Giới thiệu hệ thống quản lý mạng lưới Team Cloudflare

5. Phương pháp nghiên cứu

3.1.2.Giới thiệu hệ thống quản lý mạng lưới Team Cloudflare

Hệ thống quản lý mạng lưới Team của Cloudflare hiện đang là đơn vị đi đầu trong việc áp dụng bảo mật kết nối Zero Trust trên thế giới, Zero Trust Sercurity là thành phần quan trong một hệ thống SASE - Secure Access Service Edge (được định nghĩa bởi Gartner – là một mô hình chuyển đổi các công nghệ bảo mật và kết nối mạng thành một nền tảng đám mây duy nhất nhằm đảm bảo khả năng mở rộng an toàn và nhanh chóng. Sự kết hợp mạng và an ninh mạng của SASE đáp ứng các thách thức về chuyển đổi kinh doanh kỹ thuật số, điện toán biên và tính di động của nhân

29

lực). Vậy nên việc áp dụng và triển khai sớm hệ thống bảo mật Zero Trust sẽ giúp bảo vệ hệ thống điện toán đám mây hiện tại và ứng dụng được ngay vào quá trình chuyển đổi lên cloud của các doanh nghiệp khi vẫn giữ song song hệ thống On- premise và Cloud.

Các tính năng nổi bật của Zero Trust của Cloudflare:

- Bảo mật truy cập ứng dụng: Cloudflare sẽ xác thực cả danh tính và phương

thức truy nhập ứng dụng, cho phép bạn cấu hình bảo vệ bất kỳ ứng dụng nào, SaaS, đám mây private hoặc dịch vụ điện toán đám mây của các nhà cung cấp như Google, ASW… Hệ thống áp dụng các phương pháp xác thực mạnh mẽ, nhất quán cho ngay cả các ứng dụng đã được kế thừa xác thực ở mức tường lửa và các quy tắc truy nhập Zero Trust.

- Thực thi các chính sách truy cập xác thực thiết bị: Trước khi cấp quyền

truy cập cho cá nhận trong mạng lưới, hệ thống sẽ đánh giá các tín hiệu từ thiết bị đầu cuối bao gồm sự giám sát và xác thực Gateway, số sê-ri và chứng chỉ mTLS của thiết bị và đảm bảo rằng chỉ các thiết bị an toàn, đã biết mới có thể kết nối với tài nguyên của bạn. Tích hợp xác thực từ các Nền tảng Bảo vệ Điểm cuối (EPP) bao gồm Crowdstrike, Carbon Black, Sentinel One và Tanium.

- Liên kết xác thực danh tính với các nhà cung cấp danh tính: Tích hợp tất

cả các nhà cung cấp danh tính công ty của bạn (Okta, Azure AD, v.v.) để tại thành chuỗi xác thực và truy cập người dùng với bên thứ ba an toàn hơn. Kết hợp các nguồn nhận dạng xã hội như LinkedIn và GitHub.

- Khả năng truy cập giám sát đơn giản: Quyền truy cập cho phép bạn truy

nhập và giám sát bất kỳ yêu cầu nào được thực hiện trong các ứng dụng được bảo vệ - không chỉ đăng nhập và đăng xuất. Hỗ trợ theo dõi nhật ký hoạt động trong Cloudflare hoặc xuất chúng sang kho lưu trữ nhật ký đám mây của bạn hoặc nhà cung cấp SIEM.

30

Hình 3.1 Mô hình hoạt động của Hệ thống quản lý/ bảo mật Cloudflare

3.1.3. Mục đích và bài toán đặt ra trong đánh giá thực nghiệm Zero Trust trong hệ thống điện toán đám mây

Mục đích: Thực hiện cấu hình hệ thống bảo mật Zero Trust cho hệ thống điện

toán đám mây nhằm bảo vệ hệ thống khỏi các cá nhân nội bộ công ty và các cuộc tấn công từ bên ngoài.

Bài toán đặt ra:

- Kịch bản 1: Giới hạn quyền và số lượng user được phép truy cập website hệ thống nội bộ nhằm tránh trường hợp các cuộc tấn công từ nội bộ công ty. - Kích bản 2: Giới hạn quyền truy cập tại khu vực Việt Nam cho một website

trên mạng Internet toàn cầu nhằm hạn chế các cuộc tấn công đến từ nước ngoài khi bị rò rỉ thông tin tài khoản nội bộ.

31

3.1.4. Xây dựng hệ thống điện toán đám mây

Luận văn thực hiện xây dựng hệ thống điện toán đám mây trên nền Google Cloud và sử dụng phương thức bảo mật kết nối được cung cấp bửi OpenVPN và Cloudflare.

Chuẩn bị:

- Cài đặt máy ảo trên hệ thống Google Cloud sử dụng hệ điều hành Ubuntu Ubuntu 20.04.3 LTS dùng để cấu hình Cloudflared và OpenVPN.

- Cài đặt máy chủ ảo trên hệ thống Google Cloud sử dụng hệ điều hành Debian 10 dùng để cấu hình máy chủ web Nginx.

Cài đặt máy ảo trên Google Cloud:

- Tiến hành cài đặt cấu hình cơ bản cho máy ảo cf-tunnel với địa chỉ IP nội bộ: 10.140.0.4, dùng để kết nối với hệ thống Cloudflare và OpenVPN.

32

Hình 3.3 Cấu hình máy ảo (VM) để thiết lập Cloudflare tunnel trên Google Cloud

- Tiến hành cài đặt Nginx website server theo hướng dẫn [12] cho hệ điều hành Debian 10 trên máy ảo Nginx Google Cloud.

33

Cấu hình hệ thống Team Cloudflare:

- Tiến hành cài đặt hệ thống Team Cloudflare theo hướng dẫn [9;10] cho hệ điều hành Ubuntu trên máy ảo CF-Tunnel.

- Khởi tạo và kích hoạt CF-Tunnel trên hệ thống Cloudflare, thực hiện gán route 10.140.0.0/24 từ hệ thống Google Cloud đi qua tunnel 69f7c32a-902f-4850- 9c29-166d17f9fd50 được cung cấp bởi Cloudflare, cụ thể như sau:

o Đăng nhập hệ thống Cloudflared: cloudflared tunnel login o Tạo Tunnel cho hệ thống: cloudflared tunnel create

tunnel-lab

o Cấu hình file config YAML:

tunnel: 69f7c32a-902f-4850-9c29-166d17f9fd50 credentials-file: /root/.cloudflared69f7c32a-902f-4850-9c29- 166d17f9fd50.json warp-routing: enabled: true

o Kích hoạt Tunnel: cloudflared tunnel run 69f7c32a-902f- 4850-9c29-166d17f9fd50

34

Hình 3.5 Tunnel kết nối từ hệ thống Google Cloud tới Cloudflare Network

35

Hình 3.7 Thiết lập WARP Client và đăng nhập vào hệ thống Team

- Đánh giá ảnh hưởng về tốc độ truy cập khi sử dụng hệ thống bảo mật Zero Trust của Cloudflare: Khi sử dụng hệ thống bảo mật Zero Trust sẽ gây ra hiện tượng trễ ~9ms. Tuy nhiên, độ trễ 9ms tương đối nhỏ, không gây ảnh hưởng trong quá trình vận hành khai thác hệ thống và khi sử dụng các ứng dụng Real- Time Data Streaming.

36

Cấu hình hệ thống OpenVPN:

- Tiến hành cài đặt hệ thống OpenVPN theo hướng dẫn [11] cho hệ điều hành Ubuntu trên máy ảo CF-Tunnel với thông tin như sau:

o External Login : https://34.81.228.150/?src=connect

o User: openvpn

o Password: 123456aA@

Hình 3.9 Download OpenVPN profile và login trên Client

- Đánh giá ảnh hưởng về tốc độ truy cập khi sử dụng hệ thống OpenVPN: Khi sử dụng OpenVPN để bảo mật các kết nối trong hệ thống điện toán đám mây sẽ gây ra hiện tượng trễ ~2ms, không gây ảnh hưởng trong quá trình vận hành khai thác hệ thống.

37

Hình 3.10 Tốc độ truy nhập khi sử dụng hệ thống bảo mật OpenVPN 3.2. Thực nghiệm và đánh giá

3.2.1. Đảm bảo an toàn truy cập Website Nội bộ

Yêu cầu bảo mật:

- Thực hiện cấu hình bảo mật website nội bộ Nginx 10.140.0.3: giới hạn quyền truy cập vào port 80 (HTTP) và port 22 (SSH) cho user vuhaiphong249@gmail.com nhằm giới hạn quyền tác động vào dịch vụ trên 10.140.0.3.

- Các user còn lại sẽ được truy cập vào port 80 trên website 10.140.0.3. Các quyền tác động/chỉnh sửa chỉ áp dụng cho các user có quyền cao hơn như account admin.

38

Hình 3.11 Cấu hình bảo mật trên Team Cloudflare cho user vuhaiphong249@gmail.com

Hình 3.82 Cấu hình bảo mật trên Team Cloudflare cho phép các user truy cập port 80

39

Hình 3.93 Hệ thống OpenVPN chưa có chức năng cấp quyền truy cập cụ thể đến từng website cho user

Kết quả

Hình 3.104 Kết quả truy nhập của user haiphongbb

40

Hình 3.115 Kết quả truy cập của user vuhaiphong249

- User vuhaiphong249@gmail.com không có quyền truy cập đến 10.140.0.3 port 80 và 22

Đánh giá

- Hệ thống OpenVPN chưa có chức năng phân quyền truy cập đến website cụ thể cho từng user.

- Hệ thống Team Cloudflare có thể cấu hình cấp quyền cho từng user, đáp ứng yêu cầu:

o Chỉ mở Port 80 để các user truy cập lấy thông tin trên website.

o Bảo mật truy cập port 22 (SSH) nhằm chặn các user có nguy cơ tác động trực tiếp vào cấu hình hệ thống, thay đổi cài đặt.

o Quyền thay đổi cấu hình chỉ được gán cho admin vậy nên khi xảy ra sự cố rò rỉ tài khoản cá nhân, user thông thường vẫn không vượt qua được lớp bảo mật của website.

41

3.2.2. Đảm bảo an toàn truy cập Website Public

Yêu cầu bảo mật

- Bảo mật cho website phongvh6.com chỉ truy cập được khi ở trong lãnh thổ Việt Nam.

- Bảo mật trang viettel.phongvh6.com chỉ được truy cập khi ở trong lãnh thổ Việt Nam và bởi user phongvh6.viettel.com.vn

- Bảo mật trang fpt.phongvh6.com chỉ được truy cập khi ở trong lãnh thổ Việt Nam và bởi user vuhaiphong249@gmail.com

Thiết lập bảo mật

42

Hình 3.137 Cấu hình bảo mật trên Team Cloudflare cho Viettel.phongvh6.com.vn

Hình 3.148 Cấu hình bảo mật trên Team Cloudflare cho FPT.phongvh6.com.vn Kết quả

43

Hình 3.159 Kết quả đăng nhập website phongvh6.com/test với location tại Bỉ

- User haiphongbb@gmail.com không có quyền truy cập vào trang phongvh6.com/test do hệ thống đã xác định được vị trí đang ở Bỉ, thay vào đó hệ thống sẽ gửi email cảnh báo bảo mật đang bị vi phạm

44

- Với thông tin location tại Việt Nam hệ thống Cloudflare cho phép user phongvh6.viettel.com.vn đăng nhập trang web Viettel.phongvh6.com

Hình 3.21 Kết quả đăng nhập với user tại Bỉ

- Với thông tin location tại Bỉ hệ thống Cloudflare không gửi code đăng nhập tới email phongvh6.viettel.com.vn để thực hiện đăng nhập trang web Viettel.phongvh6.com

45

Hình 3.22 Kết quả đăng nhập với người dùng thông thường khi không đăng nhập hệ thống Cloudflare Teams

Hình 3.23 Kết quả đăng nhập với người dùng thông thường khi không sử dụng Cloudflare Teams

Đánh giá

- Khi không sử dụng hệ thống Cloudflare Teams thì tất cả người dùng trên mạng Internet đều có quyền truy cập website Viettel.phongvh6.com gây ra sự không kiểm soát truy nhập và định danh user.

- Hệ thống Cloudflare Access đã vận hành giải pháp bảo mật Zero Trust Access giúp phân quyền cho từng vùng lãnh thổ và nhóm user, đáp ứng yêu cầu:

o Chỉ gửi email xác nhận đăng nhập tới email định danh khi xác định được vị trí truy cập đang ở trong lãnh thổ được cấp phép.

o Bảo mật truy cập cụ thể đến từng path của website khi cần phân quyền tác động cho từng nhóm user và tổ chức.

3.3. Kết luận Chương 3

Trên cơ sở nghiên cứu các hệ thống bảo mật hiện tại đang được áp dụng tại chương 1 và 2, chương 3 tập trung vào xây dựng hệ thống điện toán đám mây tích hợp giải pháp bảo mật kết nối Zero Trust cho các thành phần trong hệ thống.

46

Để thực nghiệm tính hiệu quả và ứng dụng của công nghệ bảo mật Zero Trust, học viên đã tiến hành xây dựng hệ thống điện toán đám mây trên Google Cloud, cài đặt hệ thống mạng riêng ảo OpenVPN và Cloudflare Team và cấu hình các kịch bản bảo mật hệ thống khi có sự tấn công từ ngoài hoặc nội bộ hệ thống. Từ đó đã rút ra được một số kết luận, làm cơ sở chứng minh tính hữu dụng của công nghệ bảo mật Zero Trust nhằm triển khai và ứng dụng thực tiễn.

47

CHƯƠNG 4: KẾT QUẢ VÀ BÀN LUẬN

4.1. Kết luận

Luận văn “Nghiên cứu ứng dụng một số giải pháp bảo mật kết nối trong hệ thống điện toán đám mây” đã hoàn thành và đạt được một số kết quả sau:

Đã nghiên cứ và tìm hiểu những nội dung cơ bản về điện toán đám mây, bao gồm khái niệm, lịch sử hình thành và phát triển, vai trò, kiến trúc mô hình dịch vụ, mô hình triển khai điện toán đám mây. Trên cở sở đó, luận văn đã nghiên cứu và đánh giá các tiêu chuẩn an ninh và một số biện pháp bảo mật kết nối hiện đang được áp dụng hiện nay, từ đó đưa ra hướng nghiên cứu sâu vào giải pháp bảo mật kết nối Zero Trust và thực nghiệm tính hiệu quả và ứng dụng của công nghệ bảo mật Zero Trust.

4.2. Kiến nghị

Với những nghiên cứu thực tiễn, xây dựng và áp dụng giải pháp bảo mật Zero Trust, luận văn đã rút ra được những ưu nhược điểm của giải phát đề xuất, làm cơ sở chứng minh tính hữu dụng của công nghệ bảo mật Zero Trust nhằm triển khai và ứng dụng thực tiễn.

Tuy nhiên để giải quyết triệt để các vấn đề bảo mật trong hệ thống điện toán đám mây, cần tiếp tục thực hiện các nghiên cứu chuyển sâu, ứng dụng sâu rộng cho cả phần mềm lẫn phần cứng nhằm hướng đến giải pháp tối đa cho hệ thống. Mặt khác, cần ứng dụng thực tiễn các bảo mật kết nối mới cho hệ thống điện toán đám mây trong tương lai gần để sớm đưa ra chuẩn hóa bảo mật giữa các nhà cung cấp dịch vụ.

48

TÀI LIỆU THAM KHẢO: Tiếng Việt:

[1] IBM, Hướng dẫn bảo mật các nền tảng giải pháp điện toán đám mây, 2017 [2] Nguyễn Đức Hải, Nghiên cứu Công nghệ Xác thực người dùng ứng dụng trong Quản lý truy cập Dịch vụ Điện toán đám mây, Học viện Công nghệ Bưu chính Viễn thông, 2013

[3] Nguyễn Minh Tiến, Nghiên cứu Bảo vệ An toàn Dữ liệu ki sử dụng Dịch vụ Lưu trữ Điện toán đám mây, Đại học Thái Nguyên, 2015

[4] Nguyễn Thị Mỹ Dung, So sánh Đặc trưng của Điện toán đám mây và Điện toán lưới, Trường Đại học Đồng Tháp, 2015

[5] Nguyễn Văn Trung, Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới, Đại học Quốc gia Hà Nội- Trường Đại học Công nghệ, 2011

[6] Nguyễn Việt Dũng, Bảo vệ Thông tin trong Môi trường ảo hóa, Đại học Quốc gia Hà Nội- Trường Đại học Công nghệ, 2016

[7] Phạm Thị Phượng, Tìm hiểu mô hình Điện toán đám mây và Vấn đề Bảo mật dữ liệu trong Điện toán đám mây, Đại học Thái Nguyên- Trường Đại học Công nghệ thông tin và truyền thông, 2019

[8] Trần Thị Nhâm, Mô hình Điện toán đám mây và Ứng dụng trong cơ quan doanh nghiệp vừa- nhỏ, Đại học Thái Nguyên- Trường Đại học Công nghệ thông tin và truyền thông, 2015

[9] Vương Thị Hải Yến, Nghiên cứu Giải pháp nâng cao an toàn bảo mật cho Điện toán đám mây, Đại học Quốc gia Hà Nội- Trường Đại học Công nghệ, 2017

Tiếng Anh

[1] Amazone Web Service (AWS), Architecting for the Cloud, 2018 [2] Microsoft Security, Microsoft Zero Trust Adoption Report, 2021

49

[3] Microsoft Security, Zero Trust Essential eBook [4] Microsoft Security, Zero Trust Maturity Model

Website [5] https://aws.amazon.com/vi/what-is-cloud-computing/ [6] https://viettelidc.com.vn/tin-tuc/4-loai-dich-vu-trong-mo-hinh-kim-tu- thap-cloud-computing-hien-nay [7] https://tinhte.vn/thread/top-10-nha-cung-cap-dich-vu-dien-toan-dam- may-hang-dau-the-gioi.2506637/ [8] https://www.mic.gov.vn/atantt/Pages/TinTuc/135655/Danh-sach-cac- tieu-chuan-trong-linh-vuc-an-toan-thong-tin.html [9] https://developers.cloudflare.com/cloudflare-one/setup [10] https://developers.cloudflare.com/cloudflare-one/tutorials/zero-trust- network-access [11] https://www.ovpn.com/en/guides/ubuntu-cli [12] https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing- nginx-open-source/