ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN NGUYỄN MẠNH TUẤN GIẢI PHÁP ĐẢM BẢO AN TOÀN DỮ LIỆU TRÊN NỀN TẢNG ẢO HÓA Ngành: Công nghệ thông tin Chuyên ngành: Quản lý hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm TÓM TẮT LUẬN VĂN THẠC SĨ Hà Nội - 2014 Mở Đầu: Ngày nay, với phát triển mạnh mẽ công nghệ thông tin, máy tính đời với hiệu vô lớn tổ chức giới sử dụng từ 10% đến 30% hiệu máy chủ mà họ sở hữu Điều đặt cho nhà khoa học toán làm để sử dụng máy chủ hết công suất chúng, giảm thiểu chi phí giá thành thiết bị, chi phí vận hành, chi phí bảo trì hệ thống Chính công nghệ ảo hóa đời Ảo hóa cho phép chạy nhiều máy chủ tảng phần cứng nhất, điều làm cho chi phí phần cứng, chi phí điện, chi phí bảo trì hệ thống, không gian lắp đặt máy chủ datacenter, … đồng thời giúp sử dụng hết lực máy chủ vật lý Hiện nay, có nhiều nhà cung cấp sản phẩm máy chủ phần mềm đầu tư vào việc nghiên cứu phát triển công nghệ ảo hóa có nhiều sản phẩm cho phép ảo hóa hệ thống mày chủ Red Hat, Oracle, IBM, Microsoft, VMware với nhiều sản phẩm ngày hoàn thiện chiếm lĩnh thị trường toàn giới Trong đó, với 80% thị phần ảo hóa toàn giới, VMware hãng đầu triển khai công nghệ ảo hóa Một nỗi lo lắng người dùng sử dụng công nghệ ảo hóa vấn đề an toàn liệu Hầu hết người sử dụng lo lắng việc liệu dùng chung bị đánh cắp dễ dàng hơn, khả khôi phục có cố hay thảm họa thiên nhiên, khả đáp ứng hệ thống, đặc biệt nhìn thấy nơi mà liệu lưu trữ không trực tiếp lưu phục hồi nên người sử dụng lo ngại không muốn chuyển sang dùng ảo hóa Trên giới có nhiều hãng sản xuất phần cứng phần mềm đầu tư nghiên cứu để cải thiện khả đảm bảo an toàn liệu hệ thống ảo hóa Veeam, Vmware, Microsoft, Trendmicro, Norton, … hầu hết đảm bảo khả phục hồi có thảm họa xảy ra, khả lưu phục hồi cần thiết, khả đáp ứng hệ thống ảo hóa chưa có giải pháp tổng thể cho vấn đề an ninh liệu tảng ảo hóa Điều khiến người dùng giới e ngại ảo hóa máy chủ doanh nghiệp, máy tính cá nhân lưu trữ thông tin nhạy cảm mạng Nhận thức cần thiết khả phát triển mạnh mẽ công nghệ ảo hóa yêu cầu cấp thiết việc phát triển công nghệ nhằm đảm bảo an toàn liệu, Luận văn “Giải Pháp Đảm Bảo An Toàn Dữ Liệu Trên Nền Tảng Ảo Hóa” phần giới thiệu nhìn tổng quan công nghệ ảo hóa, tổng quan an toàn liệu môi trường ảo hóa, sâu nghiên cứu cách thức an toàn liệu môi trường ảo hóa VMware, đồng thời đưa giải pháp cho việc an toàn liệu môi trường ảo hóa Bố cục luận văn gồm có chương: Chương 1: Tổng quan ảo hóa an toàn liệu: chương trình bày định nghĩa liệu an toàn liệu, sơ lược công nghệ ảo hóa phương thức an toàn liệu tảng ảo hóa tảng VMware Đồng thời, chương đưa yêu cầu an toàn liệu tảng ảo hóa Chương 2: Giải pháp an toàn liệu tảng ảo hóa: Trong chơng sâu nghiên cứu phương pháp lưu, phục hồi liệu tảng ảo hóa, phương pháp để phục hồi sau thảm họa Đồng thời sâu tùm hiểu Vmare vPhere Data Protection để an toàn cho hệ thống ảo hóa VMware Chương 3: Xây Dựng hệ thống ảo hóa an toàn với VMware vSphere Data Protection: Trong chương này, xây dựng hệ thống máy chủ chạy ảo hóa VMware vSphere triển khai số phương thức an toàn liệu VMware vSphere Data Protection Chương 4: Đề xuất giải pháp tăng cường an toàn liệu tảng ảo hóa: chương đưa lý thuyết mã hóa liệu quan trọng, sau giải pháp để an toàn liệu tảng ảo hóa Chương 5: Kết luận: chương tổng kết lại làm hướng nghiên cứu tương lai Chương 1: tổng quan ảo hóa an toàn liệu 1.1 Dữ liệu gì? 1.1.1 Định nghĩa thông tin Thông tin khái niệm khoa học khái niệm trung tâm xã hội thời đại Mọi quan hệ, hoạt động người dưa hình thức giao lưu thông tin Mọi tri thức bắt nguồn thông tin điều diễn ra, điều mà người ta biết, nói, làm Vậy thông tin tất việc, kiện, ý tưởng, phán đoán làm tăng thêm hiểu biết người Thông tin hình thành trình giao tiếp người với người, qa phương tiện thông tin đại chúng, từ ngân hang liệu, từ tất tượng quan sát môi trường xung quanh 1.1.2 Định nghĩa liệu Con người tạo nhiều cách thức để lưu trữ thông tin nhằm truyền lại cho hệ sau Những thông tin lưu trữ gọi liệu Cùng với bùng nổ thông tin ngày nay, người nghĩ nhiều công cụ để quản trị lưu trữ liệu cách an toàn để đảm bảo thông tin lưu trữ sẵn sang truy cập với người phép, không bị sửa đổi cách trái phép, không bị truy cập trái phép, … 1.2 Ảo Hóa gì? Ảo hóa mốt thời, nhiều doanh nghiệp toàn giới chuyển sang sử dụng ảo hóa có ý định chuyển sang sử dụng ảo hóa tương lai gần lợi ích tuyệt vời mà mang lại Công nghệ ảo hóa trưởng thành với tốc độ nhanh chóng, VMware hãng dẫn đầu công nghệ gần tất lĩnh vực với tính tiên tiến phổ biến rộng rãi toàn giới Trong phần này, vào số khái niệm quan trọng ảo hóa, giải thích loại khác ảo hóa vào chi tiết thành phần máy ảo VMware Tôi giới thiệu loại máy ảo khác đặt máy chủ vật lý để quản lý máy ảo cần có tư hoàn toàn khác việc sử dụng công cụ đặc biệt để làm việc với môi trường ảo hóa 1.2.1 Máy Ảo gì? Chúng ta nghe máy ảo đâu, làm việc với máy ảo hàng ngày, bạn tự hỏi xác máy ảo gì? Nó bao gồm thành phần nào? Trong máy ảo tồn lại RAM máy chủ vật lý, diện vật chất Trong phần sâu tìm hiểu thành phần để tạo nên máy ảo a Đóng gói Một máy ảo đóng gói vào tệp tin đĩa cứng ảo nhất, điều làm cho có tính động cao Nếu phải di chuyển máy chủ vật lý sang máy chủ vật lý khác, công việc cần làm vô lớn, cần phải chép tất tệp tin mang sang máy chủ Một hệ điều hành khách chạy máy chủ vật lý có tất tệp tin đóng gói vào tệp tin đĩa cứng ảo Một máy ảo có nhiều ổ đĩa ảo ổ đĩa đóng gói thành tệp tin Lợi ích việc đóng gói dễ dàng chép máy ảo tới thiết bị lưi trữ khác trí USB nhỏ gọn Điều có nghĩa vận chuyển máy ảo thiết bị lưu trữ di động, chép vào máy chủ vật lý khởi động cách bình thường b Phần cứng máy ảo Các máy ảo tạo vơi phần cứng giống với máy chủ vật lý nào, không bị ảnh hưởng phần cứng vật lý máy chủ Khi tạo máy ảo xác định thành phần ổ DVD, ổ cứng, chip, ram … thành phần nhìn thấy hệ điều hành khách thành phần phần cứng cụ thể Hình 1.1 phần cứng máy ảo c Các tệp tin máy ảo Trong phần cứng ảo tạo thành RAM máy chủ hiển thị máy ảo bật lên, máy ảo có tệp tin thực mà tất liệu lưu trữ Những tệp tin lưu trữ thư mục máy ảo lưu trữ ổ cứng nội kho liệu chia sẻ kết nối với máy chủ vật lý Hình 1.2 thành phần máy ảo Hầu hết tệp tin máy ảo thường có tên máy ảo phần đầu có phần mở rộng khác cho thành phần khác máy ảo Những tập tin lưu trữ thông tin ổ đĩa ảo cấu hình máy ảo, BIOS, swap tệp tin trạng thái Tùy thuộc vào trạng thái máy ảo mà có số tệp tin sinh bị xóa Những tệp tin tạo nên máy ảo thường đặt thư mục gốc máy ảo Có thể thay đổi vị trí tệp tin đĩa, tệp tin swap máy ảo snapshot đến vị trí nằm kho liệu Chúng ta xem tệp tin cách sử dụng tính Datastore Browser vSphere Client sử dụng công cụ khác cho phép truy cập vào tệp tin máy chủ d ổ đĩa cứng ảo có nhiều loại định dạng tệp tin vmdk có nhiều loại định dạng ổ đĩa cứng ảo có ba loại sử dụng raw, thin thick 1.2.2 Ưu Nhược điểm Ảo Hóa a Ưu Điểm - Khai thác quản lý triệt để tài nguyên sở hạ tầng, giúp hệ thống hoạt động với linh hoạt cao, tận dụng khả phần cứng tối đa - Giảm thiểu chi phí đầu tư vào hạ tầng vật lý, chi phí triển khai hệ thống, chi phí quản trị hệ thống, chi phí bảo trì hệ thống - Tăng cường khả sẵn sàng phần cứng ứng dụng giúp cải thiện tính liên tục kinh doanh Sao lưu, phục hồi di chuyển toàn môi trường ảo hóa maf không cần ngừng cung cấp dịch vụ - Hạn chế thời gian chết hệ thống khôi phục phát sinh cố công nghệ có sẵn High Availability, load Balancing, … - Có thể linh hoạt trình cài đặt triển khai thay đổi kiến trúc mạng, hệ thống môt cách nhanh chóng, tiện lợi mà không làm ảnh hưởng đến người dùng cuối b Nhược Điểm - Vấn đề bảo mật máy chủ ảo đặt lớn máy chủ ảo đặt cạnh nhau, sử dụng chung tài nguyên máy chủ vật lý, sử dụng chung phần cứng vật lý dẫn đến việc hacker công máy chủ ảo chiếm quyền điều khiển máy chủ khác - Vấn đề bảo vệ liệu vấn đề vô cấp thiết máy ảo sử dụng chung nơi để lưu trữ liệu nên khả an toàn liệu cao Đồng thời lý quản trị hệ thống máy chủ ảo, người dùng có quyền quản trị mở máy ảo, xem thông tin cá nhân, thông tin nhạy cảm… công cụ dùng để lưu phục hồi liệu cho máy chủ ảo ít, công cụ bảo vệ liệu thiếu 1.3 An toàn liệu 1.3.1 An toàn liệu: An toàn liệu trạng thái tốt liệu sở hạ tầng khả liệu bị đánh cắp, giả mạo, gián đoạn thông tin dịch vụ giữ mức thấp chấp nhận 1.3.2 Các thuộc tính an toàn liệu: An toàn liệ phụ thuộc vao năm yếu tố chính: tính bảo mật, tính toàn vẹn, tính sẵn sang, tính xác thực tính không phủ nhận  Tính bảo mật: đảm bảo liệu truy cập người phép Vi phạm tính bảo mật xảy trình xử lý thông tin, phân quyền sai bị công  Tính toàn vẹn: độ tin cậy liệu nguồn thông tin việc ngăn ngừa thay đổi trái phép không phù hợp, đảm bảo thông tin có đủ độ xác để sử dụng cho mục đích đề  Tính sẵn sàng: đảm bảo hệ thống pụ trách cung cấp, lưu trữ xử lý thông tin truy cập người cấp phép lúc  Tính xác thực: đề cập đến đặc tính thông tin, tài liệu liệu đảm bảo chất lượng thật không bị hỏng so với gốc Vai trò xác thực bao gồm xác nhận người dùng người yêu cầu đảm bảo tin nhắn thực không bị thay đổi giả mạo Sinh trắc học, thẻ thông minh giấy chứng nhận kỹ thuật số sử dụng để đảm bảo tính xác thực liệu, giao dịch, thông tin liên lạc, tài liệu  Tính không phủ nhận: khả đảm bảo bên hợp đồng giao dịch phủ nhận tính xác thực chữ ký họ tài liệu gửi tin nhắn họ tạo Đó cách đảm bảo người gửi tin nhắn phủ nhận việc gửi tin nhắn người nhận phủ nhận việc nhận tin nhắn 1.4 Những yêu cầu an toàn liệu tảng ảo hóa Với đặc thù ảo hóa, an toàn liệu cần có yêu cầu riêng để đáp ứng yêu cầu doanh nghiệp, phủ, … khách hàng sử dụng dịch vụ Những yêu cầu mong muốn người sử dụng 1.4.1 Phục hồi nhanh máy ảo Một yêu cầu doanh nghiệp tính liên tục sử dụng môt máy tính bị lỗi, gần phải phục hồi lại để đảm bảo công việc cho tất nhân viên Một tiếp cận truyền thống lưu toàn liệu cách liệu ghi vào máy tính, lưu nơi khác Điều đảm bảo mục tiêu thời gian phục hồi nhanh, đáng tin cậy cần trả số tiền lớn cho việc lưu trữ liệu băng thông mạng cho việc lưu 1.4.2 Kiểm tra máy ảo lưu Một máy ảo lưu vô ích máy ảo bị hỏng số tập tin quan trọng Ví dụ: lưu bị thiếu tập tin registry windows Khi cần phục hồi, phục hồi lưu Kết sau phục hồi khởi động windows Điều đặt yêu cầu công cụ lưu cần phải có khả kiểm tra không đầy đủ lưu, lưu bị hỏng phục hồi lại Thêm vào cần hiển thị khả xác minh để nhà quản trị yên tâm hệ thống lưu vận hành an toàn 1.4.3 Phục hồi mịn Đôi máy ảo cần phục hồi phần Điều xảy trình sử dụng giao tiếp phần mềm người sử dụng ví dụ: xóa nhầm tài liệu quan trọng công ty, thiết lập email, … Trong trường hợp này, hiệu nhiều cần phả phục hồi thành phần mong muốn phục hồi toàn máy ảo 1.4.4 Băng thông yêu cầu ổ cứng lưu trữ dành cho lưu thấp Việc lưu phục hồi liệu đảm bảo cho việc truy cập cách liên tục liệu khiến doanh nghiệp pải tra khoản phí lớn không gian lưu trữ băng thông mạng Hai kĩ thuật làm giảm bớt chi phí nén chống trùng lặp Nén giúp giữ máy ảo lưu giảm số lượng liệu lưu trữ đĩa cứng nhiều máy ảo lưu Điều làm giảm lưu lượng mạng trình lưu máy ảo Hơn nữa, máy ảo lưu cần chuyển sang trung tâm liệu lưu phương châm nhỏ tốt chi phí cho mạng diện rộng Chống trùng lặp kĩ thuật so sánh máy ảo hoạt động với máy ảo lưu trước lưu phần liệu sai khác Sau tạo trỏ đến phần liệu sai khác lưu Khi phần lưu gọi, hệ thống gọi lưu sau lưu đến phần liệu sai khác Chương 2: Giải pháp an toàn liệu nên ảo hóa Phương thức lưu phục hồi liệu 1 Phương pháp lưu phục hồi liệu truyền thống a Sao lưu hệ điều hành dựa agent Phương pháp dựa agent cài đặt hệ điều hành Các máy chủ lưu liên lạc với agent, mà chạy máy chủ, thiết lập phiên kết nối TCP/IP đến agent Khi kết nối thiết lập, agent chép tất liệu từ hệ thống tệp tin hệ điều hành gửi chúng đến máy chủ lưu Bởi agent lưu cài đặt bên hệ điều hành nên đọc tệp tin hệ thống tất ổ cứng cấu hình máy chủ Các agent truy cập vào Master File Table hệ điều hành để xác định tất tệp tin tồn phân vùng ổ cứng gửi chúng đến máy chủ lưu Đây phương pháp lưu máy chủ mức tệp tin (file level backup) tệp tin chép đến hệ thống tệp tin nằm thiết bị khác, điều giống vào windows copy thư mục đến thiết bị lưu trữ chia sẻ Để hỗ trợ việc lưu nhanh chóng, giá trị bit lưu trữ thiết lập, hệ điều hành thay đổi tệp tin, bit lưu trữ tăng lên agent nhận biết tệp tin thay đổi so với lần lưu trước, agent sau tiến hành lưu tệp tin chuyển bit lưu trữ giá trị ban đầu Hình 2.1 Sao lưu máy vật lý b lập lịch thực thi lưu Có số mô hình lưu liệu khác kết hợp để có hệ thống lưu tốt Các phương pháp lưu khác thiết kế để giảm thời gian lưu lẫn dung lượng mà lưu yêu cầu Có số phương pháp lưu sau: - Sao lưu toàn bộ: Đây phương pháp mà tất liệu máy chủ nguồn chép vào thiết bị lưu Bản lưu đầy đủ đòi hỏi nhiều thời gian để thực nhiều không gian lưu trữ Bản lưu đầy đủ tảng cho phương pháp lưu khác - Sao lưu tổng hợp: với phương pháp lưu tổng hợp, lưu đầy đủ thực lần lần lưu tất lưu gia tăng Phương pháp cho phép thời gian lưu ngắn hơn, tiêu thụ tài nguyên so với phương pháp lưu truyền thống không cần phải lưu toàn hệ thống đến lần thứ Những lưu gia tăng kết hợp với để tạo thành lưu đầy đủ Bằng cách này, lưu đầy đủ cập nhật luôn đạt mà không cần thiết phải thực lưu toàn Chúng ta khôi phục lại liệu cũ tất thay đổi lưu lưu lại dạng tệp tin rollback xlieuej lược sử sử dụng để tính toán thời điểm cần phục hồi Phương pháp gọi reverse-delta - Sao lưu gia tăng: phương pháp lưu liệu thay đổi kể từ lưu đầy đủ lưu gia tăng trước Phương pháp dựa bit lưu trữ xóa sau lưu Khi tệp tin thay đổi, bit lưu trữ thiết lập tệp tin thay đổi kể từ lần lưu cuối Sao lưu gia tăng sau lưu tệp tin mà có bit lưu trữ bật sau xóa bit lưu trữ trình lưu hoàn thành Phương pháp cho phép trình lưu nhanh chóng trình phục hồi lại tệp tin nhiều thời gian cần khôi phục lại tệp tin thay đổi kể từ lần lưu đầy đủ cuối - Sao lưu khác biệt: phương pháp tương tự với lưu gia tăng, tất liệu thay đổi từ lưu đầy đủ cuối lưu lưu khác biệt thực thi Các tệp tin thay đổi lưu với lưu khác biệt, bit lưu trữ không tắt, tất tệp tin thay đổi từ lần lưu toàn cuối lưu lưu khác biệt, kể lưu lưu khác biệt trước Trong phương pháp này, việc lưu tốn thời gian không gian nhớ so với lưu gia tăng thời gian cần thiết để khôi phục lại hệ thống lại giảm đáng kể cần khôi phục lưu đầy đủ cuối phiên lưu khác biệt chọn Hầu hết doanh nghiệp thực lịch trình lưu bao gồm lưu đầy đủ thực định kỳ lưu gia tăng khác biệt thực lưu đầy đủ xảy trình lặp lại theo chu kì Lịch trình lưu thay đổi tùy theo yêu cầu công ty thời gian, ngân sách sở hạ tầng c phục hồi liệu Có cách để phục hồi liệu từ lưu phục hồi lại tệp tin thư mục riêng phục hồi tất liệu máy Phục hồi số tệp tin loại phổ biến phục hồi liệu Để phục hồi số tệp tin, cần chọn thời điểm mà lưu tồn máy chủ Các tệp tin muốn phục hồi cần phải có thiết bị lưu trước trình phục hồi bắt đầu Sau xác định thời gian phục hồi liệu phục hồi, tệp tin cần phục hồi chép lại vào vị trí ban đầu nó, ghi đè lên có chép vào vị trí thay để truy cập mà không làm ảnh hưởng đến tệp tin gốc d kiểm tra xác thực tệp tin lưu: Sao lưu phần quan trọng máy chủ việc đảm bảo phục hồi thành công quan trọng nhiều Sao lưu vô nghĩa phục hồi Sao lưu giống sách bảo hiểm, bạn phải trả phí hàng ngày với hi vọng sử dụng chúng, điều xấu xảy với hệ thống chúng ta, cần có cách 11 liệu gây việc liệu lưu bị lỗi phần không đầy đủ Bởi vậy, trước thực snapshot cần tạm thời dừng hệ điều hành ứng dụng sau chúng ghi toàn liệu vào ổ cứng Sau hoạt động kết thúc, snapshot thực hệ điều hành với ứng dụng hoạt động bình thường Hành động đảm bảo liệu phục hồi cách xác Có nhiều trạng thái khác mà máy chủ đạt trình snapshot thực Sao lưu ứng dụng phù hợp vô quan trọng để đảm bảo liệu lưu Hầu hết công cụ lưu tận dụng ứng dụng VMware Tools cài đặt máy ảo để dừng hệ điều hành ứng dụng trước tạo snapshot cho việc lưu e VCB vStorage API Sản phẩm VMware để an toàn liệu VMware Consolidated Backup (VCB) VCB hoạt động máy chủ proxy để giảm tải việc lưu từ máy ảo cách găn ổ đĩa ảo lên máy chủ VCB sau lưu mức hình ảnh mà không cần đến máy chủ máy ảo Điều chuyển việc lưu từ máy ảo đến máy chủ sang việc lưu từ máy ảo sang máy chủ proxy f Đặt lịch hiệu lưu Với môi trường máy chủ vật lý, máy chủ không chia sẻ chung tài nguyên máy ảo, lưu mà không quan tâm đến lập lịch tiến trình lưu chạy lúc Lập lịch lưu hệ thống ảo hóa yêu cầu cần thiết Lý cho điều không muốn nhiều máy ảo thực lưu thời điểm khiến cho tài nguyên máy chủ thiết bị lưu trữ cạn kiệt, không tài nguyên dành cho ứng dụng chạy máy ảo khác Các nguồn tài nguyên sử dụng phụ thuộc vào kiểu lưu mà lựa chọn Khi lưu máy ảo cách sử dụng agent cài đặt hệ điều hành máy ảo đó, tài nguyên máy chủ sử dụng cách tối đa Khi lưu liệu sử dụng lưu mức hình ảnh, lượng tài nguyên sử dụng máy chủ giảm Khi tận dụng khả vStorage API, việc sử dụng tài nguyên máy chủ tiếp tục giảm Phương pháp phục hồi liệu môi trường ảo hóa Sao lưu liệu môi trường ảo hóa trình dễ dàng đơn giản, toàn điểm lưu phải có khả phục hồi liệu cần thiết Tất nhứng bit bit lưu trữ đĩa cứng trung tâm liệu tài sản vô quý giá doanh nghiệp để chúng Trong môi trường nào, ảo hóa hay vật lý, việc phục hồi liệu hoàn toàn xảy Không có cảm giác tồi tệ việc lưu máy chủ hàng tháng, hàng năm phục hồi docacs lưu không hoạt động cách xác Trong nhiều trường hợp, việc tin tưởng cách mù quáng vào khả lưu thành công phục hồi hoạt động tốt khiến phải trả giá Thực kiểm tra phục hồi định kì xác nhận lưu hoạt động xác, thời gian trình phức tạp 12 Khôi phục liệu môi trường ảo hóa phức tạp hoạt động môi trường vật lý nhiều Trong phần tìm hiểu phương pháp thách thức cho việc khôi phục kiểm tra liệu môi trường ảo hóa a Phục hồi liệu máy ảo Về có ba cấp độ mà lưu máy chủ ảo: - Mức ứng dụng: sử dụng muốn lưu đối tượng bên tệp tin - Mức tệp tin: sử dụng lưu tệp tin nằm phân vùng đĩa ảo - Mức hình ảnh: sử dụng để lưu tất khối phân vùng đĩa ảo Các mức tạo thành hệ thống phân cấp mà mức ứng dụng thấp mức hình ảnh Hình 2.2 mức phục hồi liệu máy ảo b Kiểm tra Xác thực lưu Trong lưu tốt quan trọng, có phục hồi tốt quan trọng nhiều lần Sao lưu ý nghĩa phục hồi lại cần thiết Chúng ta không nên cho cần phần mềm lưu không báo lỗi xảy trình lưu liệu trình lưu hoàn tất không gặp vấn đề phục hồi liệu Chúng ta cần phải thường xuyên kiểm tra xác thực lưu phục hồi thành công cách khôi phục liệu thiết bị lưu sau truy cập vào để đảm bảo đọc Để xác minh thích hợp lưu, cần kiểm tra khả phục hồi nhiều cấp độ khác nhau: cấp độ tệp tin, cấp độ ứng dụng cấp độ hệ điều hành Điều xác thực lưu đảm bảo khôi phục liệu từ tình 2 Giải Pháp VMware vSphere Data Protection VMware vSphere Data Protection (VDP) giải pháp lưu phục hồi dựa ổ đĩa mạnh mẽ đễ triển khai rủa VMware VDP tích hợp hoàn toàn bên máy chủ VMware vCenter cho phép quản lý tập trung hiệu lưu địa lưu trữ Việc sử dụng VDP mang lại nhiều lợi ích cho doanh nghiệp trung tâm liệu VDP khiến doanh nghiệp không lo lắng an toàn liệu giảm thiểu chi phí lưu phục hồi liệu cần Những lợi ích bao gồm: 13 - Cung cấp khả bảo vệ liệu nhanh chóng hiệu cho tất máy ảo, máy ảo tắt di chuyển máy chủ vSphere - Làm giảm đáng kể không gian lưu trữ đĩa cứng tiêu thụ để lưu cách sử dụng giải pháp chống trùng lặp độ dài thay đổi tất lưu - Làm giảm chi phí lưu làm giảm cửa sổ lưu cách xử dụng CBT tính snapshot cho máy ảo VMware - Cho phép lưu cách dễ dàng mà không cần agent phần mềm bên thứ ba khác cài đặt máy ảo - Sử dụng dễ dàng, dễ cài đặt phần tích hợp vSphere quản lý qua cổng thông tin web - Có thể truy cập trực tiếp để cấu hình VDP vSphere Web Client - Bảo vệ lưu với chế checkpoint rollback - Cung cấp tính phục hồi tệp tin đơn giản windows Linux dựa giao diện web - Thông qua tính khôi phục khẩn cấp, cung cấp giải pháp khôi phục máy chủ vCenter máy chủ vCenter bị lỗi người dùng truy cạp vào giao diện người dùng VDP với vSphere Web Client - Chống trùng lặp liệu: liệu doanh nghiệp cần dự phòng cao với tệp tin giống liệu lưu trữ nhiều hệ thống Khi tệp tin chỉnh sửa, cần dự phòng cho phiên trước Với phương pháp lưu truyền thống, tất liệu lưu, điều khiến không gian đĩa cần thiết cho lưu vô lớn VDP sử dụng công nghệ chống trùng lặp liệu mà loại bỏ tệp tin trùng lặp phân đoạn liệu bên tệp tin - Phân đoạn liệu chiều dài cố định thay đổi: yếu tố quan trọng việc loại bỏ dư thừa liệu lưu xác định kích thước phân khúc liệu Các khối liệu cố định đoạn có chiều dài cố định thường sử dụng snapshot vài công nghệ chống trùng lặp liệu Thật không may, việc thay đổi dù nhỏ liệu (như chèn thêm đoạn liệu ngắn lên trước tệp tin) làm thay đổi đoạn liệu khối liệu điều khiến cho phương pháp chống trùng lặp không hoạt động VDP sử dụng phương pháp chống trùng lặp liệu mà có độ dài đoạn thay đổi cách thông minh để xác định kích thước đoạn liệu kiểm tra trùng lặp để làm tăng hiệu tính chống trùng lặp liệu 2 Sao lưu phục hồi mức hình ảnh VMware vSphere Data Protection tạo lưu mức hình ảnh VDP tích hợp với vStorage API dành cho bảo vệ liệu để thiết lập tính vSphere làm giảm chi phí xử lý lưu liệu từ máy ảo đến thiết bị VDP Các thiết bị VDP giao tiếp với máy chủ vCenter để tạo chụp tệp tin vmdk máy ảo Chống trùng lặp liệu diễn bên thiết bị cách sử dụng công nghệ chống trùng lặp độ dài thay đổi 14 2 Sao lưu phục hồi VMDK đơn Trong việc lưu đầy đủ hình ảnh bao gồm tất ổ đĩa máy ảo tạo thành lưu mức hình ảnh nhất, việc lưu đĩa cá nhân cho phép chọn đĩa mà cần lưu Công cụ lưu đia cá nhân cho phép chọn lưu thứ cần Khả cho phép chọn lọc dựa tiêu trí cấu hình định Hệ điều hành, sách 2 Sao lưu phục hồi mức khách VMware vSphere Data Protection Avanced hỗ trợ lưu mức khách cho máy chủ Microsoft SQL, máy chủ Exchange máy chủ Sharepoint Với lưu mức khách, agent cài đặt máy chủ SQl, máy chủ Exchange máy chủ Sharepoint Những lợi VMware lưu mức khách: - Cung cấp ứng dụng hỗ trợ bổ xung cho máy chủ Microsoft SQL, máy chủ Microsoft Exchange máy chủ Microsoft Sharepoint bên máy ảo - Hỗ trợ lưu phục hồi lại toàn máy chủ Microsoft SQL, máy chủ Microsoft Exchange máy chủ Microsoft Sharepoint lưu phục hồi sở liệu chọn - Tạo phương pháp lưu giống máy chủ vật lý máy chủ ảo 2 Nhân rộng Việc nhân rộng cho phép tránh việc liệu nguồn thiết bị VDP bị lỗi sao lưu máy ảo lưu trữ máy tính khác Việc nhân rộng xác định lưu nhân rộng, nơi chứa nhân rộng lưu Một lưu tạo thiết bị VDP Advanced nhân rộng đến thiết bị VDP Advanced khác, tới máy chủ Avamar, VDP RTI tới hệ tống tên miền liệu 2 phục hồi mức tệp tin Phục hồi mức tệp tin cho phép nhà quản trị máy ảo bảo vệ duyệt gắn kết lưu cho máy nội Từ lưu gắn kết, quản trị viên sau khôi phục tệp tin cá nhân FLR thực hiên cách sử dụng VDP Restore Client Chương 3: Xây Dựng hệ thống ảo hóa an toàn với VMware vSphere Data Protection Mô hình triển khai Đầu tiên, quan tâm đến vị trí lưu trữ liệu lưu Chúng ta nên tách biệt liệu sử dụng liệu lưu hai thiết bị lưu trữ khác Nếu không, có cố hệ thống lưu trữ vật lý, hệ thống chạy hệ thống lưu biến việc lưu trở nên vô nghĩa Lý tưởng có hai tảng lưu trữ độc lập, dành cho ứng dụng chạy với khối lượng truy xuất lớn dành cho liệu có khối lượng truy xuất nhỏ lưu trữ liệu lưu 15 Hình 3.1 mô hình triển khai lưu liệu với VDP Như hầu hết thiết kế vSphere cluster, điều quan trọng host cluster truy cập vào storage VDP sử dụng chế độ truyền tệp tin HotAdd SCSI để lưu máy ảo Chế độ cách hiệu để giảm đáng kể tiêu thụ bang thông mạng để sử dụng SCSI HotAdd, thiết bị VDP ảo cần phải có quyền truy cập vào tệp tin vmdk chạy, cần có cấu hình lưu trữ giống với máy chủ cluster Yêu cầu hệ thống Để triển khai thành công VDP, cần đảm bảo yêu cầu sau: Yêu cầu lực VDP Năng lực VDP phụ thuộc vào yếu tố sau: - Số lượng máy ảo cần bảo vệ - Số lượng liệu chứa máy ảo - Các loại liệu cần lưu Ví dụ: hệ điều hành, tài liệu sở liệu - Thời gian lưu Ví dụ: hàng ngày, hàng tuần, hàng tháng hàng năm - Sự thay đổi liệu Chú ý: giả sử kịch thước trung bình máy ảo, kiểu liệu, thay đổi liệu sách lưu 30 ngày 1TB yêu cầu lực lưu liệu hỗ trợ khoảng 25 máy ảo 2 Yêu cầu phần mềm Chúng ta nên sử dụng phiên VDP VDP yêu cầu phần mềm sau: - Tối thiểu máy chủ vCenter 1, tốt máy chủ vCenter 5 trở lên 16 - VDP hỗ trợ thiết bị ảo hóa máy chủ vCenter tảng Linux máy chủ vCenter tảng Windows Chú ý: VDP không tương thích với vCenter 5 - VMware vSphere Web Client - Trình duyệt web kích hoạt Adobe Flash Player 11 trở lên để truy cập vSphere Web Client chức VDP - VMware vShpere Host-các phiên hỗ trợ 0, 5 3 Yêu cầu hệ thống VDP bao gồm cấu hình TB, 1TB 2TB Một VDP triển khai với dung lượng thay đổi Chúng ta có bảng sau miêu tả yêu cầu thấp VDP processors TB TB TB Tối thiểu Tối thiểu Tối thiểu nhân 2GHz nhân 2GHz nhân 2GHz Memory 4GB 4GB 4GB Disk space 873GB 1, 600GB 3, 100GB Bảng Yêu cầu tối thiểu hệ thống VDP Chúng ta có bảng sau mô tả yêu cầu thấp phiên VDP Advanced 4TB 6TB 8TB Tối thiểu Tối thiểu Tối thiểu Tối thiểu Processor 2TB s nhân 2GHz nhân 2GHz nhân 2GHz nhân 2GHz Memory 6GB 8GB 10GB 12GB Disk 3TB 6TB 9TB 12TB space Bảng Yêu cầu tối thiểu hệ thống VDP Advanced 3 Cài đặt cấu hình Để cài đặt cấu hình VDP phải chuẩn bị tảng, chuẩn bị để đáp ứng yêu cầu tối thiểu hệ thống phần mềm VDP Cài đặt cấu hình để an toàn hệ thống máy ảo vấn đề khó khăn Để xem chi tiết phần xin mời thầy cô bạn xem phụ lục luận văn Kết đạt Trong phần tìm hiểu mô hình để triển khai VDP, yêu cầu phần cứng, phần mềm, hệ thống để triển khai VDP an toàn liệu cuối cấu hình phần mềm yêu cầu, cài đặt cấu hình VDP để an toàn cho hệ thống máy ảo 17 Chương 4: Đề xuất giải pháp tăng cường an toàn liệu tảng ảo hóa Hạ tầng khóa công khai, Chữ kí số RSA SecureID 1 Mã Hoá Khoá Công Khai a Định Nghĩa Khoá công khai thường phương pháp mã hoá mà sử dụng cặp khoá đối xứng: khoá bí mật khoá công khai Mã hoá khoá công khai sử dụng cặp khoá cho việc mã hoá giải mã Các khoá công khai công bố phân phát rộng rãi Các khoá bí mật không chia sẻ Với cặp khoá, liệu mã hoá khoá công khai giải mã khoá bí mật ngược lại, liệu mã hoá khoá bí mật giải mã khoá công khai Điều sử dụng để thực mã hoá chữ kí số b Mã Hoá Mã hoá chế đảm bảo thông điệp chuyển đổi để người nhận người gửi biết nội dung Ví dụ: Alice muốn gửi tin nhắn đến Bob Để tin nhắn an toàn, cô cần có khoá công khai Bob để mã hoá thông điệp khoá công khai công khai với người nên Bob gửi dạng rõ mà không cần quan tâm đến khả an toàn Khi Alice có khoá công khai Bob, cô mã hoá thông điệp khoá công khai Bob gửi đến Bob Bob nhận thông điệp từ Alice sử dụng khoá bí mật để giải mã Nếu nhận thông điệp mà Alice gửi đến Bob họ đọc rõ thông điệp họ khoá bí mật Bob c Chữ Kí Số Chữ kí số chế mà theo thông điệp chứng thực gửi người đó, giống chữ kí tài liệu giấy Ví dụ: giả sử Alice muốn kí vào thông điệp gửi đến Bob Để làm điều này, cô sử dụng khoá bí mật để mã hoá thông điệp Sau cô gửi thông điệp mã hoá với khoá công khai đến Bob Từ khoá công khai Alice, khoá sử dụng để giải mã thông điệp, giải mã thành công tạo thành chữ kí số, có nghĩa không nghi ngờ việc thông điệp mã hoá khoá riêng Alice d Nguyên tắc kí, mã hoá giải mã, chứng thực Trong hai phần trên, minh hoạ trình mã hoá, giải mã nguyên tắc kí xác thực để cập trước đó, khoá đối xứng đóng vai trò quan trọng việc triển khai mã hoá khoá công khai Điều xảy thuật toán mã hoá khoá công khai chậm thuật toán mã hoá khoá đối xứng Đối với chữ kí số, kĩ thuật sử dụng gọi băm Băm tạo tóm lược thông điệp với tính chất nhỏ Các thuật toán băm phương thức mã hoá chiều, tức lấy thông điệp từ mã băm Những lý để cần có mã băm là: - tính toàn vẹn thông điệp bảo toàn, thay đổi thông điệp phát - áp dụng cho chữ kí số, thường tạo kí mã băm nhanh nhiều so với kí mã hoá khoá bí mật Hạ Tầng Khóa công khai a Chứng Thực Số Chứng thực số phần thông tin để chứng minh danh tính người sở hữu cặp khoá bí mật công khai Giống chứng minh thư nhân dân, chứng thực số cung cấp định danh người dùng Các chứng số khởi tạo chuyển giao bên thứ ba đáng tin cậy gọi Certificate Authority (CA) Miễn Bob Alice tin tưởng CA học yên tâm khoá họ lưu giữ Chứng thực số bao gồm: - Định danh CA - Định danh người dùng - Khoá công khai người dùng - Ngày hết hạn chứng thực số 18 - Chữ kí CA chứng thư số Với chứng thư số thay khoá công khai, người nhận xác minh với CA người gửi để đảm bảo chữ kí hợp lệ thuộc người gửi Để làm điều cần: - So sánh định dnah người sở hữu - Kiểm tra chứng thực số hiệu lực - Kiểm tra chứng thực kí CA đáng tin cậy - Xác minh chữ kí chứng thực số người gửi b Hạ Tầng Khoá Công Khai Một PKI kết hợp phần mềm quy trình để cung cấp phương tiện quản lý khoá, chứng số sử dụng chúng cách hiệu Quản lý khoá chứng thư số tập hợp hoạt động cần thiết để tạo trì khoá chứng thư số Sau danh sách điểm cần để cập quản lý PKI: - Tạo khoá chứng thư số: làm để tạo cặp khoá? Làm để cấp phát chứng thư số đến người sử dụng? Một PKI cung cấp phần mềm hỗ trợ cho cặp khoá yêu cầu chứng thư Ngoài ra, cần có thủ tục xác minh danh tính người dùng trước cấp chứng thư số cho người - Bảo vệ khoá bí mật: làm để người dùng bảo vệ khoá bí mật chống lại nguy cơ? Chứng thư số sử dụng rộng dãi chúng sử dụng cho hai trình mã hoá xác minh chữ kí số Khoá công khai đòi hỏi mức độ bảo vệ hơpk lý chúng sử dụng để giải mã kí.Một chế mật mạnh phải tính PKI hiệu - Thu hồi chứng thư số: làm để xử lý tình mà khoá bí mật người dùng bị xâm phạm? Làm để xử lý tình mà nhân viên rời khỏi công ty? Làm để biết có hay không chứng thư số bị thu hồi? Một PKI phải cung cấp phương tiện mà chứng thư số bị thu hồi Sau thu hồi, chứng thư không lưu danh sách thu hồi mà sẵn sàng cấp phát chi người dùng khác Một chế xác minh danh sách chứng thư số bị thu hồi từ chối sử dụng chứng thư bị thu hồi vô cần thiết - Sao lưu phục hồi khoá: Điều xảy với tệp tin mã hoá người dùng khoá bí mật mình? Nếu lưu khoá,tất tin nhăn tệp tin mã hoá khoá công khai người giải mã mãi Một PKI phải cung cấp khả lưu khoá bí mật chế phục hồi khoá bí mật đáng tin cậy để người dùng lấy lại khoá bí mật để truy cập vào tệp tin bị khoá - Cập nhật khoá chứng thư số: điều xảy chứng thư số hết hiệu lực? Khoá chứng thư số có hiệu lực thời gian định Một PKI phải cung cấp chế để cập nhật ngày hết hạn chứng thư Hành động tốt cập nhật khoá chứng thư người sử dụng Khoá chứng thư người sử dụng cập nhật tự động trường hợp cần thông báo trước với người dùng cuối khoá chứng thư cập nhật Hoặc yêu cầu người dùng cuối thực số hành động trước thời gian mà chứng thư số hết hạn để cập nhật chứng thư số Trong trường hợp này, PKI cần thông báo cho người dùng biết hành động cần thiết nên thực trước chứng thư số cũ hết hạn để tránh gián đoạn công việc - Quản lý lược sử khoá: sau nhiều cập nhật khoá, làm người dùng định dùng khoá để giải mã tệp tin? Mỗi thao tác cập nhật tạo cặp khoá Tệp tin mã hoá khoá công khai trước giải mã khoá bí mật lên kết với Nếu quản lý lịch sử khoá, người dùng phải đưa định sử dụng khoá để giải mã tệp tin Điều khiến người dùng khó khăn nhiều - Quyền truy cập chứng thư số: làm để người dùng gửi tin nhắn đến người khác mà chứng thư số họ? Một PKI phải cung cấp cách dễ dàng thuận tiện chứng thư có sẵn Chữ kí số Một điểm quan trọng cần làm rõ tính không thoái thác chữ kí số Khái niệm đề cập đến việc người dùng từ chối việc kí vào thông điệp Điều thể người sử dụng kí vào thông điệp người có quyền truy cập vào khoá bí mật sử dụng để ký Tuy nhiên, biết trên, PKI lưu trữ khoá bí mật nhằm mục đích phục hồi Do đó, người dùng CA biết khoá bí mật, có nghĩa lý thuyế có nhiều người sử dụng khoá kí vào thông điệp Người sử dụng thoái thác thông điệp Để 19 tránh tình trạng cung cấp hỗ trợ không thoái thác, cần phải có cặm khoá chuyên dụng sử dụng cho much đích kí xác minh chứng thư số Không có dự phòng cho khoá bí mật chữ kí người dùng có quyền truy cập vào Trong trường hợp người dùng bị khoá bí mật yêu cầu phục hồi khoá Tại thời điểm phục hồi khoá, cặp khoá dành cho mã hoá giải mã cấp lại cặp khoá dành cho chữ kí số chứng thực số tạo Điều không gây vấn đề lớn lần có người kí vào tài liệu chuỗi xác minh liên quan đến chứng thư số nối vào Vì vậy, chữ kí tài liệu luôn xác nhận lúc 4 RSA SecureID Hàng ngàn doanh nghiệp giới sử dụng giải pháp bảo vệ RSA để bảo vệ liệu, thông tin quan trọng RSA SecurID đòi hỏi người dùng xác định với hai yếu tốtmột họ biết hai thiết bị họ cung cấp Hàng triệu người giới sử dụng chứng thực RSA SecurID để truy cập VPN an toàn, truy cập thiết bị không dây, ứng dụng web, hệ điều hành mạng, tài khoản ngân hàng, … RSA SecurID thực chứng thực giúp bảo vệ thông tin cá nhân đảm bảo người, thiết bị ứng dụng an toàn sử dụng liệu RSA SecurID cung cấp giải pháp cho doanh nghiệp như: - An ninh mạng - Xác thực đáng tin cậy - Giải pháp tiện lợi cho người dùng cuối RSA SecurID cung cấp với hai loại xác thực phần cứng xác thực phần mềm Đăng nhập sử dụng máy ảo an toàn Với phát triển ảo hóa, cần đưa phương pháp sử dụng cho liệu ảo hóa an toàn không đọc liệu chưa phép, kể quản trị viên Để thực điều này, sau trình bày ý tưởng riêng để thực an toàn liệu ảo hóa Trong ý tưởng này, sử dụng, mã hóa khóa đối xứng, hạ tầng khóa công khai RSA SecureID làm tảng 4.2.1 Thêm người dùng Để thêm người dùng hệ thống, người quản trị tiến hành bước sau: - Tạo người dùng hệ thống VMware vSphere - Nhập mã Serial Number RSA SecureID cấp cho người vào hệ thống - Tiến hành tạo chứng thư số cho người dùng - Lưu thông tin vào hệ thống Sau phần này, người dùng với RSA SecureID chữ kí số tạo Trong trình sử dụng, RSA SecureID chữ kí số thay đổi cách cập nhật giao diện quản lý người quản trị Điều đảm bảo tính dự phòng, người dùng bị mất, hỏng hết hạn RSA SecureID người không làm việc doanh nghiệp máy ảo chuyển giao cho người khác tránh ảnh hưởng đến hoạt động doanh nghiệp 4.2.2 Quá trình đăng nhập Đầu tiên, để sử dụng phần mềm chúng ta, người dùng cần phải đăng nhập vào hệ thống để xác minh trình đăng nhập sau: Hình 4.1 Khởi tạo PIN a lần sau với lần sau đó, người dùng cần nhập user ID Passcode để đăng nhập vào sử dụng phần mềm 20 Hình 4.2 Đăng nhập hệ thống 4.2.2 Yêu cầu chứng thư số Với lần đăng nhập vào hệ thống phần mềm, người dùng cần yêu cầu chứng thư số dành cho Để làm điều hệ thống trải qua bước sau: a Đối với người yêu cầu chứng thư số lần - Người dùng nhấp chuột vào yêu cầu chứng thư số phần mềm, yêu cầu chuyển chứng thư số gửi đến máy chủ Gói tin bao gồm ID người dùng yêu cầu chứng thư số - Máy chủ tìm sở liệu ID người dùng, kiểm tra có tồn ID chứng thư số cấp hay chưa Nếu có, máy chủ mã hóa thông tin chứng thư số mã PIN người dùng gửi cho người dùng Đồng thời, máy chủ gửi kèm khóa công khai - Sau nhận chứng thư số, người dùng nhập vào phần mềm Khóa công khai máy chủ cập nhật vào phần mềm để sử dụng sau - Phần mềm tiến hành giải mã với khóa PIN người dùng sử dụng chứng thư trình giao tiếp với máy chủ máy khác b người có chứng thư số - Người dùng nhấp chuột vào yêu cầu chứng thư số phần mềm, yêu cầu chuyển chứng thư số gửi đến máy chủ Gói tin bao gồm ID người dùng yêu cầu chứng thư số Gói tin mã hóa khóa công khai máy chủ - Máy chủ nhận yêu cầu chứng thư số tiến hành tạo chứng thư số dành cho người dùng - Sau tạo xong, máy chủ mã hóa chứng thư số khóa công khai chứng thư số cũ gửi lại chứng thư số đến người dùng - Sau nhận chứng thư số mới, người dùng tiến hành thêm chứng thư số vào phần mềm xóa chứng thư số cũ Với hai trình này, người dùng nhận chứng thư số cách an toàn 4.2.3 Quy trình Khởi động tắt máy ảo Sau đăng nhập vào hệ thống thành công, máy ảo sử dụng người hiển thị giao diện a Lần máy khởi động Khi người dùng nhấn khởi động máy tính trình khởi động diễn sau: Hình 4.3 khởi động máy ảo b Tắt máy ảo Quá trình tắt máy ảo diễn cách tương tự trình khởi động máy ảo nhiên nội dung gói tin thay đổi thành yêu cầu tắt máy Ngoài ra, phần mềm đặt mặc định 21 người dùng không sử dụng máy ảo 15 phút, tự động đăng xuất khỏi phần mềm sau 30 phút không đăng nhập trở lại phần mềm tự động gửi yêu cầu tắt máy đến máy chủ Quá trình tắt máy ảo diễn sau: Hình 4.4 Tắt máy ảo c khởi động máy ảo sử dụng Quá trình khởi động máy ảo sử dụng diễn sau: - Người dùng gửi yêu cầu khởi động máy ảo đến máy chủ - Máy chủ kiểm tra ID máy ảo xem có mã hoá không? Nếu có, máy chủ gửi lại yêu cầu đến người dùng mật để giải mã máy ảo - Phần mềm tự động lấy mật danh sách mật khởi động kí, mã hoá gửi lại cho máy chủ - Máy chủ nhận mật tiến hành giải mã máy ảo khởi động Quá trình khởi động lại máy ảo diễn an toàn Không thể có người sử dụng không phép khởi động máy ảo 4.2.3 Mã hóa để an toàn thời gian sử dụng máy ảo Sau khởi động máy ảo cách an toàn, sử dụng máy ảo cách sử dụng dịch vụ điều khiển máy từ xa phần mềm Chú ý sử dụng khoá công khai để truyền gói tin qua lại máy tính điều khiển máy ảo hạn chế mã hoá khoá công khai khiến tốc độ hai máy bị giảm nhiều trình mã hoá giải mã phức tạp Chính phần mềm sử dụng khoá công khai để truyền khoá đối xứng an toàn sử dụng suốt trình làm việc máy tính điều khiển máy ảo Quá trình đăng nhập sử dụng máy ảo diễn sau: - Phần mềm tạo kết nối đến máy ảo IP - Máy ảo gửi lại yêu cầu nhập tên người dùng mật - Người dùng nhập tên đăng nhập mật sau nhấn Log on - Phần mềm lấy mật người dùng ghép với ngày tháng năm sử dụng hàm băm để băm thành mã xác thực sau đóng gói tên đăng nhập mã băm lại gửi đến máy ảo - Máy ảo nhận tên đăng nhập mã băm thực tìm kiếm tên đăng nhập mật người dùng Sau đó, máy ảo lấy mật gép với ngày tháng năm băm thành mã băm Cuối máy ảo kiểm tra hai mã băm với nhau, cho phép tạo kết nối - Máy ảo tự động sinh chuỗi sau mã hoá khoá công khai người dùng gửi lại người dùng - Khi nhận gói tin này, phần mềm bóc gói tin gửi đến người dùng yêu cầu giữ nguyên khoá thay đổi Nếu giữ nguyên, gửi lại gói tin đồng ý sử dụng mật mã đến máy ảo Nếu người dùng muốn thay đổi cần cung cấp mật cho phần mềm Phần mềm mã hoá mật mật nhận từ máy ảo Sau gửi lại máy ảo Cuối tất gói tin trao đổi người dùng máy ảo mã hoá mật bí mật Điều đảm bảo người có ý công hệ thống biết trình trao đổi gói tin máy ảo máy điều khiển từ xa 22 Hình 4.5 an toàn thời gian sử dụng máy ảo Quá trình lưu VMware vSphere Data Protection công cụ lưu phục hồi tuyệt vời VMware Giải pháp thay đổi chút mặt kĩ thuật để lưu an toàn Các mưc lưu gần không thay đổi trình lưu phục hồi thực VDP Quá trình lưu xảy sau: 4.3.1 Sao lưu mức hình ảnh Với việc lưu mức hình ảnh, phần mềm hỗ trợ việc lưu từ người quản trị người dùng Với loại lưu này, máy ảo bắt buộc phải tắt Người quản trị có khả đặt lịch lưu, tiến hành lưu máy ảo Quá Trình lưu người quản trị: - Người quản trị đặt lịch lưu chọn lưu máy ảo từ trình lưu phục hồi hệ thống - Khi nhận lệnh lưu, VDP gọi tiến hành bước việc lưu máy ảo Hình 4.6 Quá trình lưu người quản trị Kết thúc trình ta có máy ảo lưu hệ thống Tuy nhiên, thức lưu chủ yếu chép toàn máy ảo người dùng lưu thực sau tắt máy Chúng ta nhớ rằng, sau tắt máy, toàn máy ảo mã hoá xử dụng khoá bí mật Điều khiến khả phát trùng lặp liệu thấp dẫn đến việc không gian lưu trữ tăng nhanh Quá trình lưu người dùng: Hình 4.7 Quá trình lưu mức hình ảnh người dùng Rõ ràng, trình lưu người dùng có khác biệt so với trình lưu nhà quản trị, người dùng sử dụng khoá khác để lưu máy ảo khoá dùng để tắt máy Nếu lần lưu sử dụng chung khoá việc chống trùng lặp liệu có hiệu 23 nhiều Cách thức làm cho việc lưu toàn máy ảo trở nên an toàn đọc 4.3.2 Sao lưu mức VMDK đơn Việc lưu mức VMDK đơn cho phép lưu phân vùng đĩa khác Chính vậy, tính thực người dùng Quá trình lưu tiến hành sau: - người dùng yêu cầu lưu phân vùng phần mềm - Phần mềm gửi yêu cầu lưu phân vùng máy ảo đến máy chủ - Máy chủ yêu cầu phần mềm gửi khoá dùng để giải mã máy ảo - Phần mềm gửi đến máy chủ khoá dùng cho mã hoá máy ảo gần mà lưu lại - Máy chủ giải mã máy ảo - Phần mềm máy chủ gọi VDP để tiến hành lưu - VDP trả yêu cầu chọn ổ cần lưu đến người dùng - Người dùng chọn ổ cần lưu nhấn đồng ý - VDP lưu ổ đĩa chọn - Khi VDP hoàn thành nhiệm vụ mình, phần mềm máy chủ yêu cầu người dùng phải nhập khoá mới, chọn khoá có Nếu người dùng không muốn tiếp tục, phần mềm dùng khoá mà người dùng nhập - Phần mềm mã hoá liệu lưu - Trình kiểm tra liệu trùng lặp gọi 4.3.3 Sao lưu mức khách Sao lưu mức khách giúp lưu ứng dụng Microsoft SQL, Echange server, Sharepoint server Một agent dược cài đặt máy ảo cho phép lưu phân vùng lưu trữ liệu ứng dụng Quá trình lưu mức khách thực sau Hình 4.8 Quá trình lưu mức khách người dùng 4 Quá trình phục hồi Những máy ảo lưu phục hồi với yêu cầu người dùng Người quản trị phục hồi toàn liệu máy ảo người dùng có khoá để đăng nhập vào máy ảo Điều giúp liệu an toàn trình phục hồi 4.4.1 Phục hồi lưu mức hình ảnh Đây cách thức phục hồi mà phải có phần mềm Quy trình phục hồi sau: Hình 4.9 Quá trình phục hồi mức hình ảnh người dùng 24 4.4.2 Phục hồi lưu mức VMDK đơn Quá trình phục hồi mức VMDK đơn thực sau: Hình 4.10 Quá trình phục hồi mức VMDK đơn người dùng 4.4.3 Phục hồi lưu mức khách Quá trình phục hồi mức khách diễn máy ảo chạy Vì có sử dụng phần mềm đượccài đặt hệ điều hành để thực điều Nếu máy ảo tắt, tiến hành phục hồi Bởi với phương pháp lưu phục hồi này, cần thao tác với đường dẫn đến liệu phần mềm Quá trình phục hồi diễn sau: Hình 4.11 Quá trình phục hồi mức hình ảnh người dùng Phục hồi sau thảm họa Phần mềm có nhân VDP, sử dụng phiên VDP Advance có tính tự động nhân rộng liệu mà không cần làm thêm điều Ở thời điểm này, phần mềm chưa hỗ trợ tính nhân rộng liệu tới máy chủ khác bên mạng Nhưng hoàn toàn tin tưởng vào VDP Advance liệu có khoá mã hoá để bảo vệ trước nguy an toàn liệu 25 Chương 5: Kết Luận Ảo hóa xu hướng phát triển công nghệ thông tin giới Việc đảm bảo an toàn liệu cho ảo hóa vấn đề cấp thiết khiến người dùng an tâm chuyển sang sử dụng ảo hóa đảm bảo yêu cầu an ninh để ảo hóa phát triển mạnh Chính mà nghĩ an toàn liệu cho ảo hóa việc sống công nghệ ảo hóa Trong luận văn này, đưa vấn đề lý thuyết bản, triển khai thử nghiệm hệ thống an toàn liệu VDP VMware đề xuất giải pháp để an toàn liệu tảng ảo hóa Sau điều làm luận văn hướng nghiên cứu Luận Văn giải vấn đề Trong toàn luận văn trình bày về: - Định nghĩa liệu - Làm rõ Ảo hóa gì? Kiến trúc ảo hóa, máy ảo thành phần máy ảo Và đưa ưu nhược điểm ảo hóa - Định nghĩa an toàn liệu thuộc tính an toàn liệu - Nêu yêu cầu thực tế an toàn liệu tảng ảo hóa - Nghiên cứu công nghệ an toàn liệu truyền thống - Nghiên cứu công nghệ an toàn liệu tảng ảo hóa - Giới thiệu giải pháp an toàn liệu ảo hóa VMware VDP - Xây dựng hệ thống thử nghiệm xử dụngVDP để an toàn liệu ảo hóa - Nghiên cứu hạ tầng khóa công khai, chữ kí số RSA SecureID - Đưa giải pháp đăng nhập xử dụng máy ảo an toàn - Đưa giải pháp lưu máy ảo an toàn - Đưa giải pháp phục hồi liệu an toàn - Đưa giải pháp phục hồi sau thảm họa ảo hóa Hường nghiên cứu Trong thời gian làm luận văn này, cố gắng để biến ý tưởng thành thực thời gian ngắn thân công tác nên hoàn thành sản phẩm Sau bảo vệ cố gắng thực đưa đến với người dùng để hệ thống ảo hóa trở nên an toàn tin tưởng góp phần phát triển công nghệ thông tin Việt Nam Sau tiếp tục nghiên cứu sâu bảo mật hệ thống, công hệ thống, ảo hóa quy trình làm việc phát triển công nghệ thông tin doanh nghiệp nhà nước