An toàn thông tin trong điện toán đám mây ngày càng trở nên cấp thiết khi các dịch vụ của mô hình điện toán đám mây nở rộ vào những năm tới đây. Khi nhu cầu sử dụng dịch vụ trên “đám mây” trở nên cần thiết vì tính tiện lợi và giá thành phù hợp so với việc đầu tƣ vào các thiết bị, thì vấn đề an toàn thông tin hệ thống mạng máy tính nói chung và điện toán đám mây nói riêng là một trong những vấn đề mà hiện nay giới công nghệ thông tin cũng nhƣ các tổ chức, cá nhân có nhu cầu sử dụng các dịch vụ đám mây rất quan tâm.
An toàn thông tin điện toán đám mây đòi hỏi phải có những thích ứng phù hợp với môi trƣờng điện toán đám mây, khả năng tiên lƣợng trƣớc về phía khách hàng cùng với độ linh hoạt, kỹ năng và sự sẵn sàng trao đổi về phía nhà cung cấp dịch vụ điện toán đám mây.
Chiến lƣợc về bảo mật hiện nay cũng không đơn giản là sử dụng firewall, mạng riêng ảo hay bảo mật cho từng máy mà phải là bảo mật chung cho tất cả thiết bị nhƣ smartphone, máy tính bảng… Thực tế cho thấy hiện nay việc sử dụng smartphone để gửi email, tin nhắn ra ngoài là rất phổ biển. Điều này làm cho thông
tin doanh nghiệp có thể bị tiết lộ. Do đó, các nhà cung cấp dịch vụ, nhà quản trị cũng nên xây dựng chiến lƣợc bảo mật hợp lý và toàn diện để giảm thiểu rủi ro trong xu hƣớng điện toán đám mây.
Tổ chức IDC là một tổ chức khá uy tín trên thế thời chuyên về khảo sát thị trƣờng, phân tích và tƣ vấn đặc biệt là trong công nghệ thông tin, viễn thông và công nghệ tiêu dùng. Họ có một số khảo sát cho thấy sức mạnh của điện toán đám mây thực thi trong ngành công nghiệp IT và góp phần truyền cảm hứng cho các nhà CSP. Các khảo sát bao gồm tăng trƣởng của đám mây, khía cạnh bảo mật, đám mây là ƣu tiên số một với nhà cung cấp, báo cáo lợi nhuận, mức độ sử dụng hiện tại và tƣơng lai, vị thế của đám mấy với ngƣời dùng IT và tính phổ biến của điện toán đám mây.
3.1.2 Tình hình ứng dụng tại Việt Nam
Sử dụng các dịch vụ trên nền tảng điện toán đám mây đang là xu thế trên thế giới và
Việt Nam cũng không nằm ngoài xu thế ấy.
Hình 3.1 Một số nhà cung cấp dịch vụ điện toán đám mây
Có thể thấy rõ rệt nhất là các dịch vụ điện toán đám mây công cộng mà rất nhiều ngƣời đang sử dụng nhƣ Google Apps (điển hình là Google doc, thƣ điện tử gmail), các dịch vụ Window Azure, các dịch vụ Google App engine cho các dịch
vụ mức PaaS. Dịch vụ cho thuê máy chủ của Amazon (Amazon web services) cũng là một dạng điện toán đám mây mà nhiều ngƣời đã khá quen thuộc. Các dịch vụ điện toán đám mây kể trên rất nổi tiếng và quen thuộc với ngƣời dùng cá nhân và doanh nghiệp nhỏ do chi phí sử dụng không cao lại đem lại hiệu quả công việc đáng kể. Tuy nhiên với các doanh nghiệp lớn hơn thì xu thế sử dụng lại là tự xây dựng các hạ tầng điện toán đám mây nội bộ, sau quá trình phát triển lâu dài sẽ dần tiến ra thành điện toán đám mây công cộng (Public cloud) hoặc đám mây lai (Hybrid Cloud). Đây là cách thức để giảm thiểu phụ thuộc vào các nhà cung cấp dịch vụ điện toán đám mây lớn và hiện tại đang rất phù hợp với môi trƣờng IT đang trong quá trình phát triển mạnh mẽ ở Việt Nam.
Triển khai đám mây nội bộ sẽ làm gia tăng đáng kể hiệu năng làm việc của doanh nghiệp do vòng đời của dịch vụ đám mây là rất dễ dàng quản lý, ngoài ra nó còn giảm bớt gánh nặng quản trị, nhân sự. Các hãng lớn trong làng công nghệ nhƣ VMware, IBM, HP,
Oracle,… đều cung cấp các tùy chọn sản phẩm điện toán đám mây nội bộ đến các doanh nghiệp. Tất cả những sản phẩm của các hãng này cũng đƣợc các doanh nghiệp tại Việt Nam sử dụng với số lƣợng ở mức tƣơng đối. Triển khai các dịch vụ này cũng chỉ nhằm mục đích cụ thể nào đó chứ vẫn chƣa đƣợc các doanh nghiệp chú trọng đƣa vào áp dụng cho toàn bộ hạ tầng IT của mình. Ngân sách cũng là một vấn đề ảnh hƣởng đến quyết định triển khai dịch vụ nhƣng vấn đề cơ bản và to lớn hơn đó là điện toán đám mây vẫn có những đặc tính khiến ngƣời dùng chƣa an tâm, hoặc do công nghệ chƣa hoàn thiện, hoặc do ngƣời dùng chƣa làm chủ đƣợc công nghệ nên còn rụt rè trong việc lựa chọn.
3.1.3 Yêu cầu chung về an toàn thông tin
An toàn thông tin ĐTĐM không phải là một lĩnh vực mới mẻ, mà là một lĩnh vực tiến hóa của an ninh máy tính, an ninh mạng và, ở mức độ rộng
sung sẽ đƣợc triển khai ở mức con ngƣời và qui trình, nhƣ sự tách biệt các trách nhiệm và quản lý thay đổi, một cách tƣơng ứng.
Có thể nhiều ngƣời cho rằng, khi triển khai ứng dụng ĐTĐM, thì mọi trách nhiệm về an ninh của thông tin - dữ liệu và hệ thống thông tin đều thuộc về (các) nhà cung cấp ở bên ngoài, còn bản thân tổ chức của ngƣời sử dụng ĐTĐM thì sẽ không mắc phải những trách nhiệm đó nhƣ đã từng có theo lối truyền thống. Điều này, đáng tiếc, là không đúng.
An toàn thông tin ĐTĐM là sự chia sẻ trách nhiệm giữa nhà cung cấp và người sử dụng
Trong môi trƣờng SaaS thì việc kiểm soát an toàn thông tin và phạm vi của nó đƣợc thƣơng thảo trong các hợp đồng dịch vụ; các mức dịch vụ, sự riêng tƣ, và s ự tuân thủ tất cả là những vấn đề sẽ đƣợc đƣa ra đúng pháp luật trong các hợp đồng.
Trong môi trƣờng IaaS lại khác, trong khi trách nhiệm về đảm bảo an toàn thông tin cho hạ tầng bên trong và các lớp trừu tƣợng thuộc về nhà cung cấp, thì phần còn lại là trách nhiệm của khách hàng.
PaaS đƣa ra một sự bù trừ đâu đó ở giữa, nơi mà việc đảm bảo an toàn thông tin cho bản thân nền tảng nằm ở phía nhà cung cấp, còn việc đảm bảo an ninh cho các ứng dụng đƣợc triển khai đối với nền tảng và việc phát triển chúng một cách có an ninh, cả 2 đều thuộc về khách hàng.
Hiểu đƣợc ảnh hƣởng của những khác biệt giữa các mô hình dịch vụ và cách mà chúng sẽ đƣợc triển khai là sống còn cho việc quản lý tình trạng rủi ro của một tổ chức.
Việc hiểu sai về trách nhiệm của ngƣời sử dụng ĐTĐM có thể dẫn ngƣời sử dụng tới việc chểnh mảng, thậm chí từ bỏ trách nhiệm của mình đối với các dữ liệu, ứng dụng ... và hậu quả của nó sẽ là khôn lƣờng. Tới đây, có thể nhiều ngƣời cho rằng, nếu triển khai ĐTĐM riêng thì hoàn toàn có thể tránh đƣợc những rắc rối về tr ánh nhiệm an ninh và có thể trút hết sang cho các nhà cung cấp là ngƣời nhà của cùng một tổ chức, những chuyên gia về công nghệ thông tin am hiểu về đám mây chăng.
3.2. Nguy cơ mất an toàn thông tin trong điện toán đám mây của doanh nghiệp
Điện toán mây đƣợc cấu thành từ nhiều thành phần khác nhau. Từ máy chủ, lƣu trữ, mạng đƣợc ảo hóa, tiếp theo là các thành phần quản lý Cloud Management. Thành phần này sẽ quản lý tất cả các tài nguyên đƣợc ảo hóa và tạo ra các máy chủ ảo với hệ điều hành, ứng dụng để cung cấp cho khách hàng. Nhƣ vậy, điện toán mây là một mô hình lego với rất nhiều miếng ghép công nghệ tạo thành. Mỗi một miếng ghép lại tồn tại trong nó những vấn đề bảo mật và vô hình chung, điện toán mây khi giải bài toán bảo mật tất yếu phải giải quyết các vấn đề của những miếng ghép trên.
Đi sâu vào công nghệ, để giải quyết các vấn đề trên, nhà cung cấp dịch vụ điện toán mây phải xây dựng một chiến lƣợc bảo mật qua nhiều lớp với nhiều công nghệ khác nhau đi từ Hạ tầng – Phần cứng – Phần mềm - Ứng dụng – Tính pháp lý … Các thành phần bảo mật này đảm bảo vận hành một cách đồng bộ với nhau, đem đến một hành lang bảo vệ cho ứng dụng và dữ liệu nhƣng đồng thời không đem đến
Sự phụ thuộc: hiện tại có rất ít các công cụ, thủ tục hoặc dữ liệu tiêu chuẩn định dạng đảm bảo tính di động dịch vụ. Điều này có thể gây khó khăn cho khách hàng để di chuyển đến một nhà cung cấp khác hoặc chuyển dữ liệu về cho các ứng dụng khác của khách hàng. Điều này dẫn đến sự phụ thuộc vào một nhà cung cấp dịch vụ đám mây, đặc biệt tính linh động của dữ liệu, khía cạnh cơ bản nhất, lại không đƣợc kích hoạt …
Cách li bất thành: dịch vụ tập trung đặc điểm chính của điện toán đám mây. Điều này có thể dẫn đến rủi ro là không tách đƣợc bộ nhớ lƣu trữ của các khách hàng khác nhau, có thể có các cuộc tấn công an ninh làm lẫn lộn dữ liệu các khách hàng khác nhau. Tuy nhiên cũng cần thấy rằng các cuộc tấn công vào các cơ chế cách ly tài nguyên vẫn còn rất ít hơn rất nhiều và khó khăn hơn nhiều cho kẻ tấn công khi so sánh với các cuộc tấn công trên các hệ điều hành truyền thống.
Tính tuân thủ: dịch vụ phải đạt đƣợc các yêu cầu về một loại giấy phép, chứng nhận nào đó (ví dụ, tiêu chuẩn ngành công nghiệp hoặc yêu cầu pháp lý) có thể có rủi ro khi di cƣ ứng dụng đến các đám mây: nếu các nhà cung cấp dịch vụ điện toán đám mây không thể cung cấp bằng chứng về sự tuân thủ của họ với các yêu cầu có liên quan nếu nhà cung cấp dịch vụ điện toán đám mây không cung cấp cơ chế kiểm soát dịch vụ cho khách hàng.
Giao diện bị lộ: Các giao diện bị lộ làm cho một nguy cơ bị tấn công ngày càng gia tăng, đặc biệt là khi kết hợp với truy cập từ xa và các lỗ hổng trình duyệt web.
Bảo vệ dữ liệu: điện toán đám mây gây ra rủi ro cho việc bảo vệ dữ liệu cho khách hàng và các nhà cung cấp. Trong một số trƣờng hợp, nó có thể khó khăn cho
các khách hàng (trong vai trò là điều khiển dữ liệu) để kiểm tra hiệu quả xử lý dữ liệu của các nhà cung cấp và vì thế để đảm bảo rằng dữ liệu đƣợc xử lý một cách hợp pháp. Vấn đề này là làm trầm trọng hơn trong các trƣờng hợp chuyển nhiều dữ liệu, ví dụ, giữa các đám mây liên quan.
Xóa dữ liệu chƣa hết: khi một yêu cầu để xóa một nguồn tài nguyên điện toán đám mây đƣợc thực hiện, nhƣ với hầu hết các hệ điều hành, điều này chƣa chắc có thể dẫn đến xoá sạch các dữ liệu. Xóa hết hoặc xóa dữ liệu đúng thời điểm cũng có thể không thực hiện đƣợc, hoặc vì lý do có bản sao dữ liệu dự phòng, hoặc vì phần xóa cũng lƣu dữ liệu từ các khách hàng khác. Khi dữ liệu tập trung cùng với cơ chế tái sử dụng các nguồn tài nguyên phần cứng, nguy cơ không xóa hết dữ liệu là rất cao.
Rủi ro từ nội bộ: trƣờng hợp này rất hiếm khi xảy ra nhƣng tác hại của nó rất lớn. Ví dụ ngƣời quản trị hệ thống điện toán đám mây của nhà cung cấp. Một sai sót của họ có thể gây ra hậu quả rất lớn. Tuy nhiên điều này rất khó xảy ra vì các nhà cung cấp dịch vụ đám mây có các nguyên tắc bảo mật rất cao, một cá nhân nào đó không đủ quyền để làm hỏng hệ thống.
3.3 Giải pháp đảm bảo an toàn thông tin trong điện toán đám mây cho doanh nghiệp
3.3.1 Những lí luận chung về giải pháp an toàn thông tin
Theo một đánh giá khác từ Gartner về bảo mật trong điện toán mây năm 2015, thì giải pháp để đảm bảo an toàn thông tin trong điện toán đám mây của doanh nghiệp phải đảm bảo đƣợc các vấn đề sau:
Tính tin cẩn thận (Confidentiality): Dữ liệu của khách hàng đƣợc bảo vệ nhƣ thế nào? Ngoài khách hàng, dữ liệu đó có thể bị xem trộm bởi chính nhà cung cấp hay những khách hàng khác không? Các nhà cung cấp có đạt các chứng nhận của các tổ chức thứ ba đánh giá về bảo mật hay không?
tin của nhà cung cấp điện toán đám mây (các tổ chức cung cấp phần mềm, platform hay cơ sở hạ tầng) gặp phải và các vấn đề an toàn thông tin của khách hàng gặp phải. Các nhà cung cấp điện toán đám mây phải đảm bảo rằng cơ sở hạ tầng mà họ cung cấp phải an toàn với ý nghĩa là các dữ liệu và ứng dụng của khách hàng đƣợc bảo vệ. Trong khi đó, khách hàng phải đảm bảo rằng các nhà cung cấp đã áp dụng biện pháp an ninh phù hợp để bảo vệ thông tin của họ. Sự mở rộng áp dụng kỹ thuật ảo hóa để xây dựng hạ tầng của điện toán đám mây làm phát sinh các vấn đề bảo mật đặc thù đối với khách hàng (đối tƣợng sử dụng dịch vụ điện toán đám mây). Kỹ thuật ảo hóa thay đổi liên kết giữa hệ điều hành và các kiến trúc phần cứng nhƣ là tính toán, lƣu trữ và hệ thống mạng. Điều này tạo một lớp mới – ảo hóa – cần đƣợc cấu hình, quản lý và bảo mật.
Trong thực tế, đảm bảo an toàn là vấn đề sống còn đối với sự phát triển của điện toán đám mây. Hiện nay, rất nhiều tổ chức và doanh nghiệp đã nghiên cứu và đƣa ra nhiều giải pháp an toàn thông tin cho điện toán đám mây. Dƣới đây, giới thiệu sơ lƣợc về một số mô hình an toàn và thuật toán mã hóa cơ bản:
Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây
- Lớp 1 (Layer 1): Lớp xác thực ngƣời dùng truy cập điện toán đám mây, với giải pháp thƣờng đƣợc áp dụng là dùng mật khẩu một lần (One Time Password - OTP). Các hệ thống đòi hỏi tính an toàn cao sẽ yêu cầu xác thực từ hai phía là ngƣời dùng và nhà cung cấp, nhƣng với các nhà cung cấp điện toán đám mây miễn phí, thì chỉ xác thực một chiều (Hình 3.1).
- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toàn vẹn dữ liệu (Data Integrity) và bảo vệ tính riêng tƣ ngƣời dùng (Private User Protection) thông qua một thuật toán mã hóa đối xứng.
- Lớp 3 (Layer 3): Lớp dữ liệu ngƣời dùng phục vụ cho việc phục hồi nhanh dữ liệu theo tốc độ giải mã.
quản lý lƣu trữ mà không cần giải mã thì thuật toán mã hóa dữ liệu đồng phôi (homomorphic encryption algorithm) và đồng phôi đầy đủ (fully hommomorphic) đang đƣợc quan tâm nghiên cứu ứng dụng trong mô hình này. Thông tin bí mật của ngƣời dùng phục vụ quá trình mã hóa/giải mã đƣợc lƣu tại Secure Storage.
Mô hình bảo vệ dữ liệu sử dụng VPN Cloud
Trong mô hình này (Hình 3.3), để đảm bảo dữ liệu trên kênh truyền đƣợc an toàn, ngƣời ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đƣờng truyền giữa các đám mây riêng với nhau và giữa ngƣời sử dụng với đám mây. Với các tổ chức có nhu cầu an toàn dữ liệu cao thì khi triển khai thƣờng lựa chọn mô hình điện toán đám mây riêng (Private Cloud Computing).
VPN Cloud sẽ giúp cho việc kết nối giữa ngƣời dùng và đám mây, cũng nhƣ kết nối giữa các đám mây riêng đƣợc an toàn và bảo mật thông qua chuẩn IPSec.
Công nghệ VPN trong các hệ thống mạng truyền thống đã phát huy nhiều ƣu việt và đƣợc dùng khá phổ biến. Tuy nhiên, với công nghệ điện toán đám mây luôn đòi hỏi tính linh động (dynamic) và mềm dẻo (elastic) trong tổ chức cũng nhƣ quản lý hệ thống, thì các kỹ thuật dynamic VPN hay elastic VPN sẽ phù hợp. Khi số lƣợng kết nối VPN trong hệ thống điện toán đám mây lớn sẽ đòi hỏi mô hình thiết lập VPN phù hợp tƣơng ứng. Có hai mô hình VPN thƣờng đƣợc quan tâm là Hub -