Cloud Computing - Điện Toán Đám Mây Và Vấn Đề An Toàn Bảo Mật Trong Điện Toán Đám Mây.pdf

PaaS Nền tng như dịch v: Một cơ chế kết hợp IaaS v“i một tập hợp trung gian trừu tượng về dịch v middleware, pht triển ph”n mềm và cc công c triển khai cho ph•p tổ chức có một cch

TRƯNG ĐI HC SI GN

TIU LUÂN HC PH N HÊ ĐI"U HNH

ĐIÊN TO$N Đ$M MÂY V V&N Đ" AN TON, B(O

MÂT TRONG ĐIÊN TO$N Đ$M MÂY.

NGNH: CÔNG NGHÊ THÔNG TIN.

Sinh viên thc hiê n: Lê Ngc Hiê p Ging viên ph trch: Phan T!n Qu$c

Th+nh ph H/ Ch0 Minh, năm 2023.

TRƯNG ĐI HC SI GN

TIU LUÂN HC PH N HÊ ĐI"U HNH

ĐIÊN TO$N Đ$M MÂY V V&N Đ" AN TON, B(O

MÂT TRONG ĐIÊN TO$N Đ$M MÂY.

NGNH: CÔNG NGHÊ THÔNG TIN.

Sinh viên thc hiê n: Lê Ngc Hiê p Ging viên ph trch: Phan T!n Qu$c

Th+nh ph H/ Ch0 Minh, năm 2023.

LI CAM ĐOAN

Tôi, người viết tiểu luận, xin cam đoan rằng những thông tin và quan điểm được trình bày trong bài viết là hoàn toàn da trên nghiên cứu chính xc

và đng tin cậy Mi ý kiến và khẳng định đều được hỗ trợ bằng cc tài liệu tham kho có nguồn g$c rõ ràng, từ cc nguồn uy tín và đã được kiểm chứng Trong qu trình viết tiểu luận này, tôi đã c$ gắng tìm hiểu sâu sắc và chi tiết về cc khía cạnh quan trng của điện ton đm mây, từ kh năng linh hoạt đến hiệu su!t và an toàn thông tin Mi thông tin th$ng kê và s$ liệu đã được kiểm tra và đm bo độ chính xc và tính khch quan

Tôi cũng cam đoan rằng ngoại trừ cc nguồn thông tin được trích dẫn rõ ràng, mi sng tạo và quan điểm c nhân đều được diễn đạt một cch minh bạch

và không bị chệch lệch Tiểu luâ n này không mang tính ch!t lập luận độc đo,

mà là kết qu của s tổng hợp và phân tích khch quan từ nhiều nguồn đng tin cậy

Tp H Ch Minh, thng 10 năm 2023

Tc gi đề tài

Lê Ngoc Hiê p

DANH M7C K9 HIÊU V CH: VI;T T<T

ST

T

KU TV VIXT TYT CHZ VIXT Đ\Y Đ^

2 API Application Progaming Interface

4 DDos Distributed Denial of Service

5 DoS Denial-of-Service

6 EC2 Elastic Compute Cloud

9 IaaS Infrastructure as a Service

10 IP Internet protocol

11 IT Information Technology

13 RBAC Role-Based access conterol

15 SMS Short Message Services

16 SSL Secure Socket Player

17 VM Virtual machine

19 XML Extensible Markup Language

DANH M7C C$C B(NG

DANH M7C C$C H=NH V>

Hình 1 1 S pht triển của điê n ton đm mây [2] 7

Hình 1 2 Cc mô hình dịch v của điê n ton đm mây [3] 9

Hình 1 3 Cc mô hình triển khai của điê n ton đm mây [4] 10

Hình 2 1 Sơ đồ về bo mâ t của điê n ton đm mây [7] 27

M7C L7C

LzI CAM ĐOAN i

DANH M{C KU HIÊU V CHZ VIXT TYT ii

DANH M{C C}C B~NG iii

DANH M{C C}C H•NH V€ iv

M{C L{C i

LzI N•I Đ\U 1

1.LU DO CH‚N Đƒ TI 1

2.L„CH S… RA ĐzI 1

3.M{C ІCH NGHIÊN C‡U ĐIÊN TO}N Đ}M MÂY 2

4.NHZNG NHIÊM V{ KHI NGHIÊN C‡U ĐIÊN TO}N Đ}M M‰Y 2

5.ĐŠI TƯŒNG V PHAM VI C^A NGHIÊN C‡U 3

6.PHƯƠNG PH}P NGHIÊN C‡U 3

7.U NGHŽA C^A NGHIÊN C‡U 3

NÔI D{NG BI NGHIÊN C‡U 4

CHƯƠNG 1.GI•I THIÊU Vƒ ĐIÊN TO}N Đ}M MÂY 4

1.1.KH}I NIÊM CƠ B~N 4

1.1.1.Lịch s• pht triển của điê n ton đm mây 5

1.2.MÔ H•NH D„CH V{ C^A ĐIÊN TO}N Đ}M MÂY 6

1.3 C}C MÔ H•NH TRI‘N KHAI C^A ĐIÊN TO}N Đ}M MÂY 8

1.4 LŒI †CH C^A ĐIÊN TO}N Đ}M MÂY 9

1.5 R^I RO KHI S… D{NG ĐIÊN TO}N Đ}M MÂY 12

1.6 T•M TYT CHƯƠNG 1 15

CHƯƠNG 2 C}C MŠI ĐE D‚A V V‰N Đƒ B~O MÂT 16

2.1 T’NG QUAN C}C V‰N Đƒ B~O MÂT V MŠI ĐE D‚A 16

2.2 C}C V‰N Đƒ Vƒ B~O MÂT 16

2.2.1.Sao lưu và lưu trữ 16

2.2.2.Chiếm đoạt dịch v 16

2.2.3.T!n công bằng my chủ o 17

2.2.4.Những thch thức bo mâ t của mô hình triển khai 17

2.2.4.1.Cc v!n đề bo mâ t trong PaaS 17

2.2.4.2.M$i quan hê  v“i bên thứ ba 17

2.2.4.3.Bo mâ t hạ t”ng cơ bn 18

2.2.5.Xc thc và qun lí danh tính 18

2.2.6.V!n đề mạng 18

2.2.7.Bo mâ t trình duyê t 18

2.2.8.Cuôc t!n công tràn 19

2.2.9.Rủi ro của nền tng o hóa 19

2.2.9.1.Nền tng o hóa tri ph•p 19

2.2.9.2.S•a đổi từ bên ngoài 20

2.2.9.3.My chủ o thot 20

2.2.10.M!t quyền qun lí 20

2.2.11.S b!t c–n của khch hàng 21

2.2.12.Gian lâ n thanh ton 21

2.2.13.Ghi nhâ t và gim st 21

2.2.14.Lỗi hoă c bị ngừng dịch v đm mây 21

2.2.15.Khóa chă t 22

2.2.16.Cc v!n đề tuân thủ 22

2.3.C}C MŠI ĐE D‚A 22

2.3.1.Chiếm đoạt thông tin đăng nhâ p và v!n đề về xc thc 23

2.3.2.R— r˜ dữ liê u 23

2.3.3.Giao diê n và API bị t!n công 23

2.3.4.Lợi dng cc lỗ hổng hê  th$ng 24

2.3.5.Chiếm đoạt tài khon 24

2.3.6.M!t dữ liê u v™nh viễn 24

2.3.7.Thiếu s c–n thâ n 24

2.3.8.Lạm dng dịch v đm mây 25

2.3.9.T!n công từ ch$i dịch v(DoS) 25

2.3.10.Truy câ p không được ph•p 26

2.3.11.Mât mã không an toàn 26

2.3.12.Cc ph”n mềm đô c hại 26

2.3.13.Từ ch$i dịch v kinh tế 27

2.3.14.X• lí dữ liê  u 27

2.3.15.Thay đổi qun trị và quyền sœ hữu 27

2.3.16.Bị từ ch$i dịch v 28

2.3.17.M$i đe da từ nhà cung c!p 28

2.3.18.An toàn trình duyê t 28

2.3.19.Gói ch•m ph”n chữ kí XML 28

2.3.20.Tiết lô  ứng dng dịch v 29

2.3.21.Bị tiết lô  hoă c m!t mã khóa 29

2.3.22.Ph”n mềm đô c hại 29

2.3.23.Nhân viên của Nhà cung c!p đm mây 29

2.3.24.Xâm phạm nhâ t kí hoạt đô ng 29

2.4.BIÊN PH}P AN TON V B~O MÂT 30

2.4.1.Bo mâ t mâ t kh–u 30

2.4.2.Bât xc thc 2 yếu t$ 30

2.4.3.Trnh dữ liê u quan trng 31

2.4.5.Mã hóa dữ liê u 31

2.4.6.Dịch v lưu trữ được mã hóa 31

2.4.7.Qun lí tâ p tin chă t ch• 31

2.4.8.Sao lưu dữ liê u 32

2.4.9.Qun lí thiết bị truy câ p 32

2.4.10.Kiểm sot và gim st thường xuyên 33

2.4.11.Hợp tc cžng v“i cc chuyên gia 34

2.5.T•M TYT CHƯƠNG 2 34

CHƯƠNG 3 TH}CH TH‡C V TIƒM NĂNG C^A ĐIÊN TO}N Đ}M MÂY 34

3.1 NHZNG TH}CH TH‡C PH~I ĐŠI DIÊN 35

3.1.1 Bo mâ t thông tin và quyền riêng tư 35

3.1.2 Môi trường nhiều đm mây 36

3.1.3 Thch thức về hiê u su!t 36

3.1.3.1 Đô  trễ mạng 37

3.1.3.2 Thời gian ngừng hoạt đô ng 37

3.1.3.3 M!t dữ liê u 38

3.1.3.4 Kh năng tương tc của ứng dng 38

3.1.3.5 V!n đề qun lí 39

3.1.4 Kh năng tương thích và linh hoạt 39

3.1.5 S ph thuô c vào mạng Internet 40

3.1.6 Thiếu kiến thức chuyên môn 41

3.1.7 Đô  tin cây và s n có 41

3.1.8 Bo mâ t mâ t kh–u 42

3.1.9 Qun lí chi phí 42

3.1.10 Kiểm sot và qun trị 43

3.1.11 Qun lí nhiều đm mây 44

3.1.12 Di chuyển dữ liê u 45

3.1.13 Đô  phức tạp của đm mây lai 46

3.2.TIƒM NĂNG PH}T TRI‘N TRONG TƯƠNG LAI 47

3.2.1.L™nh vc kinh doanh 47

3.2.2 L™nh vc gio dc 48

3.2.3.Trí tuê  nhân tạo và phân tích dữ liê u 49

3.3.U ngh™a của viê c pht triển toàn diê n điê n ton đm mây 49

3.4.T•M TYT CHƯƠNG 3 50

KXT LUÂN V U KIÊN C} NHÂN 51

TI LIÊU THAM KH~O 52

LI N?I Đ U1.L9 DO CHN Đ" TI

V“i thời đại chuyển đổi s$ ngày nay, cc doanh nghiê p, công ty đang d”n chuyển mình mạnh m• để d”n thích nghi v“i cc công nghê  m“i Điê n ton đm mây đang là xu hư“ng t!t yếu, cc doanh nghiê p và tổ chức đang ngày càng chuyển đổi sang s• dng điê n ton đm mây để nâng cao hiêu qu

và chi phí Điê n ton đm mây đang là công nghê  m“i đang dược pht triển

và ứng dng trong nhiều ngành nghề, l™nh vc như kinh doanh, y tế, gio dc,nghiên cứu

Điên ton đm mây có tc đô ng tích cc đến xã hô i, gi¡p mœ rô ng kh năng tiếp câ n v“i công nghê  thông tin truyền thông cho mi người Điê n ton đm mây cũng góp ph”n th¡c đ–y pht triển kinh tế xã hô i

V“i những lí do trên, viê c nghiên cứu về điê n ton đm mây được coi

là v!n đề c!p thiết, c”n được th¡c đ–y nghiên cứu và đ”u tư Viê c nghiên cứu

và pht triển điê n ton đm mây s• góp ph”n th¡c đ–y và pht triển công nghê thông tin, truyền thông, cũng đồng thời th¡c đ–y kinh tế xã hô i đi lên

2.LACH SB RA ĐI

Lịch s• ra đời của điê n ton đm mây có thể được bắt nguồn từ những năm 1960 , khi cc nhà khoa hc bắt đ”u nghiên cứu về mô hình my tính phân tn Năm 1960, John McCarthy đã đưa ra ý tưœng về “ My tính tiê n ích

“, trong đó my tính s• được cung c!p như mô t dịch v gi$ng như điê n hoă c nư“c

Trong những năm 1970 và 1980, đã có nhiều d n để pht triển mô hình my tính phân tn được thc hiê n và ARPANET là mô t trong những d

n nổi tiếng nh!t ARPANET được pht triển bœi ARPA ( Cơ quan ch˜ đạo cc D n Nghiên cứu Tiên tiến ) của L”u năm góc Hoa K¤

Vào những năm thâ p niên 90 của thế k˜ trư“c, cc công nghê  m“i như Internet và World Wide Web đã tạo ra s thuâ n lợi cho s pht triển của điê n ton đm mây Năm 1994, mô t bài bo trên tạp chí Wired đã s• dng thuâ t ngữ “ Đm mây “ để mô t cc dịch v my tính được cung c!p qua Internet.Năm 1990, Salesforce.com đã cho ra mắt Salesforce, mô t nền tng ph”n mềm dịch v (SaaS) cho ph•p cc doanh nghiê p qun lý khch hàng của

h trên đm mây Salesforce là mô t trong những công ty tiên phong trong l™nhvc điê n ton đm mây.

Năm 2000, Amazon Web Service (AWS) được ra mắt, cung c!p mô t loạt cc dịch v điê n ton đm mây, bao gồm my chủ o, lưu trữ mạng,… AWS đã trœ thành mô t trong những dịch v điê n ton đm mây hàng đ”u trên thế gi“i

Và từ năm 2000 – nay là giai đoạn bžng nổ của điê n ton đm mây, ccdoanh nghiê p và tổ chức bắt đ”u chuyển đổi s• dng điê n ton đm mây để năng cao hiê u qu hoạt đô ng và gim chi phí Điê n ton đm mây trœ thành

xu hư“ng công nghê  hiê n đại Cc doanh nghiê p và tổ chức khắp nơi trên thế gi“i đang s• dng điê n ton đm mây để phc v cho nhiều mc đích khc nhau

3.M7C ĐCH NGHIÊN CCU ĐIÊN TO$N Đ$M MÂY

V“i những lợi ích của điê n ton đm mây mang lại thì mc đích của đề tài này là tìm hiểu cc kiến thức cơ bn về công nghê  này, bao gồm cc mô hình điê n ton đm mây, cc dịch v điê n ton đm mây, và cc ứng dng củacông nghê  này Nghiên cứu về mô t khía cạnh c thể của điê n ton đm mây, chẳng hă n như bo mâ t, hiê u năng, kh năng mœ rô ng

Pht triển cc gii php và ứng dng m“i da trên điê n ton đm mây Nghiên cứu cc v!n đề thc tiễn trong l™nh vc điê n ton đm mây, ch ng hạnnhư tính bền vững và kh dng

Đưa ra cc dẫn chứng c thể, qua đó đề xu!t cc gii php m“i cho những v!n đề điê n ton đm mây

4.NH:NG NHIÊM V7 KHI NGHIÊN CCU ĐIÊN TO$N Đ$M M&Y

Nghiên cứu về điê n ton đm c”n đm bo cc nhiê m v sau đây: 1.Nêu ra cc mô hình hiê n có của điê n ton đm mây

2.Đưa ra cc dịch v của điê n ton đm mây

3.Trình bày những ứng dng trong cuô c s$ng

4.Những lợi ích mà điê n ton đm mây mang lại

5.ĐI TƯFNG V PHAM VI CA NGHIÊN CCU.

V“i điê n ton đm mây, đ$i tượng nghiên cứu bao gồm r!t nhiều khía cạnh bao gồm:

Mô hình dịch v

Kiến tr¡c và cơ sœ hạ t”ng

Những ứng dng

Tính bo mâ t

Cc công nghê  m“i

Do là l™nh vc điê n ton đm mây có phạm vi r!t l“n nên ch˜ tìm hiểu

về cc l™nh vc quan trng:

Khoa hc my tính

K§ thuâ t điê n t•

6.PHƯƠNG PH$P NGHIÊN CCU

Phương php nghiên cứu điê n ton đm mây là k™ thuâ t và quy trình được s• dng để thu thâ p , phân tích , và trình bày dữ liê u về điê n ton đm mây

Trong qu trình nghiên cứu tôi đã džng những phương php sau: Phương php phân tích dữ liê u

Phương php thu thâ p dữ liê u

Phương php nghiên cứu trường hợp

7.9 NGHJA CA NGHIÊN CCU

U ngh™a của viê c nghiên cứu về điê n ton đm mây có 3 ý chính sau đây:

Thứ nh!t, gi¡p người đc hiểu rõ hơn về cc định ngh™a cơ bn, những v!n đề liên quan về điê n ton đm mây

Thứ hai, phân tích và đưa ra cc đnh gia của bn thân liên quan về v!n

đề điê n ton đm mây

Thứ ba, đề ra cc gii php và góp ý phž hợp về điê n ton đm mây

NÔI D7NG BI NGHIÊN CCU

CHƯƠNG 1.GILI THIÊU V" ĐIÊN TO$N Đ$M MÂY 1.1.KH$I NIÊM CƠ B(N.

Điên ton đm mây là mô t công nghê  cung c!p mô t tổ hợp cc dịch v chia s¨ tài nguyên my tính bao gồm ứng dng, my tính, nền tng lưu trữ, mạng, pht triển, và triển khai như cc quy trình hoạt đô ng của mô t doanh nghiêp Điê n ton đm m!y biến cc tài sn điê n ton truyền th$ng thành cc nhóm tài nguyên được chia s¨ da trên nền tng mạng Internet cơ bn.Đm mây có nhiều phiên bn khc nhau, tžy thuô c vào nhu c”u của mỗi doanh nghiê p Có 2 mô hình chính của điê n ton đm mây là : riêng tư vàcông cô ng Nhiều tổ chức s• dng kết hợp c riêng tư và công cô ng của tài nguyên điê n ton (trung tâm dữ liê u và đm mây riêng tư) và dịch v công như môi trường công nghê  thông tin kết hợp giữa điê n ton đm mây và điê n ton tại chỗ

Đm mây không tồn tại đô c lâ p v“i cc khon đ”u tư công nghê  thông tin và cc doanh nghiê p khc Trong thc tế, có r!t nhiều công ty đ”u tư s• dng kết hợp c dịch v đm mây công cô ng và riêng tư để liên kết v“i trung tâm dữ liê u của h Cc công ty džng r!t nhiều phương php khc nhau, tžy vào mc đích và yêu c”u của doanh nghiê p để liên kết và tích hợp vào cc dịch v Cc cc doanh nghiê p xây dng môi trường điê n ton của riêng h được xc định bœi đô  phức tạp của kh$i lượng công viê c và cch doanh nghiêp mu$n t$i ưu hiê u su!t của cc kh$i lượng công viê c đó để hỗ trợ cc thành ph”n của mình

Điên ton đm mây là mô t gii php cung c!p công nghê  thông tin bằng điê n ton da vào Internet, cung c!p tài nguyên my tính ( my chủ, mạng, lưu trữ ) và cc dịch v khc như ph”n mềm, ứng dng, cơ s© dữ liê u Công nghê  này gi¡p doanh nghiê p, tổ chức s• dng tài nguyên dịch v qua Internet mà không c”n phi đ”u tư qu nhiều vào cơ sœ hạ t”ng lẫn nhân lc.Theo định ngh™a của Viê n Qu$c gia Tiêu chu–n và Công nghê  Hoa k¤ (

US NIST ), điê n ton đm mây là mô hình cho ph•p truy câ p cc tài nguyên được chia s¨ ( hê  th$ng mạng, thiết bị lưu trữ, my chủ và ứng dng ) mô t cch thuâ n tiê n và theo nhu c”u s• dng Những tài nguyên này có thể được cung c!p mô t cch nhanh chóng hoă c thu hồi v“i chi phí qun lý t$i thiểu hoăc tương tc t$i thiểu v“i nhà cung c!p dịch v

1.1.1.LMch sP phQt triTn cUa điê  n toQn đQm mây.

S hình thành và pht triển của điê n ton đm mây không phi m“i ngày mô t ngày hai, mà đã phi tri qua nhiều giai đoàn pht triển khc nhau Bắt đ”u từ kỷ nguyên my tính mainframe (mainframe computing), nơi cc hệth$ng mainframe l“n và mạnh m• hỗ trợ nhiều người džng kết n$i thông qua thiết bị đ”u cu$i (terminal) và chạy cc ứng dng qun lý dữ liệu Có năm giaiđoạn trung gian từ mainframe computing đến việc s• dng cc my tính độc lập c nhân chạy cc ứng dng my tính để bàn, dẫn đến điện ton c nhân (personal computing) Tiếp theo là s xu!t hiện của cc my tính được kết n$iv“i nhau, tạo thành điện ton mạng (networking computing) Giai đoạn này chứng kiến s pht triển của cc mạng cc bộ được kết n$i v“i cc mạng khc, tạo ra một mạng được kết n$i toàn c”u như Internet để s• dng cc ứng dng và tài nguyên từ xa Cc my tính được kết n$i mạng thường hoạt động theo cch t động (autonomic) dẫn đến điện ton t động (autonomic computing) hoặc theo kiến tr¡c my khch-my chủ (client-server) dẫn đến điện ton my khch-my chủ (client-server computing) Hình dư“i đây liệt

kê s pht triển của điện ton đm mây Việc pht triển điện ton lư“i (grid computing) tiếp theo sau đó là s pht triển của điện ton đm mây, được đặc trưng bœi:

Điện ton lư“i cho ph•p chia s¨ sức mạnh và tài nguyên tính tontri rộng trên nhiều miền địa lý

Điện ton đm mây là giai đoạn g”n đây nh!t, nơi cc ứng dng điện ton da trên dịch v và thị trường là chủ yếu [1]

Hnh 1 1 S pht trin ca điê !n ton đm mây [2]

1.2.MÔ H=NH DACH V7 CA ĐIÊN TO$N Đ$M MÂY.

Hiên nay, có r!t nhiều nhà cung c!p dịch v điê n ton đm mây nh¬ và l“n, điển hình là:

Amazon Web Service (AWS):

AWS là nhà cung c!p điê n ton đm mây l“n nh!t thế gi“i hiê n nay AWS cung c!p mô t loại cc dịch v điê n ton đm mây như IaaS, PaaS và SaaS

Microsoft Azure:

Azure là nhà cung c!p điê n ton đm mây l“n thứ hai trên thế gi“i Azure là nền tng đm mây có t$c đô  hoạt đô ng r!t nhanh, đô  linh hoạt cao và gi c phi chăng

Goolge Cloud Platform (GCP) :

GCP là nhà cung c!p điê n ton đm mây lơn thứ ba trên thế gi“i,được cung c!p bœi Goolge Cc dịch v của GCP bao gồm IOT, Cloud Machine Learning Engine, Goolge Cloud, …

Oracle Cloud Infrastructure (OCI) :

là mô t nền tng điê n ton đm mây được thiết kế gi¡p doanh nghiêp x• lý cc tc v điê n ton linh hoạt mà cc my chủ vâ t lý khó l—ng đp ứng được Tương t AWS, Azure, GCP, OCI có đ”y đủ cc dịch v như SaaS, PaaS, Iaas

Qua đó ta cžng tìm hiểu cc mô hình dịch v mà cc nhà cung c!p nay đang pht triển:

IaaS (Hạ t”ng như dịch v):

Dịch v này cung c!p cc yếu t$ như ph”n cứng, ph”n mềm, lưu trữ, mạng, không gian trung tâm dữ liệu và cc thành ph”n ph”n mềm tiện ích khc theo yêu c”u Có c phiên bn công cộng và riêng tư của IaaS

Trong IaaS công cộng, người džng c”n một cơ chế đăng ký đơn gin để có thể s• dng tài nguyên Khi h không c—n c”n tài nguyên, hch˜ c”n hủy b¬ ch¡ng Trong IaaS riêng tư, tổ chức công nghệ thông tinhoặc một người kết hợp tạo ra một cơ sœ hạ t”ng được thiết kế để cung c!p tài nguyên theo yêu c”u cho người džng nội bộ và đôi khi c đ$i tc IaaS là yếu t$ cơ bn được s• dng bœi cc mô hình đm mây khc.Một s$ khch hàng mang theo cc công c và ph”n mềm riêng để tạo ứng dng của h Nền tng dư“i dạng dịch v (PaaS – Platform as a Service): Nhà cung c!p dịch v cung c!p một nền tng (hệ điều hành, ph”n mềm và cơ sœ dữ liệu) cho khch hàng Khch hàng có thể t phttriển và triển khai ứng dng trên nền tng này

PaaS (Nền tng như dịch v):

Một cơ chế kết hợp IaaS v“i một tập hợp trung gian trừu tượng

về dịch v middleware, pht triển ph”n mềm và cc công c triển khai cho ph•p tổ chức có một cch th$ng nh!t để tạo và triển khai ứng dng trên môi trường đm mây hoặc trong môi trường trên cơ sœ Môi trườngPaaS hỗ trợ việc ph$i hợp giữa nhóm pht triển và tổ chức vận hành, thường được gi là DevOps PaaS cung c!p một tập hợp đồng nh!t về dịch v lập trình và middleware đm bo rằng cc nhà pht triển có mộtcch tạo ứng dng trong môi trường đm mây đã được kiểm tra và tích hợp Một dịch v hạ t”ng được yêu c”u cho PaaS

SaaS (Ph”n mềm như dịch v):

Một ứng dng kinh doanh được tạo và lưu trữ bœi một nhà cung c!p trong một mô hình đa người džng (chia s¨) ‡ng dng SaaS đặt trên c một PaaS và hạ t”ng cơ bn IaaS Trên thc tế, một môi trường SaaS có thể được xây dng trc tiếp trên nền tng IaaS Thông thường, những dịch v cơ bn này không thể nhìn th!y được đ$i v“i người džngcu$i của ứng dng SaaS [2]

Hnh 1 2 Cc mô hnh d)ch v+ ca điê !n ton đm mây [3]

1.3 C$C MÔ H=NH TRIN KHAI CA ĐIÊN TO$N Đ$M MÂY

Đm mây riêng (private cloud) :

Trong mô hình triển khai đm mây riêng, cơ sœ hạ t”ng đm mâyđược vận hành để s• dng độc quyền cho một tổ chức duy nh!t Cc dịch v đm mây riêng được dành riêng cho một tổ chức duy nh!t Cơ

sœ hạ t”ng đm mây có thể được thiết lập tại chỗ hoặc ngoài cơ sœ và cóthể được qun lý nội bộ hoặc bœi bên thứ ba Đm mây riêng phž hợp nh!t cho cc ứng dng có độ bo mật cao và cc tổ chức mu$n có quyền kiểm sot chặt ch• đ$i v“i dữ liệu của h

Đm mây công cộng (public cloud):

Trong mô hình triển khai đm mây công cộng, cc dịch v đm mây có s n cho công ch¡ng hoặc một nhóm l“n cc công ty Cc tài nguyên đm mây được chia s¨ giữa cc người džng khc nhau (c nhân, tổ chức l“n, doanh nghiệp vừa và nh¬ và chính phủ) Cc dịch vđm mây được cung c!p bœi nhà cung c!p dịch v đm mây bên thứ ba.Đm mây công cộng phž hợp nh!t cho những người džng mu$n s• dng cơ sœ hạ t”ng đm mây để pht triển và th• nghiệm ứng dng và lưu trữ ứng dng trên đm mây để phc v kh$i lượng công việc l“n

mà không c”n đ”u tư ban đ”u vào cơ sœ hạ t”ng IT

Đm mây lai (hybrid cloud):

Mô hình triển khai đm mây lai kết hợp cc dịch v của nhiều đm mây (riêng tư hoặc công cộng) Cc đm mây riêng l¨ vẫn giữ được bn sắc độc đo của mình nhưng được ràng buộc bœi công nghệ chu–n hóa hoặc độc quyền cho ph•p di động dữ liệu và ứng dng Đm mây lai phž hợp nh!t cho cc tổ chức mu$n tận dng lợi thế của việc lưu trữ ứng dng và dữ liệu bo mật trên đm mây riêng, đồng thời hưœng lợi từ việc tiết kiệm chi phí bằng cch lưu trữ cc ứng dng và

dữ liệu được chia s¨ trên đm mây công cộng

Đm mây cộng đồng (community cloud):

Trong mô hình triển khai đm mây cộng đồng, cc dịch v đm mây được chia s¨ bœi một s$ tổ chức có cžng chính sch và yêu c”u tuân thủ Đm mây cộng đồng phž hợp nh!t cho cc tổ chức mu$n truy cập vào cžng một ứng dng và dữ liệu, và mu$n chi phí đm mây được chia s¨ v“i nhóm l“n hơn [4]

Hnh 1 3 Cc mô hnh trin khai ca điê !n ton đm mây [4]

1.4 LFI CH CA ĐIÊN TO$N Đ$M MÂY.

Điên ton đm mây là mô t công nghê  cho ph•p người džng truy câ p và s• dng cc dịch v, ứng dng, dữ liê u và tài nguyên thông qua Internet, thay

vì phi cài đă t và duy trì ch¡ng trên my tính c nhân thì hoă c my chủ nô i bô Điê n ton đm mây có r!t nhiều lợi ích và s tiê n dng cho cc c nhân, doanh nghiê p bao gồm:

Thời gian nhanh hơn đến thị trường:

Bạn có thể tạo ra cc phiên bn m“i hoặc ngừng s• dng ch¡ng trong vài giây, cho ph•p cc nhà pht triển tăng t$c qu trình pht triển thông qua triển khai nhanh chóng Công nghệ đm mây hỗ trợ s đổi m“i bằng cch làm cho việc th• nghiệm ý tưœng m“i và thiết kế ứng dng m“i trœ nên dễ dàng mà không bị gi“i hạn bœi cc hạn chế về ph”n cứng hoặc cc quy trình mua sắm chậm trễ

Kh năng mœ rộng và linh hoạt:

Công nghệ đm mây mang lại s linh hoạt l“n hơn cho doanh nghiệp của bạn Bạn có thể nhanh chóng mœ rộng tài nguyên và lưu trữ

để đp ứng nhu c”u kinh doanh mà không c”n đ”u tư vào cơ sœ hạ t”ng vật lý Cc công ty không c”n tr tiền hoặc xây dng cơ sœ hạ t”ng c”n thiết để hỗ trợ mức ti cao nh!t của h Tương t, h có thể nhanh chóng thu nh¬ nếu cc tài nguyên không được s• dng

Tiết kiệm chi phí:

Dž bạn chn mô hình dịch v đm mây nào, bạn ch˜ tr tiền cho cc tài nguyên mà bạn thc s s• dng Điều này gi¡p bạn trnh việc

xây dng qu mức và cung c!p qu mức trung tâm dữ liệu của bạn và tr lại thời gian quý bu của đội ngũ công nghệ thông tin để tập trung vào công việc chiến lược hơn.

Tính hợp tc:

Nếu doanh nghiệp của bạn có ít nh!t hai nhân viên trœ lên, thì việc th¡c đ–y hợp tc nên được xem x•t là một ưu tiên hàng đ”u Cu$i cžng, việc có một đội ngũ không có kh năng làm việc cžng nhau như một đội là vô ngh™a Công nghệ đm mây gi¡p việc hợp tc trœ thành một quy trình đơn gin Cc thành viên trong nhóm có thể dễ dàng và

an toàn xem và chia s¨ thông tin qua một nền tng da trên đm mây Một s$ dịch v da trên đm mây thậm chí cung c!p không gian xã hội

để kết n$i nhân viên trong toàn bộ tổ chức của bạn, từ đó tạo ra s quantâm và tương tc cao hơn T!t nhiên, hợp tc có thể tồn tại mà không c”n gii php my tính đm mây, nhưng nó s• không bao giờ dễ dàng

và hiệu qu như khi s• dng đm mây

Bo mật nâng cao:

B!t ch!p những quan điểm phổ biến, công nghệ đm mây thc tế

có thể làm tăng cường tình hình bo mật của bạn nhờ vào s sâu rộng

và rộng l“n của cc tính năng bo mật, bo dư©ng t động và qun lý tập trung Cc nhà cung c!p đm mây đng tin cậy cũng thuê cc chuyên gia bo mật hàng đ”u và s• dng cc gii php tiên tiến nh!t, mang lại s bo vệ mạnh m• hơn

Ph—ng ch$ng m!t dữ liệu:

Cc nhà cung c!p dịch v đm mây cung c!p tính năng sao lưu

và phc hồi sau thm ha Việc lưu trữ dữ liệu trong đm mây thay vì trên thiết bị cc bộ có thể gi¡p ngăn ngừa m!t dữ liệu trong trường hợp kh–n c!p, chẳng hạn như lỗi ph”n cứng, cc m$i đe da độc hại, hoặc thậm chí lỗi người džng đơn gin

Tính linh hoạt:

Doanh nghiệp của bạn ch˜ có một lượng tập trung hữu hạn để chia giữa t!t c cc trch nhiệm của nó Nếu cc gii php CNTT hiện tại của bạn buộc bạn phi dành qu nhiều s ch¡ ý cho v!n đề my tính

và lưu trữ dữ liệu, thì bạn s• không thể tập trung vào việc đạt được cc mc tiêu kinh doanh và làm hài l—ng khch hàng Ngược lại, bằng cch da vào một tổ chức bên ngoài để qun lý t!t c việc lưu trữ và cơ sœ

hạ t”ng CNTT, bạn s• có nhiều thời gian hơn để tập trung vào cc khía cạnh của doanh nghiệp của bạn nh hưœng trc tiếp đến lợi nhuận của bạn Đm mây cung c!p cho doanh nghiệp tính linh hoạt hơn so v“i việc lưu trữ trên my chủ cc bộ Nếu bạn c”n thêm băng thông, dịch v da trên đm mây có thể đp ứng nhu c”u đó ngay lập tức, thay vì phi tri qua một qu trình cập nhật phức tạp (và đắt tiền) cho cơ sœ hạ t”ng CNTT của bạn S t do và tính linh hoạt ci thiện này có thể tạo

ra s khc biệt đng kể đ$i v“i hiệu su!t tổng thể của tổ chức của bạn Một s$ người tham gia kho st của InformationWeek, chiếm 65% tỷ lệ

đa s$, nói rằng "kh năng đp ứng nhanh chóng cc yêu c”u kinh doanh" là một trong những lý do quan trng nh!t mà một doanh nghiệp nên chuyển đến môi trường đm mây

Tính di đô ng:

Công nghệ đm mây cho ph•p truy cập dữ liệu doanh nghiệp thông qua điện thoại thông minh và cc thiết bị di động V“i hơn 2,6 tỷ điện thoại thông minh được s• dng trên toàn c”u hiện nay, đây là một cch tuyệt vời để đm bo rằng không ai bị b¬ lại phía sau Những nhânviên có lịch trình bận rộn hoặc s$ng œ xa văn ph—ng công ty có thể s• dng tính năng này để luôn cập nhật thông tin v“i khch hàng và đồng nghiệp một cch nhanh chóng

Thiết lập hệ th$ng đm mây cung c!p thông tin dễ dàng truy cập cho nhân viên kinh doanh đang công tc, những nhân viên làm việc t

do hoặc làm việc từ xa, gi¡p h duy trì s cân bằng giữa công việc và cuộc s$ng c nhân t$t hơn Chính vì vậy, không có gì ngạc nhiên khi th!y rằng cc tổ chức coi trng s hài l—ng của nhân viên và ưu tiên điều đó thường có kh năng mœ rộng việc s• dng đm mây lên đến 24%

Kiểm sot ch!t lượng:

Có r!t ít điều gây hại đến s thành công của một doanh nghiệp như ch!tlượng k•m và bo co không đồng nh!t Trong hệ th$ng da trên đm mây, t!t c tài liệu được lưu trữ tại một nơi và trong định dạng duy nh!t V“i mi người truy cập vào cžng một thông tin, bạn có thể duy trìtính nh!t qun trong dữ liệu, trnh sai sót con người và có một hồ sơ rõ ràng về b!t k¤ s•a đổi hoặc cập nhật nào Ngược lại, việc qun lý thôngtin theo từng ph—ng làm việc có thể dẫn đến việc nhân viên vô tình lưu trữ cc phiên bn khc nhau của tài liệu, gây ra s l¡ng t¡ng và làm m!t

đi tính đồng nh!t của dữ liệu

1.5 RI RO KHI SB D7NG ĐIÊN TO$N Đ$M MÂY.

Do là mô t công nghê  m“i nổi, đang trong giai đoạn pht triển và bžng

nổ nên không thể trnh kh¬i những phiền toi khi s• dng Dư“i đây s• là những v!n đề hay gă p phi khi s• dng điê n ton đm mây:

Viêc vi phạm dữ liê u có nhiều hâ u qu đ$i v“i doanh nghiê p H

có thể m!t khch hàng, vì không ai mu$n làm viê c v“i những doanh nghiêp không có s an toàn về bo mâ t, cũng như phi chịu cc thiê t hại về cc khon phạt cũng như m!t đi uy tín của doanh nghiê p

H có thể sœ hữu mô t hạ t”ng đm mây “mœ” (mà h không tuântheo cc quy tắc t$t nh!t) hoă c thâ m chí không có biê n php bo mât nào Những điều kiê n này là mc tiêu hoàn ho cho những k¨ t!n công biết cch tìm th!y và lợi dng những điểm yếu trong hê  th$ng bo vê  của h

M!t quyền kiểm sot:

M!t quyền kiểm sot xy ra khi dữ liê u được lưu trữ trong đm mây Nếu tin tă c có thể chiếm được quyền kiểm sot của bạn, h có thể đnh cắp đi t!t c cc tài liê u trong đó Điều này có thể dẫn đến viê c đnh cắp danh tín và gây hại đến danh tiếng của bạn

Đnh cắp dữ liê u:

Đnh cắp dữ liê u là m$i gây đe da nh!t của điê n ton đm mây

Dữ liê u được lưu trữ trên đm mây có thể được truy câ p bœi b!t kì mà h có thông tin đăng nhâ p đ¡ng, những k¨ x!u cũng không ngoại lê 

Điều này có ngh™a là cc dữ liê u nhạy cm như thông tin khch hàng, hồ sơ tài chính và cc tài sn trí tuê  có thể bị đnh cắp mô t cch

dễ dàng và có thể s• bị s• dng để thu lại lợi nhuâ  n hoă c s• dng trong cc cuô c t!n công vào những doanh nghiê p khc

Ph”n mềm độc hại:

Ph”n mềm độc hại là một loại virus được thiết kế để gây hại hoặctắt my tính Nó cũng có thể được s• dng để thu thập thông tin hoặc đnh cắp dữ liệu Ph”n mềm độc hại có thể lan truyền qua cc tệp đính kèm trong email, trang web, hoặc thậm chí qua mạng xã hội Công nghệ đm mây là mc tiêu chính cho cc cuộc t!n công ph”n mềm độc hại, vì cc tin tă c có thể dễ dàng truy cập vào hệ th$ng của bạn và đnh cắp dữ liệu của bạn Rủi ro này cũng có thể lây nhiễm vào cc thiết bị của bạn thông qua đm mây, đặt toàn bộ hệ th$ng của bạn vào nguy cơ.Thời gian ngưng hoạt đô ng:

Khi bạn s• dng đm mây, dữ liệu của bạn được lưu trữ tại một

vị trí xa Nếu trung tâm dữ liệu chứa cc tệp của bạn gặp s c$ và tạm ngừng hoạt động, bạn s• không thể khôi phc ch¡ng cho đến khi nó hoạt động trœ lại Điều này có thể m!t hàng giờ, hoặc ngày hoặc thậm chí c thời gian dài hơn nếu có s c$ l“n nh hưœng đến nhiều my chủ Nếu nhà cung c!p dịch v đm mây của bạn gặp s c$ và tạm ngừng hoạt động, bạn có thể không thể truy cập dữ liệu hoặc ứng dng của mình, dẫn đến thiệt hại kinh doanh đng kể

Sai c!u hình:

Rủi ro bo mật l“n nh!t v“i điện ton đm mây là sai c!u hình R!t dễ để mắc lỗi khi cc doanh nghiê p, c nhân c!u hình my o của mình, điều này có thể dẫn đến những lỗ hổng trong hệ điều hành hoặc cc ứng dng chạy trên cc my o đó Nếu cc tô i phạm mạng tìm th!y một trong những lỗ hổng này và khai thc nó, h có thể truy cập

dữ liệu của bạn hoặc thậm chí chiếm quyền kiểm sot toàn bộ hệ th$ng của bạn

Lô thông tin đăng nhâ p:

S• dng dịch v email da trên đm mây, cc dịch v chia s¨ tài liệu (như Google Drive và Dropbox), và cc hình thức hợp tc khc giữa nhân viên tại cc tổ chức đã đặt ra những thch thức bo mật m“i Mỗi khi bạn đăng nhập vào một dịch v, tên người džng và mật kh–u

của bạn được g•i dư“i dạng văn bn thường qua Internet B!t k¤ ai có quyền truy cập vào cc gói dữ liệu đó s• có kh năng th!y ch¡ng và s• dng cho mc đích độc hại.

Thiếu k§ lượng trong viê c cài đă t:

Khi s• dng đm mây, cc doanh nghiê p, c nhân thường để cc

dữ liê u nhạy cm của mình vào tay cc bên thứ ba Ngay c khi bên thứ

ba đã có uy tín, lâu đời thì h vẫn c—n có thể gă p nhiều rủi ro hơn cc biên php tại chỗ Điều này là bœi vì có nhiều điểm th!t bại hơn khi dữ liêu của bạn được phân bổ trên nhiều my chủ hơn là được lưu trữ là môt vị trí c$ định

Truy câ p tri ph•p:

Đm mây là mô t nguồn tài nguyên được chia s¨, điều này có ngh™a là dữ liê u của bạn có thể được truy câ p bœi b!t kì ai có thông tin tài khon của bạn Trong khi môi trường công nghê  thông tin truyền th$ng đã được thiết kế để kiểm sot quyền truy câ p vào thông tin và tài nguyên nhạy cm, và t!t nhiên điê n ton đm mây đã b¬ qua l“p bo vê được xem là quan trong này

Và qua đó ta có thể th!y được rủi ro l“n nh!t của điê n ton đm mây là

ai cũng có thể truy câ p dữ liê u của bạn mà không c”n được uy quyền hay xc minh Điều này có thể xy ra khi cc tô i phạm công nghê  cao xâm nhâ p được vào my chủ của doanh nghiê p hoă c cc nhân viên tình

cờ để lô  sơ hœ và đó là cch bn ch¡ng chiếm dữ liê u

Chiếm đoạt tài khon:

Rủi ro bo mật l“n nh!t khi nói đến công nghệ đm mây là cơ hội gia tăng mà cc tin tă c có để t!n công cc doanh nghiệp V“i môi trường đm mây, luôn có cc my chủ có thể truy cập từ b!t k¤ vị trí nào trên thế gi“i Điều này có ngh™a rằng cc tô i phạm mạng có thể truycập và đnh cắp dữ liệu mà không c”n phi xâm nhập vào t—a nhà của bạn hoặc xâm nhâ p vào mạng của bạn

1.6 T?M T<T CHƯƠNG 1.

± chương 1 này, ch¡ng ta s• được tìm hiểu về cc khi niê m cơ bn nh!t của điê n ton đm mây để ph”n nào hiểu rõ được cch hoạt đô ng cũng như cc lợi ích, rủi ro mà công nghê  này mang lại Cc mô hình hoạt đô ng, cc nhà cung c!p cũng như những gì mà điê n ton đm mây làm được œ qu

khứ cũng như hiê n tại cũng được đề câ p œ chương này, song cũng làm rõ cc v!n để về những mă t tích cc mà tiêu cc mà công nghê  này đang gă p phi.

CHƯƠNG 2 C$C MI ĐE DA V V&N Đ" B(O MÂT 2.1 T]NG QUAN C$C V&N Đ" B(O MÂT V MI ĐE DA.

Điện ton đm mây không ch˜ là một đổi m“i đột ph trong l™nh vc công nghệ, mà c—n là nguồn động viên mạnh m• cho s tiện lợi và linh hoạt trong qun lý dữ liệu và ứng dng Tuy nhiên, s phổ biến nhanh chóng của

nó cũng đã mœ ra một loạt cc thch thức về bo mật và đ$i mặt v“i những m$i đe da đa dạng đ$i v“i thông tin quan trng và tài nguyên kinh doanh Bo mật của điện ton đm mây không ch˜ là một ưu tiên, mà c—n là một yếu t$ chìm trong s pht triển của nó Việc lưu trữ dữ liệu và triển khai ứng dngtrên cc my chủ từ xa mœ ra một loạt cc nguy cơ từ những k• hœ nh¬ nh!t trong hệ th$ng bo mật Trong b$i cnh này, ch¡ng ta c”n nhìn nhận tổng quan về cc v!n đề chính liên quan đến bo mật và m$i đe da của điện ton đm mây

2.2 C$C V&N Đ" V" B(O MÂT.

Nguy cơ bo mật có thể xy ra từ c bên ngoài và bên trong tổ chức Theo Cuộc kho st Theo dõi An ninh Mạng năm 2011, 21% cuộc t!n công mạng được gây ra bœi cc nhân viên bên trong tổ chức 33% trong s$ người tham gia kho st cho rằng cc cuộc t!n công từ bên trong gây thiệt hại và chi phí l“n hơn cho tổ chức Thông thường, cc cuộc t!n công từ bên trong là s truy cập tri ph•p vào và s• dng thông tin của doanh nghiệp (63%), và trộm cắp tài sn trí tuệ (32%) Người džng độc c có thể truy cập vào cc dữ liệu nhạy cm c thể, dẫn đến việc xy ra việc xâm nhập dữ liệu Trong một tình hu$ng đm mây, một người bên trong có thể ph hủy toàn bộ cơ sœ hạ t”ng hoặc thao tc hoặc trộm cắp dữ liệu Cc hệ th$ng ch˜ ph thuộc vào nhà cungc!p dịch v đm mây cho mc tiêu bo mật đang đ$i diện v“i nguy cơ l“n nh!t Dư“i đây là cc thch thức về bo mâ t của điê n ton đm mây ta có thể theo dõi

2.2.1.Sao lưu v+ lưu trc.

Nhà cung c!p đm mây nên đm bo rằng việc sao lưu định k¤ dữ liệu được thc hiện và đm bo an toàn v“i t!t c cc biện php Tuy nhiên, dữ liệu sao lưu thường được tìm th!y dư“i dạng không được mã hóa, điều này cóthể dẫn đến việc s• dng dữ liệu một cch sai l”m bœi những người tri ph•p

Do đó, sao lưu dữ liệu dẫn đến nhiều m$i đe da bo mật khc nhau Khi o hóa my chủ càng tăng, v!n đề về sao lưu và lưu trữ trœ nên r!t khó khăn Gim thể tích sao lưu và lưu trữ ngoại tuyến là một trong những gii php để gim b“t thể tích sao lưu dữ liệu

2.2.2.Chidm đoet dMch vg.

Chiếm đoạt dịch v là việc kiểm sot tri ph•p trên cc dịch v đã được

ủy quyền bœi người džng tri ph•p Điều này có thể xy ra thông qua cc k§ thuật khc nhau như lừa đo, khai thc ph”n mềm và gian lận Đây được coi

là một trong những m$i đe da Chiếm đoạt tài khon đã được ch˜ ra là một trong những m$i đe da nghiêm trng nh!t Kh năng bị chiếm đoạt tài khon

là r!t cao do không có s bo vệ nội tại

2.2.3.Thn công blng mQy chU mo.

K¨ t!n công có thể kiểm tra quy trình tài nguyên của my o (VM) của nạn nhân/người džng, thay đổi c!u hình và thậm chí xóa dữ liệu đã lưu trữ, cóthể là dữ liệu nhạy cm, từ đó đe da tính bo mật, tính toàn vẹn và tính s n

có của VM Điều kiện c”n thiết cho loại t!n công này là hai VM phi hoạt động trên cžng một my chủ, và k¨ t!n công phi có kh năng nhận biết địa ch˜ IP của VM nạn nhân Mặc dž người džng PaaS và IaaS có quyền hạn mức

độ, một k¨ t!n công có thể nắm giữ hoặc xc định địa ch˜ IP bằng cch s• dng kh năng của khch hàng th• nghiệm thông qua cc chiêu tr— và đ”u vàokết hợp khc nhau để thu thập địa ch˜ IP của người džng Do đó, có thể nói rằng VM Hopping là một m$i đe da có lý trong tính ton đm mây

2.2.4.Nhcng thQch thnc bmo mâ t cUa mô honh triTn khai.

2.2.4.1.Cc vn đ bo mâ t trong PaaS.

PaaS cho ph•p triển khai cc ứng dng da trên đm mây mà không c”n phi mua và duy trì ph”n cứng và ph”n mềm cơ sœ Bo mật PaaS bao gồm hai l“p ph”n mềm:

Bo mật của nền tng PaaS: Điều này liên quan đến bo mật của nền tng PaaS chính Cc nhà cung c!p dịch v đm mây phi đm bo rằng nền tng của h an toàn và tin cậy Điều này bao gồm việc đm bo rằng hệ th$ng không bị t!n công, không có lỗ hổng bo mật và rằngdịch v được duyệt qua cc tiêu chu–n bo mật

Bo mật của cc ứng dng khch hàng triển khai trên PaaS: Khi khch hàng triển khai cc ứng dng của h trên nền tng PaaS, h phi đm bo rằng cc ứng dng này cũng được bo mật Điều này bao gồm việc xây dng ứng dng v“i cc biện php bo mật c”n thiết để ngăn chặn cc cuộc t!n công và đm bo rằng dữ liệu của h được bo vệ Bo mật trong PaaS cũng ph thuộc vào việc xây dng mạng an toàn

và tin cậy để đm bo rằng cc ứng dng PaaS có thể hoạt động an toàn và không bị t!n công

2.2.4.2.Mi quan hê  v!i bên th" ba.

Nền tng dịch v (PaaS), bên cạnh cc ngôn ngữ lập trình truyền th$ng,cũng cung c!p cc thành ph”n dịch v web của bên thứ ba như mashups Mashups có thể kết hợp hơn một nguồn thành ph”n thành một đơn vị tích hợpduy nh!t Do đó, cc mô hình PaaS có cc v!n đề về bo mật liên quan đến mashups.Người džng PaaS ph thuộc vào c bo mật của cc công c pht triển được lưu trữ trc tuyến và cc dịch v của bên thứ ba

Trong ngữ cnh này, bo mật trœ nên quan trng vì cc ứng dng và dịch v được xây dng da trên cc thành ph”n của bên thứ ba Người džng PaaS c”n đm bo rằng c cc công c và dịch v của bên thứ ba mà h s• dng đều được xây dng v“i cc biện php bo mật c”n thiết để ngăn chặn cc cuộc t!n công và bo vệ dữ liệu của h Cc m$i quan hệ v“i bên thứ ba trong môi trường PaaS có thể tạo ra cc điểm yếu trong chuỗi bo mật và c”n phi được qun lý một cch c–n thận để đm bo an toàn và đng tin cậy

2.2.4.3.Bo mâ t h% t&ng cơ bn.

Trong mô hình PaaS, cc nhà pht triển ph”n mềm thường không có quyền truy cập vào cc t”ng cơ bn, vì vậy nhà cung c!p dịch v chịu trch nhiệm bo mật hạ t”ng cơ bn và dịch v ứng dng Ngay c khi cc nhà pht triển có kiểm sot về bo mật, h không thể chắc chắn rằng cc công c môi trường pht triển do nhà cung c!p PaaS cung c!p là an toàn

2.2.6.Vhn đq meng.

Điện ton đm mây da vào internet và my tính từ xa để lưu trữ dữ liệu cho việc chạy cc ứng dng khc nhau Mạng này được s• dng để ti lênt!t c thông tin H.B Tabakki đã nêu cc v!n đề bo mật về mạng trong điện ton đm mây như một trng tâm quan trng Nó cung c!p tài nguyên o, băng thông cao và ph”n mềm cho người tiêu džng theo yêu c”u Trên thc tế, c!u tr¡c mạng của điện ton đm mây này dễ bị t!n công và gặp cc v!n đề bo mật như t!n công tiêm malware vào đm mây, v!n đề bo mật trình duyệt, t!n công lũ lt, khóa cứng, xóa dữ liệu không hoàn ch˜nh, bo vệ dữ liệu và bc ph”n t• chữ ký XML

2.2.7.Bmo mâ  t tronh duyê t.

Khch hàng s• dng trình duyệt để g•i thông tin qua mạng Những trình duyệt này s• dng công nghệ SSL để mã hóa danh tính và thông tin xc thc của người džng Nhưng những tin tă c tại my chủ trung gian có thể thu thập thông tin này bằng cch s• dng cc gói tin theo dõi đã cài đặt trên my chủ trung gian Một người džng nên có một danh tính duy nh!t nhưng thông tin xc thc của h c”n cho ph•p cc mức độ khc nhau được xc minh bằng cch s$ hóa

2.2.8.Cuôc thn công tr+n.

Trong loại cuộc t!n công này, k¨ xâm nhập g•i một s$ lượng l“n yêu c”u tài nguyên lên đm mây một cch nhanh chóng để đm mây bị tràn đ”y bœi s$ lượng yêu c”u l“n Theo một nghiên cứu được tiến hành bœi IBM, đm mây có tính ch!t mœ rộng da trên s$ lượng yêu c”u Điều này s• làm cho nó

mœ rộng để đp ứng cc yêu c”u của k¨ xâm nhập, làm cho tài nguyên trœ nênkhông thể truy cập cho người džng bình thường

2.2.9.RUi ro cUa nqn tmng mo hta.

Nền tng o hóa (hypervisor) là một ph”n của my o cho ph•p chia s¨ tài nguyên my chủ và cch ly my chủ o/my chủ Do đó, kh năng của hypervisor trong việc cung c!p s cch ly c”n thiết trong trường hợp t!n công c$ ý s• quyết định ph”n l“n hiệu qu của my o trong việc s$ng sót sau rủi ro

Một lý do khiến hypervisor dễ bị rủi ro là vì nó là một chương trình ph”n mềm; rủi ro tăng lên khi kh$i lượng và độ phức tạp của mã ứng dng tăng lên Lý tưœng nh!t là mã ph”n mềm hoạt động trong một VM được xc định không thể giao tiếp hoặc nh hưœng đến mã chạy trên chính my chủ vật

lý hoặc trong một VM khc; nhưng một s$ v!n đề, chẳng hạn như lỗi trong ph”n mềm hoặc hạn chế đ$i v“i việc triển khai o hóa, có thể khiến s cô lập

này gặp rủi ro Cc lỗ hổng chính v$n có trong hypervisor bao gồm rootkit hypervisor tri ph•p, s•a đổi bên ngoài đ$i v“i hypervisor và thot kh¬i VM.

2.2.9.1.Nn tng o h1a tri ph3p.

Trong trình o hóa thông thường, hệ điều hành khch (hệ điều hành được khœi động bên trong môi trường o hóa) hoạt động như một hệ điều hành truyền th$ng, qun lý I/O đến ph”n cứng và lưu lượng mạng, mặc dž nó được kiểm sot bœi hypervisor Do đó, hypervisor có mức độ kiểm sot cao đ$i v“i hệ th$ng, không ch˜ trong VM mà c—n trên my chủ vật lý Cc rootkitnhắm vào o hóa, và đặc biệt là hypervisor, đã thu h¡t được s ch¡ ý trong cộng đồng hacker Rootkit da trên VM có thể –n kh¬i cc hệ th$ng pht hiệnph”n mềm độc hại thông thường bằng cch khœi chạy một hypervisor "tri ph•p" và tạo một kênh bao phủ để đổ mã tri ph•p vào hệ th$ng Cc khai thc th• nghiệm khi niệm đã chứng minh rằng rootkit hypervisor có thể t chèn mình vào RAM, hạ c!p hệ điều hành my chủ xu$ng VM và làm cho nó trœ nên vô hình Sau đó, một rootkit được thiết kế đ¡ng cch có thể duy trì

"–n" đ$i v“i hệ điều hành my chủ, ch$ng lại cc nỗ lc của cc trình pht hiện ph”n mềm độc hại nhằm pht hiện và loại b¬ nó Điều này tạo ra một lỗ hổng nghiêm trng trong t!t c cc hệ th$ng o hóa Kh năng pht hiện mã độc hại là trng tâm của pht hiện và khắc phc xâm nhập, vì cc nhà nghiên cứu bo mật phân tích cc mẫu mã bằng cch chạy mã và xem kết qu Ngoài

ra, một s$ ph”n mềm độc hại c$ gắng trnh bị cc quy trình ch$ng vi-r¡t pht hiện bằng cch c$ gắng xc định xem hệ th$ng mà nó đã nhiễm có phi là hệ th$ng truyền th$ng hay o Nếu được pht hiện là VM, nó s• œ trạng thi không hoạt động và –n cho đến khi có thể xâm nhập vào my chủ vật lý và thc thi ti trng của nó thông qua một vectơ t!n công truyền th$ng [5]

2.2.9.2.S4a đ5i t6 bên ngo+i.

Ngoài việc thc thi ti đặt rootkit, một hypervisor được bo vệ k•m hoặc thiết kế không t$t cũng có thể tạo ra một vector t!n công Do đó, một my o t bo vệ có thể cho ph•p s•a đổi trc tiếp của hypervisor bœi một k¨ xâm phạm bên ngoại Điều này có thể xy ra trong cc hệ th$ng o hóa khôngxc nhận hypervisor như một tiến trình thông thường

2.2.9.3.My ch8 o thot.

Do vị trí đặc quyền cơ bn của my chủ my chủ đ$i v“i VM, một VM được c!u hình không đ¡ng có thể cho ph•p mã hoạt động hoàn toàn bypass môi trường o và đạt được quyền truy cập root hoặc kernel đ”y đủ vào my chủ vật lý Điều này s• dẫn đến s th!t bại hoàn toàn của cc cơ chế bo mật của hệ th$ng, và được gi là VM escape VM escape đề cập đến kh năng của

k¨ t!n công thc thi mã tžy ý trên my chủ vật lý của VM, bằng cch "thot" kh¬i hypervisor Đôi khi được gi là "Ch•n Thnh" của nghiên cứu bo mật

o hóa, VM escape đã là đề tài của một loạt cc Bằng chứng của Khng nghị (PoCs) được thc hiện bœi cc nhà nghiên cứu bo mật như Tavis Ormandy của Google, và Tom Liston và Ed Skoudis tại Intelguardians Network Intelligence Liston và Ormandy đã ch˜ ra rằng VM escape có thể xy ra thông qua cc tài nguyên chia s¨ của my o gi là VMchat, VMftp, VMcat,

và VMdrag-n-sploit [5]

2.2.10.Mht quyqn qumn l0.

Như đã đề cập trư“c đó, cc phương php bo mật mà khch hàng đm mây s• dng độc lập đng kể so v“i hư“ng dẫn của Nhà Cung C!p S đ$i lậpnhư vậy có thể dẫn đến việc m!t qun lý và kiểm sot có thể nh hưœng quyếtđịnh đến hệ th$ng đm mây và t!t nhiên đến dữ liệu của nó Vì vậy, mi Nhà Cung C!p nên thông tin khch hàng của mình v“i cc quy trình và hư“ng dẫn bo mật rõ ràng và nghiêm ngặt, trong trường hợp của việc outsourcing, dịch v của đ$i tc phi tương thích v“i những hư“ng dẫn/chính sch này

2.2.11.Sv bht cwn cUa khQch h+ng.

Khch hàng đm mây thường xuyên không đm bo an ninh cho môi trường đm mây của h một cch đ¡ng đắn, tạo điều kiện cho người s• dng x!u t!n công vào nền tng đm mây Khch hàng phi nhận ra rằng h có trch nhiệm bo vệ dữ liệu và tài nguyên của mình Trong một s$ trường hợp, khch hàng đm mây sai l”m khi cho rằng nhà cung c!p đm mây chịu trch nhiệm đm bo an ninh cho dữ liệu của h M$i đe doạ này không thể được gii quyết thông qua kiểm ton hoặc cc k§ thuật khc Mỗi công ty nên luôn duy trì một tiêu chu–n an ninh cao ngay c khi khch hàng của h không tuân theo cc quy trình thích hợp

2.2.12.Gian lâ n thanh toQn.

Việc thao t¡ng dữ liệu thanh ton và tr$n thanh ton là một trong những

lỗ hổng quan trng nh!t trong môi trường đm mây Cc dịch v đm mây có kh năng đo lường œ mức độ trừu tượng phž hợp v“i loại dịch v, chẳng hạn như lưu trữ và x• lý Dữ liệu đo lường được s• dng cho việc cung c!p dịch v và hỗ trợ thanh ton Widder et al đã đề xu!t một phương php s• dng công c x• lý s kiện phức tạp

2.2.13.Ghi nhâ t v+ giQm sQt.

Chưa có cơ chế tiêu chu–n nào được đề xu!t để bật cc dịch v ghi nhật

và gim st liên quan đến tài nguyên đm mây Điều này có thể gây ra những

lo ngại đng kể Bœi vì cc cơ chế ghi nhật hiện có thường theo dõi người

džng và dịch v của cơ sœ hạ t”ng, việc truy xu!t thông tin nh hưœng đến một người džng hoặc dịch v duy nh!t trœ nên kh khó khăn Cho đến khi cc

cơ chế theo dõi và ghi nhật hiệu qu được triển khai, điều thích hợp là xem x•t cc biện php kiểm sot bo mật trong điện ton đm mây Một s$ công c đã được đề xu!t để ghi nhật, theo dõi và cung c!p dịch v như open-QRM, Cobbler, Crowbar, Spacewalk và Cloud Audit, nhưng không công c nào trong s$ này cung c!p gii php hoàn ch˜nh

2.2.14.Lxi hoă c bM ngyng dMch vg đQm mây.

Ngoài cc cuộc t!n công DoS có thể khiến cc dịch v đm mây không kh dng trong một thời gian ngắn, cũng có thể xy ra lỗi hoặc ch!m dứt dịch v, biểu thị kh năng cung c!p dịch v v™nh viễn hoặc tạm thời của cơ sœ hạ t”ng đm mây Điều đó có thể là do cc hành vi gây hại của người džng đã có được quyền truy cập nâng cao vào cơ sœ hạ t”ng và do đó truy cập vào cc cơ chế có thể làm r$i loạn hoặc vô hiệu hóa chức năng của cc dịch v được cung c!p Việc cài đặt nhiều loại hê  th$ng pht hiê n xâm nhâ p trên nhiều VM,như Cheng et al đề xu!t, có thể gim đng kể m$i đe da này [6]

2.2.15.Khta chă t.

Một s$ v!n đề xy ra khi cơ sœ hạ t”ng đm mây thay đổi quyền sœ hữu

và / hoặc chính sch, trong khi người džng trư“c đó vẫn là khch hàng Một khó khăn có t”m quan trng l“n xu!t hiện khi khch hàng không thể dễ dàng chuyển đổi dịch v hoặc dữ liệu của h từ một nhà cung c!p dịch v đm mâysang một nhà cung c!p dịch v đm mây khc Trong trường hợp này, ch¡ng

ta có nhiều v!n đề khóa chặt khc nhau tžy thuộc vào kiến tr¡c của hệ th$ng đm mây Trong c ba kiến tr¡c SaaS, PaaS và IaaS, v!n đề khóa chặt dữ liệu đều rõ ràng Việc trích xu!t dữ liệu của từng khch hàng vô cžng khó khăn do

lý do k§ thuật hoặc php lý Trong trường hợp của kiến tr¡c SaaS, v!n đề khóa chặt dịch v có thể ny sinh Điều này có ngh™a là mỗi dịch v đm mây s• dng cc công c khc nhau để cung c!p và gim st như openQRM, Cobbler, Crowbar và Spacewalk Trong kiến tr¡c PaaS, v!n đề tồn tại trên l“pAPI vì cc dịch v đm mây không s• dng cžng một nền tng o hóa Khchhàng nên kiểm tra xem nhà cung c!p m“i có s• dng cžng nền tng hoặc nền tng tương thích hay không Khóa chặt IaaS khc nhau tžy thuộc vào cơ sœ hạt”ng được s• dng bœi mỗi khch hàng Để trnh những trường hợp như vậy, việc la chn dịch v đm mây phž hợp phi được quyết định sau khi nghiên cứu k§ lư©ng, đồng thời phi đặc biệt ch¡ ý đến b!t k¤ thay đổi nào trong chính sch đm mây