Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
0,96 MB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Dương Phương Đơng GIẢI PHÁP AN NINH TRONG MƠI TRƯỜNG ĐIỆN TỐN ĐÁM MÂY Chuyên ngành: Kĩ thuật điện tử Mã số: 60.52.70 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: …………… TS Vũ Trường Thành ………… Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Điện toán đám mây (Cloud Computing) xu chủ đạo hạ tầng IT doanh nghiệp với nhiều ưu điểm Trong quy trình đánh giá hệ thống để xây dựng đám mây riêng chung, bảo mật coi vấn đề quan trọng đưa xem xét Hiểu nguy công chế bảo mật để phòng chống nguy hệ thống điện toán đám mây giúp người quản trị đưa chiến lược phù hợp cho điện tốn đám mây doanh nghiệp Trong số sản phẩm cho mơi trường điện tốn đám mây lên giải pháp VMware phù hợp với nhiều mơ hình khác Một số mơi trường điện toán đám mây hướng tới người sử dụng đầu cuối (End User) – VMware View Đây giải pháp phù hợp doanh nghiệp thời kỳ kinh tế khó khăn nhờ đem lại nhiều lợi ích chi phí Người dùng truy cập vào tài nguyên làm việc nơi đâu khơng thiết phải đến văn phịng mà đảm bảo hiệu cơng việc Họ sử dụng PC nhà, laptop, điện thoại thơng minh, máy tính bảng hay chí thiết bị có tên gọi thin client đặc thù sử dụng cho môi trường điện tốn đám mây với chi phí bảo hành thấp Mặc dù có nhiều lợi ích mơ hình chưa thực triển khai rộng rãi Việt Nam, dừng lại nhiều phòng lab demo PoC giải pháp Một số nhiều vấn đề mà người dùng e ngại vấn đề bảo mật môi trường Đã có nhiều mơ hình, đề xuất bảo mật đưa để tối ưu chúng chưa thực hiệu hoàn toàn Dựa sở đề xuất đưa để đánh giá đưa mơ hình tối ưu cho mơi trường điện tốn đám mây, cụ thể mơ hình MeMoc Do khuôn khổ luận văn, phạm vi đề tài tập trung vào áp dụng mơi trường ảo hóa VMware Đây mơi trường áp dụng phổ biến môi trường doanh nghiệp lấy làm chuẩn chung cho giải pháp Bố cục luận văn sau: Chương I: Nghiên cứu điện toán đám mây việc ứng dụng Việt Nam Chương II: Nghiên cứu bảo mật mơi trường điện tốn đám mây Chương III: Giải pháp bảo mật an toàn an ninh mơi trường điện tốn đám mây CHƯƠNG I: NGHIÊN CỨU VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VIỆC ỨNG DỤNG TẠI VIỆT NAM 1.1 Một số khái niệm điện toán đám mây Điện toán đám mây mơ hình cho phép truy cập tài ngun dễ dàng nơi đâu tùy theo yêu cầu tới tài nguyên máy tính gom lại thành khối (pool) chia sẻ chung Khối tài nguyên có đặc điểm nhanh chóng cung cấp giải phóng giảm thiểu tối đa công sức quản lý can thiệp từ nhà cung cấp dịch vụ Các khái niệm trích từ [1] Các mơ hình triển khai bao gồm: Public Cloud: đám mây công cộng Private Cloud: đám mây riêng Community Cloud: Đám mây cộng đồng Hybrid Cloud: Đám mây lai ghép Các dịch vụ mơ hình bao gồm: Software as a Service (SaaS): cung cấp phần mềm dịch vụ Platform as a Service (PaaS): cung cấp tảng phát triển dịch vụ Infrastructure as a Service (IaaS): cung cấp hạ tầng dịch vụ Các đặc tính điện tốn đám mây bao gồm: Tính mềm dẻo (Rapid Elasticity): định nghĩa khả mở rộng tài nguyên theo chiều lên xuống theo yêu cầu Đối với người dùng, cloud thực thể vơ tận họ mua sử dụng tài nguyên máy tính nhiều hay tùy ý Khả đo đếm (Measured Service): tất khía cạnh dịch vụ cloud điều khiển giám sát nhà cung cấp cloud Đây đặc điểm cần thiết để tính tốn hóa đơn điều khiển truy cập, tối ưu tài nguyên, kế hoạch lưu trữ tác vụ khác Khả tự phục vụ theo yêu cầu (On-Demand Self-Service): người dùng sử dụng dịch vụ cloud theo yêu cầu mà không cần thêm tác động người với nhà cung cấp cloud Khả truy cập từ nơi đâu (Ubiquitous Network Access): đặc tính nhà cung cấp cloud sẵn sàng mạng truy cập thơng qua giải thuật chuẩn từ thiết bị đầu cuối người dùng (thick and thin client) Khả gom tài nguyên (Resource Pooling): cho phép nhà cung cấp dịch vụ phục vụ người dùng thơng qua nhiều mơ hình Các tài nguyên vật lý ảo phân bổ tái phân bổ theo yêu cầu người dùng Người dùng khơng có quyền can thiệp hay biết vị trí xác tài nguyên cung cấp định vị trí mức cao (ví dụ đất nước, bang, trung tâm liệu) 1.2 Tình hình ứng dụng điện tốn đám mây 1.2.1 Tình hình chung tồn giới Tổ chức IDC tổ chức uy tín thời chuyên khảo sát thị trường, phân tích tư vấn đặc biệt công nghệ thông tin, viễn thơng cơng nghệ tiêu dùng Họ có số khảo sát cho thấy sức mạnh điện tốn đám mây thực thi ngành cơng nghiệp IT góp phần truyền cảm hứng cho nhà CSP Các khảo sát bao gồm tăng trưởng đám mây, khía cạnh bảo mật, đám mây ưu tiên số với nhà cung cấp, báo cáo lợi nhuận, mức độ sử dụng tương lai, vị đám với người dùng IT tính phổ biến điện toán đám mây [2] Khả tăng trưởng đám mây Bảng sau cho thấy khả tăng trưởng đám mây từ năm 2008-2012 Year Cloud IT Spending Total IT spending Total-cloud spend Cloud Total spend 2008 $ 16 B $383 B $367 B 4% 2012 $42 B $ 494 B $ 452 B 9% Growth 27% 7% 4% Tổ chức có khảo sát mặt khác điện toán đám mây bao gồm: bảo mật, mức độ phổ biến, 1.2.2 Tình hình ứng dụng Việt Nam Sử dụng dịch vụ tảng điện toán đám mây xu giới Việt Nam không nằm ngồi xu Hình 1.8 Một số nhà cung cấp dịch vụ điện toán đám mây [3] Có thể thấy rõ rệt dịch vụ điện tốn đám mây cơng cộng mà nhiều người sử dụng Google Apps (điển hình Google doc, thư điện tử gmail), dịch vụ Window Azure, dịch vụ Google App engine cho dịch vụ mức PaaS Dịch vụ cho thuê máy chủ Amazon (Amazon web services) dạng điện toán đám mây mà nhiều người quen thuộc Các dịch vụ điện toán đám mây kể tiếng quen thuộc với người dùng cá nhân doanh nghiệp nhỏ chi phí sử dụng khơng cao lại đem lại hiệu công việc đáng kể Tuy nhiên với doanh nghiệp lớn xu sử dụng lại tự xây dựng hạ tầng điện tốn đám mây nội bộ, sau q trình phát triển lâu dài dần tiến thành điện toán đám mây công cộng (Public cloud) đám mây lai (Hybrid Cloud) Đây cách thức để giảm thiểu phụ thuộc vào nhà cung cấp dịch vụ điện toán đám mây lớn phù hợp với mơi trường IT q trình phát triển mạnh mẽ Việt Nam Triển khai đám mây nội làm gia tăng đáng kể hiệu làm việc doanh nghiệp vòng đời dịch vụ đám mây dễ dàng quản lý, cịn giảm bớt gánh nặng quản trị, nhân Các hãng lớn làng công nghệ VMware, IBM, HP, Oracle,… cung cấp tùy chọn sản phẩm điện toán đám mây nội đến doanh nghiệp Tất sản phẩm hãng doanh nghiệp Việt Nam sử dụng với số lượng mức tương đối Triển khai dịch vụ nhằm mục đích cụ thể chưa doanh nghiệp trọng đưa vào áp dụng cho toàn hạ tầng IT Ngân sách vấn đề ảnh hưởng đến định triển khai dịch vụ vấn đề to lớn điện tốn đám mây có đặc tính khiến người dùng chưa an tâm, công nghệ chưa hoàn thiện, người dùng chưa làm chủ cơng nghệ nên cịn rụt rè việc lựa chọn 1.3 Các vấn đề điện toán đám mây Trong vài năm qua, điện toán đám mây phát triển từ khái niệm kinh doanh hứa hẹn phân đoạn phát triển nhanh ngành công nghiệp CNTT Hiện tại, công ty chịu ảnh hưởng suy thoái kinh tế ngày nhận đơn giản khai thác vào đám mây, họ truy cập nhanh chóng vào ứng dụng kinh doanh quan trọng phát triển tài nguyên hạ tầng với giá phải Nhưng có ngày nhiều thơng tin cá nhân doanh nghiệp đặt đám mây, ngày có nhiều mối lo đến việc mơi trường an tồn đến mức [1] 1.3.1 Bảo mật Dữ liệu đâu bảo mật hơn, ổ đĩa cứng nội hay máy chủ với khả bảo mật cao đám mây? Một số cho liệu người dùng bảo mật quản lý nội bộ, luồng ý kiến cho nhà cung cấp dịch vụ đám mây có trách nhiệm phải trì mức độ tin cậy thực thi mức độ bảo mật cao Tuy nhiên, đám mây, liệu phân phối máy tính tính đơn lẻ mà khơng quan tâm đến việc kho chứa liệu thực lưu trữ đâu Các tin tặc công gần tất máy chủ, có thống kê cho thấy 1/3 hậu bị mát liệu từ việc bị trộm laptop thiết bị khác từ việc vô ý để liệu bị phát tán mạng, có đến 16% tin tặc từ bên 1.3.2 Khả riêng tư (Privacy) Khác với mơ hình điện tốn đám mây truyền thống, điện tốn đám mây tận dụng cơng nghệ máy tính ảo hóa, liệu người dùng trải trung tâm liệu ảo vị trí vật lý, chí vượt qua biên giới quốc gia, đó, việc bảo vệ khả riêng tư liệu phải đối mặt với xung đột từ hệ thống pháp lý khác Mặt khác, người dùng bị rị rỉ thơng tin bị ẩn họ truy cập dịch vụ điện tốn đám mây Tin tặc phân tích tác vụ quan trọng người sử dụng 1.3.3 Độ tin cậy (Reliability) Các máy chủ đám mây có vấn đề giống máy chủ nội thông thường Các máy chủ đám mây phải có thời gian tạm ngưng tạm dừng, điều khác biệt người dùng có phụ thuộc lớn vào nhà cung cấp dịch vụ điện toán đám mây (Cloud Service Provide - CSP) Có khác biệt lớn mơ hình dịch vụ CSP, chọn CSP cụ thể, người dùng bị bó hẹp quyền lại, dẫn đến rủi ro bảo mật phát sinh 1.3.4 Các vấn đề pháp lý (Legal Issues) Bỏ tai nỗ lực đem áp dụng vấn đề pháp lý, năm 2009 nhà cung cấp Amazon Web Services cung cấp thị trường chủ chốt cách phát triển mạng hạn chế để người dùng lựa chọn vùng khả dụng (availability zones) Mặt khác, mối lo gắn liền với thước đo an tồn tính cẩn mật theo tất cách thức thông qua cấp độ lập pháp 1.3.5 Chuẩn mở Các chuẩn mở quan trọng tới việc phát triển điện toán đám mây Hầu hết nhà cung cấp đám mây đưa giao diện lập trình ứng dụng (API) dạng tài liệu mang tính đặc trưng với phương thức triển khai họ khơng mang tính mở Một số nhà cung cấp phát triển khả tương thích với API khác có số lượng chuẩn mở phát triển, bao gồm OGF’s Open Cloud Computing Interface Tập đoàn Open Cloud Consortium (OCC) làm việc để thúc đẩy thống chuẩn thực tế triển khai đám mây 1.3.6 Tính thực thi Một số quy định liên quan đến lưu trữ việc sử dụng liệu đòi hỏi báo cáo định kỳ giám sát vết, nhà cung cấp đám mây phải cho phép người dùng thực thi cách tương thích với quy định Quản lý tính thực thi bảo mật cho điện tốn đám mây, CSP tập trung vào cách nhìn tổng thể top-down tất tài nguyên IT khu vực đám mây mang đến khả quản lý mạnh thắt chặt sách thực thi Cùng với yêu cầu với đối tượng khách hàng, trung tâm liệu trì CSP đối tượng với yêu cầu thực thi 1.3.7 Tính tự (Freedom) Điện tốn đám mây khơng cho phép người dùng kiểm soát trực tiếp hạ tầng lưu trữ liệu mà cơng việc chuyển cho CSP Người dùng tranh luận quyền họ phải có khả lưu trữ liệu dạng tùy theo khả lựa chọn họ cho bảo vệ yếu tố cơng ngồi tầm kiểm sốt họ nhìn nhần lợi ích mà điện tốn đám mây mang đến 1.3.8 Khả tồn dài hạn Người dùng chắn liệu đặt đám mây khơng bị vơ hiệu hóa ngày CSP bị phá sản thâu tóm cơng ty lớn Gartner nói “Hãy hỏi nhà cung cấp tiềm việc để lấy lại liệu câu trả lời bạn nhập liệu vào ứng dụng thay khác” 1.4 Kết luận chương Chương tìm hiểu số khái niệm điện toán đám mây bao gồm mơ hình triển khai loại hình cung cấp dịch vụ Các lợi ích có từ mơ hình điện tốn đám mây khơng thể phủ nhận điều thể khảo sát thị trường giới Việt Nam Tuy nhiên để hồn thiện đặc tính điện tốn đám mây cần tốn lâu dài Vẫn có nhiều mối lo người dùng vấn đề mơi trường điện tốn đám mây, điển hình vấn đề bảo mật Chương sâu vào phân tích vấn đề bảo mật điện toán đám mây CHƯƠNG 2: NGHIÊN CỨU VỀ BẢO MẬT TRONG MƠI TRƯỜNG ĐIỆN TỐN ĐÁM MÂY 2.1 Bảo mật điện toán đám mây Điện toán đám mây đem lại cho doanh nghiệp phương thức quản lý tài nguyên máy tính cách hiệu quả, linh động hợp lí chi phí Tuy nhiên, tin tặc nhà nghiên cứu bảo mật mơ hình bị lợi dụng tin tặc khơng hồn tồn 100% an tồn Trong điện tốn đám mây, vấn đề bảo mật chia sẻ nhà cung cấp dịch vụ người dùng điện toán đám mây Hai bên cần phải có tin tưởng thỏa thuận với để từ nâng cao tính bảo mật Rất nhiều mối đe dọa bảo mật nảy sinh từ bên bên ngồi mơi trường nhà cung cấp/người dùng phân loại thành dạng đe dọa từ bên trong, cơng nguy hại từ bên ngồi, mát liệu, vấn đề liên quan đến đa chức năng, quyền kiểm soát gián đoạn dịch vụ Wikipedia định nghĩa bảo mật điện toán đám mây sau “Bảo mật điện toán đám mây (gọi tắt bảo mật đám mây) lĩnh vực phát triển thuộc bảo mật máy tính, bảo mật mạng rộng bảo mật thơng tin Nó đề cập đến tập rộng sách, cơng nghệ quyền điều khiển triển khai để bảo vệ liệu, ứng dụng hạ tầng tích hợp điện toán đám mây Bảo mật điện toán đám mây không để cập đến sản phẩm phần mềm bảo mật cho đám mây phần mềm antivirus, antispam, anti-DDOS,… mà bao hàm rộng Các vấn đề bảo mật tổng hợp chi tiết [4] 2.1.1 Các vấn đề bảo mật Các mối đe dọa từ bên Các cơng nguy hại từ bên ngồi Mất mát liệu Gián đoạn dịch vụ Các vấn đề đa nhiệm Mất quyền kiểm sốt Hạ tầng ảo hóa đám mây phức tạp mang tính động việc đa xử lý, lưu trữ ảo, nhiều người quản lý, nhiều ứng dụng chạy thời điểm Ngoài có số lượng lớn nguồn lưu lượng vào khỏi máy chủ vật lý hay máy ảo Do đó, hạ tầng ảo hóa đám mây xóa nhịa biên giới vật lý truyền thống sử dụng việc định nghĩa, quản lý bảo vệ tài sản doanh nghiệp trung tâm liệu truyền thống Tuy dẫn đến việc hạ tầng ảo hóa trở nên phức tạp thân bảo vệ khỏi mối đe dọa từ bên hay bên Các giải pháp bảo mật tương thích mơi trường đám mây sử dụng để bảo vệ hạ tầng ảo hóa đám mây thách thức lớn đòi hỏi việc nghiên cứu sâu nhiều hướng cơng đặc tính riêng biệt, để đem lại bảo vệ xác kịp thời Các đặc tính bao gồm: 10 nghệ bảo mật sẵn có (adhoc) sử dụng vào môi trường đám mây động hay biến đổi Chiến lược bảo mật thực thi đáp ứng điện toán đám mây tiến trình nhiều bước liên quan đến: Đảm bảo ứng dụng xây dựng thuật toán bảo mật tránh tràn đêm, thâm nhập SQL công Sử dụng tiếp cận bảo mật đa lớp giám sát đe dọa đảm bảo lớp ngoài/trong bị cơng, có lớp khác dự phịng Với công bên trong, cần đảm bảo nhân viên đào tạo, tn thủ quy định có cơng cụ để ngăn đe dọa phát sinh (như Antivirus, IPS, HIPS, tường lửa nội bộ, tách mạng, giám sát) Với công tức thời hay gián đoạn dịch vụ, phải có giải pháp bảo mật mạng tự bảo vệ, yếu tố bảo mật liên quan đến đám mây (NAC, dot1x, ) chỗ Hơn nữa, kỹ thuật bảo mật trung tâm liệu thông thường vành đai tường lửa, IPS, ACL cần phải tận dụng Đảm bảo hệ thống cách ly tốt, chí phần cứng nên có tương lửa luật hỗ trợ tiến trình bảo mật người dùng đơn Có thể gia cố thêm sử dụng giải pháp đăng nhập đơn để đánh giá tiến trình Các khách hàng sử dụng đám mây (tổ chức, doanh nghiệp) nên có cách hiểu tốt tiến trình bảo mật mức thỏa thuận dịch vụ nhà cung cấp Điều giúp giảm thiểu không đồng nhà cung cấp khách hàng Để thống kế rủi ro bên ngồi cần có mơ hình bảo mật phân lớp từ vành đai đến mức máy ảo Khách hàng nên có kế hoạch dự phịng để thống kê gián đoạn dịch vụ với ứng dụng dịch vụ trải từ hệ thống cảnh báo đơn giản nơi lưu trữ ứng dụng chỗ 2.2 Một số hướng nghiên cứu điển hình cho bảo mật điện tốn đám mây 2.2.1 Phân tích theo quan điểm vịng đời liệu Có nhiều vấn đề bảo mật liên quan đến điện toán đám mây chúng nhóm lại theo phương diện khác Theo phân tích Gartner, trước đưa lựa chọn 11 nhà cung cấp đám mây, người dùng nên hỏi nhà cung cấp bảy vấn đề an toàn cụ thể sau: quyền truy cập người dụng, tuân thủ quy định, vị trí liệu, phân tách liệu, hỗ trợ nghiên cứu khả trì lâu dài Năm 2009, tổ chức nghiên cứu Forrester Research Inc đánh giá thực nghiệm riêng tư bảo mật số nhà cung cấp đám mây hàng đầu (như Salesforce.com, Amazon, Google Microsoft) theo ba thông số chính: bảo mật riêng tư, khả tuân thủ vấn đề hợp pháp tính hợp đồng Tổ chức Cloud Security Alliance (CSA) tiến hành tập trung nhà cung cấp giải pháp, phi lợi nhuận cá nhân vào diễn đàn thảo luận thực tế sử dụng tốt tương lại cho việc đảm bảo thông tin đám mây CSA nhận dạng 13 miền quan tâm bảo mật điện toán đám mây 2.2.1.1 Các vấn đề bảo vệ riêng tư bảo mật liệu Nội dung việc bảo vệ riêng tư bảo mật liệu đám mây tương tự việc bảo vệ riêng tư bảo mật liệu truyền thống Nó liên quan tới tất giai đoạn vòng đời liệu Nhưng đặc tính mở đa nhiệm đám mây, nội dung việc bảo vệ riêng tư bảo mật liệu đám mây có đặc tính riêng Khái niệm riêng tư khác đất nước, văn hóa pháp lý khác Định nghĩa tương thích tổ chức hợp tác phát triển kinh tế OECD “mọi thông tin liên quan tới việc nhận dạng cá thể nhận dạng (đối tượng liệu)” Một định nghĩa phổ biến khác cung cấp tổ chức AICPA CICA chuẩn GAPP “các quyền nghĩa vụ cá nhân tổ chức với việc tơn trọng thu thập, sử dụng, trì thơng cáo thơng tin cá nhân” Nói chung, riêng tư kết hợp với việc thu thập, sử dụng, thông cáo, lưu trữ phá hoại liệu cá nhân (hay thông tin nhận dạng cá nhân PII) Việc nhận dạng thông tin cá nhân phụ thuộc vào kịch ứng dụng định luật, đo nhiệm vụ bảo vệ riêng tư Phần phân tích vấn đề bảo vệ riêng tư bảo mật liệu đám mây theo quan điểm vòng đời liệu tham khảo [5] 2.2.1.2 Vòng đời liệu Vịng đời liệu nhắc đến tồn trình từ lúc phát sinh đến lúc phá hủy liệu Vòng đời liệu chia thành bảy giai đoạn: Giai đoạn 1: Phát sinh (Generation) 12 Giai đoạn 2: Truyền tải (Transfer) Giai đoạn 3: Sử dụng (Use) Giai đoạn 4: Chia sẻ (Share) Giai đoạn 5: Lưu trữ (Storage) Giai đoạn 6: Lưu trữ thứ cấp (Archival) Giai đoạn 7: Kết thúc liệu (Destruction) Theo mơ hình truyền tải dịch vụ, mơ hình triển khai đặc tính cần thiết điện toán đám mây, vấn đề bảo vệ riêng tư bảo mật liệu vấn đề cần phải giải sớm Các vấn đề riêng tư bảo mật liệu tồn tất lớp mô hình truyền tải dịch vụ SPI giai đoạn vòng đời liệu Thách thức bảo vệ tính riêng tư chia sẻ liệu bảo vệ thông tin cá nhân Các hệ thống điển hình yêu cầu bảo vệ riêng tư hệ thống thương mại điện tử lưu trữ thông tin thẻ tín dụng hệ thống chăm sóc sức khỏe với số liệu sức khỏe Khả điều khiển thông tin bộc lộ truy cập thơng tin mạng trở thành vấn đề quan tâm Các quan tâm bao gồm việc liệu thông tin cá nhân lưu trữ hay đọc bên thứ mà không cần đồng ý, hay liệu bên thứ lần vết trang web mà người dùng ghé thăm Vấn đề quan tâm khác liệu website ghé thăm để thu thập, lưu trữ chia sẻ thông tin cá nhân người dùng Chìa kháo cho việc bảo vệ tính riêng tư mơi trường đám mây phân chia gắt gao liệu nhạy cảm liệu không nhạy cảm cách thức mã hóa thành phần Theo phân tích cho vấn đề bảo vệ riêng tư bảo mật liệu, giải pháp bảo mật tồn diện tích hợp đáp ứng yêu cầu phòng thủ chuyên sâu cần thiết Liên quan đến bảo vệ riêng tư, việc nhận dạng cách ly liệu riêng tư cơng việc Chúng nên đánh giá suốt trình thiết kế ứng dụng dựa đám mây Với vấn đề bảo vệ riêng tư bảo mật liệu, thách thức việc phân tách liệu ngạy cảm điều khiển truy cập Mục đích thiết kế tập tảng bảo vệ riêng tư quản lý nhận dạng ứng dụng hay dịch vụ điện toán đám mây Do đặc tính di động người dùng tổ chức lớn, hệ thống quản lý nhận dạng cần phải có khả tự động cung cấp/giải phóng tài khoản người dùng nhanh chóng để đảm 13 bảo khơng có truy cập trái phép vào tài nguyên đám mây tổ chức số người dùng rời khỏi tổ chức Các giải thuật điều khiển truy cập cấp quyền nên đạt đến mơ hình điều khiển truy cập có khả mở rộng, tái sử dụng hợp đáp ứng yêu cầu cấp quyền truy cập hợp pháp Các giải thuật bảo vệ riêng tư dựa tính toán đạt dẫn thời gian thực động, cấp quyền giám sát chủ sở hữu liệu liệu riêng tư họ truy cập 2.2.2 Phân tích theo quan điểm áp đặt mơ hình sách chung Nền tảng bảo mật IBM phát triển để mô tả bảo mật dạng tài nguyên kinh doanh cần bảo vệ, nhìn vào miền tài ngun khác từ quan điểm kinh doanh Dựa tảng bảo mật IBM thảo luận với khách hàng IBM, phần sau mô tả danh sách u cầu bảo mật mơi trường điện tốn đám mây cho tập đồn tham khảo [6] 2.2.2.1 Quản lý bảo mật, quản lý rủi ro tính tuân thủ Các tổ chức u cầu có nhìn tổng quan vào tranh bảo mật đám mây họ Nó bao gồm tầm nhìn rộng vào quản lý thay đổi, hình ảnh rủi ro, báo cáo cố cho người dụng liệu giám sát, log cho người dùng định 2.2.2.2 Con người việc nhận dạng Các tổ chức cần phải đám bảo người dùng cấp quyền có khả truy cập tới liệu công cụ họ muốn, họ cần tất khóa tất truy cấp không phép khác Các môi trường đám mây thường hỗ trợ lượng lớn cộng động người dùng, để điều khiển chí quan trọng Thêm vào đó, đám mây giới thiệu tầng người cấp quyền: nhà quản trị làm việc cho nhà cung cấp đám mây Những người giám sát, bao gồm việc ghi log lại hoạt động, trở thành yêu cầu quan trọng Việc giám sát bao gồm giám sát vật lý tảng 2.2.2.3 Dữ liệu thông tin Hầu hết doanh nghiệp cho biết bảo vệ liệu vấn đề bảo mật quan trọng họ Các quan tâm điển hình bao gồm cách thức liệu lưu trữ yêu cầu truy cập, tuân thủ giám sát, vấn đề kinh doanh liên quan đến chi phí sửa chữa lổ 14 hổng liệu, yêu cầu cảnh báo thiệt hại tới giá trị tổng thể chung Tất liệu quy định nhạy cảm cần phải tách biệt hợp lí hạ tầng lưu trữ đám mây, bao gồm lưu thứ cấp liệu 2.2.2.4 Ứng dụng tiến trình Người dùng thường đánh giá yêu cầu bảo mật ứng dụng đám mây dạng bảo mật hình ảnh Tất yêu cầu bảo mật ứng dụng điển hình áp dụng cho ứng dụng đám mây, chúng mang tới hình ảnh chứa ứng dụng Nhà cung cấp đám mây cần phải theo hỗ trợ tiến trình triển khai bảo mật Thêm vào đó, u cầu người dùng đám mây hỗ trợ cho nguồn gốc hình ảnh cho việc chứng nhận điều khiển sử dụng Việc dừng hủy hình ảnh phải tiến hành cẩn thận, đám bảo liệu nhạy cảm chứa hình ảnh khơng bị phơi bày trước nguy hại 2.2.2.5 Mạng, máy chủ điểm cuối Trong môi trường đám mây chia sẻ, người dùng muốn đảm bảo tất miền người dùng cách ly thích hợp khơng có khả tồn liệu giao dịch bị láy từ miền sang miền khác Để giúp đạt điều này, người dùng cần khả cấu hình miền ảo tin cậy vùng bảo mật dựa sách 2.2.2.6 Hạ tầng vật lý Hạ tầng đám mây – gồm máy chủ, định tuyến, thiết bị lưu trữ, nguồn cung cấp thành phần khác hỗ trợ hoạt động phải bảo mật mặt vật lý Các chế bảo vệ gồm điều khiển giám sát tương thích truy cập vât lý sử dụng thước đo điều khiển truy cập sinh học hình giám sát mạch động (CCTV) Nhà cung cấp cần giải thích rõ ràng cách thức truy cập vật lý quản lý máy chủ chứa tài người dùng hỗ trợ liệu người dùng 2.2.2.7 Mơ hình kiến trúc cho điện tốn đám mây Mơ hình kiến trúc cho điện toán đám mây bao gồm lớp dịch vụ phần lớp Lớp hệ thống vật lý mô tả yêu cầu trung tâm liệu thông thường, bắt buộc thước đo điều khiển truy cập giám sát khu vực Lớp tài nguyên hệ thống quản lý hạ tầng lưu trữ, máy chủ, mạng Lớp tài nguyên ảo hóa giới thiệu khả cách ly thuộc 15 tính bảo mật áo hóa: tiến trình cách ly thơng qua lớp trung gian hypervisor tách biệt liệu 2.3 Kết luận Bảo mật điện toán đám mây tốn phức tạp khó có mơ hình bảo mật chung cho tất mơi trường Các tổ chức có nhiều u cầu khác cho việc tích hợp mơi trường đám mây hệ thống back-end họ Một số tổ chức phát triển toàn ứng dụng chuẩn bị xây dựng môi trường đám mây họ độc lập với hoạt động khác, hầu hết tập đoàn bắt đầu với đám mây riêng phát triển ứng dụng đám mây nhà cung cấp Dựa tảng phân tích số hướng nghiên cứu chương này, thấy xuyên suốt xuất hạ tầng ảo hóa bên phục vụ cho ứng dụng chạy bên Hạ tầng ảo hóa tài nguyên bên không đơn hạ tầng nội doanh nghiệp mà rộng lớn hạ tầng ảo hóa khắp nơi phục vụ cho đám mây riêng công cộng Và chương tập trung nghiên cứu phân tích đề xuất mơ hình an ninh ứng dụng cho cơng nghệ điện tốn đám mây đến từ hãng VMware, hãng có thị phần lớn thị trường CHƯƠNG 3: GIẢI PHÁP BẢO MẬT AN TOÀN AN NINH TRONG MƠI TRƯỜNG ĐIỆN TỐN ĐÁM MÂY 3.1 Giải pháp VMware View Các doanh nghiệp phải đối đầu với tốn khó khăn máy tính cho nhân viên (desktop) Một mặt, tổ chức IT đối mặt với áp lực xung quanh chi phí, tính tuân thủ, khả quản lý bảo mật Đây vấn nạn trầm trọng bắt nguồn từ mơ hình tính tốn kiểu máy tính cá nhân tập trung (PC-centric) tại, vốn tiêu tốn chi phí lớn để quản lý giới hạn linh động môi trường IT để phản ứng với thay đổi động môi trường kinh doanh Mặt khác, người dùng đầu cuối ngày địi hỏi u cầu tính tự khả linh động để truy cập ứng dụng liệu họ từ nhiều thiết bị vị trí khác Vấn đề desktop – đẩy tính tự người dùng chống lại u cầu điều khiển mơi trường IT – gây tăng trưởng chi phí, ảnh hưởng đến bảo mật, chiếm tài nguyên IT Để 16 khỏi tình trạng này, tổ chức tìm kiếm tiếp cận tương thích hiệu việc tính tốn cho phép mơi trường IT cân nhu cầu doanh nghiệp nhu cầu người dùng đầu cuối trải nghiệm hiệu cao linh động Ảo hóa desktop với VMware View [7] cho phép doanh nghiệp làm nhiều với có tương thích với tiếp cận đại thực hướng đến người sử dụng kỷ nguyên máy tính Bằng cách tách biệt ứng dụng, liệu hệ điều hành từ điểm cuối, cách di chuyển thành phần vào trung tâm liệu họ quản lý tập trung, ảo hóa ứng dụng desktop đem đến cho IT cách thức bảo mật, định hướng việc quản lý người dùng cung cấp dịch vụ desktop đa dạng truy cập theo yêu cầu Các vấn đề gặp phải bảo mật Ảo hóa desktop cơng nghệ tảng tiên tiến truyền tải truy cập desktop mạng có khả quản lý, chi phí hiệu đủ yêu cầu người dùng Tuy nhiên, với đe dọa bảo mật ngày trở nên phức tạp, thường xuyên hơn, cơng vào nhiều phía bị khai thác lợi nhuận tin tặc, người quản trị IT phải tăng cường cảnh giác tìm giải pháp bảo mật xây dựng cho môi trường desktop ảo hóa Các giải pháp phân tích log, công nghệ hệ thống ngăn chặn xâm nhập dựa host (HIPS), tường lửa phần mềm antivirus cần phải phát triển tương thích với yêu cầu cho ảo hóa desktop Chỉ có bảo mật theo hướng tiếp cận ảo hóa đáp ứng thách thức bảo mật cho desktop ảo hóa theo [7] gồm: Tranh chấp tài nguyên – Trong triển khai desktop ảo hóa, số lượng desktop chia sẻ tài nguyên phần cứng host, tỉ lệ thông thường 60/1 Các cập nhật bảo mật đồng thời tiến trình qt tồn hệ thống gây mát hiệu đáng kể desktop – giới hạn tính sẵn sàng cao giảm thiểu tỉ lệ hợp máy ảo Mặt trái nhanh chóng – Các desktop ảo hóa cung cấp, lưu, trở trạng thái trước, dừng, khởi động lại cách nhanh chóng dễ dàng Các tổn hại lỗi cấu hình lan truyền mà khơng hay biết desktop tạm thời khơng hoạt động có bị phản ứng với bảo mật chưa cập nhật 17 Cơn bão Antivirus – giải pháp Antivirus truyền thống đồng thời khởi tạo trình quét cập nhật bảo mật theo lịch tất máy ảo máy vật lý đơn, gây bão Antivirus, tạo tải lớn hệ thống giảm thiểu hiệu Tính tuân thủ tính riêng tư liệu – với khả cung cấp dễ dàng đặc tính linh động desktop ảo, gây khó khăn việc trì ghi giám sát trạng thái bảo mật desktop ảo thời điểm Hệ nhiều quy định yêu cầu bảo vệ anti-malware tức thời 3.1.4 Một số giải pháp 3.1.4.1 Kiến trúc Mobile Secure Desktop Được mô tả chi tiết [9], tổng thể giải pháp tập trung giải ba yếu tố chính: Tính linh động Bảo mật Quản lý 3.1.4.2 Tiếp cận antivirus Tiếp cận cho việc bảo vệ chống lại virus môi trường VMware View mô tả chi tiết [10] Phần mềm antivirus số mảng lớn thị trường bảo mật máy tính Gần tất tập đoàn triển khai phần mềm antivirus desktop Do dịch vụ bảo mật, tính linh động, điều khiển truy cập ứng dụng doanh nghiệp đưa vào trung tâm liệu đám mây, thực thi antivirus cần phải chuẩn bị cẩn thận 3.2 Mơ hình đề xuất Meta Mobile Security (MeMoc) 3.2.1 Giới thiệu mơ hình MeMoc Luận văn thạc sỹ đề xuất mơ hình an ninh cho dịch vụ điện tốn đám mây, mơ hình MeMoc, viết tắt Meta Mobile Security Các lớp mô hình xây dựng dựa quan điểm bao quát người quản trị tập trung vào hai vấn đề then chốt, bao gồm quản lý rủi ro tăng cường bảo mật 18 3.2.1.1 Mối quan tâm quản lý rủi ro Quản lý rủi ro bao gồm kiểm tra, di trú giám sát nguy hại để ngăn ngừa rủi ro xảy mức chấp nhận Bất kỳ chiến lược quản lý rủi ro cung cần đánh giá mức độ ưu tiên bảo mật, bao gồm khía cạnh nêu sau đây: Bảo vệ tài nguyên đem lại lợi nhuận: gián đoạn kinh doanh gây cố công mạng gây thiệt hại lợi nhuận, dạng ảnh hưởng trực tiếp tới kinh doanh gây mạng niềm tin khách hàng thất thơng tin quan trọng Chú trọng yêu cầu khách hàng: khách hàng ngày quan tâm đến việc bảo vệ thông tin nhạy cảm cá nhân họ Các nguy hại tới sách khách hàng, thất thơng tin bảo mật giảm thiểu mức độ dịch vụ gây nên ảnh hưởng xấu tới doanh nghiệp Bảo vệ nhận dạng nhãn hiệu: lỗ hỏng bảo mật công, đặc biệt cơng tới thơng tin mức cao, gây ảnh hưởng nghiêm trọng tới chiến lược marketing, danh tiếng tin cậy doanh nghiệp Tính tuân thủ với quy định chuẩn: thất bại việc tuân thủ với quy định chuẩn hợp phát trở nên ngày khắt khe dẫn tới hậu xấu, hội kinh doanh quyền lợi hợp pháp 3.2.1.2 Mục tiêu bảo mật Các vấn đề sau cần phải giải để hướng tới mục tiêu bảo mật Tính sẵn sàng – tính sẵn sàng liên tục hệ thống trọng vào tiến trình, sách điều khiển sử dụng để đảm bảo người dùng có truy cập nhanh chóng tới thơng tin Mục tiêu bảo vệ khỏi cố gắng can thiệp phá để từ chối truy cập hợp pháp tới thông tin hệ thống Tính bảo tồn liệu hệ thống – liên quan tới tiến trình, sách điều khiển sử dụng để đảm bảo thông tin không bị làm sai lệch theo cách không hợp pháp hệ thống thoát khỏi chỉnh sửa bất hợp pháp nhằm khai thác vào tính xác, tính hồn thiện độ ổn định 19 Tính bảo mật liệu hệ thống – tính bảo mật bao gồm tiến trình, sách điều khiển sử dụng để bảo vệ thông tin người dùng thiết lập chống lại truy cập sử dụng bất hợp pháp Khả tính tốn – chế tính tốn rõ ràng liên quan đến tiến trình, sách điều khiển cần thiết để lần vết hành động lên tài ngun Khả tính tốn hỗ trợ trực tiếp không chối bỏ, ngăn chặn, ngăn ngừa xâm nhập, giám sát bảo mật, khôi phục tính hợp pháp chấp nhận ghi Tính đảm bảo – trọng vào tiến trình, sách điều khiển sử dụng để phát triển tính bảo mật để thu thập số liệu kỹ thuật hoạt động dự định Các mức độ đảm bảo thành phần thiết kế hệ thống bao gồm tính sẵn sàng, tính bảo tồn, tính bảo mật khả tính tốn Tính đảm bảo nhấn mạnh bảo mật hệ thống cung cấp chức cần thiết ngăn ngừa hoạt động không mong muốn Dựa đánh giá ưu nhược điểm giải pháp hãng, mơ hình MeMoc mơ hình đề xuất gồm lớp sau: Giới hạn truy cập theo vai trò Áp đặt sách mật nghiêm ngặt Quản lý Điều khiển thay đổi Giám sát ghi lại log Cập nhật vá Phát triển hệ thống ứng dụng đóng Cấu hình Firewall thích hợp Tích hợp Cài đặt chương trình antivirus Mã hóa liệu Tăng cường tính đóng hệ thống Sao lưu khơi phục thảm họa Hình 3.2 Mơ hình MeMoc Hạ tầng 20 Mơ hình bao gồm lớp đảm bảo đem đến môi trường bảo mật phù hợp hệ thống khác nhau: Giới hạn truy cập (dựa theo vai trị) Áp đặt sách đặt mật nghiêm ngặt Điều khiển thay đổi Giám sát ghi lại log Cập nhật vá thích hợp Phát triển hệ thống ứng dụng đóng Cấu hình firewall thích hợp Cài đặt chương trình antivirus Mã hóa liệu Tăng cường tính đóng hệ thống Sao lưu khôi phục thảm họa Các lớp tương ứng với ba phần riêng biệt hệ thống hoàn chỉnh hạ tầng, tích hợp quản lý 3.2.2 Mơ tả Mỗi lớp mơ hình đóng vai trị quan trọng định, góp phần gây dựng thiết kế quán có quan hệ chặt chẽ mơ hình Một số u cầu triển khai mơ tả chi tiết [6] Cấu hình firewall thích hợp Đây yêu cầu bắt buộc chung hệ thống liên quan đến IT nói chung đám mây nói riêng Firewall giúp kiểm sốt kết nối chủ động thuận tiện cho việc quản trị Người quản trị áp đặt sách cho đối tượng truy cập tài nguyên sử dụng tùy theo doanh nghiệp Tăng cường tính đóng hệ thống Hạ tầng hệ thống cần thiết kế theo mức vừa phải, đảm bảo đầy đủ chức cần thiết nhiên không nên cung cấp nhiều mức độ tùy chỉnh cho người dùng Vì hệ thống đóng khiến khả khai thác tin tặc bị hạn chế nhiều Điều đặc biệt quan trọng với mơi trường ảo hóa chia sẻ tài nguyên chung 21 Mã hóa bảo vệ liệu Áp đặt cách thức mã hóa liệu yếu tố cần thiết mô hình bảo mật Nó giúp tài ngun truy cập người dùng nắm thơng tin mã hóa Cài đặt chương trình antivirus Với mơi trường hỗn tạp, nhiều người dùng truy cập từ nhiều nơi khác VMware View, việc nhiễm virus, malware lên hệ thống trình thao tác người dùng điều không tránh khỏi Cài đặt chương trình antivirus mạnh mẽ đảm bảo tiêu tốn tài nguyên hợp lí yếu tố quan trọng mơ hình Cập nhật vá thích hợp Các chương trình sử dụng mơi trường IT cần có vá định kỳ đế sửa lỗi chưa hoàn thiện Việc cập nhật thường xuyên giúp ngăn ngừa kịp thời lỗ hổng mà tin tặc khai thác Phát triển hệ thống ứng dụng đóng Việc phát triển hệ thống ứng dụng đóng xu hướng tất yếu môi trường đám mây chia sẻ VMware View Tính đóng giúp hạn chế mức độ can thiệp người dùng cung cấp đầy đủ đáp ứng nhu cầu ứng dụng cho người dùng Giới hạn truy cập (dựa theo vai trò) Phân quyền sử dụng nhân tố bắt buộc môi trường yêu cầu mức độ quản lý chặt chẽ ảo hóa desktop Phân quyền ngồi hỗ trợ quản lý cho người quản trị giúp linh động sách quản trị doanh nghiệp Áp đặt sách đặt mật nghiêm ngặt Với dịch vụ đám mây VMware View dịch vụ đám mây khác, việc hướng tới dạng truy cập lần (Single Sign On) để sử dụng tất tài nguyên điều tất yếu Khi người cần tài khoản để truy cập tới thông tin cần thiết Như việc áp đặt sách đặt mật cần quán, đảm bảo thời gian thay đổi để không gây nguy hại người dùng mật Điều khiển thay đổi 22 Người quản trị cần nắm rõ thay đổi hệ thống để đảm bảo khơng có hành động vi phạm sách, nằm giới hạn quy định Hay chi phát kịp thời tổn hại đến sách chung Giám sát ghi lại log Việc ghi lại log cần thiết Đặc biệt log lần truy cập liệu Tên người dùng truy cập vào tài nguyên người quản trị nắm rõ hồn tồn Từ thu hẹp phạm vi điều tra xử lý kịp thời có cố xảy Sao lưu khơi phục thảm họa Đây bước cuối khơng phần quan trọng mơ hình Dù phát kịp thời xử lý cơng bảo mật gây thất liệu, có nhiều trường hợp giữ lại đầy đủ liệu ban đầu liệu gần Khi lưu nơi để người quản trị lấy lại liệu cần thiết cho hệ thống 3.2.3 Áp dụng mơ hình Theo lớp mơ hình đề xuất, áp dụng phương thức bảo mật lên mơi trường VMware View sau Có thể tham chiếu tới hạ tầng quản lý VMware để thấy rõ ràng lớp hệ thống hình 14 (Trang tài liệu [13]) Hình 3.3 Mơ hình quản lý chung VMware 23 Mơ hình quản lý chung VMware bao gồm thành phần: thành phần hạ tầng, thành phần phía mang tính quản lý tích hợp chung bao gồm quản trị điều hành chung hệ thống, bảo mật, quản lý giao diện tới người dùng đầu cuối 3.3 Kết luận Chương giới thiệu mơ hình bảo mật đảm bảo an tồn an ninh MeMoc Với mục đích đề xuất giải pháp chung cho tất hạ tầng mạng điện toán đám mây, mơ hình sử dụng mơi trường VMware để làm ví dụ áp dụng Mơi trường điện tốn đám mây xây dựng mơi trường ảo hóa VMware mơi trường điển hình đảm bảo mơi trường điện tốn đám mây Với lợi ích đem lại mơi trường IT giới thiệu, mơ hình Desktop as a Cloud có hạn chế bảo mật mà giải pháp mà VMware đưa chưa hồn tồn đảm bảo mơ hình bảo mật an toàn an ninh xuyên suốt cho giải pháp mà cịn mang tính rời rạc Trên sở phân tích yếu tố mơ hình, việc áp dụng mơ vào mơi trường khác hồn tồn tham khảo từ thực tế áp dụng môi trường VMware 24 KẾT LUẬN CHUNG Qua ba chương luận văn hết vấn đề từ khái niệm bảo mật điện tốn đám mây tình hình ứng dụng giới Việt Nam Luận văn tóm tắt số hướng nghiên cứu cho vấn đề bảo mật an toàn an ninh mơi trường điện tốn đám mây Qua thấy vấn đề bảo mật đảm bảo an tồn liệu cho người dùng mơi trường điện tốn đám mây mảng rộng khó giải triệt để hoàn toàn Nhiều đề xuất đưa số thực thi nhiên chưa hoàn thiện triệt để để áp dụng rộng rãi mà bó hẹp phạm vi hệ thống cụ thể Luận văn khơng nằm ngồi quy luật với việc đề xuất mơ hình MeMoc Mơ hình MeMoc chất tổng hợp khuyến nghị bảo mật đảm bảo an toàn liệu từ hãng tổ chức khác từ đưa phối hợp thành thể thống Luận văn áp dụng mô hình thống cho mơi trường cụ thể mơi trường ảo hóa VMware Tuy nhiên mang tính mở làm tham khảo, tham chuẩn cho môi trường hệ thống khác Tất nhiên giải pháp đề xuất mang phần nhiều tính lý thuyết thực tế có thành phần sử dụng thực tế mang tính rời rạc chưa hoạt động phối hợp chặt chẽ với Dù để tiến lên phát triển chuẩn chung cho mơ hình bảo mật an tồn an ninh điện tốn đám mây đề xuất giải pháp tổng hợp tham khảo quý giá cho nhà nghiên cứu phát triển Tác giả luận văn Dương Phương Đông ... chống nguy hệ thống điện toán đám mây giúp người quản trị đưa chiến lược phù hợp cho điện toán đám mây doanh nghiệp Trong số sản phẩm cho mơi trường điện tốn đám mây lên giải pháp VMware phù hợp... bảo mật an toàn an ninh mơi trường điện tốn đám mây 2 CHƯƠNG I: NGHIÊN CỨU VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VIỆC ỨNG DỤNG TẠI VIỆT NAM 1.1 Một số khái niệm điện tốn đám mây Điện tốn đám mây mơ hình cho... cho giải pháp Bố cục luận văn sau: Chương I: Nghiên cứu điện toán đám mây việc ứng dụng Việt Nam Chương II: Nghiên cứu bảo mật mơi trường điện tốn đám mây Chương III: Giải pháp bảo mật an toàn an