BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM - PHẠM LIỆU NGHIÊN CỨU CÁC VẤN ĐỀ AN NINH CỦA TR NG T Ệ VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ KỸ THUẬT Chuyên ngành: CÔNG NGHỆ THÔNG TIN Mã ngành: 60480201 TP HỒ CHÍ MINH, tháng 11 năm 2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM - PHẠM LIỆU NGHIÊN CỨU CÁC VẤN ĐỀ AN NINH CỦA TR NG T Ệ VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ KỸ THUẬT Chuyên ngành: CÔNG NGHỆ THÔNG TIN Mã ngành: 60480201 CÁN BỘ HƯỚNG DẪN KHOA HỌC:TS Đ NG TRƯỜNG SƠN TP HỒ CHÍ MINH, tháng 11 năm 2017 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM Cán hướng dẫn khoa học : TS Đặng Trường Sơn Luận văn Thạc sĩ bảo vệ Trường Đại học Công nghệ TP HCM ngày 19 tháng 11 năm 2017 Thành phần Hội đồng đánh giá Luận văn Thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị Hội đồng chấm bảo vệ Luận văn Thạc sĩ) T Họ tên Chức danh Hội đồng T PGS.TS Võ Đình Bảy Chủ tịch PGS.TS Vũ Đức Lung Phản biện TS Văn Thiên Hoàng Phản biện TS Cao Tùng Anh Ủy viên TS Vũ Thanh Hiền Ủy viên, Thư ký Xác nhận Chủ tịch Hội đồng đánh giá Luận sau Luận văn sửa chữa (nếu có) Chủ tịch Hội đồng đánh giá LV TRƯỜNG ĐH CƠNG NGHỆ TP HCM CỘNG HỒ XÃ HỘI CHỦ NGHĨA V ỆT NAM VIỆN ĐÀ TẠ SA ĐẠI HỌC Độc lập - Tự - Hạnh Phúc TP HCM, ngày 19 Tháng 11 năm 2017 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Phạm Liệu Giới tính: Nam Ngày, tháng, năm sinh: 17/08/1979 Nơi sinh: Quảng Ngãi Chuyên ngành: Công Nghệ Thông Tin MSHV: 1541860014 I- Tên đề tài: Nghiên Cứu Các Vấn Đề An Ninh Của Trung Tâm Dữ Liệu Ảo Và Ứng Dụng II- Nhiệm vụ nội dung: Nghiên cứu vấn đề an ninh Trung tâm liệu ảo Sau xây dựng thử nghiệm Trung tâm liệu ảo cho Trường Đại Học III- Ngày giao nhiệm vụ: 11/04/2017 IV- Ngày hoàn thành nhiệm vụ: 22/08/2017 V- Cán hướng dẫn: TS Đặng Trường Sơn CÁN BỘ HƯỚNG DẪN (Họ tên chữ ký) KHOA QU N LÝ CHUYÊN NGÀNH (Họ tên chữ ký) -i- Ờ CA Đ AN Tôi xin cam đoan nghiên cứu trình ày luận văn hồn tồn tơi viết, kết nêu luận văn trung thực, khơng vi phạm điều luật sở hữu trí tuệ pháp luật Việt Nam Trong q trình làm luận văn tơi có tham khảo tài liệu có liên quan ghi rõ nguồn tài liệu tham khảo Nội dung luận văn chưa trình bày hồn chỉnh luận văn khác Tác giả luận văn Phạm Liệu - ii - Ờ C ƠN Đầu tiên, xin gởi lời tri n s u s c đến Thầy TS Đặng Trường Sơn, người thầy tận tình hướng ẫn động viên su t thời gian học tậ , nghiên cứu thực luận văn Xin cám ơn Giảng Viên Khoa Công nghệ Thông tin, Trường Đại học Công Nghệ TP.HC giảng dạy, truyền đạt kiến thức cho thời gian học chương trình Cao học Trường Xin cảm ơn ThS Lâm Vi Qu c Hưng Trưởng phòng IT Trường Đại Học Nguy n Tất Thành h trợ, động viên tơi q trình thực luận văn Cu i c ng, mu n ày t l ng iết ơn s u s c đến gia đình ln m tựa vững ch c tiế thêm nghị lực gi tơi hồn thành t t luận văn T HC , ngày 19 tháng 11 năm 2017 Tác giả luận văn Phạm Liệu - iii - TÓM TẮT n , n n c n n hệ h n in n h i iđ n h i nv i c độ nh nh ch n v mặt s lượn cũn đ dạng v liệu Nhi u c n n hệ cũ đ d n h nhi ặ hạn ch v đ c n n hệ ả h c c n đại học l n h n c n h hợ v i nh c iải h i n S h c c dịch vụ sinh viên, đ - Tậ n h - Chi hí đ - Q ản ị ậ n - nh n hiệ cũn liệ củ họ ch T n Đại học hỗ trợ: - n ưởn ch c c d dựn T n Xây dựng Trung tâm liệu ả h hạ l hực i n nữ v q ản l đ ạn hấ n v đơn iản c n n hệ, n n c chấ lượn v ín n Đại học Luận văn bao gồm ph n: Tổn q n c c c n n hệ ả h Phân tích n v ch , s ch ả ả ậ củ T n ậ như: ả ả ậ c c h nh h n ả h ả ậ h c như: nhằ v ục đích T ình q q ả v đ nh i ình củ c c h n VMw e, Mic s f , Cisc liệ ả , đ đư ậ l ả h h c S n v iđ l , ả ậ dựn ộ T n dựn T n h liệ v hợ nhi c hực, Fi ew ll, SSL-VP , c n ằn iải h ải,… Tấ liệ ả đạ độ n liệ ả c c nc n hiệ , phân tích - iv - ABSTRACT Nowadays, information technology in the world is developing rapidly in terms of quantity and variety of data Old technologies has gradually shown many limitations and no longer fit the practical needs So virtualization is the ideal solution for businesses as well as universities in building their Data Center Building Virtualized Data Center for University will support: - Digitize the student services, training and training management - Centralized network infrastructure - Low investment cost - Centralized and simplified administration - Improve technologies, enhance the Unive si ’s es i e The thesis consists of three parts: Overview of virtualization technologies from three vendors: VMware, Microsoft, Cisco Analyze the security risks of the Virtual Data Center, thereby introducing security mechanisms and policies such as: virtualization layer security, data warehouse security, and other virtualization component security But with a combination of other security solutions such as authentication, Firewall, SSL-VPN, load balancing All those aim at building the high secure virtual data center Present the process of building the exprimental Virtual Data Center, it analyzing and evaluating -v- ỤC ỤC LỜ C ĐO N i LỜ CẢ N .ii TÓM TẮT iii ABSTRACT iv ỤC LỤC v D NH ỤC KÝ H ỆU, TỪ V ẾT TẮT viii D NH ỤC HÌNH VẼ / BẢNG x CHƯ NG T NG U N V C C CÔNG NGHỆ ẢO HO 1.1 Giới thiệu cơng nghệ ảo hóa 1.1.1 Hypervisor Type (Bare-Metal Hypervisor) 1.1.2 Hypervisor Type (Hosted Hypervisor) 1.2 Cơng nghệ ảo hóa V ware 1.2.1 Kiến tr c V ware ESX ESXi 1.2.2 ột s cơng nghệ h trợ ảo hóa V ware 10 1.3 Cơng nghệ ảo hóa icrosoft 16 1.3.1 Kiến tr c Hy er-V 16 1.3.2 ột s công nghệ h trợ ảo hóa Hy er-V 19 1.4 Các cơng nghệ ảo hóa hạ tầng mạng Cisco 30 1.4.1 VLAN (Virtual Local Area Network) 31 1.4.2 GRE (Generic Routing Encapsulation) 32 1.4.3 VRF (Virtual Routing and Forwarding) 34 1.4.4 MPLS (Multi-Protocol Label Switching) 36 1.5 Giới thiệu s cơng nghệ ảo hóa khác 37 1.5.1 KVM Hypervisor 37 1.5.2 Citrix XEN Hypervisor 38 1.5.3 OpenVZ 39 - vi 1.5.4 ột s cơng nghệ ảo hóa ng Hy ervisor Ty e-2 39 1.5.5 Giới thiệu ự án O enStack 39 1.6 Ứng ụng cơng nghệ ảo hóa x y ựng Trung t m ữ liệu 40 CHƯ NG CH NH S CH N N NH CHO TRUNG T D L ỆU ẢO 43 2.1 Những nguy ảo mật Trung t m ữ liệu ảo 43 2.1.1 Nguy công vào lớ Hy ervisor 43 2.1.2 Tấn công Guests (máy ảo) từ giao iện quản trị Hy ervisor 45 2.1.3 Nguy công lớ Hy ervisor từ máy Guest 45 2.1.4 Nguy công mạng L N ảo 48 2.1.5 Nguy công thiết ị lưu trữ ảo 49 2.1.6 Các nguy ảo mật khác 50 2.2 Các chế sách ảo mật cho hệ th ng ảo hóa 52 2.2.1 Cô lậ máy chủ ảo (Guest OS solation) 53 2.2.2 Giám sát máy chủ ảo (Guest OS onitoring) 54 2.2.3 Bảo mật Image Snapshot 54 2.2.4 Bảo mật máy chủ ảo hóa (Hy ervisor security) 55 2.2.5 Bảo mật máy chủ ảo (Guest OS) 57 2.2.6 Bảo mật hạ tầng ảo hóa (Virtualize nfrastructure Security) 58 2.3 n ninh ảo mật cho trung t m ữ liệu 59 2.3.1 Firewall cho Trung t m ữ liệu ảo 59 2.3.2 Các chức ản Firewall 60 2.3.3 Các chức mở rộng Firewall 60 2.3.4 Hệ th ng PS cho Trung t m ữ liệu ảo 61 2.3.5 Hệ th ng Secure We Gateway cho Trung t m ữ liệu ảo 62 2.3.6 Các giải há tri n khai an ninh mạng cho trung t m ữ liệu 62 2.4 An toàn truy cậ ằng xác thực hai yếu t RS Secur D 65 2.4.1 Các thành hần RS Secur D 66 2.4.2 RSA SecurID Authenticators 67 2.4.3 RSA Authentication Agent 67 - 99 - 3.5.3 C i đặt c u hình hệ th ng giám sát c nh báo System Center 2012 – Operations Manager (SC-OM): cung cấp giải pháp giám sát toàn diện cho Trung tâm liệu Tất thông tin giám sát cấu hình hợp Dashboard Operations Manager cung cấ khả năng: - Host Monitoring: theo dõi tình trạng sức kh e Host (máy tính, thiết ị, máy ảo, ) như: CPU, RAM, đĩa cứng, car mạng, ăng thơng mạng,… - Storage Monitoring: theo õi tình trạng sức kh e như: ung lượng ng, ung lượng c n lại, tính trạng hoạt động,… Storage Pools, File Share LUN (Logical Unit Number – đĩa cứng SCS , S N) - Network Monitoring: giám sát mạng hi n thị tình trạng Node mạng vật lý mạng local - Application Monitoring: giám sát ịch vụ ứng ụng hoạt động máy chủ thiết ị - Alert and Notification: cảnh áo Dashboard qua hương tiện khác như: Email, S S, messenger CSO cho thiết lậ cảnh báo theo điều kiện đặt trước - Audit and Report: th ng kê lậ áo cáo kiện - Web console: cho phép cấu hình quản trị qua We inh họa việc cài đặt cấu hình System Center 2012 – Operations Manager: - Chuẩn ị máy chạy Win ows Server 2012, cài đặt S có SP.NET v4, ISAPI and CGI Restrictions S L Server (có th ng S L Ex ress) - Cài đặt System Center 2012 – Operations Manager - Cài đặt Operations Manager Agent lên Server cần giám sát Agent có th cài trực tiế lên host deploy ằng công cụ Administration SCO - Sử ụng Operations Manager Console đ thực tác vụ Discovery, Moni in , le , C ns le,…trên Targets (gồm Agents No e khác ằng giao thức S NP W ) - 100 - 3.5.4 Tri n khai sách an ninh Trung tâm d liệu o hóa 3.5.4.1 Triển khai sách an ninh lớp ảo hóa  Kích hoạt Windows Auto Update: tất Hyper-V Servers Guest OS Hình 17 Kích hoạt Windows Auto-Update  Tu n thủ quy t c cô lậ máy chủ ảo (Guest OS isolation): o i tạo máy chủ ảo, hải cấu hình Network Adapter máy ảo theo VL N Switch ảo ng chung VL N với máy chủ ảo khác c ng hệ th ng Hình 18 Cấu hình VLAN cho k t n i mạng Guest OS o Cấu hình thêm VL N tương đương Switch thật  Sử ụng Bit-looker drive ổ đĩa thực ảo (VHD / VHDX) cơng nghệ mã hóa truy cậ ổ đãi Microsoft - 101 - o Add Feature “BitLocker Drive Encryption” máy chủ Hy er-V o “Disk Management”  Attach file VHD / VHDX o Right click ổ đĩa Attach chọn “Turn on BitLocker” Hình 19 Kích hoạt bảo vệ ổ đĩ o Thiết lậ ằng BitLocker drive ảo vệ truy cậ ổ đĩa ằng Password (Use a password to unlock the drive)  Sử ụng System Center 2012 Endpoint Protection (SC-EP): o Trên máy System Center Configuration Manager (SC-CM), thêm role “Endpoint Protection” (tại “Administration  Servers and Site System Roles) o Từ Configuration Manager Console, mở t y chọn “Client Software Updates”  ổ sung thêm “Endpoint Protection” Sau đó, thực “Synchronize Software Updates” đ đồng ộ “Endpoint Protection” lên Clients (các server thật ào) o Sử ụng “Automatic Deployment Rule” (trong Software Library  Software Updates) đ tạo Rules tri n khai sách “Endpoint Protection” xu ng Clients như: Anti-malware Policies cho Windows Defender, Windows Firewall u ate ản vá l i KBxxxx,… Hình 20 Minh họa tri n khai update cho Windows Defender - 102 - 3.5.4.2 Triển khai sách bảo mật truy cập hệ thống Firewall, IPS Các Firewall hệ quản trị luật truy cập (Access Rules) dựa đ i tượng (Objects), hướng luồng liệu (Direction), dịch vụ (Services / Ports), nội dung liệu (file type),… Các sách ảo mật Firewall cho Trung t m ữ liệu ảo Trường Đại học ản ao gồm:  Objects: o Đảm ảo tất đ i tượng như: Host, User, Group, Service, IP address, IP range, Netw ,… hải tạo xác theo nhu cầu o Tích hợ Active Directory đ quản trị đ i tượng Computer, User, Group thuận tiện  Access Rules: o Tu n thủ quy t c: cấm truy cậ tất - cho mu n o Thường xuyên ki m tra loại rules thừa, không c n sử ụng o Ghi log tất rules  Virtual Host: o Chỉ cấ truy cậ từ W N vào Server nội ộ theo ịch vụ cụ th theo nhu cầu o Tuyệt đ i không cấ truy cậ All port cho Virtual Host  Deny of Service (DoS): thiết lậ s h ng ch ng DoS truyền th ng SYN flood, UDP flood, TCP flood, ICMP flood, ARP flood,… ằng cách hủy (dropped) gói tin tần suất gói tin vượt ngưỡng cho , ao gồm: o Tần suất gói tin xuất hát từ nguồn (Packets rate per source) o Tần suất gói tin gởi tới đích (Packets rate per destination)  IPS: o Thiết lậ sách nhận ạng h ng ch ng ấu hiệu công mạng theo mặc định nhà sản xuất o Kích hoạt PS cho kết n i L N-to-DMZ, LAN-to-W N,,… - 103 - o Bật chế độ auto update cho IPS  Anti-virus anti-spam: o Cấu hình Anti-virus cho luồng ữ liệu HTTP, ail, FTP, essenger o Cấu hình Anti-spam theo tần gởi / nhận mail, theo Sender, theo Subject, theo ung lượng file kèm,…  Authentication: o Chỉ cấ truy cậ we quản trị Firewall ằng tài khoản firewall (không nên ng tài khoản Active Directory) o Tạo VPN Group đ cấ truy cậ VPN (SSL hay PSec) 3.5.4.3 Triển khai sách bảo mật truy cập Core itch Multi-layer Core Switch dùng kết n i định tuyến (routing) VLAN mạng thật mạng ảo Sử dụng ACL (Access list Control) đ kh ng chế truy cập VLAN phần khơng th thiếu sách bảo mật Trung tâm liệu ảo hóa Cấu hình h ng ch ng DHCP spoofing ARP spoofing Core Switch: Lệnh Ý nghĩa ip dhcp snooping vlan vlan- Kích hoạt DHCP Snooping dãy range VLAN interface interface-id Xác định cổng kết n i với DHCP server ip dhcp snooping trust tin tưởng (trust) ip arp inspection vlan vlan- Kích hoạt APR Snooping dãy range VLAN interface interface-id Xác định cổng hát RP tin tưởng (cổng ip arp inspection trust n i DHCP server) Các sách ảo mật ằng CL Core Switch:  Ưu tiên ng hương thức truy cậ qua SWG U G thay cho routing VL N - 104 -  Sử ụng Standard ACL đ ngăn chặn triệt đ traffic VL N khơng có nhu cầu giao tiế Chẳng hạn:  o Ngăn chặn VL củ G es OS vào VL củ e -V o Ngăn chặn VL củ G es OS vào VL củ Unified ccess o Ngăn chặn VL củ Unified Access vào VL củ e -V Sử ụng External ACL đ cho có giới hạn truy cậ VL N Chẳng hạn: o Chỉ cấ truy cậ Guest OS System Center ằng giao thức chứng thực quản trị máy chủ ảo (SC-VMM) o Chỉ cấ truy cậ mạng Office client Hyper-V hục vụ ịch vụ Application Virtualization o Chỉ cấ We , truy cậ mạng Firewall Guest OS cho ịch vụ ail, SSH, FTP,… t y theo nhu cầu o Chỉ cấ truy cậ mạng Firewall Hyper-V cho ịch vụ HTTP, HTTPS hục vụ quản trị từ xa 3.5.4.4 Triển khai L VPN SSL VPN có th tri n khai Firewall Forefront Unified Access SSL VPN Firewall dành cho người quản trị Trung tâm liệu ảo hóa từ xa truy cập vào Hyper-V mạng khác bên SSL VPN Forefront Unifie ccess gọi Secure Socket Tunneling Protocol (VPN-SSTP) dành cho người quản trị máy chủ ảo người dùng Desktop Virtualization, Application Virtualization  Cấu hình SSL VPN Cyberoam Firewall: o Truy cậ vào giao iện Cyberoam Web Console o Tạo Group Object, cấ quyền SSLVPN cho Grou o Tạo User Object, đặt password, đưa vào VPN group tạo o Vào mục “VPN  SSL” điều chỉnh thông s IP address, Subnet, - 105 - Network name, CA (Certificate Authority),… SSL VPN o Vào mục “Firewall  Rules”, thiết lậ rule cho kết n i SSL VPN Network tới Hyper-V Network o Người quản trị từ xa sử ụng công cụ Cyberoam SSL VPN Client đ truy cậ vào mạng  Cấu hình SSL VPN Forefront Unified Access: o Cài đặt C (Certificate Authority) Forefront o Cấu hình VPN ao gồm: Tunneling IP range¸ VPN Group, kích hoạt giao thức SSTP cho VPN o Tạo Web Listener protocol cho SSTP (port 443 – HTTPS) mở External interface Đặt C cài vào rotocol o Tạo Network Rule cho ROUTE mạng VPN-SSTP Internal network (mạng Hyper-V servers) o Tạo Access Rule cho mạng VPN-SSTP truy cậ vào Internal network  Kết n i SSL VPN từ máy client xa ( ng Win ows o Nếu VPN Server dùng C nội ộ (tự tạo) người trở lên): ng hải truy cậ vào CA server web, tải C import vào anh sách tin tưởng o Tạo kết n i VPN với server Sử ụng giao thức “Secure Socket Tunneling protocol (SSTP)” cho kết n i VPN Hình 21 K t n i VPN giao thức SSTP - 106 - 3.6 C thử nghiệ Bản thiết kế Trung tâm liệu ảo hóa tri n khai phần Trường Đại học Nguy n Tất Thành Hệ th ng đá ứng t t tiêu chí Trung tâm liệu ảo mặt an ninh Hệ th ng tiến hành s thử nghiệm: 3.6.1 Thử nghiệm tính sẵn sàng cao (High availability)  Thử nghiệm shutdown máy chủ Hyper-V: o Tất máy Guest OS hoạt động máy ị fail tự đơng kích hoạt lại máy chủ c n lại o Thời gian down-time ki m chứng đến gi y máy chủ ị fail kết n i hoàn toàn  Thử nghiệm t t điện đột ngột Core Switch: o Tất máy tính, thiết ị ên vDataCenter giao tiế mạng ình thường, khơng gián đoạn o Các truy cậ ịch vụ từ ngồi vào vDataCenter khơng gián đoạn  Thử nghiệm t t điện đột ngột Firewall-1: o Các session từ ên qua Firewall-1 ị mất, hải restart lại o Các session từ ên vào qua Firewall-1 ị mất, hải refresh lại o Các truy cậ từ vào hệ th ng có th ị elay thời gian ng n (khoảng – gi y) o ịch vụ h n giải tên lựa chọn lại IP address “c n s ng” (theo thuật toán Round robin) Firewall-2 o Nhìn chung, hệ th ng tiế tục hoạt động qua Firewall-2 3.6.2 Thử nghiệm tính b o m t  Sử ụng cơng cụ Nexpose đ tìm m yếu (vulnerability) máy chủ Hyper-V Kết quả: không hát m yếu (auto-update fix tất - 107 - m yếu mà Microsoft iết)  Thử nghiệm ché tậ tin đĩa cứng ảo (vh x) l đặt vào máy ảo khác Kết quả: Không truy xuất ữ liệu khơng có password  Sử ụng cơng cụ nmap đ thực scan port từ mạng Kết quả: o Quá trình scan thực 60 gi y o Tất luồng ữ liệu từ mạng nơi scan vào Trung t m ữ liệu ị drop h t (đ y giá trị thiết lậ Cyberoam Firewall)  Sử ụng công cụ Hping3 đ thực DoS ki u SYN flood, UDP flood từ ên vào Kết quả: o ạng internet nơi công ị chậm thời gian công ( o máy công chiếm ăng thơng) Nhưng vDatacenter hoạt động ình thường o Tất luồng ữ liệu từ mạng nơi công vào Trung t m ữ liệu ị drop phút (do Cyberoam Firewall xác định source WAN IP nơi công)  Sử ụng công cụ Hping3 đ thực DoS ki u SYN flood, UDP flood từ bên vDatacenter Kết quả: o áy tính thực cơng ị Cyberoam Firewall khóa giao tiế internet phút 3.6.3 Thử nghiệ t nh n ng an ninh t u  Kết n i SSL-VPN t ướ p từ xa hi người quản trị ị công Man in the middle nơi truy cậ : o áy công thu thậ gói tin, khơng giải mã o áy công không lấy thông tin tài khoản truy cậ  Kết n i SSL-VPN sau người quản trị ị công Man in the middle nơi truy cậ : o áy công (Can & Able) giả mạo C VPN Server đ giao tiế với máy người quản trị Đồng thời, thay mặt người quản trị đ giao tiế với VPN server - 108 - 3.6.4 Đ nh gi ết qu thử nghiệm Đ i với yêu cầu đặt cho Trung tâm liệu ảo hóa Trường Đại học Nguy n Tất Thành, thiết kế, tri n khai sách quản trị bảo mật Luận văn đạt tất yêu cầu Cụ th như:  Hệ th ng đạt độ ổn định cao: o Luôn đảm ảo cho tất kết n i nhờ sử ụng đường truyền Internet o Tất máy Guest OS hoạt động máy ị fail tự đơng kích hoạt lại máy chủ c n lại o Có tính ự h ng cho mạng lõi hệ th ng ảo hóa nhờ sử ụng Fail-over cluster  N ng cao an toàn mạng cho hệ th ng ảo hóa: o Hệ th ng sử ụng hiên ản Hyper-V server 2012 loại nhược m ảo mật hiên ản trước o n ninh hệ th ng máy chủ ảo hóa n ng cao với hệ th ng tự động tri n khai cậ nhật sách ảo mật o Nếu máy chủ ảo ị công x m nhậ không ảnh hưởng đến máy chủ ảo khác VL N với o Khả công từ máy chủ ảo vào máy chủ Hypervisor giảm thi u đến mức thấ o Tính chịu l i máy chủ ảo máy chủ Hypervisor n ng cao  N ng cao an toàn mạng cho Trung t m ữ liệu: o Loại trừ hương thức công mạng cổ n như: DoS, Sniffing, T j n&B c d ,… o Loại trừ hương thức công khai thác m yếu (Vulnerability Exploit) cơng o IPS tích hợ Firewall gi giảm thi u hiệu (Scanning) Attacker trước thực cơng mạng tìm - 109 - o Khi máy tính ị cơng, sức anh hưởng đến mạng khác giảm thi u t i đa  N ng cao tính an tồn ki m sốt truy cậ : o SSL-VPN Unified Access Gateway gi truy cậ từ xa người o Sự h n quyền người đảm ảo an toàn cho ng người quản trị ng hợ lý gi n ng cao an toàn cho hệ th ng  N ng cao khả giám sát, h n tích đánh giá hoạt đơng: o Hệ th ng giám sát mạng hoạt động liên tục o Cho xuất áo cáo kết giám sát Từ định hướng kế hoạch vận hành kh c hục c  Tiết kiệm thời gian, tri n khai, quản trị, vận hành với ộ System Center Các yếu điểm: Bên cạnh ưu m đạt được, Trung t m ữ liệu ảo thử nghiệm c n yếu m:  Phức tạ tri n khai: o Đ i h i chuyên môn cao Hy er-V, Cisco an ninh mạng o Phải đá ứng đầy đủ quy t c ảo mật m i tri n khai mở rộng thu hẹ quy mô hệ th ng  Bị động việc cậ nhật sửa l i ảo mật: o Do sử ụng sản hẩm ảo hóa Hy er-V Microsoft, nên l hổng ảo mật sửa l i sau Microsoft đưa ản vá l i nhanh (Hotfix) o Tương tự, hệ th ng sử ụng IPS Anti-virus Cyberoam nên ấu hiệu nhận ạng (Signatures) cậ nhật ởi hãng Cyberoam  G y hiền hà cho người ng Desktop Application Virtualization hải truy cậ thông qua Unified Access Gateway Tuy vậy, yếu m nh so với ưu m Trung tâm ữ liệu ảo hóa Trường Đại học Nguy n Tất Thành - 110 - KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết u n Luận văn với đề tài “Nghiên cứu vấn đ an ninh Trung tâm liệu ảo ứng dụng” thực với mục tiêu tìm hi u vấn đề bảo mật đ i với hệ th ng ảo hóa, từ ứng dụng vào việc thiết kế tri n khai Trung tâm liệu ảo hóa an toàn cho Trường Đại học Luận văn thực hiện:  Nghiên cứu cơng nghệ ảo hóa như: Cisco Virtualization, VMware ESXi, Microsoft Hyper-V, công nghệ ảo hóa mã nguồn mở c ng cơng nghệ ảo hóa thiết ị mạng khác  Nghiên cứu vấn đề an ninh, ảo mật công nghệ ảo hóa  Nghiên cứu nguy ảo mật định hướng sách, giải há đảm ảo an ninh ảo hóa  Ứng ụng cơng nghệ ảo hóa vào thiết kế Trung t m ữ liệu  Ứng ụng vào việc thiết kế tri n khai Trung t m ữ liệu ảo hóa an tồn cho Trường Đại học với tiêu chí tiết kiệm an toàn Những nghiên cứu thiết kế Luận văn tri n khai trường Đại học Nguy n Tất Thành, đá ứng nhu cầu an ninh Trung t m ữ liệu ảo hóa Hướng h t t i n Tăng cường chức ảo mật cho Trung t m ữ liệu ảo như:  X y ựng hệ th ng hản ứng nhanh trước x m hạm ảo mật Trung t m ữ liệu ảo Hệ th ng nghiên cứu h n tích kết giám sát hoạt động log files từ máy chủ, thiết ị Từ đó, lậ trình - 111 - điều n thực thi tự động hản ứng tự vệ trước x m hạm ảo mật hát  X y ựng luật (rules) cho Firewall ựa vào khai há ữ liệu từ tậ ữ liệu log files Điều nhằm tự động hóa việc thiết lậ rules cho Firewall đ ngăn chặn hi m họa ảo mật đ i hó với cơng mạng TÀI LIỆU THAM KH O [1] MT Ngo, VG Nguyen, YH Kim, “A Design of Nested Hypervisors for Data Center Virtualization”, cn.ssu.ac.kr, Volume 2014, No.6, 2014 [2] Neil acDonal , “ ressing the ost Common Security Risks in Data Center Virtualization Pro ects”, Gartner's research, January 2010 [3] Karen Scarfone, “G ide Sec i f F ll Vi liz i n Techn l ies”, National Institute of Standards and Technology, January 2011 [4] Fran Howarth, “Architecting the security of the next-generation data center”, White Paper by Bloor Research, August 2011 [5] Alan Mur hy, “Sec i i lic i ns f he vi lized Cen e ”, White paper by F5 Technical marketing manager Security, September 2006 [6] Trey Layton, “Sec in he Vi l nf i n nf s c C nside i ns in he e”, White paper by EMC Corporation,2012 [7] ike cBri e, “SDN Secu i Cen e ”, Open Networking Foundation, October 2013 [8] Pearce, S Zea ally, R Hunt, “Virtualization: Issues, Security Threats, and S l i ns”, ACM Computing Surveys, Volume 45, Issue 2, No.17, February 2013 [9] P.S Dhawale, “Virt liz i n sec i in Cen es & cl d”, International Journal of Scientific & Engineering, Volume 5, Issue 1, January 2014 [10] By Wenbo Mao Hewlett-Packard Company, “Modern Cryptography: Theory and Practice”, ISBN: 0-13-066943-1, Pages: 648, July 25, 2003 TÀ L ỆU TRÊN NTERNET [11] “Data Center Designs Network Virtualization”, White paper by Cisco Systems Inc, from:< https://www.cisco.com, truy cậ vào ngày 17/10/2016 > [12] “V ware vS here”, from:< http://www.VMware.com/vmtn/resources, truy cậ vào ngày 17/10/2016 > [13] “C e Fi ew ll - i h v il ili C nfi i n G ide”, Cyberoam Technologies Pvt Ltd, from:< https://www.cyberoam.com, truy cậ 17/10/2016 > vào ngày [14] “C n V lne ili ies nd E s es Lis ”, from:< https://ww.cve.mitre.org, truy cậ vào ngày 17/10/2016 > [15] “ icrosoft Technet”, from:< https://technet.microsoft.com, truy cậ vào ngày 17/10/2016 > ... nghệ ảo hóa thích hợp cho việc xây dựng Trung tâm Dữ liệu (Data Center) với chi phí thấp Tuy nhiên, Trung tâm liệu ảo mang đến nhiều thách thức an ninh mạng Nghiên cứu an ninh Trung tâm liệu ảo. .. Vấn Đề An Ninh Của Trung Tâm Dữ Liệu Ảo Và Ứng Dụng II- Nhiệm vụ nội dung: Nghiên cứu vấn đề an ninh Trung tâm liệu ảo Sau xây dựng thử nghiệm Trung tâm liệu ảo cho Trường Đại Học III- Ngày giao... Đưa giải pháp bảo mật toàn diện cho Trung tâm liệu ảo Mụ tiêu, h vi a u nv n Với mục tiêu tậ trung nghiên cứu công nghệ ảo hoá, vấn đề an ninh xây dựng thử nghiệm Trung tâm liệu ảo cho Trường