Các vấn đề an toàn và bảo mật trên các tầng dịch vụ Có một số vấn đề bảo mật liên quan đến điện toán đám mây có thể khiến dữ liệu gặp nguy hiểm và dễ bị tấn công hơn.. Một số lỗ hổng bảo
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI
KHOA CÔNG NGHỆ THÔNG TIN
BÀI TẬP NHÓM
TÌM HIỂU CÁC VẤN ĐỀ VỀ AN TOÀN VÀ BẢO MẬT TRONG
ĐIỆN TOÁN ĐÁM MÂY
MÔN HỌC: ĐIỆN TOÁN ĐÁM MÂY Ngành: Công nghệ thông tin Giảng viên: Nguyễn Đình Nga
Sinh viên:
1 Nguyễn Thu Trang
2 Nguyễn Thị Phương Anh
3 Dương Đức Tú
4 Đỗ Trung Kiên
5 Đoàn Văn Huân
HÀ NỘI – 2023
Trang 2BẢNG PHÂN CÔNG CÔNG VIỆC
việc
mức độ đóng góp
Ghi chú
trưởng
Trang 3Mục Lục CHƯƠNG 1: CÁC VẤN ĐỀ AN TOÀN VÀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 5
1.1 Các vấn đề an toàn và bảo mật trên các tầng dịch vụ 5
1.2 Một số lỗ hổng bảo mật trong hệ thống đám mây 5
1.2.1 Giao diện người sử dụng và API được cung cấp không an toàn 5
1.2.2 Tài nguyên phân bố không giới hạn 6
1.2.3 Các lỗ hổng liên quan tới dữ liệu 6
1.2.4 Lỗ hổng trong máy ảo 6
1.2.5 Lỗ hổng trong ảnh máy ảo 6
1.2.6 Lỗ hổng trong hypervisor 6
1.2.7 Lỗ hổng trong mạng ảo 6
CHƯƠNG 2: NGUY CƠ VỀ AN TOÀN TRONG BẢO MẬT TRONG HỆ THỐNG ĐÁM MÂY 7
2.1 Vi phạm dữ liệu 7
2.2 Mất dữ liệu 7
2.3 Crytojacking 8
2.4 Cấu hình sai và không kiểm soát thay đổi đầy đủ 8
2.5 Thiếu chiến lược và kiến trúc bảo mật đám mây 8
2.6 Quản lí danh tính, thông tin xác thực, quyền truy cập và quản lý khóa kém 8
2.7 Chiếm đoạt tài sản 9
2.8 Mối đe dọa từ nội bộ 9
2.9 Lỗi cấu trúc cơ sở & cấu trúc thiết bị 9
2.10 Các giao diện và API không an toàn 10
2.11 Nền tảng điều khiển yếu 10
2.12 Khả năng sử dụng đám mây hạn chế 10
2.13 Lạm dụng & sử dụng bất chính dịch vụ đám mây 10
CHƯƠNG 3: MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN TRONG BẢO MẬT TRONG HỆ THỐNG ĐÁM MÂY 11
3.1 Vi phạm dữ liệu 11
3.2 Mất dữ liệu 11
3.3 Crytojack 11
3.4 Cấu hình sai & không kiểm soát thay đổi đầy đủ 12
Trang 43.5 Thiếu chiến lược và cấu trúc bảo mật 12
3.6 Quản lý danh tính, thông tin xác thực, quyền truy cập & quản lý khóa kém 12
3.7 Chiếm đoạt tài sải 12
3.8 Mối đe dọa từ nội bộ 13
3.9 Lỗi cấu trúc cơ sở & cấu trúc thiết bị 13
3.10 Các giao diện và API không an toàn 13
3.11 Nền tảng điều khiển yếu 13
3.12 Khả năng sử dụng đám mây hạn chế 13
3.13 Lạm dụng & sử dụng bất chính dịch vụ đám mây 14
CHƯƠNG 4: KẾT LUẬN 15
DEMO 16
TÀI LIỆU THAM KHẢO 16
Trang 5CHƯƠNG 1: CÁC VẤN ĐỀ AN TOÀN VÀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY
1.1 Các vấn đề an toàn và bảo mật trên các tầng dịch vụ
Có một số vấn đề bảo mật liên quan đến điện toán đám mây có thể khiến dữ liệu gặp
nguy hiểm và dễ bị tấn công hơn Ví dụ: dữ liệu trong quá trình truyền tải thường gặp rủi
ro khi trong quá trình di chuyển các vị trí, dữ liệu đó không còn được bảo vệ bởi tường lửa Vì đám mây được thiết kế để sử dụng bởi nhiều người dùng , điều này làm cho nó dễ
bị tấn công hơn, vì đa người dùng có nghĩa là đa truy cập Với việc nhiều người hơn – và nhiều thiết bị hơn – có quyền truy cập vào đám mây, nguy cơ tội phạm xâm nhập vào cơ
sở hạ tầng sẽ tăng lên
1.2 Một số lỗ hổng bảo mật trong hệ thống đám mây
Để giải quyết những vấn đề về An toàn bảo mật đã đặt ra như trong phần trước, công việc đầu tiên của các nhà cung cấp dịch vụ đám mây là phải xác định được những lỗ hổng
có thể tồn tại về An toàn bảo mật trong hệ thống của mình
1.2.1 Giao diện người sử dụng và API được cung cấp không an toàn
Phần lớn các nhà cung cấp dịch vụ đám mây cung cấp dịch vụ thông qua các giao diện HTTP, SOAP hoặc REST Những vấn đề bảo mật gắn với các giao diện này bao gồm:
+ Chứng nhận sử dụng hợp lệ yếu
+ Việc kiểm tra xác quyền không đủ
+ Thiếu kiểm tra tính hợp lệ của dữ liệu
1.2.2 Tài nguyên phân bố không giới hạn
Hệ thống có thể gặp phải tình huống dành sẵn quá nhiều tài nguyên nếu như việc đánh giá về tài nguyên sử dụng không chính xác
1.2.3 Các lỗ hổng liên quan tới dữ liệu
Khả năng phân tách yếu cho những dữ liệu có nguồn gốc khác nhau (chẳng hạn của các đối tượng cạnh tranh hoặc của tin tặc) dẫn đến chúng dễ bị đánh cắp
Dữ liệu không được xóa hoàn toàn
Dữ liệu được sao lưu bởi một bên thứ ba không tin cậy
Trang 6Người sử dụng thường không biết vị trí lưu trữ dữ liệu
Dữ liệu thường được lưu trữ, lưu chuyển và xử lý dưới dạng bản rõ
1.2.4 Lỗ hổng trong máy ảo
Tồn tại những kênh giao tiếp không tường minh
Cấp phát và giải phóng tài nguyên không hạn chế trong máy ảo
Di trú không được kiểm soát
Không kiểm soát các snapshot có thể dẫn đến rò rỉ dữ liệu
Các máy ảo có IP có thể quan sát được bên trong đám mây, do vậy tin tặc có thể định
vị được một máy ảo cần tấn công
1.2.5 Lỗ hổng trong ảnh máy ảo
Ảnh máy ảo được đặt trên kho lưu trữ công cộng một cách không kiểm soát Ảnh máy ảo không thể vá lỗi vì chúng không hoạt động
1.2.6 Lỗ hổng trong hypervisor
Khả năng cấu hình linh động của hypervisor có thể khiến chúng bị khai thác
1.2.7 Lỗ hổng trong mạng ảo
Lỗ hổng khi chia sẻ các cầu nối ảo giữa các máy ảo
Trang 7CHƯƠNG 2: NGUY CƠ VỀ AN TOÀN TRONG BẢO MẬT TRONG HỆ THỐNG ĐÁM MÂY
Tháng 11 năm 2008, liên minh an toàn bảo mật trong điện toán đám mây (Cloud Security Alliance – CSA) được thành lập dưới hình thức một tổ chức phi lợi nhuận Nhiệm vụ chính của CSA là xác định các vấn đề liên quan tới An toàn bảo mật đám mây, sau đó cung cấp những kinh nghiệm và giải pháp hỗ trợ giải quyết các vấn đề đó Tổ chức này đã nhận được sự ủng hộ của trên 120 nhà cung cấp dịch vụ đám mây, bao gồm những nhà cung cấp hàng đầu như: Google, Amazon hay Saleforce
2.1 Vi phạm dữ liệu
Khi sự an toàn của dữ liệu bị xâm phạm trong đám mây, điều này có thể dẫn đến các cuộc tấn công như dữ liệu bị rò rỉ Nếu dịch vụ đám mây hoặc một thiết bị được kết nối
-bị vi phạm, dữ liệu nhạy cảm đã -bị truy cập Nếu một tên tội phạm mạng có quyền truy cập vào thông tin này, chúng có thể chọn phân phối nó Khi dữ liệu trong bộ nhớ được chuyển, bằng điện tử hoặc vật lý, nó sẽ bị rò rỉ Vì đám mây không sử dụng phần cứng, tội phạm mạng có thể làm rò rỉ dữ liệu đám mây trực tuyến hoặc bằng cách ghi nhớ thông tin
và phân phối nó sau đó Còn được gọi là đánh cắp dữ liệu thấp và chậm, rò rỉ dữ liệu là một mối nguy hiểm phổ biến trong điện toán đám mây
2.2 Mất dữ liệu
Một rủi ro bảo mật lưu trữ đám mây phổ biến khác là mất dữ liệu Trái ngược với việc thông tin bị đánh cắp và phân phối, nó sẽ bị xóa hoàn toàn Đây có thể là kết quả của việc hack, vi-rút hoặc lỗi hệ thống - điều này đặt ra vấn đề khi dữ liệu không được sao lưu, làm nổi bật tầm quan trọng của việc bảo mật các dịch vụ đám mây Tuy nhiên, nếu tội phạm mạng đang nhắm mục tiêu vào dữ liệu cụ thể, chúng cũng có thể nhắm mục tiêu vào bản sao lưu
Việc mất dữ liệu có thể gây tổn hại cho doanh nghiệp - thông tin có thể khó hoặc không thể khôi phục và bạn có thể thấy các nỗ lực khôi phục tiêu tốn rất nhiều thời gian, tiền bạc và tài nguyên Một số dữ liệu có thể phải được tạo lại và những dữ liệu khác có thể được tìm thấy ở định dạng bản cứng cần chuyển đổi Mất dữ liệu có thể rất ảnh hưởng đến quy trình làm việc
Trang 82.3 Crytojacking
Cryptojacking là một dạng đe dọa sử dụng tài nguyên để khai thác tiền điện tử Mối
đe dọa có thể kiểm soát các mạng đám mây để hack trình duyệt web và xâm phạm các điểm cuối Điều này có thể xảy ra nếu có điểm yếu trong bảo mật và cơ sở hạ tầng đám mây trở nên dễ bị tấn công, cho phép các thiết bị bị tấn công mà người dùng không biết để khai thác tiền điện tử
Trong khi khai thác tiền mã hóa là hợp pháp, hoạt động khai thác này sau đó có thể sử dụng nhiều tài nguyên, do đó, tại sao bọn tội phạm mạng lại chọn khai thác trên các thiết
bị không phải của chúng Bạn có thể nhận thấy mình có hóa đơn tiền điện cao hơn, tuổi thọ pin thấp hơn và quá trình xử lý chậm hơn Tiền mã hóa có thể là một công việc kinh doanh có lợi nhuận, tuy nhiên, để thành công, bạn có thể sẽ phải chi tiêu trước rất nhiều cho các nguồn lực mà bạn sử dụng
2.4 Cấu hình sai và không kiểm soát thay đổi đầy đủ
Đây là một mối đe dọa mới trong danh sách của CSA và không có gì đáng ngạc nhiên khi có nhiều ví dụ về các doanh nghiệp vô tình để lộ dữ liệu qua đám mây Ví dụ: CSA trích dẫn sự cố Exactis, trong đó nhà cung cấp để cơ sở dữ liệu Elasticsearch chứa dữ liệu
cá nhân của 230 triệu người tiêu dùng Hoa Kỳ có thể truy cập công khai do định cấu hình sai
Theo CSA, các công ty không chỉ phải lo lắng về việc mất dữ liệu mà còn phải quan tâm về việc xóa hoặc sửa đổi các tài nguyên được thực hiện với mục đích làm gián đoạn hoạt động kinh doanh Báo cáo cho rằng lỗi thuộc về các biện pháp kiểm soát thay đổi kém đối với hầu hết các lỗi cấu hình sai
2.5 Thiếu chiến lược và kiến trúc bảo mật đám mây
Có một thực tế là các doanh nghiệp mong muốn giảm thiểu thời gian cần thiết để di chuyển hệ thống và dữ liệu lên đám mây thường được ưu tiên hơn vấn đề bảo mật Kết quả là, công ty bắt đầu hoạt động trên đám mây bằng cách sử dụng cơ sở hạ tầng và chiến lược bảo mật không được thiết kế cho nó Đây là một vấn đề lớn
2.6 Quản lí danh tính, thông tin xác thực, quyền truy cập và quản lý khóa kém
Một mối đe dọa mới trong danh sách của CSA là quản lý và kiểm soát truy cập kém
về dữ liệu, hệ thống và tài nguyên vật lý như phòng máy chủ và tòa nhà Báo cáo lưu ý
Trang 9rằng đám mây yêu cầu các tổ chức thay đổi các thông lệ liên quan đến quản lý danh tính
và truy cập (IAM) Theo báo cáo, hậu quả của việc không làm như vậy có thể dẫn đến các
sự cố và vi phạm an ninh do: Thông tin đăng nhập không được bảo vệ cẩn mật; Không thay đổi các khóa mật mã, mật khẩu và chứng chỉ định kỳ; Thiếu khả năng mở rộng; Không sử dụng xác thực đa yếu tố; Không sử dụng mật khẩu mạnh
2.7 Chiếm đoạt tài sản
Chiếm đoạt tài khoản vẫn là một mối đe dọa với đám mây Khi các nỗ lực lừa đảo ngày càng tinh vi, hiệu quả hơn và có mục tiêu cụ thể, nguy cơ kẻ tấn công giành được quyền truy cập vào các tài khoản có đặc quyền cao là rất lớn Lừa đảo không phải là cách duy nhất mà kẻ tấn công có thể lấy được thông tin đăng nhập Họ cũng có thể có được chúng bằng cách xâm nhập vào chính dịch vụ đám mây để đánh cắp chúng thông qua các phương tiện khác
Một khi kẻ tấn công có thể xâm nhập vào hệ thống bằng tài khoản hợp pháp, chúng
có thể gây ra rất nhiều gián đoạn, bao gồm đánh cắp hoặc phá hủy dữ liệu quan trọng, ngừng cung cấp dịch vụ hoặc gian lận tài chính CSA khuyến nghị giáo dục người dùng
về các mối nguy hiểm và các dấu hiệu của việc chiếm đoạt tài khoản để giảm thiểu rủi ro
2.8 Mối đe dọa từ nội bộ
Các mối đe dọa từ những người nội bộ đáng tin cậy cũng là một vấn đề nghiêm trọng trên đám mây, cũng như đối với các hệ thống tại chỗ Người nội bộ có thể là nhân viên hiện tại hoặc cũ, nhà thầu hoặc đối tác kinh doanh đáng tin cậy, bất kỳ ai không phải vượt qua hàng rào phòng thủ của công ty để truy cập vào hệ thống của công ty Người trong nội
bộ không cần phải có ác ý để gây thiệt hại Họ có thể vô tình khiến dữ liệu và hệ thống gặp rủi ro CSA trích dẫn nghiên cứu Chi phí cho các mối đe dọa nội gián năm 2018 của Viện Ponemon, trong đó nói rằng 64% tất cả các sự cố nội gián được báo cáo là do sơ suất của nhân viên hoặc nhà thầu Sơ suất đó có thể bao gồm các máy chủ đám mây bị cấu hình sai, lưu trữ dữ liệu nhạy cảm trên thiết bị cá nhân hoặc trở thành nạn nhân của email lừa đảo
2.9 Lỗi cấu trúc cơ sở & cấu trúc thiết bị
Cấu trúc cơ sở hạ tầng của nhà cung cấp dịch vụ đám mây nắm giữ thông tin bảo mật
về cách nó bảo vệ hệ thống của mình và nó cung cấp thông tin đó qua các lệnh gọi API
Trang 102.10 Các giao diện và API không an toàn
Các giao diện và API không an toàn là một phương thức tấn công phổ biến
2.11 Nền tảng điều khiển yếu
Một nền tảng điều khiển bao gồm các quá trình sao chép dữ liệu, di chuyển và lưu trữ
2.12 Khả năng sử dụng đám mây hạn chế
Hai loại: Sử dụng ứng dụng chưa được cấp phép và sử dụng sai những ứng dụng được cấp phép
2.13 Lạm dụng & sử dụng bất chính dịch vụ đám mây
Những kẻ tấn công đang sử dụng các dịch vụ đám mây hợp pháp để hỗ trợ các hoạt động của chúng
Trang 11CHƯƠNG 3: MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN TRONG BẢO MẬT TRONG HỆ THỐNG ĐÁM MÂY
3.1 Vi phạm dữ liệu
Những kẻ tấn công muốn có dữ liệu, vì vậy các doanh nghiệp cần xác định giá trị của
dữ liệu và tác động của việc mất dữ liệu
Dữ liệu có thể truy cập Internet dễ ảnh hưởng do cấu hình sai hoặc bị tấn công
Mã hóa có thể bảo vệ dữ liệu, nhưng phải đánh đổi hiệu suất và trải nghiệm người dùng
Các doanh nghiệp cần có các kế hoạch ứng phó sự cố và đã được kiểm chứng, bao gồm liên quan đến các nhà cung cấp dịch vụ đám mây
3.2 Mất dữ liệu
Sử dụng các công cụ bảo mật và quyền riêng tư để bảo vệ dữ liệu khỏi các mối đe dọa như lấy cắp dữ liệu, phần mềm độc hại, rò rỉ dữ liệu, Một số công cụ bảo mật và quyền riêng tư có thể là: AMP dành cho thiết bị đầu cuối, Tetration SaaS, Umbrella,
Sử dụng các công cụ kết nối để mở rộng một cách an toàn môi trường mạng riêng sang môi trường điện toán đám mây công cộng, trong khi vẫn đảm bảo chất lượng trải nghiệm của ứng dụng
Sử dụng các dịch vụ sao lưu và khôi phục dữ liệu để đảm bảo rằng dữ liệu có thể được phục hồi trong trường hợp xảy ra sự cố
3.3 Crytojack
Trong khi khai thác tiền mã hóa là hợp pháp, hoạt động khai thác này sau đó có thể sử dụng nhiều tài nguyên, do đó, tại sao bọn tội phạm mạng lại chọn khai thác trên các thiết
bị không phải của chúng Bạn có thể nhận thấy mình có hóa đơn tiền điện cao hơn, tuổi thọ pin thấp hơn và quá trình xử lý chậm hơn Tiền mã hóa có thể là một công việc kinh doanh có lợi nhuận, tuy nhiên, để thành công, bạn có thể sẽ phải chi tiêu trước rất nhiều cho các nguồn lực mà bạn sử dụng
Trang 123.4 Cấu hình sai & không kiểm soát thay đổi đầy đủ
Những điểm mấu chốt của CSA liên quan đến việc định cấu hình sai và không kiểm soát thay đổi đầy đủ bao gồm: Sự phức tạp của các tài nguyên dựa trên đám mây khiến việc cấu hình rất khó; Các biện pháp kiểm soát và quản lý thay đổi truyền thống khó có hiệu quả trên đám mây; Sử dụng các công cụ tự động hoá để quét liên tục để tìm các tài nguyên được định cấu hình sai
3.5 Thiếu chiến lược và cấu trúc bảo mật
Những điểm mấu chốt của CSA liên quan đến việc thiếu kiến trúc và chiến lược bảo mật đám mây bao gồm: Kiến trúc bảo mật cần phải phù hợp với các mục đích và mục tiêu kinh doanh; Phát triển và triển khai một khung kiến trúc bảo mật; Luôn cập nhật các mô hình về mối đe dọa; Triển khai công cụ giám sát liên tục
3.6 Quản lý danh tính, thông tin xác thực, quyền truy cập & quản lý khóa kém
Những điểm mấu chốt của CSA liên quan đến việc không đủ danh tính, thông tin xác thực, quyền truy cập và quản lý khóa bao gồm :
+ Bảo mật tài khoản, bao gồm cả việc sử dụng xác thực hai yếu tố
+ Sử dụng các biện pháp kiểm xoát danh tính và truy cập nghiêm ngặt cho người dùng đám mây, đặc biệt hạn chế việc sử dụng tài khoản gốc
+ Tách biệt và phân loại tài khoản, đám mây riêng ảo và nhóm xác thực dựa trên nhu cầu kinh doanh và nguyên tắc đặc quyền tối thiểu
+ Thực hiện lưu trữ thông tin khóa, mật khẩu tập trung vào có thể thay đổi định nghĩa
+ Xóa thông tin đăng nhập và đặc quyền truy cập không sử dụng
3.7 Chiếm đoạt tài sải
Đừng chỉ đặt lại mật khẩu khi thông tin đăng nhập tài khoản bị đánh cắp Phải giải quyết các nguyên nhân tận gốc rễ
Cách tiếp cận chuyên sâu về phòng thủ và kiểm soát IAM mạnh mẽ là cách phòng thủ tốt nhất