểgiảm thiểu các loại chi phí đó và tăng khả năng mở rộng của hạ tầng dịch vụcông nghệ thông tin trong sản xuất kinh doanh, nhiều doanh nghiệp đã lựa chọndịch vụ điện toán đám mây là giải pháp tối ưu cho mình Bên cạnh những lợiích to lớn mà điện toán đám mây mang lại, nó cũng tồn tại một số hạn chế nhấtđịnh khiến cho nhiều doanh nghiệp e ngại trong việc triển khai, nhất là vấn đềbảo mật dữ liệu người dùng Trong thời đại 4.0 này, nhiều thông tin, dữ liệu củangười dùng có giá trị vô cùng to lớn, đôi khi chính là chìa khóa để các doanhnghiệp khai thác, làm giàu cho mình, vì thế vấn đề bảo mật dữ liệu trên đámmây của các nhà cung cấp dịch vụ càng được coi trọng Vậy làm thế nào để cácnhà cung cấp dịch vụ điện toán đám mây có thể đảm bảo những thông tin quantrọng đó của người dùng không bị lộ.

Đề tài “Bảo mật dữ liệu trong mạng điện toán đám mây” của em nhằm mụcđích nghiên cứu, tìm hiểu và đưa ra một số bài toán nhằm đảm bảo bí mật trongviệc truyền nhận thông tin trên mạng điện toán đám mây.

Trong đề tài này em sẽ trình bày bao gồm 3 chương:

Chương 1: Tổng quan về điện toán đám mây và các vấn đề bảo mậttrong điện toán đám mây.

Chương 2: Giải pháp bảo mật dữ liệu trong mạng điện toán đám mâyChương 3: Mã hóa đồng cấu (homomorphic encryption)

3 Kế hoạch thực hiện

thực hiện1Lên kế hoạch, thiết kế, tìm hiểu các tài liệu liên quan về đề tài 23/102Tìm hiểu về điện toán đám mây và các kiến thức bảo mật liên quan23/10 - 25/103Tìm hiểu về bảo mật dữ liệu trong mạng điện toán đám mây25/103Tìm hiểu về mã hóa đồng cấu trong việc mã hóa dữ liệu truyền nhận

trong điện toán đám mây

Chương 1: Tổng quan về điện toán đám mây và các vấn đề bảo mậttrong điện toán đám mây

I Tổng quan về điện toán đám mây

Điện toán đám mây - Cloud Computing, hay còn gọi là điện toán máy chủ ảo, làmô hình điện toán sử dụng công nghệ máy tính và phát triển dựa vào mạngInternet Thuật ngữ “đám mây” ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vàocách được bố trí của nó trong sơ đồ mạng máy tính) và sự liên tưởng về độ phứctạp của các cơ sở hạ tầng chứa trong nó Ở mô hình điện toán này, mọi khả năngliên quan đến công nghệ thông tin đều được cung cấp dưới dạng các “dịch vụ”, chophép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó“trong đám mây” mà không cần phải có các kiến thức, kinh nghiệm về công nghệđó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó Theo IEEE, “Nó là hình mẫu trong đó thông tin được lưu trữ thường trực tại cácmáy chủ trên Internet và chỉ được được lưu trữ tạm thời ở các máy khách, bao gồmmáy tính cá nhân, trung tâm giải trí, máy tính trong doanh nghiệp, các phương tiệnmáy tính cầm tay, ” Điện toán đám mây là khái niệm tổng thể bao gồm cả cáckhái niệm như phần mềm dịch vụ, Web 2.0 và các vấn đề khác xuất hiện gần đây,các xu hướng công nghệ nổi bật, trong đó đề tài chủ yếu của nó là vấn đề dựa vàoInternet để đáp ứng những nhu cầu điện toán của người dùng Ví dụ, dịch vụGoogle AppEngine cung cấp những ứng dụng kinh doanh trực tuyến thông thường,có thể truy nhập từ một trình duyệt web, còn các phần mềm và dữ liệu đều đượclưu trữ trên các máy chủ.

Hình 2:Các đặc điểm, loại hình dịch vụ Cloud

1.Các đặc điểm ưu việt của Cloud Computing

Mở rộng điểm truy cập dịch vụ (Broaden Network Access)

Truy cập mạng rộng có nghĩa là các dịch vụ luôn có thể truy cập được bằng cácphương thức tiêu chuẩn, chẳng hạn như việc sử dụng trình duyệt web để truy cậpứng dụng Phần mềm dưới dạng Dịch vụ (SaaS) bất kể vị trí của người dùng hoặchệ điều hành, trình duyệt Điều này thường được thực hiện với việc sử dụng cáccông nghệ như kỹ thuật định tuyến, cân bằng tải, hosting multisite, mạng CDN.

Mô hình tự cung cấp dịnh vụ (On-demand Self Service)

Mô hình cho phép khách hàng mở rộng quy mô nhu cầu máy tính và / hoặc lưu trữcủa họ mà không cần can thiệp hoặc liên lạc trước với nhà cung cấp Các dịch vụxảy ra trong thời gian thực.

Khả năng tối ưu tài nguyên (Resource Pooling)

Cho phép nhà cung cấp đám mây đáp ứng các nhu cầu khác nhau từ khách hàngtrong đạt được tối ưu về mặt tài chính Nhà cung cấp dịch vụ đám mây có thể thựchiện đầu tư vốn vượt quá mức mà bất kỳ khách hàng nào có thể tự cung cấp và cóthể phân bổ các tài nguyên này khi cần thiết để tài nguyên không bị sử dụng quámức (có nghĩa là đầu tư lãng phí) hoặc bị đánh thuế quá mức (có nghĩa là giảmMức độ dịch vụ) Đây thường được gọi là môi trường nhiều đối tượng; nhiềukhách hàng chia sẻ cùng một phần cứng, phần mềm và hệ thống mạng.

Tính co giãn tài nguyên linh hoạt (Rapid elasticity)

Cho phép khách hàng tăng hoặc thu nhỏ hạ tầng, dịch vụ CTTT (số lượng ngườidùng, số lượng máy chủ, kích thước lưu trữ, v.v.) khi cần thiết để đáp ứng nhu cầuhoạt động mà không bị dư thừa Trên môi trường Cloud, điều này có thể được thựchiện trong giây lát, trái ngược với môi trường truyền thống, nơi việc thu nhận vàtriển khai tài nguyên mới (hoặc phân phối tài nguyên đã có) có thể mất vài tuầnhoặc vài tháng.

Khẳ năng đo lường dịch vụ (Measured or metered service)

Khách hàng chỉ bị tính phí cho những gì họ sử dụng Điều này giống như cách mộtcông ty cấp nước hoặc điện có thể tính phí bạn hàng tháng đối với các dịch vụđược sử dụng

2 Phân loại Cloud theo mô hình dịch vụ

Hình 3:Phân loại Cloud theo mô hình dịch vụ

2.1 IaaS (Infrastructure as a Service)

Hình 4:Mô hình Cloud Infrastructure as a Service

Loại hình dịch vụ cơ bản nhất của Cloud, IaaS cho phép khách hàng cài đặt tất cảphần mềm, bao gồm cả hệ điều hành (OS), trên phần cứng của nhà cung cấp dịchvụ Cloud.

Trong mô hình này, nhà cung cấp đám mây có một trung tâm dữ liệu với đầy đủcác hạ tang thiết bị vật lý Tuy nhiên, tất cả các tài nguyên logic, chẳng hạn nhưphần mềm, là trách nhiệm của khách hàng.

IaaS tối ưu cho các tổ chức muốn kiểm soát nâng cao tính bảo mật của dữ liệu củahọ hoặc đang tìm kiếm đám mây cho một mục đích hạn chế, chẳng hạn nhưBC/DR hoặc lưu trữ.

IaaS thường là tùy chọn dịch vụ Cloud ít tốn kém nhất, xét về những gì khách hàngtrả cho nhà cung cấp Tuy nhiên, khách hàng sẽ cần phải có khả năng và tráchnhiệm vận hành sử dụng dịch IaaS này, điều này có thể gây khó khăn cho việc xácđịnh tổng chi phí thực sự.

2.2 PaaS (Platform as a Service)

Hình 5:Mô hình Cloud Platform as a Service

PaaS (Platform as a Service) chứa mọi thứ có trong IaaS và bổ sung thêm các hệđiều hành Nhà cung cấp dịch vụ đám mây thường cung cấp lựa chọn hệ điều hànhđể khách hàng có thể sử dụng bất kỳ hoặc tất cả các lựa chọn có sẵn.

Nhà cung cấp sẽ chịu trách nhiệm vá lỗi, quản lý và cập nhật hệ điều hành khi cầnthiết và khách hàng có thể cài đặt bất kỳ phần mềm nào mà họ muốn.

Mô hình này đặc biệt hữu ích cho khách hàng tham gia phát triển phần mềm, vìkhách hàng có thể kiểm tra phần mềm của họ trong một môi trường biệt lập màkhông có nguy cơ làm hỏng khả năng sản xuất và xác định khả năng tồn tại củaphần mềm trên nhiều hệ điều hành, nền tảng.

PaaS cũng bao gồm các công cụ và dịch vụ cơ sở dữ liệu dựa trên đám mây cũngnhư các dịch vụ theo kiểu “dữ liệu lớn”, chẳng hạn như kho dữ liệu và đào tạo dữliệu Nhà cung cấp cung cấp quyền truy cập vào công cụ/chức năng phụ trợ, trongkhi khách hàng có thể tạo/cài đặt các ứng dụng/API khác nhau để truy cập chươngtrình phụ trợ.

2.3 SaaS (Software as a Service)

Hình 6:Mô hình Cloud Software as a Service

SaaS bao gồm mọi thứ trong IaaS và PaaS với việc bổ sung các chương trình phầnmềm Nhà cung cấp đám mây cũng chịu trách nhiệm quản lý, vá lỗi và cập nhậtphần mềm này Khách hàng đám mây về cơ bản chỉ tham gia vào việc tải lên và xửlý dữ liệu trên môi trường sản xuất đầy đủ do nhà cung cấp lưu trữ.

Có rất nhiều ví dụ về cấu hình SaaS, trải dài trên nhiều chức năng Google Docs,Microsoft’s Office 365 và QuickBooks Online đều là những ví dụ về các sản phẩmSaaS Nhà cung cấp chăm sóc tất cả các nhu cầu về cơ sở hạ tầng, máy chủ và lưutrữ cũng như cung cấp các hệ điều hành và bản thân ứng dụng Tất cả những điềunày hoàn toàn trong suốt đối với người dùng cuối, những người chỉ nhìn thấy ứngdụng họ đã mua / truy cập.

3 Phân loại Cloud theo mô hình triển khai

Hình 7:Phân loại Cloud theo mô hình triển khai

Public Cloud

Public Cloud là những gì chúng ta thường nghĩ đến khi thảo luận về các dịch vụcung cấp đám mây Các tài nguyên (phần cứng, phần mềm, cơ sở vật chất và nhânviên) được sở hữu và điều hành bởi một nhà cung cấp và được bán, cho thuê hoặccho khách hàng Public Cloud là môi trường mà nhiều khách hàng sẽ chia sẻ các tàinguyên do nhà cung cấp dịch vụ sở hữu và điều hành Điều đó có nghĩa là kháchhàng trong một Public Cloud có thể đang sử dụng một máy ảo nằm trên cùng mộtphần cứng lưu trữ một máy ảo khác do đối thủ cạnh tranh trực tiếp của khách hàng

vận hành và khách hàng không có cách nào biết được những đối tượng khác đangsử dụng cùng một tài nguyên.

Ví dụ về các nhà cung cấp đám mây công cộng bao gồm Google GCP, Microsoft’sAzure và Amazon Web Services (AWS)…

Private Cloud

Private Cloud là một loại Cloud mà các tài nguyên dành riêng cho một khách hàng(phần cứng cả phần mềm) Do đó, Private Cloud không phải là môi trường đa đốitượng (Multi-Tenant) Các Private Cloud có thể có nhiều dạng khác nhau MộtPrivate Cloud có thể được sở hữu và duy trì bởi thực thể là khách hàng duy nhất.Nói cách khác, một tổ chức có thể sở hữu và vận hành một trung tâm dữ liệu đóngvai trò là môi trường Cloud cho người dùng của tổ chức đó Hoặc Private Cloud cóthể là một tập hợp các tài nguyên (Rack, Blade, Software) thuộc sở hữu của mộtkhách hàng nhưng được đặt và vận hành tại trung tâm dữ liệu của nhà cung cấpdịch vụ đám mây; nhà cung cấp có thể cung cấp các mức bảo mật vật lý, một sốdịch vụ quản trị cơ bản và các tiện ích (nguồn, kết nối Internet) cho các tài nguyêncủa khách hàng.

Một tùy chọn Private Cloud khác là khách hàng ký hợp đồng với nhà cung cấpdịch vụ Cloud và được cấp quyền sử dụng độc quyền các tài nguyên cụ thể tronghạ tầng Public Cloud Về cơ bản, nhà cung cấp tạo ra một phần của trung tâm dữliệu tổng thể để khách hàng sẽ không chia sẻ bất kỳ tài nguyên nào trong phần đóvới bất kỳ khách hàng nào khác Rõ ràng, khách hàng phải trả phí bảo hiểm choloại dịch vụ này (nhiều hơn những gì khách hàng sẽ phải trả cho dịch vụ PublicCloud).

Community Cloud

Đám mây cộng đồng có cơ sở hạ tầng và do (hoặc cho) một nhóm sở hữu và điềuhành, có thể được sở hữu hoặc kiểm soát bởi các cá nhân hoặc tổ chức riêng biệt,nhưng chúng kết hợp với nhau theo một số cách để thực hiện các nhiệm vụ và chứcnăng chung.

Cộng đồng Game có thể được coi là đám mây cộng đồng Ví dụ: mạng PlayStationliên quan đến nhiều thực thể khác nhau cùng tham gia vào trò chơi trực tuyến:Sony tổ chức các tác vụ quản lý danh tính và truy cập (IAM) cho mạng, một côngty trò chơi cụ thể có thể lưu trữ một tập hợp các máy chủ chạy quản lý quyền thôngtin (IRM ) chức năng và xử lý cho một trò chơi cụ thể và người dùng cá nhân tiếnhành một số quá trình xử lý và lưu trữ của riêng họ trên PlayStations của riêng họ.Trong loại đám mây cộng đồng này, quyền sở hữu các công nghệ cơ bản (phầncứng, phần mềm, v.v trên) được lan truyền khắp các thành viên khác nhau củacộng đồng.

Một đám mây cộng đồng cũng có thể được cung cấp bởi bên thứ ba thay mặt chocác thành viên khác nhau của cộng đồng Ví dụ: một nhà cung cấp dịch vụ đámmây có thể cung cấp dịch vụ đám mây FedRAMP, chỉ dành cho các khách hàngcủa chính phủ liên bang Hoa Kỳ Bất kỳ số lượng cơ quan liên bang nào cũng cóthể đăng ký dịch vụ đám mây này (ví dụ: Bộ Nông nghiệp, Y tế và Dịch vụ Nhânsinh, Bộ Nội vụ, v.v.) và tất cả họ sẽ sử dụng cơ sở hạ tầng cơ bản dành riêng choviệc sử dụng của họ Bất kỳ khách hàng nào không phải là cơ quan liên bang HoaKỳ sẽ không được phép sử dụng dịch vụ này vì các tổ chức phi chính phủ khôngthuộc cộng đồng cụ thể này Nhà cung cấp dịch vụ đám mây sở hữu cơ sở hạ tầngcơ bản, nhưng nó chỉ được cung cấp và cung cấp cho cộng đồng cụ thể.

Hybrid Cloud

Hybrid Cloud hay đám mây lai là sự kết hợp của hai hoặc nhiều loại dịch vụ đámmây khác (Public, Private và Community) Ví dụ: một tổ chức có thể muốn sửdụng một số tài nguyên Private Cloud nhưng cũng cho thuê một số hạ tậng PublicCloud (có thể là chức năng PaaS để phát triển / thử nghiệm phần mềm, không từmôi trường sản xuất để có ít rủi ro hơn về sự cố hệ thống vận hành).

II Các vấn đề bảo mật trong điện toán đám mây

1 Vấn đề thất thoát dữ liệu, tuân thủ các bộ luật về lưu trữ, sử dụng dữ liệu

Thất thoát dữ liệu là một sự cố an ninh mạng trong đó các thông tin nhạy cảm, bímật được tiết lộ, xem, đánh cắp hoặc sử dụng bởi một cá nhân trái phép Sự cố thấtthoát dữ liệu có thể là kết quả của một cuộc tấn công có chủ đích hoặc chỉ đơnthuần là của lỗi con người, lỗ hổng bảo mật ứng Một sự cố thất thoát dữ liệu cóthể liên quan đến bất kỳ loại thông tin không công khai, bao gồm (nhưng khônggiới hạn): thông tin sức khoẻ cá nhân, thông tin tài chính, thông tin nhận dạng cánhân (PII), bí mât thương mại và sở hữu trí tuệ

2 Vấn đề về cấu hính sai và thiếu quản lý thay đổi

Cấu hình sai xảy ra khi các tài nguyên trên Cloud được khởi tạo không chính xác,thường khiến chúng dễ bị tấn công bởi tin tặc:

Một số ví dụ phổ biến bao gồm:

Việc không có kiểm soát thay đổi hiệu quả là nguyên nhân phổ biến của cấu hìnhsai trên môi trường Cloud Các quy trình thay đổi trên môi trường CNTT truyềnthống bao gồm nhiều khâu phê duyệt và có thể mất vài ngày hoặc vài tuần thựchiện trên môi trường Production Trong khi đó, đối với môi trường Cloud vòng đờicủa thay đổi chỉ tồn tại trong vài phút hoặc vài giây

3 Vấn đề thiếu chiến lược và kiến trúc ATTT trên môi trường Cloud

Các tổ chức, doanh nghiệp đang dịch chuyển một phần hệ thống CNTT từ môitrường On-Prem lên môi trường Public Cloud Một trong những thách thức lớnnhất trong quá trình chuyển đổi này là đảm bảo kiến trúc ATTT phù hơp, nhất quánđược áp dụng trên môi trường Cloud Thiếu hiểu biết về “Mô hình chia sẻ tráchnhiệm” ATTT cũng là một yếu tố đóng góp vào việc mất ATTT khi sử dụng dịch vụCloud Hơn nữa, tính năng và tốc độ triển khai dịch vụ cũng thường được ưu tiênhơn các vấn để ATTT

4 Vấn đề về quản lý định danh, truy cập, quản lý khóa trên Cloud

Việc sử dụng các dịch vụ Public Cloud mang đến nhiều rủi ro và thách thức liênquan đến quản lý định danh và truy cập (IAM).

Các sự cố mất ATTT và thất thoát dữ liệu có thể xảy ra do những nguyên nhân sau:

5 Vấn đề về ATTT cho các giai diện API (Application Programable Interface)

Các nhà cung cấp dịch vụ điện toán đám mây phơi ra một tập hợp các giao diệnngười dung (UI) và giao diện lập trình API để cho phép khách hàng quản lý vàtương tác với các dịch vụ đám mây Tính bảo mật và tính khả dụng của các dịch vụđám mây chung phụ thuộc vào tính bảo mật của các API này.

Từ xác thực, kiểm soát truy cập đến mã hóa và giám sát, các giao diện này phảiđược thiết kế để phòng chống những nguy cơ mất ATTT Các API được thiết kếkhông theo tiêu chuẩn có thể dẫn đến việc sử dụng sai mục đích hoặc thậm chí tệhơn là thất thoát dữ liệu API bị hỏng, bị lộ hoặc bị tấn công đã gây ra một số viphạm dữ liệu

API và UI là nững thành phần phơi ra Internet nhiều nhất, là cửa ngõ kết nối nên sẽlà mục tiêu ưa thích cho các cuộc tấn công Do đó, cần phải có thiết kế các kiểmsoát ATTT thích hợp để bảo vệ UI, API khỏi các cuộc tấn công mạng nhắm vào.

6 Vấn đề lạm dụng và sử dụng bất hợp pháp các dịch vụ đám mây

Tin tặc có thể tận dụng tài nguyên điện toán đám mây để thực hiện hành vi tấncông mạng tới các tổ chức hoặc các nhà cung cấp Cloud khác Tin tặc cũng có thểlưu trữ phần mềm độc hại trên các dịch vụ Cloud, các phần mềm độc hại này vẻhợp pháp hơn vì được sử dụng miền của nhà cung cấp dịch vụ Cloud Hơn nữa,phần mềm độc hại trên máy chủ lưu trữ Cloud có thể sử dụng các công cụ chia sẻtrên như một công cụ để tự lây lan

Các ví dụ khác về việc lạm dụng tài nguyên đám mây bao gồm: