HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Dương Văn Dũng NGHIÊN CỨU LỰA CHỌN MƠ HÌNH VÀ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY TẠI VIỆT NAM Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC TS NGUYỄN TRỌNG ĐƯỜNG HÀ NỘI - 2013 MỞ ĐẦU  Lý chọn đề tài Điện toán đám mây (ĐTĐM) coi xu hướng chủ đạo ngành cơng nghệ thơng tin tồn cầu.Các hoạt động liên quan đến điện toán đám mây diễn nhiều quan phủ, tổ chức doanh nghiệp giới.Tại nhiều nước, mơ hình máy chủ ảo thực quan tâm ứng dụng hiệu Điện toán đám mây xuất Việt Nam từ năm 2009, nhiên việc phát triển ứng dụng CNTT dựa mơ hình cịn nhiều hạn chế.Trên thực tế có số doanh nghiệp, cá nhân dùng thử dịch vụ đám mây miễn phí nhà cung cấp nước nước ngồi Một số tỉnh, thành phố có kế hoạch triển khai ứng dụng CNTT dựa mô hình ĐTĐM phục vụ hoạt động quan nhà nước Tuy vậy, thời gian gần đây, tình hình an tồn thơng tin số nước ta diễn biến phức tạp, xuất nhiều nguy đe dọa nghiêm trọng đến việc ứng dụng phát triển CNTT phục vụ phát triển kinh tế xã hội đảm bảo quốc phịng, an ninh Với việc triển khai mơ hình điện toán đám mây, tất tài nguyên, ứng dụng liệu tổ chức , doanh nghiệp tập trung chỗ Vấn đề đảm bảo an tồn an ninh thơng tin, chất lượng dịch vụ, yêu cầu độ sẵn sàng hệ thống có ảnh hưởng định tới việc ứng dụng phát triển CNTT tổ chức, doanh nghiệp Mặt khác, để thúc đẩy phát triển ứng dụng CNTT ĐTĐM cách chuyên nghiệp, có chất lượng, có hiệu quả, đảm bảo chất lượng dịch vụ cho khách hàng, cần có nghiên cứu an tồn thông tin ĐTĐM giải pháp đảm bảo an tồn thơng tin lựa chọn mơ hình, giải pháp hạ tầng, liệu phần mềm nhằm đạt mục tiêu Do tơi lựa chọn đề tài nhằm thực công việc  Mục đích nghiên cứu Trong phạm vi nghiên cứu đề tài khoa học, tơi mong muốn hồn thành nội dung sau: - Nghiên cứu tổng quan an tồn thơng tin điện tốn đám mây - Nghiên cứu giải pháp đảm bảo an tồn thơng tin - Lựa chọn mơ hình, giải pháp đảm bảo an tồn thơng tin việc triển khai điện toán đám mây Việt Nam 2  Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: doanh nghiệp, quan tư nhân nhà nước xây dựng triển khai hệ thống điện toán đám mây; doanh nghiệp cung cấp dịch vụ điện toán đám mây Phạm vi nghiên cứu: - Nghiên cứu tổng quan an tồn thơng tin điện tốn đám mây - Nghiên cứu giải pháp đảm bảo an tồn thơng tin - Lựa chọn mơ hình giải pháp để đảm bào an tồn thơng tin việc triển khai điện toán đám mây Việt Nam  Kết cấu nội dung Với mục tiêu đặt vậy, nội dung kết nghiên cứu luận văn trình bày ba chương sau Chương 1: Tổng quan an tồn thơng tin Điện tốn đám mây, tính chất, đặc điểm, thành phần mơ hình triển khai điện tốn đám mây Chương 2: Nêu giải pháp an tồn thơng tin Điện toán đám mây, bao gồm giải pháp hạ tầng, ứng dụng, phần mềm liệu nhằm đảm bảo an tồn thơng tin Chương 3: Lựa chọn mơ hình giải pháp đảm bào an tồn thơng tin điện tốn đám mây Việt Nam Phần kết luận đưa đánh giá kết đạt thảo luận huớng nghiên cứu tiếp luận văn 3 Chương - TỔNG QUAN AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY 1.1 Khái niệm đặc tính, mơ hình kiến trúc điện toán đám mây 1.1.1 Khái niệm điện toán đám mây Thuật ngữ điện toán đám mây - Cloud Computing xuất gần Tuy nhiên có nhiều hãng cơng nghệ lớn quan tâm Microsoft, Google, IBM, Amazon…do điện toán đám mây ngày thúc đẩy phát triển mạnh mẽ Sự phát triển mạnh mẽ điện toán đám mây thu hút nhiều nhà khoa học, trường đại học công ty công nghệ thông tin đầu tư nghiên cứu Nhiều định nghĩa điện toán đám mây đưa Mỗi nhóm nghiên cứu đưa định nghĩa theo cách hiểu, cách tiếp cận riêng nên khó tìm định nghĩa tổng quát điện toán đám mây Dưới ví dụ số định nghĩa điện tốn đám mây: - Theo Wikipedia: ĐTĐM mơ hình điện tốn sử dụng cơng nghệ máy tính phát triển dựa vào mạng Internet - Theo hãng công nghệ IBM: ĐTĐM giải pháp tồn diện cung cấp cơng nghệ thơng tin dịch vụ Nó giải pháp điện tốn dựa Internet cung cấp tài nguyên chia sẻ giống dòng điện phân phối lưới điện đ sẻ mạng máy chủ, phần mềm liệu - Theo DefininitionCloudcomputing.com: Điện toán đám mây kiến trúc phân tán có khả tập trung hóa nguồn lực máy chủ dựa tảng mở rộng nhằm cung cấp tài nguyên điện toán theo nhu cầu - Dịch vụ ĐTĐM bao gồm: dịch vụ cho thuê hạ tầng theo mơ hình điện tốn đám mây, dịch vụ cho th mơi trường tảng theo mơ hình điện toán đám mây, dịch vụ cho thuê phần mềm theo mơ hình điện tốn đám mây 1.1.2 Các đặc tính mơ hình điện tốn đám mây Điện toán đám mây bao gồm đặc tính sau: Hình 1.1.3 Các đặc tính mơ hình dịch vụ, triển khai  Tự phục vụ theo nhu cầu (on-demand self-service)  Truy cập thông qua mạng diện rộng (broad network access)  Dùng chung tài nguyên (Resource pooling)và độc lập vị trí  Tính co giãn nhanh chóng (rapid elasticity)  Điều tiết dịch vụ (Measured service) 1.1.3 Mơ hình triển khai, lớp dịch vụ điện toán đám mây a) Bốn mơ hình triển khai điện tốn đám mây Bốn mơ hình triển khai đám mây gồm:  Đám mây công cộng - Public cloud Các dịch vụ Public Cloud hướng tới số lượng khách hàng lớn nên thường có lực hạ tầng cao, đáp ứng nhu cầu tính tốn linh hoạt, đem lại chi phí thấp cho khách hàng Các đám mây công cộng dịch vụ đám mây bên thứ ba (người bán) cung cấp.Chúng tồn ngồi tường lửa cơng ty chúng lưu trữ đầy đủ nhà cung cấp đám mây quản lý  Đám mây riêng - Private Cloud Hạ tầng đám mây vận hành cho riêng doanh nghiệp.Nó quản lý doanh nghiệp bên thứ ba hữu sở doanh nghiệp (on premise) bên (off premise) Những đám mây tồn bên tường lửa hệ thống máy tính tổ chức/doanh nghiệp tổ chức/doanh nghiệp quản lý 5 Chính vậy, việc quản lý sử dụng đám mây riêng làm cho vấn đề an toàn bảo mật đảm bảo  Đám mây cộng đồng – CommunityCloud Đám mây cộng đồng mô hình hạ tầng đám mây chia sẻ số tổ chức cho cộng đồng người dùng tổ chức Các tổ chức đặc thù không tiếp cận với dịch vụ Public Cloud chia sẻ chung hạ tầng điện toán đám mây để nâng cao hiệu đầu tư sử dụng Đám mây cộng đồng quản lý bên thứ ba, thiết lập tổ chức có yêu cầu nhiệm vụ tương tự tìm cách chia sẻ hạ tầng để thu số lợi ích từ ĐTĐM  Đám mây lai - Hybrid Cloud Các đám mây lai kết hợp đám mây công cộng riêng Những đám mây thường doanh nghiệp tạo trách nhiệm quản lý phân chia doanh nghiệp nhà cung cấp đám mây công cộng Đám mây lai sử dụng dịch vụ có khơng gian cơng cộng riêng Hạn chế với đám mây khó khăn việc tạo quản lý có hiệu giải pháp vậy.Phải nhận cung cấp dịch vụ lấy từ nguồn khác thể chúng có nguồn gốc từ chỗ tương tác thành phần riêng chung làm cho việc thực chí phức tạp nhiều Do khái niệm kiến trúc tương đối điện toán đám mây, nên cách thực hành công cụ tốt loại tiếp tục lên bất đắc dĩ chấp nhận mơ hình hiểu rõ b) Ba lớp dịch vụ điện toán đám mây Dịch vụ điện toán đám mây đa dạng bao gồm tất lớp dịch vụ điện tốn từ cung cấp lực tính tốn máy chủ hiệu suất cao hay máy chủ ảo, không gian lưu trữ liệu, hay hệ điều hành, cơng cụ lập trình, hay ứng dụng cụ thể Các dịch vụ phân loại da dạng, mơ hình dịch vụ điện tốn đám mây phổ biến phân thành nhóm: sở hạ tầng dịch vụ (Infrastructure as a Service – IaaS), tảng dịch vụ (Platform as a Service – PaaS) Phần mềm dịch vụ (Software as a Service – SaaS) 6 Hình 1.1.6 Các lớp dịch vụ điện tốn đám mây  IaaS – Hạ tầng dịch vụ Các dịch vụ IaaS cung cấp cho khách hàng tài ngun hạ tầng điện tốn máy chủ (có thể lựa chọn hệ điều hành – điển hình Windows Linux), mạng, không gian lưu trữ, cơng cụ quản trị tài ngun Các tài nguyên thường ảo hóa, chuẩn hóa thành số cấu hình trước cung cấp để đảm bảo khả linh hoạt quản trị hỗ trợ tự động hóa IaaS bao gồm kết hợp tài nguyên phần cứng phần mềm Phần mềm IaaS mã mức thấp chạy độc lập với hệ điều hành —được gọi trình siêu giám sát— chịu trách nhiệm kiểm kê tài nguyên phần cứng phân phối tài nguyên theo yêu cầu Quá trình gọi phân nhóm tài nguyên (resource pooling) Phân nhóm tài ngun trình siêu giám sát làm cho ảo hóa, ảo hóa làm cho có khả điện tốn nhiều bên th  PaaS – Nền tảng dịch vụ Dịch vụ PaaS cung cấp tảng điện toán cho phép khách hàng phát triển phần mềm, phục vụ nhu cầu tính toán xây dựng thành dịch vụ tảng đám mây Dịch vụ PaaS cung cấp dạng ứng dụng lớp (middleware), máy chủ ứng dụng (applicationserver) công cụ lập trình với ngơn ngữ lập trình định để xây dựng ứng dụng Dịch vụ PaaS xây dựng riêng cung cấp cho khách hàng thông qua API riêng Khách hàng xây dựng ứng dụng tương tác với hạ tầng điện toán đám mây thơng qua API Ở mức PaaS, khách hàng khơng quản lý tảng đám mây hay tài nguyên lớp hệ điều hành, lưu giữ lớp Khách hàng điển hình dịch vụ PaaS nhà cung cấp phần mềm độc lập (ISV - Independent Software Vendor)  SaaS – Phần mềm dịch vụ SaaS tiêu biểu cho tiềm sử dụng phần mềm với chi phí thấp cho doanh nghiệp - sử dụng phần mềm theo yêu cầu khơng mua giấy phép cho máy tính, đặc biệt bạn thấy hầu hết máy tính nằm im gần 70% thời gian Thay phải mua nhiều giấy phép cho người dùng nhất, doanh nghiệp đưa thời gian sử dụng giấy phép lên gần đến 100% thời gian, tiết kiệm nhiều tiền 1.2 Vai trị điện tốn đám mây Điện tốn đám mây làm thay đổi cách thức đầu tư vào ứng dụng công nghệ thông tin Ưu điểm bật đơn giản hóa, làm giảm cơng việc cần phải thực người sử dụng cuối Người sử dụng giải khỏi hạng mục khơng cần thiết tập trung cho việc ứng dụng công nghệ thông tin lĩnh vực chun mơn Quy trình triển khai ứng dụng công nghệ thông tin theo phương thức truyền thống cần phải qua số bước sau: Lựa chọn ứng dụng Đặt kế hoạch Mua sắm hạ tầng Thiết lập hệ thống Phối hợp triển khai Cài đặt Kiểm tra chất lượng Kích hoạt dịch vụ Quản lý vịng đời Hình 1.2.1 Quy trình triển khai hệ thống sở hạ tần truyền thống Tuy nhiên chuyển sang điện tốn đám mây, quy trình triển khai thay đổi với số bước giảm nhiều Khi sử dụng SaaS: người dùng cần lựa chọn ứng dụng phù hợp, đăng ký dịch vụ sử dụng với nhà cung cấp Sau dịch vụ kích hoạt sử dụng dịch vụ khơng phải quan tâm đến trì vận hành Lựa chọn ứng dụng Đăng ký dịch vụ Kích hoạt dịch vụ Hình 1.2.2 quy trình triền khai ứng dụng sử dụng SaaS Như ta thấy trình ứng dụng cơng nghệ thơng tin có sử dụng điện tốn đám mây đơn giản nhiều Thời gian triển khai rút ngắn, cơng việc đơn giản hóa đặt trọng tâm vào nhiệm vụ có liên quan trực tiếp đến ứng dụng khách hàng sử dụng dịch vụ 1.3 Các vấn đề ảnh hưởng đến hệ thống điện tốn đám mây 1.3.1 Tính riêng tư Mơ hình ĐTĐM bị trích người ủng hộ tính riêng tư với cơng ty điều khiển dịch vụ lưu trữ đám mây Họ lấy lý theo dõi liệu lưu trữ người sử dụng máy chủ công ty lưu trữ (nhà cung cấp dịch vụ) theo ý muốn, hợp pháp bất hợp pháp 1.3.2 Tính tuân thủ Sử dụng ĐTĐM để xử lý liệu lưu trữ mang đến lợi ích đơn giản chi phí, đảm bảo tuân thủ quy định lại không đơn giản Hầu hết luật tuân thủ liệu văn liên quan đưa với giả định bên tự chịu trách nhiệm kiểm soát liệu định vị trí đặt lưu trữ Trên thực tế, khơng có pháp luật quy định thừa nhận nhà cung cấp dịch vụ giữ liệu danh nghĩa tổ chức Vì vậy, hầu hết tình tuân thủ nêu định tất trách nhiệm cho người dùng môi trường ĐTĐM thực tế phần lớn người sử dụng khơng kiểm sốt liệu 1.3.3 Tính hợp pháp Nếu cơng ty sử dụng dịch vụ ĐTĐM để lưu trữ truy cập liệu kinh doanh, cần quan tâm đến vấn đề sau liên quan đến pháp lý: - Làm nhận lại liệu không sử dụng dịch vụ ĐTĐM nhà cung cấp nữa? - Sau chấm dứt hợp đồng, chắn nhà cung cấp dịch vụ ĐTĐM xóa liệu - Hiểu nghĩa vụ lưu liệu - Đảm bảo bảo vệ bí mật thương mại - Thiết lập quyền kiểm toán đám mây hoạt động CNTT 1.3.4 Mã nguồn mở Phần mềm mã nguồn mở cung cấp tảng cho việc triển khai ĐTĐM ĐTĐM mơ hình phân phối sử dụng dịch vụ CNTT dựa Internet, đặc trưng việc cung cấp tài nguyên thường ảo hóa dịch vụ Internet Hầu hết hạ tầng tảng điện toán đám mây cấu tạo thành dịch vụ, phân phối thông qua trung tâm liệu xây dựng máy chủ Ngoài ra, nhờ mã nguồn cơng khai, nhiều nhà cung cấp tìm hiểu để làm chủ phần mềm Nó vận hành bảo trì nhiều nhà cung cấp phát lỗi lỗ hổng an ninh, họ nhanh chóng tham gia vá lỗi lỗi sửa thời gian ngắn 1.3.5 Các tiêu chuẩn mở Các tiêu chuẩn mở ĐTĐM quyền phép ứng dụng khai thác liệu khoa học công nghiệp mà quan trọng chi phí sở hữu thấp, cho phép cộng đồng lớn tập trung vào phát triển thuật toán, ứng dụng…tránh vấn đề độc quyền khơng tương thích hệ thống Khơng thiếu trích ĐTĐM thiếu tính tương thích, lo ngại đóng kín từ phía nhà cung cấp, hay rủi ro bảo mật 1.3.6 Tính bảo mật Một mối lo ngại hàng đầu liệu bị trộn lẫn nhà cung cấp dịch vụ lưu trữ thông tin, liệu nhiều doanh nghiệp phần cứng Trong đó, tâm lý doanh nghiệp sử dụng dịch vụ ln muốn liệu phải tách bạch riêng rẽ, để bí mật kinh doanh không rơi vào tay đối thủ cạnh tranh họ ủy thác toàn liệu cho nhà cung cấp An ninh điện toán đám mây đặt ba vấn đề: tính an ninh, tính riêng tư tuân thủ tính pháp lý hợp đồng nhà cung cấp dịch vụ doanh nghiệp sử dụng dịch vụ Vì vậy, doanh nghiệp sử dụng dịch vụ điện tốn đám mây phải cân nhắc đến sách bảo mật quản lý liệu, chuẩn bảo mật, xác thực truy cập, công nghệ xác thực liên miền, hệ thống dự phịng… Ngồi việc đánh giá mức độ rủi ro sử dụng dịch vụ, 10 doanh nghiệp cần đánh giá mức độ đáng tin cậy nhà cung cấp thông qua hợp đồng trách nhiệm pháp lý 1.3.7 Tính bền vững ĐTĐM quảng bá với khả giải nhu cầu lớn doanh nghiệp hiệu sử dụng lượng CNTT.Việc sử dụng ĐTĐM đem lại nhiều lợi ích bền vững 1.4 Tình hình an tồn thơng tin điện tốn đám mây 1.4.1 Rủi ro an tồn thơng tin điện tốn đám mây Một số rủi ro an tồn thơng tin điện tốn đám mây:  Mất kiểm soát  Phụ thuộc  Cách ly bất thành  Giao diện bị lộ  Bảo vệ liệu 1.4.2 Các vấn đề sách bảo mật, tính tồn vẹn liệu Tuy gặp phải vơ số vấn đề bảo mật,chúng không ngăn bùng nổ công nghệ ưa chuông điện toán đám mây khả giải đáp ứng nhu cầu thiết kinh doanh Để đảm bảo an tồn cho đám mây điện tốn, cần nắm vai trị phát triển công nghệ Rất nhiều câu hỏi tồn xung quanh ưu khuyết điểm sử dụng điện tốn đám mây tính bảo mật, hữu dụng quản lí ln ý xem xét kĩ lưỡng Bảo mật đề tài giới người dùng thắc mắc nhiều sau 10 câu hỏi hàng đầu đặt để định liệu việc triển khai điện tốn đám mây có phù hợp hay khơng khơng nên chọn mơ hình cho phù hợp: 1.5 Kết luận chương Chương mang đến nhìn tổng quan an tồn thơng tin ĐTĐM từ mơ hình kiến trúc, đặc tính, mơ hình triển khai ĐTĐM vấn đề ảnh hưởng đến hệ thống ĐTĐM Trong chương nêu bật rủi ro an tồn thơng tin, vấn đề sách bảo mật vai trị chúng ĐTĐM 11 Chương - CÁC GIẢI PHÁP AN TOÀN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY 2.1 Đánh giá vấn đề an ninh điện toán đám mây An ninh ĐTĐM lĩnh vực tiến hóa an ninh máy tính, an ninh mạng và, mức độ rộng lớn hơn, an ninh thơng tin Nó tham chiếu tới tập hợp lớn sách, cơng nghệ, kiểm sốt triển khai để bảo vệ dự liệu, ứng dụng hạ tầng có liên quan tới ĐTĐM Phạm vi ảnh hưởng an ninh ĐTĐM vài lĩnh vực chung như: (1) An ninh Tính riêng tư; (2) Sự tuân thủ; (3) Pháp lý Hợp đồng Kiến trúc ĐTĐM gồm lớp: Hạ tầng (IaaS) - Nền tảng (PaaS) - Phần mềm (SaaS) - dịch vụ: Hình 2.1.1 Kiến trúc lớp ĐTĐM - IaaS chứa toàn tài nguyên hạ tầng trang thiết bị phần cứng, tài nguyên ảo hóa (nếu có), phân phối kết nối vật lý logic cho tài nguyên này, cung cấp tập hợp APIs cho phép quản lý tạo nên tương tác với hạ tầng người sử dụng Nó tảng tất dịch vụ ĐM, PaaS SaaS xây nó, thừa hưởng rủi ro an ninh - PaaS, so với IaaS, bổ sung thêm lớp tích hợp để xây dựng ứng dụng tảng có sẵn: phần mềm trung gian, ngôn ngữ & công cụ lập trình - SaaS đưa mơi trường điều hành để phân phối cho người sử dụng nội dung, cách trình bày, ứng dụng khả quản lý 2.2 Các giải pháp an toàn hạ tầng máy chủ đường truyền Hạ tầng vật lý hệ thống ĐTĐM cần đảm bảo:  Thiết lập hệ thống CNTT phòng phù hợp  Kiểm sốt truy cập tới phịng  Các hệ thống bảo vệ phòng chữa cháy phù hợp 12  Các hệ thống cung cấp điện phù hợp  Các hệ thống điều hồ khơng khí phù hợp  Sao lưu liệu theo khái niệm lưu liệu liên quan 2.2.1 Vùng mối giao tiếp Các hệ thống bên trung tâm máy tính đặt vùng khác xác định sở yêu cầu an toàn an ninh phù hợp cho dịch vụ liệu vùng tương ứng Ít vùng mô tả phải triển khai hạ tầng trung tâm máy tính  Vùng thơng tin dịch vụ  Vùng xử lý logic  Vùng liệu  Vùng quản trị  Vùng lưu liệu 2.2.2 Truy cập mạng kiểm sốt truy cập 2.3 Các giải pháp an tồn ứng dụng phần mềm 2.3.1 Chuẩn hóa ứng dụng liệu Các biện pháp để đảm bảo an ninh hệ thống thông tin, liệu tiến hành thực xuyên suốt tất lớp Tương tự, việc chuẩn hóa liệu tiến hành thực theo tất lớp  Lớp nghiệp vụ: Chuẩn hóa qui trình nghiệp vụ, chuẩn hóa thủ tục hành thơng qua việc mơ hình hóa chúng công cụ tiêu chuẩn UML  Lớp thơng tin: Mơ hình hóa liệu chuẩn hóa liệu  Lớp hạ tầng: Đảm bảo cho dòng thơng tin chuyển động hệ thống an tồn thơng suốt Hạ tầng mạng máy tính thiết kế theo vùng việc quản lý an ninh truy cập vùng đặt lên hàng đầu Nhiều phần chuẩn hóa an ninh thực cho lớp  Lớp ứng dụng: Các module thành phần, ứng dụng - dịch vụ dùng chung, kiến trúc phần mềm tham chiếu mơ hình kiến trúc thành phần, SOA, SaaS  Lớp công nghệ: Chuẩn cho loại cơng nghệ - mơ hình kiến trúc phần mềm tham chiếu lựa chọn (thành phần, SOA, SaaS, ) nhằm đảm bảo cho tính tương hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư, hỗ trợ thị trường 13 2.3.2 Kiến trúc an ninh mở OSA  Khái niệm kiến trúc an ninh mở OSA (Open Security Architecture) OSA đưa kiến thức cộng đồng kiến trúc an ninh mẫu có khả sử dụng cho ứng dụng bạn OSA khung tự cộng đồng phát triển sở hữu cấp phép theo giấy phép tài liệu tự Chính nguyên tắc nguồn mở tạo hệ thống an ninh hơn, có kiến trúc ĐTĐM  Những lợi ích kiến trúc an ninh mở OSA đưa lợi ích cho người tiêu dùng dịch vụ CNTT, nhà cung cấp dịch vụ CNTT nhà bán hàng CNTT, trao cho toàn cộng đồng CNTT lợi ích việc sử dụng cải tiến 2.3.3 Ảo hóa Ảo hóa công nghệ thiết kế để tạo tầng trung gian hệ thống phần cứng máy chủ phần mềm chạy Cơng nghệ ảo hóa máy chủ từ máy vật lý đơn lẻ tạo thành nhiều máy ảo độc lập Mỗi máy ảo có thiết lập nguồn hệ thống riêng rẽ, hệ điều hành riêng ứng dụng riêng Có hình thức ảo hóa máy chủ: - Virtualization Management Layer: hình thức ảo hóa ban đầu máy chủ Như hình bên thể hiện, chức ảo hóa xây dựng HĐH thông dụng Một số sản phẩm thông dụng: Microsoft´s Virtual PC, and VMWare´s Workstation - Dedicated Virtualization:Hình thức ảo hóa thường gọi ―bare-metal‖, chạy trực tiếp phần cứng máy chủ Vì giúp sử dụng tài nguyên máy chủ tối ưu hình thức ―hosted‖, tốc độ xử lý nhanh Các sản phẩm thông dụng: ESX, Xen, and Hyper-V  Các nhược điểm giải pháp truyền thống Giảm chi phí đầu tư phần cứng: để đáp ứng yêu cầu không ngừng việc triển khai, phát triển dịch vụ ứng dụng mới, tổ chức cần phải tiếp tục tăng thêm số lượng máy chủ Tuy nhiên, nhiều máy chủ vấn đề khó khăn lại rõ hơn:  Chi phí tăng  Hiệu đầu tư thấp  Giảm khả quản lý  Hiệu công việc giảm  Các lợi ích ảo hóa 14 Giải pháp ảo hóa giải vấn đề chi phí suất hoạt động máy chủ việc giảm chi phí phần cứng vận hành đến 50%, sử dụng tối ưu nguồn tài ngun thơng qua ảo hóa Đồng thời giúp triển khai máy chủ nhanh chóng, dễ dàng tự động quản lý tài nguyên máy chủ tối ưu 2.4 Các giải pháp an toàn liệu 2.5 Kết luận chương Trong chương đưa giải pháp an tồn thơng tin ĐTĐM Từ đánh giá vấn đề an ninh ĐTĐM giải pháp hạ tầng, ứng dụng, phần mềm liệu Qua đem lại nhìn bao quát tất giải pháp nhằm đánh giá xem xét áp dụng vào cho mơ hình ĐTĐM cụ thể 15 Chương - LỰA CHỌN MƠ HÌNH VÀ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY TẠI VIỆT NAM 3.1 Yêu cầu chung bảo mật An ninh ĐTĐM lĩnh vực mẻ, mà lĩnh vực tiến hóa an ninh máy tính, an ninh mạng và, mức độ rộng lớn hơn, an ninh thơng tin Nó tham chiếu tới tập hợp lớn sách, cơng nghệ, kiểm soát triển khai để bảo vệ dự liệu, ứng dụng hạ tầng có liên quan tới ĐTĐM Tình hình an ninh tổ chức đặc trưng chín muồi, tính hiệu tính phức tạp kiểm sốt an ninh tinh chỉnh theo rủi ro triển khai Những kiểm soát triển khai theo nhiều lớp trải từ sở (an ninh vật lý), tới hạ tầng mạng (an ninh mạng), tới hệ thống CNTT (an ninh thông tin), tất đường tới thông tin ứng dụng (an ninh ứng dụng) Các kiểm soát bổ sung triển khai mức người qui trình, tách biệt trách nhiệm quản lý thay đổi, cách tương ứng Có thể nhiều người cho rằng, triển khai ứng dụng ĐTĐM, trách nhiệm an ninh thông tin - liệu hệ thống thông tin thuộc (các) nhà cung cấp bên ngồi, cịn thân tổ chức người sử dụng ĐTĐM khơng mắc phải trách nhiệm có theo lối truyền thống Điều này, đáng tiếc, không  An ninh ĐTĐM chia sẻ trách nhiệm nhà cung cấp người sử dụng Trong mơi trường SaaS việc kiểm sốt an ninh phạm vi thương thảo hợp đồng dịch vụ; mức dịch vụ, riêng tư, tuân thủ tất vấn đề đưa pháp luật hợp đồng Trong môi trường IaaS lại khác, trách nhiệm đảm bảo an ninh cho hạ tầng bên lớp trừu tượng thuộc nhà cung cấp, phần cịn lại trách nhiệm khách hàng PaaS đưa bù trừ giữa, nơi mà việc đảm bảo an ninh cho thân tảng nằm phía nhà cung cấp, việc đảm bảo an ninh cho ứng dụng triển khai tảng việc phát triển chúng cách có an ninh, thuộc khách hàng 16 Hiểu ảnh hưởng khác biệt mơ hình dịch vụ cách mà chúng triển khai sống cho việc quản lý tình trạng rủi ro tổ chức Việc hiểu sai trách nhiệm người sử dụng ĐTĐM dẫn người sử dụng tới việc chểnh mảng, chí từ bỏ trách nhiệm liệu, ứng dụng hậu khơn lường Tới đây, nhiều người cho rằng, triển khai ĐTĐM riêng hồn tồn tránh rắc rối tránh nhiệm an ninh trút hết sang cho nhà cung cấp người nhà tổ chức, chuyên gia công nghệ thông tin am hiểu đám mây 3.2 Quy định,khung pháp lý chuẩn kỹ thuật liên quan đến an tồn thơng tin điện tốn đám mây Việt Nam 3.2.1, Một số tiêu chuẩn choan ninh thông tin ĐTĐM Thế giới  Tiêu chuẩn an ninh  Tiêu chuẩn tính tương hợp  Tiêu chuẩn tính khả chuyển 3.2.2 Chuẩn kỹ thuật liên quan đến an tồn thơng tin ĐTĐM Việt Nam Có số quy định thức Chính phủ hệ thống quản lý an ninh thơng tin riêng mình, dựa vào tiêu chuẩn ISO/IEC 27001 chuyển sang TCVN để làm sở cho vấn đề khái niệm có liên quan bên tham gia liên tục đóng góp ý kiến phản hồi q trình triển khai thực tế 3.3 Đề xuất khung quy chế để xây dựng, triển khai, vận hành, trì hệ thống đám mây đảm bảo an tồn thơng tin Ngồi việc có khung hành lang pháp lý để quy định việc đảm bảo an tồn thơng tin hệ thống điện tốn đám mây nói chung, tơi xin đề xuất khung quy chế để xây dựng, triển khai, vận hành trì hệ thống đám mây đảm bảo an tồn thơng tin sau:  u cầu chung với nhà cung cấp ĐTĐM Do tính chất quan trọng liệu quan nhà nước, hệ thống điện tốn đám mây ngồi việc cung cấp mơi trường linh hoạt, ổn định cần phải đảm bảo an tồn cho thơng tin liệu ln chuyển hệ thống Chính vậy, tơi xin đề xuất theo hướng cần có quy định quản lý nhà nước đối vơí tổ chức, doanh nghiệp cung cấp giải pháp để xây dựng triển khai hệ thống đám mây quan nhà nước sau: 17 - Có Giấy chứng nhận đăng ký doanh nghiệp có hiệu lực, Giấy chứng nhận đăng ký kinh doanh có hiệu lực, Giấy chứng nhận đầu tư có hiệu lực, có ghi ngành, nghề kinh doanh kinh doanh dịch vụ điện toán đám mây - Hệ thống trang thiết bị để xây dựng hệ thống hạ tầng điện tốn đám mây phải có giấy chứng nhận chứng minh đảm bảo an toàn thông minh tuân thủ tiêu chuẩn bảo mật - Có phương án dự phịng đảm bảo trì hoạt động an toàn, liên tục khắc phục có cố xảy - Có biện pháp đảm bảo an tồn, bảo mật thơng tin, bí mật thơng tin, liệu - Có áp dụng hệ thống quản lý chất lượng, hệ thống quản lý an toàn, bảo mật thông tin theo tiêu chuẩn hành  Đối với quan nhà nước xây dựng hệ thống đám mây - Việc đầu tư xây dựng hệ thống đám mây quan nhà nước phải tuân thủ theo quy hoạch, đảm bảo yêu cầu kỹ thuật, chất lượng, an tồn, bảo mật thơng tin, phạm vi phục vụ đủ lớn, khả thi quản lý khai thác, đảm bảo hiệu đầu tư - Phải tuân thủ nghiêm ngặt quy định chuẩn kết nối, chuẩn liệu, trang thiết bị phần cứng phần mềm, yêu cầu hạ tầng, mức đảm bảo kỹ thuật, chất lượng dịch vụ, an toàn, bảo mật thông tin theo quy định - Đảm bảo không truyền tải, lưu trữ đám mây thông tin quan nhà nước thuộc danh mục bí mật nhà nước; - Phải tuân thủ nghiêm quy định pháp luật viễn thông, công nghệ thông tin, lưu trữ bảo mật thông tin quan nhà nước; - Việc sử dụng dịch vụ điện toán đám mây CQNN phải bảo đảm khai thác hiệu tài nguyên mạng máy tính nâng cao chất lượng ứng dụng công nghệ thông tin hoạt động quan Nhà nước  Đối với tổ chức, doanh nghiệp cung cấp dịch vụ ĐTĐM nhằm đảm bảo yêu cầu an toàn bảo mật cần phải có quy định trách nhiệm nội dung sau: - Có trách nhiệm cơng bố cơng khai hợp đồng sử dụng dịch vụ điện toán đám mây mẫu trang thông tin điện tử tổ chức, doanh nghiệp - Cung cấp đầy đủ thông tin dịch vụ cho người sử dụng dịch vụ: chất lượng dịch vụ, giá dịch vụ, nguyên tắc mức độ bồi thường thiệt hại, quyền nghĩa vụ tổ chức, 18 doanh nghiệp cung cấp dịch vụ; quyền nghĩa vụ người sử dụng dịch vụ; thông tin khác liên quan - Đảm bảo trì chất lượng dịch vụ mức cơng bố Thường xuyên tự kiểm tra chất lượng dịch vụ cung ứng Khi phát mức chất lượng dịch vụ không phù hợp với mức công bố phải thực biện pháp khắc phục để đảm bảo chất lượng dịch vụ 3.4 Đề xuất mơ hình điện tốn đám mây triển khai Dựa vào sở nghiên cứu công nghệ ĐTĐM vấn đề ảnh hưởng đến an tồn thơng tin ĐTĐM Việt Nam, tơi đề xuất mơ hình tổng thể mơ hình triển khai sở hạ tầng ĐTĐM cho nhóm dịch vụ IaaS, cụ thể trung tâm thông tin liệu 3.4.1 Mô hình tổng thể Đám mây xây dựng theo mơ hình đám mây riêng có phạm vi cung cấp dịch vụ cho quan, tổ chức thuê hạ tầng, dịch vụ cung cấp đám mây bao gồm:  Dịch vụ lưu trữ liệu cung cấp cho quan  Dịch vụ máy ảo cung cấp tài ngun tính tốn cho đơn vị phục vụ triển khai ứng dụng CNTT  Dịch vụ mạng ảo giúp đơn vị xây dựng nhóm máy ảo có kết nối mạng để triển khai ứng dụng mang tính tương tác Tất dịch vụ cung cấp cho quan, doanh nghiệp thống tảng sở hạ tầng 3.4.2 Mơ hình triển khai sở hạ tầng  Cấu trúc mạng Phần lõi trung tâm liệu bao gồm: lớp kết nối mạng ngoại vi, lớp mạng quy tụ, lớp mạng truy cập  Cấu trúc ảo hóa Tồn hệ thống ảo hóa điều khiển giám sát hệ quản trị sở hạ tầng, quản trị dịch vụ ĐTĐM tập trung  Mơ hình hệ thống quản lý hạ tầng đám mây Mơ hình hệ thống quản lý hạ tầng đám mây bao gồm chức quản lý hạ tầng Mơ hình phụ thuộc vào cơng nghệ cụ thể hãng cung cấp hạ tầng triển khai 19 3.5 Đề xuất giải pháp hạ tầng hệ thống đám mây 3.5.1 Hạ tầng kỹ thuật đảm bảo an tồn thơng tin Hạ tầng vật lý hệ thống CNTT ĐTĐM cần đảm bảo:  Thiết lập hệ thống CNTT phòng phù hợp  Kiểm sốt truy cập tới phịng  Các hệ thống bảo vệ phòng chữa cháy phù hợp  Các hệ thống cung cấp điện phù hợp  Các hệ thống điều hồ khơng khí phù hợp  Sao lưu liệu theo khái niệm lưu liệu liên quan Hình 3.5.1 Kiến trúc hạ tầng việc đảm bảo an ninh truy cập vùng 20 Để đảm bảo yêu cầu kết hợp với hệ thống quản trị, hệ thống điều kiển khiển tự động thông minh nhằm mang đến lợi ích sau:  Thiết lập mơi trường tiêu chuẩn, an toàn ổn định cho triển khai dịch vụ cho thuê hạ tầng  Đảm bảo điều kiện cho hoạt động liên tục hệ thống công nghệ thơng tin, có khả chống lại cố điện, cố cháy, nổ ảnh hưởng đến hoạt động hạ tầng Cung cấp điều kiện tiêu chuẩn mơi trường như: hệ thống thơng gió, làm mát, hệ thống chống ẩm đảm bảo trì hoạt động ổn định trung tâm liệu nâng cao tuổi thọ thiết bị phần cứng  Đảm bảo điều kiện hạ tầng cho nhu cầu vận hành, bảo trì phát triển hệ thống tương lai Trong thiết kế chuẩn hạ tầng kỹ thuật cho phòng máy chủphải dựa tiêu chuẩn quốc tế thường bao gồm:  Giải pháp sàn nâng cho phòng máy chủ  Giải pháp nguồn cung cấp  Giải pháp làm mát  Giải pháp giám sát bảo mật phòng máy chủ  Giải pháp Phòng cháy chữa cháy  Giải pháp cắt lọc set 3.5.2 Quản trị hệ thống 3.5.3 Phòng chống thảm họa 3.6 Đề xuất giải pháp công nghệ lưu trữ hệ thống đám mây 3.6.1 Công nghệ lưu trữ Do dung lượng liệu gia tăng không ngừng, yêu cầu ngày cao hiệu truy xuất, tính ổn định sẵn sàng liệu; việc lưu trữ trở nên quan trọng Lưu trữ liệu khơng cịn đơn giản cung cấp thiết bị lưu trữ dung lượng lớn mà bao gồm khả quản lý, chia sẻ lưu phục hồi liệu trường hợp Hiện có số loại hình lưu trữ liệu như: 21 - DAS (Direct Attached Storage): lưu trữ liệu qua thiết bị gắn trực tiếp - NAS (Network Attached Storage): lưu trữ liệu vào thiết bị lưu trữ thông qua mạng IP - SAN (Storage Area Network): lưu trữ liệu qua mạng lưu trữ chuyên dụng riêng : Hình 3.6.1 Các mơ hình lưu trữ liệu 3.6.2 Sao lưu dự phịng liệu Sao lưu khơi phục liệu mối quan tâm cụ thể người quản trị IT, họ cần quản lý liệu ngày lớn phức tạp bị cắt giảm chi phí phải đảm bảo khả đáp ứng dịch vụ ngày tăng doanh nghiệp Nhiều tổ chức nhận thức đơn giản, không đầu tư, trang bị để phù hợp với thách thức việc lưu khơi phục liệu sở hạ tầng họ lỗi thời Hệ thống mạng IT không phù hợp số lượng ứng dụng quan trọng ngày tăng thời gian ngừng hệ thống (downtime) giảm Hoặc họ đối phó cách chắp vá, khắc phục cách cần làm cho ứng dụng cụ thể 3.7 Đề xuất giải pháp liệu hệ thống đám mây 3.7.1 Mơ hình AAA Các dịch vụ AAA chia làm ba phần, xác thực (authentication), điều khiển truy cập (access control) tính cước (accounting) Ta tìm hiểu khác ba phần cách thức chúng làm việc  Nhận dạng xác thực (Identification & Authentication) 22 Nhận dạng phương pháp người dùng báo cho hệ thống biết họ Bộ phận nhận dạng người dùng hệ thống quản lý chế tương đối đơn giản, hoạt động dựa hệ thống tên người dùng (username) định danh người dùng (userID) Những yêu cầu nhận dạng đòi hỏi định danh dùng để nhận dạng: - Phải định danh - Không để dùng để xác định địa vị hay tầm quan trọng người dùng tổ chức Ví dụ không để lộ username CEO hay Giám đốc… Xác thực dùng để nhận dạng (identify) người dùng Chẳng hạn cách so sánh mật mà người dùng đăng nhập với mật lưu trữ hệ thống trước  Điều khiển truy cập(Access Control) Điều khiển truy cập bước kiểm tra xem người dùng phép truy cập vào khu vực liệu server hay đám mây Nó liên quan đến việc quản lý truy cập user, thông qua việc xác thực, kết hợp với luật(Rule) quản lý người quản lý mà cho phép hay khơng cho phép user thực hành động định Access Control gồm bước: bước ủy quyền(authorization) bước Approve Access control sử dụng để thiết lập mối quan hệ chủ thể(users, process, program) đối tượng(file, database, devices), dựa xác định quyền truy cập vào đối tượng Sự ủy quyền (authorization) hay cịn gọi thức hóa định nghĩa quyền người dùng hệ thống  Tính cước(Accounting) Accounting hành động thu thập liệu lượng tiêu thụ tài nguyên cho mục đíc h: phân tích xu hướng, phân bổ lực tốn, kiểm tốn định giá chi phí, theo dõi mơ hình sử dụng người dùng cá nhân, máy chủ, dịch vụ… Accounting cho phép nhà quản trị thu thập thông tin thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, câu lệnh thực thi, thống kê lưu lượng sau lưu trữ thơng tin hệ thống sở liệu quan hệ Nói cách khác, accounting cho phép giám sát dịch vụ tài nguyên người dùng sử dụng  Việc sử dụng AAA vấn đề bảo mật an tồn thơng tin 23 Các nhà cung cấp dịch vụ tích hợp liệu dựa công nghệ đám mây ngày phải điều khiển việc truy cập giám sát thông tin mà người dùng đầu cuối thao tác Những việc làm đưa đến thành cơng hay thất bại dịch vụ ĐTĐM Với ý tưởng đó, AAA cách thức tốt để giám sát mà người dùng đầu cuối làm mạng Ta xác thực, cấp quyền, điều khiển truy cập cho người dùng tập hợp thông tin thời gian bắt đầu hay kết thúc người dùng Như ta thấy, bảo mật vấn đề quan trọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật quản trị mạng Ta định nghĩa vai trị (role) đưa cho người dùng lệnh mà họ cần để hoàn thành nhiệm vụ họ theo dõi thay đổi mạng Với khả log lại kiện, ta có điều chỉnh thích hợp với yêu cầu đặt Tất thành phần cần thiết để trì tính an tồn, bảo mật cho mạng 3.7.2 Kỹ thuật quản lý truy cập liệu Quản lý truy cập sách hay thủ tục cho phép, từ chối hạn chế quyền truy cập tới hệ thống Nó thực quản lý theo dõi ghi lại hành động có liên quan đến hoạt động truy cập vào hệ thống có chế xác định người cố gắng vào cách trái phép Hiện có nhiều loại mơ hình quản lý truy cập, phổ biến là:  Điều khiển truy cập tùy quyền (Discretionnary Access Control – DAC)  Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC)  Điều khiển truy cập dựa vai trò (Role-based Access Control - RBAC) 3.8 Kết luận chương Trong chương đem lại đề xuất, giải pháp chi tiết cho hệ thống ĐTĐM nhằm đảm bào vấn đề an tồn thơng tin Cụ thể nêu yêu cầu chung bảo mật hệ thống ĐTĐM, đề xuất giải pháp khung quy chế xây dựng, triển khai, vận hành trì hạ tầng phần cứng như: tiêu chuẩn phòng máy chủ… đến phần mềm, an toàn liệu 24 KẾT LUẬN VÀ KIẾN NGHỊ Điện toán đám mây tiến hóa cơng nghệ thơng tin, an ninh thơng tin hệ thống thơng tin Sẽ thật khó, tư để đảm bảo an ninh theo lối truyền thống chưa kiện toàn người sử dụng, chưa có đánh giá rủi ro cách tồn diện với tài sản mình, lại sử dụng tốt dịch vụ ĐTĐM cách có an ninh Đảm bảo an ninh cho thơng tin, liệu hệ thống thông tin ĐTĐM phức tạp so với mơ hình điện tốn truyền thống cịn phải đảm bảo an ninh cho phần đặc trưng bổ sung ĐTĐM có Đảm bảo an ninh ĐTĐM trách nhiệm tất bên tham gia, trách nhiệm nhà cung cấp trường hợp, kể trường hợp tổ chức người sử dụng triển khai mơ hình đám mây riêng Với nội dung nghiên cứu được, luận văn đưa lựa chọn giải pháp cần thiết cho việc triển khai hệ thống điện toán đám mây đảm bảo an tồn thơng tin Việt Nam là: Xây dựng áp tiêu chuẩn Điện toán đám mây, giải pháp kỹ thuật an ninh đặc tả chi tiết cho thỏa thuận dịch vụ, ảo hóa, lưu trữ liệu Nghiên cứu chuyên môn giải pháp phần cứng lẫn phần mềm nhằm đảm bào an tồn thơng tin Tuy nhiên, giải pháp mang tính chất tổng quát, chưa vào áp dụng cách thực tế Tuy nhiên mong muốn tài liệu tham khảo cho quan, doanh nghiệp Việt Nam muốn triển khai điện toán đám mây mà quan tâm đến việc đảm bảo an toàn thông tin Cuối cùng, xin chân thành cảm ơn Thầy giáo, TS Nguyễn Trọng Đường tận tình hướng dẫn tơi hồn thành luận văn  ... Nghiên cứu tổng quan an tồn thơng tin điện toán đám mây - Nghiên cứu giải pháp đảm bảo an tồn thơng tin - Lựa chọn mơ hình, giải pháp đảm bảo an tồn thơng tin việc triển khai điện toán đám mây. .. đám mây Phạm vi nghiên cứu: - Nghiên cứu tổng quan an tồn thơng tin điện toán đám mây - Nghiên cứu giải pháp đảm bảo an tồn thơng tin - Lựa chọn mơ hình giải pháp để đảm bào an tồn thơng tin. .. mơ hình triển khai điện toán đám mây Chương 2: Nêu giải pháp an tồn thơng tin Điện tốn đám mây, bao gồm giải pháp hạ tầng, ứng dụng, phần mềm liệu nhằm đảm bảo an toàn thơng tin Chương 3: Lựa chọn