Câu 11: Đảm bảo an toàn cho các lĩnh vực trong điện toán đám mây Câu 12: Mô hình kiến trúc an toàn điện toán đám mây của CSA Câu 13: Vấn đề an toàn ảo hóa trong điện toán đám mây Câu 14: Trình bày mô hình an toàn bảo mật dữ liệu trong điện toán đám mây? Câu 15: Kỹ thuật xác thực và mã hóa trong bảo mật dữ liệu điện toán đám mây. Câu 16: Vấn đề phục hồi dữ liệu trong điện toán đám mây.
ĐỀ CƯƠN G AN (tìm hiểu thêm giáo trình nhé) Câu 1: Khái niệm đặc điểm điện tốn đám mây • Khái niệm theo viện tiêu chuẩn cơng nghệ NIST: điện tốn đám mơ hình cho phép truy cập mạng thuận tiện, theo nhu cầu đến kho tài nguyên điện toán dùng chung, định cấu hình: mạng, máy chủ, lưu trữ, ứng dụng, …có thể cung cấp thu hồi cách nhanh chóng với yêu cầu tối thiểu quản lý can thiệp nhà cung cấp dịch vụ • Đặc điểm: (5 đặc điểm) o Tự phục vụ theo nhu cầu: có nhu cầu, người dùng cần gửi yêu cầu qua trang web cung cấp dịch vụ, hệ thống nhà cung cấp đáp ứng yêu cầu người dùng Người dùng tự phục vụ nhu cầu tăng thời gian sử dụng server, tăng dung lượng lưu trữ… mà không cần tương tác trực tiếp với nhà cung cấp dịch vụ, nhu cầu dịch vụ xử lý Internet o Truy xuất diện rộng: điện toán đám mây cung cấp dịch vụ thơng qua mơi trường Internet, người dùng có kết nối Internet sử dụng dịch vụ Điện tốn đám may dạng dịch vụ nên khơng đòi hỏi khả xử lý cao phía client, người dùng truy xuất thiết bị di động điện thoại, PDA, laptop… Với điện tốn đám mây, người dùng khơng bị phụ thuộc vào vị trí, truy xuất dịch vụ nơi nào, lúc có Internet o Dùng chung tài nguyên: tài nguyên nhà cung cấp dịch vụ dùng chung, phục vụ cho nhiều người dùng dựa mơ hình multi -tenant, tài ngun phân phát tùy theo nhu cầu người dùng Khi nhu cầu khách hàng giảm xuống phần tài nguyên dư thừa tận dụng phục vụ cho khách hàng khác o Khả co giãn: khả tự động mở rộng thu nhỏ hệ thống tùy theo nhu cầu người dùng Khi nhu cầu tăng cao, hệ thống tự động mở rộng cách thêm tài nguyên vào Khi nhu cầu giảm xuống, hệ thống tự giảm bớt tài nguyên => Nhà cung cấp sử dụng tài nguyên hiệu quả, tận dụng triệt để tài nguyên dư thừa, phục vụ nhiều khách hàng Người sử dụng dịch vụ giúp họ giảm chi phí họ trả phí cho tài nguyên thực dùng TRẦN NGỌC PHAN ANH o Điều tiết dịch vụ: hệ thống điện toán đám mây tự động kiểm sốt tối ưu hóa việc sử dụng tài ngun (dung lượng lưu trữ, đơn vị xử lý, băng thông…) Lượng tài nguyên sử dụng theo dõi, kiểm soát báo cáo cách minh bạch cho hai phía nhà cung cấp dịch vụ người sử dụng Câu 2: Ưu điểm vấn đề tồn điện tốn đám mây • Ưu điểm: o Sử dụng tài ngun tính tốn động: tài nguyên cấp phát cho doanh nghiệp theo doanh nghiệp muốn cách tức thời Doanh nghiệp khơng cần phải tính tốn xem có nên mở rộng hay không, đầu tư máy chủ, công việc đám mây thực tìm kiếm tài nguyên rỗi để cung cấp cho bạn o Giảm chi phí: doanh nghiệp có khả cắt giảm chi phí để mua bán, cài đặt, bảo trì tài ngun Thay phải mua máy chủ, cài đặt máy chủ, bảo trì máy chủ doanh nghiệp cần xác định xác tài ngun cần u cầu o Giảm độ phức tạp cấu doanh nghiệp: doanh nghiệp sản xuất hàng hóa mà cần chuyên gia IT vận hành, bảo trì máy chủ q tốn kém, phức tạp Nếu khốn ngồi doanh nghiệp tập trung vào việc sản xuát chuyên môn giảm bớt độ phức tạp cấu o Tăng khả sử dụng tài nguyên tính tốn: việc sử dụng tài ngun giúp doanh nghiệp gỡ bỏ nỗi lo lắng việc đầu tư tài nguyên hết khấu hao, đầu tư lãi khơng, lạc hậu cơng nghệ… • Vấn đề tồn tại: o Tính bảo mật (bao gồm vấn đề người dùng có đặc quyền truy cập; tuân thủ điều luật, quy tắc; phân tách liệu) Dữ liệu khách hàng bảo vệ nào? Ngồi khách hàng, liệu bị xem trộm nhà cung cấp khách hàng khác khơng? Các nhà cung cấp có đạt chứng nhận tổ chức thứ ba đánh giá bảo mật hay khơng? o Tính sẵn sàng (bao gồm vấn đề vị trí liệu; khả phục hồi; tồn lâu dài): Ứng dụng cung cấp điện tốn đám mây ln sẵn sàng hay không? TRẦN NGỌC PHAN ANH Nếu xảy cố, thời gian khôi phục dịch vụ thời gian? Nhà cung cấp dịch vụ có đủ tài để cung cấp lâu dài cho khách hàng hay không? Chế độ bảo hiểm liệu nhà cung cấp ngừng dịch vụ lý tài chính? o Tính an ninh (vấn đề hỗ trợ điều tra – hỗ trợ nhật ký lưu dấu hoạt động hệ thống): Vấn đề phòng chống cơng? Nhà cung cấp có minh bạch cung cấp trạng phục vụ điều tra thông tin đến khách hàng nắm không? Câu 3: Công nghệ ảo hóa ứng dụng điện tốn đám mây • Ảo hóa cho phép nhiều người dùng ứng dụng chia sẻ tài nguyên vật lý mà không gây ảnh hưởng lẫn môi trường điện tốn đám mây • Cơng nghệ ảo hóa khơng giới hạn máy chủ Ảo hóa áp dụng thích hợp lưu trữ, kết nối mạng ứng dụng • Lợi ích ảo hóa điện tốn đám mây: o Tính mềm dẻo khả mở rộng: khởi động tắt máy ảo đơn giản, dễ dàng so với việc sử dụng máy chủ thật o Giảm tải khối lượng cơng việc: thơng qua tiện ích di chuyển máy ảo người quản trị thực chuyển khối lượng cơng việc với nỗ lực nhiều so với nỗ lực di chuyển máy chủ vật lý tới địa điểm khác o Khả phục hồi: người quản trị lập hỏng hóc vật lý từ dịch vụ người sử dụng thơng qua việc di chuyển máy ảo • Các phương pháp triển khai ảo hóa: o Mơ hệ thống: phương pháp xây dựng nên môi trường máy ảo mô tất tài nguyên phần cứng Hệ điều hành cài máy ảo sử dụng tài nguyên phần cứng thông qua lớp mô thay sử dụng trực tiếp phần cứng máy thật Một số sản phẩm: Vmware, Microsofr Virtual PC, Paralles o Ảo hóa đoạn (Paravirtualization): hệ điều hành chạy máy ảo điều chỉnh để nhận chạy trình siêu quản lý (hypervisor) ảo hóa Phương pháp khơng tiến hành mô phần cứng nên thực tốt gần với tốc độ thật (Xen, User – Mode Linux) o Ảo hóa mức hệ điều hành: kỹ thuật thực việc chạy nhiều thể (instance) hệ điều hành máy thật, thể cô lập chạy môi trường an toàn (FreeBSD jails, Solaris10 zones) TRẦN NGỌC PHAN ANH • Trình siêu quản lý phần cứng (Base - metal hypervisor): lớp phần mềm hypervisor chạy trực tiếp tảng phần cứng máy chủ, không thông qua hệ điều hành hay tảng khác Qua đó, hypervisor có khả điều khiển, kiểm soát phần cứng máy chủ Đồng thời, có khả quản lý hệ điều hành chạy Ví dụ: Oracle VM, Vmware ESX server… • Trình siêu quản lý phần mềm lưu trữ (hosted hypervisor): kiến trúc sử dụng lớp hypervisor chạy tảng hệ điều hành, sử dụng dịch vụ hệ điều hành cung cấp để phân chia tài nguyên tới máy ảo Ví dụ: Vmware server, Vmware workstation, Microsoft virtual server… Câu 4: Vai trò tính tốn lưới điện tốn đám mây • Điện toán lưới hệ thống phân tán, bố trí song song, cho phép linh hoạt chia sẻ, tuyển lựa, tập hợp nguồn tài nguyên độc lập rải rác địa lý, tùy theo khả sẵn có, cơng suất, hoạt động, chi phí u cầu chất lượng dịch vụ người sử dụng • Là sở hạ tầng hỗ trợ cho điện toán đám mây • Tính tốn lưới kết hợp nhiều tài nguyên phần cứng phần mềm vị trí khác nhằm tạo lực xử lý lớn, dễ dàng truy xuất hiệu tài ngun lưới • Mơ hình tính tốn lưới phân thành nhiều tầng khác nhau: o Tầng tác chế (Fabric): giúp định vị tài nguyên mạng lưới o Tầng kết nối (Connectivity): giúp kết nối mạng lưới mạng o Tầng tài nguyên (Resource): giúp chia sẻ tài nguyên mạng lưới o Tầng ứng dụng (Application): kết nối ứng dụng người dùng, để truy cập sử dụng tài nguyên mạng lưới Câu 5: Một số cơng nghệ tảng khác cho điện tốn đám mây Công nghệ Web server o SOA (Service Oriented Architecture): Hướng tiếp cận kiến trúc phần mềm ứng dụng, ứng dụng cấu thành từ thành phần độc lập, phân tán, phối hợp hoạt động với gọi service TRẦN NGỌC PHAN ANH Các chức service công bố dạng giao diện chuẩn, chi tiết cài đặt chức che giấu, người dùng không cần quan tâm Ứng dụng xác định thời gian thực thi dịch vụ có chức giống từ nhiều nguồn, từ chọn tốt để sử dụng o SOAP (Simple Object Access Protocol): giao thức truy cập đối tượng giản đơn giao thức triệu gọi đối tượng giao thức HTTP định dạng XML Cho phép đối tượng ứng dụng Internet dễ dàng trao đổi với qua chuẩn HTTP Nhận gửi liệu theo mơ hình XML có cấu trúc dễ xử lý o WSDL (Web service description language): dạng ngôn ngữ XML dùng để mô tả Web service Một tài liệu WSDL cung cấp thông tin cần thiết cho khách hàng để tương tác với Web server Data types: kiểu thơng tin chuyển đổi Operations: endpoint dịch vụ hay chức mà muốn hỗ trợ Message: loại thông điệp gửi/ nhận Message formats: định dạng thông điệp o UDDI (Universal Description, Discovery and Intergration): xuất phát từ dự đoán tương lai người sử dụng dịch vụ web liên lạc với nhà cung cấp thông qua hệ thống môi giới Bất kỳ người cần dịch vụ liên lạc với dịch vụ môi giới lựa chọn dịch vụ thích hợp Thực thể danh bạ UDDI tập tin XML dùng để mô tả doanh nghiệp dịch vụ mà doanh nghiệp cung cấp Điện toán theo nhu cầu o Là khối tài ngun mơi máy tính vai trò dịch vụ riêng biệt cụ thể o Tập hợp kết nối, dịch vụ phần mềm xây dựng mạng máy tính o Cho phép người dùng truy cập vào trung tâm điện toán sở hữu cấu hình mạnh, kho liệu trung tâm điện tốn nhằm tối đa hóa việc sử dụng hiệu nguồn lực giảm thiểu chi phí có liên quan khác Câu 6: Mơ hình kiến trúc đám mây NIST • Mơ hình kiến trúc điện tốn đám mây NIST phân thành mơ hình kiến trúc dịch vụ (3 dịch vụ) mơ hình kiến trúc triển khai (4 mơ hình triển khai) dựa đặc tính cốt lõi điện tốn đám mây • Mơ hình kiến trúc dịch vụ bao gồm: o IaaS (Infrastructure as a Service): dịch vụ sở hạ tầng TRẦN NGỌC PHAN ANH o PaaS (Platform as a Service): dịch vụ tảng o SaaS (Software as a Service): dịch vụ phần mềm • Mơ hình kiến trúc triển khai bao gồm: o Đám mây riêng o Đám mây công cộng o Đám mây lai o Đám mây cộng đồng Câu 7: Các dịch vụ điện toán đám mây • Dịch vụ ứng dụng SaaS o SaaS mơ hình dịch vụ phần mềm triển khai qua Internet, SaaS cung cấp giấy phép ứng dụng cho khách hàng để sử dụng dịch vụ theo yêu cầu, hay gọi phần mềm theo yêu cầu o SaaS cung cấp phần mềm dịch vụ Internet, không cần cài đặt hay chạy chương trình máy tính phía khách hàng o SaaS chia thành loại chính: Cung cấp cho doanh nghiệp: chúng cung cấp thông qua doanh nghiệp đăng ký dịch vụ: trình kinh doanh quản lý dây chuyền cung cấp, quan hệ khách hàng công cụ hướng kinh doanh Cung cấp cho cá nhân: dịch vụ cung cấp cho công chúng sở thuê bao đăng ký Ví dụ dịch vụ web mail, chơi game trực tuyến, ngân hàng người tiêu dùng… o Thiết lập vị trí ứng dung nhà cung cấp dịch vụ quản lý, việc sử dụng tài nguyên sử dụng ứng dụng dịch vụ SaaS người sử dụng quản lý o Phần cứng, ảo hóa, hệ điều hành phần sụn hoàn toàn nhà cung cấp dịch vụ SaaS quản lý kiểm sốt • Dịch vụ tảng hệ thống PaaS o PaaS cung cấp tảng điện toán cho phép khách hàng phát triển phần mềm, phục vụ nhu cầu tính tốn xây dựng thành dịch vụ tảng đám mây o PaaS xây dựng riêng cung cấp cho khách hàng thông qua API riêng o Khách hàng xây dựng ứng dụng tương tác với hạ tầng điện toán đám mây thông qua API o Đây tầng cung cấp dịch vụ tảng chạy ứng dụng Các ứng dụng chạy đám mây hay chạy trung tâm liệu truyền thống o Các dịch vụ thường ảo hóa TRẦN NGỌC PHAN ANH o Dịch vụ tảng bao gồm: thiết kế ứng dụng, phát triển, thử nghiệm, triển khai, hosting Dịch vụ khác có khả tích hợp dịch vụ web, sở liệu tích hợp, bảo mật, khả mở rộng, lưu trữ, quản lý phiên o Nền tảng hướng dịch vụ thường cung cấp giao diện người dùng dựa HTML Javascript o Nền tảng hướng dịch vụ hỗ trợ phát triển giao diện Web: Simple Object Access Protocol (SOAP), REST (Representational State Tranfer) o PaaS có loại: Cơ sở phát triển bổ sung (Add-on development facilities) Môi trường độc lập (Stand-alone environments) Môi trường phân phối ứng dụng (Application delivery-only environments) • Dịch vụ sở hạ tầng IaaS o IaaS cung cấp cho khách hàng tài nguyên hạ tầng điện tốn máy chủ, mạng, khơng gian lưu trữ công cụ quản trị tài nguyên Các tài nguyên thường ảo hóa, chuẩn hóa thành số cấu hình trước cung cấp để đảm bảo khả linh hoạt quản trị hỗ trợ tự động hóa o Tầng cung đám mây tầng cung cấp dịch vụ sở hạ tầng o IaaS tập hợp tài nguyên vật lý máy chủ, thiết bị mạng đĩa cứng lưu trữ đưa dịch vụ với mục đích cung cấp cho khác hàng o Các nhà sản xuất lớn cung cấp sở hạ tầng bao gồm IBM Bluehouse, Vmware, Amazon EC2… o Nhà cung cấp dịch vụ IaaS quản lý ứng dụng, sở liệu, hệ điều hành, người dùng quản lý tài nguyên ảo hóa, máy chủ, lưu trữ liệu, mạng Câu 8: Mô hình triển khai điện tốn đám mây Trong điện tốn đám mây gồm mơ hình triển khai, bao gồm: đám mây riêng, đám mây công cộng, đám mây lai, đám mây cộng đồng Đám mây riêng o Các đám mây riêng dịch vụ đám mây cung cấp doanh nghiệp Những đám mây tồn bên tường lửa công ty chúng doanh nghiệp quản lý o Doanh nghiệp chịu trách nhiệm thiết lập bảo trì đám mây Việc thiết lập đám mây riêng đơi khơng chi phí cho việc sử dụng trì hoạt động liên tục đám mây vượt chi phí sử dụng đám mây chung o Các đám mây riêng có nhiều lợi so với đám mây chung Việc kiểm soát chi tiết tài ngun khác đám mây giúp cơng ty có lựa chọn cấu hình phù hợp TRẦN NGỌC PHAN ANH o Việc kiểm soát chi tiết tài nguyên khác tạo thành đám mây mang lại cho công ty tất tùy chọn cấu hình có sẵn o Chi phí hỗ trợ hoạt động liên tục đám mây riêng vượt chi phí việc sử dụng đám mây cộng đồng Đám mây công động o Các đám mây công cộng dịch vụ đám mây bên thứ ba (người bán) cung cấp Chúng tồn ngồi tường lửa cơng ty chúng lưu trữ đầy đủ nhà cung cấp đám mây quản lý o Các đám mây công cộng cung cấp cho khách hàng dịch vụ công nghệ thông tin tốt Có thể phần mềm, sở hạ tầng ứng dụng sở hạ tầng vật lý o Các nhà cung cấp đám mây chịu trách nhiệm cài đặt, quản lý, cung cấp bảo trì Khách hàng tính phí cho tài nguyên mà họ sử dụng o Các dịch vụ thường cung cấp với quy ước cấu hình, chúng cung cấp với trường hợp sử dụng phổ biến Khách hàng có quyền truy cập đến tài nguyên cấp phát Đám mây lai o Các đám mây lai kết hợp đám mây công cộng riêng Những đám mây thường doanh nghiệp tạo trách nhiệm quản lý phân chia doanh nghiệp nhà cung cấp đám mây cộng đồng o Đám mây lai sử dụng dịch vụ có khơng gian cơng cộng riêng o Hệ thống phải tiếp nhận cung cấp dịch vụ lấy từ nguồn khác thể chúng có chung nguồn gốc, hay phức tạp hỗ trợ tương tác thành phần riêng chung o Các đám mây lai công ty sử dụng dịch vụ Cơng ty đưa lợi ích sử dụng đám mây chung riêng o Hạn chế với đám mây lai khó khăn việc tạo quản lý chúng o Giải pháp đặt tiếp nhận cung cấp dịch vụ từ nguồn khác thể chúng có nguồn gốc từ nơi tương tác đám mây riêng chung Đám mây cộng đồng o Đám mây cộng đồng đám mây chia sẻ số tổ chức hỗ trợ cộng đồng cụ thể có mối quan tâm chung như: chung mục đích, yêu cầu an ninh, sách Nó quản lý tổ chức bên thứ ba o Một đám mây cộng đồng thiết lập số tổ chức có u cầu tương tự tìm cách chia sẻ sở hạ tầng để thực số lợi ích điện tốn đám mây TRẦN NGỌC PHAN ANH Câu 9: Các tiêu chuẩn an tồn điện tốn đám mây Tiêu chuẩn ENISA o ENISA (Euripean Union Agency for Network and Information Security) tổ chức chịu trách nhiệm cho việc đảm bảo an tồn thơng tin cho quốc gia châu Âu o Chính sách tổ chức: bao gồm vấn đề liên quan đến tổ chức, quản lý tuân thủ o Kỹ thuật: vấn đề công nghệ sử dụng triển khai cho dịch vụ sở hạ tầng cho điện toán đám mây phân lập, rò rỉ, chặn bắt liệu, cơng từ chối dịch vụ, mã hóa tiêu hủy liệu o Luật pháp: liên quan đến vấn đề pháp lý o Vấn đề khác quản lý mạng, logging… Tiêu chuẩn CSA o CSA tổ chức phi phủ thành lập vào năm 2008 nhằm mục đích nghiên cứu vấn đề an ninh điện toán đám mây với hợp tác nhiều công ty lớn giới Microsoft, Google, IBM… o An ninh điện toán đám mây với 13 lĩnh vực trọng tâm: Tổ chức quản lý nguy Vấn đề pháp lý Tuân thủ kiểm tốn Quản lý thơng tin an tồn liệu Tính di động khả tương tác An ninh truyền thống, phục hồi hoạt động Hoạt động truy tâm liệu Đối phó cố An tồn ứng dụng Mã hóa quản lý khóa Định danh quản lý truy cập Ảo hóa Dịch vụ an ninh Bộ tiêu chuẩn NIST – 800s o Tổ NIST (National Institute of Standards and Technology) đưa lượng lớn tiêu chuẩn liên quan đến an tồn thơng tin an tồn máy tính, hay gọi tiêu chuẩn NIST – 800s o Bộ tiêu chuẩn hướng đến sử dụng cho quan phủ Mỹ, chuẩn sử dụng phù hợp cho tổ chức doanh nghiệp o SP 800-144: hướng dẫn vấn đề an tồn riêng tư điện tốn đám mây công cộng o SP 800-145: định nghĩa, khái niệm NIST điện toán đám mây TRẦN NGỌC PHAN ANH o SP 800-146: khái niệm khuyến cáo điện toán đám mây Câu 10: Các nguy điện tốn đám mây Vấn đề riêng tư o Việc lưu trữ, xử lý truyền thông tin nhạy cảm o Khi sử dụng đám mây cơng cộng dịch vụ phải có đáp ứng đủ quyền lợi cho người thuê với quy định, luật pháp thích hợp o Hai vấn đề tồn khía cạnh riêng tư điện tốn đám mây vấn đề kiểm soát liệu phụ thuộc vào nhà cung cấp điện toán đám mây o Mất kiểm soát liệu: Dữ liệu bị khai thác thân nhà cung cấp đám mây Nhiều nhà cung cấp điện tốn đám mây thực kỹ thuật khai thác liệu để phân tích liệu người dùng Thiết bị di động, đặc biệt với lưu trữ giới hạn khả tính tốn thường thích hợp cho dịch vụ cung cấp điện tốn đám mây thay sử dụng phần mềm máy tính bạn Nguy bảo mật đe dọa đường truyền bao gồm nghe trộm, giả mạo DNS, công từ chối Đám mây phan tán mặt địa lý, tuân thủ luật pháp gặp nhiều khó khăn quy định nơi có khác biệt Xóa bỏ liệu Bảo vệ liệu tuân thủ luật pháp không giống nhiều nước giới o Việc phụ thuộc vào nhà cung cấp dịch vụ điện toán đám mây: Nếu nhà cung cấp dịch vụ điện toán đám mây phá sản ngừng cung cấp dịch vụ, khách hàng gặp vấn đề việc truy cập liệu Một số dịch vụ điện toán đám mây sử dụng rộng rãi, ví dụ GoogleDocs, không bao gồm hợp đồng khách hàng nhà cung cấp điện toán đám mây Điện toán đám mây dịch vụ tương tự dịch vụ tiện ích Vấn đề sở hữu liệu rò rỉ thơng tin o Với đám mây công cộng, nhà cung cấp điện tốn đám mây trở thành chịu trách nhiệm hai vai trò: vừa người sở hữu liệu vừa người sử dụng liệu o Bảo vệ người chủ sở hữu liệu tránh khỏi trường hợp dịch vụ điện toán đám mây đẩy liệu ứng dụng khỏi phạm vi kiểm soát họ o Nhà cung cấp điện toán đám mây phải đảm bảo cho nguời chủ sở hữu liệu: việc kiểm soát sử dụng tất giai đoạn vòng đời liệu TRẦN NGỌC PHAN ANH o Đảm bảo khả người chủ sở hữu liệu nhận biết vị trí địa lý việc lưu trữ liệu Quy định hợp đồng thỏa thuận mức dịch vụ o Người chủ sở hữu liệu phải trì sách “từ chối tất cách mặc định” nhân viên người chủ sở hữu liệu nhà cung cấp dịch vụ đám mây o Trách nhiệm người chủ sở hữu liệu xác định nhận diện phân loại liệu Vấn đề an toàn, bảo mật liệu o Dữ liệu tải lên vào đám mây lưu trữ nào? o Một người sử dụng tải lên hay tạo liệu dựa đám mây bao gồm liệu lưu trữ trì nhà cung cấp đám mây bên thứ ba Google, Amazon, Microsoft có vấn đề gì? Vấn đề bảo vệ liệu trình tải lên trung tâm liệu để đảm bảo liệu không bị công đường vào sở liệu Các cửa hàng liệu trung tâm liệu đảm bảo học mã hóa tất lần Việc truy cập liệu phải kiểm soát, việc kiểm soát nên áp dụng cho công ty lưu trữ, bao gồm quản trị viên trung tâm liệu o Vấn đề kiểm sốt truy cập? Câu 11: Đảm bảo an tồn cho lĩnh vực điện toán đám mây o An toàn mặt logic: bảo vệ liệu sử dụng phần mềm bảo vệ mật truy cập, xác thực ủy quyền o An toàn mặt vật lý: bảo vệ sở hạ tầng, truy cập vật lý tới hệ thống, đảm bảo an toàn vật lý bên kiểm soát truy cập o An toàn premise: bảo vệ người tài sản bên hệ thống o Các vấn đề an tồn điện tốn đám mây bao gồm: bảo mật riêng tư, an toàn mặt kiến trúc, tuân thủ a Bảo mật riêng tư: An toàn sở liệu: bảo vệ liệu theo tiêu chí bảo mật, sẵn sàng, tồn vẹn Mã hóa: phần lớn triển khai thực tế để bảo vệ liệu nhạy cảm, tuân theo tiêu chuẩn Dự phòng: chống liệu, phần lớn mơ hình an tồn cần đảm bảo tính tồn vẹn sẵn sàng liệu Tiêu hủy: việc tiêu hủy liệu cần đảm bảo an toàn, đảm bảo tiêu hủy hoàn toàn liệu cần tiêu hủy TRẦN NGỌC PHAN ANH Đảm bảo vấn đề pháp lý: bao gồm khía canh liên quan đến vấn đề pháp lý luật vị trí lưu trữ liệu quản lý quyền Ví dụ, vấn đề vị trí liệu liệu khách hàng quản lý nhiều phạm vi pháp lý khác tùy thuộc vào vị trí địa lý, dẫn đến vấn đề an toàn sử dụng hay sở hữu liệu b Đảm bảo an toàn kiến trúc Đảm bảo an toàn mạng bao gồm an tồn truyền liệu, tường lửa, cấu hình an toàn An toàn truyền liệu: yêu cầu chế mạng riêng ảo VPN bảo vệ hệ thống chống lại công giả mạo, chặn bắt, công man in the middle, công kênh kề Tường lửa: bảo vệ sở hạ tầng đám mây bên nhà cung cấp dịch vụ chống lại kẻ cơng bên ngồi bên Chúng cho phép lập máy ảo, lọc theo địa IP cổng, ngăn chặn công từ chối dịch vụ Cấu hình an tồn: cấu hình giao thức, hệ thống kỹ thuật để đảm bảo mức u cầu an tồn mà khơng ảnh hưởng tới hiệu Đảm bảo an toàn giao diện bao gồm: API, giao diện quản trị, giao diện người dùng, xác thực API: giao diện lập trình cho việc truy cập tài nguyên hệ thống ảo hóa cần bảo vệ để ngăn chặn sử dụng độc hại Giao diện quản trị: cho phép kiểm soát truy cập từ xa IaaS (quản lý máy ảo), phát triển cho PaaS (lập trình, triển khai, kiểm thử) công cụ ứng dụng cho SaaS (kiểm sốt truy cập người dùng, cấu hình) Giao diênj người dùng: giao diện người dùng cuối phục vụ cho việc sử dụng tài nguyên cấp Xác thực: chế yêu cầu cho phép truy cập đám mây với phần lớn dịch vụ dựa tài khoản Đảm bảo an tồn ảo hóa Cần đảm bảo phân lập nguy máy ảo, hypervisor vấn đề khách liên quan đến công nghệ ảo hóa TRẦN NGỌC PHAN ANH Phân lập mặt logic song tất máy ảo dùng chung phần cứng tài nguyên tin tặc khai thác rò rỉ liệu công qua máy ảo lẫn Việc phân lập áp dụng cho tài ngun tính tốn, lưu trữ… c Đảm bảo an tồn tuân thủ Đảm bảo an toàn cho dịch vụ: chế để đảm bảo yêu cầu sẵn sàng cho dịch vụ thủ tục an ninh Tránh tượng ngừng dịch vụ có nhiều kết nối điện toán đám mây dịch vụ gây hậu to lớn Đảm bảo vấn đề quản lý bên nhà cung cấp dịch vụ: liên quan đến vấn đề quản trị kiểm soát an ninh cho giải pháp điện toán đám mây Kiểm soát liệu: di chuyển liệu điện toán đám mây kiểm soát vấn đề dự phòng, vị trí, hệ thống tập tin cấu hình liên quan khác Kiểm sốt an tồn: thiếu kiểm sốt an tồn chế sách an ninh dẫn tới hiểm họa người dùng nhà cung cấp dịch vụ Câu 12: Mơ hình kiến trúc an tồn điện tốn đám mây CSA • Mơ hình kiến trúc an tồn điện tốn đám mây CSA đề cập tới mối quan hệ lớp đặt chúng vào ngữ cảnh với kiểm soát cảnh báo an ninh phù hợp với chúng • Các tổ chức cá nhân sử dụng điện toán đám mây cần lưu ý tới vấn đề: TRẦN NGỌC PHAN ANH o Cách thức mà dịch vụ đám mây cung cấp thường mơ tả có liên quan tới phạm vi an ninh quản lý tổ chức o Tính kết nối khắp nơi, tính vơ định hình, trao đổi lẫn thông tin, không hiệu kiểm soát an ninh tĩnh theo truyền thống làm việc, tính tự nhiên động dịch vụ đám mây đòi hỏi tư điện tốn đám mây • Cần phân loại dịch vụ đám mây theo mơ hình kiến trúc đám mây, phân tích ánh xạ kiến trúc an ninh phù hợp với yêu cầu nghiệp vụ, pháp lý, yêu cầu tuân thủ Kết xác định tình hình an ninh chung dịch vụ liên quan tới yêu cầu bảo vệ, đảm bảo an ninh tài sản thơng tin • Các mơ hình vận hành cơng nghệ sử dụng điện tốn đám mây tạo rủi ro so với giải pháp cơng nghệ thơng tin truyền thống • Kiểm soát an ninh triển khai hay nhiều lớp, từ sở trang thiết bị (an ninh vật lý), hạ tầng mạng (an ninh mạng), hệ thống CNTT (an ninh hệ thống), cách thức quản lý thông tin ứng dụng (an ninh ứng dụng), mức độ quản lý (con người quy trình) • Mơ hình dịch vụ đám mây, trách nhiệm an ninh nhà cung cấp người tiêu dùng khác mơ hình dịch vụ đám mây Ví dụ, dịch vụ IaaS EC2 Amazon bao gồm trách nhiệm nhà cung cáp an ninh trình ảo hóa, họ giải kiểm soát an ninh an ninh vật lý, an ninh mơi trường, an ninh ảo hóa; người tiêu dùng có trách nhiệm kiểm sốt an ninh liên quan đến hệ thống công nghệ thông tin (cài đặt triển khải): hệ điều hành, ứng dụng, liệu Câu 13: Vấn đề an tồn ảo hóa điện tốn đám mây • Nhận dạng ảo hóa mà nhà cung cấp đám mây sử dụng • Các hệ điều hành ảo hóa phải tăng cường công nghệ an ninh bên thứ ba để đưa kiểm soát an ninh phân tầng giảm phụ thuộc vào nhà cung cấp tảng • Hiểu kiểm sốt an ninh bên ngồi có máy áo VM khác với cô lập siêu giám sát xây dựng sẵn – mộ dò tìm thâm nhập trái phép, chống virus, quét chỗ bị tổn thương… An ninh theo cấu hình mặc định phải đảm bảo việc cho phép vượt qua giới hạn có có sẵn giới cơng nghiệp • Hiểu kiểm sốt an ninh bên ngồi có máy ảo VM để bảo vệ giao diện quản trị (dựa web, giao diện lập trình ứng dụng API…) trưng cho khách hàng TRẦN NGỌC PHAN ANH • Kiểm tra tính hợp lệ tính tồn vẹn ảnh máy ảo VM mẫu sinh từ nhà cung cấp đám mây trước sử dụng • Các chế an ninh đặc thù máy ảo VM nhúng giao diện lập trình ứng dụng API giám sát phải sử dụng để cung cấp việc giám sát luồng liệu qua sau lưng máy ảo, khơng thể kiểm sốt kiểm soát an ninh mạng truyền thống • Sự truy cập kiểm tra mang tính quản trị hệ điều hành ảo hóa sống còn, phải đưa vào xác thực mạnh tích hợp với quản lý nhận dạng doanh nghiệp, công cụ ghi chép chứng giả mạo, giám sát tính tồn vẹn • Có chế báo cáo để cung cấp chứng cô lập đưa cảnh báo có lỗ hổng lập Câu 14: Trình bày mơ hình an tồn bảo mật liệu điện tốn đám mây? • Phân mức an ninh liệu: mức an ninh xác thực người dùng (là phương pháp sinh trắc học phương pháp khác) thiết bị cần thiết (máy tính, thiết bị trợ giúp điện tử cá nhân) để truy cập liệu đám mây Sau xác thực, người dùng truy cập mạng bảo vệ truy cập tới máy chủ liệu thơng qua kiểm sốt (mức an ninh thứ hai) Việc kiểm soát an ninh mức hệ điều hành (mức an ninh thứ ba) Việc kiểm soát an ninh mức hệ điều hành (mức an ninh thứ ba) bảo vệ truy cập tới ứng dụng CSDL Sau xác thực mức vật lý mức ứng dụng (mức an ninh thứ tư), truy cập liệu thực tùy thuộc vào quyền người dùng cấp • Biện pháp đảm bảo an tồn giai đoạn vòng đời liệu: hành vi vi phạm an ninh nghiên cứu để thiết lập: o Nếu liệu tương ứng bị tổn hại o Nếu người không phép hay cấp quyền song có khả truy cập liệu o Tác động chi phí vi phạm bảo mật liệu o Các biện pháp khắc phục đề nghị o Chi phí biện pháp khắc phục áp dụng • Bảo mật liệu trình tạo liệu: o Phân loại liệu: Việc phân loại liệu đánh giá dựa đánh giá rủi ro tác động nguy hại, mát liệu Phân loại thực người ủy quyền tổ chức, với thông báo sơ từ giám đốc điều hành phối hợp hoạt động TRẦN NGỌC PHAN ANH Phân loại diễn định kỳ, điều kiện định đạt Việc phân loại lại xảy nếu: thời hạn phân loại hết hạn; cung cấp thơng tin khơng có ích cho người/tổ chức nắm giữ; phân loại phân cho người không phép Một số kiểm sốt áp dụng trình tạo liệu: logic ứng dụng (tự động, thơng qua từ khóa, phân tích nội dung) dán nhãn (thủ cơng, thơng qua từ khóa) Lựa chọn mơ hình đám mây hữu ích để thực phân tích liệu theo số tiêu chí, chẳng hạn chức năng, mức độ nhạy cảm, khối lượng, tính tồn vẹn, sẵn sàng o Phân quyền: Quy trình phân quyền cho ứng dụng liệu theo phân loại liệu Các quyền gán cho cá nhân/nhóm giới hạn truy cập đến thiết bị khác nội dung vị trí Các kỹ thuật kiểm sốt áp dụng phân quyền nhãn an ninh, liên quan đến nhãn gán cho phần tử liệu, sở triển khai mặt logic kiểm sốt truy cập, quản lý quyền • Bảo mật liệu lưu trữ: o Lưu trữ liệu diễn sau liệu tạo đưa thiết bị lưu trữ o Dữ liệu lưu trữ dạng ban đầu mã hóa tùy theo mức độ bảo mật liên quan đến quy định pháp luật o Dữ liệu lưu trữ nội bên ngoài, khác khu vực địa lý hay trung tâm liệu giống khác o Quản lý truy cập: Truy cập tới liệu phép người có thẩm quyền, tương ứng với sách truy cập định nghĩa mức tổ chức Chính sách an ninh sử dụng kiểu truy cập khác dựa định danh, vai trò, nhóm, ngữ cảnh, quy tắc Quản lý truy cập bao gồm tiến trình kiểm sốt an ninh thực mức hệ thống lưu trữ bên (đám mây), hệ thống lưu trữ bên (khách hàng, nhà cung cấp dịch vụ) Xác thực người dùng dựa nhiều nhân tố, liệu (mật khẩu), dụng cụ (thẻ bài, tường lửa, hệ thống phát xâm nhập), sinh trắc học (vân tay, võng mạc, giọng TRẦN NGỌC PHAN ANH nói…) Giải pháp xác định định danh quản lý quyền giảm độ phức tạp rủi ro suốt vòng đời tài khoản quyền gắn với người dùng Việc kiểm soát truy cập khác tùy thuộc vào kiểu chúng (cấu trúc hệ thống quản lý sở liệu truy cập phi cấu trúc), sử dụng mơ hình khác kết hợp (DAC, RBAC, MAC) Điều khiển logic tăng cường bảo mật nội dung kiểm soát truy cập, đặc biệt ứng dụng hệ thống có cấu trúc Việc xác nhận thường tập trung chuẩn hóa cung cấp thơng tin cần thiết cho kiểm tốn kiểm sốt an ninh truy cập liệu o Mã hóa liệu: Mã hóa liệu thơng thường sử dụng cho liệu quan trọng Dữ liệu mã hóa nơi lưu trữ tiến hành hay nhiều mức như: ổ cứng, tệp, ứng dụng sở liệu Đối với truyền liệu mạng, sử dụng biện pháp mã hóa sử dụng giao thức an ninh (HTTPS, TLS, SSL) Mã hóa liệu đảm bảo tính bảo mật liệu Việc mã hóa liệu cần xem xét đến chế sử dụng cho mã hóa liệu, quản lý khóa, sử dụng khóa đơn hay nhiều khóa, phân loại liệu yêu cầu mã hóa • Bảo mật liệu chia sẻ: o Tập trung vào liệu chia sẻ người dùng, khách hàng, đối tác hệ thống Việc chia sẻ thực thông qua ủy quyền dựa quyền cho phép gán với o Tùy theo mức độ nhạy cảm liệu quy định pháp lý hợp lệ, liệu mã hóa q trình truyền o Một số giải pháp đề cập AES sử dụng khóa đối xứng, thuật tốn mã hóa cơng khai RSA với khóa bất đối xứng sử dụng cho chữ ký điện tử… o An toàn dịch vụ liệu mạng tập trung vào điểm quan trọng: bảo mật, xác thực, toàn vẹn, chống chối bỏ bên gửi, chống chối bỏ bên nhận • Bảo mật liệu sử dụng liệu: o Sử dụng liệu yêu cầu đảm bảo tính sẫn sàng liệu điện tốn đám mây việc sử dụng (ảo hóa, xử lý truy cập) người cấp quyền o Việc sử dụng truyền liệu an tồn lưu trữ cô lập, sử dụng phương pháp khác MPLS, mạng riêng ảo VPN, mạng cục ảo VLAN • Bảo mật liệu hủy bỏ liệu: o Đảm bảo việc xóa bỏ hoàn toàn liệu đảm bảo cho liệu an tồn sau xóa (bao gồm việc xóa bảo khóa mật mã) TRẦN NGỌC PHAN ANH o Nhà cung cấp dịch vụ điện toán đám mây nên đưa khẳng định phá hủy liệu (bao gồm lưu) chứng minh khả phục hổi liệu Câu 15: Kỹ thuật xác thực mã hóa bảo mật liệu điện tốn đám mây • Kỹ thuật xác thực: o Duy trì tính bảo mật, toàn vẹn sẵn sàng cho bảo mật liệu chức ứng dụng xác cấu hình mạng, hệ thống, chế bảo mật ứng dụng cấp độ khác sở hạ tầng điện toán đám mây o Các yếu tố xác thực dựa trên: Yếu tố người dùng biết: mật khẩu, mã pin, khóa mã riêng… Yếu tố thường dựa việc sở hữu vật chất sản phẩm hay thiết bị mà với người sử dụng Ví dụ: sử dụng thẻ ATM, chứng minh thư, hay thẻ an tồn dựa phần mềm Các thuộc tính vật lý tương đối riêng cá nhân, thường gọi sinh trắc học Nhân tố dựa thuộc tính đơn giản vân tay, võng mạc, giọng nói, màu mắt… Các yếu tố cung cấp khả xác thực mạnh Những hành động hay hành vi cá nhân Yếu tố bao gồm phân tích dáng cá nhân, chậm trễ thời gian tổ phím nhập cụm từ mật hay yếu tố tương tự Là phương pháp xác thực mạnh, khó làm sai lệch Tuy nhiên có khả khơng xác từ chối người dùng hợp pháp với tỉ lệ cao so với yếu tố khác, dẫn đến việc không cho người dùng thực cần phải xác thực Vị trí địa lý Yếu tố hoạt động khác với yếu tố khác, phương pháp xác thực phụ thuộc vào người xác thực diện vật lý hay nhiều địa điểm cụ thể o Một số phương pháp xác thực bao gồm: dùng mật khẩu, thẻ bài, dùng đặc điểm sinh trắc học người, dùng hệ thống định vị TRẦN NGỌC PHAN ANH o Một vấn đề với việc sử dụng phương pháp tiếp truyền thống mơi trường điện tốn đám mây phải đối mặt doanh nghiệp sử dụng nhiều CSP Một tập hợp vấn đề phát sinh với phương pháp tiếp cận truyền thống di chuyển sở hạ tầng giải pháp dựa đám mây Cơ sở hạ tầng để sử dụng phương pháp tiếp cận không cho phép liên kết lỏng lẻo với đối tác Đối với lý này, quẩn lý danh tính liên FIM tảng hiệu điện toán đám mây o Cơ chế cấp quyền thường áp dụng bao gồm: Cơ chế tùy chọn DAC: cặp chủ thể - đối tượng phải liệt kê rõ đơn nghĩa loại tiếp cận, tức tiếp cận phép chủ thể tới đối tượng Cơ chế thực nhờ danh sách quyền nhờ ma trận quyền DAC mơ hình kiểm sốt truy cập xác định chủ sở hữu tài nguyên đòi hỏi Chủ sở hữu tài nguyeen định có quyền khơng có quyền truy cập Cơ chế cấp quyền MAC: dựa phân cấp theo độ mật thông tin chứa đối tượng hệ thống cho phép thức chủ thể tiếp cận tới thơng tin có độ mật tương ứng Mỗi chủ thể đối tượng gán nhãn an toàn, phản ánh vị trí chủ thể đối tượng tập có thứ tự chúng Các nhãn an tồn có chứa đặc trung phân cấp có thứ tự đặc trưng phi thứ tự MAC thực nhơ phương pháp theo mức độ mật theo hạng mục an tồn • Mã hóa liệu: o Mã hóa tồn ổ cứng chứa tài liệu cấp đĩa hệ điều hành, ứng dụng nó, liệu ứng dụng sử dụng tất mã hóa đơn giản hieenjt ại đĩa mã hóa Đây phương pháp vét cạn để mã hóa tất liệu điều dẫn đến ảnh hưởng tới hiệu suất Việc hỏng hóc đĩa gây hủy hoại liệu hệ điều hành, ứng dụng liệu o Mã hóa mức thư mục tệp hệ thống: toàn thư mục liệu hay tệp hệ thống mã hóa giải mã Truy cập vào ập tin cần sử dụng khóa mật mã Cách tiếp cận sử dụng để phân biệt liệu nhạy cảm giống cấp độ phân loại thành thư mục mã hóa riêng biệt với khóa mật mã khác TRẦN NGỌC PHAN ANH o Mã hóa mức tệp: thay mã hóa tồn ổ đĩa cứng chí thư mục, hiệu mã hóa tập tin cá nhân o Mã hóa mức ứng dụng: ứng dụng quản lý mã hóa giải mã liệu ứng dụng quản lý o Mã hóa liệu lưu trữ: mã hóa liệu quan trọng lưu trữ bảo vệ tính bảo mật liệu trường hợp liệu bị tổn thương Tuy nhiên, đánh giá liệu phải thực để xác định liệu cần phải mã hóa Viện SANS cho rằng: “mật mã thiết thực cho mức phân loại liệu bao phủ quy định điều khoản, liệu nhạy vảm bên cần bảo vệ giá” o Mã hóa liệu di chuyển: liệu di chuyển đến CSP khơng có khác biệt so với liệu sử dụng internet cho nhu cầu khác dịch vụ, liệu truyền cần bảo mật Tuy nhiên trách nhiệm người dùng để đảm bảo liệu phạm vi di chuyển sở hạ tầng CSP bên giữ trung tâm liệu cách an toàn SSL/TLS sử dụng để truyền liệu an toàn internet Câu 16: Vấn đề phục hồi liệu điện tốn đám mây • Lớp 1: lớp xác thực người dùng truy cập điện toán đám mây, với giải pháp thường áp dụng dùng mật lần OTP Các hệ thống đòi hỏi tính an tồn cao u cầu xác thực từ hai phía người dùng nhà cung cấp, với nhà cung cấp điện toán đám mây miễn phí xác thực chiều • Lớp 2: đảm bảo mã hóa liệu, tồn vẹn liệu bảo vệ tính riêng tư người dùng thơng qua thuật tốn mã hóa đối xứng • Lớp 3: lớp liệu người dùng phục vụ cho việc phục hồi nhanh liệu theo tốc đô giải mã TRẦN NGỌC PHAN ANH • Sử dụng liệu yêu cầu đảm bảo tính sẵn sàng liệu điện tốn đám mây sử dụng người cấp quyền Quyền gắn liền với cá nhân/tài khoản, thiết bị vị trí cho phép kiểm sốt quyền truy cập để sử dụng liệu Việc sử dụng điều khiển logic nên tập trung vào đảm bảo tính tồn vẹn liệu việc sử dụng chúng • Việc sử dụng truyền liệu mạng an tồn lưu trữ lập, sử dụng phương pháp khác MPLS, mạng riêng ảo VPN, mạng cục ảo VLAN Trong trình MPLS – VPN, việc cô lập thực thông qua thiết bị định tuyến tới hệ thống định tuyến ảo hệ thống chuyển tiếp • Lớp phải đảm bảo việc xóa bỏ hồn tồn an tồn liệu Nhà cung cấp dịch vụ điện toán đám mây cần đưa chứng chứng minh khẳng định phá hủy liệu phục hồi Các LSA phải xác định việc phá hủy lưu trữ, biện pháp an ninh cho liệu nhà cung cấp ịch vụ đưa cho người thuê dịch vụ lựa chọn TRẦN NGỌC PHAN ANH ... khai điện tốn đám mây Trong điện tốn đám mây gồm mơ hình triển khai, bao gồm: đám mây riêng, đám mây công cộng, đám mây lai, đám mây cộng đồng Đám mây riêng o Các đám mây riêng dịch vụ đám mây... cung cấp dịch vụ điện toán đám mây: Nếu nhà cung cấp dịch vụ điện toán đám mây phá sản ngừng cung cấp dịch vụ, khách hàng gặp vấn đề việc truy cập liệu Một số dịch vụ điện toán đám mây sử dụng... hàng nhà cung cấp điện toán đám mây Điện toán đám mây dịch vụ tương tự dịch vụ tiện ích Vấn đề sở hữu liệu rò rỉ thông tin o Với đám mây công cộng, nhà cung cấp điện tốn đám mây trở thành chịu