2.6.2. Điện toán đám mây riêng (Private Cloud)
Private Cloud là dịch vụ điện toán đám mây riêng thường được cung cấp cho các doanh nghiệp để đảm bảo an toàn dữ liệu. Private cloud sẽ được bảo vệ bên trong tường lửa của công ty và doanh nghiệp trực tiếp quản lý.
Ưu điểm: Chủ động hơn trong việc sử dụng và quản lý dữ liệu. Bảo mật thông tin
tốt hơn
Nhược điểm: Gặp khó khăn trong việc triển khai cơng nghệ. Tốn chi phí để xây
dựng, duy trì hệ thống. Chỉ phục vụ trong nội bộ doanh nghiệp. Những người dùng khác bên ngồi khơng thể tiếp cận và sử dụng.
24
Hình 8. Đám mây riêng
2.6.3. Điện toán đám mây lai (Hybrid Cloud)
Đám mây lai (Hybrid Cloud) là sự kết hợp giữa đám mây cơng cộng và đám mây riêng. Nó cho phép người dùng khai thác được điểm mạnh của 2 mô hình trên. Và đồng thời hạn chế được điểm yếu của 2 mơ hình đó. Đám mây lai thường sẽ do doanh nghiệp tạo ra và việc quản lý thông tin. Dữ liệu sẽ được phân chia giữa doanh nghiệp và nhà cung cấp Public Cloud.
Ưu điểm: Đảm bảo được an toàn cho các dữ liệu quan trọng. Sử dụng được nhiều
dịch vụ điện toán đám mây mà khơng bị giới hạn.
Nhược điểm: Khó khăn khi triển khai và quản lý hệ thống. Tốn nhiều chi phí để
25
Hình 9. Đám mây lai
2.6.4. Điện tốn đám mây cộng đồng (Community Cloud)
Đám mây cộng đồng được xây dựng nhằm mục đích chia sẻ hạ tầng, dữ liệu cho nhiều tổ chức, người dùng khác nhau. Ví dụ, các doanh nghiệp cùng hoạt động trong ngành giáo dục có thể chia sẻ chung một đám mây để trao đổi dữ liệu cho nhau.
Ưu điểm: Các tổ chức/doanh nghiệp/cá nhân chung lĩnh vực hoạt động có thể chia
sẻ dữ liệu, thông tin dễ dàng để phục vụ cho cơng việc của chính họ. Đảm bảo sự riêng tư, an ninh và tuân thủ các chính sách tốt hơn.
Nhược điểm: Việc điều hành, quản lý tương đối khó khăn. Cần tốn nhiều chi phí
26
Hình 10. Đám mây cộng đồng
2.7. Một số chiến lược bảo mật của điện toán đám mây
Khi xây dựng hoặc chuyển hoạt động kinh doanh của khách hàng sang mơi trường đám mây, tính bảo mật của nó phải được đảm bảo. Ở đây, chúng tơi đưa ra một số chiến lược để đóng góp một mơi trường đám mây an toàn. Liên quan đến các rủi ro bảo mật của điện tốn đám mây, chúng tơi đã đề xuất một số chiến lược bảo mật như sau.
2.7.1. Các chiến lược xây dựng an tồn của điện tốn đám mây 2.7.1.1. Cơ chế thực hành bảo mật truyền thống 2.7.1.1. Cơ chế thực hành bảo mật truyền thống
Thực tiễn bảo mật truyền thống như bảo vệ an ninh cho các cơ sở vật lý, mạng, hệ thống máy tính , ứng dụng phần mềm và dữ liệu vẫn hoạt động trong môi trường đám mây và việc xây dựng môi trường đám mây phải tuân theo các tiêu chuẩn quốc tế chung về bảo mật thông tin như ISO27001(Được dịch từ tiếng Anh-ISO / IEC 27001 là tiêu chuẩn quốc tế về cách quản lý an ninh thông tin. Tiêu chuẩn này ban đầu được Tổ chức Tiêu chuẩn hóa Quốc tế và Ủy ban Kỹ thuật Điện Quốc tế đồng xuất bản vào năm 2005 và sau đó được sửa đổi vào năm 2013).
27 Do đó, các cơ chế thực hành bảo mật truyền thống nên được đảm bảo cho một môi trường đám mây an toàn.
2.7.1.2. Đánh giá rủi ro bảo mật ảo hóa
Bất kể đám mây cơng cộng hay đám mây riêng, việc xây dựng và triển khai môi trường đám mây không thể thiếu vô số sản phẩm ảo hóa.
Do đó, chúng tơi cần đánh giá ưu điểm và nhược điểm cũng như mức độ bảo mật của các độ phân giải và sản phẩm công nghệ ảo hóa khác nhau, đồng thời chọn giải pháp tốt nhất để giảm rủi ro bảo mật do ảo hóa mang lại.
2.7.1.3. Kiểm sốt rủi ro th ngồi khi phát triển
Xây dựng môi trường đám mây là một hệ thống quy mơ lớn tham gia vào q trình thực hiện với khối lượng công việc lớn và nhiều công nghệ tiên tiến, do đó, rất khó để phụ trách tất cả các công việc phát triển cho một tổ chức. Một hành động thực tế là chuyển giao công việc phát triển từng phần cho một số bên gia công, điều này sẽ dẫn đến một số rủi ro bảo mật.
Do đó, chúng tơi nên xác định các rủi ro y tế đảm bảo phát sinh từ dịch vụ thuê ngoài và thiết lập các chiến lược kiểm soát chặt chẽ để đảm bảo mức chất lượng và yêu cầu bảo mật của họ.
2.7.1.4. Tính di động và khả năng tương tác
Khách hàng phải lưu ý rằng họ có thể phải thay đổi nhà cung cấp dịch vụ vì lý do tăng chi phí khơng thể chấp nhận được tại thời điểm gia hạn hợp đồng, hoạt động kinh doanh của nhà cung cấp dịch vụ ngừng hoạt động kinh doanh, đóng cửa một phần dịch vụ đám mây mà khơng có kế hoạch di chuyển, giảm chất lượng dịch vụ không thể chấp nhận được và tranh chấp kinh doanh giữa khách hàng và nhà cung cấp đám mây, v.v ...
Do đó, tính di động và khả năng tương tác nên được coi là một phần của quản lý rủi ro và đảm bảo an ninh của bất kỳ chương trình đám mây nào.
28
2.7.2. Các chiến lược hoạt động an tồn của điện tốn đám mây 2.7.2.1. Đảm bảo tính liên tục của hoạt động kinh doanh 2.7.2.1. Đảm bảo tính liên tục của hoạt động kinh doanh
Sự thay đổi nhanh chóng và sự thiếu minh bạch trong điện tốn đám mây đòi hỏi kế hoạch liên tục của doanh nghiệp và chuyên môn khắc phục thảm họa phải liên tục tham gia vào việc giám sát các nhà cung cấp dịch vụ đám mây đã chọn.
Cần thực hiện kiểm tra thường xuyên đối với nhà cung cấp dịch vụ đám mây về cơ sở hạ tầng đám mây và sự phụ thuộc lẫn nhau vật lý của nó, kế hoạch khôi phục sau thảm họa và kế hoạch kinh doanh liên tục, tài liệu đối chiếu về hành động kiểm sốt bảo mật , mục tiêu thời gian khơi phục (RTO) và quyền truy cập vào dữ liệu.
2.7.2.2. Cảnh báo chủ động tấn công
Các sự cố bảo mật sẽ khơng thể tránh khỏi trong q trình hoạt động của mơi trường đám mây. Vì đám mây là một hệ thống mạng phân tán quy mơ tối ưu có chứa rất nhiều cấu trúc vật lý , hệ thống máy chủ và ứng dụng kinh doanh, phạm vi bị tấn cơng bởi những kẻ độc hại rất khó đọc và các cơ chế cảnh báo chủ động tấn cơng truyền thống trong mơi trường mạng nhỏ có thể khơng hoạt động.
Vì vậy, làm thế nào để giám sát mạng truy cập mọi lúc và cảnh báo kịp thời khi có mã độc xâm nhập cần được giải quyết.
2.7.2.3. Ngăn chặn rò rỉ dữ liệu
Rò rỉ dữ liệu nhạy cảm là một rủi ro bảo mật quan trọng của mơi trường đám mây. Có hai cách rị rỉ dữ liệu tiềm ẩn: rò rỉ dữ liệu tĩnh và rò rỉ dữ liệu động. Rò rỉ dữ liệu tĩnh có nghĩa là dữ liệu được lưu trữ trong trung tâm dữ liệu, bộ nhớ ứng dụng và bộ nhớ thiết bị đầu cuối bị truy cập và rò rỉ bởi người dùng trái phép, rị rỉ dữ liệu động có nghĩa là dữ liệu đang được chuyển đổi trong môi trường đám mây bị truy cập và bị rò rỉ do chiếm đoạt tài khoản khách hàng hoặc nghe trộm kênh mạng.
Do đó, tất cả dữ liệu tĩnh và động đều phải đối mặt với nguy cơ rò rỉ và giả mạo bảo mật, và cách giải quyết nó cần được quan tâm một cách nghiêm túc.
2.7.2.4. Thơng báo và ứng phó sự cố bảo mật
Khi các sự cố bảo mật xảy ra trong môi trường đám mây, các nhà cung cấp dịch vụ đám mây phải thông báo cho khách hàng của họ ngay lần đầu tiên để khách hàng có thể
29 đánh giá khả năng có thể xảy ra bởi các sự cố bảo mật này. Hơn nữa, các nhà cung cấp dịch vụ đám mây nên bắt đầu kế hoạch khẩn cấp để ứng phó với các sự cố bảo mật này, bao gồm tường lửa cấp ứng dụng, proxy, các công cụ hỗ trợ ứng dụng , dự án khôi phục thảm họa và sao lưu dịch vụ đám mây, v.v. Do đó, các nhà cung cấp dịch vụ đám mây nên tạo bảo mật tiêu chuẩn tương ứng của họ các cơ chế ứng phó sự cố.
2.7.2.5. Kiểm tra sự cố an ninh
Để tránh các sự cố bảo mật tương tự xảy ra lần nữa, các nhà cung cấp dịch vụ điện tử đám mây nên tìm hiểu lý do của các sự cố bảo mật. Kiểm tốn có thể góp phần phân tích lý do của các sự cố bảo mật trong môi trường đám mây.
Tuy nhiên, các kỹ thuật kiểm tra bảo mật truyền thống (ví dụ: nhật ký chứng khốn, các cơng cụ kiểm tra tn thủ) có thể khơng đáp ứng được nhu cầu kiểm tốn của môi trường đám mây. Do đó, các nhà cung cấp dịch vụ đám mây nên phát triển một số cách tiếp cận kiểm tốn bảo mật mới. Ngồi ra, với tư cách là một phương pháp thu thập bằng chứng mới, việc khám phá điện dần dần được tòa án chấp nhận. Các tòa án hiện đang nhận ra rằng các dịch vụ quản lý bảo mật thông tin là rất quan trọng để đưa ra quyết định về việc liệu thông tin kỹ thuật số có được chấp nhận làm bằng chứng hay khơng. Mặc dù đây là một vấn đề đối với cơ sở hạ tầng CNTT truyền thống, nhưng nó đặc biệt quan trọng trong Điện toán đám mây do thiếu lịch sử pháp lý được thiết lập với đám mây.
2.7.2.6. Vấn đề bảo mật của ba bên đối với điện tốn đám mây
Chúng tơi phân tích các rủi ro bảo mật của điện toán đám mây từ quan điểm của khách hàng, nhà cung cấp dịch vụ và chính phủ như sau:
a. Các rủi ro bảo mật mà khách hàng phải đối mặt
Rủi ro an ninh mà khách hàng cần phải đối đầu trong mơi trường điện tốn đám mây bao gồm:
- Thời gian chết của mơi trường điện tốn đám mây mang lại làm giảm xuống rất lớn đến sự tự tin của khách hàng khơng có thể tránh được hồn tồn; - Việc rị rỉ các bí mật thương mại có nghĩa là một cơn ác mộng đối với khách
30 - Cách đối mặt với trạng thái đặc quyền của dịch vụ đám mây pro vider và các mối quan tâm về bảo mật như loại bỏ lỗi, bồi thường thiệt hại và di chuyển kinh doanh, v.v.
b. Các rủi ro bảo mật mà các nhà cung cấp dịch vụ phải đối mặt
Các rủi ro bảo mật mà các nhà cung cấp dịch vụ cần đối mặt trong mơi trường điện tốn đám mây bao gồm:
- Cách đảm bảo hoạt động an toàn lâu dài của trung tâm dữ liệu đám mây và cách ly lỗi để giảm ảnh hưởng của nó đến mức nhỏ nhất là các rủi ro bảo mật mà dịch vụ cung cấp mà họ phải đối mặt với;
- Làm thế nào để chống lại số lượng tin tặc mạng đông đảo và hung hãn đang là một vấn đề an ninh cấp bách;
- Đối với những khách hàng có nhiều nhu cầu khác nhau, làm thế nào để quản lý những khách hàng này một cách hiệu quả và an toàn , đồng thời xác định và chặn những khách hàng độc hại là một nhiệm vụ không thể tránh khỏi khác.
- Các rủi ro an ninh mà chính phủ phải đối mặt c. Những rủi ro an ninh mà chính phủ phải đối mặt
Các rủi ro bảo mật mà chính phủ cần đối mặt trong mơi trường điện tốn đám mây bao gồm:
- Làm thế nào để tăng cường khả năng bảo vệ an ninh của một trung tâm dữ liệu quy mô lớn là một trong những mối quan tâm quan trọng;
- Cách quản lý an toàn các nhà cung cấp dịch vụ điện tử đám mây quy mô lớn và đa dạng;
- Cách đánh giá và xếp hạng mức độ bảo mật của các nhà cung cấp dịch vụ đám mây và tín dụng bảo mật của khách hàng đám mây, đồng thời công bố cảnh báo chủ động về các chương trình độc hại.
31
Chương 3. TRIỂN KHAI THỰC NGHIỆM BẢO MẬT SECURE SOCKETS LAYER (SSL)
3.1. SSL là gì
SSL là viết tắt của từ Secure Sockets Layer, là tiêu chuẩn của công nghệ bảo mật, truyền thơng mã hố giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên mơi trường internet được an tồn.
3.2. Chuẩn bị
Xây dựng bảo mật SSL trên VMWARE.
Một máy chủ giữ domain: 192.168.13.10 Một máy chủ cài VCenter 5.5: 192.168.13.248
Hai sever Esxi 5.5: 192.168.13.251 và 192.168.13.252
Một máy cài đặt openfiler giúp quản lí ổ cứng vật lý: 192.168.1.20
Giới thiệu cách cài đặt và cấu hình IIS 6.0 trên Windows Server 2008 , gồm các bước: Cài đặt Web Server (IIS) role
Khảo sát Default Web Site Hosting Web Site trên IIS 6.0 Cấu hình Virtual Directory
Hosting nhiều Web Site trên 1 Web Server
Cấu hình Secure Socket Layer (SSL) cho Web Site
3.3. Thực hiện
3.3.1. Máy chủ giữ domain
IP: 192.168.13.10
DNS server: 192.168.13.254 Chạy Windown Server 2008r2 Domain: ptt123.com
32 Cài đặt: AD DS, DNS
Hình 11. Hình máy chủ
3.3.2. Máy cài vCenter
IP: 192.168.13.248
DNS server: 192.168.13.10 Chạy Windown Server 2008r2 Domain: vCenter01.ptt123.com Cài đặt bộ cài vCenter 5.5
33
Hình 12. Máy vCenter
3.3.3. Cài đặt hai server ESXi
IP: 192.168.13.251 và 192.168.13.252 DNS server: 192.168.13.10
Chạy Esxi 5.5
Domain: vCenter01.ptt123.com Cài đặt bộ cài vCenter 5.5
34
Hình 13. Máy ESXi5.1
35
3.3.4. Một máy chạy Openfiler
IP: 192.168.1.251
DNS server: 192.168.13.10 Chạy Openfiler 2.99.1
Domain: opemtfiler.dtdm-ntt.com Gắn thêm 2 HDD và tạo thành 1