bao mat dien toan dam may vhung

bao mat dien toan dam may vhung tài liệu, giáo án, bài giảng , luận văn, luận án, đồ án, bài tập lớn về tất cả các lĩnh...

(Đăng hội thảo “Điện toán Đám mây” Học viện Ngân hàng

năm 2013) BẢO MẬT VÀ AN TOÀN DỮ LIỆU CHO ĐIỆN TOÁN ĐÁM

MÂY

Th.s Lê Văn Hùng

iện toán đám mây đang được ứng dụng ngày càng nhiều nhờ vào những ưu điểm về kinh tế và công nghệ Bên cạnh đó vẫn có những mặt trái khiến cho người dùng vẫn còn e dè trước sức mạnh của nó Do dữ

liệu của của người dùng đều được đưa lên đám mây nên đám

mây sẽ tìm tàng nhiều rủi ro khi khá nhiều thông tin được tập

trung vào cùng một nơi đây chính là món mồi ngon cho

những kẻ có mục đích xấu Vì vậy bài viết này tập trung

nghiên cứu về giải pháp bảo mật và an toàn dữ liệu cho điện

toán đám mây

1 Tổng quan

Thuật ngữ điện toán đám mây xuất hiện bắt nguồn từ ứng dụng điện toán

lưới (grid computing) trong thập niên 1980, tiếp theo là điện toán theo nhu cầu (utility computing) và phần mềm dịch vụ (SaaS)

Điện toán lưới đặt trọng tâm vào việc di chuyển một tải công

việc (workload) đến địa điểm của các tài nguyên điện toán cần thiết để sử dụng

Một lưới là một nhóm máy chủ mà trên đó nhiệm vụ lớn được chia thành những tác vụ nhỏ để chạy song song, được xem là một máy chủ ảo.[1]

Vậy điện toán đám mây là gì?

Đ

Theo Wikipedia: “Điện toán đám mây (cloud computing) là một mô hình điện

toán có khả năng co giãn (scalable) linh động và các tài nguyên thường được ảo hóa được cung cấp như một dịch vụ trên mạng Internet”.[2]

Theo Gartner (http://www.buildingthecloud.co.uk/) :

“Một mô hình điện toán nơi mà khả năng mở rộng và linh hoạt về công nghệ thông tin được cung cấp như một dịch vụ cho nhiều khách hàng đang sử dụng các công nghệ trên Internet”

Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng

theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền tảng (platform) và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”

Đặc điểm của cloud computing [9] [10]

Nhanh chóng cải thiện với người dùng có khả năng cung cấp sẵn các tài nguyên cơ sở hạ tầng công nghệ một cách nhanh chóng và ít tốn kém

Chi phí được giảm đáng kể và chi phí vốn đầu tư được chuyển sang hoạt động chi tiêu Điều này làm giảm rào cản cho việc tiếp nhận, chẳng hạn như cơ sở

hạ tầng được cung cấp bởi đối tác thứ 3 và không cần phải mua để dùng cho các tác vụ tính toán thực hiện 1 lần hay chuyên sâu mà không thường xuyên Việc định giá dựa trên cơ sở tính toán theo nhu cầu thì tốt đối với những tùy chọn dựa trên việc sử dụng và các kỹ năng IT được đòi hỏi tối thiểu (hay không được đòi hỏi) cho việc thực thi

Sự độc lập giữa thiết bị và vị trí làm cho người dùng có thể truy cập hệ thống bằng cách sử dụng trình duyệt web mà không quan tâm đến vị trí của họ hay thiết bị nào mà họ đang dùng, ví dụ như PC, mobile Vì cơ sở hạ tầng off-site

(được cung cấp bởi đối tác thứ 3) và được truy cập thông qua Internet, do đó người

dùng có thể kết nối từ bất kỳ nơi nào

Việc cho thuê nhiều để có thể chia sẻ tài nguyên và chi phí giữa một phạm

vi lớn người dùng, cho phép:

Tập trung hóa cơ sở hạ tầng trong các lĩnh vực với chi phí thấp hơn (chẳng hạn như bất động sản, điện, v.v.)

Khả năng chịu tải nâng cao (người dùng không cần kỹ sư cho các mức tải cao nhất có thể)

Cải thiện việc sử dụng và hiệu quả cho các hệ thống mà thường chỉ 10-20% được sử dụng

Độ tin cậy cải thiện thông qua việc sử dụng các site có nhiều dư thừa, làm

nó thích hợp cho tính liên tục trong kinh doanh và khôi phục thất bại Tuy nhiên, phần lớn các dịch vụ của cloud computing có những lúc thiếu hụt và người giám đốc kinh doanh, IT phải làm cho nó ít đi

Tính co giãn linh động (“theo nhu cầu”) cung cấp tài nguyên trên một cơ

sở mịn, tự bản thân dịch vụ và gần thời gian thực, không cần người dùng phải có

kỹ sư cho chịu tải Hiệu suất hoạt động được quan sát và các kiến trúc nhất quán, kết nối lỏng lẽo được cấu trúc dùng web service như giao tiếp hệ thống

Việc bảo mật cải thiện nhờ vào tập trung hóa dữ liệu, các tài nguyên chú trọng bảo mật, v.v… nhưng cũng nâng cao mối quan tâm về việc mất quyền điều khiển dữ liệu nhạy cảm Bảo mật thường thì tốt hay tốt hơn các hệ thống truyền thống, một phần bởi các nhà cung cấp có thể dành nhiều nguồn lực cho việc giải quyết các vấn đề bảo mật mà nhiều khách hàng không có đủ chi phí để thực hiện Các nhà cung cấp sẽ ghi nhớ (log) các truy cập, nhưng việc truy cập vào chính bản thân các audit log có thể khó khăn hay không thể

Khả năng chịu đựng xảy ra thông qua việc tận dụng tài nguyên đã được cải thiện, các hệ thống hiệu quả hơn Tuy nhiên, các máy tính và cơ sở hạ tầng kết hợp

là những thứ tiêu thụ năng lượng chủ yếu

Sự khác biệt giữa điện toán đám mây và điện toán truyền thống [1][4][8]

Trong mô hình điện toán truyền thống, các cá nhân, doanh nghiệp sẽ xây dựng riêng cơ sở hạ tầng kỹ thuật để tự cung cấp các dịch vụ cho các hoạt động thông tin đặc thù của mình Với mô hình này, mọi thông tin sẽ được lưu trữ, xử lý nội bộ và họ sẽ trả tiền để triển khai, duy trì cơ sở hạ tầng đó (mua thiết bị phần cứng, phần mềm chuyên dụng, trả lương cho bộ phận điều hành )

Khác với mô hình điện toán truyền thống, điện toán đám mây lưu trữ và xử

lý toàn bộ thông tin trong đám mây Internet Mọi công nghệ, kỹ thuật, cơ sở hạ tầng cũng như chi phí triển khai trong đám mây sẽ do nhà cung cấp đảm bảo xây dựng và duy trì Do đó, thay vì phải đầu tư từ đầu rất nhiều tiền cho chi phí xây dựng cơ sở hạ tầng riêng, các cá nhân, doanh nghiệp trong quá trình hoạt động sẽ

chỉ phải trả số tiền vừa đủ theo nhu cầu sử dụng của mình (pay-for-what-you-use)

Như vậy, mô hình này có rất nhiều lợi ích như sử dụng hợp lý nguồn vốn, điều hòa chi tiêu tính toán theo thực tế sử dụng, luôn hưởng năng suất tính toán theo cam kết của nhà cung cấp dịch vụ, tận dụng được sức mạnh của Internet và các siêu máy tính, giảm cơ bản trách nhiệm quản lý hệ thống CNTT nội bộ

2 Mất an toàn thông tin là nguy cơ hàng đầu [3][6]

Như đã phân tích, sự khác biệt lớn giữa điện toán đám mây so với điện toán truyền thống là thông tin được đặt trên đám mây, người sử dụng sẽ truy nhập

và làm việc với thông tin khi cần thiết điều này cũng giống như cách thức gửi tiền trong ngân hàng và khách hàng có thể rút tiền khi cần Việc gửi tiền trong ngân hàng ngày nay là một trong những giải pháp được tin cậy nhất, bởi vậy, thông tin trên đám mây có vẻ như an toàn

Tuy nhiên, không giống như lĩnh vực tài chính, ngân hàng, thông tin của người sử dụng cá nhân cũng như của doanh nghiệp, tổ chức lại có mức độ riêng tư rất cao đặc biệt, những thông tin đó không được phép lộ ra nếu chúng là bí mật công nghệ, bí mật tài chính hoặc thậm chí là bí mật quốc gia Ngân hàng có thể bồi thường tiền cho khách hàng nhưng thông tin là không thể

Trong điện toán truyền thống, các doanh nghiệp còn phải tìm đủ mọi giải pháp chỉ để đảm bảo an toàn cho những thông tin đặt ngay trên hạ tầng thiết bị của chính mình, thì rất khó để họ tin tưởng giao lại thông tin khi mà họ không biết nó được đặt chính xác ở đâu và lại được quản lý bởi những người không quen biết theo mô hình đám mây Vì vậy, mất an toàn thông tin luôn là nguy cơ được quan tâm đặc biệt nhất

Mất kiểm soát: Do sử dụng hạ tầng của nhà cung cấp dịch vụ nên doanh

nghiệp phải nhường quyền kiểm soát cho nhà cung cấp trên một số vấn đề, dẫn đến việc an ninh thông tin sẽ bị ảnh hưởng

Phụ thuộc: Hiện tại có rất ít công cụ hoặc dữ liệu được định dạng theo

đúng tiêu chuẩn nhằm phục vụ yêu cầu di động của dịch vụ và điều này có thể gây khó khăn cho người sử dụng khi chuyển đến một nhà cung cấp khác hoặc chuyển

dữ liệu về kho ứng dụng phục vụ khách hàng

Cách ly bất thành: Tính tập trung là đặc điểm chính của những ứng dụng

dựa trên nền tảng điện toán đám mây, điều này dẫn đến rủi ro là nhà cung cấp không tách bạch được trong bộ nhớ lưu trữ dữ liệu của những khách hàng khác nhau nên có thể gây nên việc nhầm lẫn dữ liệu

Giao diện bị lộ: Các giao diện bị lộ làm cho nguy cơ tấn công ngày càng

tăng cao, đặc biệt khi kết hợp với việc người sử dụng truy cập từ xa và các lỗ hổng trình duyệt web

Bảo vệ dữ liệu: Điện toán đám mây gây bất ổn đối với dữ liệu của bên sử

dụng dịch vụ và nhà cung cấp Vấn đề này càng trầm trọng hơn trong các trường hợp chuyển nhiều dữ liệu giữa các đám mây có liên quan

3 An toàn cho điện toán đám mây [6][7]

Nếu tất điều đó thực sự là cách ta cảm nhận về điện toán đám mây thì làm thế nào để điện toán đám mây có thể được thực hiện an toàn? Nó đòi hỏi một hoặc nhiều yếu tố sau đây:

 Xác thực người dùng hai yếu tố

 Một kênh an toàn độc quyền

 Một giao thức đám mây cụ thể mới

 Một cấp độ mã hóa hoàn toàn mới

 Một mức độ rủi ro có thể chấp nhận

Người dùng hãy xem xét từng lựa chọn sau đây và hãy cho biết bạn nghĩ gì

về chúng Bạn cũng có thể đưa ra những ý kiến của riêng bạn, nếu bạn cảm thấy rằng bất kỳ yếu tố nào cũng không hiệu quả

Xác thực người dùng hai yếu tố: Đây sẽ là một lựa chọn đắt tiền mặc dù

rất an toàn Phương pháp này sẽ yêu cầu mỗi người sử dụng điện toán đám mây phải có một mã thông báo an toàn hoặc ngẫu nhiên tạo ra một mã khóa cho phép kết nối cơ sở hạ tầng đám mây của họ Nó cũng sẽ yêu cầu người sử dụng phải kết nối với hệ thống đám mây bằng một tên người dùng và mật khẩu

Kênh an toàn độc quyền: Phương pháp này sẽ yêu cầu các nhà cung cấp

dịch vụ đám mây phân phối một phần của phần mềm máy khách đến từng khách hàng với một mã kết nối cụ thể, một loại mã giống như một mã khóa giấy phép

Mã khóa sẽ xác nhận phần mềm máy khách, vị trí khách hàng và sự kết hợp một

tên người dùng/mật khẩu để bảo đảm kênh

Một giao thức đám mây cụ thể: Một giao thức mới có thể phải mất nhiều

năm để thực hiện nhưng nó có thể hoạt động hiệu quả Ví dụ, nó có thể liên kết hai trang web với nhau để sử dụng đám mây với một số loại xác minh end-to-end để các cuộc tấn công hoặc giả mạo không thể xảy ra Giao thức mới này cũng có thể yêu cầu phần mềm máy khách mới và phần mềm máy chủ mới, nhưng ít nhất, các

lập trình viên phải có thời gian để tạo ra một liên kết truyền thông thực sự an toàn

Một cấp độ mã hóa hoàn toàn mới: Hầu hết các cấp độ mã hóa có thể bị

tấn công với một số nỗ lực nhưng nếu một cấp độ mã hóa siêu mới được tạo ra, nó

sẽ chứng minh rằng nó hầu như không thể bị phá vỡ, ít nhất là với sức mạnh điện toán hiện đang có sẵn

Một mức độ rủi ro có thể chấp nhận: Điều này dường như là phổ biến

nhất Các nhà cung cấp sẽ phải làm những gì có thể để bảo đảm an toàn cho hệ thống và công cụ liên lạc Vấn đề của bốn lựa chọn trên là chi phí Với sự cạnh tranh giảm giá liên tục, các nhà cung cấp phải thực hiện một “nỗ lực tốt nhất” và dựa trên thực hành tốt nhất để cung cấp an ninh càng nhiều càng tốt và có một mức

giá hợp lý Điều đó có nghĩa là phải chấp nhận một mức độ rủi ro nhất định

Rõ ràng rằng, người dùng sẽ ủng hộ một đám mây an toàn Không ai muốn

dữ liệu của mình bị đánh cắp Tuy nhiên, không ai muốn trả tiền cho một sự bảo mật cực kỳ cần thiết cho đám mây Chúng ta phải có sự cân bằng giữa giá cả và an ninh cho điện toán đám mây để nó trở thành một nơi hợp lý để kinh doanh Vì vậy, câu hỏi đặt ra là, "Bạn sẵn sàng chấp nhận bao nhiêu rủi ro?"

4 Giải pháp bảo mật [6]

Giải pháp được đưa ra đó là kết hợp điện toán đám mây với công nghệ ghi

dữ liệu song song RAID

RAID là chữ viết tắt của Redundant Array of Independent Disks Ban

đầu, RAID được sử dụng như một giải pháp phòng hộ vì nó cho phép ghi dữ liệu lên nhiều đĩa cứng cùng lúc Về sau, RAID đã có nhiều biến thể cho phép không chỉ đảm bảo an toàn dữ liệu mà còn giúp gia tăng đáng kể tốc độ truy xuất dữ liệu từ đĩa cứng RAID có nhiều loại nhưng chúng ta tập trung vào ứng dụng hai loại sau đây làm giải pháp cho điện toán đám mây

RAID 0: đây là dạng RAID đang được người dùng ưa thích do khả

năng nâng cao hiệu suất trao đổi dữ liệu của đĩa cứng đòi hỏi tối thiểu hai đĩa cứng, RAID 0 cho phép máy tính ghi dữ liệu lên chúng theo một phương thức đặc biệt được gọi là Striping Ví dụ bạn có 8 đoạn dữ liệu được đánh số từ 1 đến 8, các đoạn đánh

số lẻ (1,3,5,7) sẽ được ghi lên đĩa cứng đầu tiên và

các đoạn đánh số chẵn (2,4,6,8) sẽ được ghi lên đĩa thứ hai để đơn giản hơn, bạn

có thể hình dung mình có 100MB dữ liệu và thay vì dồn 100MB vào một đĩa cứng duy nhất, RAID 0 sẽ giúp dồn 50MB vào mỗi đĩa cứng riêng giúp giảm một nửa thời gian làm việc theo lý thuyết Từ đó bạn có thể dễ dàng suy ra nếu có 4, 8 hay nhiều đĩa cứng hơn nữa thì tốc độ sẽ càng cao hơn Tuy nghe có vẻ hấp dẫn nhưng trên thực tế, RAID 0 vẫn ẩn chứa nguy cơ mất dữ liệu Nguyên nhân chính lại nằm

ở cách ghi thông tin xé lẻ vì như vậy dữ liệu không nằm hoàn toàn ở một đĩa cứng nào và mỗi khi cần truy xuất thông tin (ví dụ một file nào đó), máy tính sẽ phải tổng hợp từ các đĩa cứng Nếu một đĩa cứng gặp trục trặc thì thông tin (file) đó coi như không thể đọc được và mất luôn Thật may mắn là với công nghệ hiện đại, sản phẩm phần cứng khá bền nên những trường hợp mất dữ liệu như vậy xảy ra không nhiều

Có thể thấy RAID 0 thực sự thích hợp cho những người dùng cần truy cập nhanh khối lượng dữ liệu lớn, ví dụ các game thủ hoặc những người chuyên làm đồ hoạ, video số

RAID 1: đây là dạng RAID cơ bản nhất có khả năng đảm bảo an toàn dữ

liệu Cũng giống như RAID 0, RAID 1 đòi hỏi ít nhất hai đĩa cứng để làm việc Dữ

liệu được ghi vào 2 ổ giống hệt nhau (Mirroring) Trong trường hợp một ổ bị trục trặc, ổ còn lại sẽ tiếp tục hoạt động bình thường Ta có thể thay thế ổ đĩa bị hỏng mà không phải lo lắng đến vấn đề thông tin thất lạc đối với RAID 1, hiệu năng không phải là yếu tố hàng đầu nên chẳng có gì ngạc nhiên nếu nó không phải là lựa chọn số một cho những người say mê tốc độ Tuy nhiên đối với những nhà quản trị mạng hoặc những ai phải quản lý nhiều thông tin quan trọng thì hệ thống RAID 1 là thứ không thể thiếu Dung lượng cuối cùng của hệ thống RAID 1 bằng dung lượng của ổ đơn (hai ổ 80GB chạy RAID 1 sẽ cho hệ thống nhìn thấy duy nhất một ổ RAID 80GB)

5 Kết luận

Bằng công nghệ RAID ta có thể giải quyết được hai vướng mắc cơ bản ở người dùng đám mây đó là Tin cậy và An toàn Tùy theo nhu cầu người dùng sẽ

có những lựa chọn cho cách lưu dữ liệu của họ

Lựa chọn thứ nhất: áp dụng công nghệ lưu dữ liệu RAID 0 dành cho

người dùng có nhu cầu bảo mật dữ liệu, bằng cách chia nhỏ các phần dữ liệu liên

tục có thứ tự, các phần dữ liệu lẻ (hoặc chẵn) sẽ được lưu trên đám mây ngược lại các phần dữ liệu chẵn (hoặc lẻ) sẽ được lưu trên thiết bị đầu cuối của người dùng

Với phương pháp lưu trữ này người dùng có thể hoàn toàn yên tâm rằng phần dữ liệu trên đám mây sẽ không có giá trị gì cho đến khi nó được thống nhất với một nữa dữ liệu mà người dùng nắm giữ

Lựa chọn thứ hai: áp dụng công nghệ ghi dữ liêu RAID 1 dành cho người

dùng muốn đảm bảo an toàn cho dữ liệu tránh những tai nạn hay thiên tai gây ra Tất cả các dữ liệu được tính toán hay lưu trữ trên đám mây đều sẽ được lưu song song trên thiết bị đầu cuối của người dùng Giải pháp này giúp người dùng luôn mang theo một bản backup dữ liệu cho riêng mình

TÀI LIỆU THAM KHẢO

[1] Cloud computing – cách mạng điện toán giá rẻ nhờ Internet Được lấy từ trang http://computerjobs.vn [Địa chỉ]

http://computerjobs.vn/blog-cong-nghe/cloud-computing-cach-mang-dien-toan-gia-re-nho-internet.htm

[2] Cloud computing Được lấy từ trang wikipedia.org [Địa chỉ]

http://en.wikipedia.org/wiki/Cloud_computing

[3] BRODKIN, J Loss of customer data spurs closure of online storage service

’The Linkup’ Network World (August 2008)

[4] GARFINKEL, S An Evaluation of Amazon’s Grid Computing Services: EC2,

S3 and SQS Tech Rep TR-08-07, Harvard University, August 2007

[5] http://www.buildingthecloud.co.uk/

[6] AMAZON AWS Public Data Sets on AWS [online] 2008 Available from:

http://aws.amazon.com/publicdatasets/

[7] DEAN, J., AND GHEMAWAT, S Mapreduce: simplified data processing on large clusters In OSDI’04: Proceedings of the 6th conference on Symposium on Opearting Systems Design & Implementation (Berkeley, CA, USA, 2004),

USENIX Association

[8] ABRAMSON, D., BUYYA, R., AND GIDDY, J A computational economy for grid computing and its implementation in the Nimrod-G resource broker Future

Generation Computer Systems 18, 8 (2002)

[9] BARROSO, L A., AND HOLZLE, U The Case for Energy-Proportional Computing IEEE Computer 40, 12 (December 2007)

[10] BECHTOLSHEIM, A Cloud Computing and Cloud Networking, talk at UC

Berkeley, December 2008