Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (LV thạc sĩ)
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - ĐINH VĂN NHƢ PHONG NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI - 2017 HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - ĐINH VĂN NHƢ PHONG NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY CHUYÊN NGÀNH : KỸ THUẬT VIỄN THÔNG MÃ SỐ: 60.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN TIẾN BAN HÀ NỘI - 2017 i LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu Mọi số liệu, kết nghiên cứu luận văn trung thực chƣa công bố công trình khác Tác giả luận văn (Kí ghi rõ họ tên) Đinh Văn Như Phong ii LỜI CẢM ƠN Để hoàn thành đề tài luận văn thạc sĩ cách hoàn chỉnh, bên cạnh nỗ lực cố gắng thân có hƣớng dẫn nhiệt tình Thầy, Cô, giúp đỡ bạn bè suốt thời gian học tập nghiên cứu thực luận văn thạc sĩ Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến PGS TS Nguyễn Tiến Ban, Thầy trực tiếp hƣớng dẫn, bảo tận tình, chu đáo có nhận xét, góp ý quý báu giúp em suốt trình thực luận văn luận văn đƣợc hoàn thành Em xin gửi làm cảm ơn đến tất Thầy, Cô giáo Học viện Công nghệ Bƣu Viễn thông tận tình bảo tạo điều kiện thuận lợi để em đƣợc nghiên cứu học tập thời gian qua Hà Nội, 16 tháng 01 năm 2017 Học viên Đinh Văn Như Phong iii MỤC LỤC LỜI CAM ĐOAN i DANH MỤC CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH vii LỜI MỞ ĐẦU .viii CHƢƠNG TỔNG QUAN ĐIỆN TOÁN ĐÁM MÂY 1.1 Giới thiệu 1.2 Khái niệm điện toán đám mây 1.3 Mô hình điện toán đám mây 1.3.1 Mô hình tổng quan điện toán đám mây 1.3.2 Mô hình kiến trúc điện toán đám mây 1.3.3 Các mô hình triển khai 1.4 Đặc điểm điện toán đám mây 10 1.5 Các loại dịch vụ điện toán đám mây 11 1.5.1 Dịch vụ hạ tầng (IaaS) 11 1.5.2 Dịch vụ tảng (PaaS) 12 1.5.3 Dịch vụ phần mềm ứng dụng (SaaS) 14 1.6 Các lợi ích điện toán đám mây 15 1.7 Các khó khăn thách thức 16 1.8 Kết luận chƣơng 16 CHƢƠNG VẤN ĐỀ AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY 18 2.1 Tổng quan an toàn thông tin mạng 18 2.1.1 Vấn đề đảm bảo an toàn thông tin 18 2.1.2 An toàn thông tin điện toán đám mây 20 2.2 Các mối đe dọa an toàn thông tin điện toán đám mây 21 2.2.1 Các nguy mối đe dọa điện toán đám mây 21 2.2.2 Các phần mềm độc hại 27 2.2.3 Các lỗ hổng bảo mật 32 2.2.4 Đánh giá mối đe dọa an toàn thông tin điện toán đám mây 34 2.3 Kết luận chƣơng 36 CHƢƠNG GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY CHO DOANH NGHIỆP 38 3.1 An toàn thông tin cho điện toán đám mây doanh nghiệp 38 3.1.1 Tình hình chung toàn giới 38 iv 3.1.2 Tình hình ứng dụng Việt Nam 38 3.1.3 Yêu cầu chung an toàn thông tin 39 3.2 Nguy an toàn thông tin điện toán đám mây doanh nghiệp 41 3.3 Giải pháp đảm bảo an toàn thông tin điện toán đám mây cho doanh nghiệp 43 3.3.1 Những lí luận chung giải pháp an toàn thông tin 43 3.3.2 Đề xuất khung quy chế để xây dựng, triển khai, vận hành, trì hệ thống đám mây đảm bảo an toàn thông tin cho doanh nghiệp Việt Nam 49 3.3.3 Đề xuất mô hình điện toán đám mây triển khai 51 3.3.4 Đề xuất giải pháp hạ tầng hệ thống đám mây 52 3.3.5 Đề xuất giải pháp công nghệ lƣu trữ hệ thống đám mây 54 3.3.6 Đề xuất giải pháp liệu hệ thống đám mây 55 3.4 Kết luận chƣơng 58 KẾT LUẬN 59 TÀI LIỆU THAM KHẢO 60 v DANH MỤC CHỮ VIẾT TẮT ACK Acknowledgment Xác nhận DDoS Distributed Denial Of Service Từ chối dịch vụ phân tán DHCP Dynamic Host Configuration Protocol Giao thức cấu hình động DNS Domain Name System Hệ thống then miền DoS Denial of Service Từ chối dịch vụ Distributed Reflection Denial of Service Từ chối dịch vụ phản xạ phân tán Hypertext Transfer Protocol Giao thức truyền tải siêu văn IaaS Infrastucture as a Service Dịch vụ sở hạ tầng IDS Intrusion Detection System Hệ thống phát xâm nhậm IPS Intrusion Prevention System Hệ thống chống xâm nhập IT Information Technology Công nghệ thông tin DRDoS HTTP ISO International Organization Standardization LAN Local Area Network LDAP Lightweight Protocol NIST National Institute of Standards and Technology Viên tiêu chuẩn công nghệ quốc gia Mỹ NFS Network File System Hệ thống file mạng PaaS Platform as a Service Dịch vụ tảng POP3 Post Office Protocol Version Giao thức Bƣu điện TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn Directory for Tổ chức chuẩn hóa quốc tế Mạng cục Access Giao thức truy nhập nhanh dịch vụ thƣ mục vi URL Uniform Resource Locator Đƣờng dẫn SAN Storage Area Network Khu vực lƣu trữ mạng SaaS Software as a Service Dịch vụ phần mềm SIP Session Initialize Protocol Khởi tạo phiên giao thức SLA Service Level Agreement Hợp đồng dịch vụ SYN Synchronize Đồng hóa RDC Remote Desktop Connection Kết nối máy tính từ xa VLAN Virtual Local Area Network Mạng LAN ảo Virtual Private Network Mạng riêng ảo VPN CNTT Công nghệ thông tin ÐTĐM Điện toán đám mây vii DANH MỤC CÁC HÌNH Hình 1.1 Mô hình Điện toán đám mây Hình 1.2 Mô hình máy chủ ảo điện toán đám mây Hình 1.3 Xu hƣớng tích hợp điện toán đám mây Hình 1.4 Các thành phần điện toán đám mây Hình 1.5 Những mô hình đám mây Hình 1.6 Mô hình đám mây riêng Hình 1.7 Cấu hình đám mây riêng Hình 1.8 Sự kết hợp đám mây công cộng đám mây riêng Hình 1.9 Mô đám mây cộng đồng 10 Hình 1.10 Mô hình IaaS 12 Hình 1.11 Mô hình Platform as a Service 13 Hình 2.1 Tổng quan sơ đồ hình công DDoS 25 Hình 2.2 Minh họa lây nhiễm virus qua thƣ điện tử 28 Hình 2.3 Minh họa phá hoại virus 29 Hình 2.4 Minh họa sâu máy tính 29 Hình 3.1 Một số nhà cung cấp dịch vụ điện toán đám mây [10] 38 Hình 3.2: Mô hình ba lớp bảo vệ liệu 45 Hình 3.3: Mô hình bảo mật dựa Encryption Proxy 45 Hình 3.4: Mô hình bảo vệ liệu sử dụng VPN Cloud 46 viii LỜI MỞ ĐẦU Điện toán đám mây (Cloud Computing) xu chủ đạo hạ tầng IT doanh nghiệp với nhiều ƣu điểm Trong quy trình đánh giá hệ thống để xây dựng đám mây riêng chung, an toàn thông tin đƣợc coi vấn đề quan trọng đƣợc đƣa xem xét Hiểu đƣợc nguy công nhƣ chế bảo mật để phòng chống nguy hệ thống điện toán đám mây giúp ngƣời quản trị đƣa đƣợc chiến lƣợc phù hợp cho điện toán đám mây doanh nghiệp Cùng với phát triển công nghệ thông tin, tội phạm công nghệ cao ngày diễn biến phức tạp, chúng ăn cắp thông tin quan trọng làm ảnh hƣớng lớn đến doanh nghiệp nhƣ cá nhân Vấn đề an toàn thông tin nói chung Điện toán đám mây nói riêng, cần đƣợc nhà cung cấp dịch vụ nhƣ ngƣời sử dụng quan tâm thích đáng Với lý học viên quan tâm lựa chọn đề tài “Nghiên cứu giải pháp đảm bảo an toàn thông tin điện toán đám mây” Kết cấu luận văn đƣợc chia làm chƣơng: Chƣơng 1: Tổng quan điện toán đám mây Chƣơng 2: Vấn đề an toàn thông tin điện toán đám mây Chƣơng 3: Giải pháp đảm bảo an toàn thông tin điện toán đám mây cho doanh nghiệp Kết luận: Trong phần đƣa kết luận vấn đề làm đƣợc luận văn đề xuất hƣớng nghiên cứu Học viên hy vọng luận văn tài liệu tham khảo có giá trị cho ngƣời bắt đầu tìm hiểu nghiên cứu giải pháp đảm bảo an toàn thông tin cho điện toán đám mây 46 Mô hình bảo mật dựa Encryption Proxy Hệ thống đƣợc thiết kế để mã hóa toàn liệu ngƣời dùng trƣớc đƣa lên đám mây (Hình 3.2) Quá trình mã hóa/giải mã xác thực đƣợc thông qua Encryption Proxy Mô hình đảm bảo liệu an toàn bí mật trình truyền (transmission) lƣu trữ (storage) ngƣời dùng đám mây Để mã đƣợc xử lý quản lý lƣu trữ mà không cần giải mã thuật toán mã hóa liệu đồng phôi (homomorphic encryption algorithm) đồng phôi đầy đủ (fully hommomorphic) đƣợc quan tâm nghiên cứu ứng dụng mô hình Thông tin bí mật ngƣời dùng phục vụ trình mã hóa/giải mã đƣợc lƣu Secure Storage Mô hình bảo vệ liệu sử dụng VPN Cloud Trong mô hình (Hình 3.3), để đảm bảo liệu kênh truyền đƣợc an toàn, ngƣời ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đƣờng truyền đám mây riêng với ngƣời sử dụng với đám mây Với tổ chức có nhu cầu an toàn liệu cao triển khai thƣờng lựa chọn mô hình điện toán đám mây riêng (Private Cloud Computing) VPN Cloud giúp cho việc kết nối ngƣời dùng đám mây, nhƣ kết nối đám mây riêng đƣợc an toàn bảo mật thông qua chuẩn IPSec Hình 3.4: Mô hình bảo vệ liệu sử dụng VPN Cloud 47 Công nghệ VPN hệ thống mạng truyền thống phát huy nhiều ƣu việt đƣợc dùng phổ biến Tuy nhiên, với công nghệ điện toán đám mây đòi hỏi tính linh động (dynamic) mềm dẻo (elastic) tổ chức nhƣ quản lý hệ thống, kỹ thuật dynamic VPN hay elastic VPN phù hợp Khi số lƣợng kết nối VPN hệ thống điện toán đám mây lớn đòi hỏi mô hình thiết lập VPN phù hợp tƣơng ứng Có hai mô hình VPN thƣờng đƣợc quan tâm Hub and - Spoke Full- Mesh Việc đƣa liệu “lên mây” cần phải đƣợc đảm bảo an toàn Chính sử dụng tiện ích điện toán đám mây, cần tuân thủ số nguyên tắc dƣới đây: Quản lý Đây khâu quan trọng, có vai trò kiểm soát, giám sát sách, thủ tục tiêu chuẩn cho việc phát triển ứng dụng nhƣ việc thiết kế, thực hiện, kiểm tra giám sát việc triển khai dịch vụ Chấp hành quy định an toàn bảo mật liệu Sự tuân thủ liên quan đến phù hợp với đặc điểm kỹ thuật, tiêu chuẩn, quy định luật pháp Các quốc gia khác có qui định chế độ an ninh - bảo mật khác Vì vậy, cần tuân thủ cách nghiêm túc đắn nhằm đảm bảo an toàn thông tin sử dụng dịch vụ môi trƣờng điện toán đám mây Tin tƣởng nhà cung cấp dịch vụ điện toán đám mây Vấn đề lo ngại công nghệ điện toán đám mây an toàn thông tin nằm nguyên lý tổ chức liệu công nghệ điện toán đám mây Trong mô hình tính toán thông thƣờng (không sử dụng “đám mây”), ngƣời dùng tự lựa chọn cấu hình ứng dụng, tự giải vấn đề phát sinh, có vấn đề tổ chức bảo vệ lƣu liệu Còn điện toán đám mây, việc đƣợc ủy thác cho nhà cung cấp dịch vụ thật khó mà nắm bắt đƣợc họ thực việc nhƣ Vậy khách hàng phải hoàn toàn trông cậy vào nhà cung cấp dịch vụ Trong thỏa thuận nhà cung cấp dịch vụ 48 khách hàng, thƣờng có điều khoản rõ: bảo vệ liệu việc khách hàng Nguy hết liệu lúc rò rỉ thông tin nhạy cảm rào cản đáng kể việc ứng dụng dịch vụ điện toán đám mây dạng phần mềm (SaaS) nhiều ngƣời dùng Cần nói thêm rằng, chuyên gia lĩnh vực an toàn thông tin xây dựng hệ thống bảo vệ sử dụng khái niệm “nguy cơ”, tức là, nhƣ liệu cần bảo vệ thứ mà chẳng cần rõ ràng không nên xây dựng hệ thống bảo vệ phức tạp, đắt tiền Khi sử dụng dịch vụ đƣợc cung cấp hãng lớn nhƣ Google hay Amazon khách hàng lo trƣờng hợp ngƣời lạ xâm nhập vào trung tâm liệu (DataCenter) lấy trộm hết liệu máy chủ, ổ cứng bị cắp Hệ thống máy tính doanh nghiệp tiếng thị trƣờng thƣờng đƣợc bảo vệ tốt so với hệ thống máy tính tổ chức có quy mô nhỏ Những doanh nghiệp lớn phải cố gắng bảo vệ uy tín mình, họ thực thi tất biện pháp cần thiết xây dựng đội ngũ chuyên trách để đảm bảo an toàn Kiến trúc hệ thống Cấu trúc hệ thống phần mềm đƣợc sử dụng để cung cấp dịch vụ đám mây bao gồm phần cứng phần mềm thƣờng trú trọng đám mây Vị trí vật lý sở hạ tầng đƣợc xác định nhà cung cấp dịch vụ đám mây nhƣ mô tả chân thực mức độ tin cậy khả mở rộng logic Các máy ảo thƣờng phục vụ nhƣ hình ảnh trừu tƣợng đơn vị triển khai tƣơng đối lỏng lẻo với kiến trúc lƣu trữ đám mây Các ứng dụng đƣợc xây dựng giao diện lập trình dịch vụ truy cập Internet, điều thƣờng liên quan đến việc nhiều thành phần đám mây giao tiếp với thành phần khác qua giao diện lập trình ứng dụng Bảo vệ liệu Dữ liệu đƣợc lƣu trữ đám mây thƣờng cƣ trú môi trƣờng đƣợc chia sẻ với khách hàng khác Các tổ chức chuyển liệu nhạy cảm sửa đổi liệu đám mây, phải chắn tài khoản để truy cập vào liệu đƣợc kiểm soát chặt chẽ liệu đƣợc lƣu trữ an toàn 49 Kiểm toán điện toán đám mây Vấn đề cần quan tâm, kiểm toán thao tác đƣợc thực ngƣời dùng lẫn quản trị Khi doanh nghiệp sử dụng nhiều dịch vụ có nhầm lẫn việc phân quyền Về nguyên tắc, ngƣời quản trị có quyền “làm tất cả” nên có khả hủy hoại hệ thống, hệ thống chạy mạng cục hay chạy đám mây Chỉ cần vài lệnh ngƣời quản trị toàn liệu bị xóa, lƣu bị tiêu hủy Nhƣng trƣờng hợp điện toán đám mây, hủy hoại đơn giản gây hậu nghiêm trọng nhiều Để giảm thiểu hậu đó, nhà cung cấp khách hàng cần thực lƣu độc lập Khi đó, liệu bị ngƣời quản trị doanh nghiệp xóa, yêu cầu phục hồi từ nhà cung cấp, liệu bị xóa ngƣời quản trị nhà cung cấp phục hồi lại từ lƣu doanh nghiệp 3.3.2 Đề xuất khung quy chế để xây dựng, triển khai, vận hành, trì hệ thống đám mây đảm bảo an toàn thông tin cho doanh nghiệp Việt Nam Ngoài việc có khung hành lang pháp lý để quy định việc đảm bảo an toàn thông tin hệ thống điện toán đám mây nói chung, xin đề xuất khung quy chế để xây dựng, triển khai, vận hành trì hệ thống đám mây đảm bảo an toàn thông tin nhƣ sau: Yêu cầu chung với nhà cung cấp ĐTĐM Do tính chất quan trọng liệu quan nhà nƣớc, hệ thống điện toán đám mây việc cung cấp môi trƣờng linh hoạt, ổn định cần phải đảm bảo an toàn cho thông tin liệu luân chuyển hệ thống Chính vậy, xin đề xuất theo hƣớng cần có quy định quản lý nhà nƣớc đối vơí tổ chức, doanh nghiệp cung cấp giải pháp để xây dựng triển khai hệ thống đám mây quan nhà nƣớc nhƣ sau: - Có Giấy chứng nhận đăng ký doanh nghiệp có hiệu lực, Giấy chứng nhận đăng ký kinh doanh có hiệu lực, Giấy chứng nhận đầu tƣ có hiệu lực, có ghi ngành, nghề kinh doanh kinh doanh 50 dịch vụ điện toán đám mây - Hệ thống trang thiết bị để xây dựng hệ thống hạ tầng điện toán đám mây phải có giấy chứng nhận chứng minh đảm bảo an toàn thông minh tuân thủ c ác tiêu chuẩn bảo mật - Có phƣơng án dự phòng đảm bảo trì hoạt động an toàn, liên tục khắc phục có cố xảy - Có biện pháp đảm bảo an toàn, bảo mật thông tin, bí mật thông tin, liệu - Có áp dụng hệ thống quản lý chất lƣợng, hệ thống quản lý an toàn, bảo mật thông tin theo tiêu chuẩn hành Đối với quan nhà nước xây dựng hệ thống đám mây - Việc đầu tƣ xây dựng hệ thống đám mây quan nhà nƣớc phải tuân thủ theo quy hoạch, đảm bảo yêu cầu kỹ thuật, chất lƣợng, an toàn, bảo mật thông tin, phạm vi phục vụ đủ lớn, khả thi quản lý khai thác, đảm bảo hiệu đầu tƣ - Phải tuân thủ nghiêm ngặt quy định chuẩn kết nối, chuẩn liệu, trang thiết bị phần cứng phần mềm, yêu cầu hạ tầng, mức đảm bảo kỹ thuật, chất lƣợng dịch vụ, an toàn, bảo mật thông tin theo quy định - Đảm bảo không đƣợc truyền tải, lƣu trữ đám mây thông tin quan nhà nƣớc thuộc danh mục bí mật nhà nƣớc; - Phải tuân thủ nghiêm quy định pháp luật viễn thông, công nghệ thông tin, lƣu trữ bảo mật thông tin quan nhà nƣớc; - Việc sử dụng dịch vụ điện toán đám mây quan nhà nƣớc phải bảo đảm khai thác hiệu tài nguyên mạng máy tính nâng cao chất lƣợng ứng dụng công nghệ thông tin hoạt động quan Nhà nƣớc Đối với tổ chức, doanh nghiệp cung cấp dịch vụ ĐTĐM nhằm đảm bảo yêu cầu an toàn bảo mật cần phải có quy định trách nhiệm nội dung sau: - Có trách nhiệm công bố công khai hợp đồng sử dụng dịch vụ điện 51 toán đám mây mẫu trang thông tin điện tử tổ chức, doanh nghiệp - Cung cấp đầy đủ thông tin dịch vụ cho ngƣời sử dụng dịch vụ: chất lƣợng dịch vụ, giá dịch vụ, nguyên tắc mức độ bồi thƣờng thiệt hại, quyền nghĩa vụ tổ chức, doanh nghiệp cung cấp dịch vụ; quyền nghĩa vụ ngƣời sử dụng dịch vụ; thông tin khác liên quan - Đảm bảo trì chất lƣợng dịch vụ nhƣ mức công bố Thƣờng xuyên tự kiểm tra chất lƣợng dịch vụ cung ứng Khi phát mức chất lƣợng dịch vụ không phù hợp với mức công bố phải thực biện pháp khắc phục để đảm bảo chất lƣợng dịch vụ 3.3.3 Đề xuất mô hình điện toán đám mây triển khai Dựa vào sở nghiên cứu công nghệ ĐTĐM vấn đề ảnh hƣởng đến an toàn thông tin ĐTĐM Việt Nam, đề xuất mô hình tổng thể mô hình triển khai sở hạ tầng ĐTĐM cho nhóm dịch vụ IaaS, cụ thể trung tâm thông tin liệu 3.3.3.1 Mô hình tổng thể Đám mây đƣợc xây dựng theo mô hình đám mây riêng có phạm vi cung cấp dịch vụ cho quan, tổ chức thuê hạ tầng, dịch vụ cung cấp đám mây bao gồm: Dịch vụ lƣu trữ liệu cung cấp cho quan Dịch vụ máy ảo cung cấp tài nguyên tính toán cho đơn vị phục vụ triển khai ứng dụng CNTT Dịch vụ mạng ảo giúp đơn vị xây dựng nhóm máy ảo có kết nối mạng để triển khai ứng dụng mang tính tƣơng tác Tất dịch vụ đƣợc cung cấp cho quan, doanh nghiệp thống tảng sở hạ tầng 3.3.3.2 Mô hình triển khai sở hạ tầng Cấu trúc mạng Phần lõi trung tâm liệu bao gồm: lớp kết nối mạng ngoại vi, lớp 52 mạng quy tụ, lớp mạng truy cập Cấu trúc ảo hóa Toàn hệ thống ảo hóa đƣợc điều khiển giám sát hệ quản trị sở hạ tầng, quản trị dịch vụ ĐTĐM tập trung Mô hình hệ thống quản lý hạ tầng đám mây Mô hình hệ thống quản lý hạ tầng đám mây bao gồm chức quản lý hạ tầng Mô hình phụ thuộc vào công nghệ cụ thể hãng cung cấp hạ tầng đƣợc triển khai 3.3.4 Đề xuất giải pháp hạ tầng hệ thống đám mây Hạ tầng kỹ thuật đảm bảo an toàn thông tin Hạ tầng vật lý hệ thống CNTT ĐTĐM cần đƣợc đảm bảo: Thiết lập hệ thống CNTT phòng phù hợp Kiểm soát truy cập tới phòng Các hệ thống bảo vệ phòng chữa cháy phù hợp Các hệ thống cung cấp điện phù hợp Các hệ thống điều hoà không khí phù hợp Sao lƣu liệu theo khái niệm lƣu liệu liên quan 53 Hình 3.5 Kiến trúc hạ tầng việc đảm bảo an ninh truy cập vùng Để đảm bảo yêu cầu kết hợp với hệ thống quản trị, hệ thống điều kiển khiển tự động thông minh nhằm mang đến lợi ích sau: Thiết lập môi trƣờng tiêu chuẩn, an toàn ổn định cho triển khai dịch vụ cho thuê hạ tầng Đảm bảo điều kiện cho hoạt động liên tục hệ thống công nghệ thông tin, có khả chống lại cố điện, cố cháy, nổ ảnh hƣởng đến hoạt động hạ tầng Cung cấp điều kiện tiêu chuẩn môi trƣờng nhƣ: hệ thống thông gió, làm mát, hệ thống chống ẩm đảm bảo trì hoạt động ổn định trung tâm liệu nâng cao tuổi thọ thiết bị phần cứng 54 Đảm bảo điều kiện hạ tầng cho nhu cầu vận hành, bảo trì phát triển hệ thống tƣơng lai Trong thiết kế chuẩn hạ tầng kỹ thuật cho phòng máy chủphải dựa tiêu chuẩn quốc tế thƣờng bao gồm: Giải pháp sàn nâng cho phòng máy chủ Giải pháp nguồn cung cấp Giải pháp làm mát Giải pháp giám sát bảo mật phòng máy chủ Giải pháp Phòng cháy chữa cháy Giải pháp cắt lọc set 3.3.5 Đề xuất giải pháp công nghệ lưu trữ hệ thống đám mây 3.3.5.1 Công nghệ lƣu trữ Do dung lƣợng liệu gia tăng không ngừng, yêu cầu ngày cao hiệu truy xuất, tính ổn định sẵn sàng liệu; việc lƣu trữ trở nên quan trọng Lƣu trữ liệu không đơn giản cung cấp thiết bị lƣu trữ dung lƣợng lớn mà bao gồm khả quản lý, chia sẻ nhƣ lƣu phục hồi liệu trƣờng hợp Hiện có số loại hình lƣu trữ liệu nhƣ: - DAS (Direct Attached Storage): lƣu trữ liệu qua thiết bị gắn trực tiếp - NAS (Network Attached Storage): lƣu trữ liệu vào thiết bị lƣu trữ thông qua mạng IP - SAN (Storage Area Network): lƣu trữ liệu qua mạng lƣu trữ chuyên dụng riêng Mỗi loại hình lƣu trữ liệu có ƣu nhƣợc điểm riêng đƣợc dùng cho mục đích định Dƣới mô hình lƣu trữ liệu tổng quát: 55 Hình 3.6.Các mô hình lƣu trữ liệu 3.3.5.2 Sao lƣu dự phòng liệu Sao lƣu khôi phục liệu mối quan tâm cụ thể ngƣời quản trị IT, họ cần quản lý liệu ngày lớn phức tạp bị cắt giảm chi phí nhƣng phải đảm bảo khả đáp ứng đƣợc dịch vụ ngày tăng doanh nghiệp Nhiều tổ chức nhận thức đơn giản, không đầu tƣ, trang bị để phù hợp với thách thức việc lƣu khôi phục liệu sở hạ tầng họ lỗi thời Hệ thống mạng IT không phù hợp số lƣợng ứng dụng quan trọng ngày tăng thời gian ngừng hệ thống (downtime) giảm Hoặc họ đối phó cách chắp vá, khắc phục cách cần làm cho ứng dụng cụ thể 3.3.6 Đề xuất giải pháp liệu hệ thống đám mây 3.3.6.1 Mô hình AAA Các dịch vụ AAA đƣợc chia làm ba phần, xác thực (authentication), điều khiển truy cập (access control) tính cƣớc (accounting) Ta tìm hiểu khác ba phần cách thức chúng làm việc nhƣ Nhận dạng xác thực (Identification & Authentication ) 56 Nhận dạng phƣơng pháp ngƣời dùng báo cho hệ thống biết họ Bộ phận nhận dạng ngƣời dùng hệ thống quản lý chế tƣơng đối đơn giản, hoạt động dựa hệ thống tên ngƣời dùng (username) định danh ngƣời dùng (userID) Những yêu cầu nhận dạng đòi hỏi định danh dùng để nhận dạng: - Phải định danh - Không để dùng để xác định địa vị hay tầm quan trọng ngƣời dùng tổ chức Ví dụ nhƣ không đƣợc để lộ username CEO hay Giám đốc… Xác thực dùng để nhận dạng (identify) ngƣời dùng Chẳng hạn cách so sánh mật mà ngƣời dùng đăng nhập với mật đƣợc lƣu trữ hệ thống trƣớc Điều khiển truy cập(Access Control) Điều khiển truy cập bƣớc kiểm tra xem ngƣời dùng đƣợc phép tr uy cập vào khu vực liệu server hay đám mây Nó liên quan đến việc quản lý truy cập user, thông qua việc xác thực, kết hợp với luật(Rule) đƣợc quản lý ngƣời quản lý mà cho phép hay không cho phép user thực hành động định Access Control gồm bƣớc: bƣớc ủy quyền(authorization) bƣớc Approve Access control đƣợc sử dụng để thiết lập mối quan hệ chủ thể(users, process, program) đối tƣợng(file, database, devices), dựa xác đị nh quyền truy cập vào đối tƣợng Sự ủy quyền (authorization) hay gọi thức hóa định nghĩa quyền ngƣời dùng hệ thống Tính cước(Accounting) Accounting hành động thu thập liệu lƣợng tiêu thụ tài nguyên cho mục đíc h: phân tích xu hƣớng, phân bổ lực toán, kiểm toán 57 định giá chi phí, theo dõi mô hình sử dụng ngƣời dùng cá nhân, máy chủ, dịch vụ… Accounting cho phép nhà quản trị thu thập thông tin nhƣ thời gian bắt đầu, thời gian kết thúc ngƣời dùng truy cập vào hệ thống, câu lệnh thực thi, thống kê lƣu lƣợng sau lƣu trữ thông tin hệ thống sở liệu quan hệ Nói cách khác, accounting cho phép giám sát dịch vụ tài nguyên đƣợc ngƣời dùng sử dụng Việc sử dụng AAA vấn đề bảo mật an toàn thông tin Các nhà cung cấp dịch vụ tích hợp liệu dựa công nghệ đám mây ngày phải điều khiển việc truy cập nhƣ giám sát thông tin mà ngƣời dùng đầu cuối thao tác Những việc làm đƣa đến thành công hay thất bại dịch vụ ĐTĐM Với ý tƣởng đó, AAA cách thức tốt để giám sát mà ngƣời dùng đầu cuối làm mạng Ta xác thực, cấp quyền, điều khiển truy cập cho ngƣời dùng nhƣ tập hợp đƣợc thông tin nhƣ thời gian bắt đầu hay kết thúc ngƣời dùng Nhƣ ta thấy, bảo mật vấn đề quan trọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật quản trị mạng Ta định nghĩa vai trò (role) đƣa cho ngƣời dùng lệnh mà họ cần để hoàn thành nhiệm vụ họ theo dõi thay đổi mạng Với khả log lại kiện, ta có điều chỉnh thích hợp với yêu cầu đặt Tất thành phần cần thiết để trì tính an toàn, bảo mật cho mạng 3.3.6.2 Kỹ thuật quản lý truy cập liệu Quản lý truy cập sách hay thủ tục cho phép, từ chối hạn chế quyền truy cập tới hệ thống Nó thực quản lý theo dõi ghi lại hành động có liên quan đến hoạt động truy cập vào hệ thống nhƣ có chế xác định ngƣời cố gắng vào cách trái phép Hiện có nhiều loại mô hình quản lý truy cập, phổ biến là: Điều khiển truy cập tùy quyền (Discre tionnary Access Control – DAC) 58 Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) Điều khiển truy cập dựa vai trò (Role -based Access Control - RBAC) 3.4 Kết luận chƣơng Trong chƣơng số nguy tiềm ẩn yêu cầu an toàn thông tin ngƣời dùng doanh nghiệp, đem lại số khuyến cáo, đề xuất chi tiết từ xây dựng biện pháp để đảm bảo an toàn thông tin cho điện toán đám mây doanh nghiệp 59 KẾT LUẬN điên toán ệ toàn thông tin ô ật, ật trƣớ ộc ô ên ệu ậ luận văn ân iệm toàn ệu trƣ mây thông tin ầ ông nghệ iện toàn thông tin y ây toàn thông tin ây ệ ây Với mục tiêu đặt nhƣ vậy, luận văn tiến hành nghiên cứu đạt đƣợc kết sau đây: Nghiên cứu đƣợc tổng quan điện toán đám mây Các vấn đề an toàn thông tin điện toán đám mây Một số giải pháp đảm bảo an toàn thông tin điện toán đám mây Em xin chân thành cảm ơn PGS.TS Nguyễn Tiến Ban giúp đỡ em hoàn thành luận văn Dù cố gắng nhiên luận văn em nhiều thiếu sót, em mong nhận đƣợc góp ý thầy cô 60 TÀI LIỆU THAM KHẢO [1] Leymann, C.F.F., R.R.W Schupeck, and P Arbitter (2014), “Cloud Computing Patterns Fundamentals to Design, Build, and Manage Cloud Applications”, pp 201- 223 [2] Kavis, M.J (2014), Architecting the Cloud: “Design Decisions for Cloud Computing Service Models (SaaS, PaaS, and IaaS)”, pp 109-116 [3] Ryan Ko, Raymond Choo (2015), “The Cloud Security Ecosystem: Technical, Legal, Business and Management Issues 1st Edition” Syngress [4] Dave Shackleford (2013), “Virtualization Security: Protecting Virtualized Environments 1st Edition” John Willey & Son Inc.pp 74-96 [5] Raghuram Yeluri , E.C.-L (2014), Building the Infrastructure for Cloud Security: A Solutions View (Expert's Voice in Internet Security), pp502- 532 [6] John R Vacca (2015), “Cloud Computing Security Foundations and Challenges” CRC Press.pp 197-238 [7] Raj Samani, Jim Reavis, Brian Honan (2015), “CSA Guide to Cloud Computing: Implementing Cloud Privacy and Security 1st Edition” Syngress [8] Yuri Diogenes, Dr Thomas W Shinder, Debra Littejohn Shinder (2016), “Microsoft Azure Security Infrastructure 1st Edition” Microsoft [9] Ronald L Krutz, Russell Dean Vines (2014), “A Comprehensive Guide to Secure Cloud Computing” Wiley Publishing ... 3.1.3 Yêu cầu chung an toàn thông tin 39 3.2 Nguy an toàn thông tin điện toán đám mây doanh nghiệp 41 3.3 Giải pháp đảm bảo an toàn thông tin điện toán đám mây cho doanh nghiệp 43 3.3.1... đề đảm bảo an toàn thông tin 18 2.1.2 An toàn thông tin điện toán đám mây 20 2.2 Các mối đe dọa an toàn thông tin điện toán đám mây 21 2.2.1 Các nguy mối đe dọa điện toán đám. .. CHƢƠNG GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY CHO DOANH NGHIỆP 38 3.1 An toàn thông tin cho điện toán đám mây doanh nghiệp 38 3.1.1 Tình hình chung toàn giới