báo cáo tiến độ lần 1 giải pháp bảo mật cho hạ tầng điện toán đám mây

- Lợi ích khi s dử ụng điện toán đám mây a Nhanh chóng: Đám mây cho phép bạn dễ dàng tiếp cận nhiều công nghệ để ạ b n có thể i mđổ ới nhanh hơn và phát triển gần như mọi thứ mà bạn có t

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

TRƯỜNG ĐIỆN – ĐIỆN TỬ

BÁO CÁO TIẾN ĐỘ Ầ L N 1

Đề tài:

Giải pháp b o m t cho h t ng ả ậ ạ ầ

điện toán ám m đ ây

Nhóm sinh viên thực hi n: ệ

Vũ Quang Hưng 2020344 3 Nguyễn Hoàng Lâm 20203882

Giảng viên hướng dẫn: PGS.TS Nguy n Tài Hễ ưng

Hà N ội, 4 - 2023

I T i sao l i nghiên cạ ạ ứu v Cloud Security? ề

- Điện toán đám mây là việc phân phối các tài nguyên CNTT theo nhu cầu qua Internet v i chính sách thanh toán theo m c s d ng Thay vì mua, s ớ ứ ử ụ ở hữu và b o trì các trung tâm d u và máy ch v t lý, b n có th p cả ữ liệ ủ ậ ạ ể tiế ận các d ch v công nghị ụ ệ, như năng lượng điện toán, lưu trữ và cơ sở dữ liệu, khi cần thi t, t nhà cung c p d ch v ế ừ ấ ị ụ đám mây như Amazon Web Services (AWS), Microsoft Azure , Google Cloud Platform

Hình nh 1: V Cloud Computing ả ề

- Lợi ích khi s dử ụng điện toán đám mây

a) Nhanh chóng: Đám mây cho phép bạn dễ dàng tiếp cận nhiều công nghệ

để ạ b n có thể i mđổ ới nhanh hơn và phát triển gần như mọi thứ mà bạn có thể tưởng tượng Bạn có thể nhanh chóng thu thập tài nguyên khi cần từ các d ch vị ụ cơ sở ạ ầng, h t như điện toán, lưu trữ, và cơ sở dữ liệu, đến Internet of Things, machine learning, kho d ữ liệu và phân tích, v.v B n có ạ thể triển khai các d ch v công ngh mị ụ ệ ột cách nhanh chóng và ti n hành t ế ừ khâu ý tưởng đến khâu hoàn thiện nhanh hơn một vài c p bấ ậc cường độ so với trước đây Điều này cho phép b n t do th nghi m, ki m th ạ ự ử ệ ể ử những ý tưởng mới để phân biệt tr i nghiả ệm của khách hàng và chuyển đổi doanh nghi p c a bệ ủ ạn

b) Quy mô linh hoạt: Với điện toán đám mây, bạn không ph i cung c p tài ả ấ nguyên quá mức để ử x lý các hoạt động kinh doanh m c cao nh t trong ở ứ ấ tương lai Thay vào đó, bạn cung cấp lượng tài nguyên mà b n th c s c n ạ ự ự ầ

B n có th ạ ể tăng hoặc gi m quy mô c a các tài nguyên này ngay l p tả ủ ậ ức để tăng và giảm dung lượng khi nhu c u kinh doanh c a b n thầ ủ ạ ay đổi

c) Tiết ki m chi phí: ệ N n tề ảng đám mây cho phép bạn thay th các kho n chi ế ả phí cố định (như trung tâm dữ liệu và máy ch v t lý) b ng các kho n chi ủ ậ ằ ả phí biến đổi, đồng th i chờ ỉ phải trả tiền cho tài nguyên CNTT mà b n s ạ ử dụng Bên cạnh đó, chi phí biế đổi cũng sẽ thấp hơn nhiều so với chi phí n bạn t trang tr i do tính kinh t theo quy mô ự ả ế

d) Tri n khai trên toàn c u ch trong vài phút:ể ầ ỉ Với đám mây, bạn có th ể

m r ng sang các khu vở ộ ực địa lý m i và tri n khai trên toàn c u trong vài ớ ể ầ phút Ví dụ: AWS có cơ ở ạ ầs h t ng trên toàn thế giới, vì v y, b n có th ậ ạ ể tri n khai ể ứng d ng c a mình ụ ủ ở nhiều địa điểm th c t ự ế chỉ b ng vài cú nhằ ấp chuột Đặt các ng d ng gứ ụ ần hơn với người dùng cuối giúp giảm độ trễ và cải thi n tr i nghi m c a h ệ ả ệ ủ ọ

=> Vì v y nhu cậ ầu xu hướng chuyển dịch h t ng công ngh thông tin cạ ầ ệ ủa các doanh nghi p hi n nay là r t lệ ệ ấ ớn Điều đó đồng nghĩa với vi c r i ro ệ ủ trong vấn đề bảo mật ở lĩnh vực Cloud Computing ngày càng tăng cao Do

đó, nghiên cứu v Cloud Security là r t c n thiề ấ ầ ết để giúp các tổ chức đảm bảo rằng d ữ liệu c a h ủ ọ được b o v an toàn, gi m thi u r i ro b o mả ệ ả ể ủ ả ật khi

sử d ng các d ch v ụ ị ụ đám mây

Hình 2: L i ích cợ ủa Điện toán đám mây

II Các khái niệm cơ bản trong Cloud Computing

II.1 Các đặc tí nh ở trong Cloud Computing

On-demand self service - Khả năng tự phục v ụ

Khách hàng có th ể được cung cấp tài nguyên dưới d ng máy ch hay dung ạ ủ lượng lưu trữ,…một cách tự động theo yêu c u mà không c n ph i có sầ ầ ả ự can thi p t phía nhà cung c p d ch v ệ ừ ấ ị ụ

Broad network access - Truy nh p qua các chu n mậ ẩ ạng

B t k thi t b tiêu chuấ ỳ ế ị ẩn nào như điện thoại di động, PC, máy tính để bàn, máy tính xách tay cũng có thể truy c p vào d ậ ữ liệu và các d ch v ị ụ hoạt động trên đám mây

Resource pooling - Chia s tài nguyên ẻ

Nhà cung cấp đám mây sẽ ấ c p tài nguyên máy o ho c máy vả ặ ật lý được chia sẻ giữa nhiều người dùng Các tài nguyên này được phân bổ động trong môi trường đa tổ chức

Rapid elasticity - Tính m m dề ẻo, tính đàn hồi

Tài nguyên có thể được cung c p m t cách nhanh chóng và m m d o, có ấ ộ ề ẻ khả năng thay đổi tăng lên hay giảm đi tùy thuộc vào nhu cầu s d ng cử ụ ủa khách hàng Đố ới khách hàng tài nguyên trên điện toán đám mây luôn i v luôn s n sàng và có th coi là không gi i h n, có th truy c p vào b t k ẵ ể ớ ạ ể ậ ấ ỳ thời điểm nào

Measured service - D ch v s dị ụ ử ụng đo đếm được

Các hệ thống điện toán đám mây có khả năng tự điều khi n và tinh chể ỉnh tài nguyên s dử ụng bằng cách áp d ng các biụ ện pháp đo lường các cở ấp

độ khác nhau cho t ng lo i d ch v Tài nguyên s d ng có th ừ ạ ị ụ ử ụ ể được giám sát, đo lường và khách hàng thường sẽ chỉ trả phí cho lượng tài nguyên họ

sử d ng ụ

Cloud API - giao di n l p trình ng d ng (API) ệ ậ ứ ụ

Cloud API là giao di n l p trình ệ ậ ứng dụng (API) được s dử ụng để xây dựng các ứng d ng trong th ụ ị trường điện toán đám mây Cloud API cho phép các phần mềm để yêu c u d ầ ữ liệu và tính toán từ m t ho c nhi u d ch vộ ặ ề ị ụ thông qua m t giao di n tr c ti p ho c gián tiộ ệ ự ế ặ ếp Cloud API thường được b c l ộ ộ tính năng của họ thông qua REST hoặc SOAP Giao diện tương tác với Cloud Cung c p bấ ộ API để phát tri n h ể ệ thống

Hình C3: ác đặc tính ở trong Cloud

II.2 Khung ki n trúc c a Cloud Computing ( ARCHITECTURE ế ủ

FRAMEWORK )

1 Service models ( Mô hình d ch v ) ị ụ

- IaaS ( Infrastructure as a Service ):

Định nghĩa: IaaS (Infrastructure- -a-Service) cung cas ấp cho người dùng h ạ tầng thô (thường dưới hình th c các máy ứ ảo) như một d ch vị ụ Người dùng

có th tri n khai và ch y ph n mể ể ạ ầ ềm trên các máy ảo như trên một máy ch ủ thực hay có th ể đưa dữ liệu cá nhân lên “đám mây” và lưu trữ Người dùng không có quy n ki m soát h t ng thề ể ạ ầ ực bên trong “đám mây” tuy nhiên họ

có toàn quy n qu n lý và s d ng tài nguyên mà hề ả ử ụ ọ được cung cấp, cũng như yêu cầu mở rộng lượng tài nguyên h ọ được phép s d ng ử ụ

Đặc trưng của IaaS:

+ Cung cấp tài nguyên như dịch vụ:

+ Khả năng mở rộng linh ho t ạ

+ Chi phí thay đổi tùy theo mức sử dụng

+ Nhiều người thuê dùng chung trên m t tài nguyên ộ

Ví dụ: Amazon EC2/S3, Elastra (Beta 2.0 2/2009), Nirvanix

- PaaS ( Platform as a Service )

Định nghĩa: PaaS (Platform as a Service) Mô hình PaaS cung c p cách thấ ức cho phát triển ứng d ng trên m t n n tụ ộ ề ảng trừu tượng Nó h ỗ trợ việc triển khai ng d ng mà không quứ ụ an tâm đến chi phí hay sự phức t p c a viạ ủ ệc trang b và qu n lý các l p ph n c ng và ph n mị ả ớ ầ ứ ầ ềm bên dưới, cung c p tấ ất

cả các tính năng cần thiết để hỗ trợ việc xây d ng và cung c p mự ấ ột ứng dụng và d ch vị ụ web s n sàng trên Internet mà không c n b t k thao tác ẵ ầ ấ ỳ tải hay cài đặt phần mềm cho những người phát triển, quản lý tin học, hay người dùng cu i PaaS cho phép các nhà phát tri n ứố ể ng d ng có thể t o ra ụ ạ các ứng d ng m t cách nhanh chóng, khi nhi u rụ ộ ề ắc r i trong viố ệc thiết lập máy chủ, cơ sở ữ liệu đã được nhà cung c p PaaS gi i quy d ấ ả ết

Các đặc trưng tiêu biểu:

+ Phục v cho vi c phát tri n, ki m th , tri n khai và v n hành ụ ệ ể ể ử ể ậ ứng dụng giống như là môi trường phát tri n tích hể ợp

+ Cung c p công c ấ ụ khởi tạo v i giao di n trên n n Web ớ ệ ề

+ Kiến trúc đồng nhất

+ Tích h p d ch vợ ị ụ Web và cơ sở dữ liệu

+ Hỗ trợ công tác nhóm phát tri n ể

Ví dụ: Google App Engine, Openshift, Salesforce, Microsoft Azure,…

- SaaS ( Software as a Service )

Định nghĩa: SaaS (Software as a Service) là m t mô hình tri n khai ộ ể ứng dụng mà ở đó người cung cấp cho phép người dùng s d ng d ch vử ụ ị ụ theo yêu c u Nh ng nhà cung c p SaaS có thầ ữ ấ ể lưu trữ ứng d ng trên máy ch ụ ủ của họ hoặ ải ứng d ng xu ng thic t ụ ố ết b khách hàng, vô hi u hóa nó sau ị ệ khi k t thúc th i h n Các chế ờ ạ ức năng theo yêu cầu có thể được ki m soáể t bên trong để chia s b n quy n c a m t nhà cung cẻ ả ề ủ ộ ấp ứng d ng th ba ụ ứ Các đặc trưng tiêu biểu

+ Phần m m cề ần được truy xu t, qu n lý qua mấ ả ạng

+ Quản lý các ho t d ng t m t v trí tạ ộ ừ ộ ị ập trung hơn là tại mỗi nơi của khách hàng, cho phép khác hàng truy xu t tấ ừ thông qua web xa + Cung cấp ứng dụng thông thường gần gũi với mô hình ánh x t mạ ừ ột đến nhiều hơn là mô hình 1:1 bao gồm cả các đặc trưng kiến trúc, giá c và qu n lý ả ả

+ Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việ ảc t i các b n vá l i và cả ỗ ập nh ật

+ Thường xuyên tích h p nh ng ph n m m giao ti p trên mợ ữ ầ ề ế ạng diện rộng

Ví dụ: D ch v email hay các ng d ng Google Docs, Google Calendarị ụ ứ ụ

2 Deployment models

- Public Cloud: Đám mây công cộng là các dịch vụ trên nền tảng Cloud Computing để cho các cá nhân và t ổ chức thuê, s d ng chung tài nguyên ử ụ

- Private Cloud: Đám mây riêng (dùng trong một doanh nghiệp và không chia s vẻ ới người dùng ngoài doanh nghiệp đó)

- Community Cloud: Đám mây cộng đồng (là các dịch vụ trên nền tảng Cloud Computing do các công ty cùng h p tác xây d ng và cung c p các ợ ự ấ dịch vụ cho cộng đồng)

- Hybrid Cloud: Là mô hình k t h p (lai) gi a các mô hình Public Cloud và ế ợ ữ Private Cloud Cho phép ta khai thác điểm mạnh của từng mô hình cũng như đưa ra phương thức sử dụng tối ưu cho người sử dụng Những “đám mây” này thường do doanh nghi p t o ra và vi c qu n lý s ệ ạ ệ ả ẽ được phân chia giữa doanh nghi p và nhà cung cệ ấp điện toán đám mây công cộng

3 Storages models

Mô hình lưu trữ cho chúng ta biết cách lưu trữ d ữ liệu và tính kh d ng cả ụ ủa không gian lưu trữ trên đám mây Môi trường đám mây cung cấp nhi u loề ại giải pháp lưu trữ Mỗi giải pháp đều có những ưu điểm và hạn chế riêng, tùy theo yêu c u và dầ ữ liệu sẵn có mà người tiêu dùng l a ch n hự ọ ệ thống lưu trữ phù hợp

- Hệ thống lưu trữ khối/tệp được chia sẻ: M t t p bao g m các d ộ ệ ồ ữ liệu đặt trong các thư mục, được chia s ẻ giữa nhiều người dùng/máy ch ủ khác nhau qua mạng Internet Người dùng có th truy c p các tể ậ ệp thông qua các giao th c ho c các chu n khác nhau H có th s ứ ặ ẩ ọ ể ử dụng b t kấ ỳ giao thức nào như Hệ thống t p m ng (NFS), Kh i tin ệ ạ ố nhắn máy ch (SMB) và H ủ ệ thống tệp Internet chung (CIFS) để lưu trữ và truy c p d ậ ữ liệu

- Hệ thống lưu trữ đối tượng: Trong hệ thống lưu trữ đối tượng, d ữ liệu được lưu trữ/truy cập dưới dạng đối tượng Mọi đối tượng được truy c p b ng Khóa toàn cậ ằ ầu, hàm Băm hoặc Trình định vị tài nguyên đồng nh t (URL) b ng cách s d ng Chuy n trấ ằ ử ụ ể ạng thái đại diện (REST) ho c dặ ịch v ụ đám mây dựa trên d ch v web b ng Giao ị ụ ằ thức truyền siêu văn bản (HTTP) là giao th c chính Giao di n quứ ệ ản

lý d ữ liệu đám mây (CDMI) cung cấp giao diện lưu trữ đối tượng để truy cập các đối tượng

- Hệ thống lưu trữ bằng cơ sở d ữ liệu ho c b ng:ặ ả Nhiều ngành lưu trữ

dữ liệu c a h ủ ọ dướ ạng Cơ sở dữ liệu quan h i d ệ hoặc H ệ thống quản

lý cơ sở dữ liệu quan h (RDBM), vì vệ ậy chúng được lưu trữ ở dạng hàng và cột Trong cơ sở ữ liệ d u quan h , c n duy trì tính toàn vệ ầ ẹn của d ữ liệu và tránh dư thừa dữ liệu

4 Role and Boundaries

Đám mây cung cấp các vai trò xác định khác nhau cho t ổ chức và người s ử dụng d ch v ị ụ đám mây:

- Cloud Provider - Nhà cung cấp đám mây: Nhà cung cấp đám mây

là các cá nhân ho c t ặ ổ chức tri n khai/cung cể ấp tài nguyên đám mây

Trách nhi m chính c a nhà cung cệ ủ ấp đám mây là tạo và cung cấp dịch vụ đám mây cho người dùng đám mây, theo sự đảm b o cả ủa SLA

- Cloud Consumer - Người tiêu dùng đám mây: Người tiêu dùng đám mây là những người ho c tặ ổ chức s d ng tài nguyên CNTT trên ử ụ đám mây do nhà cung cấp đám mây cung cấp

- Cloud Service Owner - Chủ ở ữ s h u d ch vị ụ đám mây: Người tiêu dùng đám mây hoặc nhà cung cấp đám mây đều được xác định là chủ s h u d ch vở ữ ị ụ đám mây Chủ ở ữ s h u d ch vị ụ đám mây đề ập c đến cá nhân ho c t ặ ổ chức s h u m t cách h p pháp các d ch v ở ữ ộ ợ ị ụ đám mây

- Cloud resource administrator - Quản trị viên tài nguyên đám mây: Người ho c t ặ ổ chức th c hi n nhi m v ự ệ ệ ụ quản lý các d ch v d a trên ị ụ ự đám mây, bao gồm tài nguyên đám mây thì được gọi là nhà qu n trả ị tài nguyên đám mây

- Organizational boundary - Ngườ ổ chức ranh giới: Người t i tổ ch c ứ ranh giới xác định ranh gi i v t lý bao quanh m t t p h p các tài ớ ậ ộ ậ ợ nguyên CNTT dựa trên đám mây có thực sự thuộc sở h u cữ ủa m t ộ

tổ chức nào đó không Ranh giới t ổ chức không có nghĩa là ranh giới của m t tộ ổ chức th c t , nó ch là m t t p h p tài nguyên CNTT có ự ế ỉ ộ ậ ợ

tổ chức

- Boundary Trust - Ranh gi i tin cớ ậy: Khi người tiêu dùng đám mây truy c p vào các tài nguyên CNTT dậ ựa trên đám mây, cần ph i có ả

m t s tin cộ ự ậy vượt qua ranh gi i v t lý c a tớ ậ ủ ổ chức để ế k t h p các ợ yếu t cố ủa môi trường đám mây Ranh giới tin c y là m t vòng tròn ậ ộ logic bao ph toàn b ủ ộ kiến trúc đám mây để đánh dấu các tài nguyên CNTT đáng tin cậy

- Cloud Broker - Nhà môi giới đám mây nói chung là một ứng dụng hoặc cá nhân, cung c p giao di n gi a khách hàng và nhà cung cấ ệ ữ ấp

- Cloud Carrier - Nhà cung c p d ch vấ ị ụ đám mây có vai trò k t n i, ế ố liên k t gi a t t c các th c thế ữ ấ ả ự ể, cho phép người tiêu dùng truy cập các d ch v khác nhau Ví dị ụ ụ trong đám mây, Internet là một nhà cung c p d ch v , s d ng các giao thấ ị ụ ử ụ ức HTTP để truy n thông tin ề

đế ấn t t cả các th c th ự ể

Hình 4: Hình nh cả ủa một Cloud Computing Framework cơ bản

III Cloud Securities

III.1 Các vấn đề trong b o mả ật điện toán đám mây

Hiện nay, có sáu yêu c u b o m t: ầ ả ậ

a) Xác th c & Phân quy n (Authentication & Authorization): ự ề

- Định nghĩa:

+ Authentication là quá trình ki m tra danh tính m t th c th ể ộ ự ể đang vào

hệ thống hi n t i thông qua m t h ệ ạ ộ ệ thống xác thực

+ Authorization là quá trình xác định xem một người dùng có quyền truy c p tài nguyên cậ ụ thể hoặc để thực hi n m t sệ ộ ố hành động hay không

- Mô hình xác th c và phân quy n nự ề ổi tiếng nhất hi n nay (OAuth2) ệ

Trong OAuth2 định nghĩa 4 vai trò:

+ Resource owner: là những người dùng có khả năng cấp quy n truy ề cập, ch s h u c a tài nguyên mà ng dủ ở ữ ủ ứ ụng mu n lố ấy

+ Resource server: nơi lưu trữ các tài nguyên, có khả năng xử lý yêu cầu truy cập đến các tài nguyên được bảo vệ

+ Client: là nh ng ng d ng bên th 3 mu n truy c p vào ph n tài ữ ứ ụ ứ ố ậ ầ nguyên được chia sẻ với tư cách của người s h u (resource owner) ở ữ

và t t nhiên tr c khi truy cấ ướ ập ứng d ng cụ ần được sự ủy quy n cề ủa user

+ Authorization server: làm nhi m v xác th c, ki m tra thông tin mà ệ ụ ự ể user gửi đến từ đó cấp quy n truy c p cho ng d ng bề ậ ứ ụ ằng việc sinh

ra các đoạn mã access token Đôi khi authorization server cũng chính là resource server

Token:

Là một đoạn mã dùng để xác thực quy n truy c p, cho phép ng d ng bên ề ậ ứ ụ thứ 3 có th truy cể ập vào nh ng d u cữ ữ liệ ủa người dùng trong m t ph m vi ộ ạ nhất định mà nó cho phép Token này được gửi bởi Client như một tham

số được truy n vào header trong m i request khi c n truy cề ỗ ầ ập đến tài nguyên trong Resource server

Mô hình hoạt động

+ B1: Client s gẽ ửi request để người dùng c p quy n s d ng thông ấ ề ử ụ tin c a h ủ ọ