MỤC LỤC MỤC LỤC DANH MỤC CÁC CHỮ VIẾT TẮT DANH MỤC HÌNH ẢNH LỜI MỞ ĐẦU Chương 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ AN NINH AN TOÀN 1.1. Tổng quan về điện toán đám mây 1 1.1.1. Lịch sử và tình hình phát triển 1 1.1.2. Đặc điểm của điện toán đám mây 4 1.1.3. Mô hình kiến trúc điện toán đám mây 5 1.1.3.1. Phân lớp dịch vụ điện toán đám mây 5 1.1.3.2. Các mô hình triển khai đám mây 8 1.1.3.3. Đám mây cộng đồng 11 1.1.4. Khảo sát một số nhà cung cấp dịch vụ điện toán đám mây 11 1.1.4.1. Giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây 11 1.1.4.2. So sánh một số dịch vụ lưu trữ đám mây 13 1.2. Các nguy cơ mất an toàn thông tin trong điện toán đám mây 15 1.1.5. Các mối đe dọa từ bên trong 15 1.1.6. Các tấn công nguy hại từ bên ngoài 16 1.1.7. Mất mát dữ liệu 17 1.1.8. Gián đoạn dịch vụ 17 1.1.9. Mất quyền kiểm soát 18 1.3. Các hướng nghiên cứu bảo mật cho điện toán đám mây 19 1.1.10. Giới thiệu một số mô hình an toàn 19 1.1.11. An toàn liên quan đến kiến trúc của điện toán đám mây 22 Chương 2. XÂY DỰNG ĐÁM MÂY DỰA TRÊN MÃ NGUỒN MỞ OPENSTACK 2.1. Giới thiệu phần mềm mã nguồn mở OpenStack 26 1.1.12. Lịch sử ra đời OpenStack 26 1.1.13. Các phiên bản của Openstack 27 2.2. Kiến trúc, thành phần của OpenStack 29 2.3. Cài đặt, triển khai OpenStack 31 2.4. Một số vấn đề an ninh an toàn trong OpenStack 35 Chương 3. TRIỂN KHAI VPN TRONG ĐIỆN TOÁN ĐÁM MÂY SỬ DỤNG OPENSTACK 3.1. Sử dụng công nghệ VPN để bảo mật 39 Đồ án tốt nghiệp 2015 I Nguyễn Thái Hà – AT7A 1.1.14. Khái niệm VPN 39 1.1.15. VPN trong điện toán đám mây 40 3.1.2.1. Kiến trúc IP VPN an toàn động trong điện toán đám mây 40 3.1.2.2. Một số yêu cầu của IPSec VPN cho các dịch vụ cloud 43 3.1.2.3. Một số vấn đề với các kiến trúc IPSecVPN hiện nay 44 1.1.16. Đề xuất mô hình VPN động 45 3.2. Triển khai dịch vụ VPNaaS trong đám mây OpenStack 48 1.1.17. Mô hình tổng quan hệ thống Openstack 48 1.1.18. Cài đặt VPNaaS trên các nút OpenStack 49 1.1.19. Cấu hình VPNaaS 54 1.1.20. Thử nghiệm VPNaaS trong OpenStack 55 KẾT LUẬN TÀI LIỆU THAM KHẢO PHỤ LỤC A Đồ án tốt nghiệp 2015 II Nguyễn Thái Hà – AT7A DANH MỤC CÁC CHỮ VIẾT TẮT Kí hiệu Thuật ngữ Ý nghĩa ACL Access Control List Danh sách kiểm soát truy cập API Application Programing Interface Giao diện lập trình ứng dụng AWS Amazon Web Service Dịch vụ web của Amazon CA Certification Authority Nhà cung cấp chứng thực số DOS Denial of Service Từ chối dịch vụ IaaS Infrastructure as a Service Cơ sở hạ tầng như một dịch vụ IDS Intrusion Detection Systems Hệ thống phát hiện xâm nhập IKE Internet Key Exchange Giao thức trao đổi khóa IPS Intrusion Prevention Systems Hệ thống phòng chống xâm nhập IPSec Internet Protocol Security Giao thức bảo mật mạng IT Information Technology Công nghệ thông tin OTP One Time Password Mật khẩu một lần PaaS Platform as a Service Nền tảng như một dịch vụ PKI Public Key Infrastructure Hạ tầng khóa công khai SaaS Software as a Service Phần mềm như một dịch vụ VNC Virtual Network Computing Mạng máy tính ảo VPN Virtual Private Network Mạng riêng ảo VPNaaS Virtual Private Network as a Service Mạng riêng ảo như một dịch vụ WAN Wide Area Network Mạng diện rộng Đồ án tốt nghiệp 2015 III Nguyễn Thái Hà – AT7A DANH MỤC HÌNH ẢNH Đồ án tốt nghiệp 2015 IV Nguyễn Thái Hà – AT7A LỜI MỞ ĐẦU Ngày nay, cùng với sự phát triển vũ bão của công nghệ thông tin, hệ thống phần mềm ứng dụng, hệ thống máy chủ của các tổ chức doanh nghiệp ngày càng tăng nhanh. Điều đó dẫn tới chi phí đầu tư cho hạ tầng công nghệ thông tin ngày càng lớn, chi phí cho việc quản lý hệ thống cũng tăng lên. Để giảm thiểu được các chi phí đó và tăng khả năng ứng dụng công nghệ thông tin trong sản xuất kinh doanh của doanh nghiệp, điện toán đám mây là giải pháp đang được rất nhiều doanh nghiệp lựa chọn. Bên cạnh những lợi ích to lớn mà điện toán đám mây đem lại, nó cũng tồn tại một số hạn chế nhất định, nhất là trong vấn đề bảo mật dữ liệu của người sử dụng. Trong thời đại ngày nay, nhiều thông tin, dữ liệu nhạy cả m có giá trị rất to lớn, đôi khi nắm vai trò sống còn của một doanh nghiệp, vấn đề đảm bảo bí mật cho những thông tin, dữ liệu như vậy khi lưu trữ trên đám mây của nhà cung cấp dịch vụ lại càng trở nên quan trọng hơn bao giờ hết. Bên cạnh những dữ liệu khi lưu trữ trên đám mây của nhà cung cấp dịch vụ, còn có những dữ liệu quan trọng của khách hàng trao đổi với nhau thông qua các dịch vụ của điện toán đám mây. Để đảm bảo an toàn cho các dữ liệu đó không rơi vào tay những người có mục đích xấu. Thì vấn đề nghiên cứu bảo mật cho hệ thống điện toán đám mây là điều rất quan trọng. Đề tài “Nghiên cứu triển khai VPN trong điện toán đám mây sử dụng OpenStack” nhằm mục đích nghiên cứu, xây dựng, đề xuất một số mô hình an ninh cho hệ thống điện toán đám mây. Đồng thời triển khai thử nghiệm hệ thống VPNaaS để đảm bảo an toàn thông tin trong điện toán đám mây sử dụng OpenStack. Nội dung đồ án gồm có 3 chương: Chương 1: Tổng quan về điện toán đám mây và vấn đề an ninh an toàn. Trong chương này sẽ trình bày một cách khái quát nhất về điện toán đám mây (Cloud Computing). Phần này sẽ cho thấy rõ được các nguy cơ mất an toàn Đồ án tốt nghiệp 2015 V Nguyễn Thái Hà – AT7A trong điện toán đám mây nói chung đồng thời cũng nêu ra được một số hướng nghiên cứu nhằm đảm bảo an toàn cho các hệ thống điện toán đám mây. Chương 2: Xây dựng đám mây dựa trên mã nguồn mở OpenStack. Trong chương 2, sẽ giới thiệu về phần mềm xây dựng đám mây IaaS dựa trên mã nguồn mở OpenStack. Qua phần này sẽ có cái nhìn tổng quan nhất về đám mây OpenStack về các vấn đề như: Kiến trúc thành phần OpenStack, cách cài đặt triển khai một đám mây dựa trên mã nguồn mở, đồng thời có cái nhìn tổng quát nhất về một số vấn đề an ninh an toàn trong đám mây OpenStack. Chương 3: Triển khai VPN trong điện toán đám mây sử dụng OpenStack. Chương cuối cùng này sẽ trình bày về một số mô hình VPN sử dụng trong điện toán đám mây. Đồng thời tiến hành cài đặt triển khai thử nghiệm dịch vụ VPNaaS(VPN as a Service) trong đám mây OpenStack. Trong quá trình nghiên cứu tìm hiểu, do một số nguyên nhân mà đề tài không thể tránh khỏi những thiếu sót sai lầm. Rất mong nhận được sự góp ý của các thầy cô, bạn bè. Qua đây em cũng xin chân thành cám ơn Thầy giáo, ThS.Nguyễn Như Tuấn đã nhiệt tình giúp đỡ, cung cấp những tài liệu bổ ích giúp em hoàn thành đề tài. Đồng thời em cũng xin gửi lời cám ơn đến bạn bè, gia đình đã động viên và tạo điều kiện thuận lợi cho em trong suốt thời gian nghiên cứu. Em xin chân thành cảm ơn! Sinh viên thực hiện Nguyễn Thái Hà Đồ án tốt nghiệp 2015 VI Nguyễn Thái Hà – AT7A CHƯƠNG 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ AN NINH AN TOÀN. Trong những năm trở lại đây, điện toán đám mây (cloud-computing) đang trở thành một trong những thuật ngữ mà ngành công nghệ thông tin trên toàn thế giới quan tâm nhất. Nhiều tổ chức lớn bắt đầu quan tâm đến việc khai thác và nghiên cứu triển khai công nghệ này để giảm thiểu chi phí trong việc quản lý và cơ sở hạ tầng như Google, IBM, và Amazon. Sự phát triển của điện toán đám mây sẽ là bước ngoặt của ngành công nghệ thông tin, tương tự như sự ra đời của World Wide Web hay là thương mại điện tử (e-commerce). Trong tương lai, sẽ có sự thay đổi lớn trong lĩnh vực công nghệ thông tin, nơi mà các cơ sở hạ tầng công nghệ thông tin , các ứng dụng, các tài nguyên, các công việc hỗ trợ được duy trì và hoạt động bởi các nhà cung cấp công nghệ thông tin lớn và triển khai trên đám mây. Trong chương này của đồ án sẽ trình bày cái nhìn tổng quan nhất về công nghệ điện toán đám mây ở các khía cạnh như lịch sử ra đời, mô hình kiến trúc, các vấn đề an ninh an toàn trong điện toán đám mây nói chung. 1.1. Tổng quan về điện toán đám mây. 1.1.1. Lịch sử và tình hình phát triển Khái niệm về điện toán đám mây xuất hiện từ những năm 1960 trở lại đây, khi John McCarthy phát biểu rằng “một ngày nào đó tính toán được tổ chức như một tiện ích công cộng”. Các đặc điểm của điện toán đám mây tạo ra như khả năng co giãn, cung cấp như một tiện ích trực tuyến, với khả năng xem như vô hạn. Hiện nay, điện toán đám mây được rất nhiều tổ chức và cá nhân định nghĩa khác nhau. Dưới đây là một số khái niệm điện toán đám mây: Theo Rajkumar Buyya: “Điện toán đám mây là một loại hệ thống phân bố và xử lý song song gồm các máy tính ảo kết nối với nhau và được cung cấp động cho người dùng như một hoặc nhiều tài nguyên đồng nhất dựa trên sự thỏa thuận dịch vụ giữa nhà cung cấp và người sử dụng”. Đồ án tốt nghiệp 2015 1 Nguyễn Thái Hà – AT7A Theo Ian Foster “Điện toán đám mây là một mô hình điện toán phân tán có tính co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”. Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST): “Điện toán đám mây là một mô hình cho phép truy cập mạng thuận tiện, theo nhu cầu đến một kho tài nguyên điện toán dùng chung, có thể định cấu hình: mạng, máy chủ, lưu trữ, ứng dụng,…có thể được cung cấp và thu hồi một cách nhanh chóng với yêu cầu tối thiểu về quản lý hoặc can thiệp của nhà cung cấp dịch vụ.” Thuật ngữ Cloud Computing ra đời giữa năm 2007 không phải để nói về một trào lưu mới, mà để khái quát lại các hướng đi của cơ sở hạ tầng thông tin vốn đã và đang diễn ra từ mấy năm qua. Quan niệm này có thể được diễn giải một cách đơn giản: các nguồn điện toán khổng lồ như phần mềm, dịch vụ và các dịch vụ sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình và văn phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần. Với các dịch vụ sẵn có trên Internet, doanh nghiệp không phải mua và duy trì hàng trăm, thậm chí hàng nghìn máy tính cũng như phần mềm. Họ chỉ cần tập trung vào kinh doanh lĩnh vực riêng của mình bởi đã có người khác lo cơ sở hạ tầng và công nghệ thông tin thay họ. Google, theo lẽ tự nhiên, nằm trong số những hãng ủng hộ điện toán máy chủ ảo tích cực nhất bởi hoạt động kinh doanh của họ dựa trên việc phân phối các cloud (virtual server). Đa số người dùng Internet đã tiếp cận những dịch vụ đám mây phổ thông như e-mail, album ảnh và bản đồ số.[6] Đồ án tốt nghiệp 2015 2 Nguyễn Thái Hà – AT7A Hình 1. 1. Mô hình điện toán đám mây. Hiện nay với sự tham gia của các công ty lớn như Microsoft, Google, IBM hay Amazon đã thúc đẩy Cloud Computing phát triển ngày càng mạnh mẽ. Nếu như trong năm 2008, ngành công nghiệp điện toán đám mây có giá trị vào khoảng $46 tỷ thì đến cuối năm 2014, con số này ước đạt là trên $150 tỷ (Theo Eclipse – Một ISP có trụ sở ở Anh). Hình 1. 2. Tình hình phát triển của điện toán đám mây từ năm 2008 đến 2014. Bên cạnh đó, theo Forbes, ba phần tư số người được hỏi cho biết có sử dụng ít nhất một dạng nền tảng điện toán đám mây nào đó, đó có thể là các dịch vụ Đồ án tốt nghiệp 2015 3 Nguyễn Thái Hà – AT7A email, lưu trữ ảnh, stream nhạc trực tuyến hay thậm chí là cả danh bạ và lịch. Và ba nền tảng được sử dụng nhiều nhất là Google, Microsoft và Amazon. Ở khía cạnh doanh nghiệp, có 86% số công ty có sử dụng nhiều hơn một dịch vụ điện toán đám mây và thường con số này là bốn dịch vụ. Các nghiên cứu cũng dự đoán rằng sẽ có trên 50% lượng dữ liệu được chuyển lên mây trong 5 đến 10 năm tới. Và cho đến năm 2016, lượng dữ liệu đám mây của khu vực Châu Á – Thái Bình Dương sẽ đạt 1.5 Zb (1 Zettabyte = 1 triệu Terabyte), theo sau đó là khu vực Bắc Mỹ với 1.1 Zb. Dưới đây là bảng số liệu thống kê từ tổ chức Endurance về tỷ lệ các dạng dữ liệu được lưu trữ trên đám mây: Hình 1. 3. Bảng thống kê các dạng dữ liệu được lưu trữ trên đám mây. 1.1.2. Đặc điểm của điện toán đám mây • Thuận lợi: - Chi phí đầu tư thấp: Theo mô hình truyền thống, để có được cơ sở hạ tầng, máy móc và nguồn nhân lực thì người sử dụng cần thời gian và kinh phí để xây dựng kế hoạch, đầu tư hạ tầng, đầu tư máy móc và người quản trị Chi phí này là không nhỏ và đôi khi lại không được sử dụng hiệu quả, ví dụ như không đáp ứng đủ hoặc không sử dụng hết công suất sau khi đưa vào sử dụng. Các khó khăn này sẽ được giải quyết trong mô hình điện toán đám mây, với phương châm “pay as you use” (người dùng chỉ phải trả tiền cho những gì mình đã sử dụng). Đồ án tốt nghiệp 2015 4 Nguyễn Thái Hà – AT7A [...]... công ty, tổ chức đang nghiên cứu phát triển công nghệ điện toán đám mây để phục vụ nhu cầu của tổ chức mình cũng như cung cấp ra bên ngoài để mọi người cùng sử dụng Cùng với trào lưu đó thì NASA và Rackspace cũng đã nghiên cứu và triển khai thành công hệ thống điện toán đám mây với tên gọi là OpenStack Và cũng để cho công nghệ điện toán đám mây với OpenStack phát triển hơn thì OpenStack được xây dựng... điện toán đám mây Một đám mây là một cụm máy tính kết nối nhau thông qua mạng cục bộ hoặc mạng diện rộng trên cơ sở ảo hóa tài nguyên phần cứng nhờ chức năng ảo hóa để cung cấp một cách trong suốt ba dịch vụ cơ bản của điện toán đám mây là SaaS, PaaS và IaaS Mô hình triển khai đám mây có thể là công cộng, đám mây riêng hoặc cộng đồng hay hỗn hợp như đã nói ở phần trên Các dịch vụ điện toán đám mây có... nghệ điện toán đám mây, thấy rõ được tầm quan trọng trong việc xây dựng cũng như triển khai hệ thống điện toán đám mây trong các cơ quan tổ chức Trong chương 2, sẽ giới thiệu về một phần mềm giúp triển khai hệ thống điện toán đám mây phổ biến nhất hiện nay đó là phần mềm mã nguồn mở OpenStack Đồ án tốt nghiệp 2015 25 Nguyễn Thái Hà – AT7A CHƯƠNG 2 XÂY DỰNG ĐÁM MÂY DỰA TRÊN MÃ NGUỒN MỞ OPENSTACK Hiện... pháp bảo mật tương thích trong môi trường đám mây sử dụng để bảo vệ hạ tầng ảo hóa đám mây là một thách thức lớn đòi hỏi việc nghiên cứu sâu về nhiều hướng tấn công và các đặc tính riêng biệt 1.3 Các hướng nghiên cứu bảo mật cho điện toán đám mây 1.1.10 Giới thiệu một số mô hình an toàn • Mô hình bảo vệ 3 lớp Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây[ 1] Hình 1 8 Mô hình ba lớp bảo vệ dữ liệu... đề tập trung dữ liệu trên các đám mây là cách thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng chính là mối lo của người sử dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn công hoặc đột nhập, toàn bộ dữ liệu sẽ bị chiếm dụng 1.1.3 Mô hình kiến trúc điện toán đám mây 1.1.3.1 Phân lớp dịch vụ điện toán đám mây Các mô hình kiến trúc dịch vụ điện toán đám mây đều có ba loại dịch... quan tâm nghiên cứu ứng dụng trong mô hình này Thông tin bí mật của người dùng phục vụ quá trình mã hóa/giải mã được lưu tại Secure Storage.[1] • Mô hình bảo vệ dữ liệu sử dụng VPN Cloud Trong mô hình này (Hình 1.10), để đảm bảo dữ liệu trên kênh truyền được an toàn, người ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đường truyền giữa các đám mây riêng với nhau và giữa người sử dụng với đám mây Với... an toàn dữ liệu cao thì khi triển khai thường lựa chọn mô hình điện toán đám mây riêng (Private Cloud Computing) VPN Cloud sẽ giúp cho việc kết nối giữa người dùng và đám mây, cũng như kết nối giữa các đám mây riêng được an toàn và bảo mật thông qua chuẩn IPSec.[1] Hình 1 10 Mô hình bảo vệ dữ liệu sử dụng VPN Cloud Đồ án tốt nghiệp 2015 21 Nguyễn Thái Hà – AT7A Công nghệ VPN trong các hệ thống mạng... Cloud) Đồ án tốt nghiệp 2015 10 Nguyễn Thái Hà – AT7A Hình 1 7 Đám mây lai Một khó khăn khi áp dụng mô hình Hybrid Cloud là làm sao triển khai cùng một ứng dụng trên cả hai phía Public và Private Cloud sao cho ứng dụng đó có thể kết nối, trao đổi dữ liệu để hoạt động một cách hiệu quả 1.1.3.3 Đám mây cộng đồng Các đám mây cộng đồng là các đám mây được chia sẻ bởi một số tổ chức và hỗ trợ một cộng đồng... nguồn mở này, thì đám mây dựa trên mã nguồn mở OpenStack đã được rất nhiều cá nhân tổ chức phát triển và được ứng dụng rộng rãi ở nhiều tổ chức lớn Trong chương này, đồ án sẽ trình bày những nội dung cơ bản nhất về phần mềm mã nguồn mở OpenStack Đồng thời trình bày quá trình xây dựng thử nghiệm đám mây riêng OpenStack trên môi trường giả lập VMWare 2.1 Giới thiệu phần mềm mã nguồn mở OpenStack 1.1.12... sinh từ bản thân bên trong doanh nghiệp và ẩn khuất trong các dịch vụ điện toán đám mây của người dùng do đám mây là một mô hình đa nhiệm và chịu quyền quản lý đơn của nhà cung cấp Ở trên nền tảng đó, các doanh nghiệp sử dụng dịch vụ đám mây khó can thiệp vào các tiến trình của nhà cung cấp để phân bổ nhân viên quản trị đám mây thích hợp, hay việc quản lý lưu trữ dữ liệu tại các vùng khác nhau và mối . dịch vụ WAN Wide Area Network Mạng diện rộng Đồ án tốt nghiệp 2015 III Nguyễn Thái Hà – AT7A DANH MỤC HÌNH ẢNH Đồ án tốt nghiệp 2015 IV Nguyễn Thái Hà – AT7A LỜI MỞ ĐẦU Ngày nay, cùng với sự phát. thực hiện Nguyễn Thái Hà Đồ án tốt nghiệp 2015 VI Nguyễn Thái Hà – AT7A CHƯƠNG 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ AN NINH AN TOÀN. Trong những năm trở lại đây, điện toán đám mây (cloud-computing). đồng nhất dựa trên sự thỏa thuận dịch vụ giữa nhà cung cấp và người sử dụng”. Đồ án tốt nghiệp 2015 1 Nguyễn Thái Hà – AT7A Theo Ian Foster “Điện toán đám mây là một mô hình điện toán phân tán