Chuyên đề: Bảo mật điện toán đám mây An ninh bảo mật điện toán đám mây Giới thiệu An ninh bảo mật điện toán đám mây (đôi gọi đơn giản "đám mây bảo mật") lĩnh vực phát triển bảo mật máy tính, an ninh mạng, rộng rãi an ninh thông tin Nó dùng để tập hợp rộng rãi sách, công nghệ, kiểm soát triển khai để bảo vệ liệu, ứng dụng, sở hạ tầng liên quan đến điện toán đám mây Mục tiêu bảo mật thông tin đám mây  Tính an toàn  Tính đáng tin cậy  Khả tồn : khẳ kháng lại chịu công có khả phục hồi nhanh gây tổn hại  Ngoài có bảy nguyên tắc bổ sung để đảm bảo hỗ trợ an toàn thông tin: bảo mật, toàn vẹn, tính sẵn có, chứng thực, cấp phép, kiểm tra trách nhiệm 2 Các vấn đề an ninh bảo mật liên quan đến điện toán đám mây Có số vấn đề an ninh bảo mật liên quan đến điện toán đám mây, tập trung vào hai loại chính:  Các vấn đề an ninh bảo mật mà nhà cung cấp dịch vụ điện toán đám mây phải đối mặt  Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán đám mây 3 Các tiêu chuẩn quản lý bảo mật Quản lý bảo mật điện toán đám mây: dựa tiêu chuẩn quản lý bảo mật:  Quản lý tính sẵn sàng  Kiểm soát truy cập  Quản lý tính dễ bị xâm phạm  Quản lý đường dẫn  Quản lý cấu hình  Phản ứng cố  Hệ thống sử dụng theo dõi truy cập An ninh bảo mật riêng tư liệu Để đảm bảo liệu an toàn (người sử dụng trái phép không truy cập đơn giản bị mát liệu) liệu riêng tư trì, nhà cung cấp dịch vụ điện toán đám mây tham gia vào lĩnh vực sau:    Bảo vệ liệu Nhận dạng quản lý Nhà cung cấp đảm bảo máy vật lý đầy đủ an toàn việc truy cập vào máy tất liệu khách hàng khách hàng có nhu cầu truy cập không bị hạn chế  Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng họ có quyền truy cập thường xuyên dự đoán trước liệu ứng dụng họ  Các nhà cung cấp đảm bảo tất liệu quan trọng phải cất dấu người uỷ quyền có quyền truy cập toàn liệu 5 An ninh bảo mật mạng  An ninh bảo mật mạng bảo vệ mạng tổ chức, cá nhân trước việc đánh cắp sử dụng sai mục đích thông tin kinh doanh bí mật chống lại công mã độc từ virus sâu máy tính mạng Internet, Intranet Nếu an ninh mạng không triển khai tổ chức, cá nhân có khả gặp rủi ro trước xâm nhập trái phép, làm ngừng trệ hoạt động mạng, gián đoạn dịch vụ, không tuân thủ quy định chí hành động phạm pháp 6 Giới thiệu nguy mối đe dọa điện toán đám mây 6.1 Nguy an toàn thông tin Trong điện toán truyền thống, doanh nghiệp phải tìm đủ giải pháp để đảm bảo an toàn cho thông tin đặt hạ tầng thiết bị mình, khó để họ tin tưởng giao lại thông tin mà họ đặt xác đâu lại quản lý người không quen biết theo mô hình đám mây Vì vậy, an toàn thông tin nguy quan tâm đặc biệt 6.2 Nguy virus Do khả phá hoại lây lan nhanh, virus máy tính nguy lớn nhắc đến vấn đề an ninh bảo mật thông tin Việc tập trung hóa thông tin đám mây rút ngắn thời gian tiết kiệm tiền bạc việc diệt virus, song nguy ảnh hưởng virus không thay đổi chí nguy hiểm 6.3 Nguy lừa đảo trực tuyến lỗ hổng Web Hiện nay, đa phần người sử dụng Internet chưa nhận thức đầy đủ an ninh bảo mật thông tin Do đó, lừa đảo trực tuyến nguy an ninh bảo mật lớn thường bị hacker sử dụng để chiếm đoạt thông tin cách bất hợp pháp 6.4 Nguy công mạng Hiện giới tội phạm công nghệ cao có phương thức công mạng sau:  Tấn công chủ động Tấn công chủ động tên gọi công mà người công hoàn toàn công khai chủ động tổ chức thực công với mục đích làm giảm hiệu làm tê liệt hoạt động mạng máy tính hệ thống  Tấn công bị động Bao gồm quét, bắt trộm nghe trộm gói tin xem phương pháp công đơn giản hiệu  Tấn công mật Bao gồm việc dự đoán, so sánh tra mật thông qua từ điển mật  Tấn công mã nguồn mã mật Bao gồm phương pháp cửa sau (BackDoor), Virus, Trojans, Worms, khóa mật mã yếu thuật toán 7 Các phần mềm độc hại Thuật ngữ "phần mềm độc hại" bao hàm tất loại phần mềm độc hại thiết kế để làm hại máy tính mạng Phần mềm độc hại cài đặt máy người sử dụng mà nạn nhân không hay biết, thường thông qua liên kết lừa đảo nội dung tải xuống đăng nội dung đáng mong ước 7.1 Virus máy tính Virus máy tính chương trình phần mềm có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, máy tính ) 7.2 Sâu máy tính (Worms) Sâu máy tính thường coi nhánh virus có vài khác biệt Sâu máy tính chương trình tự chép, không lây nhiễm tới tập tin máy tính virus Thay vào đó, tự cài vào máy tính lần, sau tìm cách lây lan sang máy tính khác 7.3 Trojan horse Trojan chương trình giả dạng phần mềm hợp pháp khởi động gây hại cho máy tính Trojan tự động lây lan qua máy tính, đặc tính để phân biệt chúng với virus sâu máy tính 8 Web ứng dụng nguy bảo mật liệu 8.1 Các dạng công SQL Injection  Dạng công vượt qua kiểm tra đăng nhập: Với dạng công này, tin tặc dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web  Dạng công sử dụng câu lệnh SELECT: Dạng công phức tạp Để thực kiểu công này, kẻ công phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dò tìm điểm yếu khởi đầu cho việc công  Dạng công sử dụng câu lệnh INSERT: Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để tham gia Chức thiếu sau đăng kí thành công, người dùng xem hiệu chỉnh thông tin  Dạng công sử dụng stored-procedures: Việc công stored- procedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống 'sa' 8.2 Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ công xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp  Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo DoS (Denial of Services - Từ chối dịch vụ- nỗ lực làm cho người dùng sử dụng tài nguyên máy tính) cố gắng ác ý người hay nhiều người để trang, hay hệ thống mạng sử dụng, làm gián đoạn, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống  Lỗ hổng loại B: Lỗ hổng loại cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ nên dẫn đến mát lộ thông tin yêu cầu bảo mật  Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng bên truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống 9 Giải pháp an ninh bảo mật điện toán đám mây  Giải pháp tăng lực bảo mật HP  Giải pháp bảo mật điện toán đám mây Trend Micro  Giải pháp bảo mật điện toán đám mây Panda Security  Giải pháp bảo mật điện toán đám mây Symantec BT: Tìm hiểu giải pháp bảo mật ... lực bảo mật HP  Giải pháp bảo mật điện toán đám mây Trend Micro  Giải pháp bảo mật điện toán đám mây Panda Security  Giải pháp bảo mật điện toán đám mây Symantec BT: Tìm hiểu giải pháp bảo mật. ..An ninh bảo mật điện toán đám mây Giới thiệu An ninh bảo mật điện toán đám mây (đôi gọi đơn giản "đám mây bảo mật" ) lĩnh vực phát triển bảo mật máy tính, an ninh mạng, rộng... bảo mật mà khách hàng sử dụng dịch vụ điện toán đám mây 3 Các tiêu chuẩn quản lý bảo mật Quản lý bảo mật điện toán đám mây: dựa tiêu chuẩn quản lý bảo mật:  Quản lý tính sẵn sàng  Kiểm soát