• Mô hình bảo vệ 3 lớp
Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây[1]
- Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, với giải pháp thường được áp dụng là dùng mật khẩu một lần (One Time Password - OTP). Các hệ thống đòi hỏi tính an toàn cao sẽ yêu cầu xác thực từ hai phía là người dùng và nhà cung cấp, nhưng với các nhà cung cấp điện toán đám mây miễn phí, thì chỉ xác thực một chiều (Hình 1.8).
- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toàn vẹn dữ liệu (Data Integrity) và bảo vệ tính riêng tư người dùng (Private User Protection) thông qua một thuật toán mã hóa đối xứng.
- Lớp 3 (Layer 3): Lớp dữ liệu người dùng phục vụ cho việc phục hồi nhanh dữ liệu theo tốc độ giải mã.
• Mô hình bảo mật dựa vào Encryption Proxy
Hệ thống trên được thiết kế để mã hóa toàn bộ dữ liệu của người dùng trước khi đưa lên đám mây (Hình 1.9).
Quá trình mã hóa/giải mã và xác thực được thông qua Encryption Proxy. Mô hình này đảm bảo dữ liệu an toàn và bí mật trong quá trình truyền (transmission) và lưu trữ (storage) giữa người dùng và đám mây. Để các bản mã vẫn được xử lý và quản lý lưu trữ mà không cần giải mã thì thuật toán mã hóa dữ liệu đồng phôi (homomorphic encryption algorithm) và đồng phôi đầy đủ (fully hommomorphic) đang được quan tâm nghiên cứu ứng dụng trong mô hình này. Thông tin bí mật của người dùng phục vụ quá trình mã hóa/giải mã được lưu tại Secure Storage.[1]
• Mô hình bảo vệ dữ liệu sử dụng VPN Cloud.
Trong mô hình này (Hình 1.10), để đảm bảo dữ liệu trên kênh truyền được an toàn, người ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đường truyền giữa các đám mây riêng với nhau và giữa người sử dụng với đám mây. Với các tổ chức có nhu cầu an toàn dữ liệu cao thì khi triển khai thường lựa chọn mô hình điện toán đám mây riêng (Private Cloud Computing). VPN Cloud sẽ giúp cho việc kết nối giữa người dùng và đám mây, cũng như kết nối giữa các đám mây riêng được an toàn và bảo mật thông qua chuẩn IPSec.[1]
Công nghệ VPN trong các hệ thống mạng truyền thống đã phát huy nhiều ưu việt và được dùng khá phổ biến. Tuy nhiên, với công nghệ điện toán đám mây luôn đòi hỏi tính linh động (dynamic) và mềm dẻo (elastic) trong tổ chức cũng như quản lý hệ thống, thì các kỹ thuật dynamic VPN hay elastic VPN sẽ phù hợp. Khi số lượng kết nối VPN trong hệ thống điện toán đám mây lớn sẽ đòi hỏi mô hình thiết lập VPN phù hợp tương ứng. Có hai mô hình VPN thường được quan tâm là Hub - and - Spoke và Full- Mesh . Hai mô hình này sẽ được trình bày chi tiết ở phần sau của đồ án.