CHƯƠNG 3: BẢO MẬT ĐIỆN TOÁN ĐÁM MÂY : CƠ HỘI VÀ THÁCH THỨC
3.3 Các cơ chềố bảo mật điện toán đám mẫy
3.3.3 Kiềốn trú ch thốốngệ đám mẫy nhằềm đảm bảo an toàn bảo mật
a. Yếu câều vếề an toàn và bả o mậ t cho kiếến trúc đám âym (Requirements) Yếu câều bảo mật mức vật lý: Thỗng thường một hệ thỗếng đámmây xây dựng từ một hoặc nhiếều trung tâm dữ liệ u câền phả i bả o ệv ậv t lý
o Phát hi nệ và phòng chỗếng xâm nhập trái phép vào các trung tâm dữ
liệ u, vào phâền ức ng
o B oả v ệh ệthỗếng khỏi các thảm họa tự nhiến Yếu câều bảo mật với các thành phâền hệ thỗếng:
Ph i ảcó c ơchếế ki ểm soát đ ể đ ảm b ảo tnh m t,ậ toàn v nẹ và săỗn sàng củ a thỗng tn định danh
Phân hệ quản lý định danh
Cân nhăếc c chếếơ s ửd ngụ ho cặ t ương tác v ới các h ệthỗếng quản lý đị nh danh củ a bến thứ ba
Kiể m tra đị nh danh củ a ngườ i sử dụ ng khi đăng ký khớp với yếu câều củ a pháp luật
Lư u thỗng tn đị nh danh của người sử dụ ng kể cả khi họ rút khỏi hệ thỗếng (để cho mục đích kiểm tra, báo cáo)
Khi một định danh xóa bỏ, sau đó tái sử dụng, câền đả m bả ongười sử dụ ng mớ i khỗng thể truy nhậ p vào các thỗng tn định danh trước đó
o Quản lý truy cập
Qu nả tr ịviến c aủ đám mây ch ỉcó quyếền truy cập hạn chếếtới dữ li uệ khách hàng, quyếền này đ ược ràng bu ộc ch ặt cheỗ vànếu ra trong hợ p đỗềng dị ch ụv
Câền các cơ chếế chứ ng thự c cho các thao tác yếu câềuứm ưcu tến cao
Cài đ tặ các c ơchếế như Least Privilege Principal khi gán quyếền truy c pậ hay RBAC (role-based access control) đ ểthiếết lập các ràng buộc truy nhập
Thiếết lập whitelist vếề IP cho các quả n trị viến o Quản lý khóa
Có c ơchếế kiểm soát và giới hạn các truy cập vào khóa
Với mỗ hình đám mây có cơ sở hạ tâềng trến nhiếều trungâmt dữ liệu, phải đảm bảo việc hủy bỏ khóa phải có hiệu lực tức thời trến các trạm
Đ mả b oả vi cệ khỗi ph cụ cho các khóa khi có lỗỗi Mã hóa d ữli uệ và máy oả khi câền thiếết
o Ghi nh nậ s ựki ện và thỗếng kế
Ghi nh nậ s ựki nệ ởnhiếều mức của hệ thỗếng: vậ t lý, máyả o, mng,ạ …
Các s ự ki ện ph ải có đâềy đủ thỗng tn: thời gian, hệ thỗếng, người truy cập, thời gian truy cập, …
Các sự kiện câền đc ghi nhậ n ứt c thờ i
Thỗng tn câền đượ c ghi nhậ n liến ụt c và ật p trung
Các thao tác ghi nh nậph i ảđ mả b oảtnh bí m t,ậnhâết quán và săỗn sàng
o Giám sát bảo mật
Ph ải có tnh săỗn sàng cao, đ ể có thể truy cập cục bộ hoặc từ xa trến một kếnh bảo mật
Tính năng: c nhả báo s ựcỗế, cho phép khai thác và phát hiện nguyến nhân s cỗế,ự phát hi nệ xâm nh pậ bâết thường
o Qu n ảlý s cỗế:ự có quy trình đâềy đủ (phát hiện, ghi nhậns ựcỗế) + thỗng báo vếề sự cỗế + thự c hiệ n thườ ng xuyến
o Ki mể tra an toàn và vá lỗỗi: có mỗi trường cỗ lập để phát triển, kiểm tra tr ước khi đ aư vào s ửd ngụ + có quy trình vá lỗỗi + theo dõi thường
xuyến các lỗỗ hổng
o Ki mể soát m ngạ và h ệthỗếng được áp dụng cho cả hạ tâềng vậ tlý và hạ
tâềngả o
o Qu nảlý câếu hình: câền m ột cơ sở dữ liệu câếu hình + phânloại tài nguyến theo chứ c năng, tnh nhạy cảm, độ quan trọng, …
b. Các yếếu tỗế vếề kiếến trúc bả o mậ t
Phòng ng ựchiềều sẫu: cách tếếp c nậ này có b nả châết là việc chúng ta sử
dụng nhiếều tâềng ểki m soátảb o ậm tểđ ạ t o nến ộm t ảgi i pháptổng thể đâềy đủ
o Ví d :ụ m tộ h ệthỗếng kiểm soát truy nhập có 3 lớp phòng thủ: lớp 1 –
m ngạ riếng o ảVPN, l pớ2 – b độnhị tuyếến c ngổ vào v iớc ơchếế lọc IP, lớp 3 – token bảo mật
Hũ mật ong: đây là m t kyỗộ thu t ậbâỗy, nó giúp t oạ ra m tộ h ệthỗếng khỗng
tỗền tại, khỗng có giá trị nhăềm thu hút ựs
Hộp cát: là m ột d ạng phâền mếềmặđ c ệbi
Cố lập máy ảo: h ạtâềng chuyển mạch trong một hệ thỗếng đám mây khỗng
thể cỗ lậ p đượ c các gói tn truyếền thỗng giữ a các máyả o năềm trến cùng một mỗi trườ ng phâền ức ng nếếu các gói tn khỗng được mã hóa thì từ m ột máy ảo có th ểtheo dõi, quan sát các gói tn g ửiđếến và đi từ một máy ảo khác trong cùng mộ t mạng
o ứng d ụng cỗng ngh ệ ảo hóa để cỗ lập các máy ảo trong cùng một mạng vật lý
o mã hóa các gói tn g ửiđếến/gửi đi từ máy ảo o ki mể soát truy c pậ đếến các máy ảo
o l cọgói tn đếến máy oả qua các c ơchếế tường lửa
T ạo d ư th ừa và đ ảm b ảo tnh sằẫn sàng: M t trongộ nh ngữmâỗu thiếết kếế
th ường đ ược ứng d ụng r ộng rãi trong vi ệc đ ảm b ảo tnh săỗn sàng cao của d chị v ụlà t oạ d ưth ừa cho nh ững thành phâền hệ thỗếng. Tùythuộc vào mức
đđộm ảb o tnhả săỗn sàng mà kiếến trúc có th ểthiếết lập dư thừa tương ứng. c. Kiếến trúc đám mây cung câếp dịch vụ PaaS, là dịch vụ định danh và dịch vụ cơ sở dữ liệu.
Người sử dụng truy cậ p qua mạ ng cỗng cộng
H thỗếngệ cung câếp mạng OOB (out of band) để phục vụ cỗng tác quản trị o Việc kiểm soát truy nhập vào mạng này được thực hiện thỗng qua m tộIP whitelist, ch ứa các IP c aủ qu nả tr viếnị h ệthỗếng
o Qu nả tr viếnị mỗỗi khi thao tác câền phả i xác thự c hai bước (xác thực băềng mã PIN và băềng token)
H ệthỗếng mạng cục bộ chia làm 3 mạng chính
o M ngạ OOB: s ửd ụng đ ểqu nả tr cácị thành phâền khác trong h ệthỗếng o M ngạ lõi: s ửd ụng đ ểcung câếp dịch vụ
o M ng kếếtạ nỗếi v i ớc ơs ởd ữli uệ bao gỗềm nhiếều kếết nỗếiđả m bả o tnh săỗn sàng
Các thành phâền c a ủh thỗếngệ đ ược thiếết kếế để cỗ ậl p cá dịch vụ khác nhau c ủa h ệthỗếng như dịch vụ cơ sở dữ liệu và dịch vụ đị nh danh. Một thành phâền qu nả tr câếuị hình (CMDB) đ ược đưa vào để quản lý câếu hình các tài nguyến cung câếp b ởih ệthỗếng
d. Kiếến trúc đám mây cung câếp kho lư u trữ và dị ch vụ tnh toán.
H thỗếngệ đám mây cung câếp m ột sỗế lượ ng lớ n tài nguyến tnh toán được ảo hóa trến các máy ch ủcũng nh ưcác kho l ưu tr ữtrến các thiếết bị SAN.
Hỗỗ tr ợtnh săỗn sàng cao cho người sử dụng thỗng qua việc tạo lập dư thừa cho m ngạ kếết nỗếi cỗng cộng và mạng OOB.
M ng ạSAN đ cượthiếết l p ậv i ớcác kếết nỗếi giữa kho lưu trữ SAN và các máy chủ tnh toán đ ảm b ảo tnh săỗn sàng cho việc truy nhập vào SAN
Đ ểđ ảm b ảo tnh săỗn sàng cao, bản thân các máy chủ và kho lưu trữ SAN cũng đ ượcthiếết kếế dư thừa.
V ới các tài nguyến tnh toán, đ ểđ mả b oả kh ảnăng đáp ứng tỗết cho dịch vụ, h thỗếngệ câền có nh ngữ thiếết kếế cho vi ệc dành săỗn àit nguyến. Các máy chủ ph c ụv choụ vi c ệnày đ ượcthiếết kếế độ c lập.
Hai phân h b ệo mả t đậ cượthiếết kếế theo mâỗu dư thừa . Các phân hệ này cung câếp các dịch vụ bảo mật như:
o Jumphost và VPN: cho phép tạo lập các mạng riếng ảo và cho phép các qu ản tr ịviến có th ểtruy nh ập tr ực tếếp vào các máy chủ câền quả n lý
o Trung tâm điếều hành bảo mật: cho phép giám sát các vâến đếề liến quan
t i ớan toàn b oả m t,ậ quét các lỗỗi b ảo m ật c ủa h ệthỗếng, phân tch nguyến nhân và báo cáo
o Ghi nh tậ ký vếề các sự kiện và cảnh báo nếếu có
o Giám sát thỗng tn m ngạ (quét lỗỗ hổng, giám sát băng thỗng mạng, …)
3.4 M t ộsốố mố hình b oả m tậ th ực tềố