Nghiên cứu giải pháp bảo mật trong điện toán đám mây

MỤC LỤC

VẤN ĐỀ AN NINH MẠNG VÀ KỸ THUẬT BẢO MẬT MẠNG 2.1. Giới thiệu về bảo mật

Những lỗ hổng về bảo mật 1. Lỗ hổng bảo mật

    Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp … Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows XP, Windows NT, UNIX, hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ databases…. Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa một dịch vụ mà dựa vào kẻ tấn công có thể xâm nhập trái phép để thực hiện hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp.

    DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế giao thức ở tầng Internet Protocol (IP) nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này.

    Các kiểu tấn công của hacker

    Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộm luồng dữ liệu truyền qua. Nếu quản trị hệ thống cấu hình hệ thống không an toàn sẽ rất nguy hiểm vì nếu người tấn công duyệt qua được các file pass thì họ có thể download và giải mã ra, khi đó họ có thể làm được nhiều thứ trên hệ thống. Những thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính, không phải Browser nào cũng hổ trợ cookies.

    Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu cùng một lúc đến các máy tính, thường là các server trên mạng. Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng bảo mật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên trong mà không cần phải qua bước đăng nhập. Thay đổi dữ liệu: Sau khi những người tấn công đọc được dữ liệu của một hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gởi và người nhận nó.

    Các biện pháp phát hiện tấn công và kỹ thuật bảo mật mạng 1. Các biện pháp phát hiện tấn công

      Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác thực". "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng của người sử dụng). FTP là giao thức lớp ứng dụng trong bộ giao thức TCP/IP cho phép truyền dữ liệu chủ yếu qua port 20 và nhận dữ liệu tại port 21, dữ liệu được truyền dưới dạng clear-text, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền file hay lấy mật khẩu trong quá trình chứng thực là rất cao, thêm vào đó user mặc định Anonymous không an toàn tạo điều kiện cho việc tấn công tràn bộ đệm.[9]. Một khi server nhận dược yêu cầu từ client, hai bên thực hiện cơ chế three-way handshake trong đó bao gồm việc xác minh các giao thức, khóa phiên sẽ được thay đổi giữa client và server, khi khóa phiên đã trao đổi và xác minh đối với bộ nhớ cache của host key, client lúc này có thể bắt đầu một phiên an toàn.

      Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sử dụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và Internet thông qua các chính sách truy cập đã được thiết lập. Đặc điểm của VPN là dữ liệu trong quá trình truyền được mã hóa, người sử dụng đầu xa được chứng thực, VPN sử dụng đa giao thức như IPSec, SSL nhằm tăng thêm tính bảo mật của hệ thống, bên cạnh đó tiết kiệm được chi phí trong việc triển khai. IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống chuông báo động được cấu hỡnh để giỏm sỏt cỏc điểm truy cập cú thể theo dừi, phỏt hiện sự xõm nhập của các attacker.

      Hình 2.3: Quá trình mã hóa Mã hoá nhằm đảm bảo các yêu cầu sau:
      Hình 2.3: Quá trình mã hóa Mã hoá nhằm đảm bảo các yêu cầu sau:

      GIẢI PHÁP BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY 3.1. An ninh bảo mật trong điện toán đám mây

      • Các mối đe dọa về an ninh bảo mật trong điện toán đám mây 1. Các nguy cơ và các mối đe dọa trên điện toán đám mây
        • Một số giải pháp an ninh bảo mật trong điện toán đám mây 1. Giải pháp bảo mật IBM
          • Đề xuất các khuyến nghị về an ninh bảo mật trong điện toán đám mây 1. Mục đích của việc đề xuất

            Do đặc tính di động của người dùng trong tổ chức là khá lớn, hệ thống quản lý nhận dạng cần phải có khả năng tự động và cung cấp tài khoản người dùng nhanh chóng để đảm bảo không có truy cập trái phép nào vào tài nguyên đám mây của tổ chức bởi một số người dùng đã rồi khỏi tổ chức. Trong điện toán truyền thống, các doanh nghiệp còn phải tìm đủ mọi giải pháp để đảm bảo an toàn cho những thông tin đặt ngay trên hạ tầng thiết bị chính của mình, thì rất khó để họ tin tưởng giao lại thông tin khi mà họ không biết nó được đặt chính xác ở đâu và lại được quản lý bởi những người không quen biết theo mô hình điện toán đám mây. SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước).

            Dựa trên các tiêu chuẩn, khả năng đăng nhập một lần được yêu cầu để đơn giản hóa thao tác đăng nhập của người dùng vào hệ thống mạng nội bộ và hệ thống đám mây, cho phép người sử dụng dễ dàng và nhanh chóng sử dụng được các dịch vụ của đám mây. Các giải pháp của HP là "hỗ trợ các doanh nghiệp xây dựng và thực hiện một chiến lược bảo mật toàn diện nhằm xử lý các nguy cơ và những trở ngại tiềm năng từ sự gia tăng của điện toán di động, đám mây và truyền thông xã hội". Giải pháp của Trend Micro ứng dụng kiến trúc client - cloud mang tính cách mạng, trong đó kết hợp các dịch vụ đánh giá độ tin cậy của file, email và web dựa trên nền “đám mây” với công nghệ quét thông minh Trend Micro Smart Scanning để bảo vệ theo thời gian thực và có tính cập nhật cao chống lại những mối đe dọa tinh vi hiện nay.

            Cơ chế quét thông minh Trend Micro Smart Scan, bảo vệ trực tiếp từ đám mây Internet, ứng phó với những mối đe dọa nhanh hơn rất nhiều so với phần mềm bảo mật thông thường do kết nối với thông tin dữ liệu về độ tin cậy liên tục được cập nhật của Trend Micro. Đưa ra những khuyến nghị về các nguyên tắc an ninh bảo mật đối với các nhà cung cấp dịch vụ điện toán đám mây cũng tổ chức doanh nghiệp khi quyết định tham gia sử dụng dịch vụ điện toán đám mây, dựa vào ý kiến này các nhà cung cấp dịch vụ sẽ xem xét lại hệ thống an ninh bảo mật và tăng cường an ninh bảo mật cho các dữ liệu khách hàng của họ, các tổ chức khi tham gia dịch vụ điện toán đám mây có cái nhìn khách quan về bảo mật và lựa chọn cũng như phải cân nhắc các điều khoản hợp đồng khi ký kết với các nhà cung cấp để đảm bảo dữ liệu của tổ chức luôn được an toàn bảo mật, không mất mát rò rỉ.

            Hình 3.1: Bảo mật đám mây IBM
            Hình 3.1: Bảo mật đám mây IBM