(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây(Luận văn thạc sĩ) Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây
Trang 1Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN&TRUYỀN THÔNG
PHẠM THỊ PHƯỢNG
TÌM HIỂU MÔ HÌNH ĐIỆN TOÁN ĐÁM MÂY
VÀ VẤN ĐỀ BẢO MẬT DỮ LIỆU TRONG ĐIỆN TOÁN ĐÁM
MÂY
Ngành: Công nghệ thông tin Chuyên ngành: Khoa học máy tính
Mã số: 60 48 0101
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN CANH
Thái Nguyên – 2019
Trang 2Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
LỜI CAM ĐOAN
Học viên xin cam đoan luận văn này là công trình nghiên cứu thực sự của bản thân, dưới sự hướng dẫn khoa học của TS Hồ Văn Canh
Các số liệu, kết quả trong luận văn là trung thực và chưa từng được công
bố dưới bất cứ hình thức nào Tất cả các nội dung tham khảo, kế thừa của các tác giả khác đều được trích dẫn đầy đủ
Em xin chịu trách nhiệm về nghiên cứu của mình
Tác giả
Phạm Thị Phượng
Trang 3Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
LỜI CẢM ƠN
Học viên trân trọng cảm ơn sự quan tâm, tạo điều kiện và động viên của Lãnh đạo Đại học Thái Nguyên, các thầy cô Khoa Đào tạo sau đại học, các khoa đào tạo và các quý phòng ban Học viện trong suốt thời gian qua
Học viên xin bày tỏ sự biết ơn sâu sắc tới TS Hồ Văn Canh đã nhiệt tình định hướng, bồi dưỡng, hướng dẫn học viên thực hiện các nội dung khoa học trong suốt quá trình nghiên cứu, thực hiện luận văn
Xin chân thành cảm ơn sự động viên, giúp đỡ to lớn từ phía Cơ quan đơn
vị, đồng nghiệp và gia đình đã hỗ trợ học viên trong suốt quá trình triển khai các nội dung nghiên cứu
Mặc dù học viên đã rất cố gắng, tuy nhiên, luận văn không tránh khỏi những thiếu sót Học viên kính mong nhận được sự đóng góp từ phía Cơ sở đào tạo, quý thầy cô, các nhà khoa học để tiếp tục hoàn thiện và tạo cơ sở cho những nghiên cứu tiếp theo
Xin trân trọng cảm ơn!
Thái Nguyên, tháng năm 2019
Học viên
Phạm Thị Phượng
Trang 4Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT
DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU
Trang 5Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Trang 6Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
MỞ ĐẦU
1 Đặt vấn đề
Điện toán đám mây_ Cloud Computing được hình thành năm 1969 và có
sự phát triển mạnh mẽ từ khi có internet băng thông rộng, đã làm thay đổi cách thức hoạt động của điện toán truyền thống Hiện nay, điện toán đám mây (ĐTĐM) được các quốc gia trên thế giới ứng dụng rộng rãi trong các lĩnh vực hoạt động của đời sống, kinh tế xã hội Bằng việc tối ưu sử dụng các nguồn tài nguyên hệ thống, điện toán đám mây đem lại nhiều lợi ích, cơ hội mới cho các các cơ quan,
tổ chức, doanh nghiệp trong quá trình đẩy mạnh ứng dụng công nghệ thông tin, truyền thông vào hoạt động chuyên ngành [3, 4]
Các hoạt động liên quan tới điện toán đám mây được chính phủ các quốc gia phát triển mang tính chiến lược trên phạm vi toàn thế giới như đám mây Nebula, google moderator của Mỹ, đám mây G-clould của Anh, kasumigaseki của Nhật Bản…bởi vậy điện toán đám mây luôn thu hút nhiều quốc gia, tổ chức, các tập đoàn, công ty và nhà khoa học, các chuyên gia đầu tư nghiên cứu [10, 11, 13]
Ở nước ta hiện nay, hầu hết các tổ chức, doanh nghiệp đã có hiểu biết cơ bản về điện toán đám mây Nhiều tổ chức, doanh nghiệp đã và đang sử dụng điện toán đám mây theo các mức độ khác nhau Một số công trình nghiên cứu [3, 6] đã chỉ rõ điện toán đám mây là giải pháp tối ưu để các doanh nghiệp nước ta giảm thiểu chi phí cũng như tăng hiệu suất làm việc ở mức tối đa
Tuy nhiên trong quá trình nghiên cứu và ứng dụng cho thấy có nhiều vấn
đề về nguy cơ an ninh an toàn thông tin đang đặt ra hiện nay đối với việc lưu trữ
dữ liệu trên đám mây [16, 24] Do vậy, tình hình sử dụng công nghệ đám mây còn gặp phải một số khó khăn nhất định, hiệu quả ứng dụng chưa phát huy tối đa tính
ưu việt của các dịch vụ Trước những yêu cầu cấp bách đó, đòi hỏi cần có những nghiên cứu, giải pháp tăng tính an toàn cho đám mây cũng như việc bảo mật thông tin, dữ liệu lưu trữ
Trang 7Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Xuất phát từ thực tiễn đó, luận văn “Tìm hiểu điện toán đám mây và vấn đề
bảo mật dữ liệu trong điện toán đám mây” mang tính cấp thiết, thực sự có ý nghĩa
khoa học và thực tiễn
2 Đối tượng và phạm vi nghiên cứu
Nghiên cứu tìm hiểu về điện toán đám mây, kiến trúc, mô hình, ưu nhược điểm và giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây
- Nghiên cứu một số vấn đề bảo mật dữ liệu trong điện toán đám mây và phương pháp khắc phục Từ đó đi sâu tìm hiểu phương pháp bảo vệ dữ liệu đã lưu trữ bằng các thuật toán mã hóa AES và RSA
- Nghiên cứu và cài đặt, thử nghiệm hệ thống máy chủ lưu trữ ownCloud
3 Hướng nghiên cứu của luận văn
Nghiên cứu tổng quan mô hình điện toán đám mây, một số vấn đề bảo mật
dữ liệu trong điện toán đám mây và phương pháp khắc phục Từ đó đi sâu nghiên cứu phương pháp bảo vệ dữ liệu đã lưu trữ bằng các thuật toán mã hóa trên máy chủ ownCloud Nghiên cứu xây giải pháp mã hóa dữ liệu an toàn từ phía người dùng và ổ chức cài đặt, thực nghiệm, đánh giá các kết quả nghiên cứu đạt được
4 Những nội dung nghiên cứu chính
Chương 1: Tổng quan về điện toán đám mây
Nghiên cứu về tổng quan khái niệm, lịch sử hình thành và phát triển của điện toán đám mây, kiến trúc và một số mô hình của điện toán đám mây Đồng thời phân tích chỉ ra những ưu, nhược điểm, tình hình triển khai nghiên cứu ứng dụng và sử dụng công nghệ điện toán đám mây thế giới và tại Việt Nam
Chương 2: Bảo vệ thông tin trong điện toán đám mây
Nội dung Chương 2 nghiên cứu tìm hiểu vấn đề an ninh thông tin, một số tiêu chuẩn về an ninh thông tin, phân loại an ninh thông tin trong điện tóa đám mây, vấn đề an ninh dữ liệu trong điện toán đám mây và giải pháp Trên cơ sở đó, tập trung phân tích hai thuật toán mã hóa dữ liệu lưu trữ cho điện toán đám mây
là RSA và AES
Chương 3: Ứng dụng bảo vệ thông tin trong điện toán đám mây
Trang 8Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Nghiên cứu và xây dựng điện toán đám mây riêng tích hợp công cụ thu thập thông tin tự động dựa trên phần mềm mã nguồn mở ownCloud và Apache Nutch Nghiên cứu phân tích thuật toán mã hóa dữ liệu phía ownCloud và đề xuất xây dựng giải pháp mã hóa dữ liệu an toàn phía client sử dụng RSA kết hợp AES 256 Tiến hành cài đặt, thực nghiệm và rút ra những kết luận, đề xuất
5 Phương pháp nghiên cứu
- Nghiên cứu các bài báo khoa học trong nước và quốc tế
- Nghiên cứu một số vấn đề bảo mật dữ liệu trong điện toán đám mây và phương pháp khắc phục Từ đó đi sâu tìm hiểu phương pháp bảo vệ dữ liệu đã lưu trữ bằng các thuật toán mã hóa AES và RSA
- Cài đặt ứng dụng thử nghiệm và đánh giá
6 Ý nghĩa khoa học của luận văn
Nghiên cứu vấn đề bảo mật dữ liệu trong điện toán đám mây có ý nghĩa và vai trò to lớn trong việc vệ an ninh thông tin Đây là vấn đề đang được quan tâm, thu hút nhiều quốc gia, tổ chức, cá nhân đầu tư nghiên cứu Luận văn đã kết hợp hai kỹ thuật sử dụng các search engine để xây dựng đám mây thu tin tự động và
kỹ thuật mã hóa để bảo mật dữ liệu Do vậy, luận văn có tính khoa học và ứng dụng thực tiễn
Trang 9Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 Điện toán đám mây
Điện toán đám mây - Cloud Computing (sau đây có thể gọi tắt là đám mây)
là mô hình điện toán đang tiến tới hoàn chỉnh, mỗi tổ chức tiêu chuẩn, mỗi hãng công nghệ đang đưa ra những định nghĩa và cách nhìn của riêng mình
Theo Wikipedia: “Điện toán đám mây là một mô hình điện toán có khả
năng co giãn linh động, các tài nguyên thường được ảo hóa và được cung cấp như một dịch vụ trên mạng Internet”
Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà
hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”
Một số định nghĩa thì cho rằng điện toán đám mây là điện toán máy chủ ảo, tuy nhiên, định nghĩa này chưa thực sự đầy đủ và chính xác, máy chủ ảo không phải là thành phần thiết yếu của một đám mây Nó chỉ là thành phần chủ chốt để một vài loại đám mây hoạt động
Hiện tại, định nghĩa của Viện tiêu chuẩn và công nghệ quốc gia Mỹ - NIST (National Institute of Science and Technology) được cho là thể hiện rõ nhất bản
chất của điện toán đám mây [14]: điện toán đám mây là mô hình điện toán cho
phép truy cập qua mạng để lựa chọn và sử dụng tài nguyên tính toán (mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ…) theo nhu cầu một cách thuận tiện và nhanh chóng Đồng thời, điện toán đám mây cũng cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các tương tác với nhà cung cấp
Như vậy, điện toán đám mây có thể coi là bước tiếp theo của ảo hóa, bao gồm ảo hóa phần cứng và ứng dụng, là thành phần quản lý, tổ chức, vận hành các
hệ thống ảo hóa trước đó
Điện toán đám mây có năm đặc điểm chính như sau:
Tự phục vụ theo nhu cầu (On-deman self-service): Người sử dụng có thể tự
cung cấp các tài nguyên như máy chủ ảo, tài khoản email… mà không cần có
Trang 10Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
người tương tác với nhân viên của nhà cung cấp dịch vụ (nhân viên công nghệ thông tin)
Mạng lưới truy cập rộng lớn (Broad Network Access): Khách hàng có thể
truy cập tài nguyên qua mạng máy tính (như mạng Internet) từ nhiều thiết bị khác nhau (điện thoại thông minh, máy tính bảng, máy tính xách tay…)
Tài nguyên được chia sẻ (Resource Pooling): Tài nguyên của các nhà cung
cấp dịch vụ được chia sẻ tới nhiều khách hàng Thông thường, các công nghệ ảo hóa được sử dụng để cho nhiều bên cùng thuê và cho phép tài nguyên được cấp phát động dựa theo nhu cầu của khách hàng
Tính linh hoạt nhanh (Rapid elasticity): Tài nguyên có thể được cung cấp
và giải phóng nhanh, tự động dựa trên nhu cầu Khách hàng có thể tăng hoặc giảm việc sử dụng dịch vụ đám mây một cách dễ dàng theo nhu cầu hiện tại của mình
Ước lượng dịch vụ (Measured service): Khách hàng chỉ chi trả cho tài
nguyên thực tế họ đã sử dụng Thông thường, nhà cung cấp dịch vụ sẽ cung cấp cho khách hàng bảng điều khiển (dashboard) để họ có thể theo dõi việc sử dụng dịch vụ của họ
Điện toán đám mây đã khắc phục được yếu điểm quan trọng của điện toán truyền thống về khả năng mở rộng và độ linh hoạt Các công ty, tổ chức có thể triển khai ứng dụng và dịch vụ nhanh chóng, giảm chi phí và ít rủi ro về đầu tư ban đầu
1.2 Lịch sử hình thành và phát triển của điện toán đám mây
Điện toán đám mây thường được mọi người biết đến như một công nghệ mới được phát triển trong những năm gần đây Tuy nhiên, khái niệm này không mới như ta vẫn nghĩ Điện toán đám mây đã bắt đầu được hình thành vào khoảng giữa thế kỷ 20, khi có sự ra đời của các máy tính mainframe Dưới đây là một số mốc phát triển quan trọng của điện toán đám mây [20]:
Năm 1969, J.C.R Liicklider là người chịu trách nhiệm tạo điều kiện cho sự phát triển của APANET trong cuốn Advanced Research Project Agency Network
đã nêu ý tưởng về mạng máy tính giữa các thiên hà, có vẻ giống với điện toán đám mây
Trang 11Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Tuy nhiên, cho đến năm 1999, điện toán đám mây mới cho thấy thành tựu của sự phát triển với cột mốc là điện toán đám mây của Saleforce.com với các ứng dụng doanh nghiệp cung cấp thông qua một trang web đơn giản, mở đường cho việc cung cấp các ứng dụng trên Internet
Năm 2002, Amazon Web Service cung cấp bộ các dịch vụ lưu trữ, tính toán, trí tuệ nhân tạo…
Năm 2004, mạng xã hội Facebook ra đời kết nối và lưu dữ liệu, tạo thành một dịch vụ đám mây cá nhân
Năm 2006, Amazon ra mắt EC2 (Elastic Compute), là một dịch vụ web thương mại cho phép các công ty nhỏ, cá nhân thuê máy tính mà trên đó để chạy các ứng dụng máy tính của mình
Cuối năm 2008 là sự ra đời của điện toán đám mây Azue của Microsoft Năm 2009, Google Apps chính thức được phát hành, sau đó, liên tiếp các hãng công nghệ có tên tuổi tham gia cung cấp dịch vụ liên quan đến điện toán đám mây như Rackspace, IBM…
Cho tới nay, các công ty đã tích cực cải thiện dịch vụ và khả năng đáp ứng của mình để phục vụ nhu cầu cho người sử dụng một cách tốt nhất Đặc biệt, số người dùng điện thoại thông minh và máy tính bảng tăng nhanh trong những năm gần đây đã giúp cho các dịch vụ điện toán đám mây ngày càng phát triển vượt bậc, mang nhiều trải nghiệm mới cho người dùng, kết nối mọi lúc mọi nơi qua môi trường Internet
1.3 Kiến trúc điện toán đám mây
Kiến trúc điện toán đám mây bao gồm nhiều thành phần đám mây liên kết với nhau Ta có thể chia kiến trúc điện toán đám mây thành hai phần quan trọng: nền tảng font-end và nền tảng back-end Hai phần này kết nối với nhau thông qua mạng máy tính, thường là mạng Internet [18]
Front-end là phần thuộc về phía khách hàng dùng máy tính Hạ tầng khách
hàng trong nền tảng font-end (Client Infrastructure) là những yêu cầu phần mềm hoặc phần cứng (hệ thống mạng của khách hàng hoặc máy tính) để sử dụng các
Trang 12Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
dịch vụ trên điện toán đám mây Thiết bị cung cấp cho khách hàng có thể là trình duyệt, máy tính để bàn, máy xách tay, điện thoại thông minh…
Back-end đề cập đến chính đám mây của hệ thống, bao gồm tất cả các tài
nguyên cần thiết để cung cấp dịch vụ điện toán đám mây Nó gồm các thành phần con chính như: cơ sở hạ tầng, lưu trữ, máy ảo, cơ chế an ninh, dịch vụ, mô hình triển khai, máy chủ…
Hình 1.1: Kiến trúc điện toán đám mây
Cơ sở hạ tầng (Infrastructure) của điện toán đám mây là phần cứng được cung cấp như dịch vụ, nghĩa là được chia sẻ và có thể sử dụng lại dễ dàng Các tài nguyên phần cứng được cung cấp theo thời gian cụ thể theo yêu cầu Dịch vụ kiểu này giúp cho khách hàng giảm chi phí bảo hành, chi phí sử dụng,…
Lưu trữ (Storage): Lưu trữ đám mây là khái niệm tách dữ liệu khỏi quá trình
xử lý và chúng được lưu trữ ở những vị trí từ xa Lưu trữ đám mây thường được triển khai theo các dạng: đám mây công cộng, đám mây riêng, đám mây cộng đồng hoặc đám mây lai Lưu trữ đám mây cũng bao gồm cả các dịch vụ cơ sở dữ liệu, ví dụ như BigTable của Google, SimpleDB của Amazon,…
Cloud Runtime: Là dịch vụ phát triển phần mềm ứng dụng và quản lý các yêu cầu phần cứng, nhu cầu phần mềm Ví dụ nền dịch vụ như khung ứng dụng web, web hosting
Trang 13Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Dịch vụ (Service): Dịch vụ đám mây là một phần độc lập có thể kết hợp với các dịch vụ khác để thực hiện tương tác, kết hợp giữa các máy tính với nhau
để thực thi chương trình ứng dụng theo yêu cầu trên mạng Ví dụ các dịch vụ hiện nay như: Simple Queue Service, Google Maps, các dịch vụ thanh toán linh hoạt trên mạng của Amazon
Ứng dụng: Ứng dụng đám mây (Cloud Application) là một đề xuất về kiến trúc phần mềm sẵn sàng phục vụ, nhằm loại bỏ sự cần thiết phải mua phần mềm, cài đặt, vận hành và duy trì ứng dụng tại máy bàn/thiết bị của người sử dụng Ứng dụng đám mây loại bỏ được các chi phí để bảo trì và vận hành các chương trình ứng dụng
Các máy chủ sử dụng các giao thức nhất định được gọi là middleware giúp các thiết bị kết nối để giao tiếp với nhau
1.4 Một số mô hình điện toán đám mây
1.4.1 Các mô hình dịch vụ
Điện toán đám mây có thể được xem như một nhóm các dịch vụ, trong đó
có 3 mô hình dịch vụ chính [9, 14]: phần mềm như một dịch vụ, nền tảng như một dịch vụ, cơ sở hạ tầng như một dịch vụ
Phần mềm như một dịch vụ (SaaS - Software as a Service): Tất cả các
phần mềm (tài chính, nhân sự, bán hàng, tư vấn) được cung cấp như một dịch vụ Nghĩa là người dùng sử dụng các phần mềm của nhà cung cấp dịch vụ chạy trên một nền tảng đám mây và sẽ truy cập các phần mềm này thông qua Web Với SaaS, người dùng lựa chọn ứng dụng phù hợp với nhu cầu và chạy ứng dụng đó trên cơ sở hạ tầng đám mây mà không cần quan tâm đến việc quản lý tài nguyên phần cứng - công việc này đã có nhà cung cấp dịch vụ lo Nhà cung cấp dịch vụ
sẽ quản lý, kiểm soát và đảm bảo ứng dụng luôn sẵn sang và hoạt động ổn định
Trang 14Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Hình 1.2: Các mô hình dịch vụ của điện toán đám mây
SaaS có thể phục vụ cùng lúc hàng 9iki nghìn khách hàng (dịch vụ đám mây công cộng), hoặc môi trường dịch vụ đám mây riêng cho các phần mềm chuyên dụng
Một số phần mềm được cung cấp như dịch vụ tiêu biểu là: Google Docs, Zoho Docs, Salesfore.com…
Nền tảng như một dịch vụ (PaaS): Cung cấp nền tảng vận hành các ứng
dụng, dịch vụ, cho phép khách hàng phát triển các phần mềm trên đó Nghĩa là khách hàng sử dụng ngôn ngữ lập trình và các công cụ mà nhà cung cấp dịch vụ
hỗ trợ để tạo các ứng dụng (hoặc mua lại các ứng dụng đã tạo) Khách hàng không cần quản lý, kiểm soát cơ sở hạ tầng đám mây (mạng, máy chủ, hệ điều hành, lưu trữ), nhưng có quyền kiểm soát các ứng dụng họ đã triển khai ứng dụng lưu trữ các cấu hình môi trường Có thể xem cơ sở dữ liệu, phần mềm middleware là các
ví dụ của nền tảng và được cung cấp như một dịch vụ PaaS thường được sử dụng bởi các nhà phát triển, nhà kiểm thử, nhà triển khai, các kỹ sư middleware và quản trị viên Google App Engine, IBM IT Factory, Windows Azure là các ví dụ điển hình của PaaS
Cơ sở hạ tầng như một dịch vụ (IaaS): IaaS là tầng thấp nhất của điện
toán đám mây, cung cấp các tài nguyên phần cứng như máy chủ, hệ thống lưu trữ, các thiết bị mạng và các tài nguyên tính toán cơ bản khác dưới dạng dịch vụ cho
Trang 15Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
các đơn vị, tổ chức Với IaaS, người dùng có thể triển khai và chạy các phần mềm tùy ý mà không phải quan tâm đến cơ sở hạ tầng đám mây, nhưng có quyền kiểm soát với hệ điều hành, lưu trữ, các ứng dụng đã triển khai và có thể hạn chế việc lựa chọn thành phần mạng
Đối tượng sử dụng dịch vụ IaaS thường là các nhà phát triển hệ thống, kỹ
sư mạng, quản trị hệ thống, kỹ sư giám sát, người quản lý công nghệ thông tin Công nghệ được sử dụng rộng rãi trong IaaS là công nghệ ảo hóa để chia sẻ và phân phối tài nguyên theo yêu cầu
Đối với các doanh nghiệp, lợi ích lớn nhất của IaaS là sự bùng nổ lên đám mây (Cloudbursting), quá trình này làm giảm tải các tác vụ lên đám mây nhiều lần khi cần nhiều tài nguyên tính toán nhất Việc này giúp tiết kiệm nhiều chi phí
vì các doanh nghiệp sẽ không phải đầu tư thêm nhiều máy chủ mà rất ít khi sử dụng hết công suất
Tuy nhiên, những doanh nghiệp này phải có bộ phận công nghệ thông tin
để xây dựng và triển khai phần mềm xử lý có khả năng phân phối lại các quy trình
xử lý lên một đám mây IaaS Nếu không xây dựng lại phần mềm này thì doanh nghiệp sẽ gặp một số khó khăn khi nhà cung cấp ngừng kinh doanh, hoặc các vấn
đề về bảo vệ dữ liệu cá nhân, tài chính…
Một số nhà cung cấp dịch vụ IaaS tiêu biểu như: Vmware, Amazon…
1.4.2 Các mô hình triển khai
Với mỗi loại mô hình dịch vụ, đều có thể sử dụng các hình triển khai [9, 14] chính của điện toán đám mây là: đám mây công cộng, đám mây riêng, đám mây cộng đồng, đám mây lai và một số mô hình triển khai khác như sau:
Đám mây công cộng (Public Cloud): việc cung cấp và sử dụng dịch vụ
được tổ chức, hoạt động và quản lý bởi nhà cung cấp dịch vụ Dịch vụ đám mây công cộng thường được chuyển qua Internet từ một hoặc nhiều trung tâm dữ liệu của nhà cung cấp dịch vụ Chúng được dùng chung và cho nhiều bên thuê để tính toán giúp tiết kiệm, giảm thiểu chi phí mà vẫn đạt được tối đa tiềm năng Tuy nhiên, đám mây công cộng nhận được ít sự kiểm soát và giám sát an ninh của nhà cung cấp dịch vụ
Trang 16Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Đám mây công cộng có nhiều dạng và tồn tại dưới nhiều hình thức như là Windows Azure, Microsoft Office 365 và Amazon Elastic Compute Cloud… Ta cũng có thể tìm thấy các dịch vụ quy mô nhỏ hơn phù hợp với nhu cầu cá nhân
Ưu điểm lớn nhất của đám mây công cộng chính là nó luôn được sẵn sàng
để sử dụng nhanh chóng: một ứng dụng kinh doanh mới nhất có thể được triển khai chỉ trong vòng vài phút và có khả năng mở rộng dễ dàng Doanh nghiệp không cần đầu tư vào hệ thống hạ tầng công nghệ thông tin nội bộ nữa
Hình 1.3: Các mô hình triển khai chính của điện toán đám mây
Đám mây riêng (Private Cloud): được cung cấp riêng cho một cá nhân
hoặc tổ chức nào đó (không sử dụng chung) Một số mô hình điện toán đám mây riêng nổi bật cung cấp cái nhìn tổng quan về các mô hình phổ biến nhất:
Dedicated: dịch vụ được sở hữu, vận hành và quản lý bởi tổ chức và được lưu trữ trong hạ tầng cơ sở (on premises) của chính tổ chức hoặc cùng được đặt trong một cơ sở dữ liệu trung tâm (ngoài hạ tầng cơ sở - off premises)
Managed: dịch vụ thuộc sở hữu của tổ chức nhưng được điều hành và quản
lý bởi một nhà cung cấp dịch vụ Dịch vụ này có thể được lưu trữ trong các tổ chức hoặc lưu trữ đồng thời cùng nhà cung cấp dịch vụ
Virtual: dịch vụ được sở hữu, vận hành, quản lý và tổ chức bởi một nhà cung cấp dịch vụ nhưng tổ chức này được cô lập với các khách hàng khác
Trang 17Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Lợi ích của đám mây riêng là doanh nghiệp có thể tự thiết kế nó rồi tùy biến theo thời gian cho phù hợp với mình Họ có thể kiểm soát được chất lượng dịch
vụ đã cung cấp Với hệ thống chuẩn được lắp đặt, hoạt động theo nguyên tắc, đảm bảo tính bảo mật thì nhiệm vụ quản trị của nhân viên công nghệ thông tin sẽ được duy trì Mặt bất lợi của đám mây này là mô hình triển khai của nó cần sự đầu tư nhiều về chuyên môn, tiền bạc (đầu tư vốn để mua các phần cứng, phần mềm cần thiết đủ đáp ứng trong lúc cao điểm, chi phí duy trì phần cứng…) và thời gian để tạo ra các giải pháp kinh doanh đúng đắn cho doanh nghiệp
Đám mây cộng đồng (Community Cloud): là đám mây được chia sẻ giữa
một số tổ chức, doanh nghiệp có mục tiêu sử dụng tương tự nhau với nhau Đám mây cộng đồng này có thể sử dụng nhiều công nghệ, và nó thường được các doanh nghiệp liên doanh sử dụng cùng thực hiện các công trình nghiên cứu khoa học Đám mây cộng đồng hỗ trợ người dùng các tính năng của cả đám mây riêng và đám mây công cộng Các đám mây loại này cố gắng để đạt được một mức độ kiểm soát an ninh và giám sát tương tự như được cung cấp bởi đám mây riêng trong khi
cố gắng đạt được hiệu quả chi phí như được cung cấp bởi đám mây công cộng
Vì tính mở tự nhiên, đám mây cộng đồng rất phức tạp Tính bảo mật và thống nhất vừa là một thế mạnh vừa là một điểm yếu, mang sự thách thức về tính toán Dù là với đám mây riêng yếu tố chính sách công ty là rất lớn nhưng ta chỉ
có thể hình dung ra vai trò của chính sách công ty là quan trọng thế nào khi tham gia vào đám mây cộng đồng được mua và sử dụng bởi nhiều công ty cùng một lúc
Đám mây lai (Hybrid Cloud): Đám mây lai thường là sự kết hợp những
mặt mạnh của đám mây riêng và đám mây công cộng… Điểm yếu của cái này thì
sẽ có điểm mạnh bù lại Đa số các doanh nghiệp đều lựa chọn mô hình triển khai điện toán đám mây có lợi cho mình nhất
Với mô hình này, các tổ chức, doanh nghiệp sẽ sử dụng đám mây công cộng
để xử lý, giải quyết các chức năng nghiệp vụ và các dữ liệu ít quan trọng Đồng thời, tổ chức, doanh nghiệp sẽ giữ lại các chức năng nghiệp vụ và dữ liệu quan trọng trong tầm kiểm soát bằng cách sử dụng đám mây riêng Tổ chức, doanh
Trang 18Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
nghiệp sẽ hưởng lợi từ hai thứ: quản lý được tính bảo mật với đám mây riêng; rẻ, tiện, linh động và có khả năng mở rộng với đám mây công cộng, một dịch vụ đơn
lẻ nhưng bao gồm cả hai loại đám mây
Các mô hình triển khai khác: Ngoài các mô hình đám mây riêng, đám
mây công cộng, đám mây cộng đồng và đám mây lai là điển hình thì điện toán đám mây còn có một số loại mô hình triển khai khác như:
Đám mây phân tán (Distributed Cloud): Điện toán đám mây cũng có thể
được cung cấp bởi một tập các máy phân tán chạy ở các vị trí khác nhau nhưng vẫn kết nối tới một mạng hoặc một trung tâm dịch vụ Ví dụ các nền tảng máy phân tán như BONIC, Folding@Home
Đám mây liên kết (Intercloud): Là một liên kết có quy mô toàn cầu “cloud
of clouds” và một phần mở rộng dựa trên mạng Internet Đám mây liên kết tập trung vào khả năng tương tác trực tiếp giữa nhà cung cấp dịch vụ đám mây công cộng hơn là giữa nhà cung cấp và người sử dụng (như trường hợp đám mây lai và
đa đám mây)
Đa đám mây (Multicloud): Là việc sử dụng nhiều dịch vụ điện toán đám
mây trong một kiến trúc không đồng nhất để giảm sự phụ thuộc vào một nhà cung cấp duy nhất, làm tăng tính linh hoạt thông qua việc chọn, giảm các nguy cơ…
Nó khác với đám mây lai trong đó đề cập đến nhiều dịch vụ đám mây thay vì nhiều mô hình triển khai (công cộng, riêng, kế thừa)
Như vậy, tùy theo nhu cầu cụ thể mà các tổ chức, doanh nghiệp có thể chọn
để triển khai các ứng dụng trên mô hình nào cho phù hợp Mỗi mô hình đám mây đều có điểm mạnh và yếu của nó Các doanh nghiệp phải cân nhắc đối với các mô hình mà họ chọn Và họ có thể sử dụng nhiều mô hình để giải quyết các vấn đề khác nhau Theo Ziff David B2B, phần lớn các công ty dùng nhiều hơn một loại đám mây: 29% chỉ dùng đám mây công cộng, 7% chỉ dùng đám mây riêng, 58%
sử dụng đám mây lai (2014) Nhu cầu về một ứng dụng có tính tạm thời có thể triển khai trên đám mây công cộng bởi vì nó giúp tránh việc phải mua thêm thiết
bị để giải quyết một nhu cầu tạm thời Tương tự, nhu cầu về một ứng dụng thường
Trang 19Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
trú hoặc một ứng dụng có những yêu cầu cụ thể về chất lượng dịch vụ hay vị trí của dữ liệu thì nên triển khai trên đám mây riêng hoặc đám mây lai
1.5 Phân tích ưu nhược điểm của điện toán đám mây
1.5.1 Ưu điểm
Người sử dụng có thể được hưởng những lợi ích khác nhau khi sử dụng các
mô hình đám mây khác nhau Tuy nhiên có một số lợi ích nổi bật sau đây đã góp phần giúp điện toán đám mây trở thành mô hình điện toán được áp dụng rộng rãi trên toàn thế giới
- Tốc độ xử lý nhanh, cung cấp dịch vụ nhanh chóng với giá thành rẻ
- Chi phí đầu tư cơ sở hạ tầng, máy móc và nhân lực ban đầu của người sử dụng điện toán đám mây được giảm đến mức thấp nhất
- Không phụ thuộc vào thiết bị và vị trí địa lý, cho phép người sử dụng truy cập hệ thống thông qua trình duyệt web ở bất kỳ đâu, trên bất kỳ thiết bị nào
- Chia sẻ tài nguyên trên địa bàn rộng lớn
- Độ tin cậy cao, không chỉ phù hợp cho các ứng dụng thông thường, điện toán đám mây còn phù hợp với các yêu cầu cao và liên tục của các công ty kinh doanh và các trung tâm nghiên cứu khoa học
- Khả năng mở rộng mềm dẻo, giúp cải thiện chất lượng dịch vụ trên đám mây
- Khả năng bảo mật được cải thiện do sự tập trung về dữ liệu
- Khả năng bảo trì dễ dàng: các ứng dụng trên điện toán đám mây dễ sửa chữa và cải thiện tính năng vì chúng không được cài đặt cố định trên một máy tính nào
- Tài nguyên sử dụng của điện toán đám mây luôn được quản lý và thống
kê trên từng khách hàng và ứng dụng theo thời gian cụ thể, giúp cho việc định giá mỗi dịch vụ do điện toán đám mây cung cấp để người sử dụng lựa chọn cho phù hợp
1.5.2 Một số tồn tại của điện toán đám mây
- Tính sẵn dùng: Trong môi trường chung của điện toán đám mây, các ứng dụng thường cạnh tranh về tài nguyên mạng như: thời gian xử lý, khả năng chia
Trang 20Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
tải… Nếu hệ thống cơ sở hạ tầng của nhà cung cấp dịch vụ không hoàn thiện thì việc tắc nghẽn trong hệ thống hoàn toàn có thể xảy ra Khi đó, liệu các dịch vụ đám mây có bị “treo” bất ngờ, khiến cho người dùng không thể truy cập các dịch
vụ và dữ liệu của mình trong những khoảng thời gian nào đó khiến ảnh hưởng đến công việc
- Tính riêng tư: Các thông tin người dùng và dữ liệu được chứa trên điện toán đám mây có đảm bảo được riêng tư, và liệu các thông tin đó có bị sử dụng vì một mục đích nào khác
- Mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, khiến cho người dùng phải sao lưu dữ liệu của họ từ đám mây về máy tính cá nhân Điều này sẽ mất nhiều thời gian Thậm chí một vài trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phục hồi được
- Tính di động của dữ liệu và quyền sở hữu: Một câu hỏi đặt ra, liệu người dùng có thể chia sẻ dữ liệu từ dịch vụ đám mây này sang dịch vụ của đám mây khác? Hoặc trong trường hợp không muốn tiếp tục sử dụng dịch vụ cung cấp từ đám mây, liệu người dùng có thể sao lưu toàn bộ dữ liệu của họ từ đám mây hay không Và làm cách nào để người dùng có thể chắc chắn rằng các dịch vụ đám mây sẽ không hủy toàn bộ dữ liệu của họ trong trường hợp dịch vụ ngừng hoạt động
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các đám mây là cách thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng lại chính là mối lo của người sử dụng dịch vụ của điện toán đám mây Bởi lẽ một khi các đám mây bị tấn công hoặc đột nhập, toàn bộ dữ liệu sẽ bị chiếm dụng Tuy nhiên, đây không thực
sự là vấn đề của riêng điện toán đám mây, bởi lẽ tấn công đánh cắp dữ liệu là vấn
đề gặp phải trên bất kỳ môi trường nào, ngay cả trên các máy tính cá nhân
Ở nước ta, việc triển khai điện toán đám mây vẫn đối mặt với nhiều thách thức như: cơ sở hạ tầng chưa đồng bộ, bảo mật thông tin, chi phí đầu tư cho hạ tầng đám mây cao trong khi quy mô thị trường còn nhỏ và các nhà cung cấp dịch
vụ trong nước khó cạnh tranh với các nhà cung cấp dịch vụ toàn cầu, khả năng
Trang 21Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
liên kết giữa các nhà cung cấp dịch vụ đám mây, lien kết hạ tầng với ứng dụng còn yếu… Tuy nhiên, điện toán đám mây với những lợi ích đã thấy rõ vẫn sẽ sớm trở nên phổ biến và là xu thế tất yếu của công nghệ tương lai
1.6 Một số nhà cung cấp dịch vụ điện toán đám mây
1.6.1 Trên thế giới
Trên thế giới hiện có khoảng hơn 200 nhà cung cấp dịch vụ điện toán đám mây [6, 19], mỗi nhà cung cấp thường có thế mạnh riêng của mình về từng lĩnh vực của điện toán đám mây Sau đây là một số nhà cung cấp dịch vụ đám mây
tiêu biểu:
Với dịch vụ cơ sở hạ tầng (IaaS): có hai nhà cung cấp nổi tiếng về cả chất
lượng và giá cả là Amazon Web Services của Amazon.com và Microsoft Azure của Microsoft
- Amazon: có vị trí nổi bật về điện toán đám mây Hiện nay, Amazon đã
cung cấp không gian máy tính ảo với dịch vụ Amazon Workspaces, qua đó, người
sử dụng có thể thuê một máy tính ảo chạy trên Amazon Web Services Amazon khiến mọi người ngạc nhiên khi một nhà bán lẻ trực tuyến lại có thể tạo ra nhiều
sự thay đổi trong ngành công nghiệp công nghệ thông tin và trong cuộc sống hàng ngày đến vậy
- Microsoft: cũng đang là một doanh nghiệp lớn về điện toán đám mây với
Azure Microsoft cũng mới mở rộng Azure vào thị trường IaaS, và thậm chí còn cho phép người dùng chạy Linux trên đám mây của mình với mức giá hứa hẹn sẽ thấp hơn Amazon Bên cạnh đó, Microsoft cũng cung cấp rất nhiều các ứng dụng doanh nghiệp trên đám mây của mình từ cơ sở dữ liệu SQL Server đến Microsoft Office 365
Với dịch vụ lưu trữ (Storage): Google Drive của Google và Box là hai
nhà cung cấp tiêu biểu:
- Google: là gã khổng lồ công nghệ được sinh ra từ đám mây Hiện tại
Google đã tăng mức lưu trữ và kết hợp với các công cụ trước đây như Google Docs để thuận tiện cho người sử dụng Google Drive tương thích với các hệ điều
hành trên máy tính cũng như trên điện thoại thông minh
Trang 22Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
- Box: cung cấp 10 GB dung lượng lưu trữ miễn phí, và dịch vụ chia sẻ file
giúp nhiều người có thể làm việc cùng nhau trên các tài liệu
Với dịch vụ Desktop (DaaS): hai nhà cung cấp nổi tiếng với dịch vụ này
là Citrix và Vmware
- Vmware: là một trong những đối thủ lớn nhất trong thị trường điện toán
đám mây, chuyên cung cấp phần mềm vCloud để xây dựng đám mây Vmware gần đây là thay đổi chiến lược khi cung bố kế hoạch ra mắt đám mây công cộng của riêng mình Đây là một sự lựa chọn thú vị vì hiện có khoảng 200 nhà cung cấp dịch vụ điện toán đám mây được xây dựng trên nền tảng vCloud và giờ đây Vmware sẽ phải cạnh tranh với họ
- Citrix: cũng sản xuất phần mềm dành cho các đám mây để cạnh tranh với
hai đối thủ chính là Vmware và OpenStack Để cạnh tranh với OpenStack, công
ty đã cho phép quỹ Apache, một tổ chức phi lợi nhuận quản lý nhiều dự án mã nguồn mở phổ biến, sử dụng phần mềm CloudStack của mình Động thái này cũng cho phép Citrix bán nhiều hơn các phần mềm trung tâm dữ liệu khác của mình để cạnh tranh với Vmware
Với dịch vụ phần mềm (SaaS): tiêu biểu là Salesforce.com và Insightly
- Salesforce.com:Salesforce.com đã chứng minh rằng thế giới muốn mua
phần mềm-như-một-dịch vụ Trong năm 2012, công ty đã mở rộng một loạt các lĩnh vực mới Salesforce.com đã chi hơn 1 tỷ đô la Mỹ để mua lại Radian6 và Buddy Media Cloud Marketing Bên cạnh đó, Salesforce.com cũng được biết đến như là một trong những đám mây PaaS phổ biến nhất để chạy các ứng dụng của riêng bạn Salesforce.com được biết đến như là một trong những đám mây PaaS phổ biến nhất
- Insightly: cung cấp phần mềm CRM (Customer Relationship
Management) như một dịch vụ được tích hợp với Gmail, Google Apps, Outlook
2013 và Office 365 Insightly phù hợp với các doanh nghiệp vừa và nhỏ, giúp khách hàng theo dõi các giao dịch của họ
Với dịch vụ nền tảng (PaaS): tiêu biểu là Red Hat OpenShift và Heroku
Trang 23Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
- Red Hat OpenShift: cung cấp dịch vụ nền tảng dựa trên nguồn mở, cho
phép các nhà phát triển tùy chỉnh theo ý mình và có thể được dùng thử miễn phí (1 GB lưu trữ)
- Heroku: Nền tảng này hỗ trợ nhiều ngôn ngữ lập trình, từ Java tới Ruby
Python Heroku là một trong những nhà cung cấp PaaS sớm nhất, nó cung cấp các
ứng dụng của bên thứ ba cũng như của riêng mình
Ngoài ra, còn một số nhà cung cấp dịch vụ đám mây nổi tiếng như IBM, Rackspace (OpenStack)
1.6.2 Tại Việt Nam
Với trung tâm điện toán đám mây đầu tiên được ra mắt từ nửa cuối năm
2008, Việt Nam trở thành một trong những nước đầu tiên của Asian đưa vào sử dụng công nghệ này Cho đến nay, Việt Nam đã xuất hiện thêm nhiều công ty cung cấp dịch vụ điện toán đám mây, song chủ yếu tập trung vào thị trường nhỏ như QTSC, VNTT, Prism, Exa, HostVN, MOS, BiakiCRM Một số nhà cung cấp như Bkav, FPT, VDC, CMC Telecom NEO,… thì chỉ cung cấp những dịch vụ riêng lẻ quản lý văn phòng, nhân sự, quan hệ khách hàng…
Nhìn chung, các nhà cung cấp dịch vụ đám mây công cộng tại Việt Nam vẫn còn ở quy mô nhỏ Một số công ty tích hợp hệ thống (SI) và nhà cung cấp phần mềm độc lập (ISV) đã có chiến lược đầu tư vào điện toán đám mây, kết hợp xây dựng đám mây công cộng với triển khai đám mây riêng cho khách hàng Trong số này, FIS, SBD, HiPT đang chiếm thị phần lớn ở mảng IaaS; còn Lạc Việt, MISA, NEO, CT-IN giữ vai trò chủ chốt ở mảng SaaS
Năm 2014, VTC Digicom sau hai năm nghiên cứu và phát triển đã chính thức ra mắt dịch vụ điện toán đám mây gồm: Cloud Server (máy chủ ảo), Cloud Storage (không gian lưu trữ) và Cloud Streaming/CDN
Năm 2017, Viện Công nghiệp phần mềm và nội dung số Việt Nam triển khai đề án cung cấp hạ tầng, dịch vụ dùng chung cho cơ quan nhà nước tại địa chỉ
số 115 Trần Duy Hưng [3]
Trang 24Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Kết luận Chương 1
Trong chương 1 của luận văn đã phân tích, tìm hiểu những nội dung cơ bản
về điện toán đám mây, bao gồm khái niệm, lịch sử hình thành và phát triển, vai trò, kiến trúc mô hình dịch vụ, mô hình triển khai điện toán đám mây, những nhà cung cấp dịch vụ điện toán đám mây lớn trên thế giới và tại Việt Nam
Nội dung chương 1 cũng đi sâu nghiên cứu phân tích những ưu điểm, giá trị to lớn của điện toán đám mây trong việc cung cấp các nhóm dịch vụ hạ tầng, dịch vụ lưu trữ, desktop, dịch vụ phần mềm và nền tảng [3, 6] Trên cơ sở nghiên cứu những hạn chế của điện toán đám mây, nội dung chương 1 phân tích làm rõ nguy cơ mất an toàn thông tin, cho thấy vị trí tầm quan trọng của việc nghiên cứu giải pháp bảo mật dữ liệu trong quá trình lưu trữ và truyền nhận qua đám mây Đây là cơ sở tiền đề, nền tảng cho triển khai nghiên cứu chuyên sâu về bảo vệ thông tin trong điện toán đám mây được trình bày tại chương 2
CHƯƠNG 2: BẢO VỆ THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY 2.1 Khái niệm an ninh thông tin
Ngày càng có nhiều các công ty cung cấp dịch vụ điện toán đám mây, nhưng bước tiến mới này tiềm ẩn những nguy cơ về an ninh
Trang 25Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Theo NIST định nghĩa [14]: An ninh thông tin là sự tiến hành việc duy trì
tính toàn vẹn, bảo mật và sẵn sàng của dữ liệu khi gặp vấn đề từ truy cập độc hại, lỗi hệ thống…
- Tính toàn vẹn: Thông tin là thực, đầy đủ, đáng tin cậy Dữ liệu không được thay đổi không phù hợp cho dù gặp sự cố hoặc các hoạt động độc hại có chủ đích
- Bảo mật: Thông tin có thể chỉ được truy cập bởi người được uỷ quyền hoặc chia sẻ giữa các nhóm được ủy quyền Phương pháp xác thực, bao gồm cả xác minh, có thể được áp dụng để bảo vệ dữ liệu tránh khỏi xâm nhập độc hại
- Sẵn sàng: dữ liệu luôn sẵn sàng và sẵn có sử dụng khi cần theo quyền thao tác cho đối tượng đã được ủy quyền
Theo ISO/IEC 27000, 2009 định nghĩa [10]: An ninh thông tin là sự giữ
gìn tính bảo mật, toàn vẹn và sẵn sàng của thông tin và các thuộc tính khác như tính xác thực, trách nhiệm, không chối bỏ và tin cậy
Theo CNSS, 2010 định nghĩa [6]: An ninh thông tin là sự bảo vệ thông tin
và hệ thống thông tin khỏi việc truy cập trái phép, sử dụng, tiết lộ, gián đoạn, biến đổi, hoặc phá hủy để cung cấp bảo mật, tính toàn vẹn và tính sẵn sàng
Theo Venter và Eloff, 2003 [6]: An ninh thông tin là sự bảo vệ thông tin và
giảm thiểu những nguy cơ lộ thông tin cho các bên trái phép
2.2 Một số tiêu chuẩn về an ninh thông tin
Ban kỹ thuật tiêu chuẩn quốc tế JTC1/SC 27 “IT Security Techniques” do
hai tổ chức là Cơ qua tiêu chuẩn hóa quốc tế ISO (International Organization for Standardization) và Ủy bản kỹ thuật điện quốc tế IEC (International Electrotechnical Commission) cộng tác thành lập
Ban kỹ thuật này đã công bố hơn 130 tiêu chuẩn quốc tế về lĩnh vực an ninh thông tin Những tiêu chuẩn quốc tế được sự trợ giúp xây dựng, đóng góp ý kiến của nhiều chuyên gia, các hãng bảo mật và các tổ chức tiêu chuẩn hóa trên thế giới
2.2.1 Tiêu chuẩn về hệ thống quản lý an ninh
Trang 26Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Hiện nay, trên thế giới đang tồn tại một họ các tiêu chuẩn hệ thống quản lý
an ninh thuộc bộ ISO 27000 Bộ tiêu chuẩn ISO 27000 về hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) được xây dựng
để có thể áp dụng cho mọi tổ chức, bất kể loại hình, kích cỡ hay môi trường kinh doanh của tổ chức đó Người sử dụng là những chuyên gia, quản lý kinh doanh có liên quan đến các hoạt động quản lý hệ thống an ninh
Để có thể đạt được các chỉ tiêu an ninh có trong bộ ISO 27000 là khá khó khăn và rất tốn kém Số lượng chứng chỉ chứng nhận đạt sự phù hợp với ISO/IEC
27001 trên toàn thế giới mới chỉ lên đến con số 7940
Một bộ tiêu chuẩn về lĩnh vực quản lý an ninh cũng đáng được nhắc tới đó
là bộ ISO/IEC 31000 về quản lý rủi ro
2.2.2 Tiêu chuẩn an ninh thông tin về điện toán đám mây
Tổ chức ISO công bố 04 tiêu chuẩn liên quan đến điện toán đám mây là: ISO/IEC 17203:2011 quy định về định dạng mã hóa mở OVF, ISO/IEC 17826:2012 về giao diện quản lý dữ liệu đám mây CDMI, ISO/IEC 17963:2013
về quản lý dịch vụ web, cuối cùng là ISO/IEC TR 30102:2012 về thủ tục kỹ thuật cho DAPS (Nền tảng và dịch vụ ứng dụng phân tán) Ngoài ra tiêu chuẩn ISO/IEC
27017 đưa ra các nguyên tắc kiểm soát an ninh thông tin cho dịch vụ điện toán đám mây
Tuy nhiên, các tiêu chuẩn điện toán đám mây “riêng” vẫn đang phát triển mạnh mẽ, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đưa ra nguyên tắc phân loại chuẩn điện toán đám mây, đồng thời theo đó là hàng loạt tiêu chuẩn điện toán đám mây ra đời (công bố bởi NIST, IETF, ITU-T…), được thế giới công nhận và áp dụng Cụ thể:
- Về xác thực và ủy quyền: RFC 5246, RFC 3820, RFC 5280, X.509 (ISO/IEC 9594-8), RFC 5849, OpenID, XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), FIPS 181, FIPS 190, FIPS 196…
- Về tính bí mật: RFC 5246, KMIP (Key Management Interoperability Protocol), XML, FIPS 140-2, FIPS 185, FIPS 197, FIPS 188…
Trang 27Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
- Về tính toàn vẹn: XML, FIPS 180-3, FIPS 186-3, FIPS 198-1,…
- Về quản lý nhận diện: SPML (Service Provisioning Markup Language), X.idmcc, SAML, OpenID, FIPS 201-1,…
- Về thủ tục an ninh: NIST SP 800-126, NIST SP 800-61, X.1500, X.1520, X.1521, PCI, FIPS 191…
- Về quản lý chính sách: XACML, FIPS 199, FIPS 200,…
- Về tính tương hợp: OCCI (Open Cloud Computing Interface), CDMI, IEEE P2301, IEEE P2302…
- Về tính khả chuyển: CDMI, OVF (Open Virtualization Format), IEEE P2301…
2.2.3 Tiêu chuẩn an ninh thông tin về dữ liệu
Điểm mấu chốt trong an ninh thông tin chính là dữ liệu, có nhiều bộ tiêu chuẩn về an ninh dữ liệu, đầu tiên cần kể đến là bộ tiêu chuẩn ISO 8000 về Chất
lượng dữ liệu Bộ tiêu chuẩn này đưa ra các thủ tục về chất lượng dữ liệu, các đặc
tính cần kiểm tra chất lượng, đồng thời đưa ra hàng loạt các yêu cầu về thu nhận, biểu diễn, phương pháp đo và kiểm tra chất lượng dữ liệu
Hiện nay bộ tiêu chuẩn ISO 8000 được chia thành 04 mảng:
Phần 1 đến phần 99: Chất lượng dữ liệu chung;
Phần 100 đến phần 199: Chất lượng dữ liệu gốc;
Phần 200 đến phần 299: Chất lượng dữ liệu giao dịch;
Phần 300 đến phần 399: Chất lượng dữ liệu sản phẩm
Ngoài ra là các tiêu chuẩn về kiến trúc dữ liệu cũng được xây dựng như:
- ISIS-MTT: Đặc tả tính tương hợp chữ ký công nghiệp (MailTrusT): đưa
ra cách chứng thực khóa công khai, chứng thực thuộc tính và thu hồi chứng thực, thiết lập và gửi yêu cầu đến cơ quan chứng thực và phản hồi, thiết lập thông điệp
Trang 28Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
2.2.4 Tiêu chuẩn về đánh giá an ninh thông tin
Tiêu chuẩn đánh giá an ninh thông tin chung là CC (Common Criteria) đưa
ra những tiêu chí đánh giá an ninh chung cho sản phẩm hoặc hệ thống thông tin Hiện nay, CC đã được chuyển thành các tiêu chuẩn quốc tế là bộ tiêu chuẩn ISO/IEC 15408 và tiêu chuẩn ISO/IEC 18045 Trong đó, ISO/IEC 18045:2008 quy định các hành động tối thiểu được thực hiện bởi chuyên gia đánh giá khi thực hiện đánh giá theo ISO/IEC 15408, sử dụng các chỉ tiêu và bằng chứng để đánh giá như quy định trong ISO/IEC 15408 Tiêu chuẩn này không quy định các hành động đảm bảo đánh giá từng thành phần mà chưa có chấp thuận đánh giá chung
Đây được xem là bộ các tiêu chí đánh giá chung nhất cho các sản phẩm, thiết bị và hệ thống công nghệ thông tin
Hình 2.1: Quá trình hình thành cộng đồng CC (Common Criteria)
Ngoài ra đối với hệ thống ISMS, chúng ta có ISO/IEC 27007:2011 đưa ra các nguyên tắc đánh giá hệ thống an ninh thông tin, cũng là tiêu chuẩn được sử dụng để đánh giá an ninh thông tin cho các hệ thống thông tin thông thường, kể
cả các hệ thống không phải ISMS
2.3 Phân loại về an ninh thông tin trong điện toán đám mây
2.3.1 Theo nhóm vấn đề
Trang 29Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Các vấn đề an ninh liên quan đến điện toán đám mây được chia thành 5 loại chính: các tiêu chuẩn an ninh, mạng, kiểm soát truy cập, hạ tầng đám mây và dữ liệu [18]
2.3.1.1 Nhóm vấn đề về các tiêu chuẩn an ninh
Các tiêu chuẩn cần thiết để có biện pháp phòng ngừa, ngăn chặn các cuộc tấn công bao gồm các thỏa thuận mức dịch vụ, kiểm tra quản lý và các thỏa thuận khác giữa người sử dụng, nhà cung cấp dịch vụ và các bên liên quan khác
Các vấn đề an ninh thuộc nhóm này gồm vấn đề thiếu tiêu chuẩn an ninh, thiếu kiểm tra quản lý, thiếu khía cạnh pháp lý, vấn đề về sự tin cậy
2.3.1.2 Nhóm vấn đề về mạng
Liên quan đến các cuộc tấn công mạng như kết nối sẵn sàng (Connection Availability), từ chối dịch vụ (DoS), tấn công lũ lụt (flooding attack), các lỗ hổng giao thức Internet.v.v
Các vấn đề an ninh của nhóm mạng gồm việc cài đặt các tường lửa cho mạng, các cấu hình an ninh mạng, các lỗ hổng giao thức Internet và tính phụ thuộc vào Internet
2.3.1.3 Nhóm vấn đề về kiểm soát truy cập
Là một nhóm hướng người dùng, bao gồm các vấn đề nhận diện, xác thực
và cấp phép Các vấn đề an ninh của kiểm soát truy cập gồm cướp tài khoản và dịch vụ, vấn đề độc hại từ nội bộ, cơ chế xác thực, quyền truy cập và an ninh trình duyệt
2.3.1.4 Nhóm vấn đề về hạ tầng đám mây
Gồm các vấn đề an ninh, các cuộc tấn công tới SaaS, PaaS, IaaS và liên quan đến môi trường ảo hóa Một số vấn đề an ninh của nhóm này gồm giao diện API thiếu an toàn, chất lượng dịch vụ, lỗi công nghệ chia sẻ, độ bền của nhà cung cấp, cấu hình an ninh sai, kiến trúc đa thuê, vị trí máy chủ và sao lưu
2.3.1.5 Nhóm vấn đề về dữ liệu
Gồm các vấn đề liên quan đến an ninh dữ liệu như dự phòng dữ liệu, mất
và rò rỉ dữ liệu, vị trí dữ liệu, phục hồi dữ liệu, sự riêng biệt của dữ liệu, tính sẵn sàng của dữ liệu, bảo vệ dữ liệu…
Trang 30Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
2.3.2 Các nguy cơ hàng đầu về an ninh
Các nguy cơ an ninh có thể thay đổi tùy theo các mô hình dịch vụ hay các
mô hình triển khai đám mây Dưới đây là một số nguy cơ hàng đầu về an ninh trong điện toán đám mây được khảo sát vào cuối năm 2013 bởi CSA [25], xét theo các mô hình dịch vụ của đám mây
2.3.2.1 Nguy cơ vi phạm dữ liệu
Việc lấy cắp dữ liệu bí mật của một công ty, tổ chức luôn là một nguy cơ đối với bất kỳ cơ sở hạ tầng công nghệ thông tin nào, nhưng với điện toán đám mây thì nguy cơ này cao hơn Người dùng có thể sử dụng biện pháp mã hóa để giảm thiểu nguy cơ vi phạm dữ liệu, tuy nhiên khóa mã hóa cần phải được giữ cẩn thận Người dùng cũng có thể chọn giải pháp sao lưu (sao lưu offline) phòng trường hợp mất dữ liệu, nhưng vấn đề này đồng thời cũng làm tăng nguy cơ tiếp xúc với việc vi phạm dữ liệu
2.3.2.2 Nguy cơ mất dữ liệu
Với cả người tiêu dùng và doanh nghiệp thì mất những dữ liệu quan trọng
là nguy cơ nghiêm trọng Dữ liệu lưu trữ trên đám mây có thể bị mất do kẻ tấn công lấy cắp hoặc một vài nguyên nhân khác (bị xóa tình cờ, mất chìa khóa mã hóa dữ liệu hoặc thảm họa động đất, hỏa hoạn…)
2.3.2.3 Cướp tài khoản hoặc dịch vụ vận chuyển
Cướp tài khoản và dịch vụ cũng không phải là nguy cơ mới Phương pháp tấn công như lừa đảo, gian lận, các phần mềm khai thác… Việc sử dụng lại mật khẩu có thể làm tăng nguy cơ này, nếu kẻ tấn công được quyền truy cập vào thông tin của người dùng, họ có thể can thiệp vào các hoạt động, thao tác dữ liệu, giao dịch, trả về các thông tin giả mạo, chuyển hướng truy cập đến các trang độc hại Với các thông tin bị đánh cắp, kẻ tấn công có thể thường xuyên truy cập vào các khu vực quan trọng của dịch vụ điện toán đám mây, đe dọa tính bảo mật, toàn vẹn
và tính sẵn sàng của các dịch vụ này Các tổ chức cần phải nhận thức được các kỹ thuật đó cũng như thực hiện các chiến lược bảo vệ theo chiều sâu để hạn chế thiệt hại Các tổ chức cũng nên hạn chế việc chia sẻ thông tin tài khoản giữa các người dùng và sử dụng các kỹ thuật xác thực mạnh mẽ nếu có thể
Trang 31Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
2.3.2.4 Nguy cơ giao diện và các API không an toàn
Nhà cung cấp dịch vụ điện toán đám mây cung cấp một tập hợp các giao diện hay các API để người dùng quản lý, tương tác với dịch vụ đám mây của họ (dự phòng, quản lý tài nguyên…) trong khi tính bảo mật, tính sẵn dùng của điện toán đám mây nói chung lại phụ thuộc vào sự an toàn của các API cơ bản Nếu cơ chế kiểm soát truy cập và chứng thực không được thiết kế tốt thì rất dễ gặp các truy cập trái phép, độc hại Ví dụ như các truy cập nặc danh, sử dụng lại mật khẩu…Nguy cơ này tồn tại trên cả ba mô hình dịch vụ của điện toán đám mây
Để giảm thiểu nguy cơ này, cần phân tích mô hình an ninh của các giao diện nhà cung cấp dịch vụ, đảm bảo cơ chế xác thực và điều khiển truy cập mạnh mẽ kết hợp với mã hóa trong quá trình truyền và cần hiểu được liên kết phụ thuộc với các API
2.3.2.5 Tấn công từ chối dịch vụ (DoS)
Tấn công từ chối dịch vụ gây ra tình trạng quá tải của cơ sở hạ tầng, chúng
sử dụng lượng lớn tài nguyên hệ thống và không cho phép khách hàng sử dụng dịch vụ Có nhiều dạng của tấn công DoS có thể ngăn cản việc sử dụng điện toán đám mây Ví dụ, kẻ tấn công có thể khởi động cuộc tấn công DoS trên lớp ứng dụng bằng cách khai thác lỗ hổng bảo mật trong các máy chủ web, cơ sở dữ liệu hoặc các nguồn tài nguyên điện toán đám mây khác để lấp đầy các ứng dụng khác với tải trọng rất nhỏ Trải qua một cuộc tấn công từ chối dịch vụ cũng giống như tắc nghẽn giao thông trong giờ cao điểm: không có cách nào để đến được đích và không thể làm gì khác ngoại trừ ngồi và chờ đợi Với người dùng, ngừng dịch vụ không chỉ chống lại bạn, mà còn buộc bạn phải cân nhắc lại việc chuyển dữ liệu quan trọng lên đám mây để giảm chi phí cơ sở hạ tầng
2.2.2.6 Nguy cơ từ chính người dùng nội bộ
Hầu hết các tổ chức đã quen với các mối đe dọa từ bên trong (nội bộ), có thể là nhà cung cấp đám mây, khách hàng sử dụng đám mây hay bên thứ ba Nguy
cơ từ người dùng nội bộ thường gây ra thiệt hại lớn hơn so với các cuộc tấn công khác Theo CSA, ngay cả khi đã thực hiện mã hóa, nếu không giữ bí mật khóa thì vẫn dễ bị tấn công từ người dùng nội bộ
Trang 32Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
2.2.2.7 Nguy cơ lạm dụng dịch vụ điện toán đám mây
Một trong những lợi ích lớn nhất của điện toán đám mây là cho phép cả các
tổ chức dù nhỏ vẫn có thể sử dụng nguồn điện toán lớn Bên cạnh đó là quá trình đăng ký thuận lợi (chỉ cần có thẻ tín dụng hợp lệ có thể đăng ký và sử dụng ngay) Một số nhà cung cấp dịch vụ điện toán đám mây còn cho phép dùng thử dịch vụ miễn phí Nếu kẻ tấn công lợi dụng được thông tin ẩn sau quá trình đăng ký và sử dụng, người dùng có thể gặp các vấn đề về thư rác, botnet, trojan, phần mềm khai thác… Nguy cơ này thường tồn tại ở mô hình PaaS và IaaS của điện toán đám mây Vấn đề này đòi hỏi phải chặt chẽ trong việc xử lý đăng ký ban đầu và quá trình xác nhận; tăng cường phối hợp giám sát gian lận thẻ tín dụng; xem xét toàn
bộ giao thông mạng của khách hàng; giám sát danh sách đen trong mạng của mình
2.2.2.8 Nguy cơ do thiếu hiểu biết về an ninh thông tin
Để tiết kiệm chi phí và hưởng những lợi ích khác của điện toán đám mây, một số tổ chức vội vàng sử dụng dịch vụ này mà chưa có hiểu biết đầy đủ về các vấn đề an ninh khi sử dụng trong mô hình này Các tổ chức cần phải đánh giá một cách toàn diện, xem xét các hệ thống nội bộ của mình, chọn nhà cung cấp đám mây đủ tiềm năng, đào tạo nhóm người dùng quen với đám mây để hiểu đầy đủ các rủi ro trước khi chuyển sang mô hình mới này
2.2.2.9 Nguy cơ từ việc chia sẻ công nghệ
Nhà cung cấp IaaS cung cấp dịch vụ theo khả năng mở rộng bằng cách chia
sẻ cơ sở hạ tầng mặc dù các thành phần như CPU, GPU không được thiết kế để cung cấp các kiến trúc đa thuê và cơ chế cô lập mạnh mẽ Vấn đề chia sẻ công nghệ này tiềm ẩn nhiều nguy cơ an ninh Tổ chức CSA khuyến cáo sử dụng các biện pháp bảo mật sâu cho các ứng dụng, mạng, tính toán, lưu trữ, giám sát và thực thi bảo mật của người dùng
Phần tiếp theo của luận văn tập trung đi sâu về vấn đề bảo vệ dữ liệu trong điện toán đám mây
2.4 An ninh dữ liệu trong điện toán đám mây
Ngoại trừ đám mây riêng, với đám mây công cộng, đám mây lai… thì việc giao quyền kiểm soát cho một nhà cung cấp dịch vụ đám mây bên ngoài rõ ràng
Trang 33Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
là một nguy cơ đối với an ninh dữ liệu Người dùng đám mây phải dựa trên các nhà cung cấp dịch vụ đám mây để thực hiện các tính năng bảo vệ dữ liệu cá nhân trên đám mây
Một trong các đặc tính của điện toán đám mây là tài nguyên được chia sẻ, nghĩa là các tài nguyên bao gồm khả năng tính toán, lưu trữ, băng thông được ảo hóa và chia sẻ với nhiều người dùng khác Vì thế, việc bảo vệ dữ liệu bị giới hạn trên đám mây sẽ dẫn đến lo ngại vấn đề bảo mật so với công nghệ thông tin truyền thống
Những vấn đề đe dọa đến bảo vệ dữ liệu cũng có thể thay đổi tùy theo các mức dịch vụ đám mây Các tổ chức và cá nhân có thể có nhiều quyền kiểm soát
an ninh với dữ liệu của mình ở mức IaaS nhiều hơn so với các mức PaaS và SaaS Với người sử dụng IaaS, họ sẽ được quyền sử dụng các máy ảo và có thể thiết lập chính sách điều kiển bảo mật cho chính dữ liệu của họ, nghĩa là dữ liệu trong máy
ảo có thể được bảo vệ bởi chính người sử dụng đám mây Ở mức SaaS, người sử dụng có ít hoặc không có quyền kiểm soát cơ sở hạ tầng đám mây, mạng, hệ điều hành và lưu trữ, họ chỉ dựa vào chính sách bảo mật mà nhà cung cấp dịch vụ thiết lập
2.4.1 Một số vấn đề bảo vệ dữ liệu trong điện toán đám mây
Bảo vệ dữ liệu [11, 17] là vấn đề đứng đầu trong danh sách các thách thức của điện toán đám mây hiện nay Khả năng bảo mật của nhà cung cấp là chìa khóa
để thiết lập giá trị chiến lược, là xu hướng của điện toán đám mây
Theo Derek Tumulak, phó chủ tịch quản lý sản phẩm tại Vormetri: Mọi người đều muốn sử dụng điện toán đám mây do tiết kiệm chi phí và mô hình kinh doanh mới linh hoạt Nhưng khi nói đến an ninh đám mây, điều quan trọng là phải hiểu được mối đe dọa trong trường hợp khác nhau để vận dụng
Sau đây là một số thách thức phức tạp của an ninh dữ liệu trong điện toán đám mây:
2.4.1.1 Vấn đề bảo mật dữ liệu (data confidentiality)
Trang 34Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Phương pháp chung để bảo mật dữ liệu là mã hóa, tuy nhiên cần xem xét chọn chuỗi khóa và thuật toán mã hóa Khi mã hóa lượng lớn thông tin, cần lưu ý đến tốc độ xử lý dữ liệu và hiệu suất tính toán
2.4.1.2 Vị trí dữ liệu (data locatity)
Với mô hình SaaS, người dùng sử dụng phần mềm và công cụ của nhà cung cấp để xử lý dữ liệu của họ Khi đó, người sử dụng không biết dữ liệu của mình được lưu trữ và xử lý ở đâu Đôi khi đây không phải là vấn đề nghiêm trọng Nhưng với một số tổ chức kinh doanh thì vị trí của dữ liệu là rất quan trọng
Trong một số trường hợp, nhà cung cấp dịch vụ điện toán đám mây phải thực hiện yêu cầu phải tiết lộ dữ liệu của người dùng hoặc bàn giao thiết bị vật lý cho bên thứ ba hoặc cơ quan pháp luật Hoặc ở một số khu vực, việc xử lý, giao dịch dữ liệu cần phải trả phí Bên cạnh đó, một số khu vực địa lý cũng thường xuyên phải chịu các hiểm họa từ môi trường như động đất, lũ lụt…ảnh hưởng đến
sự an toàn dữ liệu Ví dụ như ở nhiều nước châu Âu, dữ liệu bí mật không được
lưu trữ ở nước khác
2.4.1.3 Toàn vẹn dữ liệu (data integrity)
Trong hệ thống phân tán, có nhiều cơ sở dữ liệu và ứng dụng cần quản lý Ứng dụng SaaS thường sử dụng API dựa trên XML Việc thiếu kiểm soát tính toàn vẹn có thể làm dữ liệu bị sai lệch, do đó, các nhà phát triển phải đảm bảo tính toàn vẹn của dữ liệu không bị tổn hại
2.4.1.4 Phân tách dữ liệu (data segregation)
Dữ liệu của người sử dụng được chia sẻ trên cùng vị trí lưu trữ vật lý, điều này dễ dẫn đến xâm nhập dữ liệu Kẻ tấn công trong một cuộc tấn công đơn lẻ có thể truy cập vào lượng thông tin bí mật của nhiều tổ chức khách hàng, lấy được lượng thông tin phong phú Nếu không có cơ chế cách ly dữ liệu của những người dùng khác nhau thì khả năng bị xâm phạm dữ liệu là rất cao
2.4.1.5 Truyền dữ liệu
Với vấn đề truyền dữ liệu, có một số lo ngại chung về an ninh, dữ liệu được truyền tới đám mây thông qua mạng công cộng (thường là Internet) khi sử dụng đám mây công cộng Để bảo vệ dữ liệu trên đường truyền, cần thuật toán mã hóa
Trang 35Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
đủ mạnh (mã hóa dữ liệu nhận được ở máy chủ, sau đó giải mã, xử lý rồi lại được
mã hóa trên máy chủ rồi mới gửi đi) và các giao thức sử dụng để truyền dữ liệu
có tính bảo mật cũng như tính toàn vẹn (ví dụ HTTPs, FTPs) Khi dữ liệu được chuyển giao giữa các nước khác nhau, cũng cần xem xét những vấn đề tuân thủ các quy định riêng khác nhau, ví dụ thỏa thuận Safe Harbor để truyền dữ liệu giữa châu Âu và Mỹ [12]
2.4.1.6 Truy cập dữ liệu
Trong điện toán đám mây, chính sách an ninh nên được thiết kế với mục đích kiểm soát quyền truy cập dữ liệu của các đối tượng sử dụng, nên đảm bảo rằng dữ liệu chỉ được truy cập bởi người được phân quyền, ngăn chặn truy cập trái phép Một số đối tượng dữ liệu nên được trao quyền để xử lý dữ liệu trong đám mây một cách sẵn sàng Mặt khác, một số bên khác (vụ trong một số trường hợp bao gồm cả nhà cung cấp dịch vụ), không nên có quyền truy cập vào dữ liệu của khách hàng Tuy nhiên khá khó khăn cho các nhà cung cấp SaaS và PaaS để thiết lập một cơ chế truy cập đáng tin cậy và hiệu quả, do thiếu công nghệ và chịu trách nhiệm phát triển bảo mật Một ví dụ là Google Docs trục trặc riêng tư và lỗi
về kiểm soát truy cập trong năm 2009 [23]
Ngoài ra, như sự bùng nổ của điện toán đám mây trong cuộc sống hàng ngày, mọi người đang chuyển lượng lớn dữ liệu cá nhân lên đám mây, mà đã tạo
ra bộ dữ liệu khổng lồ mà có thể sẽ được sử dụng cho quảng cáo và phân tích dữ liệu Ví dụ, Google về cơ bản là khai thác dữ liệu giá rẻ khi trả về kết quả tìm kiếm Bên cạnh đó, Google sử dụng dịch vụ điện toán đám mây của mình để thu thập và phân tích dữ liệu của khách hàng cho mạng quảng cáo của mình Trong trường hợp này, người tiêu dùng chỉ có thể kiểm soát dữ liệu của họ bởi các thỏa thuận bảo mật, an ninh được quản lý bởi Google
2.4.1.7 Tuân thủ pháp luật
Luật pháp thường không theo kịp sự phát triển của công nghệ, điện toán đám mây lại là một mô hình mới trong lĩnh vực công nghệ thông tin, chưa có luật hay tiêu chuẩn xác định yêu cầu tuân thủ bảo mật trong đám mây Các quy định hiện hành không phải lúc nào cũng áp dụng đối với việc bảo vệ sự riêng tư trong
Trang 36Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
đám mây Hơn nữa, đám mây có thể thông qua nhiều khu vực có pháp lý khác nhau, dữ liệu có thể lưu ở nhiều quốc gia và khó xác định quốc gia nào có thẩm quyền để điều chỉnh dữ liệu khách hàng
2.4.1.8 Việc xóa dữ liệu
Dữ liệu lưu trên máy chủ từ xa, người sử dụng không có quyền truy cập vật
lý nên việc xóa dữ liệu cũng có thể là một nguy cơ đối với an ninh dữ liệu Vấn
đề chính trong việc xóa dữ liệu là làm thế nào để đảm bảo rằng dữ liệu đã hoàn toàn bị hủy bỏ một cách an toàn Để đảm bảo tính sẵn sàng cao, các nhà cung cấp dịch vụ thường tạo các bản sao chép của dữ liệu và chuyển lên đám mây, vì thế khó để xóa hoàn toàn dữ liệu mà không lưu lại dấu vết nào Hơn nữa, các nhà cung cấp dịch vụ có thể chỉ cần làm cho dữ liệu không tiếp cận được với khách hàng và giữ chúng lại để sử dụng cho mục đích riêng Do vậy, bên cạnh một lược
đồ xóa dữ liệu an toàn thì cũng cần một cơ chế tin cậy cho việc xóa dữ liệu
2.4.2 Giải pháp bảo vệ dữ liệu cho điện toán đám mây
Trong phần này, ta sẽ tìm hiểu về giải pháp giảm nhẹ nguy cơ về an ninh
dữ liệu trên đám mây [10] nhằm hạn chế các nguy cơ, hướng tới sự an toàn tốt nhất khi làm việc trên đám mây Để hạn chế được các nguy cơ này, các cá nhân,
tổ chức sử dụng đám mây cần thực hiện theo các khuyến nghị sau:
2.4.2.1 Đảm bảo an ninh dữ liệu trên đám mây
Xác định các yêu cầu an ninh của tổ chức và các yêu cầu an ninh đối với
dữ liệu trên đám mây; tiến hành chọn nhà cung cấp điện toán đám mây phù hợp với yêu cầu của tổ chức; quản lý rủi to liên quan đến việc sử dụng các dịch vụ điện toán đám mây Nên chọn nhà cung cấp dịch vụ đám mây có uy tín, có chính sách hỗ trợ người dùng và chính sách an ninh (như xác thực, phân quyền…hỗ trợ
mã hóa dữ liệu phía server) tốt
2.4.2.2 Hiểu các mối đe dọa trong đám mây
Đánh giá các mối đe dọa đến tài sản thông tin trong đám mây, các mối đe dọa đến nhà cung cấp điện toán đám mây bao gồm cả các mối đe dọa vào người dùng khác trên đám mây để sử dụng hợp lý Mặt khác, người sử dụng đám mây phải nhận thức được rằng những điểm yếu nhất của an ninh dữ liệu thường đến từ
Trang 37Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
chính người sử dụng chứ không phải chỉ từ phía nhà cung cấp dịch vụ Khi tham gia vào môi trường điện toán đám mây, người sử dụng nên thực hiện tốt các biện pháp an ninh theo thông lệ: đặt và sử dụng mật khẩu, không sử dụng lại mật khẩu
ở các dịch vụ khác nhau cũng như xác thực hai nhân tố để giảm thiểu rủi ro
2.4.2.3 Mã hóa dữ liệu
Nếu dữ liệu cần phải được giữ bí mật với nhà cung cấp dịch vụ đám mây thì cần phải thực hiện mã hóa trước khi chuyển dữ liệu lên đám mây và khóa mã hóa cần được quản lý riêng biệt với nhà cung cấp dịch vụ đám mây (vì nhà cung cấp dịch vụ có quyền truy cập vào dữ liệu) Xem xét những hạn chế về pháp lý hoặc những yêu cầu trong việc sử dụng mã hóa ở phạm vi quản lý của các nhà cung cấp đám mây cụ thể
2.4.2.4 Đánh giá việc cách ly dữ liệu giữa những người dùng của nhà cung cấp dịch vụ đám mây
Mã hóa có thể bảo vệ dữ liệu lưu trữ trên đám mây nếu nhà cung cấp dịch
vụ có thể chứng minh khả năng quản lý khóa đảm bảo an ninh Đánh giá các cơ chế cách ly dữ liệu của nhà cung cấp dịch vụ điện toán đám mây khi không được
mã hóa
2.4.2.5 Đánh giá cam kết hủy dữ liệu trên đám mây
Vấn đề an ninh khi xóa dữ liệu thường không khả thi Chọn thuật toán mã hóa mạnh có thể được chấp nhận là giải pháp thay thế cho việc xóa an toàn Người dùng cũng có thể yêu cầu nhà cung cấp dịch vụ xóa dữ liệu theo các tiêu chuẩn quy định với từng loại dữ liệu như UK, HMM Information Assurance Standard 5 hoặc tiêu chuẩn NIST Special Publication 800-88 ở Mỹ [14]
2.4.2.6 Xác định các vị trí địa lý, nơi sẽ lưu trữ, xử lý và truyền dữ liệu
Tuân thủ các luật định và quy định về việc sử dụng điện toán đám mây với từng vị trí địa lý của dữ liệu Một số rủi ro khác (như môi trường, chính trị, kinh tế…) cũng sẽ thay đổi theo vị trí địa lý, vì thế cần phải lưu ý tới vị trí của dữ liệu
2.4.2.7 Đánh giá hiệu quả giám sát việc bảo vệ dữ liệu
Trang 38Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Hoạt động truy vết với cá nhân người dùng có thể không khả thi khi không kết hợp giữa người dùng và nhà cung cấp dịch vụ Đánh giá năng lực các nhà cung cấp và tự giác giám sát thông tin cũng là một hình thức bảo vệ trong các đám mây
2.5 Các thuật toán mã hóa dữ liệu lưu trữ cho điện toán đám mây
Khi nói đến mã hóa dữ liệu, các nhà cung cấp điện toán đám mây vẫn còn một con đường dài phía trước Alex Staomos là một nhà nghiên cứu của iSec Partners năm 2009 đã tuyên bố rằng điện toán đám mây nên được tiếp cận từ góc
độ mật mã
Các thuật toán mã hóa cần phải đáp ứng một số yêu cầu về tính hiệu quả trong việc chuyển đổi bản rõ thành bản mã cũng như trong giải mã và bản mã phải chịu được các cuộc tấn công
Dưới đây, luận văn sẽ giới thiệu hai thuật toán mã hóa thường sử dụng trong điện toán đám mây là thuật toán mã hóa RSA và AES Trong đó, AES là thuật toán mã hóa cho đến nay được sử dụng phổ biến nhất trong lĩnh vực bảo vệ dữ liệu điện toán đám mây
2.5.1 Thuật toán RSA
2.5.1.1 Mô tả thuật toán
Hệ mật RSA được phát minh bởi Ron Rivest, Adi Shamir và Len Adleman
và được Scientific American công bố lần đầu tiên vào năm 1977 [7]
Hệ mật RSA được sử dụng để bảo mật và đảm bảo tính xác thực của dữ liệu số Hiện nay RSA được sử dụng trong hệ thống thương mại điện tử, các dịch
vụ web server và web browser RSA còn được sử dụng để đảm bảo tính xác thực vào bảo mật của email, đảm bảo an toàn cho các phiên truy cập từ xa và là bộ phận quan trọng của hệ thống thanh toán thẻ tín dụng Như vậy ta có thể thấy rằng RSA thường được sử dụng trong các ứng dụng cần đảm bảo sự an toàn và bảo mật dữ liệu số cao
Hệ mật RSA bao gồm bộ P,C,K,D,E Trong đó:
1 P là tập các bản rõ
2 C là tập các bản ký tự mã
Trang 39Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
3 K là tập các khóa k, mỗi khóa k gồm hai phần: '
k là khóa công khai dành cho việc lập mã, còn ''
k là khóa bí mật dành cho việc giải mã
4 Với mỗi bản rõ xP, thuật toán lập mã E cho ta ký tự mã tương ứng
Cho n p.q trong đó p, q là các số nguyên tố lớn phân biệt nhau sao cho độ dài của hai số này là gần nhau nhất có thể được
Đặt: PCZ n và định nghĩa k n,p,q,a,b:ab 1mod n
- Mã hóa: e k x x b modn
- Giải mã: d k y y amodn
Trong đó x,yZ n
Các giá trị n, b công khai còn các giá trị p ,,q a được giữ bí mật
Ta sẽ kiểm xem các phép mã hóa và giải mã có phải là các phép toán nghịch đảo của nhau hay không?
Vì ab 1 mod n nên ta có abt n 1 với một số nguyên bất kỳ t 1 Giả
sử có xZ n khi đó ta sẽ xét hai trường hợp
a Trường hợp
1 mod 1
Giả sử d p, khi đó xhp với 0 hq và h,n 1
Suy ra:y amodn x b amodnh abmodnp abmodnmodn Do h,n 1 nên
p q p
pq p
p. p q mod Vậy y amodnhpmodnhp x
Trang 40Số hóa bởi Trung tâm Học liệu và Công nghệ thông tin – ĐHTN http://lrc.tnu.edu.vn
Ví dụ: Alice muốn gửi một thông báo cho Bob, hai bên sẽ thiết lập các tham
Giả sử Bob chọn b 3533, khi đó theo thuật toán Euclidean mở rộng ta có:
11200 mod 6597
mod
Rồi gửi bản mã 5761 trên kênh truyền Khi Bob nhận được bản mã 5761, anh ta sẽ sử dụng khóa bí mật để tính: 57616597mod 11413 9726
2.5.1.2 Độ an toàn của thuật toán RSA
Hệ mật RSA chỉ được an toàn khi giữ bí mật khóa giải mã a và thừa số nguyên tố p, q (hay giữ bí mật n )
Trường hợp biết được p, q thì Marvin dễ dàng tính được n p 1q 1 Khi đó Marvin sẽ sử dụng thuật toán Euclidean mở rộng để tínha
Khi biết a thì toàn bộ hệ thống sẽ bị phá vỡ ngay lập tức Vì khi biết a, toàn bộ khóa K đều được biết và Marvin sẽ giải mã được và sẽ đọc được nội dung của bản rõ, Ngoài ra Marvin có thể lập mã trên văn bản khác là cực kỳ nguy hiểm Tuy vậy việc phân tích này là bài toán khó trong trường hợp p, q đủ lớn, và độ an toàn của hệ mật sẽ phụ thuộc vào việc phân tích số nguyên n thành tích của hai thừa số nguyên tố lớn [6, 7]
2.5.2 Thuật toán AES