Điện toán đám mây cung cấp các nguồn tài nguyên tự động có khả năng mở rộng như một dịch vụ trên web và đảm bảo cung cấp lợi ích cho rất nhiều khách hàng khác nhau. Để đảm bảo tính toàn vẹn cho dữ liệu của tất cả các khách hàng đó thì vấn đề bảo mật luôn được đặt lên hàng đầu. Trong điện toán đám mây, kiến trúc bảo mật rất chặt chẽ được thể hiện thành các tầng khác nhau theo sơ đồ sau:
Hình 10: Kiến trúc bảo mật theo tầng của điện toán đám mây
2.1/ Tầng người dùng (User layer):2.1.1/ Người dùng cuối: 2.1.1/ Người dùng cuối:
Đó chính là người thuê ứng dụng điện toán đám mây. Họ cần lưu trữ, truy cập, và xử lý tài nguyên trong các đám mây. Vì vậy các phần mềm ứng dụng điện toán đám mây phải được bảo mật cực kỳ tốt bằng các thuật toán mã hóa, các tường lửa, các bản vá lỗi, và ngày nay là cả trên các thiết bị di động. Các đám mây sẽ cách ly các mối nguy hại từ bên ngoài nhằm đảm bảo tính toàn vẹn của dữ liệu người dùng đã đưa lên mây.
2.1.2/ Gói bảo mật:
Thông thường nhà cung cấp phần mềm ứng dụng chạy trên nền điện toán đám mây Software as a Service (SaaS) sẽ phải cung cấp luôn một gói bảo mật gọi là Security as a Service chạy song song trên máy chủ điện toán đám mây.
2.1.3/ Bảo mật trình duyệt của người dùng:
Trong điện toán đám mây, người dùng thực hiện tất cả các thao tác với ứng dụng thông qua một trình duyệt web nào đó. Trình duyệt này sẽ gửi nhận dữ liệu trực tiếp với máy chủ đám mây. Do đó dữ liệu phải được mã hóa trước khi nhận và gửi.
Vì vậy các giao thức trao đổi giữa trình duyệt và máy chủ cũng nhất thiết phải được mã hóa đặc biệt. Ngày nay giao thức hay được sử dụng đó là HTTPS. Nó giúp người dùng đăng nhập vào hệ thống một cách an toàn nhất, thông qua một lần đăng nhập duy nhất.
2.1.4/ Xác thực người dùng:
Vấn đề xác thực người dùng là rất quan trọng. Dữ liệu của người dùng được để trên đám mây, và phân tán. Do đó người dùng cần phải được xác thực trước khi có thể lấy dữ liệu về qua mạng internet. Khi người dùng đăng nhập vào hệ thống đám mây, toàn bộ quá trình trao đổi xử lý dữ liệu sẽ được theo dõi chặt chẽ theo thời gian thực, để kiểm tra xem có phải người dùng ảo hay không.
2.2/ Tầng cung cấp dịch vụ (Service Provider Layer):2.2.1/ Nhận diện và phân quyền truy cập dịch vụ: 2.2.1/ Nhận diện và phân quyền truy cập dịch vụ:
Các nhà cung cấp dịch vụ phải cài đặt thuật toán nhận diện người dùng và phân quyền truy cập vào các thư mục tài nguyên trên máy chủ. Người dùng chỉ cần đăng nhập một lần single sign on (SSO) là thuật toán có thể nhận diện và cấp quyền (Permisson) cho người dùng trong cả phiên làm việc.
2.2.2/ Tính riêng tư của dữ liệu:
Tính riêng tư của dữ liệu luôn được đặt lên hàng đầu. Các dữ liệu của người dùng trước hết đã được mã hóa ở dịch vụ, và trong khi truyền tải, thường được truyền qua mạng riêng ảo với kênh riêng, điều này sẽ làm tăng gấp đôi tính bảo mật. Người dùng sẽ sử dụng dịch vụ một cách hết sức yên tâm.
2.2.3/ Bảo mật dữ liệu khi truyền tải:
Quá trình truyền tải là lúc gặp rủi ro mất dữ liệu nhiều nhất. Với chức năng truyền tải dữ liệu của tầng dịch vụ, dữ liệu sẽ được đóng gói và chuyển đến địa chỉ người nhận theo kênh riêng trong thời gian nhanh nhất (phụ thuộc tốc độ đường truyền internet của khách hàng) và dữ liệu sẽ được kiểm tra ở cuối quá trình xem có toàn vẹn hay không.
2.2.4/ Chống tấn công D-DOS:
Những tội phạm chuyên tấn công mạng có thể sử dụng mạng máy tính chuyên tấn công vào một node mạng duy nhất, làm nghẽn toàn bộ đường truyền mạng, làm sập cả server vì không thể nhận gửi. Do đó tầng dịch vụ mạng sẽ phải chia ra làm nhiều node mạng. Mỗi node lại có dịch vụ xử lý nhận diện D-DOS và từ chối yêu cầu truy cập từ các máy tính này.
2.2.5/ Quản lý tài khoản người dùng:
Các tài khoản người dùng là các thông tin đã được trả tiền để thuê phần mềm bản quyền trên đám mây. Tài khoản không thể để rơi vào tay hacker hoặc bên thứ ba.
2.3/ Tầng máy ảo (Virtual Machine layer):2.3.1/ Quản lý máy ảo: 2.3.1/ Quản lý máy ảo:
Các máy ảo được cài đặt và sử dụng dựa trên phần cứng của một máy thật. Vấn đề ở đây là máy ảo cần một máy chủ ảo để truy cập thông tin (virtual host). Quá trình đọc ghi này có thể xảy ra sự cố mất mát dữ liệu, hoặc bị virus xâm nhập ăn cắp dữ liệu. Do đó các máy ảo này cần phải được bảo mật bằng tường lửa.
2.3.2/ Bản quyền dữ liệu:
Các máy ảo được người dùng thuê và toàn quyền xử lý, cài đặt phần mềm trên đó, nhà cung cấp dịch vụ sẽ không can thiệp. Tuy nhiên nếu người dùng cố tình cài phần mềm không có bản quyền lên máy ảo để dùng thì nhà cung cấp sẽ bị kiện. Vì
vậy nhà cung cấp cũng cần phải thường xuyên rà soát hệ thống để đưa ra các cảnh báo cần thiết.
2.4/ Tầng máy chủ (Data Center Layer):2.4.1/ Bảo mật cơ sở dữ liệu: 2.4.1/ Bảo mật cơ sở dữ liệu:
Đây là lớp bảo mật rất quan trọng trong điện toán đám mây. Các dữ liệu của người dùng chủ yếu được lưu trong các cơ sở dữ liệu quan hệ, nằm trong các ổ cứng chứa database của hệ thống. Dữ liệu này là xương sống cho toàn bộ ứng dụng bên trên. Dữ liệu này cũng rất nhạy cảm. Vì thế cần sao lưu dữ liệu thường xuyên qua nhiều máy chủ khác nhau để đảm bảo dữ liệu được thông suốt.
2.4.2/ Bảo mật mạng và máy chủ:
Các node mạng và cổng mạng ở tầng máy chủ này cần chịu sức ép rất lớn từ người dùng. Việc cân bằng tải và bảo mật ở từng node mạng là rất quan trọng. Các đám mây lai còn cần liên kết giữa mạng internet và mạng nội bộ, cần độ tin cậy cao hơn nữa.
CHƯƠNG IV: XÂY DỰNG BIỆN PHÁP BẢO MẬT LỚP NGƯỜI DÙNG
Vấn đề an toàn thông tin đối với doanh nghiệp là vấn đề sống còn do vậy bảo mật chính là rào cản lớn nhất quyết định liệu điện toán đám mây có được sử dụng rộng rãi nữa hay không. Hầu hết các nhà cung cấp dịch vụ đám mây công cộng (public cloud) không đảm bảo sự an toàn về dữ liệu khi thực hiện truyền thông tin trong đám mây công cộng.
Những thách thức chính của bảo mật đám mây đó là hiệu suất, quản lý rủi ro, thực hiện giám sát, thiết kế và các vấn đề liên quan tới triển khai. Xây dựng lòng tin giữa các bên liên quan tới điện toán đám mây như người dùng, doanh nghiệp, mạng và nhà cung cấp dịch vụ. Xây dựng các chính sách và hỗ trợ kỹ thuật về các vấn đề liên quan tới bảo mật cho người sử dụng cuối có thể là một ý tưởng tốt của nhà cung cấp dịch vụ.