bảo mật trong điện toán đám mây và ứng dụng cho trung tâm dữ liệu điều hành sản xuất kinh doanh của vnpt tài liệu, giáo...
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN HUY GIẢNG BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG CHO TRUNG TÂM DỮ LIỆU ĐIỀU HÀNH SẢN XUẤT KINH DOANH CỦA VNPT Chuyên nghành: Truyền liệu Mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2011 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Vũ Văn Thỏa Phản biện 1: ……….……………………………… ………………… Phản biện 2: ……………….….……………………….……………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: …… …… ngày …… tháng …… năm ……… Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông MỞ ĐẦU Ngày nay, với phát triển vũ bão công nghệ thông tin, hệ thống phần mềm ứng dụng, hệ thống máy chủ tổ chức doanh nghiệp ngày tăng nhanh Điều dẫn tới chi phí đầu tư cho hạ tầng cơng nghệ thơng tin ngày lớn, chi phí cho việc quản lý hệ thống tăng lên Để giảm thiểu chi phí tăng khả ứng dụng công nghệ thông tin sản xuất kinh doanh doanh nghiệp, ứng dụng điện tốn đám mây giải pháp mang lại nhiều lợi ích Trong mơ hình điện tốn đám mây, vấn đề liên quan tới công nghệ thông tin cung cấp dạng “dịch vụ” Nhờ đó, tổ chức, doanh nghiệp hay cá nhân sử dụng dịch vụ công nghệ khơng cần phải có kiến thức, kinh nghiệm chun sâu công nghệ, không cần phải quan tâm đến sở hạ tầng cơng nghệ Hạ tầng sở điện toán đám mây kết hợp dịch vụ đáng tin cậy phân phối qua trung tâm liệu xây dựng máy chủ với cấp độ khác cơng nghệ ảo hóa Đề tài “Bảo mật điện toán đám mây ứng dụng cho trung tâm liệu điều hành sản xuất kinh doanh VNPT” tìm hiểu kiến thức bảo mật thơng tin điện tốn đám mây đề xuất giải pháp an toàn bảo mật cho trung tâm liệu điều hành sản xuất kinh doanh VNPT Đề tài bao gồm nội dung sau: Chương – Tổng quan điện toán đám mây: Cung cấp nhìn tổng quan điện tốn đám mây Q trình phát triển điện tốn đám mây số khái niệm lợi ích điện toán đám mây Chương – An tồn bảo mật điện tốn đám mây: Trình bày nét bảo mật thông tin đám mây, chuẩn bảo mật rủi ro thách thức an tồn thơng tin mà người sử dụng cần biết trước định sử dụng điện tốn đám mây Tìm hiểu kiến trúc mục tiêu bảo mật quản lý bảo mật Từ đó, đưa phương pháp để nâng cao khả bảo mật thông tin đám mây Chương – Đề xuất giải pháp an toàn bảo mật ứng dụng triển khai điện toán đám mây vào tâm liệu điều hành sản xuất kinh doanh VNPT: Trình bày kiến trúc trung tâm liệu đưa giải pháp an toàn bảo mật CHƯƠNG - TỔNG QUAN VỀ ĐIỆN TỐN ĐÁM MÂY 1.1 Khái niệm điện tốn đám mây 1.1.1 Qúa trình phát triển điện tốn đám mây Q trình phát triển điện tốn đám mây tóm tắt Hình 1.1 (dẫn theo Voas Zhang 2009) đây: Hình 1.1 Sự phát triển điện toán đám mây 1.1.2 Định nghĩa điện tốn đám mây Khái qt lại, hiểu điện toán đám mây sau : “Điện toán đám mây dạng hệ thống song song phân tán bao gồm tập hợp máy chủ ảo kết nối với nhau, máy chủ ảo cấp phát tự động thể hay nhiều tài nguyên tính tốn độc lập dựa đồng thuận mức dịch vụ (service – level agrrement) thiết lập thơng qua q trình đàm phán người sử dụng nhà cung cấp.” [Cloud Security and Privacy - An Enterprise Perspective on Risk and Compliance - O'Reilly, 2009] Một số định nghĩa: Theo Wikipedia: “Điện toán đám mây (cloud computing) mơ hình điện tốn có khả co giãn (scalable) linh động tài nguyên thường ảo hóa cung cấp dịch vụ mạng Internet” Theo Gartner (http://www.buildingthecloud.co.uk/) : “Một mơ hình điện toán nơi mà khả mở rộng linh hoạt công nghệ thông tin cung cấp dịch vụ cho nhiều khách hàng sử dụng công nghệ Internet” Theo Ian Foster: “Một mô hình điện tốn phân tán có tính co giãn lớn mà hướng theo co giãn mặt kinh tế, nơi chứa sức mạnh tính tốn, kho lưu trữ, tảng (platform) dịch vụ trực quan, ảo hóa co giãn linh động, phân phối theo nhu cầu cho khách hàng bên ngồi thơng qua Internet” 1.2 Các tầng dịch vụ đám mây Điện toán đám mây kết hợp khái niệm Hạ tầng hướng dịch vụ (IaaS), Nền tảng hướng dịch vụ (PaaS), Phần mềm hướng dịch vụ (SaaS) số khái niệm công nghệ SaaS (Software-as-a-Service, phần mềm dịch vụ): SaaS cho phép người dùng chạy ứng dụng từ xa đám mây Đây mơ hình triển khai ứng dụng mà người cung cấp cho phép người dụng sử dụng dịch vụ theo yêu cầu IaaS (Infrastructure-as-a-Service, hạ tầng sở dịch vụ) tài nguyên tính tốn cung cấp dịch vụ, bao gồm máy chủ, thiết bị mạng, nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm liệu với lực xử lý đảm bảo băng thông dự trữ đủ để lưu trữ truy nhập Internet PaaS (Platform-as-a-Service, tảng dịch vụ) tương tự IaaS, ngồi cịn có hệ điều hành dịch vụ cần thiết cho ứng dụng cụ thể, PaaS IaaS cộng thêm số phần mềm riêng dành cho ứng dụng cho trước Virtualization (tầng ảo hóa): Hệ thống hạ tầng mạng, máy chủ, lưu trữ ảo hóa để tăng tính linh hoạt việc mở rộng cung cấp dịch vụ điện toán đám mây dSaaS (data-Storage-as-a-Service, lưu trữ liệu dịch vụ) cung cấp không gian lưu trữ mà khách hàng sử dụng, bao gồm băng thông cho lưu trữ 1.3 Các mơ hình điện tốn đám mây Có kiểu mơ hình chung: public cloud (đám mây cơng cộng), private cloud (đám mây riêng), hybrid cloud (đám mây lai) Trong mô hình Public cloud computing (hoặc external cloud computing), tài nguyên tính tốn cung cấp linh hoạt Internet thơng qua Web applications Web Services từ nhà cung cấp thứ ba phi trực tuyến (offsite third-party provider) Private cloud (hoặc internal cloud) tham chiếu tới tính tốn đám mây private networks (mạng riêng) Cơ sở hạ tầng dịch vụ xây dựng để phục vụ cho tổ chức (doanh nghiệp) Một mơi trường Hybrid cloud kết hợp nhiều mơ hình Public Private clouds Doanh nghiệp đưa chức nghiệp vụ liệu không quan trọng, sử dụng dịch vụ Public Cloud để giải xử lý liệu Đồng thời, doanh nghiệp giữ lại chức nghiệp vụ liệu tối quan trọng tầm kiểm soát (Private Cloud) 1.4 Lợi ích thách thức Lợi ích: Tiết kiệm, giảm chi phí, đa phương tiện, chia sẻ, độ tin cậy, co giãn linh động, hiệu suất cao, bảo mật, khả chịu đựng Thách thức: Chi phí, cơng tác quản lý, tính sẵn sang, tính riêng tư, vấn đề tuân thủ CHƯƠNG - AN TOÁN BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 2.1 Quản lý bảo mật điện tốn đám mây 2.1.1 Mơ hình chung Mơ hình điện tốn đám mây triển khai nhiều nhà cung cấp khác nhau, nhìn chung quy mơ hình chung gồm ba lớp sau : 3.2 Đề xuất giải pháp an toàn bảo mật triển khai điện toán đám mây cho trung tâm liệu Tập đồn VNPT 3.2.1 Mơ hình tổng thể giải pháp an tồn bảo mật Để đảm bảo độ an toàn liệu cao nhất, tất lớp có độ bảo mật cao Kết hợp với khối chuyển mạch thông thường, khối dịch vụ cung cấp phương án can thiệp quản lý cho lưu lượng trao đổi hệ thống, bao gồm: Firewall, VPN, IPS/IDS, DDoS detector, quản lý điểm yếu, cập nhật vá lỗi, ngăn chặn phần mềm nguy hiểm, khả quản lý hệ thống Hình 3.4 Mơ hình tổng thể giải pháp an toàn bảo mật 3.2.2 Đảm bảo an toàn mức vật lý Hệ thống điều khiển cửa vào Hệ thống camera an ninh Trực quy trình vận hành 24/7 Các hệ thống cảnh báo điện, điều hòa, sitescan 3.2.3 Bảo mật mức mạng 3.2.3.1 Hệ thống bảo mật lớp biên với IOS zone based firewall Thiết lập danh sách truy cập (access-list) ngăn ngừa kết nối bất thường tới hệ thống mạng nội Thiết lập kiểm tra (inspection) ngăn ngừa cơng Đảm bảo dự phịng lớp biên với đường kết nối vật lý internet megawan 3.2.3.2 Hệ thống chống Ddos Sử dụng giải pháp cisco với thiết bị ADM (phát bất thường), AGM (ngăn ngừa kết nối DdoS): Hình 3.5 Mơ hình hoạt động hệ thống chống công DDoS 3.2.3.3 Hệ thống ngăn ngừa xâm nhập ( IPS) Mơ hình: Hình 3.6 Dữ liệu trao đổi thơng qua IPS Hệ thống phòng chống xâm nhập thiết kế với khả giám sát, phát ngăn chặn nguy xâm nhập trái phép, bảo vệ tài nguyên hệ thống mạng IPS tăng cường giám sát, chống công xâm nhập từ Internet vào lớp ứng dụng mà hệ thống Firewall mạng khơng có khả phát 3.2.3.4 Hệ thống phát xâm nhập IDS Hệ thống phát xâm nhập sử dụng công cụ mã nguồn mở OSSIM (open sources sim) Bao gồm nhiều công cụ hỗ trợ việc phát bất thường xâm nhập Hình 3.7 Mơ hình phân phối cảm biến triển khai DC VNPT Các cảm biến IDS sử dụng dấu hiệu, buộc định nghĩa bất thường mạng để đưa cảnh báo 3.2.3.5 Hệ thống Firewall Datacenter (FWSM) Firewall sử dụng: Firewall services module cisco 6509 dạng module Với mơ hình: Hình 3.8 Mơ hình triển khai FWSM DC VNPT 3.2.3.6 Các hệ thống giám sát (Network Monitor) Sử dụng Hệ thống PRTG: Hệ thống PRTG hệ thống giám sát mạng thông qua giao thức smtp, giám sát băng thông, lưu lượng, kết nối, giúp quản trị mạng nhìn trực quan mức độ sẵn sàng khả đáp ứng hệ thống, bất thường băng thông, đột biến băng thông lưu lượng trọng hệ thống mạng Một số hệ thống khác sử dụng: Hệ thống LMS, Hệ thống theo dõi Solarwind, Hệ thống theo dõi phân tích syslog 3.2.4 Bảo mật máy chủ ứng dụng 3.2.4.1 Hệ thống phát điểm yếu Giải pháp sử dụng: McAfee FoundStone giải pháp quản lý đánh giá mức độ an tồn an ninh hệ thống Hình 3.11 Mơ hình triển khai FoundStone mạng VNPT-NET Công cụ đưa vào mạng node mạng bình thường với địa IP Xác định, phân loại mức độ quan trọng tài nguyên hệ thống Xác định điểm yếu an ninh, nguy hại tài nguyên Đưa sách bảo vệ thích hợp tài nguyên đánh giá Đưa mơ tả, phân tích chi tiết điểm yếu an ninh 3.2.4.2 Hệ thống tự động vá lỗ hổng Giải pháp sử dụng: giải pháp McAfee, McAfee Remediation Manager thành phần giải pháp quản lý rủi ro bảo mật McAfee, cho phép tự động sửa tất năm loại điểm yếu: tài khoản người dùng bảo mật, dịch vụ không cần thiết, cổng sau, lỗi cấu hình điểm yếu phần mềm Hình 3.12 Mơ hình triển khai hệ thống cập nhập vá mạng VNPT-NET 3.2.4.3 Hệ thống antispam, antivirus cho Email Giải pháp sử dụng: ForeFront TMG Microsoft Ngăn chặn spam email, virus đính kèm email, email fishing cho hệ thống email VNPT 3.2.4.4 Hệ thống ngăn ngừa virus tập trung Giải pháp sử dụng: Total Protection for Enterprise (TEN) McAfee, giải pháp bảo vệ hệ thống cho doanh nghiệp, với mơ hình bảo vệ theo nhiều lớp: Gateway, MailServer, Server Client Phần mềm có khả tự động cập nhật, quản lý tập trung, cấu hình tạo báo cáo chi tiết đồ họa từ hình quản trị 3.2.4.5 Quản lý người dùng quản lý truy cập Với hệ thống sử dụng chủ yếu Windows VNPT, giải pháp sử dụng Active Directory (AD) AD tảng cho việc quản lý định danh người dùng, quản lý truy cập điểm tích hợp hệ thống với 3.2.4.6 Dịch vụ quản lý bảo mật thông tin tảng AD Hệ thống dịch vụ quản lý bảo mật thông tin tảng AD (RMS) thành phần tảng Windows Server 2008, giúp cho việc luân chuyển tập tin chứa thơng tin quan trọng mạng máy tính an tồn bảo mật Hệ thống RMS bảo vệ tập tin việc nhận dạng quyền mà người sử dụng làm với tập tin Các quyền phân định cho phép người sử dụng mở, hiệu chỉnh, in ấn, gửi chuyển tiếp, làm tác vụ khác liên quan đến thông tin phân quyền Với hệ thống RMS , người sử dụng bảo vệ thơng tin liệu quan trọng phán tán mơi trường ngồi mạng cơng ty 3.2.5 Bảo mật người dùng 3.2.5.1 Hệ thống proxy cho khối người dùng Giải pháp proxy: Bluecoat Proxy SG 810 Proxy SG 510 Caching lưu lượng từ vùng người dùng internet, tăng tốc truy cập website Ngăn ngừa truy cập trái phép 3.2.5.2 Hệ thống bảo mật kết nối người dùng Giải pháp cung cấp VPN: Hệ thống bảo mật kết nối người dùng sử dụng ASA 5520 Remote-Access VPN: remote-access VPN cần người dùng cài phần mềm VPN (VPN client software) máy tính Các giai đoạn (phase) để hình thành VPN sử dụng IPSec SSL VPN: SSL VPN cho phép người từ xa truy nhập tài nguyên tổ chức sử dụng trình duyệt web khơng cần phần mềm cài máy người dùng 3.2.6 Sao lưu, lưu trữ liệu Hệ thống lưu trữ liệu DC sử dụng giải pháp mạng lưu trữ ( SAN- storage area network) với công nghệ NETAPP Hình 3.16 Mơ hình tổ chức hệ thống lưu trữ liệu Hệ thống SAN chia làm mức: mức vật lý logic Mức vật lý mô tả liên kết thành phần mạng (edge switch, core switch, HBA, cache, firmware) tạo hệ thống lưu trữ đồng sử dụng đồng thời cho nhiều ứng dụng người dùng Mức logic bao gồm ứng dụng, công cụ quản lý dịch vụ xây dựng tảng thiết bị lớp vật lý, cung cấp khả quản lý hệ thống SAN KẾT LUẬN Luận văn giới thiệu tổng quan điện tốn đám mây, trình bày vấn đề an tồn bảo mật điện tốn đám mây Bên cạnh đưa giải pháp an tồn bảo mật triển khai điện tốn đám mây cho trung tâm liệu điều hành sản xuất kinh doanh Tập đoàn VNPT Luận văn đưa số vấn đề tổng quan điện toán đám mây an tồn bảo mật điện tốn đám mây: - Khái niệm điện toán đám mây - Các tầng dịch vụ mơ hình triển khai điện tốn đám mây - Mơ hình an tồn bảo mật chung cho điện toán đám mây - Mục tiêu tiêu chuẩn quản lý an toàn bảo mật - Kiến trúc an toàn bảo mật sở tuân thủ qui định, quản lý kiểm soát an ninh, phân loại thông tin, nhận thức bảo mật - Các vấn đề liên quan thiết kế an toàn bảo mật Trong khuôn khổ luận văn đưa giải pháp an toàn bảo mật việc ứng dụng điện toán đám mây cho trung tâm liệu điều hành sản xuất kinh doanh VNPT Các vấn đề bao gồm: - Khảo sát trạng ứng dụng công nghệ thông tin sở hạ tầng trung tâm liệu - Đảm bảo an toàn mức vật lý - Bảo mật mức mạng - Bảo mật máy chủ ứng dụng - Bảo mật người dùng - Sao lưu, lưu trữ liệu KIẾN NGHỊ CÁC HƯỚNG NGHIÊN CỨU TIẾP THEO Kết luận văn sở, tham khảo cho việc triển khai giải pháp an tồn bảo mật ứng dụng điện tốn đám mây cho trung tâm liệu doanh nghiệp Tiếp tục nghiên cứu hoàn thiện phương án an toàn bảo mật điện tốn đám mây để sớm ứng dụng thành cơng điện tốn đám mây vào trung tâm liệu điều hành sản xuất kinh doanh Tập đoàn VNPT DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Văn phịng Tập đồn Bưu Viễn thông VNPT, Tài liệu thuyết minh kỹ thuật: Xây dựng trung tâm liệu điều hành sản xuất kinh doanh VNPT, 2008 [2] Brian J.S Chee and Curtis Franklin, Cloud Computing – Technologies and Strategies of the Ubiquitous Data Center, Jr CRC Press 2010 [3] DAVID E.Y SARNA, Implementing and Developing Cloud Computing Applications, CRC Press 2011 [4] Furht, Borko; Escalante, Armando (Eds.), Handbook of Cloud Computing, 1st Edition, Springer, 2010 [5] John W Rittinghouse & James F Ransome, Cloud Computing Implementation, Management, and Security, CRC Press 2010 [6] Tim Mather, Subra Kumaraswamy, and Shahed Latif, Cloud Security and Privacy, O’Reilly Media, Inc 2009 [7] http://www.microsoft.com/windowsazure/ [8] http://www-935.ibm.com/services/us/cloud/ [9] http://code.google.com/appengine/ [10] http://aws.amazon.com/ [11] http://www.vmware.com/ ... chủ điện toán đám mây nên phải giới hạn CHƯƠNG - ĐỀ XUẤT GIẢI PHÁP AN TOÀN BẢO MẬT TRONG ỨNG DỤNG TRIỂN KHAI ĐIỆN TOÁN ĐÁM MÂY VÀO TRUNG TÂM DỮ LIỆU ĐIỀU HÀNH SẢN XUẤT KINH DOANH CỦA TẬP ĐOÀN VNPT. .. toàn bảo mật ứng dụng triển khai điện toán đám mây vào tâm liệu điều hành sản xuất kinh doanh VNPT: Trình bày kiến trúc trung tâm liệu đưa giải pháp an toàn bảo mật CHƯƠNG - TỔNG QUAN VỀ ĐIỆN TOÁN... tổng quan điện tốn đám mây, trình bày vấn đề an tồn bảo mật điện tốn đám mây Bên cạnh đưa giải pháp an toàn bảo mật triển khai điện toán đám mây cho trung tâm liệu điều hành sản xuất kinh doanh Tập