Tải bản đầy đủ (.pdf) (97 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Xây dựng khung làm việc bảo vệ tính bí mật của thông tin trong điện toán đám mây

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.4 MB, 97 trang )

1





ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG





Nguyễn Thị Hồng Mai






XÂY DỰNG KHUNG LÀM VIỆC BẢO VỆ TÍNH BÍ MẬT
CỦA THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY








LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH










Thái Nguyên - 2012

2





ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG





Nguyễn Thị Hồng Mai





XÂY DỰNG KHUNG LÀM VIỆC BẢO VỆ TÍNH BÍ MẬT

CỦA THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY



Chuyên ngành: Khoa học máy tính
Mã số:60.48.01




LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH




NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. NGUYỄN CƢỜNG





Thái Nguyên - 2012

i



LỜI CAM ĐOAN
Tôi xin cam đoan luận văn này do tôi tự nghiên cứu, tìm hiểu và tổng hợp từ
nhiều nguồn tài liệu khác nhau. Luận văn tốt nghiệp là kết quả của quá trình học

tập, nghiên cứu và thực hiện hoàn toàn nghiêm túc, trung thực của bản thân. Tất cả
các tài liệu tham khảo đều có xuất xứ rõ ràng và đƣợc trích dẫn hợp pháp.
Tôi xin hoàn toàn chịu trách nhiệm về nội dung và sự trung thực trong luận
văn tốt nghiệp Thạc sĩ của mình.

Thái Nguyên, ngày tháng năm 2012
Học viên



Nguyễn Thị Hồng Mai

ii



LỜI CẢM ƠN
Tôi xin chân thành cảm ơn TS. Nguyễn Cƣờng – ngƣời luôn chỉ bảo, hƣớng
dẫn, cung cấp những tài liệu quý báu, giúp đỡ tôi trong suốt quá trình học tập cũng
nhƣ quá trình hoàn thành luận văn này.
Tôi xin cảm ơn các thầy cô giáo Viện Công nghệ thông tin, các thầy cô
Trƣờng Đại học Công nghệ thông tin và Truyền thông, các bạn học viên lớp Cao
học CNTT và gia đình đã tạo điều kiện, giúp đỡ tôi về vật chất cũng nhƣ luôn động
viên tôi trong quá trình học tập và hoàn thành luận văn.

Thái Nguyên, ngày tháng năm 2012
Học viên




Nguyễn Thị Hồng Mai



i



MỤC LỤC
Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục i
Danh mục các chữ viết tắt iv
Danh mục bảng v
Danh mục hình vi
MỞ ĐẦU 1
CHƢƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 4
1.1. Giới thiệu 4
1.2. Các đặc điểm chính của ĐTĐM 6
1.2.1. Tự phục vụ theo nhu cầu 6
1.2.2. Nguồn tài nguyên tổng hợp 6
1.2.3. Mạng truy cập phong phú 6
1.2.4. Tính co dãn linh hoạt 6
1.2.5. Đo lường dịch vụ 6
1.3. Các mô hình dịch vụ của ĐTĐM 7
1.3.1. Phần mềm như một dịch vụ (Software as a Service - SaaS) 7
1.3.2. Nền tảng như một dịch vụ (Platform as a service - PaaS) 7
1.3.3. Hạ tầng như một dịch vụ (Infrastructure as a Service - IaaS) 8
1.4. Các mô hình triển khai trong ĐTĐM 8

1.4.1. Đám mây công cộng (Public Cloud) 8
1.4.2. Đám mây riêng (Private Cloud) 9
1.4.3. Đám mây cộng đồng (Community Cloud) 9
1.4.4. Đám mây lai (Hybrid Cloud) 9
1.5. Bảo mật trong ĐTĐM 10
1.5.1. Các thách thức bảo mật trong ĐTĐM 11
1.5.2. Chứng nhận SSL – chìa khóa để bảo mật ĐTĐM 12
ii



1.5.3. Các vấn đề cần quan tâm trong bảo mật ĐTĐM 14
CHƢƠNG 2: MỞ RỘNG KHUNG LÀM VIỆC QUẢN LÝ RỦI RO 17
2.1. Các khía cạnh nghiên cứu liên quan bảo mật trong ĐTĐM 17
2.1.1. Khía cạnh tác vụ hệ thống 17
2.1.2. Khía cạnh vị trí dữ liệu 19
2.1.3. Khía cạnh bảo vệ dữ liệu 20
2.2. Một số quy tắc và các chuẩn bảo mật thông tin hiện nay 21
2.2.1. Các tiêu chuẩn và quy tắc bảo mật thông tin của NIST 22
2.2.2. Framework quản lý rủi ro (NIST) 23
2.3. Mở rộng framework quản lý rủi ro 25
CHƢƠNG 3: KHUNG LÀM VIỆC BẢO VỆ TÍNH BÍ MẬT CỦA THÔNG TIN
TRONG ĐIỆN TOÁN ĐÁM MÂY 27
3.1. Xác định mục tiêu hệ thống thông tin trong kinh doanh 29
3.2. Phân tích ảnh hƣởng của kinh doanh 30
3.3. Phân loại dữ liệu và hệ thống 31
3.3.1. Bước 1: Xác định loại thông tin 32
3.3.2. Bước 2: Lựa chọn các mức độ ảnh hưởng tạm thời 32
3.3.3. Bước 3: Đánh giá các mức độ ảnh hưởng tạm thời, điều chỉnh và hoàn
thiện 32

3.3.4. Bước 4: Chỉ định loại hệ thống kiểm soát 33
3.4. Lựa chọn hệ thống kiểm soát bảo mật 34
3.4.1. Lựa chọn các kiểm soát bảo mật cơ sở 37
3.4.2. Điều chỉnh kiểm soát bảo mật cơ sở 40
3.4.3. Bổ sung các kiểm soát bảo mật phù hợp 41
3.5. Các hạn chế của kiểm soát đám mây 42
3.5.1. Những hạn chế của kiểm soát bảo mật cơ sở 45
3.5.2. Các hạn chế của kiểm soát bảo mật không bắt buộc 47
3.5.3. Ba hạn chế chung của bảo mật 49
3.6. Các giải pháp bảo mật trong đám mây 56
iii



CHƢƠNG 4: ỨNG DỤNG KHUNG LÀM VIỆC TẠI CÔNG TY CỔ PHẦN
TRỌN GÓI 60
4.1. Giới thiệu công ty Cổ phần Trọn gói (Trongoi Corporation) 60
4.2. Phân tích ảnh hƣởng của kinh doanh 60
4.3. Phân loại dữ liệu và hệ thống của công ty 61
4.4. Lựa chọn hệ thống kiểm soát bảo mật và giải pháp bảo mật trong đám mây 64
4.4.1 Lựa chọn hệ thống kiểm soát bảo mật 64
4.4.2. Lựa chọn giải pháp bảo mật trong đám mây 65
KẾT LUẬN 66
TÀI LIỆU THAM KHẢO 67
PHỤ LỤC
iv



DANH MỤC CÁC TỪ VIẾT TẮT

STT
TỪ VIẾT TẮT
NỘI DUNG
1
ĐTĐM
Điện toán đám mây
2
BCP
Business Continuity Planning
3
BIA
Business Impact Analysis
4
CCCF
Cloud Computing Confidentiality Framework
5
CIA
Confidentiality, Integrity and Availability
6
EU
European Union
7
FIPS
Federal Information Processing Standard
8
IaaS
Infrastructure as a Service
9
ISO
International Organization for Standardization

10
IT
Information Technology
11
NIST
National Institute of Standarts and Technology
12

NSA
National Security Agency
13
PaaS
Platform as a service
14
Saas
Software as a Service
15
SSL
Secure Sockets Layer


v



DANH MỤC BẢNG
Bảng 1.1. Tóm tắt các mô hình triển khai trong đám mây 10
Bảng 2.1. Các tiêu chuẩn và quy tắc bảo mật thông tin liên quan của NIST 23
Bảng 3.1. FIPS 199 phân loại thông tin và hệ thống thông tin về bảo mật [5] 32
Bảng 3.2. Các nhóm kiểm soát bảo mật 36

Bảng 3.3. Ánh xạ các nhóm kiểm soát kỹ thuật với các giải pháp bảo vệ dữ liệu 37
Bảng 3.4. Các khuyến cáo kiểm soát kỹ thuật cơ sở cho các mức ảnh hƣởng hệ
thống thông tin [11] 39
Bảng 3.5 Các nhóm ngƣời sử dụng truy cập vào hệ thống thông tin 43
Bảng 3.6. Các hạn chế của kiểm soát bảo mật cơ sở 46
Bảng 3.7. Các hạn chế kiểm soát cơ sở phân loại theo không gian và mức độ ảnh
hƣởng 47
Bảng 3.8. Các giới hạn kiểm soát không bắt buộc 49


vi



DANH MỤC HÌNH
Hình 1.1. Mô hình điện toán đám mây 5
Hình 1.2. Các mô hình dịch vụ của ĐTĐM 7
Hình 1.3. Các mô hình triển khai trong đám mây 8
Hình 2.1. Chủ sở hữu kiểm soát dữ liệu phụ thuộc vào vị trí dữ liệu 19
Hình 2.2. Các giải pháp bảo mật theo khía cạnh bảo vệ dữ liệu 21
Hình 2.3. Framework quản lý rủi ro (NIST) 24
Hình 2.4. Giải pháp mở rộng framework quản lý rủi ro 26
Hình 3.1. Mô hình framework bảo vệ tính bí mật của thông tin trong ĐTĐM 29
Hình 3.2. Quy trình phân loại bảo mật của NIST [7] 31
Hình 3.4. Quy trình lựa chọn kiểm soát bảo mật 37
Hình 3.5. Sự phân loại truy cập theo các kiểu kết nối 44
Hình 3.6. Tổng quát các hạn chế của kiểm soát 49
Hình 3.7. Nhận thức chung về ĐTĐM 56
Hình 3.8. Nhận thức về đám mây công cộng khi đáp ứng các yêu cầu bảo mật của
chủ sở hữu dữ liệu 57

Hình 4.1. Sơ đồ tổ chức Công ty Cổ phần Trọn Gói 62

vi
1



MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay đối với bất kỳ một doanh nghiệp lớn, nhỏ, nhà nƣớc hay tƣ nhân
muốn tồn tại và phát triển, muốn biến thông tin thành tài sản chiến lƣợc để phát
triển kinh doanh thì việc quản lý tốt và hiệu quả dữ liệu của riêng công ty cũng nhƣ
dữ liệu khách hàng, đối tác là một trong những bài toán đƣợc ƣu tiên hàng đầu. Để
có thể quản lý đƣợc nguồn dữ liệu đó, theo truyền thống ban đầu các doanh nghiệp
phải đầu tƣ tính toán rất nhiều loại chi phí nhƣ chi phí cho phần cứng, phần mềm,
mạng, chi phí cho quản trị viên, chi phí bảo trì, sửa chữa,… Ngoài ra họ còn phải
tính toán khả năng mở rộng, nâng cấp thiết bị, phải kiểm soát việc bảo mật dữ liệu
cũng nhƣ tính sẵn sàng cao của dữ liệu. Để giải quyết đƣợc tất cả các vấn đề trên sẽ
tiêu tốn rất nhiều nguồn lực và công sức của các doanh nghiệp.
Với sự phát triển không ngừng của công nghệ thông tin, mô hình điện toán
đám mây ra đời đã giải quyết đƣợc phần lớn các vấn đề mà các doanh nghiệp đang
gặp phải. Điện toán đám mây (Cloud computing), còn gọi là điện toán máy chủ ảo,
là mô hình tính toán sử dụng các công nghệ máy tính và phát triển dựa vào
mạng Internet. Ở mô hình điện toán đám mây, mọi khả năng liên quan đến công
nghệ thông tin đều đƣợc cung cấp dƣới dạng các ―dịch vụ‖, cho phép ngƣời sử
dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó trong ―đám mây‖
mà không cần phải có các kiến thức, kinh nghiệm về công nghệ đó, cũng nhƣ
không cần quan tâm đến các cơ sở hạ tầng phục vụ cho công nghệ.
Song song với những ƣu điểm nổi trội trên thì vấn đề bảo mật dữ liệu trong
―đám mây‖ là mối quan tâm rất lớn của tất cả những ngƣời sử dụng, các nhà phát

triển và cung cấp dịch vụ. Đặc biệt các doanh nghiệp (chủ sở hữu dữ liệu nhạy
cảm) sẽ rất không yên tâm khi dữ liệu nhạy cảm của họ nằm đâu đó trong đám
mây, ngoài tầm kiểm soát của họ. Nhận thấy tính thiết thực của vấn đề và với sự
định hƣớng của giáo viên hƣớng dẫn, em đã chọn đề tài ―Xây dựng khung làm
việc bảo vệ tính bí mật của thông tin trong điện toán đám mây‖ nhằm giải
quyết vấn đề bảo mật dữ liệu trong đám mây.
2



2. Mục tiêu nghiên cứu
- Nghiên cứu về các vấn đề bảo mật của điện toán đám mây.
- Nghiên cứu, xây dựng các bƣớc thực hiện trong khung làm việc (framework)
nhằm đảm bảo đƣợc an toàn cho dữ liệu khi các dịch vụ đƣợc thực hiện trên nền
đám mây.
- Áp dụng kết quả nghiên cứu để thực hiện thử nghiệm framework trong doanh
nghiệp sử dụng các dịch vụ của điện toán đám mây.
3. Đối tƣợng và phạm vi nghiên cứu
- Những phân loại bảo mật đƣợc sử dụng và các yêu cầu bảo mật về mặt bí mật
thông tin (confidentiality) trong điện toán đám mây.
- Kiến trúc đám mây sẵn có và các kiểm soát bảo mật về mặt bí mật thông tin.
- Cách phân loại kiến trúc đám mây theo theo tiêu chí bí mật thông tin.
- Xây dựng một framework để làm rõ các tác động của điện toán đám mây lên sự
bảo toàn tính bí mật của thông tin.
4. Phƣơng pháp nghiên cứu
- Nghiên cứu lý thuyết về mô hình điện toán đám mây, bảo mật thông tin trong điện
toán đám mây.
- Thiết kế, đặc tả, xây dựng framework bảo đảm tính bí mật của thông tin trong
điện toán đám mây.
5. Ý nghĩa khoa học và thực tiễn của đề tài

- Làm cơ sở để triển khai các giải pháp bảo mật dữ liệu trong điện toán đám mây.
- Góp phần làm giảm thiểu khả năng rủi ro về tính an toàn cho dữ liệu của các cá
nhân, tổ chức hay doanh nghiệp khi sử dụng các dịch vụ của điện toán đám mây.
6. Bố cục của luận văn
Luận văn gồm 4 chƣơng:
- Chƣơng 1: Tổng quan về điện toán đám mây, trình bày một số khái niệm về
điện toán đám mây, các đặc điểm chính, các mô hình dịch vụ, các mô hình triển
khai và các vấn đề bảo mật của điện toán đám mây.
3



- Chƣơng 2: Mở rộng framework quản lý rủi ro, trình bày về các khía cạnh
nghiên cứu liên quan tới bảo mật trong đám mây, mở rộng framework quản lý rủi
ro của NIST.
- Chƣơng 3: Xây dựng framework bảo vệ tính bí mật của thông tin trong điện
toán đám mây, trình bày về 6 bƣớc cơ bản trong framework:
1) Xác định các hệ thống thông tin đƣợc sử dụng trong tổ chức;
2) Xác định các loại dữ liệu đƣợc sử dụng trong mỗi hệ thống thông tin;
3) Phân loại các kiểu dữ liệu và sử dụng phân loại dữ liệu để phân loại các hệ
thống thông tin;
4) Chọn và điều chỉnh kiểm soát bảo mật dựa trên việc phân loại các hệ thống
thông tin;
5) Xác định các vấn đề xảy ra khi các kiểm soát bảo mật đƣợc yêu cầu trong
môi trƣờng điện toán đám mây;
6) Xác định các môi trƣờng điện toán đám mây hỗ trợ kiểm soát bảo mật cần
thiết hoặc đối phó với những hạn chế đƣợc xác định trong bƣớc 5.
- Chƣơng 4: Ứng dụng framework tại Công ty Cổ phần Trọn gói, trình bày các
bƣớc thực hiện khi ứng dụng framework đƣợc xây dựng ở chƣơng 3 vào hoạt động
của công ty nhằm đảm bảo an toàn cho dữ liệu khi công ty tham gia vào môi trƣờng

điện toán đám mây.

4



CHƢƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1. Giới thiệu
Điện toán đám mây (ĐTĐM) là thuật ngữ chung cho nhóm ngành công nghệ
thông tin (IT), nó làm thay đổi bộ mặt của IT nhƣ việc cung cấp dịch vụ, cách truy
cập và cả cách thanh toán. Một số công nghệ hỗ trợ thì đã có trƣớc đó nhƣng chính
sự kết hợp này đã tạo ra một cách thức hoàn toàn mới trong việc sử dụng IT.
Trong mô hình điện toán truyền thống, các cá nhân, doanh nghiệp sẽ xây
dựng riêng cơ sở hạ tầng kỹ thuật để tự cung cấp các dịch vụ cho hoạt động thông
tin đặc thù của mình. Với mô hình này, mọi thông tin sẽ đƣợc lƣu trữ, xử lý nội bộ
và họ sẽ trả tiền để triển khai, duy trì cơ sở hạ tầng đó (mua thiết bị phần cứng,
phần mềm chuyên dụng, trả lƣơng cho bộ phận điều hành ).
Khác với mô hình điện toán truyền thống, trong mô hình ĐTĐM mọi khả
năng liên quan đến công nghệ thông tin đều đƣợc cung cấp dƣới dạng các ―dịch
vụ‖, cho phép ngƣời sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp
nào đó trong ―đám mây‖ mà không cần phải có các kiến thức, kinh nghiệm về công
nghệ đó, cũng nhƣ không cần quan tâm đến các cơ sở hạ tầng phục vụ cho công
nghệ. Mọi công nghệ, kỹ thuật, cơ sở hạ tầng cũng nhƣ chi phí triển khai trong đám
mây sẽ do nhà cung cấp đảm bảo xây dựng và duy trì. Do đó, thay vì phải đầu tƣ từ
ban đầu mất rất nhiều tiền cho chi phí xây dựng cơ sở hạ tầng riêng, các cá nhân,
doanh nghiệp trong quá trình hoạt động sẽ chỉ phải trả số tiền vừa đủ theo nhu cầu
sử dụng của mình (pay-for-what-you-use). Nhƣ vậy mô hình này có rất nhiều lợi
ích nhƣ sử dụng hợp lý nguồn vốn, điều hòa chi tiêu theo thực tế sử dụng, luôn
hƣởng năng suất tính toán theo cam kết của nhà cung cấp dịch vụ, tận dụng đƣợc
sức mạnh của Internet và các siêu máy tính, giảm cơ bản trách nhiệm quản lý hệ

thống CNTT nội bộ.
Sự phát triển mạnh mẽ của ĐTĐM đã thu hút rất nhiều nhà khoa học, các
trƣờng đại học, các công ty chuyên về CNTT đầu tƣ nghiên cứu và đã có rất nhiều
cuộc thảo luận xem ĐTĐM chính xác là gì? Hiện tại có nhiều định nghĩa khác nhau
về ĐTĐM và mỗi định nghĩa đƣợc hình thành theo cách hiểu, cách tiếp cận riêng.
5




Hình 1.1. Mô hình điện toán đám mây
Theo Rajkumar Buyya, ĐTĐM là một loại hệ thống phân bố và xử lý song
song gồm các máy tính ảo kết nối với nhau và được cung cấp động cho người dùng
như một hoặc nhiều tài nguyên đồng nhất dựa trên sự thỏa thuận dịch vụ giữa nhà
cung cấp và người sử dụng [2].
Còn theo Viện công nghệ và tiêu chuẩn Hoa Kỳ (NIST), ĐTĐM là một mô
hình cho phép truy cập mạng theo nhu cầu một cách dễ dàng tới một khu vực được
chia sẻ các tài nguyên tính toán có thể cấu hình được (như là các mạng, các máy
chủ, ổ lưu trữ, các ứng dụng, các dịch vụ) mà có thể được cung cấp và triển khai
nhanh chóng với nỗ lực quản lý tối thiểu hoặc tương tác với nhà cung cấp dịch vụ
[10 ].
Cho dù ĐTĐM đƣợc hiểu và tiếp cận bởi cách nào thì nó vẫn mang một bản
chất chung là khả năng co giãn linh hoạt, sự tiện lợi không phụ thuộc địa lý. ĐTĐM
cung cấp các dịch vụ thông qua Internet, tài nguyên của nhà cung cấp dịch vụ đƣợc
dùng chung, tự phục vụ theo nhu cầu, chỉ trả chi phí cho những gì mình dùng, do
đó làm giảm tối đa chi phí cho ngƣời sử dụng. Chính điều này thu hút sự quan tâm
6




của không chỉ các nhà khoa học, các nhà nghiên cứu mà còn rất nhiều doanh
nghiệp, ngƣời dùng phổ thông đã và đang bƣớc chân vào môi trƣờng ĐTĐM.
1.2. Các đặc điểm chính của ĐTĐM
1.2.1. Tự phục vụ theo nhu cầu
Nguồn tài nguyên trong ĐTĐM có thể đƣợc mua và hủy bỏ bởi ngƣời tiêu
dùng mà không cần có thêm sự tƣơng tác nào của con ngƣời với các nhà cung cấp
dịch vụ đám mây. Quá trình tự động này làm giảm chi phí về nhân sự của các nhà
cung cấp đám mây, đồng thời chi phí và giá thành của các dịch vụ cũng giảm
xuống đáng kể.
1.2.2. Nguồn tài nguyên tổng hợp
Bằng cách sử dụng một kỹ thuật gọi là ―ảo hóa‖, các nhà cung cấp đám mây
tạo kho tài nguyên chung trên máy tính. Kho tài nguyên chung này cho phép chia
sẻ các nguồn tài nguyên ảo và vật lý của nhiều ngƣời tiêu dùng, tự động phân bổ và
giải phóng các nguồn lực theo nhu cầu tiêu dùng. Ngƣời tiêu dùng thƣờng không
biết chính xác vị trí vật lý của các nguồn tài nguyên đang đƣợc sử dụng trừ khi họ
yêu cầu để giới hạn các vị trí vật lý của dữ liệu nhằm đáp ứng các yêu cầu về pháp
lý.
1.2.3. Mạng truy cập phong phú
Dịch vụ đám mây có thể truy cập qua mạng thông qua giao diện chuẩn hóa,
cho phép truy cập dịch vụ không chỉ bởi các thiết bị phức tạp nhƣ máy tính cá
nhân, mà còn bởi các thiết bị trọng lƣợng nhẹ nhƣ điện thoại thông minh.
1.2.4. Tính co dãn linh hoạt
Các nguồn tài nguyên trong ĐTĐM luôn luôn sẵn sàng khi nhu cầu thực tế
tăng nhanh và giảm khi cần thiết. Khi nhu cầu tăng cao, hệ thống sẽ tự mở rộng
bằng cách thêm tài nguyên vào và khi nhu cầu giảm xuống, hệ thống sẽ tự giảm bớt
tài nguyên.
1.2.5. Đo lường dịch vụ
ĐTĐM cho phép đo lƣờng các nguồn lực đƣợc sử dụng, nhƣ trong tính toán
hữu ích. Các phép đo có thể đƣợc sử dụng để cung cấp thông tin tài nguyên hiệu
7




quả cho đám mây và có thể đƣợc sử dụng để cung cấp cho ngƣời tiêu dùng một mô
hình thanh toán dựa trên phƣơng thức ―trả - sử dụng‖ (pay-per-use), ngƣời tiêu
dùng có thể đƣợc lập hoá đơn cho khối lƣợng truyền dữ liệu, số giờ dùng trên một
dịch vụ hoặc dung lƣợng dữ liệu đƣợc lƣu trữ trong mỗi tháng.
1.3. Các mô hình dịch vụ của ĐTĐM
Có ba loại dịch vụ ĐTĐM cơ bản bao gồm: phần mềm nhƣ một dịch vụ, nền
tảng nhƣ một dịch vụ và cơ sở hạ tầng nhƣ một dịch vụ.

Hình 1.2. Các mô hình dịch vụ của ĐTĐM
1.3.1. Phần mềm như một dịch vụ (Software as a Service - SaaS)
Các mô hình dịch vụ SaaS cung cấp các dịch vụ nhƣ các ứng dụng cho
ngƣời tiêu dùng, bằng cách sử dụng giao diện chuẩn hóa.Các nhà cung cấp phần
mềm dịch vụ sẽ sở hữu phần mềm này và chạy phần mềm đó trên hệ thống máy
tính ở trung tâm dữ liệu của nhà cung cấp. Họ chịu trách nhiệmcho việc quản lý
ứng dụng, hệ thống điều hành và cơ sở hạ tầng cơ bản. Ngƣời sử dụng không sở
hữu phần mềm này nhƣng họ có thể thuê nó để tiết kiệm chi phí cho việc mua máy
chủ và bản quyền phần mềm do đó họ chỉ có thể kiểm soát một số thiết lập cấu hình
ứng dụng cụ thể.
1.3.2. Nền tảng như một dịch vụ (Platform as a service - PaaS)
Các mô hình dịch vụ PaaS cung cấp các dịch vụ nhƣ là nền tảng hoạt động
và phát triển cho ngƣời tiêu dùng. Ngƣời tiêu dùng có thể sử dụng nền tảng phát
triển và chạy các ứng dụng riêng của mình, đƣợc hỗ trợ bởi một cơ sở hạ tầng dựa
trên đám mây. ―Ngƣời tiêu dùng không quản lý hoặc kiểm soát các cơ sở hạ tầng
8




ĐTĐM nằm bên dƣới bao gồm cả mạng, máy chủ, hệ thống điều hành, hoặc lƣu
trữ, nhƣng có kiểm soát các ứng dụng triển khai và có thể là môi trƣờng ứng dụng
cấu hình lƣu trữ‖ [10].
1.3.3. Hạ tầng như một dịch vụ (Infrastructure as a Service - IaaS)
Các mô hình dịch vụ IaaS là mô hình dịch vụ thấp nhất trong ngăn xếp công
nghệ, cung cấp các nguồn lực cơ sở hạ tầng nhƣ một dịch vụ nhƣ khả năng xử lý dữ
liệu, dung lƣợng lƣu trữ và dung lƣợng mạng. Ngƣời tiêu dùng có thể sử dụng IaaS
cung cấp dịch vụ dựa trên triển khai các hệ điều hành và các ứng dụng của mình,
Iaas cung cấp cho ngƣời tiêu dùng một loạt khả năng triển khai rộng hơn PaaS và
SaaS. Ngƣời tiêu dùng không quản lý hoặc kiểm soát các cơ sở hạ tầng ĐTĐM nằm
bên dƣới nhƣng có kiểm soát hệ thống điều hành, lƣu trữ, ứng dụng triển khai và có
thể giới hạn kiểm soát của các thành phần mạng.
1.4. Các mô hình triển khai trong ĐTĐM

Hình 1.3. Các mô hình triển khai trong đám mây
1.4.1. Đám mây công cộng (Public Cloud)
Đám mây công cộng đƣợc sở hữu và điều hành bởi một nhà cung cấp dịch
vụ đám mây độc lập. Cơ sở hạ tầng nằm trên mặt bằng của nhà cung cấp, cũng
chính là ngƣời sở hữu và quản lý cơ sở hạ tầng ĐTĐM. Nó đem lại lợi ích kinh tế
có thể là lớn nhất trong các mô hình ĐTĐM cho ngƣời sử dụng bởi chi phí về cơ
9



sở hạ tầng đƣợc chia sẻ giữa một số lƣợng lớn ngƣời sử dụng dựa trên dịch vụ quy
mô lớn cho công chúng. Tuy nhiên ngƣời sử dụng đám mây công cộng đƣợc coi là
không đáng tin cậy, có nghĩa họ không gắn với tổ chức nhƣ các nhân viên và họ
cũng không có thoả thuận hợp đồng với nhà cung cấp.
1.4.2. Đám mây riêng (Private Cloud)
Các đám mây riêng phục vụ một tổ chức duy nhất, nơi mà các nguồn tài

nguyên không đƣợc chia sẻ bởi bất kỳ một tổ chức nào khác. Điều này giúp cho
doanh nghiệp có thể kiểm soát tối đa đối với dữ liệu, bảo mật và đảm bảo chất
lƣợng dịch vụ. Doanh nghiệp sở hữu cơ sở hạ tầng và quản lý các ứng dụng đƣợc
triển khai trên đó. Mô hình đám mây riêng có thể đƣợc xây dựng và quản lý bởi
chính đội ngũ CNTT của doanh nghiệp hoặc có thể thuê một nhà cung cấp dịch vụ
đảm nhiệm công việc này.
1.4.3. Đám mây cộng đồng (Community Cloud)
Các đám mây cộng đồng phục vụ một cộng đồng của các tổ chức, có đặc
điểm triển khai giống nhƣ các đám mây riêng. Cộng đồng ngƣời dùng đƣợc coi là
đáng tin cậy vì họ chính là một phần trong cộng đồng đó.
1.4.4. Đám mây lai (Hybrid Cloud)
Các đám mây lai là một sự kết hợp của các đám mây công cộng, đám mây
riêng và đám mây cộng đồng. Các đám mây lai tận dụng các ƣu điểm trong mỗi mô
hình của ĐTĐM. Mỗi một phần của một đám mây lai đƣợc kết nối đến một
gateway, kiểm soát các ứng dụng và lƣu lƣợng dữ liệu trong mỗi một phần khác.
Trƣờng hợp các đám mây riêng và cộng đồng đƣợc quản lý, sở hữu và nằm trên
một trong hai tổ chức hoặc nhà cung cấp thứ ba thì nó sẽ mang những đặc điểm của
các tổ chức và nhà cung cấp đó. Ngƣời sử dụng của các đám mây lai có thể đƣợc
coi là đáng tin cậy và không tin cậy. Ngƣời dùng không tin cậy bị ngăn chặn truy
cập vào những phần tài nguyên riêng và cộng đồng của các đám mây lai.
Bảng 1.1 tóm tắt bốn mô hình triển khai trong ĐTĐM. Tuy nhiên trong thực
tế có thể còn có các mô hình khác. Ví dụ: Amazon cung cấp các đám mây riêng ảo
10



sử dụng đám mây công cộng một cách riêng, kết nối tài nguyên ĐTĐM công cộng
để tổ chức mạng nội bộ.
Các mô hình
ĐTĐM

Quản lý bởi
Sở hữu hạ tầng
bởi
Vị trí hạ
tầng
Khả năng
truy cập và
sử dụng
Đám mây công cộng
Nhà cung cấp thứ 3
Nhà cung cập thứ 3
Từ xa
Không tin cậy
Đám mây riêng/
Đám mây cộng đồng
Nhà cung cấp thứ 3
Tổ chức
Nhà cung cấp thứ 3
Tổ chức
Từ xa
Cục bộ
Tin cậy
Đám mây lai
Tổ chức &
Nhà cung cấp thứ 3
Tổ chức &
Nhà cung cấp thứ 3
Cục bộ &
Từ xa
Tin cậy&

Không tin cậy
Bảng 1.1. Tóm tắt các mô hình triển khai trong đám mây
Các tổ chức an ninh trong ĐTĐM đã chỉ ra rằng rất khó để mô tả toàn bộ dịch vụ
đám mây chỉ bằng một từ bởi vì nó luôn mô tả các yếu tố sau đây:
• Ai quản lý
• Ai sở hữu nó
• Vị trí
• Ai có quyền truy cập vào nó
• Làm thế nào để truy cập
Các câu trả lời cho câu hỏi trên mang các đặc trƣng riêng của các nhà cung
cấp dịch vụ đám mây. Điều cần lƣu ý là các đặc điểm trên mô tả cách các dịch vụ
đám mây đƣợc triển khai, thƣờng đƣợc sử dụng thay thế cho nhau với quan niệm
riêng của nơi đƣợc cung cấp. Có nhiều dịch vụ truyền thống đƣợc cung cấp và
thƣờng đƣợc mô tả theo các nhóm về vị trí ranh giới bảo mật của các nhà cung cấp
dịch vụ. Ranh giới bảo mật giữa các mạng thƣờng đƣợc thực hiện là tƣờng lửa. Khi
chúng ta xem xét các dịch vụ đám mây, tƣờng lửa đƣợc sử dụng nhƣ một ranh giới
rõ ràng của bảo mật và đây là một khái niệm đã lỗi thời sẽ đƣợc giải thích trong
phần tiếp theo.
1.5. Bảo mật trong ĐTĐM
Mặc dù lợi ích của ĐTĐM là không thể phủ nhận nhƣng các doanh nghiệp
vẫn có những quan ngại nhất định liên quan đến rủi ro về tính an toàn dữ liệu, sự
11



gián đoạn khi truy cập và các rào cản kỹ thuật… Trong phần này sẽ trình bày về
các khía cạnh của bảo mật liên quan đến một loạt công nghệ và các rủi ro khác
nhau xoay quanh ĐTĐM.
1.5.1. Các thách thức bảo mật trong ĐTĐM
Kiểm soát bảo mật cơ sở hạ tầng thông thƣờng đƣợc thiết kế cho phần cứng

chuyên dụng không phải lúc nào ánh xạ tốt vào trong môi trƣờng ĐTĐM. Kiến
trúc đám mây phải có sẵn các chính sách bảo mật và các quy định đƣợc xây dựng
tốt. Khả năng tƣơng tác đầy đủ với các kiểm soát bảo mật chuyên dụng hiện tại
dƣờng nhƣ không có, do đó phải có một số mức độ tƣơng thích giữa sự bảo vệ
trong bảo mật mới đƣợc thiết kế đặc biệt cho các môi trƣờng ĐTĐM và kiểm soát
bảo mật truyền thống.
Bảo mật đám mây đƣợc tích hợp
Môi trƣờng truyền thống phân đoạn máy chủ vật lý với VLAN. Môi trƣờng
đám mây nên dùng phƣơng pháp tƣơng tự và việc phân đoạn VLAN thông qua cấu
hình nhóm cổng. Vì đây là những máy chủ vật lý, lƣu lƣợng thông tin đƣợc xử lý
có thể nhìn thấy dựa trên các thiết bị bảo vệ bảo mật mạng truyền thống , chẳng hạn
nhƣ hệ thống phòng chống xâm nhập trên mạng (IPS). Các mối quan tâm trong môi
trƣờng ĐTĐM là vấn đề hiển thị giới hạn khả năng cung cấp của IPS trong lƣu
lƣợng thông tin đƣợc trao đổi ở các máy liên ảo.
Bảo mật nhóm trong đám mây
Một trong những lợi thế chính của ĐTĐM là doanh nghiệp có thể di chuyển
các ứng dụng bao gồm một số máy ảo tới các nhà cung cấp đám mây khi môi
trƣờng vật lý đòi hỏi phải bổ sung việc xử lý hoặc các tài nguyên tính toán. Những
nhóm máy ảo cần có các chính sách bảo mật và khả năng phục hồi cơ bản để di
chuyển tới đám mây. Khi một máy ảo di chuyển, nếu chính sách bảo mật không đi
cùng với nó, những máy ảo trở nên dễ bị ảnh hƣởng.
Phòng thủ chiều sâu
Chiến lƣợc bảo đảm về phạm vi bảo mật đã phát triển đáng kể trong vài năm
qua. Ngày nay, hầu hết các doanh nghiệp đã triển khai chiến lƣợc phòng thủ theo
12



lớp nhƣng sự ảo hóa máy chủ có thể mang lại những vấn đề phức tạp. Trong một
nỗ lực để củng cố máy chủ, nhiều tổ chức đã gây ra sự tổn hại đến chính bản thân

vì sự tồn tại của các máy liên ảo bởi vì nếu một máy ảo bị đột nhập thì sau đó tất cả
các máy ảo khác nằm cùng phần của mạng ảo có thể bị ảnh hƣởng mà không có ai
phát hiện ra nó.
1.5.2. Chứng nhận SSL – chìa khóa để bảo mật ĐTĐM
SSL (Secure Sockets Layer) là một giao thức bảo mật đƣợc sử dụng bởi các
trình duyệt web và máy chủ web để giúp ngƣời dùng bảo vệ dữ liệu của họ trong
lúc truyền dữ liệu. SSL là tiêu chuẩn cho việc thiết lập các trao đổi tin cậy của
thông tin trên Internet. Nếu không có SSL thì không có bất kỳ sự tin cậy nào trên
Internet. SSL tham gia vào bất cứ sự dịch chuyển thông tin nào. Nếu một doanh
nghiệp để dữ liệu trong các đám mây, việc truy cập an toàn là rất quan trọng. Hơn
nữa, dữ liệu mà có thể để di chuyển giữa các máy chủ trong các đám mây khi các
nhà cung cấp dịch vụ thực hiện các chức năng quản lý thƣờng xuyên. Trong nội
dung tiếp theo các phƣơng pháp khác nhau mà SSL có thể bảo mật ĐTĐM đƣợc
làm sáng tỏ.
SSL bảo vệ đám mây nhƣ thế nào?
Cách ly dữ liệu và đảm bảo truy cập các dịch vụ đám mây
Những rủi ro về sự chia tách dữ liệu luôn hiện diện trong việc lƣu trữ trên
đám mây. Với việc lƣu trữ tại chỗ truyền thống, các chủ doanh nghiệp chủ sở hữu
luôn kiểm soát chính xác cả vị trí và việc truy cập vào dữ liệu. Trong môi trƣờng
ĐTĐM, điều này đã đƣợc thay đổi một cách căn bản: các nhà cung cấp dịch vụ
đám mây kiểm soát vị trí của máy chủ và dữ liệu. Tuy nhiên, việc cài đặt SSL đúng
đắn có thể bảo vệ dữ liệu nhạy cảm nhƣ nó đang đƣợc truyền đi từ nơi này đến nơi
khác trong các đám mây và giữa các máy chủ cung cấp dịch vụ ĐTĐM và ngƣời
dùng cuối trên các trình duyệt.
 Mã hóa: Các doanh nghiệp nên yêu cầu nhà cung cấp dịch vụ ĐTĐM hỗ trợ
sử dụng kết hợp SSL và máy chủ, ở mức tối thiểu là mã hóa 128bit hoặc tốt
hơn là 256bit. Bằng cách này, dữ liệu của họ đƣợc đảm bảo với các mức tiêu
13




chuẩn mã hóa cao hoặc tốt hơn nữa khi dữ liệu đƣợc di chuyển giữa các máy
chủ hoặc giữa máy chủ và trình duyệt, nhờ đó ngăn chặn việc đọc, sử dụng
dữ liệu trái phép.
 Xác thực: Các doanh nghiệp cũng nên yêu cầu quyền sở hữu máy chủ đƣợc
xác thực trƣớc khi một bit dữ liệu bất kỳ đƣợc truyền giữa các server.
Chứng nhận SSL tự ký kết thì không cung cấp chứng thực. Chỉ có các chứng
nhận SSL của bên thứ 3 có thể cung cấp một cách hợp pháp quyền sở hữu
chứng thực. Yêu cầu mang tính thƣơng mại đã ban hành một giấy chứng
nhận SSL từ cơ quan thứ 3 ví dụ nhƣ việc chúng nhận máy chủ, điều này
làm cho không thể thiết lập một máy chủ giả mạo nào có thể xâm nhập vào
môi trƣờng của nhà cung cấp đám mây.
 Hiệu lực của chứng nhận: Khi một máy chủ và tên miền đƣợc xác thực, giấy
chứng nhận SSL cấp cho thiết bị đó sẽ có giá trị cho một khoảng thời gian
xác định. Trong một số rất ít trƣờng hợp, một chứng nhận SSL đã bị xâm
nhập bằng cách nào đó thì sẽ có một kiểm tra an toàn xác minh chứng chỉ đã
bị thu hồi trong thời gian kể từ khi nó đƣợc bắt đầu phát hành. Mỗi khi một
phiên SSL đƣợc bắt đầu, chứng nhận SSL đƣợc đối chứng với một cơ sở dữ
liệu hiện tại của chứng nhận bị thu hồi. Hiện nay có hai tiêu chuẩn đƣợc sử
dụng để kiểm tra tính hợp lệ: Chứng nhận trực tuyến Status Protocol (OCSP)
và Danh sách chứng nhận thu hồi (Certificate Revocation List - CRL). Với
OCSP một truy vấn đƣợc gửi đến cơ quan chứng nhận yêu cầu xác minh
chứng chỉ này đã bị thu hồi. Nếu câu trả lời là không có, những phiên giao
dịch mới có thể đƣợc bắt đầu.
Giám sát nguồn gốc dữ liệu
Đám mây công cộng nhƣ hộp đen: trong khi họ cho phép truy cập rộng khắp
tới những dữ liệu, họ cũng xáo trộn vị trí vật lý của các máy chủ và dữ liệu. Nhƣng
nếu một nhà cung cấp dịch vụ ĐTĐM sử dụng SSL để mã hóa dữ liệu khi nó thay
đổi địa điểm, doanh nghiệp có thể đƣợc đảm bảo rằng dữ liệu của nó sẽ đƣợc bảo
đảm khi nó di chuyển xung quanh các đám mây.

14



Sử dụng chứng nhận SSL để thiết lập sự tin cậy trong các đám mây
Nhà cung cấp dịch vụ đám mây luôn đòi hỏi một mức độ tin cậy cao. Các
ứng dụng kinh doanh quan trọng không thể mang ra thử nghiệm và bị lỗi. Các
doanh nghiệp phải nhấn mạnh tầm quan trọng của độ tin cậy để tạo sự tin tƣởng và
chứng nhận SSL luôn đƣợc cung cấp một cách rõ ràng và ngay lập tức có thể nhận
biết cách thức thực hiện. Nói cách khác, SSL bị mất hoặc hỏng có thể làm mất đi
niềm tin ngay lập tức.
Nhà cung cấp ĐTĐM nên sử dụng SSL từ cơ quan có thẩm quyền đáng tin
cậy, an toàn và uy tín. SSL nên cung cấp mã hóa tối thiểu 128-bit và tối ƣu 256-bit
dựa trên toàn bộ nguồn mới là 2048-bit và nó sẽ đòi hỏi một quá trình xác thực
nghiêm ngặt. Ngoài ra, một số nhà cung cấp có thể sử dụng các máy chủ với hệ
điều hành dựa trên Debian để tạo khóa SSL của họ. Giấy chứng nhận SSL có thể
đƣợc cấp với khoảng thời gian có hiệu lực đến sáu năm, vì vậy có thể là có SSL
nào đó đang có lỗ hổng nhƣng vẫn đang đƣợc sử dụng.
Khi lựa chọn một nhà cung cấp dịch vụ ĐTĐM, các doanh nghiệp cũng phải
có những điều kiện rõ ràng với các đối tác ĐTĐM về các vấn đề liên quan đến xử
lý và giảm thiểu các yếu tố nguy cơ không định đƣợc địa chỉ bởi SSL. Các doanh
nghiệp cần xem xét bảy loại đề nghị của Gartner [3] khi đánh giá hay sử dụng các
giải pháp ĐTĐM. Thẩm quyền ban hành SSL nên duy trì ở các trung tâm dữ liệu
với cấp độ quân sự và các trang web khắc phục thảm họa đƣợc tối ƣu hóa để bảo vệ
và đảm bảo tính sẵn sàng của dữ liệu.
1.5.3. Các vấn đề cần quan tâm trong bảo mật ĐTĐM
Trong kiểm soát bảo mật truyền thống thƣờng không có khả năng để xử lý
việc chuyển đổi từ các khu vực dữ liệu đƣợc xác định ranh giới và quyền truy cập
với các khu vực phức tạp, nơi việc truy cập là phổ biến, sự trao đổi thông tin phong
phú và dữ liệu thƣờng không rõ vị trí .

Với ĐTĐM, các tổ chức có thể sử dụng các dịch vụ lƣu trữ dữ liệu bên ngoài
khu vực của mình. Sự phát triển này đặt ra vấn đề bảo mật và tạo ra sự nghi vấn
trƣớc khi sử dụng dịch vụ. Trong bài viết của Brodkin đã thảo luận về một nghiên
15



cứu của Gartner trong đó chỉ bẩy lĩnh vực cần quan tâm xung quanh vấn đề bảo mật
ĐTĐM [3]:
Quyền truy cập của ngƣời sử dụng
Dữ liệu đƣợc lƣu trữ và xử lý bên ngoài doanh nghiệp sẽ mang lại một mức
rủi ro nào đó bởi vì dịch vụ thuê bên ngoài sẽ bỏ qua quyền điều khiển vật lý, logic
và nhân sự tối ƣu hóa hệ thống IT. Trong chƣơng trình ― Brodkin 2008‖ Brodkin đã
tƣ vấn có càng nhiều thông tin nhiều về ngƣời quản lý dữ liệu của bạn và việc điều
khiển họ thực hiện thì càng tốt‖ [3].
Tuân thủ quy định
Những ngƣời chủ sở hữu dữ liệu cần có trách nhiệm để đảm bảo cho sự toàn
vẹn và bảo mật dữ liệu của họ, ngay cả khi dữ liệu ở bên ngoài khu vực kiểm soát
trực tiếp của họ, đó là các nhà cung cấp dịch vụ bên ngoài nhƣ nhà cung cấp dịch
vụ ĐTĐM. Trƣờng hợp các nhà cung cấp dịch vụ truyền thống bắt buộc thực hiện
theo thỏa thuận và có xác nhận bảo mật, nhƣ vậy nhà cung cấp dịch vụ ĐTĐM từ
chối đƣa việc giám sát này sẽ là tín hiệu khiến khách hàng chỉ có thể sử dụng chúng
cho các chức năng đơn giản nhất.
Vị trí dữ liệu
Vị trí chính xác của dữ liệu trong đám mây thƣờng không cụ thể. Dữ liệu có
thể đƣợc đặt trong các hệ thống ở các nƣớc khác, điều đó có thể gây mâu thuẫn với
quy định cấm lƣu trữ lại một quốc gia hay liên bang. Gartner khuyên nên điều tra
khi các nhà cung cấp ĐTĐM cam kết giữ liệu trong khu vực pháp lý cụ thể và các
nhà cung cấp thực hiện cam kết trong hợp đồng theo các yêu cầu riêng của địa
phƣơng thay mặt cho khách hàng.

Chia tách dữ liệu
Sự chia sẻ, lƣu trữ dữ liệu chung mang lại đặc điểm quy mô lớn cho ĐTĐM.
Việc mã hóa thƣờng đƣợc sử dụng để cô lập dữ liệu với phần còn lại nhƣng nó
không phải là giải pháp cứu cánh. Với việc mã hóa nên có một đánh giá toàn diện
về các hệ thống mã hóa đƣợc thực hiện bởi các nhà cung cấp dịch vụ ĐTĐM. Một
chƣơng trình có mã hóa bị quản lý yếu kém thì gây ra vấn đề nghiêm trọng hơn là

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×