1. Trang chủ
  2. » Luận Văn - Báo Cáo

Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud

145 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề An Toàn Bảo Mật Thông Tin Điện Toán Đám Mây Với IBM SmartCloud
Tác giả Hoàng Vĩnh Phúc
Người hướng dẫn PGS. TS. Đặng Trần Khánh
Trường học Đại học Bách Khoa - ĐHQG - HCM
Chuyên ngành Hệ Thống Thông Tin Quản Lý
Thể loại Luận văn thạc sĩ
Năm xuất bản 2012
Thành phố Tp. HCM
Định dạng
Số trang 145
Dung lượng 2,19 MB

Cấu trúc

  • CHƯƠNG 1: MỞ ĐẦU 1.1. Tổng quan (16)
    • 1.2. Đặt vấn đề và câu hỏi nghiên cứu (18)
    • 1.3. Mục tiêu nghiên cứu (22)
    • 1.4. Kết quả mong muốn (22)
    • 1.5. Ý nghĩa của đề tài (22)
  • CHƯƠNG 2: PHƯƠNG PHÁP THỰC HIỆN 2.1. Đối tượng nghiên cứu (23)
    • 2.2. Phạm vi nghiên cứu (23)
    • 2.3. Phương pháp nghiên cứu (24)
    • 2.4. Qui trình nghiên cứu (0)
    • 2.5. Bố cục luận văn (25)
  • CHƯƠNG 3: CƠ SỞ LÝ THUYẾT 3.1. Điện toán đám mây là gì? (27)
    • 3.1.1. Định nghĩa điện toán đám mây (27)
    • 3.1.2. Đặc điểm và mô hình của điện toán đám mây (29)
    • 3.1.3. Lợi ích của điện toán đám mây (32)
    • 3.2. Các giai đoạn phát triển (34)
    • 3.3. Các công nghệ trong điện toán đám mây (37)
      • 3.3.1. Ảo hóa (37)
      • 3.3.2. Kiến trúc hướng dịch vụ (38)
      • 3.3.3. Hypervisor (39)
      • 3.3.4. Multi-tenacy (39)
    • 3.4. Kiến trúc tham chiếu của điện toán đám mây (40)
      • 3.4.1. Kiến trúc tham chiếu ĐTĐM của NIST (40)
      • 3.4.2. Kiến trúc tham chiếu ĐTĐM của IBM (45)
    • 3.5. Các yếu tố ảnh hưởng an toàn hệ thống thông tin (49)
    • 3.6. ISO, CoBiT và ITIL (50)
      • 3.6.1. ISO 27001 (51)
      • 3.6.2. CoBiT (55)
      • 3.6.3. ITIL (58)
  • CHƯƠNG 4: NỘI DUNG NGHIÊN CỨU 4.1. An toàn bảo mật trong điện toán đám mây (59)
    • 4.1.1. Nguy cơ và thách thức bảo mật trong ĐTĐM (60)
    • 4.1.2. Định danh, xác thực và kiểm soát truy cập (64)
    • 4.1.3. Tính riêng tư và bảo mật dữ liệu (65)
    • 4.2. IBM SmartCloud (67)
      • 4.2.1. SmartCloud Enterprise (68)
      • 4.2.2. SmartCloud Application Services (71)
      • 4.2.3. SmartCloud Foundation (73)
      • 4.2.4. SmartCloud Ecosystem (74)
      • 4.2.5. IBM Security Framework (75)
    • 4.3. Khảo sát phỏng vấn doanh nghiệp (78)
      • 4.3.1 Đối tượng phỏng vấn (78)
      • 4.3.2 Quy trình khảo sát (78)
      • 4.3.3 Các công ty được khảo sát (79)
      • 4.3.4 Kết quả khảo sát (80)
    • 4.4. Mô hình an toàn thông tin với IBM SmartCloud (82)
      • 4.4.1. Vì sao chọn IBM SmartCloud (82)
      • 4.4.2. Mô hình an toàn bảo mật thông tin cho doanh nghiệp (83)
  • CHƯƠNG 5: KẾT LUẬN. .................................................................................... 90 PHỤ LỤC (105)
  • TÀI LIỆU THAM KHẢO (141)

Nội dung

Với vị trí người dùng, các doanh nghiệp và tổ chức kinh doanh cần lưu ý và nhận biết các vấn đề an toàn bảo mật để có thể ứng dụng và khai thác công nghệ dịch vụ đám mây vào hệ thống thô

PHƯƠNG PHÁP THỰC HIỆN 2.1 Đối tượng nghiên cứu

Phạm vi nghiên cứu

Bài luận văn nhằm làm rõ khái niệm an toàn thông tin trong xu hướng công nghệ ĐTĐM còn khá mới mẻ với người dùng Do đó giới hạn phạm vi của bài luận văn này chỉ tập trung tìm hiểu và nghiên cứu các góc độ bảo mật dữ liệu và yếu tố an toàn cho thông tin khi ứng dụng ĐTĐM, không đề cập đến các yếu tố quyết định sử dụng ĐTĐM, tính toán chi phí và đánh giá lợi ích kinh tế của việc ứng dụng ĐTĐM, cũng như những vấn đề và khó khăn khác như quyền tự do về tri thức, sáng tạo,…

Các công ty được khảo sát trong nghiên cứu thuộc nhiều lĩnh vực, ngành nghề khác nhau nhằm mang tính tổng quan về hệ thống thông tin hiện tại của doanh nghiệp vừa và nhỏ ở Việt Nam và nhu cầu chung về sử dụng ĐTĐM ở nhiều ngành kinh doanh khác nhau

Phương pháp nghiên cứu

Trong nghiên cứu khoa học, có 3 phương pháp thực hiện thường được sử dụng: định tính, định lượng và kết hợp (cả định tính và định lượng) Phương pháp nghiên cứu định tính nghiên cứu dựa trên thông tin từ những tài liệu, văn bản, câu chữ, kinh nghiệm, hành vi và thái độ của con người (Dawson, 2002) Phương pháp nghiên cứu định lượng dựa trên các con số, số liệu, bảng biểu thống kê qua các công cụ khảo sát và các bảng câu hỏi định lượng (Dawson, 2002)

Dữ liệu sơ cấp (primary data) và dữ liệu thứ cấp (secondary data) là hai nguồn dữ liệu sử dụng trong nghiên cứu khoa học (Dawson 2002; Saunders et al 2009), phân biệt bởi cách thu thập dữ liệu:

- Dữ liệu sơ cấp: là dữ liệu mới, chưa có được nghiên cứu và thu thập trực tiếp thông qua phỏng vấn, bảng câu hỏi khảo sát hoặc từ các nguồn khác

- Dữ liệu thứ cấp: là dữ liệu, thông tin rút ra từ các tài liệu, bài báo cáo trước đây của các tác giả nghiên cứu khoa học khác, từ các tạp chí khoa học chuyên ngành, các tổ chức và các nguồn đáng tin cậy về chuyên môn

Dựa trên sự phân tích, tổng hợp các tài liệu, báo cáo khoa học kết hợp với khảo sát thái độ, kinh nghiệm người dùng và thông tin từ giải pháp ĐTĐM cụ thể nhằm đề xuất một mô hình tổng quan, luận văn sẽ được thực hiện theo phương pháp nghiên cứu định tính

Phương pháp định tính thực hiện phép phân tích, suy diễn diễn giải kết hợp với khảo sát Kết quả sẽ được tổng hợp sau các quá trình khảo sát các yếu tố ảnh hưởng, các dữ liệu sơ cấp và thứ cấp và được diễn giải với mô hình an toàn bảo mật thông tin cụ thể

2.5 BỐ CỤC LUẬN VĂN NGHIÊN CỨU:

Với mục tiêu đề tài thực hiện đặt trọng tâm vào vấn đề an toàn thông tin trong ĐTĐM, cấu trúc bài luận văn được triển khai như sau:

- Chương 1: Tổng quan vai trò của ĐTĐM đối với lĩnh vực kinh tế xã hội, câu hỏi và hướng nghiên cứu của đề tài về vấn đề lo ngại lớn nhất của người dùng khi tiếp cận ĐTĐM, nêu lên ý nghĩa và kết quả mong muốn của đề tài

- Chương 2: Các bước tiến hành để nghiên cứu đề tài, xác định đối tượng và phạm vi nghiên cứu, phương pháp nghiên cứu phù hợp và bố cục của đề tài

Mô hình và chính sách an ninh

Phương Pháp Nghiên Cứu Định Tính

- Chương 3: Cơ sở lý thuyết liên quan của đề tài nghiên cứu, các khái niệm, định nghĩa và thông tin được rút kết từ bài báo khoa học, sách và tạp chí chuyên ngành, các bài nghiên cứu và các phát biểu của các chuyên gia trong lĩnh vực liên quan đề tài

- Chương 4: Tổng hợp và phân tích các yếu tố ảnh hưởng an toàn thông tin cho ĐTĐM Khảo sát và tìm hiểu công nghệ của IBM như SmartCloud, giải pháp bảo mật cho ĐTĐM nhằm đề xuất mô hình ứng dụng chung về an toàn thông tin ĐTĐM cho doanh nghiệp mới thành lập, doanh nghiệp vừa và nhỏ

- Chương 5: Rút ra những kết luận dựa trên những kết quả tìm hiểu được, những lợi ích đạt được và các hạn chế còn tồn tại trong đề tài Cuối cùng là đưa ra hướng phát triển tiếp theo.

Bố cục luận văn

Với mục tiêu đề tài thực hiện đặt trọng tâm vào vấn đề an toàn thông tin trong ĐTĐM, cấu trúc bài luận văn được triển khai như sau:

- Chương 1: Tổng quan vai trò của ĐTĐM đối với lĩnh vực kinh tế xã hội, câu hỏi và hướng nghiên cứu của đề tài về vấn đề lo ngại lớn nhất của người dùng khi tiếp cận ĐTĐM, nêu lên ý nghĩa và kết quả mong muốn của đề tài

- Chương 2: Các bước tiến hành để nghiên cứu đề tài, xác định đối tượng và phạm vi nghiên cứu, phương pháp nghiên cứu phù hợp và bố cục của đề tài

Mô hình và chính sách an ninh

Phương Pháp Nghiên Cứu Định Tính

- Chương 3: Cơ sở lý thuyết liên quan của đề tài nghiên cứu, các khái niệm, định nghĩa và thông tin được rút kết từ bài báo khoa học, sách và tạp chí chuyên ngành, các bài nghiên cứu và các phát biểu của các chuyên gia trong lĩnh vực liên quan đề tài

- Chương 4: Tổng hợp và phân tích các yếu tố ảnh hưởng an toàn thông tin cho ĐTĐM Khảo sát và tìm hiểu công nghệ của IBM như SmartCloud, giải pháp bảo mật cho ĐTĐM nhằm đề xuất mô hình ứng dụng chung về an toàn thông tin ĐTĐM cho doanh nghiệp mới thành lập, doanh nghiệp vừa và nhỏ

- Chương 5: Rút ra những kết luận dựa trên những kết quả tìm hiểu được, những lợi ích đạt được và các hạn chế còn tồn tại trong đề tài Cuối cùng là đưa ra hướng phát triển tiếp theo

CƠ SỞ LÝ THUYẾT 3.1 Điện toán đám mây là gì?

Định nghĩa điện toán đám mây

Điện toán đám mây là tên gọi của một loại hình hệ thống máy tính sử dụng các công nghệ máy tính và nền tảng Internet, còn được gọi là điện toán máy chủ ảo Có thể hình dung đây là mô hình mà các nhà cung cấp xây dựng hạ tầng thiết bị và công nghệ nhằm đáp ứng nhu cầu sử dụng của khách hàng thông qua mạng Internet, các khách hàng không cần phải quan tâm đến việc đầu tư trang thiết bị cũng như mức độ hiểu biết về công nghệ mà vẫn có thể sử dụng truy cập các dịch vụ cần thiết từ các nhà cung cấp điện toán đám mây Theo IEEE: “Nó là hình mẫu trong đó thông tin được lưu trữ thường trực tại các máy chủ thông qua Internet và chỉ được lưu trữ tạm thời trên các máy khách như các phương tiện cá nhân khác…” Điện toán đám mây có xuất phát từ việc đáp ứng nhu cầu dịch vụ của người dùng dựa trên Internet, có thể bị lẫn lộn với điện toán lưới (grid computing) và điện toán tiện ích (utility computing) hoặc phần mềm dịch vụ (SaaS) Trên thực tế thì điện

13 toán đám mây được xem như bước phát triển tiếp theo của các công nghệ trên [2] , một số tính năng trong điện toán đám mây kết hợp các kiến trúc hạ tầng và thiết kế dịch vụ của điện toán lưới – nhu cầu, đồng thời cũng có sự kết hợp của các trung tâm dữ liệu qua các dịch vụ phân phối đáng tin cậy có thể truy cập từ bất cứ đâu trên thế giới cùng với sự góp phần của các tiêu chuẩn mở và các phần mềm mã nguồn mở

Một cách đơn giản hơn điện toán đám mây có thể hiểu là: các nguồn tài nguyên tính toán như phần mềm, dữ liệu, dịch vụ sẽ nằm tại các máy chủ ảo (đám mây) trên Internet cho phép người dùng có thể truy cập ứng dụng mọi nơi, mọi lúc và giúp các nhà phát triển xây dựng ứng dụng dễ dàng với dịch vụ web mà ko cần quan tâm đến hạ tầng hoạt động bên dưới.[2] Với việc áp dụng điện toán đám mây, doanh nghiệp không phải mua và duy trì hàng trăm, thậm chí hàng nghìn máy tính cũng như phần mềm, doanh nghiệp chỉ cần tập trung sản xuất và hoạt động kinh doanh bởi đã có người khác lo cơ sở hạ tầng và công nghệ thay họ

Trước đây, có rất nhiều định nghĩa khác nhau về điện toán đám mây:

“Mô hình cung cấp, sử dụng và chuyển tiếp các dịch vụ công nghệ thông tin trên môi trường Internet với khả năng ảo hóa tài nguyên, khả năng lưu trữ linh hoạt.” [7]

“Mô hình điện toán phân tán mang tính kinh tế với quy mô lớn, trừu tượng hóa, ảo hóa, linh động với sức mạnh tính toán, lưu trữ, nền tảng và dịch vụ đáp ứng nhu cầu của người dùng từ xa thông qua Internet” [3]

Tuy nhiên, bài luận văn này sử dụng định nghĩa của Viện Tiêu Chuẩn và Công Nghệ Quốc Gia NIST (National Institute of Standards and Technology) thuộc Bộ Thương Mại Mỹ xuất hiện vào khoảng năm 2009 được xem là định nghĩa chuẩn hóa được cộng đồng ĐTĐM sử dụng phổ biến nhất cho đến nay:

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g.,

14 networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.”

“Điện toán đám mây là mô hình điện toán cho phép truy cập qua mạng để lựa chọn và sử dụng tài nguyên tính toán (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) theo nhu cầu một cách thuận tiện và nhanh chóng; đồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các giao tiếp với nhà cung cấp” [4]

Đặc điểm và mô hình của điện toán đám mây

Cùng với định nghĩa ĐTĐM, NIST cũng đưa ra 5 đặc điểm chính, 3 mô hình lớp dịch vụ và 4 loại hình triển khai của ĐTĐM: [4]

Hình 3.1 Định nghĩa và khái niệm về ĐTĐM Nguồn: NIST

- Dịch vụ theo nhu cầu: với đặc điểm này người dùng có thể tự cung cấp dịch vụ tự động theo nhu cầu sử dụng như thời gian hoạt động của máy chủ hay khả năng lưu trữ mạng mà không cần có sự hỗ trợ của nhà cung cấp

- Truy cập mạng trên diện rộng: đặc điểm này giúp người dùng có khả năng truy cập mạng ở bất kỳ thời gian nào và ở bất cứ đâu qua cách chuẩn giao tiếp với nhiều thiết bị di động khác nhau như điện thoại, máy tính bảng, laptop,…

- Chia sẻ tài nguyên: tài nguyên tính toán của nhà cung cấp như các thiết bị vật lý và tài nguyên ảo hóa được chia sẻ cho nhiều người dùng theo các yêu cầu riêng biệt của khách hàng

- Tính nhanh chóng và linh hoạt: dịch vụ được cung cấp một cách nhanh chóng và linh hoạt tăng hoặc giảm theo nhu cầu sử dụng Đây là một đặc điểm nổi trội của điện toán đám mây giúp người dùng đáp ứng tức thời, nhanh chóng các nhu cầu cung ứng không giới hạn

- Khả năng đo lường dịch vụ: hệ thống đám mây tự động kiểm soát và tối ưu hóa việc sử dụng tài nguyên bằng công cụ đo lường phù hợp các dịch vụ lưu trữ, xử lý, lưu lượng đường truyền mạng,… Tài nguyên sử dụng được theo dõi, kiểm soát và báo cáo tự động cho cả người dùng và nhà cung cấp

3.1.2.2 Mô hình lớp dịch vụ của ĐTĐM:

- Hạ tầng như một dịch vụ (IaaS – Infrastructure as a Service): Khả năng cung cấp cho người dùng lượng tài nguyên tính toán, xử lý, lưu trữ, mạng,… theo dự tính để cài đặt và thực thi các phần mềm bao gồm hệ điều hành và các ứng dụng Ở mô hình này, hạ tầng được cung cấp như dịch vụ, người dùng không cần quản lý và kiểm soát các thiết bị hạ tầng vật lý, chỉ quan tâm đến hoạt động của các hệ

16 điều hành và các ứng dụng chạy trên nó cùng với một vài thiết bị có quyền chủ động kiểm soát mạng như tường lửa (firewall), v.v…

- Nền tảng như một dịch vụ (PaaS – Platform as a Service): cung cấp khả năng cài đặt và thực thi các ứng dụng của người dùng hoặc tạo ra các dịch vụ nhờ các công cụ hỗ trợ trên hạ tầng của điện toán đám mây Ở mô hình này, người dùng không phải quan tâm đến việc kiểm soát và quản lý hạ tầng phần cứng, mạng, thiết bị lưu trữ, hệ điều hành,… mà chỉ tập trung cài đặt, kiểm soát, cấu hình và phát triển phần mềm ứng dụng

- Phần mềm như một dịch vụ (SaaS – Software as a Service): Khả năng cung cấp các phần mềm ứng dụng cho người dùng hoạt động trên hạ tầng đám mây (phần cứng và phần mềm) Người dùng có thể truy cập từ các thiết bị khác nhau thông qua trình duyệt web hoặc các phần mềm giao tiếp Người dùng không cần quản lý hoặc kiểm soát bất cứ thành phần nào từ phần cứng hạ tầng, phần mềm nền tảng và cả những ứng dụng đang sử dụng, hạn chế người dùng cấu hình và tinh chỉnh ứng dụng Phần mềm được cung cấp cho người sử dụng như một dịch vụ có sẵn

3.1.2.3 Các loại hình triển khai của ĐTĐM:

- Đám mây riêng (private cloud): đây là hình thức điện toán đám mây do một tổ chức hoặc nhà cung cấp thiết lập cung cấp riêng cho nhu cầu của một tổ chức bao gồm nhiều khách hàng (đơn vị kinh doanh) Nó được sở hữu, quản lý riêng và có thể cần trang bị các thiết bị hạ tầng tại tổ chức sử dụng

- Đám mây cộng đồng (community cloud): được thiết lập do nhu cầu trao đổi, giao tiếp của một số tổ chức trong lĩnh vực cùng quan tâm, cùng yêu cầu và các chính sách trong hoạt động của tổ chức Tương tự đám mây riêng, đám mây cộng đồng được sở hữu và quản lý bởi một trong các tổ chức tham gia hoặc do bên thứ ba cung cấp thực hiện Có thể cần phải trang bị hạ tầng cơ sở vật lý riêng biệt

- Đám mây công cộng (public cloud): hạ tầng đám mây được sử dụng với mục đích chung Tài nguyên ở hình thức này được chia sẻ quản lý và sử dụng tùy thuộc vào mục tiêu của các tổ chức kinh doanh, giáo dục hoặc chính phủ,… Các hạ tầng và cơ sở nền tảng hoạt động thuộc quyền của nhà cung cấp đám mây

- Đám mây lai (hybrid cloud): đây là hình thức kết hợp giữa 2 loại hình đám mây riêng và đám mây công cộng (có thể bao gồm cả đám mây cộng đồng) để đáp ứng nhu cầu của tổ chức, tận dụng được ưu điểm, hạn chế khuyết điểm của các loại hình trên.

Lợi ích của điện toán đám mây

Dựa vào định nghĩa và các khái niệm của ĐTĐM, có thể thấy được vì sao thuật ngữ này thường được nhắc đến trong những năm gần đây Trong hoạt động kinh doanh thì nhu cầu của khách hàng rất đa dạng và mục tiêu của doanh nghiệp kinh doanh là phải đáp ứng nhu cầu khách hàng một cách nhanh chóng nhất, để lôi kéo và nắm bắt được khách hàng doanh nghiệp phải gia tăng lợi thế cạnh tranh bằng chiến lược giá thấp và tạo ra sự khác biệt trong kinh doanh Và ĐTĐM có thể mang lại những lợi thế đó cho doanh nghiệp

Một trong những lợi ích dễ nhận thấy nhất của ĐTĐM là mang lại cho doanh nghiệp một hạ tầng cơ sở linh hoạt và mềm dẻo Với ĐTĐM cơ sở hạ tầng công nghệ thông tin của doanh nghiệp được thiết lập nhanh chóng cùng khả năng mở rộng dễ dàng với chi phí thấp Vì vậy doanh nghiệp có thể tiết kiệm nhiều thời gian và chi phí khai thác nguồn tài nguyên IT, dễ dàng đáp ứng được sự thay đổi nhanh chóng của thị trường Nhà cung cấp dịch vụ ĐTĐM cần đảm bảo khả năng “tự phục vụ” (seft-service) trong việc tăng giảm tài nguyên theo nhu cầu sử dụng (vd: tăng CPU để đẩy mạnh tốc độ tính toán, tăng dung lượng lưu trữ để đáp ứng nhu cầu tức thời) của người dùng Người dùng có thể phát triển và thử nghiệm các ứng dụng trên ĐTĐM mà không phải đầu tư nhiều cho phần cứng, phần mềm và hệ thống mạng.[2]

Doanh nghiệp thường phải cân nhắc khi cần mở rộng hệ thống IT để phục vụ các hoạt động nhưng gặp phải giới hạn về ngân sách đầu tư, đồng thời các thiết bị máy móc được trang bị cho IT chỉ sử dụng được một phần hiệu suất thực tế như xử lý tính toán trong một khoảng thời gian nhất định hoặc tăng dung lượng lưu trữ tạm thời,… Bằng cách ứng dụng ĐTĐM, doanh nghiệp sẽ cắt giảm được vốn đầu tư ban đầu chuyển sang chi phí hoạt động cho các nhu cầu trong hoạt động kinh doanh Thay vì tự xây dựng và trang bị, doanh nghiệp có thể thuê phần cứng, phần mềm, ứng dụng,… từ nhà cung cấp ĐTĐM và thanh toán theo lượng tài nguyên và thời gian sử dụng Trong một số trường hợp, doanh nghiệp có thể sử dụng nguồn tài nguyên thiết bị IT sẵn có để tạo nên một “đám mây riêng” nhằm mang lại tính kinh tế hiệu quả hơn, tạo nên giá trị kinh doanh riêng cho doanh nghiệp.[1][2] Đối với một số doanh nghiệp thì chi phí quản lý và vận hành hệ thống còn lớn hơn so với chi phí mua sắm trang thiết bị Các chi phí bảo trì phần cứng, sửa chữa hư hỏng, đảm bảo duy trì hoạt động, chi phí điện cung cấp, máy lạnh, nhân sự quản lý và vận hành,… là những yếu tố khiến doanh nghiệp quyết định sử dụng ĐTĐM [6]

Hình 3.2 Khảo sát về các lợi ích của ĐTĐM Nguồn: IDC, 2009

Các giai đoạn phát triển

Thuật ngữ “đám mây” là một từ ẩn dụ chỉ đến một mạng lưới các máy tính kết nối với nhau trên nền Internet mà người dùng chỉ tiếp cận đến tầng trừu tượng mà không phải quan tâm đến kiến trúc bên dưới của nó [11]

Thuật ngữ “điện toán đám mây” xuất hiện khoảng giữa năm 2007 và mặc dù được quan tâm trở thành một hiện tượng nổi bật hiện nay nhưng rất nhiều ý kiến cho rằng ĐTĐM ko phải là một ý tưởng mới Vào năm 1961, John McCarthy đã dự đoán

“đến một lúc nào đó, điện toán sẽ được tổ chức như một tiện ích công cộng” [3]

Năm 1966, trong cuốn sách “The Challenge of the Computer Utility” của Douglas Parkhill có mô tả bản chất các đặc trưng của ĐTĐM như: sự cung ứng linh hoạt, truy xuất trực tuyến, nguồn tài nguyên không giới hạn.[15] Theo một số quan điểm hiện nay, ĐTĐM chỉ đơn giản là một tên khác cho các phần mềm như là một dịch vụ (SaaS) đã ở tuyến đầu trong xu hướng Web 2.0 Những người khác thì cho rằng ĐTĐM là sự quảng bá tiếp thị mà nó đặt một khuôn mặt mới trên công nghệ cũ, chẳng hạn như điện toán tiện ích, sự ảo hóa hoặc điện toán lưới Trong khi một số ý kiến khác nhận định ĐTĐM là bước phát triển tiếp theo của điện toán lưới Mặc dù một số định nghĩa ban đầu của điện toán đám mây có nhiều điểm tương tự như điện toán lưới, tuy nhiên theo phân tích của nhiều bài báo cáo nghiên cứu của nhiều nhà khoa học có thể rút ra các điểm khác biệt như sau: [9] Điện toán lưới Điện toán đám mây

Cách thức hoạt động Thực hiện 1 tác vụ hoặc 1 công việc trên nhiều máy chủ Ảo hóa các máy chủ; một máy chủ có thể thực hiện đa tác vụ trong cùng 1 thời điểm

Mục tiêu sử dụng Thường sử dụng để xử lý

1 công việc trong một thời

Hầu hết các tác vụ để hỗ trợ các dịch vụ trong thời

Bảng 3.1 Một số điểm khác biệt giữa điện toán lưới và ĐTĐM

20 gian hạn định (vd: chạy một chương trình tính toán) gian dài hạn

Mức độ trừu tượng hóa Tập trung ở mức chi tiết của công việc thực thi

Có mức trừu tượng hóa cao, không đi vào chi tiết hoạt động phía sau các tác vụ

Khác biệt rõ nét nhất giữa 2 mô hình điện toán nói trên chính là sự vận dụng công nghệ “ảo hóa”, đây chính là công nghệ quan trọng trong sự phát triển của điện toán đám mây, nhờ công nghệ này mà các tài nguyên tính toán được vận dụng một cách tối đa, mang lại sự linh hoạt trong việc tăng giảm tài nguyên sử dụng cũng như cắt giảm chi phí cho người sử dụng

Tất cả các nghiên cứu cho thấy điện toán đám mây không chỉ bao trùm điện toán lưới mà nó còn là sự phát triển rộng hơn với nền tảng hỗ trợ là điện toán lưới và các công nghệ trước Sự phát triển này đã chuyển dời sự tập trung vào hạ tầng lưu trữ và tài nguyên tính toán vật lý sang tập trung vào tính kinh tế của việc ảo hóa và trừu tượng hóa các nguồn tài nguyên sử dụng [3]

Xu hướng phát triển của điện toán đám mây vẫn đang gia tăng nhanh chóng từ năm

2009 cho đến nay Khảo sát trong năm 2011, theo VMWare có đến 48% doanh nghiệp vừa và nhỏ ở Anh và 60% ở các nước Châu Âu bắt đầu sử dụng điện toán đám mây Amazon đang dẫn đầu trong thị trường điện toán đám mây với 2 sản phẩm chính dành cho SMEs là EC2 (Elastic Compute Cloud) và S3 (Simple Storage Service).[12] Theo khảo sát của CompTIA về ứng dụng cloud trong doanh nghiệp vừa và nhỏ thì có 69% sử dụng SaaS, 31% sử dụng Iaas và 22% sử dụng PaaS [13]

Chương trình khảo sát vào năm 2010 của Gartner “Significant benefits realised with supply chain management in the cloud” cho thấy 95% trả lời đang hoặc có ý định sử dụng các ứng dụng quản lý chuỗi cung ứng dựa trên ĐTĐM, nó cũng cho thấy 52% ứng dụng SaaS hoặc ĐTĐM cho CRM (customer relationship management), 44% cho việc thực hiện quản lý chuỗi cung ứng, 43% cho việc lên kế hoạch cho chuỗi cung ứng, 43% thực hiện thương mai điện tử B2B/B2C, 42% cho ERP (hệ hoạch định nguồn lực tổ chức) và 39% cho việc gia công và thu mua [14]

Hình 3.3 Xu hướng sử dụng dịch vụ ĐTĐM của SMB Nguồn: Cloudpro.co.uk

Hình 3.4 Dự báo % chi phí dành cho dịch vụ ĐTĐM Nguồn: IDC, 2010

22 Đồng thời theo dự báo của IDC vào tháng 6/2010, điện toán đám mây sẽ tiếp tục phát triển ấn tượng, chi phí dành cho các dịch vụ của ĐTĐM sẽ gia tăng mạnh trong khoảng thời gian từ năm 2009 đến năm 2014.

Các công nghệ trong điện toán đám mây

3.3.1 Ảo hóa (virtualization) Ảo hóa (virtualization) là sự tạo thành các đối tượng thay thế - được gọi là các tài nguyên ảo - linh hoạt dựa trên nguồn tài nguyên vật lý thật sự, các tài nguyên ảo này có chức năng và giao diện hình thức tương tự các thành phần nó thay thế nhưng khác biệt về dung lượng, hiệu năng và chi phí Ảo hóa sẽ nâng cao hiệu suất sử dụng tài nguyên IT bằng cách kết hợp hàng loạt các tài nguyên vật lý khác nhau dưới dạng các tài nguyên ảo cho người sử dụng hoặc có thể tạo nhiều tài nguyên ảo từ một tài nguyên vật lý duy nhất cho nhiều người sử dụng khác nhau Hơn nữa, các tài nguyên ảo sẽ có những đặc điểm và tính năng mà lớp vật lý bên dưới không làm được.[22]

Hình 3.5 Minh họa về sự ảo hóa Nguồn: IBM, 2011

23 ĐTĐM cung cấp nguồn tài nguyên rộng lớn theo hướng dịch vụ cho người dùng, phân vùng tài nguyên sử dụng đa người dùng linh hoạt trên hạ tầng vật lý cơ bản

Do vậy, ảo hóa là kỹ thuật quan trọng giúp ĐTĐM xây dựng được dịch vụ với nguồn tài nguyên tăng giảm tức thời theo nhu cầu của người dùng Tất cả các nền tảng thiết bị như phần cứng, phần mềm, ứng dụng,… đều có thể ảo hóa trong ĐTĐM Nhờ ảo hóa, phần mềm và ứng dụng của người dùng tách rời biệt lập với phần cứng vật lý, nhờ sự tách biệt này mà khi một thiết bị phần cứng xảy ra sự cố sẽ không ảnh hưởng đến hoạt động của các máy ảo ở trên Ảo hóa hạ tầng vật lý trong ĐTĐM giúp người dùng có thể thêm hoặc bớt các thiết bị phần cứng tính toán mà không ảnh hưởng đến các hoạt động vận hành bên trên Ảo hóa phần mềm tạo ra tập tin ảnh chụp của các hệ điều hành, ứng dụng,… có thể di chuyển và sử dụng dễ dàng Mặt khác, ảo hóa giúp sử dụng lại các hệ điều hành và ứng dụng có bản quyền sau khi kết thúc hợp đồng với người dùng [5] Để ảo hóa hoạt động hiệu quả cần một hệ thống chức năng vận hành như bộ phận giám sát ảo (hypervisor) hoạt động ở tầng vật lý thấp nhất Với hệ thống giám sát ảo này, nguồn tài nguyên vật lý dễ dàng được phân chia theo lịch thời gian thực, hoạt động như một hệ điều hành mainframe Hệ thống này thực hiện tất cả các chức năng bên dưới các nguồn tài nguyên cho thuê giúp người sử dụng thao tác làm việc trên vùng tài nguyên ảo như một hệ thống máy tính thật sự [6]

3.3.2 Kiến trúc hướng dịch vụ (sevice-oriented architecture)

Kiến trúc hướng dịch vụ (SOA) là sự phát triển hoặc phần mềm trong việc xác định các thành phần, khả năng gia hạn tái sử dụng và tính linh hoạt của kiến trúc hệ thống [5]

Kiến trúc hướng dịch vụ (SOA) giúp mang lại tính linh động cho ĐTĐM Đây không chỉ là phương pháp kỹ thuật mà còn là hướng tiếp cận ở góc độ kinh tế giúp doanh nghiệp ứng dụng IT vào hoạt động kinh doanh SOA là một kiến trúc ứng dụng để xây dựng các phần mềm đáp ứng theo quy trình và dịch vụ kinh doanh nhằm mang lại những dịch vụ tốt nhất cho người dùng

Với SOA, ĐTĐM hiệu quả hơn trong việc tạo ra lợi ích cho doanh nghiệp Nhà cung cấp ĐTĐM sử dụng SOA để tăng thêm tính linh hoạt và mềm dẻo trong việc cung cấp tài nguyên và dịch vụ cho người dùng Doanh nghiệp xây dựng và quản lý các tiến trình kinh doanh theo hướng dịch vụ dễ dàng ứng dụng vào ĐTĐM SOA giúp doanh nghiệp sử dụng hiệu quả nguồn tài nguyên IT và nắm bắt nhanh chóng những cơ hội, phòng chống rủi ro trong hoạt động kinh doanh.[6]

Hypervisor, còn được gọi là trình quản lý máy ảo, là một trong những kỹ thuật ảo hóa cho phép vận hành nhiều hệ điều hành, được xem là các hệ khách, đồng thời trên một nền tảng phần cứng duy nhất

Hypervisor thường được cài đặt trên máy chủ vật lý, giúp các loại hệ điều hành khách hoạt động như những máy chủ ảo cùng chia sẻ những tài nguyên tính toán ảo Hypervisor cấp phát cho mỗi hệ điều hành khách một nền hoạt động ảo và kiểm soát việc thực thi của chúng, đảm bảo không xung đột giữa các máy ảo với nhau.[21]

Khái niệm “hypervisor” không phải là khái niệm mới có trên ĐTĐM, nó được sử dụng lần đầu tiên vào năm 1965 trên IBM 360/65 giúp chia sẻ bộ nhớ của hệ máy này Với sự phát triển của ĐTĐM, hypervisor được mô tả như một chức năng đóng vai trò quan trọng làm tăng hiệu quả của hạ tầng dịch vụ IaaS [21]

Multi-tenancy (đa người dùng hoặc đa người thuê) là một thành phần quan trọng trong cấu trúc của ĐTĐM Multi-tenancy có thể xem là tính năng chia sẻ một vùng làm việc vật lý cho nhiều người cùng thuê sử dụng chung, mỗi người thuê sẽ có một không gian riêng trên vùng làm việc chung đó Nhờ kỹ thuật ảo hóa, multi-tenancy làm giảm chi phí, nâng cao hiệu suất sử dụng, tuy nhiên cũng làm phát sinh một số vấn đề lo ngại về an toàn khi người thuê không thể biết được ai cùng chia sẻ không gian hạ tầng làm việc chung với mình

Multi-tenancy trong các mô hình dịch vụ đám mây đưa đến nhu cầu cần thiết về các quy định bắt buộc về quản trị, phân cách riêng biệt, mức dịch vụ và cách tính phí phù hợp với nhiều loại khách hàng khác nhau.[20]

Multi-tenancy giúp nhà cung cấp dịch vụ thiết kế kiến trúc làm gia tăng tính kinh tế, tính sẵn sàng, phân cách và vận hành hiệu quả; tác động ảnh hưởng đến hạ tầng cơ sở chung, dữ liệu, siêu dữ liệu, các dịch vụ và ứng dụng đối với nhiều khách hàng khác nhau.[20] Đối với các lớp dịch vụ và các mô hình triển khai ĐTĐM khác nhau thì vai trò của multi-tenancy cũng có một số khác biệt tuy nhiên các thành phần thường được chia sẻ qua tính năng đa người dùng là: vùng lưu trữ, đơn vị xử lý dữ liệu, bộ nhớ và băng thông mạng.

Kiến trúc tham chiếu của điện toán đám mây

3.4.1 Kiến trúc tham chiếu ĐTĐM của NIST:

Kiến trúc tham chiếu ĐTĐM của NIST xác định các tác nhân chính, các hoạt động và chức năng, mô tả khái quát các yêu cầu, cách sử dụng, đặc điểm và tiêu chuẩn trong ĐTĐM [23]

Hình 3.6 Mô hình đa người dùng Nguồn: CSA, 2010

Kiến trúc tham chiếu này của NIST mang tính bao quát chung toàn bộ tất cả yếu tố của ĐTĐM Có 5 tác nhân chính có vai trò riêng biệt được mô tả trong kiến trúc tham chiếu ĐTĐM của NIST: người sử dụng đám mây, nhà cung cấp đám mây, nhà vận chuyển đám mây, nhà môi giới đám mây và nhà kiểm toán đám mây.[23]

Tác nhân Mô tả vai trò

Người sử dụng đám mây Cá nhân hoặc tổ chức duy trì mối quan hệ kinh doanh và sử dụng dịch vụ của nhà cung cấp đám mây

Nhà cung cấp đám mây Cá nhân, tổ chức hoặc đơn vị sẵn sàng cung cấp dịch vụ cho các bên quan tâm

Nhà kiểm toán đám mây Bên tiến hành đánh giá độc lập về các dịch vụ của ĐTĐM, hoạt động của hệ thống thông tin, hiệu năng và an ninh của việc triển khai ĐTĐM

Hình 3.7 Mô hình kiến trúc tham chiếu ĐTĐM của NIST Nguồn: NIST,2011

Nhà môi giới đám mây Đối tượng trung gian quản lý việc sử dụng, hiệu năng và phân phối các dịch vụ ĐTĐM, thiết lập mối quan hệ giữa người sử dụng và nhà cung cấp ĐTĐM

Nhà vận chuyển đám mây Đối tượng trung gian cung cấp các kết nối và chuyển giao dịch vụ ĐTĐM từ nhà cung cấp đến người sử dụng

- Người sử dụng đám mây: là thành phần liên quan chính đến các dịch vụ đám mây Người sử dụng đám mây tìm kiếm danh mục các dịch vụ, yêu cầu sử dụng dịch vụ thích hợp, ký kết hợp động và sử dụng dịch vụ Các lớp mô hình dịch vụ ĐTĐM khác nhau sẽ hướng đến đối tượng sử dụng đám mây khác nhau Với SaaS, người sử dụng có thể là những tổ chức cung cấp cho thành viên của họ và người dùng cuối truy cập vào các ứng dụng phần mềm hoặc các nhà quản trị ứng dụng Chi phí sử dụng được tính dựa vào số lượng người dùng cuối, thời gian sử dụng, lượng băng thông mạng, dung lượng lưu trữ dữ liệu hay thời gian lưu trữ dữ liệu Với PaaS, người sử dụng đám mây có thể dùng các công cụ và tài nguyên do các nhà cung cấp ĐTĐM thiết lập sẵn để phát triển, kiểm thử, triển khai và quản lý các ứng dụng được đặt trong môi trường đám mây Những người sử dụng PaaS có thể là những lập trình viên ứng dụng, những người kiểm thử ứng dụng, các nhà quản trị ứng dụng Chi phí sử dụng PaaS dựa trên vùng lưu trữ cơ sở dữ liệu, lượng xử lý, tài nguyên mạng do ứng dụng PaaS sử dụng cùng với thời gian sử dụng nền tảng Với IaaS, người sử dụng đám mây truy cập vào các máy tính ảo, lưu trữ truy cập mạng, thành phần hạ tầng mạng và các tài nguyên tính toán cơ bản khác để có thể triển khai và thực thi bất cứ các phần mềm nào Những người sử dụng IaaS có thể là các nhà phát triển hệ thống, quản trị hệ thống hoặc quản lý CNT Chi phí cho IaaS dựa vào số lượng hoặc thời gian sử dụng tài nguyên như số giờ hoạt động của CPU cho máy ảo, dung lượng

Bảng 3.2 Mô tả các tác nhân trong kiến trúc tham chiếu Nguồn: NIST,2011

28 và thời gian lưu trữ dữ liệu, băng thông mạng sử dụng, số địa chỉ IP trong khoảng thời gian nhất định

- Nhà cung cấp đám mây: theo từng lớp mô hình dịch vụ cung cấp ĐTĐM thì nhà cung cấp ĐTĐM giữ vai trò sở hữu và quản lý hạ tầng cơ sở cần thiết cho dịch vụ hoặc vận hành phần mềm cung cấp dịch vụ hoặc thiết lập phân phối các dịch vụ đến cho người dùng ĐTĐM qua mạng Với SaaS, nhà cung cấp dịch vụ thiết lập, cấu hình, duy trì và cập nhật các hoạt động của ứng dụng phần mềm trên hạ tầng đám mây để đạt được mức yêu cầu dịch vụ của khách hàng Nhà cung cấp có trách nhiệm quản lý và kiểm soát ứng dụng, khách hàng chỉ sử dụng và hầu như không cần quan tâm đến các vấn đề quản trị Với PaaS, nhà cung cấp ĐTĐM quản lý hạ tầng cơ sở cho nền tảng (platform) và vận hành các phần mềm cung cấp các thành phần cho nền tảng đó như nhóm phần mềm thực thi theo thời gian, cơ sở dữ liệu và các phần mềm trung gian khác Nhà cung cấp PaaS cũng hỗ trợ quá trình phát triển, triển khai và quản trị cho khách hàng bằng các công cụ sẵn có như môi trường phát triển tích hợp, bộ phát triển phần mềm, phiên bản phần mềm, công cụ triển khai và quản lý Người dùng PaaS kiểm soát toàn bộ các ứng dụng bao gồm cả các nền tảng hoạt động nhưng không hoặc ít tiếp cận đến hạ tầng bên dưới như mạng, máy chủ, hệ điều hành, vùng lưu trữ Với IaaS, nhà cung cấp ĐTĐM nắm giữ tất cả các tài nguyên tính toán vật lý như máy chủ, mạng, vùng lưu trữ, hạ tầng cơ sở Nhà cung cấp ĐTĐM sử dụng các phần mềm cần thiết để cung cấp các tài nguyên tính toán cho khách hàng như các thiết bị máy ảo và các giao diện mạng ảo, khách hàng sẽ sử dụng các tài nguyên này như một máy tính ảo cho các nhu cầu tính toán cơ bản Khách hàng gần như có toàn quyền quản trị và kiểm soát các thành phần trong nhóm ứng dụng, bao gồm cả hệ điều hành và mạng Nhà cung cấp IaaS chỉ kiểm soát các thiết bị phần cứng vật lý và các phần mềm thiết yếu để vận hành các thiết bị đó như máy chủ vật lý, thiết bị vật lý mạng, thiết bị lưu trữ vật lý, trình quản lý ảo hóa

- Nhà kiểm toán đám mây: kiểm toán là quá trình kiểm chứng lại việc thực hiện các tiêu chuẩn thông qua xem xét các bằng chứng khách quan Nhà kiểm toán đám mây có thể đánh giá các dịch vụ được cung cấp của nhà cung cấp ĐTĐM qua những điều khoản về các kiểm soát an ninh, tác động đến sự riêng tư, hiệu năng,… Các kiểm soát an ninh bao gồm sự quản lý, vận hành, bảo vệ về kỹ thuật và biện pháp ứng phó được sử dụng để đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống thông tin Với mục tiêu kiểm toán an ninh, nhà kiểm toán có thế tiến hành đánh giá các quy định kiểm soát trong hệ thống thông tin để xác định mức độ triển khai, tuân thủ, vận hành như mong muốn và đạt được các kết quả như mong đợi trong khi vẫn bảo đảm các yêu cầu an toàn cho hệ thống hay không? Ngoài ra quá trình kiểm toán bảo mật cũng nên tuân thủ các chính sách và quy định an ninh Kiểm toán sự tác động đến tính riêng tư giúp tuân thủ các quy định và chính sách pháp luật về tính riêng tư cá nhân nhằm đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin cá nhân trong tất cả các giai đoạn phát triển và vận hành

- Nhà môi giới đám mây: khi ĐTĐM phát triển ngày càng mạnh thì các dịch vụ càng trở nên phức tạp hơn, khó quản lý hơn đối với người dùng Người sử dụng ĐTĐM có thể yêu cầu dịch vụ từ một nhà môi giới đám mây thay vì trực tiếp từ nhà cung cấp dịch vụ Nhìn chung có 3 dạng dịch vụ được cung cấp bởi nhà môi giới đám mây:

- Trung gian dịch vụ: nhà môi giới nâng cao dịch vụ xác định bằng cách cải tiến một vài tính năng đặc biệt và cộng thêm giá trị dịch vụ cho khách hàng

Sự cải tiến có thể là quản lý truy cập dịch vụ, quản lý định danh, báo cáo hiệu năng hoặc cải tiến về bảo mật

- Tổng hợp dịch vụ: nhà môi giới ĐTĐM kết hợp nhiều loại dịch vụ thành một hoặc một vài dịch vụ mới Nhà môi giới cung cấp việc tích hợp dữ liệu và bảo đảm độ an toàn cho dữ liệu trao đổi giữa khách hàng và nhiều nhà cung cấp dịch vụ khác nhau

- Kinh doanh dịch vụ: tương tự như tổng hợp dịch vụ ngoại trừ việc các dịch vụ được tổng hợp không cố định Kinh doanh dịch vụ có nghĩa là nhà môi giới linh động trong việc chọn các dịch vụ từ nhiều đại lý khác nhau và chọn lựa đại lý tốt nhất sau khi đánh giá rủi ro và uy tín

- Nhà vận chuyển đám mây: nhà vận chuyển ĐTĐM cung cấp việc truy cập đến khách hàng qua mạng, truyền thông và các truy cập khác Ví dụ khách hàng có thể sử dụng dịch vụ ĐTĐM thông qua các thiết bị truy cập mạng như máy tính, laptop, thiết bị di động,… Việc phân phối các dịch vụ ĐTĐM thường được thực hiện bởi các nhà mạng và truyền thông hay bởi các đại lý vận chuyển, đại lý vận chuyển là các tổ chức kinh doanh cung cấp vận chuyển vật lý thiết bị lưu trữ như đĩa cứng dung lượng cao Cần lưu ý là phải có các thỏa thuận cung cấp dịch vụ (SLAs) giữa nhà cung cấp ĐTĐM với nhà vận chuyển ĐTĐM sao cho phù hợp với mức thỏa thuận dịch vụ cho người sử dụng ĐTĐM, đồng thời có thể yêu cầu nhà vận chuyển cung cấp các kết nối an toàn và chuyên biệt giữa nhà cung cấp ĐTĐM và người dùng

3.4.2 Kiến trúc tham chiếu ĐTĐM của IBM:

Kiến trúc tham chiếu ĐTĐM của IBM định nghĩa các thành phần kiến trúc cơ bản để tạo thành môi trường ĐTĐM Được xây dựng theo hướng các bộ phận liên kết mang tính khái niệm mức cao, các vai trò chính và những thành phần kiến trúc tương ứng được mô tả từ cao xuống thấp đi vào chi tiết từng thành phần Mục đích của kiến trúc tham chiếu này nhằm tạo ra những khái niệm và thuật ngữ cơ bản có thể sử dụng để tham khảo cho các cố gắng nghiên cứu khác về ĐTĐM.[34]

Kiến trúc tham chiếu ĐTĐM của IBM xác định 3 vai trò chính: Người sử dụng dịch vụ đám mây, nhà cung cấp dịch vụ đám mây và nhà sáng tạo dịch vụ đám mây Mỗi vai trò có thể được đại diện bởi 1 cá nhân duy nhất hoặc nhóm hoặc tổ chức Các vai trò được định nghĩa bao gồm tất cả các chức năng chung có thể nhận thấy trong bất kỳ môi trường ĐTĐM nào Chính vì vậy việc định nghĩa các vai trò cụ thể theo

31 mục tiêu dự án tùy thuộc vào việc triển khai đám mây nào hoặc trong mô hình ĐTĐM riêng biệt

- Người sử dụng dịch vụ đám mây: (Cloud Service Consumer)

Người sử dụng dịch vụ đám mây là một tổ chức, các nhân hoặc một hệ thống CNTT có tiêu thụ (vd là yêu cầu dịch vụ, sử dụng và quản lý như thay đổi hạn mức, khả năng xử lý của CPU cho máy ảo, gia tăng tối đa băng thông cho dịch vụ hội nghị đám mây,…) các mẫu dịch vụ (service instances) được cung cấp bởi một dịch vụ đám mây cụ thể Người sử dụng ĐTĐM phải trả chi phí cho tất cả các tương tác với dịch vụ đám mây và những mẫu dịch vụ đã thiết kế trước

Các yếu tố ảnh hưởng an toàn hệ thống thông tin

An toàn bảo mật thông tin liên quan đến việc bảo vệ thông tin và hệ thống thông tin tránh các truy cập và sử dụng dữ liệu trái phép, tiết lộ, phá hoại, chỉnh sửa, khai thác, sao chép bất hợp pháp tài nguyên thông tin.[36] Đề cập đến an toàn bảo mật trong hệ thống thông tin không chỉ về các vấn đề công nghệ được áp dụng trong phần mềm, phần cứng như các kỹ thuật mã hóa hay thiết bị tường lửa,… mà còn liên quan đến các vấn đề ảnh hưởng hệ thống thông tin thuộc về góc độ hoạt động kinh doanh của tổ chức như các chính sách, nội quy làm việc trong tổ chức, các quy định pháp luật, các thỏa thuận dịch vụ vận hành hệ thống hoặc ứng dụng, an ninh vật lý,… Các sự cố về bảo mật hệ thống thông tin không chỉ gây thất thoát về dữ liệu, thông tin mà còn ảnh hưởng đến thương hiệu doanh nghiệp, thất thoát về tài chính và có thể vi phạm pháp luật Phần này sẽ khái quát các vấn đề bảo mật hệ thống thông tin có thể phát sinh:

- Bộ ba nguyên tắc CIA (confidentiality - tính bí mật, integrity - tính toàn vẹn và availability - tính sẵn sàng) là một trong những yếu tố cơ bản của an toàn bảo mật thông tin Tính bí mật là việc đảm bảo thông tin không được tiết lộ trái phép cho cá nhân hoặc hệ thống không được cấp quyền sử dụng Thông tin quan trọng cần được lưu trữ và truy cập giới hạn, mã hóa khi trao đổi Bí mật của thông tin cũng là yếu tố ảnh hưởng đến tính riêng tư trong hệ thống thông tin Tính toàn vẹn: đảm bảo dữ liệu không bị thay đổi, sửa chữa, thất thoát trong suốt quá trình lưu trữ, trao đổi và sử dụng Tính sẵn sàng là việc đảm bảo dữ liệu và hệ thống thông tin luôn có thể truy cập và sử dụng trong bất kỳ thời điểm nào với các biện

35 pháp bảo vệ cần thiết Tính sẵn sàng liên quan cả về mặt vật lý như nguồn điện cung cấp, sự ổn định của phần cứng,…

- An toàn hệ thống về kỹ thuật: bao gồm tất cả các biện pháp nhận dạng, xác thực, kiểm soát truy cập và mã hóa thông tin bằng phần mềm như mật mã truy cập (password), danh sách kiểm soát truy cập, phần mềm phát hiện xâm nhập,… Nguyên tắc cấp quyền tối thiểu là một nguyên tắc quan trọng trong kiểm soát truy cập của người dùng, đảm bảo không cấp quyền quá sự cần thiết cho công việc, gây rủi ro cho hệ thống

- An toàn hệ thống về mặt vật lý: bao gồm tất cả các việc theo dõi và kiểm soát môi trường và các thiết bị vật lý như cơ sở vật chất trang bị, nhiệt độ, báo cháy, khóa chống trộm, nhân viên bảo an… Có biện pháp dự phòng cho các tác nhân bất ngờ như thiên tai, lũ lụt, các tai nạn cháy nổ, khủng bố,… ảnh hưởng đến hoạt động của hệ thống thông tin

- Các mối đe dọa từ bên trong tổ chức: vấn đề bảo mật phát sinh từ các quy định làm việc và chính sách an ninh của tổ chức dẫn đến việc mất cắp tài sản thiết bị IT; đạo đức và trình độ của nhân viên khi sử dụng máy tính truy cập các liên kết trang web độc hại hoặc mở các email chứa mã độc; việc cấp quyền truy cập thông tin giữa các bộ phận không tốt dẫn đến các hành vi khai thác trái phép, phá hoại dữ liệu nhạy cảm,…

- Các mối đe dọa từ bên ngoài tổ chức: đa số các nguy cơ từ bên ngoài đến từ các tấn công về mặt kỹ thuật của con người như phát tán virus, malware, xâm nhập hệ thống trái phép bằng các kỹ thuật bẻ khóa, vượt tường lửa,… Virus và malware có thể được ẩn dấu dưới các phần mềm miễn phí hoặc các quảng cáo hấp dẫn, hacker có thể xâm nhập qua các lỗ hổng chưa được phát hiện của các ứng dụng phần mềm, hệ điều hành,… Ngoài ra còn rất nhiều thủ thuật nhằm đánh cắp thông tin như phishing, email spoofing,…

ISO, CoBiT và ITIL

ISO 27001:2005 (gọi tắt là ISO 27001) ISO/IEC 27001, một phần trong tập bộ các tiêu chuẩn ISO/IEC 27000 đang được phát triển, là chuẩn hệ thống quản lý an toàn thông tin do Tổ Chức Quốc Tế Về Tiêu Chuẩn Hóa (International Organization for Standardization – ISO) và Ủy Ban Kỹ Thuật Điện Quốc Tế (International Electrotechnical Commission – IEC) phát hành vào tháng 10 năm 2005 Tên đầy đủ là ISO/IEC 27001:2005 - Công nghệ thông tin — Các kỹ thuật an toàn — Hệ thống quản lý an toàn thông tin — Các yêu cầu (ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems – Requirements)[30] ISO 27001 chính thức định rõ một hệ thống quản lý hướng đến an toàn thông tin với các chuẩn quản lý được chỉ ra rõ ràng phù hợp với các yêu cầu cụ thể Có thể nói đây là chuẩn quốc tế về An toàn thông tin (ATTT) toàn diện, chặt chẽ, đáp ứng các yêu cầu an ninh ngày càng gia tăng và tính linh hoạt của kinh doanh

Lịch sử ISO 27001 được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh quốc (British Standards Institution BSI) BS7799 bắt đầu phát triển từ năm 1995 nhằm đáp ứng các yêu cầu cho doanh nghiệp, chính phủ về việc thiết lập cấu trúc an ninh thông tin chung và bao gồm nhiều phần:

- Phần đầu tiên BS7799-1 bao gồm các kinh nghiệm tốt nhất cho việc quản lý an toàn thông tin được chỉnh sửa vào năm 1998 và được tổ chức ISO tiếp nhận với sự ra đời của chuẩn ISO/IEC 17799 “Quy tắc quản lý an toàn thông tin” vào năm 2000 ISO/IEC 17799 được xem xét chỉnh sửa vào tháng 6/2005 và cuối cùng trở thành một phần của bộ luật ISO/IEC 27000 với tên gọi ISO/IEC 27002 vào tháng 7 năm 2007

- Phần 2 BS7799-2 ra đời vào năm 1999 với tên gọi “Hệ thống quản lý an toàn thông tin – Đặc điểm và hướng dẫn áp dụng” Năm 2002, BS7799-2 được xem xét chỉnh sửa liên kết với các tiêu chuẩn chất lượng như ISO 9000 Cuối cùng

37 vào tháng 11 năm 2005 được ISO phát triển thành ISO/IEC 27001, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS

- Phần 3 BS7799-3 ra đời vào năm 2005 về quản lý và phân tích rủi ro Nó nhất quán với ISO 27001

ISO 27001 được chuẩn bị nhằm cung cấp một mô hình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn bảo mật thông tin (ISMS) Việc chấp nhận ISMS phải là quyết định mang tính chiến lược của một tổ chức Việc thiết kế và thực hiện ISMS của tổ chức chịu ảnh hưởng bởi các mục tiêu và nhu cầu, các yêu cầu an toàn bảo mật, các quá trình tuyển dụng, qui mô và cấu trúc của tổ chức ISO 27001 chỉ định rõ các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS trong tất cả các điều kiện rủi ro của hoạt động tổ chức Nó đưa ra các yêu cầu cho việc triển khai các kiểm soát an toàn bảo mật được chỉnh sửa theo nhu cầu của từng tổ chức hay từng bộ phận riêng.[ 31 ]

ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn các kiểm soát an toàn bảo mật thích hợp và tương xứng nhằm bảo vệ các tài sản thông tin và tạo lòng tin cho các bên liên quan

Các yêu cầu trình bày trong ISO 27001 mang tính tổng quan và có thể áp dụng cho tất cả các tổ chức với bất kỳ loại hình, quy mô và đặc điểm nào Các yêu cầu đặt ra trong các mục 4, 5, 6, 7 và 8 mang tính bắt buộc với bất kỳ tổ chức muốn đạt chuẩn ISO 27001.[31]

Việc cần thiết phải loại trừ bất cứ các yêu cầu kiểm soát nào để thỏa mãn các tiêu chí chấp nhận rủi ro cần phải được đánh giá, xem xét kỹ lưỡng và được chấp nhận bởi người có trách nhiệm Khi bất kỳ yêu cầu kiểm soát nào bị loại trừ thì tổ chức không được công nhận là đáp ứng ISO 27001 trừ khi việc loại trừ này không ảnh

38 hưởng tới năng lực và trách nhiệm của tổ chức trong việc đảm bảo an toàn thông tin đáp ứng các yêu cầu về an toàn đã được xác định thông qua đánh giá rủi ro, cũng như đáp ứng các yêu cầu pháp lý được áp dụng.[31]

Tiêu chuẩn ISO/IEC 27001:2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức (các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận…) Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng… của tổ chức

ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9000, ISO 14000

- Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ

- Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu

- Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng

- Giảm giá thành và các chi phí bảo hiểm

- Nâng cao nhận thức và trách nhiệm của nhân viên về an ninh thông tin

Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001:

- Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức

- Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/IEC 27001 cho nhân viên

- Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001

- Xây dựng chính sách, mục tiêu và phạm vi của hệ thống ISMS

- Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống

- Thiết lập các biện pháp kiểm soát rủi ro

- Lựa chọn mục tiêu và các biện pháp kiểm soát

- Vận hành hệ thống ISMS đã thiết lập

- Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống

ISO 27001 áp dụng mô hình PDCA (Plan – Do – Check – Act) cho tất cả các quá trình thực hiện quản lý an toàn cho hệ thống thông tin.[ 31 ]

Hình 3.9 Mô hình PDCA cho quản lý an toàn thông tin Nguồn: ISO, 2005

- Plan (thiết lập ISMS): lập chính sách, mục tiêu, các quá trình và thủ tục của ISMS phù hợp với việc quản lý rủi ro và cải tiến an toàn bảo mật thông tin nhằm đạt được kết quả tuân theo các chính sách và mục tiêu của tổ chức

- Do (Thực hiện và điều hành ISMS): Thực hiện và vận hành chính sách, các kiểm soát, các quá trình và thủ tục của ISMS

- Check (Theo dõi và xem xét ISMS): Đánh giá và khi thích hợp, đo lường thực hiện quá trình so với chính sách, mục tiêu và kinh nghiệm triển khai áp dụng ISMS, báo cáo kết quả để lãnh đạo xem xét

- Act (Duy trì và cải tiến ISMS): Thực hiện các hành động khắc phục phòng ngừa dựa trên kết quả đánh giá nội bộ ISMS và xem xét của lãnh đạo cũng như các thông tin liên quan đển thực hiện cải tiến

3.6.2 COBIT: (Control Objectives for Information and related Technology)

NỘI DUNG NGHIÊN CỨU 4.1 An toàn bảo mật trong điện toán đám mây

Nguy cơ và thách thức bảo mật trong ĐTĐM

- Kiểm soát hạ tầng vật lý: Mối lo ngại lớn nhất về bảo mật chính là sự mất kiểm soát của người dùng đối với hạ tầng vật lý, khi dữ liệu được lưu trữ tại nhà cung cấp điện toán đám mây thì người dùng gần như không biết chính xác dữ liệu của mình được lưu trữ ở đâu và những biện pháp an ninh vật lý nào được dùng để

Hình 4.2 Bảng khảo sát về các mối lo ngại với ĐTĐM Nguồn: Intel, 2011

46 tăng cường độ bảo mật, các chính sách kiểm tra truy xuất có thực sự an toàn không?

- Bảo mật trình duyệt web: Do phần lớn các truy cập vào ĐTĐM được thực hiện qua các trình duyệt và nền tảng web nên các vấn đề bảo mật, nâng cấp các bản sửa chữa lỗ hổng trên trình duyệt web cũng ảnh hưởng đến an toàn thông tin Sử dụng giao thức HTTPS mã hóa kết nối với với máy chủ qua trình duyệt web sẽ tăng độ an toàn hơn kết nối thông thường Một số chuyên gia còn đề nghị nên sử dụng một trình duyệt web riêng biệt để thực hiện các tác vụ nhạy cảm như thanh toán thẻ tín dụng trực tuyến hay ngân hàng trực tuyến, trình duyệt web này khác với trình duyệt web cho các thao tác thông thường do một số trang web độc hại có thể lấy cắp các thông tin nhạy cảm thường nằm trong vùng nhớ đệm và qua lịch sử truy cập của các trình duyệt.[16]

- Trách nhiệm quản lý bảo mật: Khác với hệ thống IT nội bộ nơi tổ chức giữ vai trò kiểm soát và điều hành toàn hệ thống, ĐTĐM liên quan đến nhiều bên tham gia nên vai trò quản lý bảo mật thay đổi tùy thuộc vào mô hình lớp dịch vụ của ĐTĐM: [8]

- SaaS: trong mô hình phần mềm như một dịch vụ, nhà cung cấp đưa ra các dịch vụ với hàng loạt tính năng tích hợp, ít khả năng điều chỉnh theo nhu cầu cụ thể của doanh nghiệp Nhà cung cấp chịu trách nhiệm chính về vấn đề bảo mật và tính riêng tư cho dịch vụ ứng dụng, đặc biệt là trong môi trường đám mây công cộng nơi cần những yêu cầu nghiêm ngặt về bảo mật và những quy định cần thiết Đám mây riêng sẽ đáp ứng được nhu cầu mở rộng và điều chỉnh tính năng cụ thể theo người dùng do không quá khắt khe về bảo mật như đám mây công cộng [8]

- PaaS: mục đích của mô hình này giúp cho các nhà phát triển xây dựng ứng dụng trên các nền tảng được cung cấp Chính vì vậy người dùng phải chịu trách nhiệm chính trong việc bảo vệ các ứng dụng của mình Nhà cung cấp

47 chỉ chịu trách nhiệm cung cấp môi trường làm việc chuyên biệt, tách riêng cho từng người dùng trên cùng mô hình.[8]

- IaaS: đây là mô hình có độ linh hoạt mở rộng dễ dàng nhất theo nhu cầu người dùng nhưng ít các tính năng ứng dụng Nhà cung cấp đám mây chỉ chịu trách nhiệm bảo vệ ở mức cơ bản nhất, người dùng phải chịu trách nhiệm chính về tính bảo mật và tính riêng tư trong mô hình này.[8]

- Tấn công từ người dùng khác: tính năng đa người dùng (multi-tenancy) là một trong các tính năng nổi bật của ĐTĐM – đặc biệt là với “đám mây công cộng”

Tính năng này cho phép nhà cung cấp quản lý tốt tài nguyên bằng cách phân chia hạ tầng được ảo hóa cung cấp cho nhiều khách hàng thuê Tuy nhiên ở góc độ của người sử dụng sẽ có mối lo ngại khi lưu trữ thông tin trên hạ tầng chia sẻ chung[8], liệu có an toàn khi chia sẻ tài nguyên với những người dùng khác mà họ có thể là đối thủ cạnh tranh, kẻ phá hoại hoặc hacker chuyên lấy cắp thông tin,….? Cần có kỹ thuật phân cách đủ mạnh để các người dùng không thể truy xuất được thông tin trên phân vùng thuê của người khác và ngăn chặn lấy cắp trên đường truyền mạng

Hình 4.3 Trách nhiệm phân chia theo từng mô hình ĐTĐM Nguồn: IBM, 2011

- Tính sẵn sàng của hệ thống: so với hệ thống IT nội bộ thì ĐTĐM có nhiều tác nhân ảnh hưởng đến tính sẵn sàng của hệ thống hơn như độ ổn định của Internet, hạ tầng chia sẻ dễ bị tấn công hay ảnh hưởng từ sự cố của người dùng khác, mức độ quan tâm của các nhà cung cấp ĐTĐM đến an toàn bảo mật cho hệ thống,… Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDos) là các kiểu tấn công phổ biến qua Internet hay sự gia tăng ngày càng lớn về số lượng của dữ liệu trao đổi qua Internet giữa các người dùng và ứng dụng gây nên hiện tượng “thắt cổ chai” băng thông đường truyền,… cũng gây ảnh hưởng tính sẵn sàng của hệ thống

- Phá hoại từ bên trong: không phải từ tác nhân con người trong tổ chức hay doanh nghiệp sử dụng ĐTĐM, mà đến từ phía nhà cung cấp dịch vụ ĐTĐM Do ứng dụng, hệ thống được vận hành trên mô hình dịch vụ của nhà cung cấp nên vấn đề đạo đức của nhân viên quản trị phía nhà cung cấp sẽ gây nguy hại đến an toàn bảo mật thông tin của người dùng Cần lưu ý là bất cứ người nào có khả năng tiếp cận các hoạt động của hệ thống nhà cung cấp đều có khả năng gây nguy hại, ngoài nhân viên quản trị hệ thống hiện tại còn những nhân viên cũ, các đối tác, các bên tham gia xây dựng hệ thống,…[25]

- Chế độ bảo mật của các bên liên quan: khi quyết định ứng dụng ĐTĐM, người dùng ngoài việc cần nắm rõ cách thức bảo mật của nhà cung cấp dịch vụ trực tiếp thì cần phải tìm hiểu tổng thể về các bên tham gia vào dịch vụ “đám mây” đó Ví dụ như người dùng sử dụng lớp dịch vụ ĐTĐM SaaS (phần mềm như một dịch vụ) thì cần quan tâm nhà cung cấp SaaS sử dụng nền tảng PaaS và IaaS nào, mức độ bảo mật ra sao? Nếu chỉ quan tâm đến nhà cung cấp SaaS trực tiếp thì mặc dù có biện pháp bảo mật tốt nhưng có nhiều lỗ hổng ở lớp PaaS và IaaS sẽ ảnh hưởng không nhỏ đến an toàn thông tin của người dùng Ngoài ra, chế độ bảo mật của các người dùng thuê chung trên hạ tầng chia sẻ cũng cần có sự quan tâm nhất định, nếu các người dùng khác bị tấn công có khả năng gây ảnh hưởng chung trong phạm vi nhất định.[25]

- Ràng buộc dữ liệu: phần mềm, ứng dụng, các công cụ và các kiểu định dạng dữ liệu được các nhà cung cấp dịch vụ đưa ra cho người dùng trên ĐTĐM không theo một tiêu chuẩn nhất định Người dùng sẽ gặp khó khăn khi dự định dời hệ thống từ nhà cung cấp ĐTĐM này sang nhà cung cấp ĐTĐM khác khi gặp các vấn đề về chi phí, mức tin cậy hay do nhà cung cấp dịch vụ đóng cửa.[16]

Định danh, xác thực và kiểm soát truy cập

Định danh và xác thực: Quản lý định danh và xác thực là yếu tố bảo mật an toàn rất quan trọng với ĐTĐM do gần như hầu hết các truy cập thông tin đều thông qua môi trường Internet (đặc biệt với “đám mây công cộng”) ĐTĐM chưa có những tiêu chuẩn thống nhất nhất định, các nhà cung cấp ĐTĐM có thể tự xây dựng và đưa ra các kỹ thuật khác nhau trong cách định danh và xác thực cho người dùng khi truy cập vào dịch vụ ĐTĐM Chính vì vậy làm phát sinh thêm vấn đề khó khăn cho việc định danh và xác thực khi người dùng sử dụng dịch vụ từ nhiều nhà cung cấp ĐTĐM hoặc sự kết nối trong đám mây lai Rất nhiều các nghiên cứu, báo cáo tập trung phân tích các rủi ro, bảo mật và kỹ thuật xác thực trong và giữa các “đám mây” với nhau

- Các yếu tố nổi trội của ĐTĐM như đa người dùng hay đa quyền kiểm soát giữa nhiều bên làm tăng độ phức tạp cần có trong xác thực để bảo vệ thông tin cá nhân và dữ liệu nhạy cảm của người dùng Kỹ thuật xác thực dựa trên mật khẩu (password) không đủ mạnh với ĐTĐM, cần có sự kết hợp giữa các thẻ định danh với các giao thức trao đổi khác nhau để đảm bảo hệ thống quản lý định danh (IDM) phải chắc chắn rằng khi người dùng tương tác với hệ thống sẽ được tách biệt và được bảo vệ khỏi các dịch vụ tương tác khác Ở môi trường đa người dùng thì nhà cung cấp phải phân tách thông tin định danh và xác thực riêng biệt cho từng đối tượng.[8]

- Việc kết hợp hoặc chuyển dời từ hệ thống thông tin nội bộ truyền thống sang ĐTĐM cũng luôn gặp vấn đề về sự tương thích giữa mô hình định danh xác thực của tổ chức không thể mở rộng hoặc thay đổi để phù hợp với dịch vụ đám

50 mây, kết quả là người dùng luôn phải sử dụng 2 hệ thống xác thực riêng biệt[25], tăng sự phức tạp cho quy trình làm việc

- Một trong các giải pháp cho việc định danh và xác thực giữa nhiều đám mây khác nhau được đề xuất là chuẩn SAML (Security Assertion Markup Language) SAML đưa ra phương cách để trao đổi thông tin bằng việc trao đổi một đối tượng hoặc thông tin xác thực giữa các đám mây liên kết SAML sẽ yêu cầu và đáp ứng các thông điệp dựa trên giao thức SOAP (Simple Object Access Protocol) được định dạng theo XML (eXtensible Markup Language).[ 27 ]

- Kiểm soát và theo dõi truy cập: bên cạnh việc định danh và xác thực, kiểm soát các quyền truy cập của người dùng đám mây luôn là yếu tố bảo mật quan trọng hàng đầu Kết hợp với SAML hướng đến định danh và xác thực liên kết thì nhà cung cấp ĐTĐM có thể sử dụng chuẩn tương tự như XACML (eXtensible Access Control Markup Language) để quản lý kiểm soát truy cập vào các tài nguyên đám mây thay cho việc dùng các cách thức quản lý riêng XACML có khả năng quản lý các dịch vụ riêng biệt của các nhà cung cấp ĐTĐM, tập trung vào cách phân quyền truy cập cho người dùng [ 25 ]

Tính riêng tư và bảo mật dữ liệu

Tính riêng tư và bảo mật dữ liệu cũng là một trong những thách thức không nhỏ với ĐTĐM Các thông tin cá nhân và dữ liệu nhạy cảm lưu chuyển trên hạ tầng cơ sở dùng chung có nhiều nguy cơ bị truy cập và phát tán trái phép Ngoài ra cũng phát sinh vấn đề lo ngại về tính riêng tư khi lịch sử tất cả các thao tác và cách thức tạo, xóa, sửa đổi dữ liệu, nhập xuất hệ thống,… đều được ghi nhận lại cho mục đích truy tìm nguyên do để xử lý khi có sự cố phát sinh Vừa đảm bảo việc theo dõi truy cập vừa đảm bảo tính riêng tư của người dùng là vấn đề đáng lưu ý cho hệ thống thông tin.[8]

- Quyền sở hữu và kiểm soát dữ liệu: khác với hệ thống IT nội bộ tất cả dữ liệu đều được lưu trữ, sở hữu và kiểm soát trong phạm vi tổ chức, với ĐTĐM thì dữ liệu và thông tin được đặt tại nơi nhà cung cấp dịch vụ, vì vậy người dùng cần

51 có những biện pháp và kỹ thuật nhằm đảm bảo quyền sở hữu và kiểm soát của mình

- Các thỏa thuận về cung cấp dịch vụ (SLAs): Môi trường ĐTĐM là một môi trường đa vùng với các vùng sở hữu có những yêu cầu về bảo mật và tính riêng tư khác nhau Chính vì vậy người dùng cần xem xét cẩn thận khi ký kết các thỏa thuận về cung cấp dịch vụ (Service-Level Agreement) với nhà cung cấp đám mây, không giống như các dịch vụ Internet truyền thống, điều khoản hợp đồng sử dụng dịch vụ ĐTĐM phải được xem xét kỹ càng hơn bởi bản chất của những dịch vụ này là doanh nghiệp khách hàng không kiểm soát được tài nguyên thông tin và môi trường tác nghiệp Do đó, hợp đồng nên chú trọng đến các quyền và nghĩa vụ liên quan đến trách nhiệm, quyền hạn và sự đảm bảo của dịch vụ Ngoài ra, doanh nghiệp khi muốn ứng dụng điện toán đám mây vào hoạt động phải quan tâm đến vấn đề sở hữu trí tuệ và chứng thực chữ ký số trong giao dịch[8] Khách hàng có thể phải cần đến bên thứ ba để theo dõi việc thực thi các điều khoản hợp đồng và thông báo ngay khi có vi phạm

- Quyền sử dụng thông tin và quy định pháp luật: quyền sử dụng thông tin và các quy định về pháp luật cũng là những khía cạnh đáng quan tâm trong bảo mật và tính riêng tư Do thông tin lưu trữ trên đám mây không bị giới hạn về mặt địa lý nên dữ liệu có thể được lưu trữ ở nhiều nơi đặt máy chủ trên toàn thế giới, thông tin có thể được truy cập và di chuyển qua nhiều vùng, nhiều nước khác nhau Tuy nhiên một số quốc gia có các điều luật quy định về việc sở hữu và khai thác dữ liệu khác nhau, ví dụ ở Châu Âu có quy định không tiết lộ hoặc mang các thông tin cá nhân ở một quốc gia ra khỏi phạm vi quốc gia đó, trong trường hợp cần thiết thì dữ liệu phải có sự phê chuẩn đặc biệt với chi tiết các lý do, mục đích sử dụng, nơi yêu cầu và các biện pháp bảo đảm an toàn cho dữ liệu trước khi mang ra khỏi quốc gia sở hữu Tuy nhiên tại Mỹ có bộ luật Patriot Act cho phép các cơ quan chức năng có quyền xâm nhập và khai thác các thông tin để phục vụ vấn đề điều tra, ngoài ra còn có các bộ luật quy định khác liên quan đến vấn đề thông tin như HIPAA về dữ liệu sức khỏe hay Sarbannes-Oxley Act về

52 dữ liệu tài chính, Một số nhà cung cấp dịch vụ ĐTĐM như Amazon với S3 thiết lập hạ tầng cơ sở tại cả Mỹ và Châu Âu để giải quyết vấn đề này [16] Khi sử dụng điện toán đám mây cần cân nhắc đến yếu tố chi phối của các quy định và luật pháp về thông tin trong các điều khoản hợp đồng với nhà cung cấp [9]

- Tính bí mật và toàn vẹn dữ liệu: Rủi ro về bí mật và toàn vẹn dữ liệu tăng cao trong môi trường ĐTĐM do có nhiều bên tham gia dẫn đến việc có nhiều quyền truy cập ở các tầng dịch vụ khác nhau Xác thực người dùng trong ĐTĐM ảnh hưởng toàn bộ truy cập thông tin trong hệ thống nên việc bảo mật tài khoản người dùng và một quy trình xác thực đủ mạnh giúp bảo vệ dữ liệu, tránh tiết lộ, thay đổi, sửa chữa thông tin trái phép Ngoài ra cần lưu ý trong ĐTĐM dữ liệu có thể được sao lưu (backup) theo từng cơ chế khác nhau của nhà cung cấp dịch vụ, dữ liệu cần xóa bỏ của người dùng có thể vẫn tồn tại trên hệ thống nhà cung cấp gây tổn hại đến tính bí mật của dữ liệu, đặc biệt là với những số liệu nhạy cảm hoặc thông tin quan trọng trong kinh doanh

- Bảo vệ dữ liệu: dữ liệu trên đám mây được đặt chung trong môi trường chia sẻ dưới nhiều hình thức khác nhau từ các chương trình ứng dụng, các đoạn mã, các công cụ và thiết lập cấu hình,… cho đến các danh sách, hồ sơ, thông tin người dùng Việc bảo vệ dữ liệu dựa trên quản lý truy cập thông qua định danh và mã hóa dữ liệu Dữ liệu cần phải được bảo vệ trong suốt quá trình lưu trữ, trao đổi, sử dụng và truy cập Các giao thức truyền thông và mật mã giúp bảo vệ dữ liệu khi trao đổi Tính tương thích hệ thống giữa các nhà cung cấp ĐTĐM cũng giúp bảo vệ dữ liệu, thông tin và ứng dụng chuyển đổi và lưu trữ trên đám mây Bảo vệ dữ liệu mã hóa trong quá trình sử dụng trên ĐTĐM cũng là một vấn đề đang được quan tâm nghiên cứu để tạo sự an toàn cao hơn.[ 25 ]

IBM SmartCloud

IBM bắt đầu phát triển ĐTĐM khoảng 5 năm về trước với sự ra đời của “Blue Cloud” chủ yếu hướng đến các tổ chức chính phủ và các trường đại học Hiện nay

53 ĐTĐM đã trở thành một lĩnh vực phát triển chính của IBM với doanh thu dự tính đạt đến 7 tỷ USD vào năm 2015 [18]

Theo khảo sát gần đây vào năm 2011 của IBM với khoảng 500 người đứng đầu IT và kinh doanh thì chỉ khoảng 33% đã ứng dụng ĐTĐM nhưng con số này được dự đoán sẽ tăng gấp đôi trong vòng 3 năm tiếp theo Đến 2015, sẽ có khoảng 40% người trả lời khảo sát sẽ có những thay đổi lớn và 30% sẽ có những cải tiến về mô hình kinh doanh và dòng doanh thu với ĐTĐM [18]

Các nghiên cứu cũng cho thấy các tổ chức doanh nghiệp nhận biết được giá trị của ĐTĐM nhưng họ vẫn e dè vì đối mặt với những thách thức riêng biệt của ĐTĐM xung quanh vấn đề bảo mật, sự tin cậy, tiêu chuẩn kiểm soát trong việc sử dụng ĐTĐM và sự ảo hóa của các trung tâm dữ liệu Với việc phát triển SmartCloud, IBM hướng đến thuyết phục khách hàng doanh nghiệp về lợi ích gia tăng hiệu suất và sáng tạo trong kinh doanh IBM có kế hoạch hỗ trợ gần 200 triệu người dùng chuyển dời các quy trình làm việc và ứng dụng chính lên SmartCloud vào cuối năm

Hình 4.4 Mô phỏng IBM SmartCloud Nguồn: IBM , 2012

SmartCloud Enterprise là giải pháp ĐTĐM của IBM phát triển ở lớp dịch vụ IaaS (hạ tầng như một dịch vụ) dành cho tổ chức và doanh nghiệp cần ứng dụng nền tảng hạ tầng của mô hình đám mây công cộng để phát triển hoạt động kinh doanh từ nhu cầu cơ bản như một ứng dụng nền web đơn giản cho đến hệ thống tích hợp ERP

Giải pháp này được IBM giới thiệu khoảng giữa năm 2011 với hứa hẹn giúp các doanh nghiệp có thể khai thác ưu thế của những dịch vụ chia sẻ tài nguyên điện toán, kiểm soát chi phí, nâng cao hiệu suất và nhanh chóng đưa sản phẩm, dịch vụ ra thị trường SmartCloud Enterprise đưa ra 5 yếu tố cơ bản đáp ứng các yêu cầu của doanh nghiệp về ĐTĐM:[17]

- Nền tảng kỹ thuật của hạ tầng

- Quản lý, hỗ trợ và triển khai

- Tính sẵn sàng và hiệu năng

- Tính bảo mật và riêng biệt cho vùng làm việc

- Thanh toán và kiểm soát chi phí theo nhu cầu

SmartCloud Enterprise cung cấp khả năng tiếp cận nhanh chóng nguồn tài nguyên CNTT với hình thức thanh toán dựa trên mức sử dụng (pay-per-use) với các đặc điểm và tính năng đáp ứng nhu cầu của đối tượng khách hàng doanh nghiệp bao gồm các vùng làm việc dành riêng, chức năng quản trị tài khoản, chia sẻ tập tin hình ảnh và kết nối VPN đến tài nguyên đám mây Sự kết hợp giữa sản phẩm và dịch vụ theo nhu cầu đáp ứng được các yêu cầu khách hàng như quản lý đám mây, bảo mật và sẵn sàng với hệ thống quản lý dịch vụ tích hợp vào các dịch vụ đám mây đáp ứng tính minh bạch, kiểm soát và tự động hóa.[29]

Dữ liệu khách hàng và các máy ảo được đặt tại trung tâm dữ liệu dự trù trước với các điều kiện bảo mật vật lý tương tự như các trung tâm dữ liệu của chính IBM Tùy chọn VPN (mạng riêng ảo) cho phép người dùng cách ly vùng làm việc trên

SmartCloud Enterprise trên một mạng nội bộ ảo mà chỉ người dùng đó có thể truy cập

Giải pháp nâng cao SmartCloud Enterprise + được IBM đưa ra vào cuối năm 2011 bổ sung thêm một số tính năng tùy biến cao hơn cho SmartCloud Enterprise như dịch vụ quản lý máy chủ ảo, vùng lưu trữ, mạng, các tùy chọn bảo mật, sử dụng các trung tâm dữ liệu riêng biệt,… Với SmartCloud Enterprise +, người dùng có thêm nhiều chọn lựa chi tiết các thành phần từ hạ tầng, hệ điều hành, vị trí đặt máy chủ ảo, các điều khoản bảo mật, kiểm soát và thỏa thuận dịch vụ hướng đến mục tiêu kinh doanh cho từng người dùng,… Giải pháp này cần thiết cho các doanh nghiệp, tổ chức có hệ thống thông tin lớn và yêu cầu phức tạp [17]

Rapid access, multi-tenant solution scaled and priced based on usage

Robust multi-tenant solution, including managed services

Workloads Ideal for developing and deploying new application designs

Ideal for migration of traditional and higher availability applications

Hình 4.5 Sơ đồ kết nối IBM SmartCloud Nguồn: IBM White Paper, 2011

Bảng 4.1 So sánh các tính năng của SCE và SCE + Nguồn: IBM, 2010

Linux, Windows Windows, Linux, AIX

Self-service with advanced premium support

Security Virtual and some physical Multiple levels of isolation

Bring you own/pay as you go/free developer use

IBM provides operating system and tool licenses

Pricing Hourly usage-based with reserved options

Monthly usage-based and fixed contract

SmartCloud Application Services là một trong hai giải pháp dịch vụ trên nền đám mây công cộng (bên cạnh SmartCloud Enterprise +) được IBM giới thiệu vào tháng 10/2011 Đây là sản phẩm được phát triển ở lớp PaaS (nền tảng như một dịch vụ) của ĐTĐM Thông qua các công cụ SmartCloud Application Services, các ứng dụng sản phẩm doanh nghiệp nhanh chóng chuyển đổi sang hoạt động trên nền dịch vụ đám mây Người dùng có thể khai thác lợi ích của ĐTĐM cho việc triển khai các ứng dụng mới phát triển và cả các ứng dụng truyền thống, giúp tiết kiệm chi phí và thời gian trong khi vẫn đảm bảo được mức độ kiểm soát, an toàn truy cập quan trọng trên nền đám mây

SmartCloud Application Services hoạt động với SmartCloud Enterprise và SmartCloud Enterprise + hướng tập trung vào các hoạt động kinh doanh của doanh nghiệp SmartCloud Application Services che phủ tất cả các sắp xếp và quản lý cơ sở hạ tầng phức tạp bên dưới, cung cấp một nền tảng dịch vụ với các thao tác đơn giản cài đặt, thiết lập, cấu hình và quản lý cho các ứng dụng, phần mềm trung gian, công cụ,… giúp các tổ chức tập trung vào hoạt động kinh doanh Có 5 thành phần chính trong Application Services: [18]

- Application Lifecycle: cung cấp môi trường cộng tác thời gian thực cho việc chuyển giao phần mềm cũng như dịch vụ quản lý trên ĐTĐM như lập kế hoạch nhanh chóng, quản trị sự thay đổi và cấu hình phần mềm Các tính năng cần thiết cho phép các nhóm làm việc tập trung phát triển ứng dụng mà ko cần quan tâm đến việc triển khai hay quản trị ứng dụng

- Application Resources: cung cấp dịch vụ trung tâm được chia sẻ cho các tài nguyên ứng dụng chung làm giảm chi phí và đơn giản hóa quá trình vận hành và quản trị nhưng vẫn đảm bảo tính sẵn sàng và linh hoạt trong việc điều chỉnh tăng giảm về nhu cầu tài nguyên sử dụng

- Application Environments: rút ngắn thời gian triển khai và gia tăng hiệu quả khai thác ứng dụng trên nhiều môi trường được định nghĩa sẵn phù hợp với các thành phần ứng dụng khác nhau Ứng dụng được triển khai trên từng môi trường mà không cần quan tâm đến chi tiết hạ tầng cơ sở hay phần mềm trung gian Môi trường cung cấp khả năng quản trị ứng dụng và tự động điều chỉnh dựa trên các quy định có sẵn

- Application Management: giúp việc triển khai và quản lý các ứng dụng của bên thứ ba một cách hiệu quả với các tính năng quản lý tối ưu hóa đặc biệt

- Integration: kết hợp các ứng dụng của nhà cung cấp dịch vụ ĐTĐM với các ứng dụng bên ngoài và tài nguyên nội bộ của tổ chức

Actions From Traditional To IBM SmartCloud

1 operator per 10 apps 1 operator per 100 apps

SmartCloud Foundation là bộ giải pháp bao gồm các chức năng chính trong việc thiết kế và triển khai đám mây riêng (private cloud) được IBM phân tích và đúc kết kinh nghiệm từ hàng ngàn người dùng và hàng triệu thao tác trên nền tảng đám mây SmartCloud Foundation bao gồm các thành phần xây dựng và quản trị đám mây riêng, giúp cả hai đối tượng là các doanh nghiệp mới thành lập và các tổ chức lớn nhanh chóng ứng dụng được đám mây riêng ngay từ lúc bắt đầu hay với hệ thống sẵn có nhằm đạt được hiệu quả cao

Khảo sát phỏng vấn doanh nghiệp

4.3.1 Đối tượng phỏng vấn: Để xây dựng mô hình an toàn bảo mật thông tin cho ĐTĐM, tác giả quyết định chọn ngẫu nhiên một số công ty thuộc mô hình doanh nghiệp vừa và nhỏ thuộc nhiều ngành nghề để khảo sát phỏng vấn về các hệ thống thông tin hiện tại, nhằm làm cơ sở cho việc phân tích các rủi ro và đề xuất mô hình an toàn bảo mật thông tin khi doanh nghiệp dự định chuyển tiếp hệ thống thông tin nội bộ sang môi trường ĐTĐM Các công ty trong khảo sát đa dạng nhiều lĩnh vực từ tư vấn dịch vụ, thương mại, kinh doanh, dịch vụ bất động sản, bán sỉ, bán lẻ và quản lý sự nghiệp với các quy mô từ tổng công ty nhà nước, tập đoàn nước ngoài, công ty liên doanh và công ty trách nhiệm hữu hạn,…

Khảo sát được thực hiện bằng phương pháp phỏng vấn các người đứng đầu bộ phận CNTT, trưởng phòng CNTT, quản trị hệ thống CNTT, giám đốc dự án, giám đốc MIS, chuyên gia MIS,… Chọn và liên hệ khoảng 12 công ty với 7 công ty đồng ý tiếp nhận phỏng vấn và dựa vào các thông tin nhận được chọn ra 4 công ty tiến hành khảo sát chi tiết (các công ty loại bỏ là: Công ty Cổ Phần Vận Tải Dầu Khí Cửu

Long thuộc Tổng công ty Cổ phần Vận tải Dầu Khí; Công ty TNHH Tin Học Á Đông Vina thuộc AceCom Singapore; Công ty GlobalVision)

Bước đầu liên hệ hẹn gặp phỏng vấn trực tiếp với một số câu hỏi liên quan đến hệ thống thông tin đang hoạt động của công ty được khảo sát và quan điểm về việc ứng dụng ĐTĐM

Trong quá trình tổng hợp thông tin và phân tích, đề xuất mô hình, tiếp tục liên hệ bằng email và điện thoại để bổ sung và xác nhận một số thông tin cần thiết cho khảo sát Ngoại lệ có một công ty phải hẹn gặp trực tiếp lần thứ 2 để bổ sung thông tin

Dựa vào thông tin phân tích và tổng hợp được từ khảo sát, đưa ra những yêu cầu cần thiết và rủi ro gặp phải khi chuyển sang môi trường ĐTĐM, đề xuất mô hình dịch vụ phù hợp, các chính sách an toàn bảo mật thông tin đáp ứng nhu cầu hệ thống thông tin ĐTĐM của doanh nghiệp khảo sát

4.3.3 Các công ty được khảo sát:

- Công ty TNHH Parkson VietNam: là công ty TNHH với 100% vốn đầu tư nước ngoài của Tập đoàn quốc tế Lion – Malaysia, bắt đầu hoạt động từ năm 2005 tại Việt Nam với trung tâm thương mại (TTTM) đầu tiên tại Tp HCM trên mặt bằng thuê của trung tâm thương mại SaigonTourist Hiện nay Parkson đã phát triển chuỗi TTTM lên đến 8 địa điểm với 05 TTTM tại Thành phố Hồ Chí Minh,

02 TTTM tại Hà Nội và 01 TTTM tại Hải Phòng với hơn 300 nhãn hàng Quy mô công ty khá lớn với số lượng khoảng 900 nhân viên toàn hệ thống (khoảng

108 nhân sự cho mỗi TTTM và 80 người làm việc tại văn phòng chính)

- Công ty TNHH Liên doanh Phú Mỹ Hưng: tên viết tắt là Công ty Phú Mỹ Hưng, thành lập vào năm 1993, là liên doanh giữa Công ty TNHH Một Thành Viên Phát Triển Công Nghiệp Tân Thuận (IPC - Việt Nam) và Tập đoàn Central Trading & Development (CT&D - Đài Loan) Công ty hoạt động trong lĩnh vực bất động sản bao gồm xây dựng, mua bán, cho thuê văn phòng, căn hộ, mặt bằng kinh doanh,… ngoài ra còn các lĩnh vực thương mại, dịch vụ, đầu tư và phát

65 triển đô thị Quy mô đầu tư và lĩnh vực hoạt động của công ty tương đối lớn với số lượng nhân viên chính thức khoảng 300 người Thành tựu trong lĩnh vực CNTT là vào tháng 4/2009 Phú Mỹ Hưng đã được nhận giải thưởng Sao Khuê cho danh hiệu: "Đơn vị xuất sắc triển khai phần mềm và CNTT"

- Tổng công ty Bến Thành: thành lập từ năm 1997 với 16 đơn vị thành viên, là một doanh nghiệp đầu tư vốn, hoạt động theo mô hình công ty mẹ - công ty con Hiện tại, tổng công ty Bến Thành thực hiện đầu tư vốn và tham gia quản lý tại

42 đơn vị thành viên, hoạt động trong năm lĩnh vực chính: Thương mại, Du lịch, Bất động sản, Tài chính, và Sản xuất công nghiệp Dự tính trong giai đoạn 2011-

2015, toàn hệ thống sẽ có 150 dự án đầu tư với tổng số vốn lên tới 30.000 tỷ đồng Quy mô tổng công ty và các đơn vị thành viên là rất lớn với nhân sự lên đến chục ngàn người, tuy nhiên ở phạm vi văn phòng chính tổng công ty chỉ khoảng 80 nhân viên

- Công ty TNHH Kiểm toán và Dịch vụ Tin học TPHCM: tên tiếng Anh là

Auditing & Informatic Services Company Limited (viết tắt là AISC), là tổ chức tư vấn, kiểm toán độc lập hợp pháp có quy mô lớn, hoạt động trên khắp Việt Nam Đây là một công ty do nhà nước thành lập và được chuyển đổi sang mô hình TNHH theo quy định vào năm 2008 AISC là thành viên của Tổ chức Kế toán Kiểm toán Quốc tế Inpact Asia Pacific Hiện tại công ty có trụ sở chính tại TP.HCM, 2 chi nhánh tại Hà Nội và Đà Nẵng cùng với 2 văn phòng đại diện ở Cần Thơ và Hải Phòng Trụ sở chính của AISC với quy mô hoạt động khoảng

Qua khảo sát cho thấy các công ty đã có sẵn hệ thống thông tin nội bộ nếu lập kế hoạch ứng dụng ĐTĐM thì bước đầu chỉ có nhu cầu lưu trữ, backup và tập trung dữ liệu do ưu điểm không cần tốn chi phí trang bị thiết bị phần cứng vật lý, triển khai nhanh chóng Tất cả các công ty tham gia khảo sát đều thuộc doanh nghiệp đang hoạt động hiệu quả và trên đà phát triển mạnh, hệ thống thông tin hiện tại đáp ứng

66 nhu cầu trước mắt nhưng cần cải tiến và phát triển trong tương lai Đa số các công ty đều muốn khai thác lợi ích về tính năng và hiệu quả kinh tế của ĐTĐM nhưng vẫn còn nhiều vấn đề lo ngại với môi trường hoạt động của ĐTĐM

Tương đồng với các khảo sát của IDC và một số tổ chức khác, các công ty được phỏng vấn nhận định vấn đề lo ngại lớn nhất với ĐTĐM là an toàn và bảo mật cho hệ thống Mặc dù chưa tìm hiểu kỹ và đánh giá hết về các lợi ích do ĐTĐM mang lại nhưng các nhà quản trị hệ thống, trưởng phòng CNTT, chuyên gia MIS trả lời phỏng vấn đều cho rằng rủi ro sẽ tăng cao khi các thiết bị hệ thống không nằm trong tầm kiểm soát vật lý, thông tin và dữ liệu có thể bị rò rỉ với môi trường có thể có nhiều bên truy cập, chất lượng kết nối và sự hoạt động liên tục hay trách nhiệm khi sự cố phát sinh là những vấn đề chưa được đảm bảo trong ĐTĐM

Mô hình an toàn thông tin với IBM SmartCloud

4.4.1 Vì sao chọn IBM SmartCloud:

Với hệ thống thông tin nội bộ (in-house) các công ty trong khảo sát nắm quyền kiểm soát tài sản, thiết bị và chủ động trong việc hỗ trợ, điều chỉnh, thay thế khi xảy ra sự cố Mức độ nguy cơ, rủi ro vẫn trong tầm kiểm soát của công ty với các chính sách an ninh nội bộ Tuy nhiên, để ứng dụng ĐTĐM, môi trường có nhiều rủi ro và nguy cơ về an toàn thông tin cần đặc biệt chú trọng các thỏa thuận cung cấp dịch vụ SLAs trong hợp đồng và các chính sách an toàn cần thiết phải có, vào hệ thống thông tin hiện tại của các công ty trong khảo sát cần phải có các bước tìm hiểu kỹ mô hình, chính sách, luật kiểm soát mang các chuẩn quốc tế và yếu tố bảo mật để đảm bảo hoạt động công ty được an toàn trên môi trường đám mây

68 ĐTĐM vẫn đang được xây dựng và phát triển, do đó sẽ khó có một mô hình an toàn bảo mật thông tin chung cho tất cả các dạng đám mây cũng như dịch vụ đám mây Chính vì vậy bài luận văn này sử dụng cụ thể giải pháp đám mây của IBM – SmartCloud để đề xuất mô hình an toàn bảo mật thông tin cho loại hình công ty được khảo sát (đây là loại hình doanh nghiệp chiếm tỷ trọng khá lớn tại Việt Nam)

Lý do chọn IBM SmartCloud thay vì các giải pháp đám mây từ các nhà cung cấp khác là vì:

- IBM là công ty có lịch sử lâu năm trên phạm vi toàn cầu về cung cấp các giải pháp cho hoạt động doanh nghiệp, chính phủ Nhờ kinh nghiệm tích lũy và mạng lưới đối tác rộng, IBM đủ điều kiện để đưa ra giải pháp tốt, hoàn thiện cho thị trường ĐTĐM

- Mô hình bảo mật an toàn hệ thống của IBM áp dụng cho các dòng giải pháp, sản phẩm được thiết kế xây dựng kết hợp với các chuẩn quốc tế như ISO, CoBit,… giúp các doanh nghiệp tiếp cận dễ dàng và an toàn khi sử dụng giải pháp

- SmartCloud là giải pháp mới được ra mắt khoảng cuối năm 2011, đúc kết nhiều kinh nghiệm từ các mô hình giải pháp trước đó, đặc biệt hướng tới các tổ chức là doanh nghiệp hoạt động kinh doanh, có chiến lược tiếp cận, mở rộng thị trường cho doanh nghiệp tại Việt Nam

- SmartCloud được IBM xây dựng theo các chuẩn mở đang được phát triển cho ĐTĐM tạo thuận lợi cho người sử dụng có thể linh động trong việc chọn lựa và chuyển đổi dịch vụ phù hợp, không bị phụ thuộc vào nhà cung cấp dịch vụ

4.4.2 Mô hình an toàn bảo mật thông tin cho doanh nghiệp:

Các bước đề xuất cho mô hình an toàn bảo mật thông tin với IBM SmartCloud:

- Xác định nhu cầu: các công ty được khảo sát có nhu cầu lưu trữ, backup, tập trung dữ liệu và từng bước sử dụng ứng dụng văn phòng trên môi trường đám mây Đây là những tính năng cơ bản có thể sử dụng với SmartCloud

- Tìm hiểu và nhận diện các rủi ro và nguy cơ các công ty có thể gặp phải khi ứng dụng ĐTĐM: kết hợp sử dụng mô hình các lớp bảo mật đám mây của Cloud Security Alliance và mô hình quản trị rủi ro của Xuan Zhang, Nattapong Wuwong, Hao Li và Xuejie Zhang[28] được công bố trên IEEE

Theo mô hình trên và với tình hình thực tế của các công ty trong khảo sát, để an toàn khi sử dụng ĐTĐM thì với vai trò người sử dụng cần xem xét các yếu tố rủi ro với 8 thành phần của ĐTĐM:

- Hoạt động của trung tâm dữ liệu

- Quản lý tính liên tục trong kinh doanh

Hình 4.7 Mô hình quản lý rủi ro cho ĐTĐM Nguồn: Xuan Zhang et al., 2010

- Sự tuân thủ và kiểm tra

- Quản lý khóa và mã hóa

- Quản lý định danh và truy cập

- An toàn về nguồn nhân lực

Với các thành phần trên, các công ty cần lên kế hoạch để phân tích, đánh giá các rủi ro, xây dựng các hướng dẫn, đề ra mục tiêu, yêu cầu và các bước để hạn chế rủi ro

- Trong bước phân tích, các công ty cần nhận diện các nguy cơ và điểm yếu có thể xảy ra của việc chuyển dữ liệu lên ĐTĐM (cụ thể là SmarCloud) như vấn đề xâm nhập và truy cập trái phép, tấn công hệ thống, làm gián đoạn kết nối, giả danh người dùng, khai thác lỗ hổng,… Những rủi ro này có thể xảy ra ở trung tâm dữ liệu của SmartCloud, làm gián đoạn kết nối từ tổ chức đến trung tâm dữ liệu, gây sự cố, ảnh hưởng an toàn Lưu ý cần phân tích cả các yếu tố tác động về mặt vật lý như những rủi ro cháy nổ, mất cắp,…

- Để đánh giá các yếu tố rủi ro được phân tích, cần xác định và đặt ra mức quan trọng của từng yếu tố đối với hoạt động kinh doanh của tổ chức Với các công ty đã được khảo sát, đa số đều có ý định sử dụng dịch vụ lưu trữ và tập trung dữ liệu do đó yếu tố quan trọng là cần đảm bảo tính sẵn sàng, tính bí mật và tính toàn vẹn của dữ liệu được lưu trữ với các phương pháp mã hóa dữ liệu (từ tổ chức hay trên SmartCloud), các quy định, thỏa thuận dịch vụ và kiểm soát dịch vụ trên SmartCloud Danh sách các yếu tố rủi ro và biện pháp hạn chế rủi ro được xây dựng dựa trên mức độ quan trọng của các yếu tố được đánh giá

- Với các đánh giá rủi ro cụ thể cho tổ chức và lợi ích mong muốn từ SmartCloud, các công ty có thể lựa chọn giải pháp phù hợp với nhu cầu của tổ chức (vd như dữ liệu được mã hóa trước khi đưa lên SmartCloud hay thực hiện mã hóa ngay

71 trên SmartCloud; sử dụng máy chủ độc lập hay chia sẻ; kết nối mạng riêng ảo;…)

- Các rủi ro cần được theo dõi, xem xét, phân tích, đánh giá thường xuyên, định kỳ nhằm hạn chế và khắc phục các rủi ro phát sinh và đảm bảo hệ thống hoạt động an toàn

Sau khi phân tích và đánh giá rủi ro theo nhu cầu sử dụng, các công ty cần xây dựng kế hoạch triển khai SmartCloud và xây dựng các chính sách, quy định, điều khoản an toàn bảo mật cần thiết theo mô hình bảo mật và hướng dẫn triển khai đám mây của IBM kết hợp với chuẩn ISO 27001 và bảng kiểm soát an toàn bảo mật đám mây (phụ lục 2) của Cloud Security Alliance (CSA) theo mô hình sau:

1 Kế hoạch và chính sách an toàn thông tin

2 Hoạt động của trung tâm dữ liệu

6 Quản lý khóa và mã hóa

8 Sự tuân thủ và kiểm tra

3 Quản lý tính liên tục trong kinh doanh

7 An toàn về nguồn nhân lực

5 Quản lý định danh và truy cập

Kiểm tra các thiết lập an toàn bảo mật

Ngày đăng: 24/09/2024, 14:45

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] M.G. Jaatun, G. Zhao, and C. Rong (Eds.), “Cloud Computing: An Overview,” CloudCom 2009, LNCS 5931, pp. 626–631, 2009 Sách, tạp chí
Tiêu đề: Cloud Computing: An Overview
[2] Michael Manojlovich, “Cloud Computing: Technology Overview,” Penn State University, IST 220 Sec 001, Fall 2009 Sách, tạp chí
Tiêu đề: Cloud Computing: Technology Overview
[3] I. Foster, Y. Zhao, I. Raicu, S. Lu, “Cloud Computing and Grid Computing 360-Degree Compared,” IEEE, 2008 Sách, tạp chí
Tiêu đề: Cloud Computing and Grid Computing 360-Degree Compared
[4] “The NIST Definition of Cloud Computing”, NIST Special Publication 800- 145, September 2011 Sách, tạp chí
Tiêu đề: The NIST Definition of Cloud Computing
[5] Liang-Jie Zhang and Qun Zhou, “CCOA: Cloud Computing Open Architecture,” IEEE, 2009 Sách, tạp chí
Tiêu đề: CCOA: Cloud Computing Open Architecture
[6] Judith Hurwitz, Robin Bloor, Marcia Kaufman, Fern Halper, Cloud Computing for Dummies, Wiley, 2010 Sách, tạp chí
Tiêu đề: Cloud Computing for Dummies
[7] “Introduction to Cloud Computing.” Internet: www.slideshare.net, dsp-ip slides, Dec. 21,2011 Sách, tạp chí
Tiêu đề: Introduction to Cloud Computing
[8] Hassan Takabi, James B.D. Joshi, Gail-Joon Ahn, “Security and Privacy Challenges in Cloud Computing Environments,” IEEE, 2010 Sách, tạp chí
Tiêu đề: Security and Privacy Challenges in Cloud Computing Environments
[9] Lisa J. Sotto, Bridget C. Treacy, Melinda L. McLellan, “Privacy and Data Security Risks in Cloud Computing,” Electronic Commerce & Law Report, 15 ECLR 186, The Bureau of National Affairs, Inc., 2010 Sách, tạp chí
Tiêu đề: Privacy and Data Security Risks in Cloud Computing,” "Electronic Commerce & Law Report, 15 ECLR 186
[10] Stanoevska-Slabeva, Katarina; Wozniak, Thomas; Ristol, Santi. (2009). Grid and Cloud Computing A Business Perspective on Technology and Applications. Springer Berlin Heidelberg, 2009, pp. 59 Sách, tạp chí
Tiêu đề: Grid and Cloud Computing A Business Perspective on Technology and Applications
Tác giả: Stanoevska-Slabeva, Katarina; Wozniak, Thomas; Ristol, Santi
Năm: 2009
[11] “Cloud Computing.” Internet: http://en.wikipedia.org/wiki/Cloud_computing, Dec. 21, 2011 Sách, tạp chí
Tiêu đề: Cloud Computing
[12] Maxwell Cooter. “Cloud and Small Firm – A great match,” The Ultimate Guide To Cloud Computing, ISBN 9781907779831, pp. 38-41, 2011 Sách, tạp chí
Tiêu đề: Cloud and Small Firm – A great match,” "The Ultimate Guide To Cloud Computing
[13] Marc Beishon. “Which way is cloud moving?,” The Ultimate Guide To Cloud Computing, ISBN 9781907779831, pp. 10-13, 2011 Sách, tạp chí
Tiêu đề: Which way is cloud moving?,” "The Ultimate Guide To Cloud Computing
[14] Billy MacInnes. “Suppy Chain – a hotspot for the cloud,” The Ultimate Guide To Cloud Computing, ISBN 9781907779831, pp. 72-75, 2011 Sách, tạp chí
Tiêu đề: Suppy Chain – a hotspot for the cloud,” "The Ultimate Guide To Cloud Computing
[15] Maxwell Cooter. “What is cloud?,” The Ultimate Guide To Cloud Computing, ISBN 9781907779831, pp. 6-9, 2011 Sách, tạp chí
Tiêu đề: What is cloud?,” "The Ultimate Guide To Cloud Computing
[16] Ramgovind S, Eloff MM, Smith E, “The Management of Security in Cloud Computing,” IEEE, 2010 Sách, tạp chí
Tiêu đề: The Management of Security in Cloud Computing
[17] Steven Tomasco. “IBM Unveils Next Generation Smart Cloud Platform for Business.” Internet: http://www- Sách, tạp chí
Tiêu đề: IBM Unveils Next Generation Smart Cloud Platform for Business
[18] Steve Tomasco. “IBM Unveils New Smart Cloud Services to Give Enterprises Control of the Cloud.” Internet: http://www- 03.ibm.com/press/us/en/pressrelease/35593.wss, truy cập lần cuối ngày 06/06/2012 Sách, tạp chí
Tiêu đề: IBM Unveils New Smart Cloud Services to Give Enterprises Control of the Cloud
[19] Steven Tomasco, Kara Yi. “IBM Introduces New Portfolio of Private Cloud Offerings.” Internet: http://www- Sách, tạp chí
Tiêu đề: IBM Introduces New Portfolio of Private Cloud Offerings
[20] “Cloud Computing Architectural Framework.” Internet: https://wiki.cloudsecurityalliance.org/guidance/index.php/Cloud_Computing_Architectural_Framework, truy cập lần cuối ngày 08/06/2012 Sách, tạp chí
Tiêu đề: Cloud Computing Architectural Framework

HÌNH ẢNH LIÊN QUAN

Hình 1.2. Top 10 Strategic Technology Areas for 2011. Nguồn: Gartner - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 1.2. Top 10 Strategic Technology Areas for 2011. Nguồn: Gartner (Trang 17)
Hình 1.1. Hype Cycle for Emerging Technologies, 2011. Nguồn: Gartner - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 1.1. Hype Cycle for Emerging Technologies, 2011. Nguồn: Gartner (Trang 17)
Hình 1.3. Các lý do người dùng sử dụng ĐTĐM. Nguồn: Ponemon, 2011 - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 1.3. Các lý do người dùng sử dụng ĐTĐM. Nguồn: Ponemon, 2011 (Trang 20)
Hình 1.4. Vai trò của an toàn bảo mật ĐTĐM theo người dùng. Nguồn: Intel, 2011 - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 1.4. Vai trò của an toàn bảo mật ĐTĐM theo người dùng. Nguồn: Intel, 2011 (Trang 21)
Hình 3.1. Định nghĩa và khái niệm về ĐTĐM. Nguồn: NIST - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 3.1. Định nghĩa và khái niệm về ĐTĐM. Nguồn: NIST (Trang 29)
Hình 3.2. Khảo sát về các lợi ích của ĐTĐM. Nguồn: IDC, 2009 - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 3.2. Khảo sát về các lợi ích của ĐTĐM. Nguồn: IDC, 2009 (Trang 33)
Bảng 3.1. Một số điểm khác biệt giữa điện toán lưới và ĐTĐM. - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Bảng 3.1. Một số điểm khác biệt giữa điện toán lưới và ĐTĐM (Trang 34)
Hình 3.3. Xu hướng sử dụng dịch vụ ĐTĐM của SMB Nguồn: Cloudpro.co.uk - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 3.3. Xu hướng sử dụng dịch vụ ĐTĐM của SMB Nguồn: Cloudpro.co.uk (Trang 36)
Hình 3.4. Dự báo % chi phí dành cho dịch vụ ĐTĐM Nguồn: IDC, 2010 - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 3.4. Dự báo % chi phí dành cho dịch vụ ĐTĐM Nguồn: IDC, 2010 (Trang 36)
Hình 3.5. Minh họa về sự ảo hóa Nguồn: IBM, 2011 - Luận văn thạc sĩ Hệ thống thông tin quản lý: An toàn bảo mật thông tin điện toán đám mây với IBM Smartcloud
Hình 3.5. Minh họa về sự ảo hóa Nguồn: IBM, 2011 (Trang 37)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w