Mô hình điện toán đám mây dƣờng nhƣ ngày càng đƣợc ƣa chuộng vì sự tiện lợi cũng nhƣ không phải đầu tƣ nhiều về hạng tầng CNTT. Tuy nhiên, nghiên cứu gần đây cho thấy vấn đề về an toàn thông tin là rào cản lớn nhất quyết định xem điện toán đám mây có đƣợc sử dụng rộng rãi hay không. Điện toán đám mây hay điện toán máy chủ ảo là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet. Thuật ngữ “đám mây” ở đây chính là mạng Internet và các kết cấu hạ tầng bên trong.
Trên thực thế, điện toán đám mây đơn giản chỉ là một bƣớc tiến khác trong cách mạng công nghệ thông tin. Mô hình đám mây đƣợc phát triền dựa trên 3 yếu tố
cơ bản gồm máy tính trung ƣơng, máy chủ/khách và ứng dụng Web. Nhƣng bản chất của 3 thành phần này đều tồn tại các vấn đề về an toàn thông tin.
Song các vấn đề an toàn thông tin vẫn không ngăn đƣợc sự bùng nổ công nghệ cũng nhƣ sự ƣa chuộng điện toán đám mây bởi khả năng giải quyết và đáp ứng các nhu cầu trong sản xuất, kinh doanh. Để đảm bảo an toàn thông tin cho điện toán đám mây, chúng ta cần nắm đƣợc vai trò của nó trong sự phát triển công nghệ. Rất nhiều câu hỏi tồn tại xung quanh những ƣu và khuyết điểm khi sử dụng điện toán đám mây trong đó tính an toàn thông tin, hữu dụng và quản lý luôn đƣợc chú ý xem xét kĩ lƣỡng.
nhằm đáp ứng nhu cầu an toàn thông tin. An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trƣớc kia hầu nhƣ chỉ có nhu cầu an toàn thông tin, nay đòi hỏi thêm nhiều yêu cầu mới nhƣ an ninh máy chủ và trên mạng.
2.1.1 Vấn đề đảm bảo an toàn thông tin
An toàn thông tin [9] bảo vệ mạng của các tổ chức, cá nhân trƣớc việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ virus và sâu máy tính trên mạng Internet. Nếu an toàn thông tin mạng không đƣợc triển khai, các tổ chức, cá nhân có khả năng sẽ gặp rủi ro trƣớc xâm nhập trái phép, làm ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp.
Từ đây ta thấy đƣợc an toàn thông tin trong hệ thống mạng luôn là vấn đề nóng hổi, cần đƣợc quan tâm và mang tính quan trọng hơn hết.
Máy tính đòi hỏi các phƣơng pháp tự động để bảo vệ các tệp và các thông tin lƣu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi lúc, mọi nơi. Do đó không thể đề ra các quy trình tự động hỗ trợ đảm bảo an toàn thông tin. Việc sử dụng mạng và truyền thông đòi hỏi phải có các phƣơng tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phƣơng tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra.
2.1.1.1 Xác định nguy cơ đối với hệ thống mạng
Nguy cơ hệ thống (Risk) đƣợc hình thành bởi sự kết hợp giữa lỗ hổng hệ thống và các mối đe dọa đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong 3 cấp độ là: thấp, trung bình và cao.
Lỗ hổng của hệ thống: việc xác định các lỗ hổng của hệ thống đƣợc bắt đầu từ các điểm truy cập vào hệ thống. Các điểm truy nhập của hệ thống bất kỳ (Access Points) thƣờng đóng vai trò quan trọng đối với mỗi hệ thống vì đây là điểm đầu tiên mà ngƣời sử dụng cũng nhƣ những ngƣời tấn công qua mạng quan tâm tới.
Xác định các mối đe dọa: Đây là một công việc khó khăn vì các mối đe dọa thƣờng không xuất hiện rõ ràng (ẩn), thời điểm và quy mô cũng nhƣ phƣơng thức tấn công không biết trƣớc.
Không kiểm soát hoặc mất cấu hình hệ thống chiếm một tỷ lệ lớn trong số các lỗ hổng bảo mật.
Những nguy cơ trong nội bộ mạng.
Xác định các phần mềm có nhiều lỗ hổng tạo cơ hội cho hacker xâm nhập vào hệ thống.
Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học, trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại “rệp” điện tử theo ý đồ định trƣớc, gọi là “bom điện tử”.
Chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống.
2.1.1.2 Những lƣu ý đối với ngƣời sử dụng mạng
Một số vấn đề về an toàn thông tin khi tham gia các dịch vụ trên mạng
Thiết lập các công cụ quản lý, kiểm tra và điều khiển hệ thống máy tính để chống việc xâm nhập trái phép xảy ra.
Việc bảo vệ mật khẩu tên miền của bạn một cách cẩn thận, sử dụng những mật khẩu đủ mạnh tối thiểu là 8 ký tự trở lên kết hợp chữ số và chữ cái. Bảo mật thông tin khi mua hàng trực tuyến:
Kiểm tra website mua hàng một cách kỹ càng, tránh nhầm lẫn tên miền. Chỉ thanh toán trên các website sử dụng giao thức https: đây là giao thức bảo
2.1.2 An toàn thông tin trong điện toán đám mây
An toàn thông tin điện toán đám mây (đôi khi đƣợc gọi đơn giản là “đám mây bảo mật”) là một lĩnh vực mới trong sự phát triển của bảo mật máy tính, an ninh mạng, và rộng rãi hơn an toàn thông tin. Nó dùng để chỉ một tập hợp rộng rãi các chính sách, công nghệ, và kiểm soát triển khai để bảo vệ dữ liệu, ứng dụng, và cơ sở hạ tầng liên quan đến điện toán đám mây. An toàn thông tin điện toán đám mây không phải bị nhầm lẫn với các dịch vụ phần mềm bảo mật là “dựa trên đám mây” (hay còn gọi là an ninh bảo mật nhƣ một dịch vụ). Nhiều nhà cung cấp phần mềm thƣơng mại có các dịch vụ chẳng hạn dựa trên đám mây phòng chống virus và quản lý tổn thƣơng.
2.1.2.1 Các vấn đề an toàn thông tin liên quan đến điện toán đám mây
Có một số vấn đề an toàn thông tin liên quan đến điện toán đám mây, nhƣng tập trung vào hai loại chính:
Các vấn đề an toàn thông tin mà các nhà cung cấp dịch vụ điện toán đám mây phải đối mặt (tổ chức cung cấp phần mềm, nền tảng, hoặc cơ sở hạ tầng nhƣ một dịch vụ thông qua mô hình điện toán đám mây).
Các vấn đề an toàn thông tin mà khách hàng sử dụng dịch vụ điện toán đám mây.
Trong hầu hết trƣờng hợp, các nhà cung cấp phải đảm bảo rằng cơ sở hạ tầng của họ là an toàn, các dữ liệu khách hàng của họ và các ứng dụng đƣợc bảo vệ. 2.1.2.2 An toàn thông tin riêng tƣ của dữ liệu
Để đảm bảo dữ liệu đƣợc an toàn (ngƣời sử dụng trái phép không đƣợc truy cập hoặc chỉ đơn giản là bị mất mát dữ liệu) và dữ liệu riêng tƣ đó đƣợc duy trì, nhà cung cấp dịch vụ điện toán đám mây tham gia vào các lĩnh vực sau:
Bảo vệ dữ liệu: Để xem xét bảo vệ, dữ liệu từ một khách hàng phải đƣợc tách biệt của ngƣời khác, nó phải đƣợc lƣu trữ an toàn khi không sử dụng và nó có thể đƣợc di chuyển an toàn tới một địa điểm khác. Nhà cung cấp dịch vụ đám mây có hệ thống tại chỗ để ngăn chặn rò rỉ dữ liệu hoặc truy cập bởi các bên thứ ba. Ngay cả những ngƣời sử dụng đặc quyền tại các nhà cung cấp dịch vụ điện toán đám mây cũng không thể truy cập vào dữ liệu khi chƣa đƣợc sự đồng ý của chủ sở hữu dữ liệu.
Nhận dạng quản lý: Mỗi doanh nghiệp sẽ có hệ thống riêng của mình quản lý danh tính để kiểm soát truy cập tài nguyên thông tin và máy tính. Các nhà cung cấp dịch vụ đám mây hoặc tích hợp hệ thống nhận diện khách hàng quản lý vào cơ sở hạ tầng của riêng họ, bằng cách sử dụng công nghệ SSO (Single Sign On), hoặc cung cấp một giải pháp quản lý danh tính của riêng mình.
Nhà cung cấp đảm bảo rằng các máy vật lý đầy đủ an toàn và việc truy cập vào các máy này cũng nhƣ tất cả các dữ liệu của khách hàng khi khách hàng có nhu cầu truy cập không bị hạn chế.
Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng rằng họ sẽ có quyền truy cập thƣờng xuyên và có thể dự đoán trƣớc dữ liệu và ứng dụng của họ.
Các nhà cung cấp dịch vụ đám mây phải đảm bảo rằng các ứng dụng có sẵn nhƣ là một dịch vụ thông qua các đám mây đƣợc an toàn bằng cách thực hiện thủ tục kiểm tra và chấp nhận cho mã ứng dụng bên ngoài hoặc đóng gói.
Các nhà cung cấp đảm bảo rằng tất cả các dữ liệu quan trọng (ví dụ nhƣ số thẻ tín dụng) phải đƣợc cắt dấu và ngƣời đƣợc ủy quyền mới có quyền truy cập toàn bộ dữ liệu của mình.
không những không giảm đi mà còn tiềm ẩn thêm nhiều vấn đề. 2.2.1.1 Nguy cơ mất an toàn thông tin
Sự khác biệt lớn giữa điện toán đám mây so với điện toán truyền thống là thông tin đƣợc đặt trên đám mây, ngƣời sử dụng sẽ truy nhập và làm việc với thông tin khi cần thiết. Điều này cũng giống nhƣ cách thức gửi tiền trong ngân hàng và khách hàng có thể rút tiền khi cần.
Tuy nhiên, không giống nhƣ lĩnh vực tài chính, ngân hàng, thông tin của ngƣời sử dụng cá nhân cũng nhƣ của doanh nghiệp, tổ chức lại có mức độ riêng tƣ rất cao. Đặc biệt, những thông tin đó không đƣợc phép lộ ra nếu chúng là bí mật công nghệ, bí mật tài chính hoặc thậm chí là bí mật quốc gia.
Trong điện toán truyền thống, các doanh nghiệp còn phải tìm đủ mọi giải pháp chỉ để đảm bảo an toàn cho những thông tin đặt ngay trên hạ tầng thiết bị của chính mình, thì rất khó khăn để họ tin tƣởng giao lại thông tin khi mà họ không biết đƣợc nó đƣợc đặt chính xác ở đâu và lại đƣợc quản lý bởi những ngƣời không quen biết theo mô hình đám mây. Vì vậy, mất an toàn thông tin luôn là nguy cơ đƣợc quan tâm đặc biệt nhất.
2.2.1.2 Nguy cơ virus
Do khả năng phá hoại và lây lan nhanh, virus máy tính là một trong những nguy cơ lớn khi nhắc đến các vấn đề an toàn thông tin. Việc tập trung hóa thông tin trong đám mây có thể rút ngắn thời gian và tiết kiệm tiền bạc trong việc diệt virus, song nguy cơ và ảnh hƣởng của virus sẽ không thay đổi thậm chí còn nguy hiểm hơn bởi một số lý do sau:
Dù trong bất cứ mô hình nào, mục đích phá hoại của những kẻ viết ra virus là không thay thổi. Các biến thể virus mới thích nghi với môi trƣờng hoạt động của điện toán đám mây sẽ nhanh chóng xuất hiện.
Ngƣời sử dụng vẫn có nhu cầu trao đổi thông tin, sao chép tài liệu, nhu cầu sử dụng thiết bị lƣu trữ di động….Ngoài ra, phần mềm và lỗ hổng phần mềm vẫn sẽ tồn tại dù trên bất cứ môi trƣờng nào. Điều này cho thấy các nguy cơ lây lan virus vẫn không thay đổi.
Việc tập trung hóa dữ liệu tại các máy chủ trong đám mây còn giúp cho virus lây lan tốc độ nhanh hơn và khả năng phá hoại sẽ mạnh hơn.
2.2.1.3 Nguy cơ lừa đảo trực tuyến và các lỗ hổng Web
Hiện nay, đa phần ngƣời sử dụng Internet vẫn chƣa nhận thức đầy đủ về an toàn thông tin. Do đó, lừa đảo trực tuyến là một nguy cơ mất an toàn thông tin và thƣờng bị hacker sử dụng để chiếm đoạt thông tin một cách bất hợp pháp. Trong những năm gần đây, lần lƣợt các hãng lớn nhƣ Microsoft, Google, Ebay, Sony, Apple, Amazon đều lên tiếng xác nhận một lƣợng lớn ngƣời sử dụng dịch vụ thƣ điện tử trực tuyến của họ bị lừa lấy mất tài khoản, đặc biệt là dịch vụ Hotmail của Microsoft với khoảng 20.000 tài khoản bị đánh cắp mật khẩu. Đây là ví dụ rõ ràng nhất về nguy cơ lừa đảo trực tuyến với dịch vụ thƣ điện tử - một dạng của mô hình điện toán đám mây.
Với xu thế ngày càng phổ biến của hệ điều hành Web thì các dịch vụ, phần mềm dựa Web chắc chắn sẽ nhiều hơn. Do đó, các đợt tấn công vào nền tảng Web nhƣ SQL, Injection, XSS… sẽ tăng nhanh và trở nên nguy hiểm hơn rất nhiều. 2.2.1.4 Nguy cơ tấn công mạng
Hiện tại, giới tội phạm công nghệ cao có 4 phƣơng thức tấn công mạng sau [1].
Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong số cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh truy cập từ lƣợng kết nối khổng lồ. Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS.
Mục đích của tấn công DoS không phải là thâm nhập hoặc lấy cắp thông tin từ hệ thống, mà làm cho tê liệt dịch vụ trong hệ thống hoặc trong mạng máy tính. Thực chất của tấn công DoS là tin tặc sẽ chiếm dụng một lƣợng lớn tài nguyên trên máy chủ, mà tài nguyên đó có thể là băng thông, bộ nhớ, bộ vi xử lý, đĩa cứng… làm cho máy chủ không thể nào đáp ứng đƣợc các yêu cầu khác từ các khách hàng là những ngƣời dùng hợp pháp. Hệ thống có thể nhanh chóng bị ngừng hoạt động, treo hoặc khởi động lại.
Trong hầu hết các cuộc tấn công DoS, hacker tìm cách tận dụng sự không an toàn trong cấu trúc bảo mật của giao thức Internet phiên bản 4 (IPv4), IPv6 đã khắc phục đƣợc rất nhiều lỗ hổng về bảo mật, nhƣ đã chứng thực đƣợc nguồn gốc của gói tin và tính toàn vẹn của nó bằng cách sử dụng một header chứng thực. Mặc dù vậy thì nó vẫn chƣa thể giải quyết đƣợc vấn đề hiện nay do IPv6 chƣa đƣợc sử dụng rộng rãi.
Các cuộc tấn công DoS thƣờng gồm 2 loại
Tấn công theo kiểu Tiêu thụ tài nguyên (nhƣ tạo lũ ký tự điều khiển SYN): Tài nguyên máy tính, về bản chất là băng thông mạng, tốc độ CPU, RAM, và bộ lƣu
trữ thứ cấp. Việc thiếu các tài nguyên này sẽ dẫn đến sự xuống cấp của chất lƣợng dịch vụ cung cấp đến khách hàng. Hậu quả rõ nét nhất khi mà hàng loạt các cuộc tấn công nhằm vào tiêu thụ nguồn tài nguyên, sẽ làm giảm đáng kể các nguồn tài nguyên sẵn có. Một trong những hình thức phổ biến của cuộc tấn công DoS là tấn công trực tiếp vào băng thông mạng. Trong trƣờng hợp cụ thể, kết nối Internet và các công cụ hỗ trợ là đối tƣợng chính của kiểu tấn công này sẽ làm hạn chế băng thông và khả năng sử dụng thông tin trên mạng.
Tấn công DDoS: Mặc dù một số dạng tấn công DoS có thể khuếch đại bởi nhiều trung gian, nhƣng xuất phát của DoS vẫn là bắt nguồn từ một máy tính đơn lẻ. Tuy nhiên DoS đã đƣợc phát triển xa hơn ngoài cuộc tấn công một tầng (lũ SYN) và hai tần (Smurf). Tấn công DDoS ra đời là bƣớc tiếp theo của DoS, khắc phục đƣợc nhiều thiếu xót mà DoS chƣa đáp ứng đƣợc. Đây là phƣơng pháp tấn công hiện đại có sự kết hợp của nhiều tầng tính toán phân tán. Khác biệt đáng chú ý trong phƣơng pháp tấn công này là nó bao gồm hai giai đoạn khác nhau. Giai đoạn đầu tiên, thủ phạm bố trí các máy tính phân tán trên Internet và cài đặt các phần mềm chuyên dụng trên các máy chủ để hỗ trợ tấn công. Giai đoạn thứ hai, máy tính bị xâm nhập