Nghiên cứu triển khai VPN trên đám mây Openstack

DANH MỤC CÁC CHỮ VIẾT TẮTAPI Application Programing Interface Giao diện lập trình ứng dụng CA Certification Authority Nhà cung cấp chứng thực số IaaS Infrastructure as a Service Cơ sở hạ

MỤC LỤC

MỤC LỤC I DANH MỤC CÁC CHỮ VIẾT TẮT III DANH MỤC HÌNH ẢNH IV LỜI MỞ ĐẦU V Chương 1 TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ

AN NINH AN TOÀN 1

1.1 Tổng quan về điện toán đám mây 1

1.1.1 Lịch sử và tình hình phát triển 1

1.1.2 Đặc điểm của điện toán đám mây 4

1.1.3 Mô hình kiến trúc điện toán đám mây 5

1.1.3.1 Phân lớp dịch vụ điện toán đám mây 5

1.1.3.2 Các mô hình triển khai đám mây 8

1.1.3.3 Đám mây cộng đồng 11

1.1.4 Khảo sát một số nhà cung cấp dịch vụ điện toán đám mây 11

1.1.4.1 Giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây 11

1.1.4.2 So sánh một số dịch vụ lưu trữ đám mây 13

1.2 Các nguy cơ mất an toàn thông tin trong điện toán đám mây 15

1.2.1 Các mối đe dọa từ bên trong 15

1.2.2 Các tấn công nguy hại từ bên ngoài 16

1.2.3 Mất mát dữ liệu 17

1.2.4 Gián đoạn dịch vụ 17

1.2.5 Mất quyền kiểm soát 18

1.3 Các hướng nghiên cứu bảo mật cho điện toán đám mây 19

1.3.1 Giới thiệu một số mô hình an toàn 19

1.3.2 An toàn liên quan đến kiến trúc của điện toán đám mây 22

Chương 2 XÂY DỰNG ĐÁM MÂY DỰA TRÊN MÃ NGUỒN MỞ OPENSTACK 26

2.1 Giới thiệu phần mềm mã nguồn mở OpenStack 26

2.1.1 Lịch sử ra đời OpenStack 26

2.1.2 Các phiên bản của Openstack 27

2.2 Kiến trúc, thành phần của OpenStack 29

2.3 Cài đặt, triển khai OpenStack 31

2.4 Một số vấn đề an ninh an toàn trong OpenStack 35

Chương 3 TRIỂN KHAI VPN TRONG ĐIỆN TOÁN ĐÁM MÂY SỬ DỤNG OPENSTACK 39

3.1 Sử dụng công nghệ VPN để bảo mật 39

3.1.1 Khái niệm VPN 39

3.1.2 VPN trong điện toán đám mây 40

3.1.2.1 Kiến trúc IP VPN an toàn động trong điện toán đám mây 40

3.1.2.2 Một số yêu cầu của IPSec VPN cho các dịch vụ cloud 43

3.1.2.3 Một số vấn đề với các kiến trúc IPSecVPN hiện nay 44

3.1.3 Đề xuất mô hình VPN động 45

3.2 Triển khai dịch vụ VPNaaS trong đám mây OpenStack 48

3.2.1 Mô hình tổng quan hệ thống Openstack 48

3.2.2 Cài đặt VPNaaS trên các nút OpenStack 49

3.2.3 Cấu hình VPNaaS 54

3.2.4 Thử nghiệm VPNaaS trong OpenStack 55

KẾT LUẬN 61

TÀI LIỆU THAM KHẢO 63

PHỤ LỤC A 64

DANH MỤC CÁC CHỮ VIẾT TẮT

API Application Programing Interface Giao diện lập trình ứng dụng

CA Certification Authority Nhà cung cấp chứng thực số

IaaS Infrastructure as a Service Cơ sở hạ tầng như một dịch vụIDS Intrusion Detection Systems Hệ thống phát hiện xâm nhập

IPS Intrusion Prevention Systems Hệ thống phòng chống xâm nhậpIPSec Internet Protocol Security Giao thức bảo mật mạng

PaaS Platform as a Service Nền tảng như một dịch vụ

PKI Public Key Infrastructure Hạ tầng khóa công khai

SaaS Software as a Service Phần mềm như một dịch vụ

VNC Virtual Network Computing Mạng máy tính ảo

VPNaaS Virtual Private Network as a

Service

Mạng riêng ảo như một dịch vụ

DANH MỤC HÌNH ẢNH

Hình 1 1 Mô hình điện toán đám mây 3

Hình 1 2 Tình hình phát triển của điện toán đám mây từ năm 2008 đến 2014 3

Hình 1 3 Bảng thống kê các dạng dữ liệu được lưu trữ trên đám mây 4

Hình 1 4 Mô hình SPI 6

Hình 1 5 Đám mây riêng 9

Hình 1 6 Đám mây công cộng 10

Hình 1 7 Đám mây lai 11

Hình 1 8 Mô hình ba lớp bảo vệ dữ liệu 19

Hình 1 9 Mô hình bảo mật dựa trên Encryption Proxy 20

Hình 1 10 Mô hình bảo vệ dữ liệu sử dụng VPN Cloud 21

Hình 1 11 Các tầng trong kiến trúc điện toán đám mây 22

Hình 2 1 Kiến trúc khái niệm của OpenStack 29

Hình 2 2 Các thành phần trong OpenStack 31

Hình 2 3 Mô hình triển khai OpenStack 32

Hình 2 4 Các gói cấu hình trên Controller Node 33

Hình 2 5 Các gói cấu hình trên Network Node 33

Hình 2 6 Các gói cấu hình trên Compute Node 34

Hình 2 7 Mô hình sử dụng máy ảo từ phía người dùng cuối 34

Hình 2 8 Sử dụng máy ảo thông qua giao diện VNC 35

Hình 2 9 KeyStone trong OpenStack 37

Hình 2 10 Các phân vùng an toàn 37

Hình 3 1 Dịch vụ điện toán đám mây thông qua IPSecVPN 41

Hình 3 2 Mô hình Full-Mesh IPSecVPN 42

Hình 3 3 Mô hình Hub-and-Spoke IPSecVPN 43

Hình 3 4 Mô hình Full-Mesh 44

Hình 3 5 Mô hình Hub-and-Spoke 45

Hình 3 6 Mô hình VPN động 46

Hình 3 7 Mô hình lai (hybrid) 47

Hình 3 8 Mô hình cài đặt gói dịch vụ VPNaaS trên đám mây OpenStack 48

Hình 3 9 Mô hình thử nghiệm VPNaaS 55

LỜI MỞ ĐẦU

Ngày nay, cùng với sự phát triển vũ bão của công nghệ thông tin, hệ thốngphần mềm ứng dụng, hệ thống máy chủ của các tổ chức doanh nghiệp ngày càngtăng nhanh Điều đó dẫn tới chi phí đầu tư cho hạ tầng công nghệ thông tin ngàycàng lớn, chi phí cho việc quản lý hệ thống cũng tăng lên Để giảm thiểu được cácchi phí đó và tăng khả năng ứng dụng công nghệ thông tin trong sản xuất kinhdoanh của doanh nghiệp, điện toán đám mây là giải pháp đang được rất nhiềudoanh nghiệp lựa chọn Bên cạnh những lợi ích to lớn mà điện toán đám mây đemlại, nó cũng tồn tại một số hạn chế nhất định, nhất là trong vấn đề bảo mật dữ liệucủa người sử dụng Trong thời đại ngày nay, nhiều thông tin, dữ liệu nhạy cả m cógiá trị rất to lớn, đôi khi nắm vai trò sống còn của một doanh nghiệp, vấn đề đảmbảo bí mật cho những thông tin, dữ liệu như vậy khi lưu trữ trên đám mây của nhàcung cấp dịch vụ lại càng trở nên quan trọng hơn bao giờ hết Bên cạnh những dữliệu khi lưu trữ trên đám mây của nhà cung cấp dịch vụ, còn có những dữ liệu quantrọng của khách hàng trao đổi với nhau thông qua các dịch vụ của điện toán đámmây Để đảm bảo an toàn cho các dữ liệu đó không rơi vào tay những người cómục đích xấu Thì vấn đề nghiên cứu bảo mật cho hệ thống điện toán đám mây làđiều rất quan trọng

Đề tài “Nghiên cứu triển khai VPN trong điện toán đám mây sử dụng OpenStack” nhằm mục đích nghiên cứu, xây dựng, đề xuất một số mô hình an

ninh cho hệ thống điện toán đám mây Đồng thời triển khai thử nghiệm hệ thốngVPNaaS để đảm bảo an toàn thông tin trong điện toán đám mây sử dụngOpenStack

Nội dung đồ án gồm có 3 chương:

Chương 1: Tổng quan về điện toán đám mây và vấn đề an ninh an toàn.

Trong chương này sẽ trình bày một cách khái quát nhất về điện toán đámmây (Cloud Computing) Phần này sẽ cho thấy rõ được các nguy cơ mất an toàn

trong điện toán đám mây nói chung đồng thời cũng nêu ra được một số hướngnghiên cứu nhằm đảm bảo an toàn cho các hệ thống điện toán đám mây.

Chương 2: Xây dựng đám mây dựa trên mã nguồn mở OpenStack.

Trong chương 2, sẽ giới thiệu về phần mềm xây dựng đám mây IaaS dựatrên mã nguồn mở OpenStack Qua phần này sẽ có cái nhìn tổng quan nhất về đámmây OpenStack về các vấn đề như: Kiến trúc thành phần OpenStack, cách cài đặttriển khai một đám mây dựa trên mã nguồn mở, đồng thời có cái nhìn tổng quátnhất về một số vấn đề an ninh an toàn trong đám mây OpenStack

Chương 3: Triển khai VPN trong điện toán đám mây sử dụng OpenStack.

Chương cuối cùng này sẽ trình bày về một số mô hình VPN sử dụng trongđiện toán đám mây Đồng thời tiến hành cài đặt triển khai thử nghiệm dịch vụVPNaaS(VPN as a Service) trong đám mây OpenStack

Trong quá trình nghiên cứu tìm hiểu, do một số nguyên nhân mà đề tàikhông thể tránh khỏi những thiếu sót sai lầm Rất mong nhận được sự góp ý củacác thầy cô, bạn bè Qua đây em cũng xin chân thành cám ơn Thầy giáo,ThS.Nguyễn Như Tuấn đã nhiệt tình giúp đỡ, cung cấp những tài liệu bổ ích giúp

em hoàn thành đề tài Đồng thời em cũng xin gửi lời cám ơn đến bạn bè, gia đình

đã động viên và tạo điều kiện thuận lợi cho em trong suốt thời gian nghiên cứu

Em xin chân thành cảm ơn!

Nguyễn Thái Hà

CHƯƠNG 1 TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN

ĐỀ AN NINH AN TOÀN.

Trong những năm trở lại đây, điện toán đám mây (cloud-computing) đangtrở thành một trong những thuật ngữ mà ngành công nghệ thông tin trên toàn thếgiới quan tâm nhất Nhiều tổ chức lớn bắt đầu quan tâm đến việc khai thác vànghiên cứu triển khai công nghệ này để giảm thiểu chi phí trong việc quản lý và cơ

sở hạ tầng như Google, IBM, và Amazon Sự phát triển của điện toán đám mây sẽ

là bước ngoặt của ngành công nghệ thông tin, tương tự như sự ra đời của WorldWide Web hay là thương mại điện tử (e-commerce) Trong tương lai, sẽ có sự thayđổi lớn trong lĩnh vực công nghệ thông tin, nơi mà các cơ sở hạ tầng công nghệthông tin , các ứng dụng, các tài nguyên, các công việc hỗ trợ được duy trì và hoạtđộng bởi các nhà cung cấp công nghệ thông tin lớn và triển khai trên đám mây.Trong chương này của đồ án sẽ trình bày cái nhìn tổng quan nhất về công nghệđiện toán đám mây ở các khía cạnh như lịch sử ra đời, mô hình kiến trúc, các vấn

đề an ninh an toàn trong điện toán đám mây nói chung

1.1 Tổng quan về điện toán đám mây.

1.1.1 Lịch sử và tình hình phát triển

Khái niệm về điện toán đám mây xuất hiện từ những năm 1960 trở lại đây,khi John McCarthy phát biểu rằng “một ngày nào đó tính toán được tổ chức nhưmột tiện ích công cộng” Các đặc điểm của điện toán đám mây tạo ra như khả năng

co giãn, cung cấp như một tiện ích trực tuyến, với khả năng xem như vô hạn

Hiện nay, điện toán đám mây được rất nhiều tổ chức và cá nhân định nghĩakhác nhau Dưới đây là một số khái niệm điện toán đám mây:

Theo Rajkumar Buyya: “Điện toán đám mây là một loại hệ thống phân bố và

xử lý song song gồm các máy tính ảo kết nối với nhau và được cung cấp động chongười dùng như một hoặc nhiều tài nguyên đồng nhất dựa trên sự thỏa thuận dịch

vụ giữa nhà cung cấp và người sử dụng”

Theo Ian Foster “Điện toán đám mây là một mô hình điện toán phân tán cótính co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnhtính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và cogiãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoàithông qua Internet”.

Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST): “Điện toánđám mây là một mô hình cho phép truy cập mạng thuận tiện, theo nhu cầu đến mộtkho tài nguyên điện toán dùng chung, có thể định cấu hình: mạng, máy chủ, lưutrữ, ứng dụng,…có thể được cung cấp và thu hồi một cách nhanh chóng với yêucầu tối thiểu về quản lý hoặc can thiệp của nhà cung cấp dịch vụ.”

Thuật ngữ Cloud Computing ra đời giữa năm 2007 không phải để nói về mộttrào lưu mới, mà để khái quát lại các hướng đi của cơ sở hạ tầng thông tin vốn đã

và đang diễn ra từ mấy năm qua Quan niệm này có thể được diễn giải một cáchđơn giản: các nguồn điện toán khổng lồ như phần mềm, dịch vụ và các dịch vụ sẽnằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình vàvăn phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần Với cácdịch vụ sẵn có trên Internet, doanh nghiệp không phải mua và duy trì hàng trăm,thậm chí hàng nghìn máy tính cũng như phần mềm Họ chỉ cần tập trung vào kinhdoanh lĩnh vực riêng của mình bởi đã có người khác lo cơ sở hạ tầng và công nghệthông tin thay họ Google, theo lẽ tự nhiên, nằm trong số những hãng ủng hộ điệntoán máy chủ ảo tích cực nhất bởi hoạt động kinh doanh của họ dựa trên việc phânphối các cloud (virtual server) Đa số người dùng Internet đã tiếp cận những dịch

vụ đám mây phổ thông như e-mail, album ảnh và bản đồ số.[6]

Hình 1 1 Mô hình điện toán đám mây.

Hiện nay với sự tham gia của các công ty lớn như Microsoft, Google,IBM hay Amazon đã thúc đẩy Cloud Computing phát triển ngày càng mạnh

mẽ Nếu như trong năm 2008, ngành công nghiệp điện toán đám mây có giá trịvào khoảng $46 tỷ thì đến cuối năm 2014, con số này ước đạt là trên $150 tỷ(Theo Eclipse – Một ISP có trụ sở ở Anh)

Hình 1 2 Tình hình phát triển của điện toán đám mây từ năm 2008 đến

2014

Bên cạnh đó, theo Forbes, ba phần tư số người được hỏi cho biết có sử dụng

ít nhất một dạng nền tảng điện toán đám mây nào đó, đó có thể là các dịch vụ

email, lưu trữ ảnh, stream nhạc trực tuyến hay thậm chí là cả danh bạ và lịch Và

ba nền tảng được sử dụng nhiều nhất là Google, Microsoft và Amazon

Ở khía cạnh doanh nghiệp, có 86% số công ty có sử dụng nhiều hơn mộtdịch vụ điện toán đám mây và thường con số này là bốn dịch vụ Các nghiên cứucũng dự đoán rằng sẽ có trên 50% lượng dữ liệu được chuyển lên mây trong 5 đến

10 năm tới Và cho đến năm 2016, lượng dữ liệu đám mây của khu vực Châu Á –Thái Bình Dương sẽ đạt 1.5 Zb (1 Zettabyte = 1 triệu Terabyte), theo sau đó là khuvực Bắc Mỹ với 1.1 Zb

Dưới đây là bảng số liệu thống kê từ tổ chức Endurance về tỷ lệ các dạng dữliệu được lưu trữ trên đám mây:

Hình 1 3 Bảng thống kê các dạng dữ liệu được lưu trữ trên đám mây.1.1.2 Đặc điểm của điện toán đám mây

 Thuận lợi:

- Chi phí đầu tư thấp: Theo mô hình truyền thống, để có được cơ sở hạ tầng,máy móc và nguồn nhân lực thì người sử dụng cần thời gian và kinh phí để xâydựng kế hoạch, đầu tư hạ tầng, đầu tư máy móc và người quản trị Chi phí này làkhông nhỏ và đôi khi lại không được sử dụng hiệu quả, ví dụ như không đáp ứng

đủ hoặc không sử dụng hết công suất sau khi đưa vào sử dụng Các khó khăn này

sẽ được giải quyết trong mô hình điện toán đám mây, với phương châm “pay asyou use” (người dùng chỉ phải trả tiền cho những gì mình đã sử dụng)

- Tốc độ xử lý nhanh, không còn phụ thuộc vào thiết bị và vị trí địa lý: chophép người dùng truy cập và sử dụng hệ thống thông qua trình duyệt web ở bất kỳđâu và trên bất kỳ thiết bị nào mà họ sử dụng (như là PC hoặc là thiết bị diđộng ).

- Dễ dàng mở rộng, nâng cấp: Thay vì phải đầu tư mới hoặc nâng cấp phầncứng, phần mềm, đội ngũ quản trị để mở rộng hay nâng cấp hệ thống thì với điệntoán đám mây người sử dụng chỉ việc gửi yêu cầu cho nhà cung cấp dịch vụ

- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đámmây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm chí mộtvài trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phụchồi được

- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cáchthức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng chính là mối lo củangười sử dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn cônghoặc đột nhập, toàn bộ dữ liệu sẽ bị chiếm dụng

1.1.3 Mô hình kiến trúc điện toán đám mây

1.1.3.1 Phân lớp dịch vụ điện toán đám mây

Các mô hình kiến trúc dịch vụ điện toán đám mây đều có ba loại dịch vụ cơbản là: Dịch vụ cơ sở hạ tầng (Infrastructure as a Service – IaaS), dịch vụ nền tảng(Platform as a Service – PaaS) và dịch vụ phần mềm (Software as a Service –SaaS) Cách phân loại này được gọi là mô hình SPI (Software - Platform -Infrastructure )

Hình 1 4 Mô hình SPI

 Infrastructure as a service (IaaS)

Cung cấp cho người dùng hạ tầng như một dịch vụ (thường là dưới các hìnhthức máy ảo) Dịch vụ Iaas cung cấp các dịch vụ cơ bản như các máy chủ ảo, lưutrữ dữ liệu, cơ sở dữ liệu trên một nền tảng để triển khai và chạy các ứng dụng củangười sử dụng

Những đặc trưng tiêu biểu của dịch vụ hạ tầng:

 Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bịmạng, bộ nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữliệu

 Khả năng mở rộng linh hoạt, chi phí thay đổi tùy theo thực tế

 Nhiều người thuê có thể dùng chung trên một tài nguyên

 Cấp độ doanh nghiệp: đem lại lợi ích cho công ty bởi một nguồn tàinguyên tính toán tổng hợp

Lợi ích của Iaas: Các tổ chức, cá nhân tiết kiệm được vốn đầu tư vào hệthống là rất lớn, vì các doanh nghiệp sẽ không cần phải đầu tư thêm các máy chủ,thường chỉ chạy 70% công suất hai hoặc ba lần trong năm, thời gian còn lại chỉchạy 7-10% tải

 Platform as a Service (PaaS)

Dịch vụ nền tảng cung cấp giao diện lập trình ứng dụng (API_ApplicationPrograming Interface) cho phát triển ứng dụng trên một nền tảng trừu tượng PaaScung cấp nền tảng tính toán và một tập các giải pháp nhiều lớp Nó hỗ trợ việctriển khai ứng dụng mà người sử dụng không cần quan tâm đến sự phức tạp củaviệc trang bị và quản lý các lớp phần cứng và phần mềm bên dưới PaaS cung cấptất cả các tính năng cần thiết để hỗ trợ chu trình sống của việc xây dựng, cung cấpmột ứng dụng và dịch vụ web sẵn sàng trên Internet mà không cần bất kì thao táctải hay cài đặt phần mềm cho những người phát triển, quản lý tin học, hay ngườidùng cuối Nó còn được biết đến với một tên khác là cloudware

 Những đặc trưng tiêu biểu:

 Phục vụ cho việc phát triển, triển khai và vận hành ứng dụng giốngnhư là môi trường phát triển tích hợp

 Các công cụ khởi tạo với giao diện trên nền web

 Ưu điểm trong những dự án tập hợp những công việc nhóm có sựphân tán về địa lý

 Khả năng tích hợp nhiều nguồn của dịch vụ web Giảm chi phí ngoài

lề khi tích hợp các dịch vụ về bảo mật, khả năng mở rộng, kiểm soátlỗi…

 Giảm chi phí khi trừu tượng hóa công việc lập trình ở mức cao để tạodịch vụ, giao diện người dùng và các yếu tố ứng dụng khác

 Tạo điều kiện dễ dàng hơn cho việc phát triển ứng dụng đa ngườidùng, cho những người không chỉ trong nhóm lập trình mà có thể kếthợp nhiều nhóm cùng làm việc.

 Một số khó khăn:

 Ràng buộc bởi nhà cung cấp: nghĩa là một khách hàng phụ thuộc vàomột nhà cung cấp và không thể sử dụng nhà cung cấp khác mà khôngphải chịu chi phí chuyển đổi đáng kể

 Giới hạn phát triển: độ phức tạp khiến nó không phù hợp với yêu cầuphát triển nhanh vì những tính năng phức tạp khi hiện thực trên nềntảng web

 Software as a Service (SaaS)

Dịch vụ phần mềm là một mô hình triển khai mà ở đó ứng dụng được cungcấp cho người sử dụng như là dịch vụ theo yêu cầu Những nhà cung cấp SaaS cóthể lưu trữ ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị kháchhàng, vô hiệu hóa nó sau khi kết thúc thời hạn

Những đặc trưng tiêu biểu:

 Quản lý các hoạt động từ một vị trí tập trung hơn là tại mỗi nơi củakhách hàng, cho phép khách hàng truy xuất từ xa thông qua web

 Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng

 Cung cấp ứng dụng thông thường gần gũi với mô hình ánh xạ từ mộtđến nhiều hơn là mô hình ánh xạ từ một đến một bao gồm cả các đặctrưng kiến trúc, giá cả và quản lý

 Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việctải các bản vá lỗi và cập nhật

 Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diệnrộng

1.1.3.2 Các mô hình triển khai đám mây

 Đám mây riêng (Private Cloud)

Trong mô hình Private Cloud, cơ sở hạ tầng và các dịch vụ được xây dựng

để phục vụ cho một tổ chức (doanh nghiệp) duy nhất Điều này giúp cho doanh

nghiệp có thể kiểm soát tối đa đối với dữ liệu, bảo mật và chất lượng dịch vụ.Doanh nghiệp sở hữu cơ sở hạ tầng và quản lý các ứng dụng được triển khai trên

đó Private Cloud có thể được xây dựng và quản lý bởi chính đội ngũ IT của doanhnghiệp hoặc có thể thuê một nhà cung cấp dịch vụ đảm nhiệm công việc này

Như vậy, mặc dù tốn chi phí đầu tư nhưng Private Cloud lại cung cấp chodoanh nghiệp khả năng kiểm soát và quản lý chặt chẽ những dữ liệu quan trọng

Hình 1 5 Đám mây riêng

 Đám mây công cộng (Public Cloud)

Các dịch vụ Cloud được nhà cung cấp dịch vụ cung cấp cho mọi người sửdụng rộng rãi Các dịch vụ được cung cấp và quản lý bởi một nhà cung cấp dịch vụ

và các ứng dụng của người dùng đều nằm trên hệ thống Cloud

Người sử dụng dịch vụ sẽ được lợi là chi phí đầu tư thấp, giảm thiểu rủi ro

do nhà cung cấp dịch vụ đã gánh vác nhiệm vụ quản lý hệ thống, cơ sở hạ tầng,bảo mật… Một lợi ích khác của mô hình này là cung cấp khả năng co giãn (mởrộng hoặc thu nhỏ) theo yêu cầu của người sử dụng

Hình 1 6 Đám mây công cộngTuy nhiên Public Cloud có một trở ngại, đó là vấn đề mất kiểm soát về dữliệu và vấn đề an toàn dữ liệu Trong mô hình này mọi dữ liệu đều nằm trên dịch

vụ Cloud, do nhà cung cấp dịch vụ Cloud đó bảo vệ và quản lý Chính điều nàykhiến cho khách hàng, nhất là các công ty lớn cảm thấy không an toàn đối vớinhững dữ liệu quan trọng của mình khi sử dụng dịch vụ Cloud

 Đám mây lai (Hybrid Cloud)

Như chúng ta đã phân tích ở trên, Public Cloud dễ áp dụng, chi phí thấpnhưng không an toàn Ngược lại, Private Cloud an toàn hơn nhưng tốn chi phí vàkhó áp dụng Do đó nếu kết hợp được hai mô hình này lại với nhau thì sẽ khai thác

ưu điểm của từng mô hình Đó là ý tưởng hình thành mô hình Hybrid Cloud

Hybrid Cloud là sự kết hợp của Public Cloud và Private Cloud Trong đó,doanh nghiệp sẽ “out-source” các chức năng nghiệp vụ và dữ liệu không quantrọng, sử dụng các dịch vụ Public Cloud để giải quyết và xử lý các dữ liệu này.Đồng thời, doanh nghiệp sẽ giữ lại các chức năng nghiệp vụ và dữ liệu tối quantrọng trong tầm kiểm soát (Private Cloud)

Hình 1 7 Đám mây laiMột khó khăn khi áp dụng mô hình Hybrid Cloud là làm sao triển khai cùngmột ứng dụng trên cả hai phía Public và Private Cloud sao cho ứng dụng đó có thểkết nối, trao đổi dữ liệu để hoạt động một cách hiệu quả.

1.1.3.3 Đám mây cộng đồng

Các đám mây cộng đồng là các đám mây được chia sẻ bởi một số tổ chức và

hỗ trợ một cộng đồng cụ thể có mối quan tâm chung như: chung mục đích, yêu cầu

an ninh, chính sách Nó có thể được quản lý bởi các tổ chức hoặc một bên thứ ba

Một đám mây cộng đồng có thể được thiết lập bởi một số tổ chức có yêu cầutương tự và tìm cách chia sẻ cơ sở hạ tầng để thực hiện một số lợi ích của điện toánđám mây Tùy chọn này là tốn kém hơn nhưng có thể đáp ứng về sự riêng tư, anninh hoặc tuân thủ các chính sách tốt hơn

1.1.4 Khảo sát một số nhà cung cấp dịch vụ điện toán đám mây

1.1.4.1 Giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây

Hiện nay có rất nhiều nhà cung cấp dịch vụ lưu trữ đám mây trực tuyến.Chúng ta có thể kể đến một số nhà cung cấp dịch vụ nổi bật như: MicroSoft,Google, Dropbox, SugarSync, Apple…

 Google drive

Đây là sản phẩm của tập đoàn đa quốc gia Google – một nhà sản xuất vàcung cấp các dịch vụ liên quan đến internet như dịch vụ tìm kiếm, điện toán đámmây và phần mềm Google Drive là một sản phẩm cung cấp cho người dùngkhông gian lưu trữ miễn phí lớn trên đám mây Nó được xem như là kho lưu trữtoàn diện nhất hiện nay Google Drive được tích hợp những công cụ cơ bản củacác trình chỉnh sửa và tạo văn bản Word, Excel hay Power Point

 One Drive (Skydrive cũ )

OneDrive là một sản phẩm được cung cấp bởi tập đoàn Microsoft – một nhàsản xuất, kinh doanh bản quyền phần mềm hỗ trợ trên diện rộng các sản phẩm vàdịch vụ liên quan đến máy tính Hiện nay, One Drive cũng cung cấp cho ngườidùng dung lượng lưu trữ miễn phí lớn trên đám mây Nó được tích hợp trên hầu hếtcác hệ điều hành của Microsoft Đặc điểm nổi bật là có thể kết hợp với ứng dụngvăn phòng Microsoft Office để hỗ trợ chỉnh sửa văn bản trực tuyến

 Dropbox

Là sản phẩm được cung cấp bởi hãng Dropbox – một nhà cung cấp dịch vụlưu trữ tập tin Đây là một sản phẩm được yêu thích nhất nhờ sự đơn giản và tínhtin cậy Dropbox tương thích hầu hết các hệ điều hành và có tính năng đồng bộ trêntất cả các thiết bị rất thuận tiện cho quá trình sử dụng

 SugarSync

SugarSync là một dịch vụ sao lưu trực tuyến cũng như đồng bộ hóa đượccung cấp bởi hãng SugarSync – một nhà cung cấp dịch vụ lưu trữ đám mây.SugarSync có thể sao lưu dữ liệu từ bất kì thư mục nào trên đĩa cứng, ngoài ra còn

có thể chia sẻ với người khác SugarSync cung cấp một số tính năng tiện dụng đểchuyển nhạc và hình ảnh giữa các thiết bị di động và máy tính

 iCloud

iCloud là sản phẩm được cung cấp dành riêng cho các thiết bị Apple – mộttập đoàn công nghệ máy tính của Mỹ, chuyên cung cấp các sản phẩm như máy tính

cá nhân, phần mềm, phần cứng, thiết bị nghe nhạc và nhiều thiết bị đa phương tiệnkhác iCloud cung cấp cho người dùng của Apple cách thức mới để lưu trữ và truycập dữ liệu Ngoài ra iCloud còn cho phép đồng bộ hóa tự động giữa các thiết bịcủa Apple dựa trên thời gian thực theo cơ chế push mang đến cho người dùngnhững tiện ích to lớn.

Không giớihạn trênmáy tính(300 MBtrên Web)

Không giớihạn trênmáy tính(300 MBtrên Web)

Khônggiới hạn

Băng

thông

Khônggiới hạn

Không giớihạn

20GB/file/ ngày

10GB/file/ngày Chưa rõ

Đăng kí Tài khoản Gmail MicrosoftEmail Email bấtkì Email bấtkì AppleID

Sau khi so sánh một số tiêu chí của 5 dịch vụ điện toán đám mây Tiến hànhkiểm tra thực nghiệm tốc độ upload và download của 4 dịch vụ lưu trữ phổ biến làGoogle Drive, OneDrive, Dropbox, SugarSync Phương thức đo là nén một thưmục gồm file hình ảnh, word, video, phần mềm, music thành một file định dạng

“.rar” nặng 203Mb Tốc độ mạng thời điểm đo được đo qua trang Speedtest.net.Dưới đây là kết quả thực nghiệm quá trình đo

 Tiến hành đo thực nghiệm với các thông số cơ bản sau:

 Cấu hình máy tính: CPU: Core i5, RAM: 4GB

 Tốc độ mạng trung bình ở thời điểm đo là 33.62 Mbps / 94.51 Mbps (Upload/Download)

Kết quả Upload/Download trung bình với 7 lần đo (Đơn vị : Mbps):

GoogleDrive

Kết quả thực nghiệm cho thấy tốc độ upload và download của các 3 nhàcung cấp dịch vụ là Google Drive, One Drive, Dropbox có tốc độ tương đối cao.Trong đó Google Drive là nhanh nhất, One Drive có tốc độ upload và downloadxấp xỉ nhau Tốc độ của SugarSync là chậm hơn so với 3 đối thủ kia Đặc biệt nó

có tốc độ upload cao hơn download nhưng tương đối ổn định

1.2 Các nguy cơ mất an toàn thông tin trong điện toán đám mây

Cùng với những lợi ích to lớn của mình, điện toán đám mây cũng đã đượcchỉ ra rằng nó hoàn toàn có thể bị lợi dụng bởi tin tặc và không hoàn toàn an toàn.Trong điện toán đám mây, vấn đề bảo mật được chia sẻ giữa nhà cung cấp dịch vụ

và người dùng điện toán đám mây Hai bên cần phải có sự tin tưởng và thỏa thuậnvới nhau để từ đó nâng cao tính bảo mật Rất nhiều mối đe dọa bảo mật nảy sinh từbên trong hoặc bên ngoài môi trường nhà cung cấp, người dùng và được phân loạithành các dạng đe dọa từ bên trong, tấn công nguy hại từ bên ngoài, mất mát dữliệu, các vấn đề liên quan đến đa chức năng, mất quyền kiểm soát và gián đoạndịch vụ

1.1.5 Các mối đe dọa từ bên trong

Khảo sát cho thấy hầu hết các đe dọa bảo mật nảy sinh từ bản thân bên trongdoanh nghiệp và ẩn khuất trong các dịch vụ điện toán đám mây của người dùng dođám mây là một mô hình đa nhiệm và chịu quyền quản lý đơn của nhà cung cấp Ởtrên nền tảng đó, các doanh nghiệp sử dụng dịch vụ đám mây khó can thiệp vàocác tiến trình của nhà cung cấp để phân bổ nhân viên quản trị đám mây thích hợp,hay việc quản lý lưu trữ dữ liệu tại các vùng khác nhau và mối quan hệ với cáchãng thứ ba Thực tế không có các chuẩn và thực nghiệm rõ ràng để cho nhân viênquản trị đám mây sử dụng, cùng với các vấn đề khác có thể gây ra các lỗ hổng tạođiều kiện cho các hoạt động phá hoại của gián điệp kinh doanh, tin tặc hoặc mối đedọa nguy hại từ bên trong

Đây vẫn đang là thách thức với các doanh nghiệp trong việc làm sao có thểhạn chế nhân viên, nhà thầu, nhà cung cấp và các đối tượng tin cậy khác các quyềntruy cập tới tài nguyên quan trọng từ trong mạng Thách thức này nếu muốn đượcgiải quyết thì cần phải có một quy trình quản lý chặt chẽ áp dụng với cả nhà thầu

và nhà cung cấp cũng như nhân viên của chính doanh nghiệp đó, việc chỉ định cácyêu cầu tài nguyên về con người như một phần hợp pháp của hợp đồng Hệ thống

IDS/IPS phải được cài đặt và hoạt động hiệu quả để phát hiện nhanh nhất có thểcác mối nguy hại.

1.1.6 Các tấn công nguy hại từ bên ngoài

Các đe dọa từ bên ngoài là một trong những vấn đề được quan tâm nhất đốivới bất cứ doanh nghiệp nào, do trực tiếp tác động tới việc thất thoát các thông tinmật ra bên ngoài hoặc thậm chí có thể làm mất uy tín của doanh nghiệp và lợi thếkinh doanh của doanh nghiệp đó Đây là một trong những vấn đề muôn thuở của

hạ tầng đám mây từ trước tới nay Các đám mây có xu thế mang tính tích hợp hơn

là các mạng riêng và hỗ trợ nhiều giao diện để giúp hợp pháp thông tin truy cậpngười dùng Thực tế các tin tặc thường tận dụng ưu thế vào việc khai thác điểmyếu API hay đường kết nối hay trực tiếp xâm nhập vào trong hệ thống Các tin tặcbên ngoài có thể không gây thiệt hại như các tin tặc bên trong, tuy nhiên để ngănchặn tin tặc tấn công từ bên ngoài khó hơn rất nhiều so với tin tặc bên trong vì rõràng rằng với các biện pháp an ninh thì việc đột nhập vào hệ thống từ bên trongkhó hơn rất nhiều so với việc sử dụng các kết nối mạng từ bên ngoài Hiện nay giớitội phạm công nghệ cao có 4 phương thức tấn công mạng sau:

-Tấn công chủ động: Tấn công chủ động như tên gọi của nó là các cuộc tấncông mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thựchiện cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt độngcủa mạng máy tính hoặc hệ thống

- Tấn công bị động : Bao gồm quét, bắt trộm và nghe trộm các gói tin có thểđược xem là một phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả

- Tấn công mật khẩu: Bao gồm việc dự đoán, so sánh và tra mật khẩu thôngqua một bộ từ điển mật khẩu

- Tấn công mã nguồn và mã mật: Bao gồm các phương pháp cửa sau(BackDoor), Virus, Trojans, Worms, các khóa mật mã yếu và thuật toán

Mối nguy hại này có thể được giảm nhẹ bằng cách làm tương tự giống nhưtrong các trung tâm dữ liệu mạng truyền thống, tuy nhiên đám mây không tươngđồng với các trung tâm dữ liệu đó mà nó còn có các máy ảo với rất nhiều người

dùng Do đó, vòng bảo vệ gồm sử dụng tường lửa, ACL và hệ thống IDS/IPS là bắtbuộc Bên trong vòng bảo vệ đó, các điểm nóng cần được triển khai cùng với các

hệ thống xác thực mạnh mẽ gây khó khăn lớn cho tin tặc khi tấn công Để tăngcường thêm khả năng bảo mật, cần có một hệ thống điều khiển truy cập hoạt độnghiệu quả Các máy ảo nên được cách li với mỗi khách hàng và một tường lửa đượccấu hình đúng mức nên được thực thi để khi một máy ảo bị tấn công và khai thác,tin tặc không thể dễ dàng từ đó tấn công các máy ảo khác

Hơn nữa, các mối nguy hại bảo mật mới nảy sinh hằng ngày, càng lúc càngtinh vi và nguy hiểm hơn và không thể đoán trước Có thể cải tiến việc giám sátcác thành phần và hoạt động khác nhau của đám mây cũng như các quy trình làmviệc của đám mây một cách bí mật để đánh 5lạc hướng cũng như dụ tin tặc vào bẫy

do mục tiêu tấn công bị thay đổi và không rõ ràng

1.1.7 Mất mát dữ liệu

Khi doanh nghiệp di trú dữ liệu của họ lên đám mây, họ luôn kỳ vọng vàomức độ tin cậy và an toàn của dữ liệu, tuy nhiên rõ ràng rằng sự an toàn của dữliệu trên đám mây không thể tốt bằng khi đặt trong hệ thống đóng của doanhnghiệp do môi trường đám mây là một môi trường đa nhiệm và việc điều khiểntruy cập không cùng một cấp độ giống như môi trường truyền thống Việc thựchiện điều này là không dễ dàng và việc mất mát dữ liệu có thể gây ra các tổn hại vềtài chính, danh tiếng và tin cậy của khách hàng và doanh nghiệp Việc mất mát dữliệu có thể phát sinh do rất nhiều yếu tố ví dụ như khi xóa hay thay đổi các bản ghi

mà không có bản sao lưu dự phòng, xác thực không đầy đủ, phân quyền và kiểmsoát tài khoản, các mã khóa xác thực không đảm bảo, các lỗi điều hành, các vấn đềchính trị và độ ổn định của trung tâm dữ liệu…

1.1.8 Gián đoạn dịch vụ

Gián đoạn dịch vụ có thể đẩy doanh nghiệp vào tình trạng khó khăn, tàinguyên không sẵn sàng cho người dùng hợp pháp sử dụng và không chỉ làm kháchhàng không thỏa mãn, việc này còn làm giảm tinh thần làm việc của nhân viên

Trong trường hợp tin tặc đạt được quyền điều khiển tới hệ thống xác thực truy cậpcủa doanh nghiệp, họ có thể giám sát truyền tải và thay đổi dữ liệu.Trong trườnghợp xấu nhất, tin tặc còn có thể tái sử dụng các phiên làm việc và gián tiếp chuyểnhướng khách hàng truy cập tới các trang web phi pháp hay thực hiện các cuộc tấncông DOS/DDOS nhắm tới yếu tố sẵn sàng phục vụ của hệ thống.

Mối nguy hại này có thể được giảm nhẹ bởi nhiều tiến trình ẩn Trước hết,nhà cung cấp phải ngăn việc chia sẻ xác thực tài khoản giữa những người dùngtheo nhiều cách thức và phương tiện đối với mỗi máy ảo hoặc mỗi phiên Tiếptheo, nhà cung cấp phải thực thi các kỹ thuật xác thực đa nhân tố mạnh mẽ đủ đảmbảo người dùng chỉ được truy cập sau khi vượt qua các tiến trình xác thực Thêmvào đó, nên sử dụng các công cụ như iptable để có danh sách các kết nối đến từ dải

IP hoặc tên DNS đã biết Đồng thời vẫn cần hệ thống IDS/IPS hoạt động hiệu quả.Bảo mật trong điện toán đám mây là trách nhiệm của cả nhà cung cấp và ngườidùng, và do đó người dùng phải sẵn sàng sử dụng các kỹ thuật để đảm bảo dữ liệu

và thông tin được an toàn Nếu có thể, nhà cung cấp nên linh động chấp nhận cácchính sách bảo mật cụ thể của người dùng

Ngoài ra, việc cấp phép người dùng khi khởi tạo và các tiến trình đánh giá

có thể giúp làm giảm thiểu bất cứ tấn công nào thậm chí trước khi chúng có thểphát tán ví dụ đơn giản như việc đăng ký một tài khoản google hiện nay đã kèmtheo việc kích hoạt bằng số điện thoại… Việc giám sát toàn diện lưu lượng mạngcủa khách hàng được thực thi sử dụng hệ thống ngăn chặn xâm nhập và thậm chí là

hệ thống ngăn chặn xâm nhập máy chủ tại các điểm cuối của khách hàng Các cốgắng tấn công gây gián đoạn dịch vụ có thể tránh nhờ giám sát danh sách đen côngcộng và danh sách đen của nhà cung cấp dịch vụ

1.1.9 Mất quyền kiểm soát

Khi doanh nghiệp chuyển cổng dữ liệu hoặc dịch vụ lên đám mây, họ khôngcần quan tâm vị trí dữ liệu và dịch vụ của họ đặt ở đâu, và do đó nhà cung cấp cóthể chứa dữ liệu hoặc dịch vụ ở bất cứ đâu trong đám mây Tuy nhiên nó cũng gây

ra mối quan tâm của người dùng về việc doanh nghiệp mất quyền kiểm soát dữ liệuquan trọng và không nắm rõ các thuật toán bảo mật mà nhà cung cấp đưa vào.

Hạ tầng ảo hóa của đám mây rất phức tạp và mang tính động do việc đa xử

lý, lưu trữ ảo, có nhiều người quản lý, nhiều ứng dụng chạy tại cùng một thờiđiểm Ngoài ra có một số lượng lớn nguồn lưu lượng vào và ra khỏi mỗi máy chủvật lý hay máy chủ ảo Do đó, hạ tầng ảo hóa của đám mây xóa nhòa biên giới vật

lý truyền thống sử dụng trong việc định nghĩa, quản lý và bảo vệ tài sản của doanhnghiệp trong trung tâm dữ liệu truyền thống Tuy vậy nó dẫn đến việc hạ tầng ảohóa sẽ trở nên phức tạp và bản thân nó sẽ được bảo vệ khỏi các mối đe dọa bất kể

từ bên trong hay bên ngoài Các giải pháp bảo mật tương thích trong môi trườngđám mây sử dụng để bảo vệ hạ tầng ảo hóa đám mây là một thách thức lớn đòi hỏiviệc nghiên cứu sâu về nhiều hướng tấn công và các đặc tính riêng biệt

1.3 Các hướng nghiên cứu bảo mật cho điện toán đám mây.

1.1.10 Giới thiệu một số mô hình an toàn

 Mô hình bảo vệ 3 lớp

Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây[1]

Hình 1 8 Mô hình ba lớp bảo vệ dữ liệu

- Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, vớigiải pháp thường được áp dụng là dùng mật khẩu một lần (One Time Password -OTP) Các hệ thống đòi hỏi tính an toàn cao sẽ yêu cầu xác thực từ hai phía làngười dùng và nhà cung cấp, nhưng với các nhà cung cấp điện toán đám mây miễnphí, thì chỉ xác thực một chiều (Hình 1.8).

- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toànvẹn dữ liệu (Data Integrity) và bảo vệ tính riêng tư người dùng (Private UserProtection) thông qua một thuật toán mã hóa đối xứng

- Lớp 3 (Layer 3): Lớp dữ liệu người dùng phục vụ cho việc phục hồi nhanh

dữ liệu theo tốc độ giải mã

 Mô hình bảo mật dựa vào Encryption Proxy

Hệ thống trên được thiết kế để mã hóa toàn bộ dữ liệu của người dùng trướckhi đưa lên đám mây (Hình 1.9)

Hình 1 9 Mô hình bảo mật dựa trên Encryption Proxy

Quá trình mã hóa/giải mã và xác thực được thông qua Encryption Proxy Môhình này đảm bảo dữ liệu an toàn và bí mật trong quá trình truyền (transmission)

và lưu trữ (storage) giữa người dùng và đám mây Để các bản mã vẫn được xử lý

và quản lý lưu trữ mà không cần giải mã thì thuật toán mã hóa dữ liệu đồng phôi(homomorphic encryption algorithm) và đồng phôi đầy đủ (fully hommomorphic)đang được quan tâm nghiên cứu ứng dụng trong mô hình này Thông tin bí mật củangười dùng phục vụ quá trình mã hóa/giải mã được lưu tại Secure Storage.[1]

 Mô hình bảo vệ dữ liệu sử dụng VPN Cloud

Trong mô hình này (Hình 1.10), để đảm bảo dữ liệu trên kênh truyền được

an toàn, người ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đường truyềngiữa các đám mây riêng với nhau và giữa người sử dụng với đám mây Với các tổchức có nhu cầu an toàn dữ liệu cao thì khi triển khai thường lựa chọn mô hìnhđiện toán đám mây riêng (Private Cloud Computing) VPN Cloud sẽ giúp cho việckết nối giữa người dùng và đám mây, cũng như kết nối giữa các đám mây riêngđược an toàn và bảo mật thông qua chuẩn IPSec.[1]

Hình 1 10 Mô hình bảo vệ dữ liệu sử dụng VPN Cloud

Công nghệ VPN trong các hệ thống mạng truyền thống đã phát huy nhiều ưuviệt và được dùng khá phổ biến Tuy nhiên, với công nghệ điện toán đám mây luônđòi hỏi tính linh động (dynamic) và mềm dẻo (elastic) trong tổ chức cũng như quản

lý hệ thống, thì các kỹ thuật dynamic VPN hay elastic VPN sẽ phù hợp Khi sốlượng kết nối VPN trong hệ thống điện toán đám mây lớn sẽ đòi hỏi mô hình thiếtlập VPN phù hợp tương ứng Có hai mô hình VPN thường được quan tâm là Hub -and - Spoke và Full- Mesh Hai mô hình này sẽ được trình bày chi tiết ở phần saucủa đồ án

1.1.11 An toàn liên quan đến kiến trúc của điện toán đám mây

Một đám mây là một cụm máy tính kết nối nhau thông qua mạng cục bộhoặc mạng diện rộng trên cơ sở ảo hóa tài nguyên phần cứng nhờ chức năng ảohóa để cung cấp một cách trong suốt ba dịch vụ cơ bản của điện toán đám mây làSaaS, PaaS và IaaS Mô hình triển khai đám mây có thể là công cộng, đám mâyriêng hoặc cộng đồng hay hỗn hợp như đã nói ở phần trên Các dịch vụ điện toánđám mây có kiến trúc phân tầng (layer), mỗi tầng cung cấp các dịch vụ và tiện ích(chức năng) riêng của nó trên cơ sở các dịch vụ và tiện ích của tầng thấp hơn Vìvậy an ninh của hệ thống phụ thuộc vào an ninh của mỗi tầng được thiết kế và càiđặt kèm theo như là 1 dịch vụ hay tiện ích

Hình 1 11 Các tầng trong kiến trúc điện toán đám mây

 An ninh ở mức hạ tầng

An ninh của các dịch vụ ở tầng thấp như tầng vật lý hay hạ tầng (IaaS)phụ thuộc vào nhà cung cấp, tức là chủ sở hữu của đám mây Hiện tại, có một sốnhà cung cấp dịch vụ IaaS nhưng chưa có chuẩn nào về an ninh cho các dịch vụnày Về mặt nguyên tắc, khách hàng thuê bao dịch vụ IaaS có thể áp đặt các chínhsách an ninh của mình bằng cách phát triển các dịch vụ hay tiện ích riêng thôngqua các dịch vụ của tầng vật lý và các dịch vụ IaaS của nhà cung cấp Chính sách

về an toàn ở mức này là rất phức tạp vì nhiều chính sách khác nhau áp đặt lên cùngmột môi trường phần cứng (vật lý)

Những mối đe dọa an toàn ở mức này có thể liên quan tới máy chủ ảo(Virtual Machine) như là virus và các phần mềm độc hại khác Nhà cung cấp dịch

vụ chịu trách nhiệm chính về giải pháp cho vấn đề này Khách hàng thuê bao cũng

có thể thực hiện các giải pháp và chính sách an toàn riêng cho mình, từ đó làm giatăng gánh nặng lên phần cứng và hiệu năng chung của hệ thống Các máy chủ ảovẫn có thể bị lây nhiễm hay bị kiểm soát bởi phần mềm độc hại Trong trường hợpnày, các chính sách an ninh của khách hàng có thể bị vô hiệu, như vậy nhà cungcấp dịch vụ phải là người có vai trò chính trong an ninh ở mức này Ngoài ra, vìIaaS khai thác hạ tầng vật lý và chính sách chung như DNS Server, Switch, IPprotocol,… Vì vậy, khả năng bị tấn công vào “khách hàng yếu nhất” sau đó “lâylan” cho các khách hàng khác Vấn đề này hiện nay khách hàng thuê bao không thểcan thiệp gì vì nhiều máy chủ ảo chia sẻ cùng tài nguyên vật lý như CPU, bộ nhớ,đĩa,… Mọi ánh xạ vật lý-máy ảo, máy ảo-vật lý đều thông qua một “bộ ảo hóa”,nếu bộ này bị phần mềm độc hại kiểm soát thì toàn bộ khách hàng trong đám mây

sẽ bị cùng một mối hiểm họa như nhau

 An ninh ở mức dịch vụ nền tảng

Ở mức trung gian, dịch vụ nền tảng (PaaS) dựa trên dịch vụ tầng dưới (IaaS)

và cung cấp dịch vụ của mình cho tầng trên nó (SaaS) Ở mức này, các dịch vụ haytiện ích về an toàn có thể được cài đặt thêm hoặc cấu hình các dịch vụ được cung

cấp từ tầng dưới Ở đây, người dùng có thể quản trị phần thuê bao của mình để tạo

ra môi trường thực thi các ứng dụng Hiện nay, dịch vụ PaaS của đám mây dựatrên mô hình kiến trúc hướng dịch vụ (SOA) vì vậy những nguy cơ về an toàngiống hệt như những nguy cơ an toàn của SOA như tấn công từ chối dịch vụ, tấncông XML và nhiều cách tấn công khác

Vì dịch vụ nền tảng là dịch vụ đa thuê bao, nhiều người dùng nên cơ chế xácthực, chứng thực là rất quan trọng Trách nhiệm bảo mật và an toàn trong trườnghợp này liên quan đến cả nhà cung cấp, người thuê bao và người dùng (user) Cácdịch vụ PaaS phải cung cấp môi trường để phát triển ứng dụng bao gồm chức năngtác nghiệp, các chức năng an toàn và quản lí hệ thống Nhà cung cấp cần có cơ chếbắt buộc chứng thực để truy cập các dịch vụ PaaS, người thuê bao có trách nhiệmphát triển hay cung cấp các chức năng bảo mật cần thiết thông qua cơ chế chứngthực chung và người dùng phải có trách nhiệm bảo vệ tài khoản đăng nhập cá nhâncủa mình

 An ninh ở mức dịch vụ phần mềm

Ở mức dịch vụ phần mềm (SaaS), các phần mềm được cung cấp như là dịch

vụ trên mạng, sử dụng các chính sách bảo mật dữ liệu và tài nguyên khác từ cáctầng bên dưới cung cấp Một số dịch vụ phần mềm khá phổ biến hiện nay làGoogle Search Engine, Google mail… Khách hàng của các dịch vụ này không biếtđược dữ liệu của mình được quản lí và khai thác như thế nào và nó nằm ở đâu trênthế giới này Vấn đề an ninh ở đây liên quan đến bảo mật dữ liệu, rò rỉ thông tinnhạy cảm và nguy cơ bị tấn công từ chối truy cập… Trách nhiệm về an toàn đượcchia sẻ cho nhà cung cấp hạ tầng đám mây và nhà cung cấp dịch vụ phần mềm.Người dùng đầu cuối (end user) chỉ là người dùng phần mềm với các lựa chọn cấuhình khác nhau được cung cấp bởi phần mềm nên không có nhiều vai trò trong antoàn hệ thống Người dùng cuối chỉ biết tin vào nhà cung cấp phần mềm và cáccam kết của nhà cung cấp về trách nhiệm bảo mật Thông thường các cam kết này

có thể là điều khoản trong hợp đồng thuê bao phần mềm, như là: an toàn thông tin

và chất lượng dịch vụ Chúng thường bao gồm: dung lượng dữ liệu, toàn vẹn dữ

liệu, chính sách về phân tán, sao lưu và phục hồi dữ liệu khi có sự cố, độ tin cậy,tính riêng tư và an toàn mạng cùng với các cam kết khác về chất lượng dịch vụ nhưdung lượng đường truyền tính sẵn dùng

Ở mức này, các phần mềm được cung cấp trên nền web (web-basedapplication) Các web này thường được đặt ở máy chủ ảo trên đám mây, cho nênchúng phải được kiểm tra bằng cách quét các yếu điểm web nhờ vào một ứng dụngquét nào đó Các tường lửa có thể được dùng đển ngăn chặn các tấn công vào điểmyếu đã biết của các phần mềm nền web Những công việc này thuộc về nhà cungcấp phần mềm hoặc đám mây, người dùng cuối nhiều lắm là tham gia vào lựa chọncác cấu hình (option) khác nhau mà thôi Tình hình này có thể dẫn đến những lộnxộn trong cấu hình an toàn chung của hệ thống do tính chất đa thuê bao, kéo theonhững lỗ hổng trong an toàn hệ thống Vì vậy, các nhà cung cấp phải có nhữngchính sách chung bắt buộc và cách kiểm soát sao cho những cấu hình an toàn, bảomật phải nhất quán, chặt chẽ và không có lỗ hổng

Kết thúc chương 1, chúng ta đã có cái nhìn tổng quan nhất về công nghệđiện toán đám mây, thấy rõ được tầm quan trọng trong việc xây dựng cũng nhưtriển khai hệ thống điện toán đám mây trong các cơ quan tổ chức Trong chương 2,

sẽ giới thiệu về một phần mềm giúp triển khai hệ thống điện toán đám mây phổbiến nhất hiện nay đó là phần mềm mã nguồn mở OpenStack

CHƯƠNG 2 XÂY DỰNG ĐÁM MÂY DỰA TRÊN MÃ NGUỒN

2.1 Giới thiệu phần mềm mã nguồn mở OpenStack

1.1.12 Lịch sử ra đời OpenStack

Vào năm 2005 khi mà Amazon ra mắt thử nghiệm EC2(Amazon Elastic Cloud Compute ), đó là một thành công lớn gây bất ngờ cho cộngđồng Với sự ổn định của nó, các công ty khác có thể đơn giản “thuê” EC2 trongmột vài giờ với một mức năng lực rất rất lớn để thực hiện các công việc tính toáncần tới hiệu năng cao của họ Ví dụ mà Amazon thường đem ra so sánh là việc hợptác giữa họ và NASDAQ - sàn chứng khoán cần xử lý một lượng dữ liệu tính toáncực lớn vào cuối tuần, thay vì đầu tư một hệ thống máy chủ phức tạp, họ chỉ thuêEC2 trong vài giờ và chi phí tiết kiệm rất rất nhiều hơn nữa hiệu quả công việc lạitốt hơn

Một trong những công ty cần sử dụng khả năng tính toán hiệu năng cao kiểunhư thế là NASA Họ có kế hoạch tái cấu trúc lại trung tâm dữ liệu của họ, và họ

cần một nền tảng IaaS để có thể sử dụng tốt hơn hạ tầng vật lý mà họ có AmazonEC2 là một tấm gương tốt đáng ngưỡng mộ Vào khoảng năm 2008 NASA bắt đầutham gia vào Eucalyptus một dự án nhằm cung cấp một IaaS giống như AWS(EC2 và S3) Tuy nhiên không như mong muốn của NASA, Eucalyptus không phải

là một dự án mở hoàn toàn, công ty đỡ đầu cho nó không cho phép NASA xemmột số thành phần đóng kín của Eucalyptus

Sau đó NASA bắt đầu nghiên cứu dự án riêng của họ cũng với mục đích xâydựng một hạ tầng như Amazon EC2, và tên mã của dự án là Nebula Với sự tácđộng từ nhiều phía khác nhau, cuối cùng vào năm 2010 NASA quyết định công bố

mã nguồn của Nebula và phát triển nó dưới dạng nguồn mở với codename là Nova.Sau đó Rackspace tiếp tục đóng góp nền tảng lưu trữ của họ vào dự án vớicodename Swift Dự án OpenStack được thành lập với cam kết phát triển theohướng mở Nó nhanh chóng nhận được sự đồng thuận từ rất nhiều hãng công nghệkhác và cộng đồng Hiện nay đã có hơn 160 công ty tham gia vào dự án này vớihầu hết các tên tuổi lớn như: NASA, Rackspace, Cisco, Citrix, Microsoft, HP,Dell, Canonical…

Như đã nói AWS chính là nguồn cảm hứng tạo nên OpenStack ngày nay,AWS là nền tảng đóng của Amazon và OpenStack là một nền tảng mở dành cho tất

cả các công ty và cộng đồng sử dụng Mục đích của OpenStack là cung cấp chongười dùng khả năng xây dựng một hạ tầng cho cả private cloud và public cloud

Đã có nhiều công ty sử dụng OpenStack để xây dựng dịch vụ và phục vụ nhu cầucủa chính họ hoặc cho thuê như chính NASA và Rackspace

1.1.13 Các phiên bản của Openstack

- Austin – 10/2010: Là phiên bản đầu tiên của OpenStack bao gồm 2projects là Object storage (còn gọi là Swift) và Compute (còn gọi là Nova) ProjectCompute trong phiên bản này chỉ ở mức độ testing và hạn chế nhiều tính năng khitriển khai

- Bexar – 2/2011: Tích hợp 1 project mới là Image Service, đồng thời cónhiều sự thay đổi cải tiến trong Nova và Swift Phiên bản này cho phép lưu trữfiles lớn hơn 5Gb và tích hợp một service mới “swauth” cho việc chứng thực, thẩmquyền Đồng thời cải tiến nhiều tính năng trong API cũng như mở rộng việc hỗ trợcác hypervisors cho ảo hóa

- Cactus – 4/2011: Phiên bản này cũng bao gồm 3 projects như Bexar, tuynhiên có sự cải tiến API và hỗ trợ thêm 2 công nghệ ảo hóa LXC containers vàVMware Glance giới thiệu công cụ command- line mới phục vụ việc truy cập dịch

vụ, thêm các định dạng image, và thẩm định image đảm bảo toàn vẹn dữ liệu(integrity)

- Diablo – 11/2011: Đây là phiên bản được sử dụng thử nghiệm, cũng có 3projects chính như phiên bản CACTUS

- Essex – 4/2012: Với sự hỗ trợ và nâng cấp 2 projects mới là KEYSTONE

- Havana – 9/2014: Bổ sung thêm HEAT&CEILOMETER

- Icehouse – 10/2014: Hỗ trợ thêm phần bảo mật, bổ sung thêm TROVE

- Juno – 16/10/2014 : Hỗ trợ thêm dịch vụ xử lý dữ liệu SAHARA

- Kilo – 30/4/2015: Bổ sung thêm thành phần Ironic (Công cụ giúp triển khaiOpenStack dễ dàng hơn)

2.2 Kiến trúc, thành phần của OpenStack

Hình 2 1 Kiến trúc khái niệm của OpenStack

 Tương tác với APIs của các dịch vụ

 Không đầy đủ các chức năng để điều khiển OpenStack

 Keystone:

 Dịch vụ xác thực và ủy quyền trong OpenStack

 Quản lý, tạo, sửa, xóa tài khoản, nhóm người dùng, vai trò…

 Hỗ trợ và có thể kết hợp với LDAP, PAM, SQL…

 Nova:

 Lập lịch cho các máy ảo (Instance) Tạo, sửa, xóa, thay đổi các máy ảo

 Quản lý vòng đời của các máy ảo từ lúc tạo ra, đến lúc xóa đi

 Nova tương đương với dịch vụ EC2 (Dịch vụ cung cấp máy ảo của AWS)

 Hỗ trợ nhiều Hypervisor: KVM, VMWare, Hyper-V, XEN, Docker…

 Hỗ trợ nhiều Backend storage: iSCSI, SAN, NetAPP…

 Đọc và ghi các đối tượng (chính là các file) thông qua HTTP

 Tương tự dịch vụ S3 (Simple Storage Service) của AWS (Dịch

 Mục tiêu: Cung cấp dịch vụ về mạng trong OpenStack

 Có nhiều dịch vụ cao cấp: FWaaS, LBaaS, VPNaaS

 Thay thế cho Nova network

 Có cơ chế Plugin để làm việc với các hãng và giải pháp về network khác

 Cinder:

 Thay thế Nova Volume, cung cấp các “Block Storage” gắn vàomáy ảo

 Cung cấp các Volume (Ổ đĩa-partion) gắn vào các máy ảo

 Có thể khởi tạo các máy từ Volume

 Có các plugin để kết nối với Storage của các hãng khác

 Có thể sao lưu, mở rộng các Volume

 Ceilometer:

 Đáp ứng tính năng “Pay as you go” của Cloudcomputing

 Dùng để thống kê các tài nguyên mà người dùng sử dụng

 Giám sát mức độ sử dụng tài nguyên trong OpenStack

 Có mục tiêu lớn: Đo lường để tính phí

 Tích hợp trong Horizon với quyền Admin

Hình 2 2 Các thành phần trong OpenStack

2.3 Cài đặt, triển khai OpenStack

Trong phần này của đồ án sẽ trình bày tóm tắt về quá trình cài đặt triển khaiOpenStack trong phòng thí nghiệm

Quá trình cài đặt triển khai OpenStack (phiên bản Icehouse) được thực hiệntrên phần mềm VMWare Workstation 10, sử dụng hệ điều hành Ubuntu 14.04Server với 3 node là Controller Node, Network Node, Compute Node

Cấu hình các máy:

Controller Node: Cấu hình tối thiểu HDD 20GB trở lên, RAM 2GB trở lên,CPU 02 nhân (có tích vào các chế độ ảo hóa), NIC 02 NICs (eth0 - chế độvmnet2–Hostonly) (eth1 – chế độ brige)

Network Node: Cấu hình tối thiểu HDD 20GB, RAM 2GB, CPU 01 nhân(có lựa chọn chế độ ảo hóa), NICs 03 eth0 chế độ vmnet2-Hostonly eth1 chế độvmnet3-Hostonly , eth2 chế độ brige

Compute Node: HDD 60GB, RAM 3GB, CPU 2*2 nhân (có lựa chọn chế độ

ảo hóa), NICs 03, NICs 03 eth0 chế độ vmnet2-Hostonly eth1 chế độ Hostonly

vmnet3-Controller Node: Chạy các dịch vụ quản lý (keystone, horizon, …) cần

thiết cho OpenStack hoạt động

Network Node: Chạy các dịch vụ mạng, tạo các mạng ảo, kết nối các máy

ảo với mạng bên ngoài

Compute Node: Chạy các trường hợp máy ảo VM trong OpenStack

Mô hình cài đặt OpenStack với 3 nút:[5]

Hình 2 3 Mô hình triển khai OpenStackĐối với cài đặt OpenStack đa nút mạng, cần tạo 3 mạng:

Management Network (10 0 0 0/24): Một phân đoạn mạng sử dụng cho

quản lý, không thể truy cập Internet

VM Traffic Network (10 0 1 0/24): Mạng này sử dụng như một mạng bên

trong cho lưu lượng giữa các máy ảo trong OpenStack, và giữa các máy ảo và cácnút mạng cung cấp các Router L3 ra mạng công cộng

Public Network (192 168 3 0/24): Mạng này dùng để người dùng có thể

kết nối vào controller node thông qua giao diện OpenStack và kết nối với các nútmạng để cung cấp máy ảo với chức năng định tuyến lưu lượng ra bên ngoài

Các gói cài đặt trên từng node trong triển khai đám mây OpenStack

Hình 2 4 Các gói cấu hình trên Controller Node.

Hình 2 5 Các gói cấu hình trên Network Node

Hình 2 6 Các gói cấu hình trên Compute NodeTrên đây là trình bày tóm tắt về việc cài đặt triển khai đám mây OpenStack,chi tiết về việc cấu hình cài đặt có thể tham khảo tại phụ lục A của đồ án.

Sau khi quá trình cài đặt thành công, người dùng có thể tiến hành sử dụngmáy ảo Dưới đây là mô hình sử dụng máy ảo từ phía người dùng cuối

Hình 2 7 Mô hình sử dụng máy ảo từ phía người dùng cuối

Khi người dùng yêu cầu một máy ảo (Windows 7, Windows Server 2012,Ubuntu, CentOS…) gửi tới đám mây OpenStack Trên đám mây OpenStack thì các