báo cáo tiến độ lần 1 giải pháp bảo mật cho hạ tầng điện toán đám mây

- Lợi ích khi s dử ụng điện toán đám mây a Nhanh chóng: Đám mây cho phép bạn dễ dàng tiếp cận nhiều công nghệ để ạ b n có thể i mđổ ới nhanh hơn và phát triển gần như mọi thứ mà bạn có t

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

TRƯỜNG ĐIỆN – ĐIỆN TỬ

BÁO CÁO TIẾN ĐỘ Ầ L N 1

Giảng viên hướng dẫn: PGS.TS Nguy n Tài Hễ ưng

Hà N ội, 4 - 2023

I T i sao l i nghiên cạạứu v Cloud Security? ề

- Điện toán đám mây là việc phân phối các tài nguyên CNTT theo nhu cầu qua Internet v i chính sách thanh toán theo m c s d ng Thay vì mua, s ớ ứ ử ụ ởhữu và b o trì các trung tâm d u và máy ch v t lý, b n có th p cả ữ liệ ủ ậ ạ ể tiế ận các d ch v công nghị ụ ệ, như năng lượng điện toán, lưu trữ và cơ sở dữ liệu, khi cần thi t, t nhà cung c p d ch v ế ừ ấ ị ụ đám mây như Amazon Web Services (AWS), Microsoft Azure , Google Cloud Platform

Hình nh 1: V Cloud Computing ảề

- Lợi ích khi s dử ụng điện toán đám mây

a) Nhanh chóng: Đám mây cho phép bạn dễ dàng tiếp cận nhiều công nghệ để ạ b n có thể i mđổ ới nhanh hơn và phát triển gần như mọi thứ mà bạn có thể tưởng tượng Bạn có thể nhanh chóng thu thập tài nguyên khi cần từ các d ch vị ụ cơ sở ạ ầng, h t như điện toán, lưu trữ, và cơ sở dữ liệu, đến Internet of Things, machine learning, kho d ữ liệu và phân tích, v.v B n có ạthể triển khai các d ch v công ngh mị ụ ệ ột cách nhanh chóng và ti n hành t ế ừkhâu ý tưởng đến khâu hoàn thiện nhanh hơn một vài c p bấ ậc cường độ so với trước đây Điều này cho phép b n t do th nghi m, ki m th ạ ự ử ệ ể ử những ý tưởng mới để phân biệt tr i nghiả ệm của khách hàng và chuyển đổi doanh nghi p c a bệ ủ ạn

b) Quy mô linh hoạt: Với điện toán đám mây, bạn không ph i cung c p tài ả ấnguyên quá mức để ử x lý các hoạt động kinh doanh m c cao nh t trong ở ứ ấtương lai Thay vào đó, bạn cung cấp lượng tài nguyên mà b n th c s c n ạ ự ự ầB n có th ạ ể tăng hoặc gi m quy mô c a các tài nguyên này ngay l p tả ủ ậ ức để tăng và giảm dung lượng khi nhu c u kinh doanh c a b n thầ ủ ạ ay đổi

c) Tiết ki m chi phí:ệ N n tề ảng đám mây cho phép bạn thay th các kho n chi ế ảphí cố định (như trung tâm dữ liệu và máy ch v t lý) b ng các kho n chi ủ ậ ằ ảphí biến đổi, đồng th i chờ ỉ phải trả tiền cho tài nguyên CNTT mà b n s ạ ửdụng Bên cạnh đó, chi phí biế đổi cũng sẽ thấp hơn nhiều so với chi phí n bạn t trang tr i do tính kinh t theo quy mô ự ả ế

d) Tri n khai trên toàn c u ch trong vài phút:ểầỉ Với đám mây, bạn có th ểm r ng sang các khu vở ộ ực địa lý m i và tri n khai trên toàn c u trong vài ớ ể ầphút Ví dụ: AWS có cơ ở ạ ầs h t ng trên toàn thế giới, vì v y, b n có th ậ ạ ểtri n khai ể ứng d ng c a mình ụ ủ ở nhiều địa điểm th c t ự ế chỉ b ng vài cú nhằ ấp chuột Đặt các ng d ng gứ ụ ần hơn với người dùng cuối giúp giảm độ trễ và cải thi n tr i nghi m c a h ệ ả ệ ủ ọ

=> Vì v y nhu cậ ầu xu hướng chuyển dịch h t ng công ngh thông tin cạ ầ ệ ủa các doanh nghi p hi n nay là r t lệ ệ ấ ớn Điều đó đồng nghĩa với vi c r i ro ệ ủtrong vấn đề bảo mật ở lĩnh vực Cloud Computing ngày càng tăng cao Do đó, nghiên cứu v Cloud Security là r t c n thiề ấ ầ ết để giúp các tổ chức đảm bảo rằng d ữ liệu c a h ủ ọ được b o v an toàn, gi m thi u r i ro b o mả ệ ả ể ủ ả ật khi sử d ng các d ch v ụ ị ụ đám mây

Hình 2: L i ích cợủa Điện toán đám mây

II Các khái niệm cơ bản trong Cloud Computing II.1 Các đặc tính ở trong Cloud Computing

On-demand self service - Khả năng tự phục v ụ

Khách hàng có th ể được cung cấp tài nguyên dưới d ng máy ch hay dung ạ ủlượng lưu trữ,…một cách tự động theo yêu c u mà không c n ph i có sầ ầ ả ự can thi p t phía nhà cung c p d ch v ệ ừ ấ ị ụ

Broad network access - Truy nh p qua các chu n mậ ẩ ạng

B t k thi t b tiêu chuấ ỳ ế ị ẩn nào như điện thoại di động, PC, máy tính để bàn, máy tính xách tay cũng có thể truy c p vào d ậ ữ liệu và các d ch v ị ụ hoạt động trên đám mây

Resource pooling - Chia s tài nguyên ẻ

Nhà cung cấp đám mây sẽ ấ c p tài nguyên máy o ho c máy vả ặ ật lý được chia sẻ giữa nhiều người dùng Các tài nguyên này được phân bổ động trong môi trường đa tổ chức

Rapid elasticity - Tính m m dề ẻo, tính đàn hồi

Tài nguyên có thể được cung c p m t cách nhanh chóng và m m d o, có ấ ộ ề ẻkhả năng thay đổi tăng lên hay giảm đi tùy thuộc vào nhu cầu s d ng cử ụ ủa khách hàng Đố ới khách hàng tài nguyên trên điện toán đám mây luôn i vluôn s n sàng và có th coi là không gi i h n, có th truy c p vào b t k ẵ ể ớ ạ ể ậ ấ ỳthời điểm nào.

Measured service - D ch v s dị ụ ử ụng đo đếm được

Các hệ thống điện toán đám mây có khả năng tự điều khi n và tinh chể ỉnh tài nguyên s dử ụng bằng cách áp d ng các biụ ện pháp đo lường các cở ấp độ khác nhau cho t ng lo i d ch v Tài nguyên s d ng có th ừ ạ ị ụ ử ụ ể được giám sát, đo lường và khách hàng thường sẽ chỉ trả phí cho lượng tài nguyên họ sử d ng ụ

Cloud API - giao di n l p trình ng d ng (API) ệ ậ ứ ụ

Cloud API là giao di n l p trình ệ ậ ứng dụng (API) được s dử ụng để xây dựng các ứng d ng trong th ụ ị trường điện toán đám mây Cloud API cho phép các phần mềm để yêu c u d ầ ữ liệu và tính toán từ m t ho c nhi u d ch vộ ặ ề ị ụ thông qua m t giao di n tr c ti p ho c gián tiộ ệ ự ế ặ ếp Cloud API thường được b c l ộ ộtính năng của họ thông qua REST hoặc SOAP Giao diện tương tác với Cloud Cung c p bấ ộ API để phát tri n h ể ệ thống

Hình C3: ác đặc tính ở trong Cloud

II.2 Khung ki n trúc c a Cloud Computing ( ARCHITECTURE ếủ

FRAMEWORK )

1 Service models ( Mô hình d ch v ) ịụ

- IaaS ( Infrastructure as a Service ):

Định nghĩa: IaaS (Infrastructure- -a-Service) cung cas ấp cho người dùng h ạtầng thô (thường dưới hình th c các máy ứ ảo) như một d ch vị ụ Người dùng có th tri n khai và ch y ph n mể ể ạ ầ ềm trên các máy ảo như trên một máy ch ủthực hay có th ể đưa dữ liệu cá nhân lên “đám mây” và lưu trữ Người dùng không có quy n ki m soát h t ng thề ể ạ ầ ực bên trong “đám mây” tuy nhiên họ có toàn quy n qu n lý và s d ng tài nguyên mà hề ả ử ụ ọ được cung cấp, cũng như yêu cầu mở rộng lượng tài nguyên h ọ được phép s d ng ử ụ

Đặc trưng của IaaS:

+ Cung cấp tài nguyên như dịch vụ: + Khả năng mở rộng linh ho t ạ

+ Chi phí thay đổi tùy theo mức sử dụng

+ Nhiều người thuê dùng chung trên m t tài nguyên ộVí dụ: Amazon EC2/S3, Elastra (Beta 2.0 2/2009), Nirvanix

- PaaS ( Platform as a Service )

Định nghĩa: PaaS (Platform as a Service) Mô hình PaaS cung c p cách thấ ức cho phát triển ứng d ng trên m t n n tụ ộ ề ảng trừu tượng Nó h ỗ trợ việc triển khai ng d ng mà không quứ ụ an tâm đến chi phí hay sự phức t p c a viạ ủ ệc trang b và qu n lý các l p ph n c ng và ph n mị ả ớ ầ ứ ầ ềm bên dưới, cung c p tấ ất cả các tính năng cần thiết để hỗ trợ việc xây d ng và cung c p mự ấ ột ứng dụng và d ch vị ụ web s n sàng trên Internet mà không c n b t k thao tác ẵ ầ ấ ỳtải hay cài đặt phần mềm cho những người phát triển, quản lý tin học, hay người dùng cu i PaaS cho phép các nhà phát tri n ứố ể ng d ng có thể t o ra ụ ạcác ứng d ng m t cách nhanh chóng, khi nhi u rụ ộ ề ắc r i trong viố ệc thiết lập máy chủ, cơ sở ữ liệu đã được nhà cung c p PaaS gi i quy d ấ ả ết

Các đặc trưng tiêu biểu:

+ Phục v cho vi c phát tri n, ki m th , tri n khai và v n hành ụ ệ ể ể ử ể ậ ứng dụng giống như là môi trường phát tri n tích hể ợp

+ Cung c p công c ấ ụ khởi tạo v i giao di n trên n n Web ớ ệ ề

+ Phần m m cề ần được truy xu t, qu n lý qua mấ ả ạng

+ Quản lý các ho t d ng t m t v trí tạ ộ ừ ộ ị ập trung hơn là tại mỗi nơi của khách hàng, cho phép khác hàng truy xu t tấ ừ thông qua web xa+ Cung cấp ứng dụng thông thường gần gũi với mô hình ánh x t mạ ừ ột

đến nhiều hơn là mô hình 1:1 bao gồm cả các đặc trưng kiến trúc, giá c và qu n lý ả ả

+ Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việ ảc t i các b n vá l i và cả ỗ ập nh ật.

+ Thường xuyên tích h p nh ng ph n m m giao ti p trên mợ ữ ầ ề ế ạng diện rộng

Ví dụ: D ch v email hay các ng d ng Google Docs, Google Calendarị ụ ứ ụ

2 Deployment models

- Public Cloud: Đám mây công cộng là các dịch vụ trên nền tảng Cloud Computing để cho các cá nhân và t ổ chức thuê, s d ng chung tài nguyên ử ụ- Private Cloud: Đám mây riêng (dùng trong một doanh nghiệp và không

chia s vẻ ới người dùng ngoài doanh nghiệp đó).

- Community Cloud: Đám mây cộng đồng (là các dịch vụ trên nền tảng Cloud Computing do các công ty cùng h p tác xây d ng và cung c p các ợ ự ấdịch vụ cho cộng đồng)

- Hybrid Cloud: Là mô hình k t h p (lai) gi a các mô hình Public Cloud và ế ợ ữPrivate Cloud Cho phép ta khai thác điểm mạnh của từng mô hình cũng như đưa ra phương thức sử dụng tối ưu cho người sử dụng Những “đám mây” này thường do doanh nghi p t o ra và vi c qu n lý s ệ ạ ệ ả ẽ được phân chia giữa doanh nghi p và nhà cung cệ ấp điện toán đám mây công cộng.

3 Storages models

Mô hình lưu trữ cho chúng ta biết cách lưu trữ d ữ liệu và tính kh d ng cả ụ ủa không gian lưu trữ trên đám mây Môi trường đám mây cung cấp nhi u loề ại giải pháp lưu trữ Mỗi giải pháp đều có những ưu điểm và hạn chế riêng, tùy theo yêu c u và dầ ữ liệu sẵn có mà người tiêu dùng l a ch n hự ọ ệ thống lưu trữ phù hợp

- Hệ thống lưu trữ khối/tệp được chia sẻ: M t t p bao g m các d ộ ệ ồ ữ liệu đặt trong các thư mục, được chia s ẻ giữa nhiều người dùng/máy ch ủkhác nhau qua mạng Internet Người dùng có th truy c p các tể ậ ệp thông qua các giao th c ho c các chu n khác nhau H có th s ứ ặ ẩ ọ ể ửdụng b t kấ ỳ giao thức nào như Hệ thống t p m ng (NFS), Kh i tin ệ ạ ốnhắn máy ch (SMB) và H ủ ệ thống tệp Internet chung (CIFS) để lưu trữ và truy c p d ậ ữ liệu

- Hệ thống lưu trữ đối tượng: Trong hệ thống lưu trữ đối tượng, d ữliệu được lưu trữ/truy cập dưới dạng đối tượng Mọi đối tượng được truy c p b ng Khóa toàn cậ ằ ầu, hàm Băm hoặc Trình định vị tài nguyên đồng nh t (URL) b ng cách s d ng Chuy n trấ ằ ử ụ ể ạng thái đại diện (REST) ho c dặ ịch v ụ đám mây dựa trên d ch v web b ng Giao ị ụ ằthức truyền siêu văn bản (HTTP) là giao th c chính Giao di n quứ ệ ản lý d ữ liệu đám mây (CDMI) cung cấp giao diện lưu trữ đối tượng để truy cập các đối tượng

- Hệ thống lưu trữ bằng cơ sở d ữ liệu ho c b ng:ặ ả Nhiều ngành lưu trữ dữ liệu c a h ủ ọ dướ ạng Cơ sở dữ liệu quan h i d ệ hoặc H ệ thống quản lý cơ sở dữ liệu quan h (RDBM), vì vệ ậy chúng được lưu trữ ở dạng hàng và cột Trong cơ sở ữ liệ d u quan h , c n duy trì tính toàn vệ ầ ẹn của d ữ liệu và tránh dư thừa dữ liệu

4 Role and Boundaries

Đám mây cung cấp các vai trò xác định khác nhau cho t ổ chức và người s ửdụng d ch v ị ụ đám mây:

- Cloud Provider - Nhà cung cấp đám mây: Nhà cung cấp đám mây là các cá nhân ho c t ặ ổ chức tri n khai/cung cể ấp tài nguyên đám mây

Trách nhi m chính c a nhà cung cệ ủ ấp đám mây là tạo và cung cấp dịch vụ đám mây cho người dùng đám mây, theo sự đảm b o cả ủa SLA

- Cloud Consumer - Người tiêu dùng đám mây: Người tiêu dùng đám mây là những người ho c tặ ổ chức s d ng tài nguyên CNTT trên ử ụđám mây do nhà cung cấp đám mây cung cấp

- Cloud Service Owner - Chủ ở ữ s h u d ch vị ụ đám mây: Người tiêu dùng đám mây hoặc nhà cung cấp đám mây đều được xác định là chủ s h u d ch vở ữ ị ụ đám mây Chủ ở ữ s h u d ch vị ụ đám mây đề ập cđến cá nhân ho c t ặ ổ chức s h u m t cách h p pháp các d ch v ở ữ ộ ợ ị ụ đám mây

- Cloud resource administrator - Quản trị viên tài nguyên đám mây: Người ho c t ặ ổ chức th c hi n nhi m v ự ệ ệ ụ quản lý các d ch v d a trên ị ụ ựđám mây, bao gồm tài nguyên đám mây thì được gọi là nhà qu n trả ị tài nguyên đám mây

- Organizational boundary - Ngườ ổ chức ranh giới: Người t i tổ ch c ứranh giới xác định ranh gi i v t lý bao quanh m t t p h p các tài ớ ậ ộ ậ ợnguyên CNTT dựa trên đám mây có thực sự thuộc sở h u cữ ủa m t ộtổ chức nào đó không Ranh giới t ổ chức không có nghĩa là ranh giới của m t tộ ổ chức th c t , nó ch là m t t p h p tài nguyên CNTT có ự ế ỉ ộ ậ ợtổ chức

- Boundary Trust - Ranh gi i tin cớ ậy: Khi người tiêu dùng đám mây truy c p vào các tài nguyên CNTT dậ ựa trên đám mây, cần ph i có ảm t s tin cộ ự ậy vượt qua ranh gi i v t lý c a tớ ậ ủ ổ chức để ế k t h p các ợyếu t cố ủa môi trường đám mây Ranh giới tin c y là m t vòng tròn ậ ộlogic bao ph toàn b ủ ộ kiến trúc đám mây để đánh dấu các tài nguyên CNTT đáng tin cậy

- Cloud Broker - Nhà môi giới đám mây nói chung là một ứng dụng hoặc cá nhân, cung c p giao di n gi a khách hàng và nhà cung cấ ệ ữ ấp.- Cloud Carrier - Nhà cung c p d ch vấ ị ụ đám mây có vai trò k t n i, ế ố

liên k t gi a t t c các th c thế ữ ấ ả ự ể, cho phép người tiêu dùng truy cập các d ch v khác nhau Ví dị ụ ụ trong đám mây, Internet là một nhà cung c p d ch v , s d ng các giao thấ ị ụ ử ụ ức HTTP để truy n thông tin ềđế ấn t t cả các th c th ự ể

Hình 4: Hình nh cả ủa một Cloud Computing Framework cơ bản

III Cloud Securities

III.1 Các vấn đề trong b o mảật điện toán đám mây

Hiện nay, có sáu yêu c u b o m t: ầ ả ậ

a) Xác th c & Phân quy n (Authentication & Authorization): ựề

- Mô hình xác th c và phân quy n nự ề ổi tiếng nhất hi n nay (OAuth2) ệ

Trong OAuth2 định nghĩa 4 vai trò:

+ Resource owner: là những người dùng có khả năng cấp quy n truy ềcập, ch s h u c a tài nguyên mà ng dủ ở ữ ủ ứ ụng mu n lố ấy

+ Resource server: nơi lưu trữ các tài nguyên, có khả năng xử lý yêu cầu truy cập đến các tài nguyên được bảo vệ

+ Client: là nh ng ng d ng bên th 3 mu n truy c p vào ph n tài ữ ứ ụ ứ ố ậ ầnguyên được chia sẻ với tư cách của người s h u (resource owner) ở ữvà t t nhiên tr c khi truy cấ ướ ập ứng d ng cụ ần được sự ủy quy n cề ủa user

+ Authorization server: làm nhi m v xác th c, ki m tra thông tin mà ệ ụ ự ểuser gửi đến từ đó cấp quy n truy c p cho ng d ng bề ậ ứ ụ ằng việc sinh ra các đoạn mã access token Đôi khi authorization server cũng chính là resource server

Token:

Là một đoạn mã dùng để xác thực quy n truy c p, cho phép ng d ng bên ề ậ ứ ụthứ 3 có th truy cể ập vào nh ng d u cữ ữ liệ ủa người dùng trong m t ph m vi ộ ạnhất định mà nó cho phép Token này được gửi bởi Client như một tham số được truy n vào header trong m i request khi c n truy cề ỗ ầ ập đến tài nguyên trong Resource server

Mô hình hoạt động

+ B1: Client s gẽ ửi request để người dùng c p quy n s d ng thông ấ ề ử ụtin c a h ủ ọ

+ B2: Client l y v thông tin cấ ề ủa người dùng

+ B3: Client gửi request đến Authorization Server để yêu cầu token Authorization Server s xác th c danh tính cẽ ự ủa người dùng và gửi về token tương ứng ch a thông tin và các quy n h n cứ ề ạ ủa người dùng đó

+ B4: Client l y v token ch a thông tin và quy n h n cấ ề ứ ề ạ ủa người dùng + B5: Client g i token lử ấy được ở bước 4 t i Resource Server yêu cớ ầu

tài nguyên Resource Server s xác th c token và c p phép cho client ẽ ự ấtruy c p tài nguyên ậ

+ B6: Resource Server tr v ả ề tài nguyên được bảo vệ cho Client - Xác th c và phân quyự ền trong mô hình điện toán đám mây

+ Trong mô hình điện toán đám mây, Client có thể là một tài khoản được ủy thác hoặc một tài nguyên trong đám mây nguồn truy cập hoặc l y d u t m t tài nguyên khác ấ ữ liệ ừ ộ

+ Ta phân ra làm 2 lo i chính: User Assigned , System Assigned ạ+ User Assigned là y quy n cho m t user s d ng các d ch vủ ề ộ ử ụ ị ụ điện

toán đám mây, user sẽ được cấp quy n truy c p các tài nguyên ề ậ+ System Assigned là y quy n cho m t Resource trong h sinh thái ủ ề ộ ệ

đám mây truy cập một Resource khác Ví dụ một dịch vụ tính toán serverless c n truy c p d ch vầ ậ ị ụ lưu trữ khóa bí mật để ấy khóa thì lcần được cấp quy n phù h p ề ợ

+ Authorization Server sẽ là nơi xác thực và c p token truy c p cho ấ ậnhững user và resource mu n truy c p các tài nguyên khác Ví d ố ậ ụđiển hình trong về authorization server c a các n n tảng đám mây ủ ềhiện tại là Azure Active Directory

b) Điện toán bí m t (Confidential Computing): ậ

- Điện toán bí m t (Confidential Computing) là s b o v dậ ự ả ệ ữ liệu trong khi đang sử dụng thông qua việc cô lập các thành phần xử lý với môi trường thực thi tin c y và d a trên ph n c ng Trong khi d ậ ự ầ ứ ữ liệu được mã hóa theo cách truy n th ng ề ố ở trạng thái ngh và khi truyỉ ền, nhưng với Confidential Computing, d u c a bữ liệ ủ ạn s được b o v ẽ ả ệ trong khi nó đang được xử lý - Khi các doanh nghi p ngày càng ph thu c nhiệ ụ ộ ều hơn vào các dịch v ụ đám

mây công c ng thì quyộ ền riêng tư dữ ệu trong đám mây là bắ li t bu c Mộ ục tiêu chính c a nó là cung c p sủ ấ ự đảm b o cho các doanh nghi p r ng dả ệ ằ ữ