HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Dương Văn Dũng
NGHIÊN CỨU LỰA CHỌN MÔ HÌNH VÀ GIẢI PHÁP ĐẢM
BẢO AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY
TẠI VIỆT NAM
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC
TS. NGUYỄN TRỌNG ĐƯỜNG
HÀ NỘI - 2013
1
MỞ ĐẦU
Lý do chọn đề tài
Điện toán đám mây (ĐTĐM) đang được coi là một trong những xu hướng chủ đạo
đối với ngành công nghệ thông tin toàn cầu.Các hoạt động liên quan đến điện toán đám mây
đang diễn ra trong nhiều cơ quan chính phủ, tổ chức doanh nghiệp trên thế giới.Tại nhiều
nước, mô hình máy chủ ảo đã thực sự được quan tâm và ứng dụng hiệu quả.
Điện toán đám mây đã xuất hiện ở Việt Nam từ năm 2009, tuy nhiên cho đến nay
việc phát triển ứng dụng CNTT dựa trên mô hình này còn nhiều hạn chế.Trên thực tế đã có
một số doanh nghiệp, cá nhân dùng thử dịch vụ đám mây miễn phí của các nhà cung cấp
trong nước và nước ngoài. Một số tỉnh, thành phố đã có kế hoạch triển khai ứng dụng CNTT
dựa trên mô hình ĐTĐM phục vụ hoạt động cơ quan nhà nước
Tuy vậy, thời gian gần đây, tình hình mất an toàn thông tin số ở nước ta diễn biến
phức tạp, xuất hiện nhiều nguy cơ đe dọa nghiêm trọng đến việc ứng dụng và phát triển
CNTT phục vụ phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh. Với việc triển
khai mô hình điện toán đám mây, tất cả tài nguyên, ứng dụng và dữ liệu của một tổ chức,
doanh nghiệp bất kỳ nào đều tập trung tại một chỗ. Vấn đề đảm bảo an toàn an ninh thông
tin, chất lượng dịch vụ, yêu cầu về độ sẵn sàng hệ thống có ảnh hưởng quyết định tới việc
ứng dụng và phát triển CNTT của tổ chức, doanh nghiệp đó.
Mặt khác, để thúc đẩy phát triển các ứng dụng CNTT trên nền ĐTĐM một cách
chuyên nghiệp, có chất lượng, có hiệu quả, đảm bảo chất lượng dịch vụ cho khách hàng, cần
có một nghiên cứu về an toàn thông tin trong ĐTĐM và các giải pháp đảm bảo an toàn
thông tin như lựa chọn mô hình, các giải pháp về hạ tầng, dữ liệu và phần mềm nhằm đạt
được mục tiêu đó. Do vậy tôi lựa chọn đề tài này nhằm thực hiện những công việc trên.
Mục đích nghiên cứu
Trong phạm vi nghiên cứu của đề tài khoa học, tôi mong muốn hoàn thành các nội
dung sau:
- Nghiên cứu tổng quan an toàn thông tin trong điện toán đám mây.
- Nghiên cứu các giải pháp đảm bảo an toàn thông tin .
- Lựa chọn mô hình, giải pháp đảm bảo an toàn thông tin trong việc triển khai điện
toán đám mây tại Việt Nam.
2
Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu: doanh nghiệp, cơ quan tư nhân cũng như nhà nước xây dựng
và triển khai hệ thống điện toán đám mây; doanh nghiệp cung cấp dịch vụ điện toán
đám mây.
Phạm vi nghiên cứu:
- Nghiên cứu tổng quan an toàn thông tin trong điện toán đám mây.
- Nghiên cứu các giải pháp đảm bảo an toàn thông tin.
- Lựa chọn mô hình và giải pháp để đảm bào an toàn thông tin trong việc triển khai
điện toán đám mây tại Việt Nam.
Kết cấu nội dung
Với mục tiêu đặt ra như vậy, những nội dung và kết quả nghiên cứu chính của luận
văn được trình bày trong ba chương như sau
Chương 1: Tổng quan an toàn thông tin trong Điện toán đám mây, các tính chất, đặc
điểm, thành phần và các mô hình triển khai của điện toán đám mây.
Chương 2: Nêu các giải pháp an toàn thông tin trong Điện toán đám mây, bao gồm
các giải pháp về hạ tầng, về ứng dụng, phần mềm và dữ liệu nhằm đảm bảo an toàn thông
tin.
Chương 3: Lựa chọn một mô hình và giải pháp đảm bào an toàn thông tin trong điện
toán đám mây tại Việt Nam.
Phần kết luận đưa ra những đánh giá về những kết quả đạt được và thảo luận về
huớng nghiên cứu tiếp của luận văn.
3
Chương 1 - TỔNG QUAN AN TOÀN THÔNG TIN TRONG ĐIỆN
TOÁN ĐÁM MÂY
1.1 .Khái niệm về đặc tính, mô hình kiến trúc trong điện toán đám mây
1.1.1. Khái niệm điện toán đám mây
Thuật ngữ điện toán đám mây - Cloud Computing chỉ mới xuất hiện gần đây. Tuy
nhiên có rất nhiều hãng công nghệ lớn quan tâm như Microsoft, Google, IBM, Amazon…do
vậy điện toán đám mây ngày càng được thúc đẩy phát triển mạnh mẽ.
Sự phát triển mạnh mẽ của điện toán đám mây đã thu hút rất nhiều nhà khoa học, các
trường đại học và cả các công ty công nghệ thông tin đầu tư nghiên cứu. Nhiều định nghĩa
về điện toán đám mây đã được đưa ra. Mỗi nhóm nghiên cứu đưa ra định nghĩa theo cách
hiểu, cách tiếp cận của riêng mình nên rất khó tìm một định nghĩa tổng quát nhất của điện
toán đám mây. Dưới đây là ví dụ một số định nghĩa về điện toán đám mây:
- Theo Wikipedia: ĐTĐM là mô hình điện toán sử dụng các công nghệ máy tính và
phát triển dựa vào mạng Internet
- Theo hãng công nghệ IBM: ĐTĐM là một giải pháp toàn diện cung cấp công nghệ
thông tin như một dịch vụ. Nó là một giải pháp điện toán dựa trên Internet ở đó cung cấp tài
nguyên chia sẻ giống như dòng điện được phân phối trên lưới điện. đ
sẻ cùng một mạng máy chủ, phần mềm và dữ liệu.
- Theo DefininitionCloudcomputing.com: Điện toán đám mây là một kiến trúc phân
tán có khả năng tập trung hóa các nguồn lực máy chủ dựa trên nền tảng có thể mở rộng
nhằm cung cấp các tài nguyên điện toán theo nhu cầu.
- Dịch vụ ĐTĐM bao gồm: dịch vụ cho thuê hạ tầng theo mô hình điện toán đám mây,
dịch vụ cho thuê môi trường nền tảng theo mô hình điện toán đám mây, và dịch vụ cho thuê
phần mềm theo mô hình điện toán đám mây.
1.1.2. Các đặc tính cơ bản của một mô hình điện toán đám mây
Điện toán đám mây bao gồm các đặc tính cơ bản sau:
4
Hình 1.1.3 Các đặc tính cơ bản và mô hình dịch vụ, triển khai
Tự phục vụ theo nhu cầu (on-demand self-service)
Truy cập thông qua mạng diện rộng (broad network access)
Dùng chung tài nguyên (Resource pooling)và độc lập vị trí
Tính co giãn nhanh chóng (rapid elasticity)
Điều tiết dịch vụ (Measured service)
1.1.3. Mô hình triển khai, các lớp dịch vụ trong điện toán đám mây
a) Bốn mô hình triển khai điện toán đám mây
Bốn mô hình triển khai đám mây gồm:
Đám mây công cộng - Public cloud
Các dịch vụ Public Cloud hướng tới số lượng khách hàng lớn nên thường có năng lực
về hạ tầng cao, đáp ứng nhu cầu tính toán linh hoạt, đem lại chi phí thấp cho khách hàng.
Các đám mây công cộng là các dịch vụ đám mây được một bên thứ ba (người bán) cung
cấp.Chúng tồn tại ngoài tường lửa công ty và chúng được lưu trữ đầy đủ và được nhà cung
cấp đám mây quản lý.
Đám mây riêng - Private Cloud
Hạ tầng đám mây được vận hành cho riêng một doanh nghiệp.Nó có thể được quản lý
bởi chính doanh nghiệp hoặc một bên thứ ba và có thể hiện hữu tại cơ sở doanh nghiệp (on
premise) hoặc bên ngoài (off premise). Những đám mây này tồn tại bên trong tường lửa của
hệ thống máy tính của tổ chức/doanh nghiệp và do chính tổ chức/doanh nghiệp quản lý.
5
Chính vì vậy, việc quản lý và sử dụng đám mây riêng sẽ làm cho vấn đề an toàn bảo mật
được đảm bảo.
Đám mây cộng đồng – CommunityCloud
Đám mây cộng đồng là mô hình trong đó hạ tầng đám mây được chia sẻ bởi một số tổ
chức cho cộng đồng người dùng trong các tổ chức đó. Các tổ chức này do đặc thù không
tiếp cận với các dịch vụ Public Cloud và chia sẻ chung một hạ tầng điện toán đám mây để
nâng cao hiệu quả đầu tư và sử dụng.
Đám mây cộng đồng có thể được quản lý bởi một bên thứ ba, được thiết lập bởi một tổ
chức có yêu cầu nhiệm vụ tương tự nhau và tìm cách chia sẻ hạ tầng để thu được một số lợi
ích từ ĐTĐM.
Đám mây lai - Hybrid Cloud
Các đám mây lai là một sự kết hợp của các đám mây công cộng và riêng. Những đám
mây này thường do doanh nghiệp tạo ra và các trách nhiệm quản lý sẽ được phân chia giữa
doanh nghiệp và nhà cung cấp đám mây công cộng. Đám mây lai sử dụng các dịch vụ có
trong cả không gian công cộng và riêng.
Hạn chế chính với đám mây này là sự khó khăn trong việc tạo ra và quản lý có hiệu quả
một giải pháp như vậy.Phải có thể nhận được và cung cấp các dịch vụ lấy từ các nguồn khác
nhau như thể chúng có nguồn gốc từ một chỗ và tương tác giữa các thành phần riêng và
chung có thể làm cho việc thực hiện thậm chí phức tạp hơn nhiều. Do đây là một khái niệm
kiến trúc tương đối mới trong điện toán đám mây, nên cách thực hành và các công cụ tốt
nhất về loại này tiếp tục nổi lên và bất đắc dĩ chấp nhận mô hình này cho đến khi hiểu rõ
hơn.
b) Ba lớp dịch vụ của điện toán đám mây
Dịch vụ điện toán đám mây rất đa dạng và bao gồm tất cả các lớp dịch vụ điện toán từ
cung cấp năng lực tính toán trên máy chủ hiệu suất cao hay các máy chủ ảo, không gian lưu
trữ dữ liệu, hay một hệ điều hành, một công cụ lập trình, hay một ứng dụng cụ thể. Các dịch
vụ cũng được phân loại khá da dạng, nhưng các mô hình dịch vụ điện toán đám mây phổ
biến nhất có thể được phân thành 3 nhóm: cơ sở hạ tầng như một dịch vụ (Infrastructure as a
Service – IaaS), nền tảng như một dịch vụ (Platform as a Service – PaaS) và Phần mềm như
một dịch vụ (Software as a Service – SaaS).
6
Hình 1.1.6 Các lớp dịch vụ trong điện toán đám mây
IaaS – Hạ tầng như một dịch vụ
Các dịch vụ IaaS cung cấp cho khách hàng tài nguyên hạ tầng điện toán như máy chủ
(có thể lựa chọn hệ điều hành – điển hình là Windows và Linux), mạng, không gian lưu trữ,
cũng như các công cụ quản trị tài nguyên đó. Các tài nguyên này thường được ảo hóa, chuẩn
hóa thành một số cấu hình trước khi cung cấp để đảm bảo khả năng linh hoạt trong quản trị
cũng như hỗ trợ tự động hóa.
IaaS bao gồm sự kết hợp của các tài nguyên phần cứng và phần mềm. Phần mềm IaaS là
mã mức thấp chạy độc lập với hệ điều hành —được gọi là trình siêu giám sát— và chịu
trách nhiệm kiểm kê tài nguyên phần cứng và phân phối tài nguyên theo yêu cầu Quá trình
này được gọi là phân nhóm tài nguyên (resource pooling). Phân nhóm tài nguyên bằng trình
siêu giám sát làm cho có thể ảo hóa, và ảo hóa làm cho có khả năng điện toán nhiều bên
thuê
PaaS – Nền tảng như một dịch vụ
Dịch vụ PaaS cung cấp nền tảng điện toán cho phép khách hàng phát triển các phần
mềm, phục vụ nhu cầu tính toán hoặc xây dựng thành dịch vụ trên nền tảng đám mây đó.
Dịch vụ PaaS có thể được cung cấp dưới dạng các ứng dụng lớp giữa (middleware), các
máy chủ ứng dụng (applicationserver) cùng các công cụ lập trình với ngôn ngữ lập trình
nhất định để xây dựng ứng dụng. Dịch vụ PaaS cũng có thể được xây dựng riêng và cung
cấp cho khách hàng thông qua một API riêng. Khách hàng xây dựng ứng dụng và tương tác
với hạ tầng điện toán đám mây thông qua API đó. Ở mức PaaS, khách hàng không quản lý
7
nền tảng đám mây hay các tài nguyên lớp như hệ điều hành, lưu giữ ở lớp dưới. Khách hàng
điển hình của dịch vụ PaaS chính là các nhà cung cấp phần mềm độc lập (ISV - Independent
Software Vendor).
SaaS – Phần mềm như một dịch vụ
SaaS tiêu biểu cho tiềm năng sử dụng phần mềm với chi phí thấp hơn cho các doanh
nghiệp - sử dụng phần mềm theo yêu cầu chứ không mua một giấy phép cho mỗi máy tính,
đặc biệt là khi bạn thấy rằng hầu hết các máy tính hầu như nằm im gần 70% thời gian. Thay
vì phải mua nhiều giấy phép cho một người dùng duy nhất, doanh nghiệp có thể đưa thời
gian sử dụng giấy phép lên gần đến 100% thời gian, thì càng tiết kiệm được nhiều tiền hơn.
1.2. Vai trò của điện toán đám mây
Điện toán đám mây làm thay đổi cách thức đầu tư vào ứng dụng công nghệ thông tin.
Ưu điểm nổi bật là đơn giản hóa, làm giảm các công việc cần phải thực hiện của người sử
dụng cuối. Người sử dụng được giải thoát khỏi các hạng mục không cần thiết và tập trung
cho việc ứng dụng công nghệ thông tin trong lĩnh vực chuyên môn. Quy trình triển khai ứng
dụng công nghệ thông tin theo phương thức truyền thống có thể cần phải qua một số bước
sau:
Hình 1.2.1 Quy trình triển khai hệ thống cơ sở hạ tần truyền thống
Lựa chọn
ứng dụng
Thiết lập
hệ thống
Kiểm tra
chất
lượng
Kích
hoạt dịch
vụ
Phối hợp
triển
khai
Đặt kế
hoạch
Mua sắm
hạ tầng
Cài đặt
Quản lý
vòng đời
8
Tuy nhiên khi chuyển sang điện toán đám mây, quy trình triển khai thay đổi với một số
bước giảm đi rất nhiều.
Khi sử dụng SaaS: người dùng chỉ cần lựa chọn ứng dụng phù hợp, đăng ký dịch vụ sử
dụng với nhà cung cấp. Sau khi dịch vụ được kích hoạt có thể sử dụng dịch vụ ngay và
không phải quan tâm đến duy trì vận hành.
Hình 1.2.2 quy trình triền khai ứng dụng khi sử dụng SaaS
Như vậy ta thấy rằng quá trình ứng dụng công nghệ thông tin có sử dụng điện toán đám
mây đơn giản hơn nhiều. Thời gian triển khai được rút ngắn, các công việc được đơn giản
hóa và đặt trọng tâm vào những nhiệm vụ có liên quan trực tiếp đến ứng dụng của khách
hàng sử dụng dịch vụ
1.3. Các vấn đề ảnh hưởng đến một hệ thống điện toán đám mây
1.3.1. Tính riêng tư
Mô hình ĐTĐM đã bị chỉ trích bởi những người ủng hộ tính riêng tư với những công ty
điều khiển dịch vụ lưu trữ đám mây. Họ lấy lý do có thể theo dõi dữ liệu lưu trữ giữa người
sử dụng và các máy chủ của công ty lưu trữ (nhà cung cấp dịch vụ) theo ý muốn, hợp pháp
hoặc bất hợp pháp
1.3.2. Tính tuân thủ
Sử dụng ĐTĐM để xử lý dữ liệu và lưu trữ mang đến lợi ích về sự đơn giản và chi phí,
nhưng đảm bảo tuân thủ quy định lại không hề đơn giản như vậy. Hầu hết các luật tuân thủ
dữ liệu và các văn bản liên quan được đưa ra với giả định rằng các bên tự chịu trách nhiệm
kiểm soát dữ liệu cũng như quyết định vị trí đặt lưu trữ. Trên thực tế, không có pháp luật và
quy định nào thừa nhận rằng một nhà cung cấp dịch vụ có thể giữ dữ liệu trên danh nghĩa
của một tổ chức. Vì vậy, hầu hết các tình huống tuân thủ nêu ra chỉ định tất cả các trách
nhiệm cho người dùng một môi trường ĐTĐM mặc dù thực tế phần lớn người sử dụng
không kiểm soát dữ liệu của mình được.
1.3.3. Tính hợp pháp
Nếu các công ty đang sử dụng các dịch vụ ĐTĐM để lưu trữ hoặc truy cập dữ liệu kinh
doanh, thì cần quan tâm đến những vấn đề sau liên quan đến pháp lý:
- Làm thế nào chúng ta nhận lại dữ liệu khi không sử dụng dịch vụ ĐTĐM của 1 nhà
cung cấp nữa?
Lựa chọn ứng dụng Đăng ký dịch vụ Kích hoạt dịch vụ
9
- Sau khi chấm dứt hợp đồng, hãy chắc chắn các nhà cung cấp dịch vụ ĐTĐM xóa
dữ liệu của mình
- Hiểu nghĩa vụ sao lưu dữ liệu
- Đảm bảo bảo vệ bí mật thương mại
- Thiết lập quyền kiểm toán đám mây của hoạt động CNTT
1.3.4. Mã nguồn mở
Phần mềm mã nguồn mở đã cung cấp nền tảng cho việc triển khai ĐTĐM. ĐTĐM là
mô hình mới về phân phối và sử dụng các dịch vụ CNTT dựa trên Internet, đặc trưng bởi
việc cung cấp các tài nguyên thường được ảo hóa như một dịch vụ trên Internet. Hầu hết hạ
tầng và nền tảng của điện toán đám mây được cấu tạo thành các dịch vụ, phân phối thông
qua các trung tâm dữ liệu và được xây dựng trên các máy chủ.
Ngoài ra, nhờ mã nguồn công khai, nhiều nhà cung cấp có thể tìm hiểu để làm chủ phần
mềm. Nó có thể được vận hành và bảo trì bởi nhiều nhà cung cấp và khi phát hiện lỗi và lỗ
hổng an ninh, họ nhanh chóng tham gia vá lỗi và lỗi sẽ được sửa trong một thời gian ngắn.
1.3.5. Các tiêu chuẩn mở
Các tiêu chuẩn mở và ĐTĐM không chỉ có quyền để cho phép các ứng dụng khai thác
dữ liệu trên khoa học và công nghiệp mà quan trọng hơn là chi phí sở hữu thấp, do đó cho
phép cộng đồng lớn tập trung vào phát triển các thuật toán, ứng dụng…tránh các vấn đề độc
quyền và không tương thích hệ thống.
Không hề thiếu những chỉ trích về ĐTĐM như thiếu tính tương thích, lo ngại sự đóng
kín từ phía nhà cung cấp, hay các rủi ro về bảo mật.
1.3.6. Tính bảo mật
Một trong những mối lo ngại hàng đầu là dữ liệu sẽ bị trộn lẫn khi các nhà cung cấp
dịch vụ lưu trữ thông tin, dữ liệu của nhiều doanh nghiệp trong cùng một phần cứng. Trong
khi đó, tâm lý của các doanh nghiệp sử dụng dịch vụ là luôn muốn dữ liệu của mình phải
được tách bạch riêng rẽ, để những bí mật kinh doanh không rơi vào tay đối thủ cạnh tranh
khi họ ủy thác toàn bộ dữ liệu cho nhà cung cấp. An ninh điện toán đám mây đặt ra ba vấn
đề: tính an ninh, tính riêng tư và sự tuân thủ tính pháp lý trong hợp đồng giữa nhà cung cấp
dịch vụ và doanh nghiệp sử dụng dịch vụ.
Vì vậy, doanh nghiệp sử dụng dịch vụ điện toán đám mây phải cân nhắc đến các chính
sách bảo mật như quản lý dữ liệu, chuẩn bảo mật, xác thực truy cập, các công nghệ xác thực
liên miền, hệ thống dự phòng… Ngoài việc đánh giá mức độ rủi ro khi sử dụng dịch vụ,
10
doanh nghiệp cũng cần đánh giá mức độ đáng tin cậy của nhà cung cấp thông qua hợp đồng
và trách nhiệm pháp lý.
1.3.7. Tính bền vững
ĐTĐM đang được quảng bá với khả năng giải quyết nhu cầu lớn của doanh nghiệp và
hiệu quả sử dụng năng lượng trong CNTT.Việc sử dụng ĐTĐM sẽ đem lại nhiều lợi ích bền
vững
1.4. Tình hình an toàn thông tin trong điện toán đám mây.
1.4.1. Rủi ro về an toàn thông tin trong điện toán đám mây
Một số rủi ro về an toàn thông tin trong điện toán đám mây:
Mất kiểm soát
Phụ thuộc
Cách ly bất thành
Giao diện bị lộ
Bảo vệ dữ liệu
1.4.2. Các vấn đề chính sách bảo mật, tính toàn vẹn dữ liệu
Tuy gặp phải vô số vấn đề về bảo mật,chúng vẫn không ngăn được sự bùng nổ công
nghệ cũng như sự ưa chuông điện toán đám mây bởi khả năng giải quyết và đáp ứng các
nhu cầu bức thiết trong kinh doanh. Để đảm bảo an toàn cho đám mây điện toán, chúng ta
cần nắm được vai trò của nó trong sự phát triển công nghệ. Rất nhiều câu hỏi tồn tại xung
quanh những ưu và khuyết điểm khi sử dụng điện toán đám mây trong đó tính bảo mật, hữu
dụng và quản lí luôn được chú ý xem xét kĩ lưỡng. Bảo mật là đề tài được giới người dùng
thắc mắc nhiều nhất và sau đây là 10 câu hỏi hàng đầu được đặt ra để quyết định liệu việc
triển khai điện toán đám mây có phù hợp hay không và nếu không thì nên chọn mô hình nào
cho phù hợp:
1.5. Kết luận chương
Chương 1 mang đến cái nhìn tổng quan về an toàn thông tin trong ĐTĐM từ mô hình
kiến trúc, các đặc tính, mô hình triển khai trong ĐTĐM cho đến các vấn đề ảnh hưởng đến
một hệ thống ĐTĐM. Trong chương này cũng nêu bật được các rủi ro về an toàn thông tin,
các vấn đề về chính sách bảo mật và vai trò của chúng trong ĐTĐM.
11
Chương 2 - CÁC GIẢI PHÁP AN TOÀN THÔNG TIN TRONG
ĐIỆN TOÁN ĐÁM MÂY
2.1. Đánh giá về vấn đề an ninh trong điện toán đám mây.
An ninh ĐTĐM là một lĩnh vực tiến hóa của an ninh
máy tính, an ninh mạng và, ở mức độ rộng lớn hơn, an
ninh thông tin. Nó tham chiếu tới một tập hợp lớn các
chính sách, các công nghệ, và những kiểm soát được
triển khai để bảo vệ các dự liệu, các ứng dụng và hạ
tầng có liên quan tới ĐTĐM. Phạm vi ảnh hưởng của
an ninh ĐTĐM là trong vài lĩnh vực chung như: (1) An
ninh và Tính riêng tư; (2) Sự tuân thủ; (3) Pháp lý hoặc
Hợp đồng.
Kiến trúc của ĐTĐM gồm 3 lớp: Hạ tầng (IaaS)
- Nền tảng (PaaS) - Phần mềm (SaaS) - như một dịch
vụ:
Hình 2.1.1 Kiến trúc 3 lớp của ĐTĐM
- IaaS chứa toàn bộ các tài nguyên hạ tầng trang thiết bị và phần cứng, các tài nguyên
ảo hóa (nếu có), phân phối các kết nối vật lý và logic cho các tài nguyên này, cung cấp một
tập hợp các APIs cho phép quản lý và tạo nên sự tương tác với hạ tầng của người sử dụng.
Nó là nền tảng của tất cả các dịch vụ ĐM, PaaS và SaaS được xây lần lượt trên nó, thừa
hưởng mọi rủi ro an ninh của nó.
- PaaS, so với IaaS, bổ sung thêm lớp tích hợp để xây dựng các ứng dụng trên nền
tảng có sẵn: phần mềm trung gian, ngôn ngữ & công cụ lập trình.
- SaaS đưa ra môi trường điều hành để phân phối cho người sử dụng nội dung, cách
trình bày, các ứng dụng và khả năng quản lý.
2.2. Các giải pháp an toàn về hạ tầng máy chủ và đường truyền.
Hạ tầng vật lý của hệ thống ĐTĐM cần được đảm bảo:
Thiết lập các hệ thống CNTT trong các phòng phù hợp
Kiểm soát truy cập tới các phòng
Các hệ thống bảo vệ phòng và chữa cháy phù hợp
12
Các hệ thống cung cấp điện phù hợp
Các hệ thống điều hoà không khí phù hợp
Sao lưu dữ liệu theo khái niệm sao lưu dữ liệu liên quan
2.2.1. Vùng và các mối giao tiếp
Các hệ thống bên trong trung tâm máy tính được đặt trong các vùng khác nhau được xác
định trên cơ sở các yêu cầu về an toàn và an ninh phù hợp cho các dịch vụ và dữ liệu của
các vùng tương ứng đó. Ít nhất những vùng được mô tả dưới đây phải được triển khai trong
hạ tầng của một trung tâm máy tính.
Vùng thông tin và dịch vụ
Vùng xử lý và logic
Vùng dữ liệu
Vùng quản trị
Vùng sao lưu dữ liệu
2.2.2. Truy cập mạng và kiểm soát truy cập
2.3. Các giải pháp an toàn về ứng dụng và phần mềm.
2.3.1. Chuẩn hóa ứng dụng và dữ liệu
Các biện pháp để đảm bảo an ninh hệ thống và thông tin, dữ liệu được tiến hành thực
hiện xuyên suốt tất cả các lớp. Tương tự, việc chuẩn hóa dữ liệu cũng được tiến hành thực
hiện theo tất cả các lớp.
Lớp nghiệp vụ: Chuẩn hóa qui trình nghiệp vụ, chuẩn hóa các thủ tục hành chính
thông qua việc mô hình hóa chúng bằng các công cụ tiêu chuẩn UML
Lớp thông tin: Mô hình hóa dữ liệu và chuẩn hóa dữ liệu.
Lớp hạ tầng: Đảm bảo cho dòng thông tin chuyển động trong hệ thống được an toàn
và thông suốt. Hạ tầng mạng máy tính được thiết kế theo các vùng và việc quản lý an ninh
truy cập giữa các vùng được đặt lên hàng đầu. Nhiều phần chuẩn hóa về an ninh được thực
hiện cho lớp này.
Lớp ứng dụng: Các module thành phần, các ứng dụng - dịch vụ dùng chung, kiến
trúc phần mềm tham chiếu như các mô hình kiến trúc thành phần, SOA, SaaS
Lớp công nghệ: Chuẩn cho các loại công nghệ - mô hình kiến trúc phần mềm tham
chiếu được lựa chọn (thành phần, SOA, SaaS, ) nhằm đảm bảo cho tính tương hợp, tính sử
dụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư, hỗ trợ thị trường
13
2.3.2. Kiến trúc an ninh mở OSA
Khái niệm về kiến trúc an ninh mở OSA (Open Security Architecture)
OSA đưa ra kiến thức của cộng đồng kiến trúc an ninh và các mẫu có khả năng sử
dụng được cho ứng dụng của bạn. OSA sẽ là một khung tự do được cộng đồng phát triển và
sở hữu và được cấp phép theo giấy phép của tài liệu tự do. Chính các nguyên tắc của nguồn
mở sẽ tạo ra những hệ thống an ninh hơn, trong đó có kiến trúc ĐTĐM.
Những lợi ích của kiến trúc an ninh mở
OSA đưa ra những lợi ích cho những người tiêu dùng các dịch vụ CNTT, các nhà cung
cấp các dịch vụ CNTT và các nhà bán hàng CNTT, trao cho toàn bộ cộng đồng CNTT một
lợi ích trong việc sử dụng và cải tiến.
2.3.3. Ảo hóa
Ảo hóa là công nghệ được thiết kế để tạo ra tầng trung gian giữa hệ thống phần cứng
máy chủ và phần mềm chạy trên nó. Công nghệ ảo hóa máy chủ là từ một máy vật lý đơn lẻ
có thể tạo thành nhiều máy ảo độc lập. Mỗi một máy ảo đều có một thiết lập nguồn hệ thống
riêng rẽ, hệ điều hành riêng và các ứng dụng riêng. Có 2 hình thức ảo hóa máy chủ:
- Virtualization Management Layer: đây là hình thức ảo hóa ban đầu của máy chủ.
Như hình bên dưới thể hiện, chức năng ảo hóa được xây dựng trên một nền HĐH thông
dụng. Một số sản phẩm thông dụng: Microsoft´s Virtual PC, and VMWare´s Workstation.
- Dedicated Virtualization:Hình thức ảo hóa này thường được gọi là ―bare-metal‖,
được chạy trực tiếp trên phần cứng của máy chủ. Vì vậy sẽ giúp sử dụng tài nguyên máy
chủ tối ưu hơn là hình thức ―hosted‖, tốc độ xử lý nhanh hơn. Các sản phẩm thông dụng:
ESX, Xen, and Hyper-V.
Các nhược điểm của giải pháp truyền thống
Giảm chi phí đầu tư phần cứng: để đáp ứng những yêu cầu không ngừng về việc triển
khai, phát triển các dịch vụ và ứng dụng mới, các tổ chức cần phải tiếp tục tăng thêm số
lượng máy chủ. Tuy nhiên, khi càng nhiều máy chủ thì những vấn đề khó khăn lại càng rõ
hơn:
Chi phí tăng
Hiệu quả đầu tư thấp
Giảm khả năng quản lý
Hiệu quả công việc giảm
Các lợi ích của ảo hóa
14
Giải pháp ảo hóa giải quyết vấn đề về chi phí và năng suất hoạt động của máy chủ bằng
việc giảm chi phí phần cứng và vận hành đến 50%, sử dụng tối ưu nguồn tài nguyên thông
qua ảo hóa. Đồng thời cũng giúp triển khai các máy chủ nhanh chóng, dễ dàng và tự động
quản lý các tài nguyên trong máy chủ tối ưu hơn.
2.4. Các giải pháp an toàn về dữ liệu.
2.5. Kết luận chương
Trong chương 2 đưa ra được các giải pháp an toàn thông tin trong ĐTĐM. Từ đánh
giá về vấn đề an ninh trong ĐTĐM cho tới các giải pháp về hạ tầng, ứng dụng, phần mềm
và dữ liệu. Qua đó đem lại cái nhìn bao quát về tất cả các giải pháp nhằm đánh giá và xem
xét áp dụng nó vào cho mô hình ĐTĐM cụ thể.
15
Chương 3 - LỰA CHỌN MÔ HÌNH VÀ GIẢI PHÁP ĐẢM BẢO AN
TOÀN THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY TẠI
VIỆT NAM
3.1. Yêu cầu chung về bảo mật
An ninh ĐTĐM không phải là một lĩnh vực mới mẻ, mà là một lĩnh vực tiến hóa của
an ninh máy tính, an ninh mạng và, ở mức độ rộng lớn hơn, an ninh thông tin. Nó tham
chiếu tới một tập hợp lớn các chính sách, các công nghệ, và những kiểm soát được triển
khai để bảo vệ các dự liệu, các ứng dụng và hạ tầng có liên quan tới ĐTĐM.
Tình hình an ninh của một tổ chức được đặc trưng bằng sự chín muồi, tính hiệu quả
và tính phức tạp của các kiểm soát an ninh được tinh chỉnh theo các rủi ro được triển khai.
Những kiểm soát này được triển khai theo một hoặc nhiều lớp trải từ các cơ sở (an ninh vật
lý), tới hạ tầng mạng (an ninh mạng), tới các hệ thống CNTT (an ninh thông tin), tất cả các
con đường tới thông tin và các ứng dụng (an ninh ứng dụng). Các kiểm soát bổ sung sẽ
được triển khai ở mức con người và qui trình, như sự tách biệt các trách nhiệm và quản lý
thay đổi, một cách tương ứng.
Có thể nhiều người cho rằng, khi triển khai ứng dụng ĐTĐM, thì mọi trách nhiệm về
an ninh của thông tin - dữ liệu và hệ thống thông tin đều thuộc về (các) nhà cung cấp ở bên
ngoài, còn bản thân tổ chức của người sử dụng ĐTĐM thì sẽ không mắc phải những trách
nhiệm đó như đã từng có theo lối truyền thống. Điều này, đáng tiếc, là không đúng.
An ninh ĐTĐM là sự chia sẻ trách nhiệm giữa nhà cung cấp và người sử dụng
Trong môi trường SaaS thì việc kiểm soát an ninh và phạm vi của nó được thương
thảo trong các hợp đồng dịch vụ; các mức dịch vụ, sự riêng tư, và sự tuân thủ tất cả là
những vấn đề sẽ được đưa ra đúng pháp luật trong các hợp đồng.
Trong môi trường IaaS lại khác, trong khi trách nhiệm về đảm bảo an ninh cho hạ tầng bên
trong và các lớp trừu tượng thuộc về nhà cung cấp, thì phần còn lại là trách nhiệm của
khách hàng.
PaaS đưa ra một sự bù trừ đâu đó ở giữa, nơi mà việc đảm bảo an ninh cho bản thân
nền tảng nằm ở phía nhà cung cấp, còn việc đảm bảo an ninh cho các ứng dụng được triển
khai đối với nền tảng và việc phát triển chúng một cách có an ninh, cả 2 đều thuộc về khách
hàng.
16
Hiểu được ảnh hưởng của những khác biệt giữa các mô hình dịch vụ và cách mà
chúng sẽ được triển khai là sống còn cho việc quản lý tình trạng rủi ro của một tổ chức.
Việc hiểu sai về trách nhiệm của người sử dụng ĐTĐM có thể dẫn người sử dụng tới
việc chểnh mảng, thậm chí từ bỏ trách nhiệm của mình đối với các dữ liệu, ứng dụng và
hậu quả của nó sẽ là khôn lường. Tới đây, có thể nhiều người cho rằng, nếu triển khai
ĐTĐM riêng thì hoàn toàn có thể tránh được những rắc rối về tránh nhiệm an ninh và có thể
trút hết sang cho các nhà cung cấp là người nhà của cùng một tổ chức, những chuyên gia về
công nghệ thông tin am hiểu về đám mây chăng.
3.2. Quy định,khung pháp lý về chuẩn kỹ thuật liên quan đến an toàn thông tin
trong điện toán đám mây tại Việt Nam
3.2.1, Một số tiêu chuẩn choan ninh thông tin trong ĐTĐM trên Thế giới
Tiêu chuẩn về an ninh
Tiêu chuẩn về tính tương hợp
Tiêu chuẩn về tính khả chuyển
3.2.2. Chuẩn kỹ thuật liên quan đến an toàn thông tin trong ĐTĐM tại Việt Nam
Có một số quy định chính thức của Chính phủ về hệ thống quản lý an ninh thông tin
của riêng mình, có thể dựa vào tiêu chuẩn ISO/IEC 27001 đã được chuyển sang TCVN để
làm cơ sở cho các vấn đề và khái niệm có liên quan và được các bên tham gia liên tục đóng
góp ý kiến phản hồi trong quá trình triển khai thực tế.
3.3. Đề xuất khung quy chế để xây dựng, triển khai, vận hành, duy trì hệ thống
đám mây đảm bảo an toàn thông tin.
Ngoài việc có khung hành lang pháp lý để quy định về việc đảm bảo an toàn thông
tin trong hệ thống điện toán đám mây nói chung, tôi xin đề xuất khung quy chế để xây dựng,
triển khai, vận hành và duy trì hệ thống đám mây đảm bảo an toàn thông tin như sau:
Yêu cầu chung với nhà cung cấp ĐTĐM
Do tính chất quan trọng của dữ liệu trong các cơ quan nhà nước, hệ thống điện toán
đám mây ngoài việc cung cấp một môi trường linh hoạt, ổn định thì cần phải đảm bảo an
toàn cho thông tin dữ liệu luân chuyển trên hệ thống. Chính vì vậy, tôi xin đề xuất theo
hướng cần có quy định quản lý của nhà nước đối vơí các tổ chức, doanh nghiệp cung cấp
giải pháp để xây dựng và triển khai hệ thống đám mây trong cơ quan nhà nước như sau:
17
- Có Giấy chứng nhận đăng ký doanh nghiệp đang có hiệu lực, hoặc Giấy chứng
nhận đăng ký kinh doanh đang có hiệu lực, hoặc Giấy chứng nhận đầu tư đang có hiệu lực,
trong đó có ghi ngành, nghề kinh doanh là kinh doanh dịch vụ điện toán đám mây.
- Hệ thống trang thiết bị để xây dựng hệ thống hạ tầng điện toán đám mây phải có
giấy chứng nhận hoặc chứng minh đảm bảo an toàn thông minh tuân thủ các tiêu chuẩn bảo
mật.
- Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc
phục khi có sự cố xảy ra.
- Có các biện pháp đảm bảo an toàn, bảo mật thông tin, bí mật thông tin, dữ liệu.
- Có áp dụng hệ thống quản lý chất lượng, hệ thống quản lý an toàn, bảo mật thông
tin theo tiêu chuẩn hiện hành.
Đối với các cơ quan nhà nước xây dựng hệ thống đám mây.
- Việc đầu tư xây dựng hệ thống đám mây của các cơ quan nhà nước phải tuân thủ
theo quy hoạch, đảm bảo yêu cầu về kỹ thuật, chất lượng, an toàn, bảo mật thông tin, phạm
vi phục vụ đủ lớn, khả thi trong quản lý và khai thác, đảm bảo hiệu quả đầu tư.
- Phải tuân thủ nghiêm ngặt các quy định về chuẩn kết nối, chuẩn dữ liệu, trang thiết
bị phần cứng và phần mềm, yêu cầu hạ tầng, mức đảm bảo kỹ thuật, chất lượng dịch vụ, an
toàn, bảo mật thông tin theo quy định.
- Đảm bảo không được truyền tải, lưu trữ trên đám mây các thông tin của cơ quan
nhà nước thuộc danh mục bí mật nhà nước;
- Phải tuân thủ nghiêm các quy định của pháp luật về viễn thông, công nghệ thông
tin, lưu trữ và bảo mật thông tin trong cơ quan nhà nước;
- Việc sử dụng dịch vụ điện toán đám mây trong CQNN phải bảo đảm khai thác hiệu
quả tài nguyên mạng máy tính và nâng cao chất lượng ứng dụng công nghệ thông tin trong
hoạt động của các cơ quan Nhà nước
Đối với tổ chức, doanh nghiệp cung cấp dịch vụ ĐTĐM nhằm đảm bảo các yêu cầu
về an toàn bảo mật cần phải có quy định trách nhiệm trong các nội dung như sau:
- Có trách nhiệm công bố công khai hợp đồng sử dụng dịch vụ điện toán đám mây
mẫu trên trang thông tin điện tử của tổ chức, doanh nghiệp.
- Cung cấp đầy đủ thông tin về dịch vụ cho người sử dụng dịch vụ: chất lượng dịch
vụ, giá dịch vụ, nguyên tắc và mức độ bồi thường thiệt hại, quyền và nghĩa vụ của tổ chức,
18
doanh nghiệp cung cấp dịch vụ; quyền và nghĩa vụ của người sử dụng dịch vụ; và các thông
tin khác liên quan
- Đảm bảo và duy trì chất lượng dịch vụ như mức đã công bố. Thường xuyên tự kiểm
tra chất lượng dịch vụ do mình cung ứng. Khi phát hiện mức chất lượng dịch vụ không phù
hợp với mức đã công bố phải thực hiện ngay các biện pháp khắc phục để đảm bảo chất
lượng dịch vụ
3.4. Đề xuất mô hình điện toán đám mây triển khai
Dựa vào các cơ sở nghiên cứu công nghệ ĐTĐM và các vấn đề ảnh hưởng đến an
toàn thông tin trong ĐTĐM tại Việt Nam, tôi đề xuất các mô hình tổng thể và mô hình triển
khai cơ sở hạ tầng ĐTĐM cho nhóm dịch vụ IaaS, cụ thể ở đây là trung tâm thông tin dữ
liệu.
3.4.1. Mô hình tổng thể
Đám mây được xây dựng theo mô hình đám mây riêng có phạm vi cung cấp
dịch vụ cho các cơ quan, tổ chức thuê hạ tầng, các dịch vụ cung cấp bởi đám mây bao gồm:
Dịch vụ lưu trữ dữ liệu cung cấp cho các cơ quan
Dịch vụ máy ảo cung cấp tài nguyên tính toán cho các đơn vị phục vụ triển khai các
ứng dụng CNTT
Dịch vụ mạng ảo giúp các đơn vị xây dựng một nhóm các máy ảo có kết nối mạng để
triển khai ứng dụng mang tính tương tác
Tất cả các dịch vụ trên được cung cấp cho các cơ quan, doanh nghiệp thống nhất trên
nền tảng cơ sở hạ tầng duy nhất.
3.4.2. Mô hình triển khai cơ sở hạ tầng
Cấu trúc mạng
Phần lõi của trung tâm dữ liệu bao gồm: lớp kết nối mạng ngoại vi, lớp mạng quy tụ,
lớp mạng truy cập.
Cấu trúc ảo hóa
Toàn bộ các hệ thống ảo hóa được điều khiển giám sát bởi hệ quản trị cơ sở hạ tầng,
quản trị dịch vụ ĐTĐM tập trung
Mô hình hệ thống quản lý hạ tầng đám mây
Mô hình hệ thống quản lý hạ tầng đám mây bao gồm các chức năng quản lý hạ tầng.
Mô hình nay phụ thuộc vào công nghệ cụ thể của các hãng cung cấp hạ tầng được triển khai.
19
3.5. Đề xuất giải pháp về hạ tầng của hệ thống đám mây
3.5.1. Hạ tầng kỹ thuật đảm bảo an toàn thông tin
Hạ tầng vật lý của hệ thống CNTT trong ĐTĐM cần được đảm bảo:
Thiết lập các hệ thống CNTT trong các phòng phù hợp
Kiểm soát truy cập tới các phòng này
Các hệ thống bảo vệ phòng và chữa cháy phù hợp
Các hệ thống cung cấp điện phù hợp
Các hệ thống điều hoà không khí phù hợp
Sao lưu dữ liệu theo khái niệm sao lưu dữ liệu liên quan
Hình 3.5.1 Kiến trúc hạ tầng và việc đảm bảo an ninh truy cập các vùng
20
Để đảm bảo các yêu cầu trên kết hợp với các hệ thống quản trị, hệ thống điều kiển khiển
tự động thông minh nhằm mang đến các lợi ích sau:
Thiết lập môi trường tiêu chuẩn, an toàn và ổn định cho triển khai dịch vụ cho thuê
hạ tầng
Đảm bảo các điều kiện cho hoạt động liên tục của hệ thống công nghệ thông tin, có
khả năng chống lại các sự cố về điện, sự cố về cháy, nổ ảnh hưởng đến hoạt động của
hạ tầng. Cung cấp điều kiện tiêu chuẩn về môi trường như: hệ thống thông gió, làm
mát, hệ thống chống ẩm đảm bảo duy trì hoạt động ổn định của trung tâm dữ liệu và
nâng cao tuổi thọ các thiết bị phần cứng.
Đảm bảo điều kiện hạ tầng cho nhu cầu vận hành, bảo trì và phát triển các hệ thống
trong tương lai.
Trong thiết kế chuẩn hạ tầng kỹ thuật cho phòng máy chủphải dựa trên tiêu chuẩn quốc
tế và thường bao gồm:
Giải pháp sàn nâng cho phòng máy chủ
Giải pháp nguồn cung cấp
Giải pháp làm mát
Giải pháp giám sát và bảo mật phòng máy chủ
Giải pháp Phòng cháy chữa cháy
Giải pháp cắt lọc set
3.5.2. Quản trị hệ thống
3.5.3. Phòng chống thảm họa
3.6. Đề xuất giải pháp về công nghệ lưu trữ của hệ thống đám mây
3.6.1. Công nghệ lưu trữ
Do dung lượng dữ liệu gia tăng không ngừng, yêu cầu ngày càng cao về hiệu năng
truy xuất, tính ổn định và sự sẵn sàng của dữ liệu; việc lưu trữ đã và đang trở nên rất quan
trọng. Lưu trữ dữ liệu không còn đơn giản là cung cấp các thiết bị lưu trữ dung lượng lớn
mà còn bao gồm cả khả năng quản lý, chia sẻ cũng như sao lưu và phục hồi dữ liệu trong
mọi trường hợp.
Hiện nay có một số loại hình lưu trữ dữ liệu cơ bản như:
21
- DAS (Direct Attached Storage): lưu trữ dữ liệu qua các thiết bị gắn trực tiếp
- NAS (Network Attached Storage): lưu trữ dữ liệu vào thiết bị lưu trữ thông qua mạng
IP
- SAN (Storage Area Network): lưu trữ dữ liệu qua mạng lưu trữ chuyên dụng riêng.
:
.
Hình 3.6.1 Các mô hình lưu trữ dữ liệu
3.6.2. Sao lưu dự phòng dữ liệu
Sao lưu và khôi phục dữ liệu là mối quan tâm cụ thể của người quản trị IT, họ cần
quản lý dữ liệu sẽ ngày một lớn và phức tạp trong khi bị cắt giảm chi phí nhưng phải đảm
bảo khả năng đáp ứng được các dịch vụ ngày càng tăng của doanh nghiệp.
Nhiều tổ chức đã nhận thức đơn giản, không đầu tư, trang bị để phù hợp với những
thách thức trong việc sao lưu và khôi phục dữ liệu bởi vì cơ sở hạ tầng của họ đã lỗi thời.
Hệ thống và mạng IT không phù hợp số lượng các ứng dụng quan trọng ngày càng tăng
trong khi thời gian ngừng hệ thống (downtime) thì càng giảm. Hoặc là họ đối phó một cách
chắp vá, khắc phục bằng cách cần gì thì làm nấy cho một ứng dụng cụ thể nào đó.
3.7. Đề xuất giải pháp về dữ liệu trên hệ thống đám mây
3.7.1. Mô hình AAA
Các dịch vụ AAA được chia làm ba phần, xác thực (authentication), điều khiển truy cập
(access control) và tính cước (accounting). Ta sẽ tìm hiểu sự khác nhau của ba phần này và
cách thức chúng làm việc như thế nào.
Nhận dạng và xác thực (Identification & Authentication)
22
Nhận dạng là phương pháp người dùng báo cho hệ thống biết họ là ai. Bộ phận nhận
dạng người dùng của một hệ thống quản lý là một cơ chế tương đối đơn giản, hoạt động dựa
trên một hệ thống tên người dùng (username) hoặc định danh người dùng (userID)
Những yêu cầu nhận dạng đòi hỏi các định danh dùng để nhận dạng:
- Phải là một định danh duy nhất
- Không để dùng để xác định địa vị hay tầm quan trọng của người dùng trong một
tổ chức. Ví dụ như không được để lộ ra trong username là CEO hay Giám đốc…
Xác thực dùng để nhận dạng (identify) người dùng. Chẳng hạn bằng cách so sánh mật
khẩu mà người dùng đăng nhập với mật khẩu đã được lưu trữ trong hệ thống trước đó.
Điều khiển truy cập(Access Control)
Điều khiển truy cập là bước kiểm tra xem một người dùng được phép truy cập vào
những khu vực dữ liệu nào của server hay đám mây. Nó liên quan đến việc quản lý truy cập
của các user, thông qua việc xác thực, kết hợp với các luật(Rule) được quản lý bởi người
quản lý mà cho phép hay không cho phép user đó thực hiện những hành động nhất định.
Access Control gồm 2 bước: bước 1 là ủy quyền(authorization) và bước 2 là Approve.
Access control được sử dụng để thiết lập một mối quan hệ giữa chủ thể(users, process,
program) và các đối tượng(file, database, devices), dựa trên đó xác định các quyền truy cập
vào đối tượng.
Sự ủy quyền (authorization) hay còn gọi là sự chính thức hóa định nghĩa quyền của
người dùng trong một hệ thống
Tính cước(Accounting)
Accounting là hành động thu thập dữ liệu về lượng tiêu thụ tài nguyên cho các mục đích:
phân tích xu hướng, phân bổ năng lực thanh toán, kiểm toán và định giá chi phí, theo dõi
các mô hình sử dụng bởi người dùng cá nhân, máy chủ, dịch vụ…
Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời
gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng
và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Nói cách khác, accounting
cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng.
Việc sử dụng AAA trong vấn đề bảo mật và an toàn thông tin
23
Các nhà cung cấp dịch vụ tích hợp dữ liệu dựa trên công nghệ đám mây ngày nay phải
điều khiển việc truy cập cũng như giám sát thông tin mà người dùng đầu cuối đang thao tác.
Những việc làm đó có thể đưa đến thành công hay thất bại đối với một dịch vụ ĐTĐM. Với
ý tưởng đó, AAA là cách thức tốt nhất để giám sát những gì mà người dùng đầu cuối có thể
làm trên mạng. Ta có thể xác thực, cấp quyền, điều khiển truy cập cho người dùng cũng như
tập hợp được thông tin như thời gian bắt đầu hay kết thúc của người dùng.
Như ta thấy, bảo mật là vấn đề rất quan trọng.Với mức độ điều khiển, thật dễ dàng để cài
đặt bảo mật và quản trị mạng. Ta có thể định nghĩa các vai trò (role) đưa ra cho người dùng
những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo dõi những thay đổi trong
mạng. Với khả năng log lại sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu
cầu đặt ra. Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho
mạng.
3.7.2. Kỹ thuật quản lý truy cập dữ liệu
Quản lý truy cập là một chính sách hay thủ tục cho phép, từ chối hoặc hạn chế quyền
truy cập tới một hệ thống. Nó có thể thực hiện quản lý theo dõi và ghi lại những hành động
có liên quan đến hoạt động truy cập vào hệ thống cũng như có cơ chế xác định người cố
gắng đi vào một cách trái phép
Hiện nay có nhiều loại mô hình quản lý truy cập, phổ biến là:
Điều khiển truy cập tùy quyền (Discretionnary Access Control – DAC)
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC)
Điều khiển truy cập dựa trên vai trò (Role-based Access Control - RBAC)
3.8. Kết luận chương
Trong chương 3 này đem lại các đề xuất, giải pháp chi tiết cho một hệ thống ĐTĐM
nhằm đảm bào vấn đề an toàn thông tin. Cụ thể đã nêu ra được các yêu cầu chung về bảo
mật trong hệ thống ĐTĐM, đề xuất các giải pháp về khung quy chế xây dựng, triển khai,
vận hành duy trì cũng như hạ tầng phần cứng như: tiêu chuẩn phòng máy chủ… đến phần
mềm, an toàn dữ liệu.
24
KẾT LUẬN VÀ KIẾN NGHỊ
Điện toán đám mây là một sự tiến hóa của các công nghệ thông tin, và vì thế cả an
ninh thông tin và các hệ thống thông tin. Sẽ thật khó, nếu tư duy để đảm bảo an ninh theo lối
truyền thống còn chưa được kiện toàn và người sử dụng, khi chưa có sự đánh giá rủi ro một
cách toàn diện với những tài sản của mình, lại có thể sử dụng được tốt các dịch vụ của
ĐTĐM một cách có an ninh được.
Đảm bảo an ninh cho thông tin, dữ liệu và các hệ thống thông tin trong ĐTĐM là
phức tạp hơn so với các mô hình điện toán truyền thống vì nó còn phải đảm bảo an ninh cho
những phần đặc trưng bổ sung chỉ ĐTĐM mới có.
Đảm bảo an ninh trong ĐTĐM là trách nhiệm của tất cả các bên tham gia, chứ không
phải là trách nhiệm của chỉ nhà cung cấp trong mọi trường hợp, kể cả trong trường hợp tổ
chức của người sử dụng triển khai mô hình đám mây riêng.
Với nội dung nghiên cứu được, luận văn đã đưa ra được các lựa chọn giải pháp cần
thiết cho việc triển khai hệ thống điện toán đám mây đảm bảo an toàn thông tin tại Việt
Nam đó là: Xây dựng và áp tiêu chuẩn về Điện toán đám mây, các giải pháp kỹ thuật về an
ninh và những đặc tả chi tiết cho thỏa thuận dịch vụ, ảo hóa, lưu trữ dữ liệu.
Nghiên cứu chuyên môn đã chỉ ra các giải pháp cả phần cứng lẫn phần mềm nhằm
đảm bào an toàn thông tin. Tuy nhiên, các giải pháp vẫn mang tính chất tổng quát, chưa đi
vào áp dụng một cách thực tế. Tuy nhiên tôi cũng mong muốn đây sẽ là tài liệu tham khảo
cho các cơ quan, doanh nghiệp tại Việt Nam khi muốn triển khai điện toán đám mây mà
quan tâm đến việc đảm bảo an toàn thông tin.
Cuối cùng, tôi xin chân thành cảm ơn Thầy giáo, TS. Nguyễn Trọng Đường đã tận
tình hướng dẫn tôi hoàn thành luận văn này.