III. ACCESS CONTROL
5.Kiến trúc đề xuất cho Access Control trong môi trường điện toán đám mây
Một kiến trúc được đề xuất cho việc kiểm soát truy cập trong các môi trường điện toán đám mây được thể hiện như trong Hình 12.
52
Những thành phần chính trong kiến trúc được đề xuất là:
Nhà cung cấp dịch vụ đám mây - Cloud Service Provider (CSP) Dịch vụ đám mây tiêu dùng - Cloud Service Consumer (CSC) Nhà cung cấp danh tính - Identity Provider (IdP).
a. Cloud Service Provider (CSP)
Cloud Service Consumers yêu cầu các nguồn tài nguyên hoặc dịch vụ được lưu trữ bởi các nhà cung cấp dịch vụ điện toán đám mây (Cloud Service Providers - CSP). Xác thực thích hợp của CSC là cần thiết để đảm bảo rằng người sử dụng trái phép không truy cập các dịch vụ từ các CSP. Người sử dụng điện toán đám mây có thể đăng ký dịch vụ khác nhau tùy thuộc vào cơ cấu tổ chức và các yêu cầu của họ, và thường được tính chi phí dựa trên một mô hình pay-per-user. Các module chức năng chính của Cloud Service Consumer (CSC) bao gồm:
Trust Provider (TP).
Access Control Request Handler (ACRH). Indentity Provider Selector (IdPS).
Trust Provider (TP): Điện toán đám mây liên quan đến môi trường multi-domain và sự tin tưởng là một tính năng quan trọng mà cần phải được thiết lập giữa các nhà cung cấp dịch vụ đám mây và những người sử dụng dịch vụ. Sự tin tưởng lẫn nhau giữa các nhà cung cấp dịch vụ và người sử dụng dịch vụ; giữa các nhà cung cấp dịch vụ khác nhau và các nhà cung cấp danh tính là rất quan trọng trong trường hợp của hệ thống phân phối giống như đám mây hoặc dịch vụ điện toán. Sự tin tưởng cung cấp một module bên phía người dùng nhằm theo dõi giá trị tin tưởng (trust value) của các nhà cung cấp dịch vụ và cập nhật giá trị tin tưởng đó đến người sử dụng dịch vụ. Trong bối cảnh điện toán đám mây, sự tin tưởng là động bởi vì một thực thể có thể có giá trị tin cậy khác nhau tại các thời điểm khác nhau. Trust Provider tính toán giá trị tin tưởng của các nhà cung cấp dịch vụ, so sánh các thông số khác nhau như những hành vi trong quá khứ và lịch sử giao dịch trước đó với
53
nhà cung cấp dịch vụ tương tự. Module này cũng có giá trị tin tưởng hoặc thông tin của các thực thể từ Trusted Third Parties khác.
Access Control Request Handler (ACRH): Module này xử lý các yêu cầu truy cập được tạo ra khi CSC cố gắng truy cập các dịch vụ được tổ chức bởi các nhà cung cấp dịch vụ. Nó cũng liên hệ các module Identity Provider Selector (IdPS) sao cho các nhà cung cấp nhận dạng - Identity Provider (IdP) được lựa chọn để đáp ứng yêu cầu quản lý danh tính cho sự tương tác giữa các thực thể.
Identity Provider Selector (IdPS): Người sử dụng dịch vụ phải chọn một nhà cung cấp nhận dạng phù hợp để nhận được thẻ nhận dạng, thẻ nhận dạng này có thể sử dụng để truy cập các dịch vụ khác nhau được cung cấp bởi các nhà cung cấp dịch vụ đám mây. Sự lựa chọn các nhà cung cấp danh tính dựa trên các thông số khác nhau như: i) các chi tiết của nhà cung cấp, sự xác nhận các chi tiết đó và cơ chế ủy quyền; ii) những mối quan tâm về an ninh và sự riêng tư của khách hàng đám mây trong sự công bố ‘identity credentials – gấy chứng nhận danh tính’ hoặc thông tin cá nhân của mình.
b. Cloud Service Consumer (CSC)
Các nhà cung cấp dịch vụ đám mây cung cấp dịch vụ máy chủ và các dịch vụ khác hoặc các nguồn tài nguyên để khách hàng có thể khai thác. Để tránh trường hợp truy cập bất hợp pháp hoặc trái phép, sự chứng thực và ủy quyền hợp lý của CSC được yêu cầu. Điện toán đám mây cho phép các nhà cung cấp dịch vụ có thể cung cấp dịch vụ khác nhau như Software-as-a-Service (SaaS), Platform-as-a- Service (PaaS) và Infrastructure-as-aService (IaaS). Trong SaaS, phần mềm có thể được sử dụng bởi người sử dụng mà không cần thực sự mua chúng hay không cần thiết phải cài đặt chúng trên máy tính của người dùng. Trong PaaS, nền tảng phát triển được cung cấp bởi các nhà cung cấp dịch vụ đám mây và người dùng có thể sử dụng nền tảng để thiết kế và phát triển các ứng dụng điện toán đám mây. Trong IaaS, hạ tầng điện toán giống như chu trình máy tính cá nhân, không gian lưu trữ, dữ liệu… được cung cấp bởi các nhà cung cấp dịch vụ và người dùng có thể sử
54
dụng các nguồn tài nguyên theo yêu cầu tài nguyên của họ. Để đạt được hiệu quả tương tác giữa các lĩnh vực dịch vụ và lĩnh vực sử dụng khác nhau, các nhà cung cấp dịch vụ phải hỗ trợ identity federation bằng cách tích hợp các security token sử dụng các tiêu chuẩn như SAML hoặc OpenID được tạo ra bởi các nhà cung cấp danh tính.
Các module chính của Cloud Service Provider (CSP) là: Authentication (AuthN) – Xác thực
Authorization (AuthZ) - Ủy quyền
Policy Conflict Manager (PCM) – Quản lý xung đột chính sách Identity Provider Selector (IdPS)
Trust Provider (TP)
Authentication – Xác thực: Module này xác minh danh tính của người yêu cầu bằng cách tương tác với các thành phần cung cấp danh tính sử dụng các identity token như các xác nhận SAML. CSP có thể có nhiều IdPs được liệt kê trong phạm vi đáng tin cậy của nó. CSP và CSC đồng ý về một IdP đặc biệt cho sự tương tác tiếp theo giữa chúng.
Authorization - Ủy quyền: Module này xác nhận các quyền truy cập của CSC và bắt đầu thực thi Policy Enforcement Point (PEP) và các thành phần Policy Decision Point (PDP). PEP tương tác với PDP để xác nhận các yêu cầu truy cập. PDP truy cập cơ sở dữ liệu chính sách cục bộ được lưu trữ bởi các CSP. PDP cũng tương tác với các module Policy Conflict Manager (PCM) để giải quyết các cuộc xung đột về chính sách, phát sinh từ những người dùng khác nhau cố gắng để truy cập các tài nguyên khác nhau của tổ chức trong cùng một lúc. Cơ chế thích hợp sẽ được thực hiện bởi PDP để xử lý các yêu cầu truy cập khẩn cấp. Quyết định của PDP được thực hiện bởi PEP.
Policy Conflict Manager (PCM) – Quản lý xung đột chính sách: Trước khi bất kỳ yêu cầu truy cập bởi bất kỳ người sử dụng điện toán đám mây nào được đáp ứng, cơ
55
chế kiểm soát truy cập nên đảm bảo rằng các quy tắc tổ chức và chính sách bảo mật được thực thi một cách triệt để. Các cuộc xung đột chính sách, phát sinh từ các yêu cầu truy cập khác nhau được thực hiện bởi người dùng khác nhau được xử lý bởi module này trước khi có quyết định truy cập thức.
Identity Provider Selector (IdPS): Module Identity Provider Selector chọn IdP đáng tin cậy trong phạm vi của nó. IdPS tương tác với module Trust Provider để có được giá trị tin tưởng – trust value hiện tại của các IdP. Module này cũng tương tác với khách hàng hoặc CSC để xác định IdP được lựa chọn nhằm xác thực người sử dụng trước khi truy cập các dịch vụ lưu trữ bởi máy chủ, và các lựa chọn dựa trên nhiều yếu tố như bản chất của dịch vụ được yêu cầu và mối quan tâm của người dùng đối với an ninh và riêng tư. CSP tương tác với các nhà cung cấp danh tính để xác thực người sử dụng điện toán đám mây.
Trust Provider: Module Trust Provider trên Cloud Service Provider tính toán giá trị tin tưởng của người sử dụng dịch vụ điện toán đám mây dựa trên các thông số khác nhau như kinh nghiệm trước đó của khách hàng và giá trị uy tín hiện tại được thu thập từ các Trusted Third Parties khác. Module này cũng tính toán các giá trị tin tưởng gắn liền với các nhà cung cấp danh tính khác nhau một lần nữa dựa trên các yếu tố nêu trên trong việc quyết định các nhà cung cấp danh tính được chọn là đáng tin cậy. Tính toán sự tin tưởng này cần có cơ chế động giống như các giá trị tin tưởng của các thực thể khác nhau thay đổi theo thời gian trong quá trình giao dịch.
c. Identity Provider (IdP)
Trong điện toán đám mây, một người dùng hoặc một tổ chức có thể đăng ký dịch vụ từ nhiều nhà cung cấp dịch vụ để đáp ứng các nhu cầu về tài nguyên. Bối cảnh này nhấn mạnh yêu cầu cấp thiết cho việc quản lý danh tính thích hợp trong điện toán đám mây. phương pháp tiếp cận liên kết quản lý danh tính Federated identity management (giống như xác thực một lần Single Sign-On) là cần thiết cho bối cảnh điện toán đám mây hiện nay. Người sử dụng điện toán đám mây trong cloud federation không cần phải sử dụng nhiều lần thông tin quan trọng cho từng
56 (adsbygoogle = window.adsbygoogle || []).push({});
nhà cung cấp dịch vụ đám mây hoặc từng dịch vụ mà họ đăng ký. Các CSC có thể sử dụng các identity tokens được tạo ra bởi các nhà cung cấp danh tính (Ping Indentity, Symplified…). Người sử dụng trao đổi các security tokens - thẻ an ninh (các xác nhận SAML thông thường) được tạo ra bởi các nhà cung cấp danh tính cho nhiều nhà cung cấp dịch vụ điện toán đám mây trong liên kết.
6. Quy trình làm việc của mô hình Access Control trong môi trường đám mây
Mô hình quy trình làm việc để kiểm soát truy cập trong môi trường điện toán đám mây được thể hiện trong Hình 13.
Hình 13: Quy trình làm việc của các mô hình Access Control trong các môi trường đám mây
Như thể hiện trong hình trên, các bước khác nhau được thực hiện bởi CSC, CSP và các IdP trong một sự tương tác:
1. Một Cloud Service Consumer (CSC) muốn truy cập các dịch vụ được lưu trữ bởi các nhà cung cấp dịch vụ đám mây và bắt đầu yêu cầu truy cập.
57
2. Giá trị tin tưởng động (dynamic trust value) của CSP được tính toán theo CSC dựa trên giao dịch trước đó và các thông tin được cung cấp bởi Trusted Third Parities – Bên thứ ba đáng tin cậy.
3. CSP gửi yêu cầu xác thực đến CSC.
4. CSC tương tác với các CSP để quyết định IdP dựa trên loại yêu cầu dịch vụ và các tùy chọn bảo mật. Người ta cho rằng các nhà cung cấp dịch vụ điện toán đám mây (CSP) lựa chọn các IdP trong phạm vi đáng tin cậy của nó tùy thuộc vào giá trị tin tưởng của các IdP khác nhau, và cũng dựa trên lịch sử của sự tương tác trước đó và sự tin tưởng hoặc giá trị danh tiếng được cung cấp bởi các thực thể đáng tin cậy khác.
5. CSC tương tác với IdP được lựa chọn để có được thẻ bảo mật (SAML assertions).
6. Sau đó CSC tương tác với CSP, sử dụng các thẻ đã phát hành trong bước (5) bởi IdP.
7. CSP xác minh lại authentication của CSC bằng cách tương tác với IdP.
8. Yêu cầu ủy quyền - authorization được xử lý bởi PEP và module PDP của CSP.
9. PDP quyết định xem yêu cầu có thể được cho phép hay không, bằng cách liên hệ tới cơ sở dữ liệu chính sách được lưu trữ cục bộ. Nó cũng cân nhắc đến quản lý sự xung đột chính sách, quản lý sự tin tưởng động của CSC và cơ chế thích hợp để xử lý các yêu cầu của người dùng.
58
CHƯƠNG III: WINDOWS AZURE PLATFORM - LÀM VIỆC VỚI DỰ ÁN AZURE TRONG VISUAL STUDIO