BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KĨ THUẬT MẬT MÃ Quản lý xây dựng sách An tồn thơng tin ĐỀ TÀI: Tìm hiểu tiêu chuẩn ENISA an tồn điện tốn đám mây Sinh viên thực : TRẦN VĂN QUẮC TRỊNH ĐÌNH THÀNH ĐỖ ĐÌNH THANH TRẦN HÙNG MẠNH ĐOÀN ANH THẮNG AT150643 AT150649 AT150648 AT150137 AT150650 Giảng viên hướng dẫn : NGUYỄN THỊ THU THỦY Hà nội, tháng 12 năm 2021 CHƯƠNG TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 GIỚI THIỆU Mấy năm gần điện toán đám mây (cloud computing) lên giai đoạn phát triển Internet Điện toán đám mây mà cụ thể mơ hình dịch vụ cho phép sử dụng phần cứng, phần mềm dịch vụ làm thay đổi việc ứng dụng công nghệ thông tin thực tiễn – chuyển từ đầu tư sang thuê bao Tuy nhiên, việc chấp nhận điện toán đám mây dè dặt xoay quanh vấn đề an tồn an ninh hệ thống Điện tốn đám mây nhanh chóng lên xu hướng công nghệ, hầu hết nhà cung cấp công nghệ sử dụng phần mềm, phần cứng sở hạ tầng tận dụng Cơng nghệ kiến trúc dịch vụ điện toán đám mây cho phép khách hàng dịch vụ không sở hữu tài sản đám mây điện tử trả tiền sở lần sử dụng Về chất, họ thuê sở hạ tầng vật lý ứng dụng kiến trúc dùng chung Dịch vụ điện tốn đám mây từ lưu trữ liệu ứng dụng Web người dùng cuối, với dịch vụ điện toán tập trung khác Một khác biệt quan trọng mô hình tính tốn truyền thống điện tốn đám mây khả mở rộng tính chất co giãn mà điện tốn đám mây cung cấp Thay kiến trúc hệ thống tĩnh, điện toán đám mây hỗ trợ khả tự động mở rộng quy mô nhanh chóng thu hẹp quy mơ, cung cấp cho khách hàng dịch vụ có độ tin cậy cao, thời gian đáp ứng nhanh chóng linh hoạt để xử lý biến động thông lượng nhu cầu Điện toán đám mây hỗ trợ nhiều người dùng, cung cấp hệ thống cấu hình suốt cách thống mang tính chia sẻ Cơng nghệ ảo hóa cho phép nhà cung cấp điện tốn đám mây để chuyển đổi máy chủ thành nhiều máy ảo, loại bỏ máy tính client-server với hệ thống mục đích Điều tối đa hóa khả phần cứng cho phép khách hàng tận dụng triệt để kinh tế theo quy mô sử dụng Bài viết cung cấp nhìn tổng quan vấn đề an toàn an ninh điện tốn đám mây, từ góc độ kiến trúc dịch vụ tính chất đám mây điện tử 1.2 KHÁI NIỆM Thuật ngữ “Điện toán đám mây” (cloud computing) đời vào khoảng năm 2007 nhằm để khái quát lại hướng phát triển công nghệ thông tin nhờ vào mạng Internet băng thơng rộng trung tâm điện tốn khổng lồ hãng công nghệ Google, Amazon, IBM, Microsoft,… Điện toán đám mây gắn liền với quan niệm cơng nghệ thơng tin, là: nguồn lực điện toán khổng lồ phần mềm, liệu dịch vụ nằm máy chủ ảo (đám mây) Internet thay máy tính tổ chức, cá nhân để người kết nối sử dụng cần Với dịch vụ hạ tầng, phần mềm sẵn có Internet, doanh nghiệp khơng phải mua trì hàng trăm, chí hàng nghìn máy tính phần mềm cho cơng ty Họ th tồn hạ tầng cơng nghệ thông tin thuê bao điện thoại hay sử dụng điện, nước hàng ngày Theo định nghĩa NIST 1: “Điện tốn đám mây mơ hình cho phép thuận tiện, truy cập mạng theo yêu cầu đến nơi chứa nguồn tài ngun tính tốn chia sẻ cấu hình (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng dịch vụ), chúng cung cấp phát hành nhanh chóng với nỗ lực quản lý tương tác với nhà cung cấp tối thiểu” Hình 1: Minh họa cho điện toán đám mây theo Wikipedia Điện toán đám mây đơi cịn coi hệ Internet Từ điển mở Wikipedia định nghĩa: “Điện toán đám mây việc sử dụng tài nguyên máy tính (phần cứng phần mềm) có sẵn từ xa truy cập qua mạng (thường Internet)” Hình phát họa khái niệm điện toán đám mây Điện tốn đám mây cung cấp tiện ích để truy cập vào tài nguyên chia sẻ sở hạ tầng chung, cung cấp dịch vụ theo yêu cầu qua mạng để thực hoạt động đáp ứng nhu cầu tác nghiệp Vị trí nguồn lực vật chất thiết bị truy cập suốt, (và không cần biết) người dùng cuối (end user) Nó cung cấp phương tiện cho người sử dụng (hay khách hàng) để phát triển, triển khai quản lý ứng dụng họ đám mây, kể ảo hóa nguồn tài nguyên, tự bảo trì quản lý ứng dụng Theo ENISA: “Điện toán đám mây mơ hình cung cấp dịch vụ theo u cầu, thường triển khai cơng nghệ ảo hóa cơng nghệ điện tốn phân tán” Hiểu theo cách đơn giản, điện toán đám mây tập hợp tài nguyên máy tính dịch vụ cung cấp thông qua Internet Các sản phẩm phần mềm cấu hình phần cứng phân phối đến người dùng theo dạng dịch vụ Nghĩa là, khách hàng thuê sử dụng khoảng thời gian định, thay đổi mức đáp ứng dịch vụ để phù hợp với nhu cầu, hủy dịch vụ khơng cần dùng 1.3 CÁC TÍNH NĂNG Hình 2: Các tính điện tốn đám mây Về điện tốn đám mây có đặc điểm sau đây:  Khả co dãn (Rapid elasticity): Tài nguyên cung cấp cách nhanh chóng mềm dẻo, có khả thay đổi tăng lên hay giảm tùy thuộc vào nhu cầu sử dụng khách hàng Đối với khách hàng, tài ngun điện tốn đám mây ln ln     sẵn sàng coi khơng giới hạn, truy cập vào thời điểm Dịch vụ theo nhu cầu (On-demand self-service): Khách hàng cung cấp tài nguyên dạng mày chủ hay dung lượng lưu trữ, cách tự động theo yêu cầu mà không cần phải có can thiệp từ phía nhà cung cấp dịch vụ Khơng phụ thuộc vị trí (Location independent resource pooling): Khách hàng không điều khiển vị trí tài nguyên cung cấp, nhiên họ làm điều thơng qua dịch vụ nâng cao nhà cung câp Tài nguyên bao gồm: Lưu trữ, xử lý, nhớ băng thông mạng Truy cập dễ dàng (Broad network access): Chỉ cần ứng dụng kết nối internet từ thiết bị máy tính để bàn, laptop, thiết bị di động, người dùng truy cập tới tài nguyên đám mây Điều tiết dịch vụ (Measured service): Các hệ thống điện tốn đám mây có khả tự điều khiển tinh chỉnh tài nguyên sử dụng bẵng cách áp dụng biện pháp đo lường cấp độ khác cho loại dịch vụ Tài nguyên sử dụng giám sát, đo lường khách hàng thường trả phí cho lượng tài nguyên họ sử dụng 1.4 CÁCH PHÂN LOẠI 1.4.1 Phân loại theo mơ hình cung cấp dịch vụ Các dịch vụ điện tốn đám mây có kiến trúc phân tầng (layer), tầng cung cấp dịch vụ tiện ích (chức năng) riêng sở dịch vụ tiện ích tầng thấp Hình 3: Kiến trúc phân tầng dịch vụ điện toán đám mây 1.4.1.1 Dịch vụ hạ tầng (IaaS) - IaaS (Infrastructure as a Service) cung cấp cho người dùng hà tầng thơ (thường hình thức máy ảo) dịch vụ Người dùng triển khai chạy phần mềm máy ảo máy chủ thực hay đưa liệu cá nhân lên “đám mây” lưu trữ Người dùng khơng có quyền kiểm sốt hạ tầng thực bên “đám mây” nhiên họ có toàn quyền quản lý sử dụng tài nguyên mà họ cung cấp, yêu cầu mở rộng lượng tài nguyên họ phép sử dụng - Các đặc trưng tiêu biểu:  Cung cấp tài nguyên dịch vụ: bao gồm máy chủ, thiết bị mạng, nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm liệu  Khả mở rộng linh hoạt  Chi phí thay đổi tùy theo thực tế  Nhiều người thuê dùng chung tài nguyên  Câp độ doanh nghiệp: đem lại lợi ích cho cơng ty nguồn tài ngun tích tốn tổng hợp - Ví dụ: Amazon EC2/S3, Elastra (Beta 2.0 2/2009), Nirvanix, AppNexus, DigitalOcean, Rackspace, Google Compute Engine, … 1.4.1.2 ) Dịch vụ tảng (PaaS) - PaaS (Platform as a Service) Mơ hình PaaS cung cấp cách thức cho phát triển ứng dụng tảng trừu tượng Nó hỗ trợ việc triển khai ứng dụng mà khơng quan tâm đến chi phí hay phức tạp việc trang bị quản lý lớp phần cứng phần mềm bên dưới, cung cấp tất tính cần thiết để hỗ trợ việc xây dựng cung cấp ứng dụng dịch vụ web sẵn sàng Internet mà không cần thao tác tải hay cài đặt phần mềm cho người phát triển, quản lý tin học, hay người dùng cuối PaaS cho phép nhà phát triển ứng dụng tạo ứng dụng cách nhanh chóng, nhiều rắc rối việc thiết lập máy chủ, sở liệu nhà cung cấp PaaS giải - Các đặc trưng tiêu biểu:  Phục vụ cho việc phát triển, kiểm thử, triển khai vận hành ứng dụng giống mơi trường phát triển tích hợp  Cung cấp công cụ khởi tạo với giao diện web  Kiến trúc đồng  Tích hợp dịch vụ web sở liệu  Hỗ trợ cộng tác nhóm phát triển  Cung cấp cơng cụ hỗ trợ tiện tích khác - Ví dụ: Google App Engine, Openshilt, Salesforce, Microsoft Azure, Amazon Web Services, Saleforce Platform, Red Hat Openshift, … 1.4.1.3 Dịch vụ phần mềm (SaaS) - SaaS (Software as a Service) mô hình triển khai ứng dụng mà người cung cấp cho phép người dụng sử dụng dịch vụ theo yêu cầu Những nhà cung cấp SaaS lưu trữ ứng dụng máy chủ họ tải ứng dụng xuống thiết bị khách hàng, vơ hiệu hóa sau kết thúc thời hạn Các chức theo u cầu kiểm sốt bên để chia sẻ quyền nhà cung cấp ứng dụng thứ ba - Các đặc trưng tiêu biểu:  Phần mềm sẵn có địi hỏi việc truy xuất, quản lý qua mạng  Quản lý hoạt dộng từ vị trí tập trung nơi khách hàng, cho phép khác hàng truy xuất từ xa thông qua web  Cung cấp ứng dụng thơng thường gần gũi với mơ hình ánh xạ từ đến nhiều mơ hình 1:1 bao gồm đặc trưng kiến trúc, giá quản lý  Những tính tập trung nâng cấp, giải phóng người dùng khỏi việc tải vá lỗi cập nhật  Thường xuyên tích hợp phần mềm giao tiếp mạng diện rộng - Ví dụ: Dịch vụ email hay ứng dụng Google Docs, Google Calendar Google, Dropbox, Canva, Asana, Trello, Google Suite (Sheets, Docs, Drive,…), Saleforce.com, Cloud9.com, … 1.4.2 Phân loại theo phương pháp triển khai Các mơ hình triển khai điện toán đám mây thực chất phân chia theo sách quản lý truy cập đám mây Nó chia làm loại sau:  Public cloud  Private cloud  Hybrid cloud  Community cloud 1.4.2.1 Public cloud - Là dịch vụ bên thứ (người bán) cung cấp Chúng tồn ngồi tường lửa cơng ty nhà cung cấp đám mây quản lý Nó xây dựng nhằm phục vụ cho mục đích sử dụng cơng cộng, người dùng đăng ký với nhà cung cấp trả phí sử dụng dựa theo sách giá nhà cung cấp Public cloud mơ hình triển khai sử dụng phổ biến cloud computing - Đối tượng sử dụng: Bao gồm người dùng bên internet Đối tượng quản lý nhà cung cấp dịch vụ - Ưu điểm: o Phục vụ nhiều người dùng hơn, không bị giới hạn không gian thời gian o Tiết kiệm hệ thống máy chủ, điện nhân công cho doanh nghiệp - Nhược điểm: o Các doanh nghiệp phụ thuộc vào nhà cung cấp khơng có tồn quyền quản lý o Gặp khó khăn việc lưu trữ văn bản, thơng tin nội 1.4.2.2 Private cloud - Private cloud dịch vụ điện toán đám mây cung cấp doanh nghiệp Những “đám mây” tồn bên tường lửa công ty doanh nghiệp trực tiếp quản lý Đây xu hướng tất yếu cho doanh nghiệp nhằm tối ưu hóa hạ tầng công nghệ thông tin - Đối tượng sử dụng: Nội doanh nghiệp sử dụng quản lý - Ưu điểm: Chủ động sử dụng, nâng cấp, quản lý, giảm chi phí, bảo mật tốt,… - Nhược điểm: o Khó khăn cơng nghệ triển khai chi phí xây dựng, trì hệ thống o Hạn chế sử dụng nội doanh nghiệp, người dùng ngồi khơng thể sử dụng 1.4.2.3 Hybrid cloud - Là kết hợp private cloud public cloud Cho phép ta khai thác điểm mạnh mơ đưa phương thức sử dụng tối ưu cho người sử dụng Những “đám mây” thường doanh nghiệp tạo việc quản lý phân chia doanh nghiệp nhà cung cấp điện tốn đám mây cơng cộng - Đối tượng sử dụng: Doang nghiệp nhà cung cấp quản lý theo thỏa thuận Người sử dụng sử dụng dịch vụ nhà cung cấp dịch vụ riêng doanh nghiệp - Ưu điểm: Doanh nghiệp lúc sử dụng nhiều dịch vụ mà khơng bị giới hạn - Nhược điểm: Khó khăn việc triển khai quản lý Tốn nhiều chi phí 1.4.2.4 Community cloud - Là mơ hình triển khai điện toán đám mây mới, bao gồm nhiều doanh nghiêp liên kết với Các doanh nghiệp sử dụng ứng dụng lẫn phục vụ công việc Các doanh nghiệp tham gia mơ hình buộc phải tin tưởng lẫn - Đối tượng sử dụng: Các doanh nghiệp tham gia mơ hình có quyền sử dụng dịch vụ cung cấp từ doanh nghiệp khác - Ưu điểm: Tốc độ nhanh, tiết kiệm cho phí, sử dụng ứng dụng tốt từ doanh nghiệp hợp tác - Nhược điểm: Rất nguy hiểm vấn đề bảo mật doanh nghiệp 1.5 Giới thiệu ENISA Cơ quan An ninh mạng Liên minh Châu Âu (ENISA) quan Liê minh dành riêng cho việc đạt mức độ an ninh mạng chung cao toàn Châu Âu Được thành lập vào năm 2004 củng cố Đạo luật An ninh mạng Liên minh Châu Âu, Cơ quan An ninh mạng Liên minh Châu Âu đóng góp vào sách mạng EU, nâng cao độ tin cậy sản phẩm, dịch vụ quy trình CNTTTT với chương trình chứng nhận an ninh mạng, hợp tác với Quốc gia thành viên quan EU, đồng thời giúp Châu Âu chuẩn bị cho thách thức mạng ngày mai Thông qua việc chia sẻ kiến thức, xây dựng lực nâng cao nhận thức, Cơ quan làm việc với bên liên quan để củng cố lòng tin vào kinh tế kết nối, thúc đẩy khả phục hồi sở hạ tầng Liên minh cuối giữ cho xã hội công dân Châu Âu an toàn mặt kỹ thuật số Năm 2007, Ủy viên Châu Âu Viviane Reding đề xuất ENISA xếp thành Cơ quan Thị trường Truyền thông Điện tử Châu Âu (EECMA) Đến năm 2010, Ủy viên Neelie Kroes phát tín hiệu Ủy ban châu Âu muốn có quan củng cố Nhiệm vụ quan gia hạn đến năm 2012 với ngân sách hàng năm triệu €, lãnh đạo Tiến sĩ Udo Helmbrecht Lần gia hạn cuối nhiệm vụ ENISA trước trở thành vĩnh viễn thực theo Quy định EU 526/2013 Nghị viện Châu Âu Hội đồng ngày 21 tháng năm 2013, bãi bỏ Quy định (EC) 460/2004 Kể từ ngày 27 tháng năm 2019, ENISA thành lập vô thời hạn Trụ sở ENISA, bao gồm chức quản lý hỗ trợ, ban đầu có trụ sở Heraklion, Hy Lạp Việc lựa chọn địa điểm xa gây tranh cãi từ đầu, đặc biệt Hy Lạp giữ chức chủ tịch EU nhiệm vụ quan đàm phán Ngồi ra, quan có văn phịng liên lạc Athens kể từ tháng 10 năm 2009 Vào năm 2013, chuyển phần ba số nhân viên sáu mươi từ Crete đến Athens.Vào năm 2016, Ủy ban ngân sách ủng hộ nỗ lực ENISA để đóng cửa văn phịng Heraklion Kể từ năm 2019, ENISA có hai văn phịng; Trụ sở Athens văn phịng thứ hai Heraklion, Hy Lạp Vào tháng năm 2021, Ủy ban Châu Âu đồng ý thành lập văn phòng ENISA Brussels CHƯƠNG ENISA TRONG ĐIỆN TOÁN ĐÁM MÂY 2.1 LỢI ÍCH BẢO MẬT CỦA ĐIỆN TỐN ĐÁM MÂY Hầu không cân thiết phải lặp lại nhiều tài liệu giá trị khu rừng nhiệt đới viết kinh tế, kỹ thuật lợi ích kiến trúc sinh thái điện toán đám mây Tuy nhiên, theo kinh nghiệm trực tiếp thành viên nhóm chun gia chúng tơi, theo tin tức gần từ ‘thế giới thực’, việc kiểm tra rủi ro bảo mật điện toán đám mây phải cân bằng việc xem xét lợi ích bảo mật cụ thể Điện tốn đám mây có tiềm đáng kể để cải thiện bảo mật khả phục hồi Những sau mơ tả cách mà đóng góp Bảo mật lợi ích quy mơ Nói cách đơn giản, tất loại biện pháp an ninh rẻ thực quy mô lớn Do đó, số tiền đầu tư vào bảo mật giúp bảo vệ tốt Điều bao gồm tất loại biện pháp phòng thủ lọc, quản lý vá, tăng cường phiên 10 mà họ cịn phải viết mã quy trình truy cập liệu theo cách tương thích với kho liệu back-end Mã không thiết phải di động nhà cung cấp PaaS, API tương thích cung cấp, mơ hình truy cập liệu khác  Việc khóa PaaS lớp API xảy nhà cung cấp khác cung cấp API khác  Q trình khóa PaaS xảy lớp thời gian chạy thời gian chạy 'tiêu chuẩn' thường tùy chỉnh nhiều để hoạt động an tồn mơi trường đám mây Ví dụ: thời gian chạy Java bị xóa sửa đổi lệnh gọi ‘nguy hiểm’ lý bảo mật Các nhà phát triển khách hàng phụ thuộc vào việc hiểu tính đến khác biệt  PaaS bị khóa liệu, theo cách tương tự SaaS, trường hợp này, khách hàng hồn tồn tạo quy trình xuất tương thích IaaS-Lock-in Việc khóa IaaS khác tùy thuộc vào dịch vụ sở hạ tầng cụ thể sử dụng Ví dụ: khách hàng sử dụng lưu trữ đám mây không bị ảnh hưởng định dạng máy ảo khơng tương thích  Các nhà cung cấp máy tính IaaS thường cung cấp máy ảo dựa siêu giám sát Siêu liệu phần mềm máy ảo gộp chung để có tính di động - thường đám mây nhà cung cấp Việc di chuyển nhà cung cấp không nhỏ tiêu chuẩn mở, chẳng hạn OVF, thông qua  Các dịch vụ nhà cung cấp dịch vụ lưu trữ IaaS khác nhau, từ kho lưu trữ liệu dựa khóa / giá trị đơn giản đến kho lưu trữ dựa tệp nâng cao sách Bộ tính thay đổi đáng kể, ngữ nghĩa lưu trữ Tuy nhiên, phụ thuộc cấp độ ứng dụng vào tính sách cụ thể (ví dụ: kiểm sốt truy cập) hạn chế lựa chọn nhà cung cấp khách hàng  Khóa liệu mối quan tâm rõ ràng với dịch vụ lưu trữ IaaS Khi khách hàng đám mây đẩy nhiều liệu lên lưu trữ đám mây, việc khóa liệu tăng lên trừ CP cung cấp khả di chuyển liệu Thông thường tất nhà cung cấp khả xảy kịch ‘chạy ngân hàng’ nhà cung cấp đám mây Đối với trường hợp này, giả sử có khủng hoảng niềm tin vào tình hình tài nhà cung cấp dịch vụ đám mây hàng loạt rút nội dung sở đến trước phục vụ trước Sau đó, tình nhà cung cấp giới hạn số lượng 'nội dung' (dữ liệu mã ứng dụng) bị 'rút' khung thời gian định, số khách hàng khơng truy xuất liệu ứng dụng họ 18 2.3.1.2 Mất quản trị Khi sử dụng sở hạ tầng đám mây, khách hàng thiết phải nhường quyền kiểm soát cho CP số vấn đề ảnh hưởng đến bảo mật Ví dụ: ToU cấm qt cổng, đánh giá lỗ hổng thử nghiệm thâm nhập Hơn nữa, có xung đột quy trình làm cứng khách hàng môi trường đám mây Mặt khác, SLA khơng đưa cam kết cung cấp dịch vụ từ phía nhà cung cấp dịch vụ đám mây, để lại lỗ hổng bảo mật Hơn nữa, nhà cung cấp dịch vụ đám mây th ngồi ký hợp đồng phụ dịch vụ cho bên thứ ba (các nhà cung cấp khơng xác định) khơng cung cấp đảm bảo tương tự (chẳng hạn cung cấp dịch vụ theo cách hợp pháp) nhà cung cấp đám mây ban 19 hành Hoặc quyền kiểm soát nhà cung cấp đám mây thay đổi, đó, điều khoản điều kiện dịch vụ họ thay đổi Việc khả quản lý kiểm sốt có tác động nghiêm trọng đến chiến lược tổ chức ảnh hưởng đến lực đáp ứng sứ mệnh mục tiêu tổ chức Việc quyền kiểm soát quản trị dẫn đến việc khơng thể tn thủ yêu cầu bảo mật, thiếu tính bảo mật, tính tồn vẹn tính sẵn có liệu, đồng thời làm giảm hiệu suất chất lượng dịch vụ, chưa kể đến việc đưa thách thức tuân thủ 2.3.1.3 Dịch vụ đám mây chấm dứt thất bại Như thị trường CNTT nào, áp lực cạnh tranh, chiến lược kinh doanh khơng phù hợp, thiếu hỗ trợ tài chính, v.v., khiến số nhà cung cấp ngừng kinh doanh buộc họ phải cấu lại danh mục dịch vụ cung cấp Nói cách khác, ngắn hạn trung hạn, số dịch vụ điện tốn đám mây bị chấm dứt Tác động mối đe dọa khách hàng đám mây dễ hiểu, dẫn đến mát suy giảm hiệu suất cung cấp dịch vụ chất lượng dịch vụ, tổn thất đầu tư Hơn nữa, lỗi dịch vụ th ngồi cho CP có tác động đáng kể đến khả khách hàng đám mây việc đáp ứng nghĩa vụ nghĩa vụ khách hàng họ Do đó, khách hàng nhà cung cấp dịch vụ đám mây phải chịu trách nhiệm pháp lý theo hợp đồng quanh co khách hàng dựa sơ suất nhà cung cấp Các lỗi nhà cung cấp đám mây khiến khách hàng phải chịu trách nhiệm pháp lý nhân viên 20 2.3.2 Rủi ro kỹ thuật 2.3.2.1 Cloud provider malicious insider – lạm dụng vai trị có quyền riêng tư cao Các hoạt động độc hại người có khả ảnh hưởng đến: tính bảo mật, tính tồn vẹn tính khả dụng tất loại liệu, IP, tất loại dịch vụ gián tiếp đến danh tiếng tổ chức, lịng tin khách hàng trải nghiệm nhân viên Điều coi đặc biệt quan trọng trường hợp điện toán đám mây thực tế kiến trúc đám mây đòi hỏi số vai trị định có độ rủi ro cực cao Ví dụ vai trị bao gồm quản trị viên kiểm toán viên hệ thống CP nhà cung cấp dịch vụ bảo mật quản lý xử lý báo cáo phát xâm nhập ứng phó cố Khi việc sử dụng đám mây tăng lên, nhân viên nhà cung cấp đám mây ngày trở thành mục tiêu băng nhóm tội phạm (như chứng kiến ngành dịch vụ tài với nhân viên trung tâm gọi) 21 2.3.2.2 Dữ liệu bật lên/tải xuống, Intra-cloud Điều giống với rủi ro trước đây, áp dụng cho việc chuyển liệu nhà cung cấp đám mây khách hàng đám mây 22 2.3.2.3 Thời hạn dịch vụ phân phối (DDoS) 2.3.2.4 Mất khóa kích thích Điều bao gồm tiết lộ khóa bí mật (SSL, mã hóa tệp, khóa riêng khách hàng, v.v.) mật cho bên độc hại, hỏng khóa việc sử dụng trái phép chúng để xác thực không từ chối (chữ ký số) 23 2.3.3 Rủi ro pháp lý 2.3.3.1 Rủi ro bảo vệ liệu Điện toán đám mây gây số rủi ro bảo vệ liệu cho khách hàng nhà cung cấp dịch vụ đám mây Khách hàng đám mây (với vai trị người kiểm sốt liệu) khó kiểm tra hiệu q trình xử lý liệu mà nhà cung cấp đám mây thực đảm bảo liệu xử lý theo cách hợp pháp Cần phải nói rõ khách hàng đám mây người chịu trách nhiệm việc xử lý liệu cá nhân, việc xử lý thực nhà cung cấp đám mây với vai trò xử lý bên ngồi Việc khơng tn thủ luật bảo vệ liệu dẫn đến biện pháp trừng phạt hành chính, dân hình sự, khác quốc gia người kiểm soát liệu Vấn đề trầm trọng trường hợp chuyển nhiều liệu, ví dụ: đám mây liên kết Mặt khác, số nhà cung cấp đám mây cung cấp thông tin trình xử lý liệu mà họ thực Một số cung cấp tóm tắt chứng nhận hoạt động xử lý liệu bảo mật liệu họ biện pháp kiểm sốt liệu mà họ có, ví dụ: Các nhà cung cấp chứng nhận SAS70 Có thể có vi phạm bảo mật liệu mà nhà cung cấp dịch vụ đám mây không thông báo cho điều khiển Khách hàng đám mây quyền kiểm soát liệu nhà cung cấp đám mây xử lý Vấn đề tăng lên trường hợp chuyển nhiều liệu (ví dụ: nhà cung cấp đám mây liên kết) Nhà cung cấp dịch vụ đám mây nhận liệu chưa khách hàng họ (bên kiểm soát) thu thập cách hợp pháp 24 2.3.3.2 Rủi ro cấp phép Các điều kiện cấp phép, chẳng hạn thỏa thuận cho chỗ ngồi kiểm tra cấp phép trực tuyến khơng hoạt động mơi trường đám mây Ví dụ: phần mềm tính phí sở phiên máy khởi tạo chi phí cấp phép khách hàng đám mây tăng theo cấp số nhân họ sử dụng số phiên máy khoảng thời gian Trong trường hợp PaaS IaaS, có khả tạo tác phẩm gốc đám mây (ứng dụng mới, phần mềm, v.v.) Như với tất tài sản trí tuệ, không bảo vệ điều khoản hợp đồng thích hợp, tác phẩm gốc gặp rủi ro 2.3.4 Rủi ro không cụ thể đám mây Trong q trình phân tích rủi ro, tơi xác định mối đe dọa sau không dành riêng cho điện toán đám mây, cần xem xét cẩn thận đánh giá rủi ro hệ thống dựa đám mây điển hình 2.3.4.1 Sửa đổi giao thơng mạng 25 2.3.4.2 Cịn lại, kéo dài 2.3.4.3Truy cập không hợp lệ thiết bị (bao gồm truy cập vật lý vào máy tiện nghi khác) Vì nhà cung cấp dịch vụ đám mây tập trung tài nguyên vào trung tâm liệu lớn biện pháp kiểm sốt ngoại vi vật lý có khả mạnh hơn, tác động việc vi phạm kiểm sốt cao 26 2.3.4.4 Phần mềm thiết bị máy tính 2.3.4.5 Thảm họa thiên nhiên Nói chung, rủi ro từ thiên tai thấp so với sở hạ tầng truyền thống nhà cung cấp dịch vụ đám mây cung cấp nhiều trang web đường dẫn mạng dự phòng theo mặc định 27 2.3.4.6 Quản lý mạng 2.3.4.7 Quyền riêng tư 28 2.3.4.8 Kỹ nghệ xã hội 2.3.4.9 Mất rối loạn nhóm bảo mật 2.4 CÁC LỖ HỒNG BẢO MẬT Trong trình phân tích rủi ro, tơi xác định lỗ hổng bảo mật sau không dành riêng cho điện toán đám mây cần xem xét cẩn thận đánh giá hệ thống dựa đám mây điển hình Thiếu nhận thức an ninh Khách hàng đám mây không nhận thức rủi ro mà họ gặp phải di chuyển vào đám mây, đặc biệt rủi ro tạo từ mối đe dọa cụ thể đám mây, chẳng hạn quyền kiểm soát, nhà cung cấp khóa, tài nguyên CP cạn kiệt, v.v Sự thiếu nhận thức ảnh hưởng đến nhà cung cấp đám mây, người có 29 thể khơng nhận thức hành động cần thực để giảm thiểu rủi ro Thiếu trình thay đổi Vì có vai trị đặc quyền cao nhà cung cấp đám mây, quy mô liên quan, việc kiểm tra hồ sơ rủi ro nhân viên có vai trị lỗ hổng quan trọng Trách nhiệm vai trò không rõ ràng Các lỗ hổng bảo mật liên quan đến việc phân bổ không đầy đủ vai trò trách nhiệm tổ chức nhà cung cấp đám mây Ít thực định nghĩa vai trị Trong nhà cung cấp dịch vụ đám mây, việc không tách biệt vai trị dẫn đến vai trị đặc quyền q mức khiến hệ thống cực lớn dễ bị công Ví dụ: khơng người cấp đặc quyền truy cập vào toàn đám mây Nguyên tắc cần biết không áp dụng Đây trường hợp đặc biệt lỗ hổng liên quan đến vai trị trách nhiệm Các bên khơng nên cấp quyền truy cập không cần thiết vào liệu Nếu điều tạo thành rủi ro không cần thiết Thủ tục bảo mật vật lý Chúng bao gồm:  thiếu kiểm sốt chu vi vật lý (xác thực thẻ thông minh nhập cảnh);  thiếu lớp che chắn điện từ cho tài sản quan trọng dễ bị nghe trộm Cấu hình sai Lớp lỗ hổng bao gồm: áp dụng không đầy đủ đường sở bảo mật thủ tục tăng cường, lỗi người quản trị viên chưa đào tạo Hệ thống sở rẻ hệ điều hành Phần mềm không điều chỉnh Thiếu, người chưa tham gia, kế hoạch phục hồi tiếp tục khả kinh doanh Thiếu, khơng có nhân viên thương mại, phân loại tài sản Sở hữu tài sản khơng rõ ràng Xác định u cầu dự án Chúng bao gồm việc thiếu xem xét yêu cầu bảo mật tuân thủ pháp luật, khơng có tham gia người dùng hệ thống ứng dụng, yêu cầu kinh doanh không rõ ràng không đầy đủ, v.v Lựa chọn nhà cung cấp Thiếu giảm tiền nhà cung cấp Các sở ứng dụng quản lý mảnh 30 Lớp lỗ hổng bao gồm: lỗi mã ứng dụng, quy trình vá xung đột nhà cung cấp khách hàng, áp dụng vá chưa kiểm tra, lỗ hổng trình duyệt, v.v Cơ sở tiêu thụ nguồn lực Vi phạm NDA nhà cung cấp Trách nhiệm pháp lý liệu (CP) Thiếu sách thủ tục việc thu cho thuê hàng hóa Nguồn lọc lọc thương mại định hình 2.5 TÀI SẢN Tài sản Danh tiếng cơng ty Mơ tả Khách hàng tin tường Lịng trung thành kinh nghiệm nhân viên Sở hữu trí tuệ Bao gồm lợi thương mại Dữ liệu cá nhân nhạy cảm Dữ liệu cá nhân Dữ liệu cá nhân -quan trọng Tất liệu Dữ liệu nhân Cung cấp dịch vụ - dịch vụ thời gian thực Dịch vụ vận chuyển danh mục Dữ liệu cá nhân Dữ liệu liên quan đến góc độ hoạt động Tất dịch vụ quan trọng thời gian vả mức độ khả dụng gần 100% Chủ sở hữu Khách hàng Cloud Khách hàng Cloud Khách hàng Cloud Khách hàng Cloud Khách hàng CP/ Cloud Khách hàng CP/ Cloud Khách hàng CP/ Cloud Tỉ lệ Rất cao Khách hàng Cloud Khách hàng CP/ Cloud Cao Khách hàng CP/ Cloud Kiểm soát truy cập /xác Khách hàng thưc /ủy quyền CP/ Cloud Thông tin xác thực Nhân viên truy cập Khách hàng vào hệ thống Cloud Thư mục người dùng (dữ Nếu khơng hoạt động Khách hàng liệu) không vào Cloud Giao diện quản lý dịch vụ Đây giao diện quản Khách hàng đám mây lý quản lý tất CP/ Cloud dịch vụ cung Rất cao Cao Cao Rất cao Trung bình Cao Rất cao Trung bình Cao Rất cao Cao Rất cao 31 cấp thông qua đám mây API giao diện quản lý Mạng (kết nối, vv ) Bao gồm kết nối đám mây Phần cứng vật lý Tòa nhà vật chất Ứng dụng CP (mã nguồn) Chứng nhận SO, PCI DSS, etc Nhật ký hoạt động Những nhật ký sử dụng để trì tối ưu hóa quy trình kinh doanh cho mục đích kiểm tốn Hữu ích làm chứng vi phạm an ninh pháp y Nhật ký bảo mật Sao lưu lưu trữ liệu Khách hàng CP/ Cloud Khách hàng CP/ Cloud Trung bình Khách hàng CP/ Cloud Khách hàng CP/ Cloud Khách hàng CP/ Cloud Khách hàng CP/ Cloud Khách hàng CP/ Cloud Thấp / Trung bình Cao Khách hàng CP/ Cloud Trung bình Khách hàng CP/ Cloud Trung bình Cao Cao Cao Trung bình 32 ... đánh giá rủi ro điện tốn đám mây, tơi phân tích ba trường hợp sử dụng:  Góc nhìn SME Điện tốn đám mây  Tác động Điện toán đám mây khả phục hồi dịch vụ  Điện toán đám mây Chính phủ điện tử Sự lựa...CHƯƠNG TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 GIỚI THIỆU Mấy năm gần điện toán đám mây (cloud computing) lên giai đoạn phát triển Internet Điện toán đám mây mà cụ thể mơ hình dịch vụ... Bài viết cung cấp nhìn tổng quan vấn đề an tồn an ninh điện tốn đám mây, từ góc độ kiến trúc dịch vụ tính chất đám mây điện tử 1.2 KHÁI NIỆM Thuật ngữ ? ?Điện toán đám mây? ?? (cloud computing) đời vào