Tải bản đầy đủ (.doc) (95 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Nghiên cứu triển khai VPN trên đám mây Openstack

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.86 MB, 95 trang )

MỤC LỤC
MỤC LỤC
DANH MỤC CÁC CHỮ VIẾT TẮT
DANH MỤC HÌNH ẢNH
LỜI MỞ ĐẦU
Chương 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ
AN NINH AN TOÀN
1.1. Tổng quan về điện toán đám mây 1
1.1.1. Lịch sử và tình hình phát triển 1
1.1.2. Đặc điểm của điện toán đám mây 4
1.1.3. Mô hình kiến trúc điện toán đám mây 5
1.1.3.1. Phân lớp dịch vụ điện toán đám mây 5
1.1.3.2. Các mô hình triển khai đám mây 8
1.1.3.3. Đám mây cộng đồng 11
1.1.4. Khảo sát một số nhà cung cấp dịch vụ điện toán đám mây 11
1.1.4.1. Giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây 11
1.1.4.2. So sánh một số dịch vụ lưu trữ đám mây 13
1.2. Các nguy cơ mất an toàn thông tin trong điện toán đám mây 15
1.1.5. Các mối đe dọa từ bên trong 15
1.1.6. Các tấn công nguy hại từ bên ngoài 16
1.1.7. Mất mát dữ liệu 17
1.1.8. Gián đoạn dịch vụ 17
1.1.9. Mất quyền kiểm soát 18
1.3. Các hướng nghiên cứu bảo mật cho điện toán đám mây 19
1.1.10. Giới thiệu một số mô hình an toàn 19
1.1.11. An toàn liên quan đến kiến trúc của điện toán đám mây 22
Chương 2. XÂY DỰNG ĐÁM MÂY DỰA TRÊN MÃ NGUỒN MỞ
OPENSTACK
2.1. Giới thiệu phần mềm mã nguồn mở OpenStack 26
1.1.12. Lịch sử ra đời OpenStack 26
1.1.13. Các phiên bản của Openstack 27


2.2. Kiến trúc, thành phần của OpenStack 29
2.3. Cài đặt, triển khai OpenStack 31
2.4. Một số vấn đề an ninh an toàn trong OpenStack 35
Chương 3. TRIỂN KHAI VPN TRONG ĐIỆN TOÁN ĐÁM MÂY SỬ
DỤNG OPENSTACK
3.1. Sử dụng công nghệ VPN để bảo mật 39
Đồ án tốt nghiệp 2015 I Nguyễn Thái Hà – AT7A
1.1.14. Khái niệm VPN 39
1.1.15. VPN trong điện toán đám mây 40
3.1.2.1. Kiến trúc IP VPN an toàn động trong điện toán đám mây 40
3.1.2.2. Một số yêu cầu của IPSec VPN cho các dịch vụ cloud 43
3.1.2.3. Một số vấn đề với các kiến trúc IPSecVPN hiện nay 44
1.1.16. Đề xuất mô hình VPN động 45
3.2. Triển khai dịch vụ VPNaaS trong đám mây OpenStack 48
1.1.17. Mô hình tổng quan hệ thống Openstack 48
1.1.18. Cài đặt VPNaaS trên các nút OpenStack 49
1.1.19. Cấu hình VPNaaS 54
1.1.20. Thử nghiệm VPNaaS trong OpenStack 55
KẾT LUẬN
TÀI LIỆU THAM KHẢO
PHỤ LỤC A
Đồ án tốt nghiệp 2015 II Nguyễn Thái Hà – AT7A
DANH MỤC CÁC CHỮ VIẾT TẮT
Kí hiệu Thuật ngữ Ý nghĩa
ACL Access Control List Danh sách kiểm soát truy cập
API Application Programing Interface Giao diện lập trình ứng dụng
AWS Amazon Web Service Dịch vụ web của Amazon
CA Certification Authority Nhà cung cấp chứng thực số
DOS Denial of Service Từ chối dịch vụ
IaaS Infrastructure as a Service Cơ sở hạ tầng như một dịch vụ

IDS Intrusion Detection Systems Hệ thống phát hiện xâm nhập
IKE Internet Key Exchange Giao thức trao đổi khóa
IPS Intrusion Prevention Systems Hệ thống phòng chống xâm nhập
IPSec Internet Protocol Security Giao thức bảo mật mạng
IT Information Technology Công nghệ thông tin
OTP One Time Password Mật khẩu một lần
PaaS Platform as a Service Nền tảng như một dịch vụ
PKI Public Key Infrastructure Hạ tầng khóa công khai
SaaS Software as a Service Phần mềm như một dịch vụ
VNC Virtual Network Computing Mạng máy tính ảo
VPN Virtual Private Network Mạng riêng ảo
VPNaaS Virtual Private Network as a
Service
Mạng riêng ảo như một dịch vụ
WAN Wide Area Network Mạng diện rộng
Đồ án tốt nghiệp 2015 III Nguyễn Thái Hà – AT7A
DANH MỤC HÌNH ẢNH
Đồ án tốt nghiệp 2015 IV Nguyễn Thái Hà – AT7A
LỜI MỞ ĐẦU
Ngày nay, cùng với sự phát triển vũ bão của công nghệ thông tin, hệ thống
phần mềm ứng dụng, hệ thống máy chủ của các tổ chức doanh nghiệp ngày càng
tăng nhanh. Điều đó dẫn tới chi phí đầu tư cho hạ tầng công nghệ thông tin ngày
càng lớn, chi phí cho việc quản lý hệ thống cũng tăng lên. Để giảm thiểu được các
chi phí đó và tăng khả năng ứng dụng công nghệ thông tin trong sản xuất kinh
doanh của doanh nghiệp, điện toán đám mây là giải pháp đang được rất nhiều
doanh nghiệp lựa chọn. Bên cạnh những lợi ích to lớn mà điện toán đám mây đem
lại, nó cũng tồn tại một số hạn chế nhất định, nhất là trong vấn đề bảo mật dữ liệu
của người sử dụng. Trong thời đại ngày nay, nhiều thông tin, dữ liệu nhạy cả m có
giá trị rất to lớn, đôi khi nắm vai trò sống còn của một doanh nghiệp, vấn đề đảm
bảo bí mật cho những thông tin, dữ liệu như vậy khi lưu trữ trên đám mây của nhà

cung cấp dịch vụ lại càng trở nên quan trọng hơn bao giờ hết. Bên cạnh những dữ
liệu khi lưu trữ trên đám mây của nhà cung cấp dịch vụ, còn có những dữ liệu quan
trọng của khách hàng trao đổi với nhau thông qua các dịch vụ của điện toán đám
mây. Để đảm bảo an toàn cho các dữ liệu đó không rơi vào tay những người có
mục đích xấu. Thì vấn đề nghiên cứu bảo mật cho hệ thống điện toán đám mây là
điều rất quan trọng.
Đề tài “Nghiên cứu triển khai VPN trong điện toán đám mây sử dụng
OpenStack” nhằm mục đích nghiên cứu, xây dựng, đề xuất một số mô hình an
ninh cho hệ thống điện toán đám mây. Đồng thời triển khai thử nghiệm hệ thống
VPNaaS để đảm bảo an toàn thông tin trong điện toán đám mây sử dụng
OpenStack.
Nội dung đồ án gồm có 3 chương:
Chương 1: Tổng quan về điện toán đám mây và vấn đề an ninh an toàn.
Trong chương này sẽ trình bày một cách khái quát nhất về điện toán đám
mây (Cloud Computing). Phần này sẽ cho thấy rõ được các nguy cơ mất an toàn
Đồ án tốt nghiệp 2015 V Nguyễn Thái Hà – AT7A
trong điện toán đám mây nói chung đồng thời cũng nêu ra được một số hướng
nghiên cứu nhằm đảm bảo an toàn cho các hệ thống điện toán đám mây.
Chương 2: Xây dựng đám mây dựa trên mã nguồn mở OpenStack.
Trong chương 2, sẽ giới thiệu về phần mềm xây dựng đám mây IaaS dựa
trên mã nguồn mở OpenStack. Qua phần này sẽ có cái nhìn tổng quan nhất về đám
mây OpenStack về các vấn đề như: Kiến trúc thành phần OpenStack, cách cài đặt
triển khai một đám mây dựa trên mã nguồn mở, đồng thời có cái nhìn tổng quát
nhất về một số vấn đề an ninh an toàn trong đám mây OpenStack.
Chương 3: Triển khai VPN trong điện toán đám mây sử dụng
OpenStack.
Chương cuối cùng này sẽ trình bày về một số mô hình VPN sử dụng trong
điện toán đám mây. Đồng thời tiến hành cài đặt triển khai thử nghiệm dịch vụ
VPNaaS(VPN as a Service) trong đám mây OpenStack.
Trong quá trình nghiên cứu tìm hiểu, do một số nguyên nhân mà đề tài

không thể tránh khỏi những thiếu sót sai lầm. Rất mong nhận được sự góp ý của
các thầy cô, bạn bè. Qua đây em cũng xin chân thành cám ơn Thầy giáo,
ThS.Nguyễn Như Tuấn đã nhiệt tình giúp đỡ, cung cấp những tài liệu bổ ích giúp
em hoàn thành đề tài. Đồng thời em cũng xin gửi lời cám ơn đến bạn bè, gia đình
đã động viên và tạo điều kiện thuận lợi cho em trong suốt thời gian nghiên cứu.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Nguyễn Thái Hà

Đồ án tốt nghiệp 2015 VI Nguyễn Thái Hà – AT7A
CHƯƠNG 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN
ĐỀ AN NINH AN TOÀN.
Trong những năm trở lại đây, điện toán đám mây (cloud-computing) đang
trở thành một trong những thuật ngữ mà ngành công nghệ thông tin trên toàn thế
giới quan tâm nhất. Nhiều tổ chức lớn bắt đầu quan tâm đến việc khai thác và
nghiên cứu triển khai công nghệ này để giảm thiểu chi phí trong việc quản lý và cơ
sở hạ tầng như Google, IBM, và Amazon. Sự phát triển của điện toán đám mây sẽ
là bước ngoặt của ngành công nghệ thông tin, tương tự như sự ra đời của World
Wide Web hay là thương mại điện tử (e-commerce). Trong tương lai, sẽ có sự thay
đổi lớn trong lĩnh vực công nghệ thông tin, nơi mà các cơ sở hạ tầng công nghệ
thông tin , các ứng dụng, các tài nguyên, các công việc hỗ trợ được duy trì và hoạt
động bởi các nhà cung cấp công nghệ thông tin lớn và triển khai trên đám mây.
Trong chương này của đồ án sẽ trình bày cái nhìn tổng quan nhất về công nghệ
điện toán đám mây ở các khía cạnh như lịch sử ra đời, mô hình kiến trúc, các vấn
đề an ninh an toàn trong điện toán đám mây nói chung.
1.1. Tổng quan về điện toán đám mây.
1.1.1. Lịch sử và tình hình phát triển
Khái niệm về điện toán đám mây xuất hiện từ những năm 1960 trở lại đây,
khi John McCarthy phát biểu rằng “một ngày nào đó tính toán được tổ chức như
một tiện ích công cộng”. Các đặc điểm của điện toán đám mây tạo ra như khả năng

co giãn, cung cấp như một tiện ích trực tuyến, với khả năng xem như vô hạn.
Hiện nay, điện toán đám mây được rất nhiều tổ chức và cá nhân định nghĩa
khác nhau. Dưới đây là một số khái niệm điện toán đám mây:
Theo Rajkumar Buyya: “Điện toán đám mây là một loại hệ thống phân bố và
xử lý song song gồm các máy tính ảo kết nối với nhau và được cung cấp động cho
người dùng như một hoặc nhiều tài nguyên đồng nhất dựa trên sự thỏa thuận dịch
vụ giữa nhà cung cấp và người sử dụng”.
Đồ án tốt nghiệp 2015 1 Nguyễn Thái Hà – AT7A
Theo Ian Foster “Điện toán đám mây là một mô hình điện toán phân tán có
tính co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh
tính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co
giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài
thông qua Internet”.
Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST): “Điện toán
đám mây là một mô hình cho phép truy cập mạng thuận tiện, theo nhu cầu đến một
kho tài nguyên điện toán dùng chung, có thể định cấu hình: mạng, máy chủ, lưu
trữ, ứng dụng,…có thể được cung cấp và thu hồi một cách nhanh chóng với yêu
cầu tối thiểu về quản lý hoặc can thiệp của nhà cung cấp dịch vụ.”
Thuật ngữ Cloud Computing ra đời giữa năm 2007 không phải để nói về một
trào lưu mới, mà để khái quát lại các hướng đi của cơ sở hạ tầng thông tin vốn đã
và đang diễn ra từ mấy năm qua. Quan niệm này có thể được diễn giải một cách
đơn giản: các nguồn điện toán khổng lồ như phần mềm, dịch vụ và các dịch vụ sẽ
nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình và
văn phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần. Với các
dịch vụ sẵn có trên Internet, doanh nghiệp không phải mua và duy trì hàng trăm,
thậm chí hàng nghìn máy tính cũng như phần mềm. Họ chỉ cần tập trung vào kinh
doanh lĩnh vực riêng của mình bởi đã có người khác lo cơ sở hạ tầng và công nghệ
thông tin thay họ. Google, theo lẽ tự nhiên, nằm trong số những hãng ủng hộ điện
toán máy chủ ảo tích cực nhất bởi hoạt động kinh doanh của họ dựa trên việc phân
phối các cloud (virtual server). Đa số người dùng Internet đã tiếp cận những dịch

vụ đám mây phổ thông như e-mail, album ảnh và bản đồ số.[6]
Đồ án tốt nghiệp 2015 2 Nguyễn Thái Hà – AT7A
Hình 1. 1. Mô hình điện toán đám mây.
Hiện nay với sự tham gia của các công ty lớn như Microsoft, Google,
IBM hay Amazon đã thúc đẩy Cloud Computing phát triển ngày càng mạnh
mẽ. Nếu như trong năm 2008, ngành công nghiệp điện toán đám mây có giá trị
vào khoảng $46 tỷ thì đến cuối năm 2014, con số này ước đạt là trên $150 tỷ
(Theo Eclipse – Một ISP có trụ sở ở Anh).
Hình 1. 2. Tình hình phát triển của điện toán đám mây từ năm 2008 đến
2014.
Bên cạnh đó, theo Forbes, ba phần tư số người được hỏi cho biết có sử dụng
ít nhất một dạng nền tảng điện toán đám mây nào đó, đó có thể là các dịch vụ
Đồ án tốt nghiệp 2015 3 Nguyễn Thái Hà – AT7A
email, lưu trữ ảnh, stream nhạc trực tuyến hay thậm chí là cả danh bạ và lịch. Và
ba nền tảng được sử dụng nhiều nhất là Google, Microsoft và Amazon.
Ở khía cạnh doanh nghiệp, có 86% số công ty có sử dụng nhiều hơn một
dịch vụ điện toán đám mây và thường con số này là bốn dịch vụ. Các nghiên cứu
cũng dự đoán rằng sẽ có trên 50% lượng dữ liệu được chuyển lên mây trong 5 đến
10 năm tới. Và cho đến năm 2016, lượng dữ liệu đám mây của khu vực Châu Á –
Thái Bình Dương sẽ đạt 1.5 Zb (1 Zettabyte = 1 triệu Terabyte), theo sau đó là khu
vực Bắc Mỹ với 1.1 Zb.
Dưới đây là bảng số liệu thống kê từ tổ chức Endurance về tỷ lệ các dạng dữ
liệu được lưu trữ trên đám mây:
Hình 1. 3. Bảng thống kê các dạng dữ liệu được lưu trữ trên đám mây.
1.1.2. Đặc điểm của điện toán đám mây
• Thuận lợi:
- Chi phí đầu tư thấp: Theo mô hình truyền thống, để có được cơ sở hạ tầng,
máy móc và nguồn nhân lực thì người sử dụng cần thời gian và kinh phí để xây
dựng kế hoạch, đầu tư hạ tầng, đầu tư máy móc và người quản trị Chi phí này là
không nhỏ và đôi khi lại không được sử dụng hiệu quả, ví dụ như không đáp ứng

đủ hoặc không sử dụng hết công suất sau khi đưa vào sử dụng. Các khó khăn này
sẽ được giải quyết trong mô hình điện toán đám mây, với phương châm “pay as
you use” (người dùng chỉ phải trả tiền cho những gì mình đã sử dụng).
Đồ án tốt nghiệp 2015 4 Nguyễn Thái Hà – AT7A
- Tốc độ xử lý nhanh, không còn phụ thuộc vào thiết bị và vị trí địa lý: cho
phép người dùng truy cập và sử dụng hệ thống thông qua trình duyệt web ở bất kỳ
đâu và trên bất kỳ thiết bị nào mà họ sử dụng (như là PC hoặc là thiết bị di
động ).
- Dễ dàng mở rộng, nâng cấp: Thay vì phải đầu tư mới hoặc nâng cấp phần
cứng, phần mềm, đội ngũ quản trị để mở rộng hay nâng cấp hệ thống thì với điện
toán đám mây người sử dụng chỉ việc gửi yêu cầu cho nhà cung cấp dịch vụ.
• Khó khăn:
- Tính riêng tư: Các thông tin về người dùng và dữ liệu được chứa trên đám
mây không chắc chắn được đảm bảo tính riêng tư và các thông tin đó cũng có thể
bị sử dụng vì một mục đích khác.
- Tính sẵn sàng: Các trung tâm điện toán đám mây hay hạ tầng mạng có thể
gặp sự cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng không thể
truy cập các dịch vụ và dữ liệu của mình trong những khoảng thời gian nào đó.
- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám
mây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm chí một
vài trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phục
hồi được.
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách
thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng chính là mối lo của
người sử dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn công
hoặc đột nhập, toàn bộ dữ liệu sẽ bị chiếm dụng.
1.1.3. Mô hình kiến trúc điện toán đám mây
1.1.3.1. Phân lớp dịch vụ điện toán đám mây
Các mô hình kiến trúc dịch vụ điện toán đám mây đều có ba loại dịch vụ cơ
bản là: Dịch vụ cơ sở hạ tầng (Infrastructure as a Service – IaaS), dịch vụ nền tảng

(Platform as a Service – PaaS) và dịch vụ phần mềm (Software as a Service –
SaaS). Cách phân loại này được gọi là mô hình SPI (Software - Platform -
Infrastructure ).
Đồ án tốt nghiệp 2015 5 Nguyễn Thái Hà – AT7A
Hình 1. 4. Mô hình SPI
• Infrastructure as a service (IaaS)
Cung cấp cho người dùng hạ tầng như một dịch vụ (thường là dưới các hình
thức máy ảo). Dịch vụ Iaas cung cấp các dịch vụ cơ bản như các máy chủ ảo, lưu
trữ dữ liệu, cơ sở dữ liệu trên một nền tảng để triển khai và chạy các ứng dụng của
người sử dụng.
Những đặc trưng tiêu biểu của dịch vụ hạ tầng:
 Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bị
mạng, bộ nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ
liệu.
 Khả năng mở rộng linh hoạt, chi phí thay đổi tùy theo thực tế.
 Nhiều người thuê có thể dùng chung trên một tài nguyên.
 Cấp độ doanh nghiệp: đem lại lợi ích cho công ty bởi một nguồn tài
nguyên tính toán tổng hợp.
Lợi ích của Iaas: Các tổ chức, cá nhân tiết kiệm được vốn đầu tư vào hệ
thống là rất lớn, vì các doanh nghiệp sẽ không cần phải đầu tư thêm các máy chủ,
thường chỉ chạy 70% công suất hai hoặc ba lần trong năm, thời gian còn lại chỉ
chạy 7-10% tải.
Đồ án tốt nghiệp 2015 6 Nguyễn Thái Hà – AT7A
• Platform as a Service (PaaS)
Dịch vụ nền tảng cung cấp giao diện lập trình ứng dụng (API_Application
Programing Interface) cho phát triển ứng dụng trên một nền tảng trừu tượng. PaaS
cung cấp nền tảng tính toán và một tập các giải pháp nhiều lớp. Nó hỗ trợ việc
triển khai ứng dụng mà người sử dụng không cần quan tâm đến sự phức tạp của
việc trang bị và quản lý các lớp phần cứng và phần mềm bên dưới. PaaS cung cấp
tất cả các tính năng cần thiết để hỗ trợ chu trình sống của việc xây dựng, cung cấp

một ứng dụng và dịch vụ web sẵn sàng trên Internet mà không cần bất kì thao tác
tải hay cài đặt phần mềm cho những người phát triển, quản lý tin học, hay người
dùng cuối. Nó còn được biết đến với một tên khác là cloudware.
 Những đặc trưng tiêu biểu:
 Phục vụ cho việc phát triển, triển khai và vận hành ứng dụng giống
như là môi trường phát triển tích hợp.
 Các công cụ khởi tạo với giao diện trên nền web.
 Kiến trúc đồng nhất.
 Tích hợp dịch vụ web và cơ sở dữ liệu.
 Hỗ trợ cộng tác nhóm phát triển.
 Một số thuận lợi:
 Dịch vụ nền tảng đang ở thời kì đầu và được ưa chuộng ở những tính
năng vốn được ưa thích bởi dịch vụ phần mềm, bên cạnh đó có tích
hợp các yếu tố về nền tảng hệ thống.
 Ưu điểm trong những dự án tập hợp những công việc nhóm có sự
phân tán về địa lý.
 Khả năng tích hợp nhiều nguồn của dịch vụ web. Giảm chi phí ngoài
lề khi tích hợp các dịch vụ về bảo mật, khả năng mở rộng, kiểm soát
lỗi…
 Giảm chi phí khi trừu tượng hóa công việc lập trình ở mức cao để tạo
dịch vụ, giao diện người dùng và các yếu tố ứng dụng khác.
Đồ án tốt nghiệp 2015 7 Nguyễn Thái Hà – AT7A
 Tạo điều kiện dễ dàng hơn cho việc phát triển ứng dụng đa người
dùng, cho những người không chỉ trong nhóm lập trình mà có thể kết
hợp nhiều nhóm cùng làm việc.
 Một số khó khăn:
 Ràng buộc bởi nhà cung cấp: nghĩa là một khách hàng phụ thuộc vào
một nhà cung cấp và không thể sử dụng nhà cung cấp khác mà không
phải chịu chi phí chuyển đổi đáng kể.
 Giới hạn phát triển: độ phức tạp khiến nó không phù hợp với yêu cầu

phát triển nhanh vì những tính năng phức tạp khi hiện thực trên nền
tảng web.
• Software as a Service (SaaS)
Dịch vụ phần mềm là một mô hình triển khai mà ở đó ứng dụng được cung
cấp cho người sử dụng như là dịch vụ theo yêu cầu. Những nhà cung cấp SaaS có
thể lưu trữ ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị khách
hàng, vô hiệu hóa nó sau khi kết thúc thời hạn.
Những đặc trưng tiêu biểu:
 Quản lý các hoạt động từ một vị trí tập trung hơn là tại mỗi nơi của
khách hàng, cho phép khách hàng truy xuất từ xa thông qua web.
 Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng.
 Cung cấp ứng dụng thông thường gần gũi với mô hình ánh xạ từ một
đến nhiều hơn là mô hình ánh xạ từ một đến một bao gồm cả các đặc
trưng kiến trúc, giá cả và quản lý.
 Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việc
tải các bản vá lỗi và cập nhật.
 Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diện
rộng.
1.1.3.2. Các mô hình triển khai đám mây
• Đám mây riêng (Private Cloud)
Trong mô hình Private Cloud, cơ sở hạ tầng và các dịch vụ được xây dựng
để phục vụ cho một tổ chức (doanh nghiệp) duy nhất. Điều này giúp cho doanh
Đồ án tốt nghiệp 2015 8 Nguyễn Thái Hà – AT7A
nghiệp có thể kiểm soát tối đa đối với dữ liệu, bảo mật và chất lượng dịch vụ.
Doanh nghiệp sở hữu cơ sở hạ tầng và quản lý các ứng dụng được triển khai trên
đó. Private Cloud có thể được xây dựng và quản lý bởi chính đội ngũ IT của doanh
nghiệp hoặc có thể thuê một nhà cung cấp dịch vụ đảm nhiệm công việc này.
Như vậy, mặc dù tốn chi phí đầu tư nhưng Private Cloud lại cung cấp cho
doanh nghiệp khả năng kiểm soát và quản lý chặt chẽ những dữ liệu quan trọng.
Hình 1. 5. Đám mây riêng

• Đám mây công cộng (Public Cloud)
Các dịch vụ Cloud được nhà cung cấp dịch vụ cung cấp cho mọi người sử
dụng rộng rãi. Các dịch vụ được cung cấp và quản lý bởi một nhà cung cấp dịch vụ
và các ứng dụng của người dùng đều nằm trên hệ thống Cloud.
Người sử dụng dịch vụ sẽ được lợi là chi phí đầu tư thấp, giảm thiểu rủi ro
do nhà cung cấp dịch vụ đã gánh vác nhiệm vụ quản lý hệ thống, cơ sở hạ tầng,
bảo mật… Một lợi ích khác của mô hình này là cung cấp khả năng co giãn (mở
rộng hoặc thu nhỏ) theo yêu cầu của người sử dụng.
Đồ án tốt nghiệp 2015 9 Nguyễn Thái Hà – AT7A
Hình 1. 6. Đám mây công cộng
Tuy nhiên Public Cloud có một trở ngại, đó là vấn đề mất kiểm soát về dữ
liệu và vấn đề an toàn dữ liệu. Trong mô hình này mọi dữ liệu đều nằm trên dịch
vụ Cloud, do nhà cung cấp dịch vụ Cloud đó bảo vệ và quản lý. Chính điều này
khiến cho khách hàng, nhất là các công ty lớn cảm thấy không an toàn đối với
những dữ liệu quan trọng của mình khi sử dụng dịch vụ Cloud.
• Đám mây lai (Hybrid Cloud)
Như chúng ta đã phân tích ở trên, Public Cloud dễ áp dụng, chi phí thấp
nhưng không an toàn. Ngược lại, Private Cloud an toàn hơn nhưng tốn chi phí và
khó áp dụng. Do đó nếu kết hợp được hai mô hình này lại với nhau thì sẽ khai thác
ưu điểm của từng mô hình. Đó là ý tưởng hình thành mô hình Hybrid Cloud.
Hybrid Cloud là sự kết hợp của Public Cloud và Private Cloud. Trong đó,
doanh nghiệp sẽ “out-source” các chức năng nghiệp vụ và dữ liệu không quan
trọng, sử dụng các dịch vụ Public Cloud để giải quyết và xử lý các dữ liệu này.
Đồng thời, doanh nghiệp sẽ giữ lại các chức năng nghiệp vụ và dữ liệu tối quan
trọng trong tầm kiểm soát (Private Cloud).
Đồ án tốt nghiệp 2015 10 Nguyễn Thái Hà – AT7A
Hình 1. 7. Đám mây lai
Một khó khăn khi áp dụng mô hình Hybrid Cloud là làm sao triển khai cùng
một ứng dụng trên cả hai phía Public và Private Cloud sao cho ứng dụng đó có thể
kết nối, trao đổi dữ liệu để hoạt động một cách hiệu quả.

1.1.3.3. Đám mây cộng đồng
Các đám mây cộng đồng là các đám mây được chia sẻ bởi một số tổ chức và
hỗ trợ một cộng đồng cụ thể có mối quan tâm chung như: chung mục đích, yêu cầu
an ninh, chính sách. Nó có thể được quản lý bởi các tổ chức hoặc một bên thứ ba.
Một đám mây cộng đồng có thể được thiết lập bởi một số tổ chức có yêu cầu
tương tự và tìm cách chia sẻ cơ sở hạ tầng để thực hiện một số lợi ích của điện toán
đám mây. Tùy chọn này là tốn kém hơn nhưng có thể đáp ứng về sự riêng tư, an
ninh hoặc tuân thủ các chính sách tốt hơn.
1.1.4. Khảo sát một số nhà cung cấp dịch vụ điện toán đám mây
1.1.4.1. Giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây
Hiện nay có rất nhiều nhà cung cấp dịch vụ lưu trữ đám mây trực tuyến.
Chúng ta có thể kể đến một số nhà cung cấp dịch vụ nổi bật như: MicroSoft,
Google, Dropbox, SugarSync, Apple…
Đồ án tốt nghiệp 2015 11 Nguyễn Thái Hà – AT7A
• Google drive
Đây là sản phẩm của tập đoàn đa quốc gia Google – một nhà sản xuất và
cung cấp các dịch vụ liên quan đến internet như dịch vụ tìm kiếm, điện toán đám
mây và phần mềm Google Drive là một sản phẩm cung cấp cho người dùng
không gian lưu trữ miễn phí lớn trên đám mây. Nó được xem như là kho lưu trữ
toàn diện nhất hiện nay. Google Drive được tích hợp những công cụ cơ bản của
các trình chỉnh sửa và tạo văn bản Word, Excel hay Power Point.
• One Drive (Skydrive cũ )
OneDrive là một sản phẩm được cung cấp bởi tập đoàn Microsoft – một nhà
sản xuất, kinh doanh bản quyền phần mềm hỗ trợ trên diện rộng các sản phẩm và
dịch vụ liên quan đến máy tính. Hiện nay, One Drive cũng cung cấp cho người
dùng dung lượng lưu trữ miễn phí lớn trên đám mây. Nó được tích hợp trên hầu hết
các hệ điều hành của Microsoft. Đặc điểm nổi bật là có thể kết hợp với ứng dụng
văn phòng Microsoft Office để hỗ trợ chỉnh sửa văn bản trực tuyến.
• Dropbox
Là sản phẩm được cung cấp bởi hãng Dropbox – một nhà cung cấp dịch vụ

lưu trữ tập tin. Đây là một sản phẩm được yêu thích nhất nhờ sự đơn giản và tính
tin cậy. Dropbox tương thích hầu hết các hệ điều hành và có tính năng đồng bộ trên
tất cả các thiết bị rất thuận tiện cho quá trình sử dụng.
• SugarSync
SugarSync là một dịch vụ sao lưu trực tuyến cũng như đồng bộ hóa được
cung cấp bởi hãng SugarSync – một nhà cung cấp dịch vụ lưu trữ đám mây.
SugarSync có thể sao lưu dữ liệu từ bất kì thư mục nào trên đĩa cứng, ngoài ra còn
có thể chia sẻ với người khác. SugarSync cung cấp một số tính năng tiện dụng để
chuyển nhạc và hình ảnh giữa các thiết bị di động và máy tính.
• iCloud
iCloud là sản phẩm được cung cấp dành riêng cho các thiết bị Apple – một
tập đoàn công nghệ máy tính của Mỹ, chuyên cung cấp các sản phẩm như máy tính
Đồ án tốt nghiệp 2015 12 Nguyễn Thái Hà – AT7A
cá nhân, phần mềm, phần cứng, thiết bị nghe nhạc và nhiều thiết bị đa phương tiện
khác. iCloud cung cấp cho người dùng của Apple cách thức mới để lưu trữ và truy
cập dữ liệu. Ngoài ra iCloud còn cho phép đồng bộ hóa tự động giữa các thiết bị
của Apple dựa trên thời gian thực theo cơ chế push mang đến cho người dùng
những tiện ích to lớn.
1.1.4.2. So sánh một số dịch vụ lưu trữ đám mây.
Tiêu chí so sánh Google
driver
OneDriver Dropbox SugarSync iCloud
Không
gian lưu
trữ
Miễn phí 15GB 15GB 2GB 5GB 5GB
Giới hạn
Dung
lượng tải
lên

10 GB
2 GB (300
MB nếu tải
lên từ Web)
Không giới
hạn trên
máy tính
(300 MB
trên Web)
Không giới
hạn trên
máy tính
(300 MB
trên Web)
Không
giới hạn
Băng
thông
Không
giới hạn
Không giới
hạn
20GB
/file/ ngày
10GB
/file/ngày
Chưa rõ
Hệ điều
hành hỗ
trợ

Windows Có Có Có Có Có
Mac Có Có Có Có Có
Linux Không Không Có Không Không
Android Có Có Có Có Không
iOS Có Có Có Có Có
Windows
Phone
Không Có Không Có Không
Hệ điều
hành
khác
- - BlackBerry
Symbian,
BlackBerry
,Windows
Mobile
-
Chia sẻ
Công
khai
Có Có Có Có Không
Nội bộ Có Có Có Có Không
Bảo mật Mã hóa
đường
truyền
SSL SSL SSL SSL SSL
Đồ án tốt nghiệp 2015 13 Nguyễn Thái Hà – AT7A
Mã hóa
trên kho
lưu trữ

AES-128 AES-256 AES-256 AES-256
AES-
256
Lưu
lượng trả
phí
100 GB
1.99$/
Tháng
1.99$/
Tháng
9.99$/
Tháng
9.99$/
Tháng
200 GB
3.99$/
Tháng
Đăng kí Tài khoản Gmail
Email
Microsoft
Email bất

Email bất

ID
Apple
Sau khi so sánh một số tiêu chí của 5 dịch vụ điện toán đám mây. Tiến hành
kiểm tra thực nghiệm tốc độ upload và download của 4 dịch vụ lưu trữ phổ biến là
Google Drive, OneDrive, Dropbox, SugarSync. Phương thức đo là nén một thư

mục gồm file hình ảnh, word, video, phần mềm, music thành một file định dạng
“.rar” nặng 203Mb. Tốc độ mạng thời điểm đo được đo qua trang Speedtest.net.
Dưới đây là kết quả thực nghiệm quá trình đo.
• Tiến hành đo thực nghiệm với các thông số cơ bản sau:
 Cấu hình máy tính: CPU: Core i5, RAM: 4GB.
 Tốc độ mạng trung bình ở thời điểm đo là 33.62 Mbps / 94.51 Mbps
(Upload/Download).
Kết quả Upload/Download trung bình với 7 lần đo (Đơn vị : Mbps):
Google
Drive
One Drive Dropbox SugarSync
Upload 3.18 2.43 2.18 1.32
Download 8.64 2.52 3.64 0.66
Kết quả thực nghiệm cho thấy tốc độ upload và download của các 3 nhà
cung cấp dịch vụ là Google Drive, One Drive, Dropbox có tốc độ tương đối cao.
Trong đó Google Drive là nhanh nhất, One Drive có tốc độ upload và download
xấp xỉ nhau. Tốc độ của SugarSync là chậm hơn so với 3 đối thủ kia. Đặc biệt nó
có tốc độ upload cao hơn download nhưng tương đối ổn định.
Đồ án tốt nghiệp 2015 14 Nguyễn Thái Hà – AT7A
1.2. Các nguy cơ mất an toàn thông tin trong điện toán đám mây
Cùng với những lợi ích to lớn của mình, điện toán đám mây cũng đã được
chỉ ra rằng nó hoàn toàn có thể bị lợi dụng bởi tin tặc và không hoàn toàn an toàn.
Trong điện toán đám mây, vấn đề bảo mật được chia sẻ giữa nhà cung cấp dịch vụ
và người dùng điện toán đám mây. Hai bên cần phải có sự tin tưởng và thỏa thuận
với nhau để từ đó nâng cao tính bảo mật. Rất nhiều mối đe dọa bảo mật nảy sinh từ
bên trong hoặc bên ngoài môi trường nhà cung cấp, người dùng và được phân loại
thành các dạng đe dọa từ bên trong, tấn công nguy hại từ bên ngoài, mất mát dữ
liệu, các vấn đề liên quan đến đa chức năng, mất quyền kiểm soát và gián đoạn
dịch vụ.
1.1.5. Các mối đe dọa từ bên trong

Khảo sát cho thấy hầu hết các đe dọa bảo mật nảy sinh từ bản thân bên trong
doanh nghiệp và ẩn khuất trong các dịch vụ điện toán đám mây của người dùng do
đám mây là một mô hình đa nhiệm và chịu quyền quản lý đơn của nhà cung cấp. Ở
trên nền tảng đó, các doanh nghiệp sử dụng dịch vụ đám mây khó can thiệp vào
các tiến trình của nhà cung cấp để phân bổ nhân viên quản trị đám mây thích hợp,
hay việc quản lý lưu trữ dữ liệu tại các vùng khác nhau và mối quan hệ với các
hãng thứ ba. Thực tế không có các chuẩn và thực nghiệm rõ ràng để cho nhân viên
quản trị đám mây sử dụng, cùng với các vấn đề khác có thể gây ra các lỗ hổng tạo
điều kiện cho các hoạt động phá hoại của gián điệp kinh doanh, tin tặc hoặc mối đe
dọa nguy hại từ bên trong.
Đây vẫn đang là thách thức với các doanh nghiệp trong việc làm sao có thể
hạn chế nhân viên, nhà thầu, nhà cung cấp và các đối tượng tin cậy khác các quyền
truy cập tới tài nguyên quan trọng từ trong mạng. Thách thức này nếu muốn được
giải quyết thì cần phải có một quy trình quản lý chặt chẽ áp dụng với cả nhà thầu
và nhà cung cấp cũng như nhân viên của chính doanh nghiệp đó, việc chỉ định các
yêu cầu tài nguyên về con người như một phần hợp pháp của hợp đồng. Hệ thống
Đồ án tốt nghiệp 2015 15 Nguyễn Thái Hà – AT7A
IDS/IPS phải được cài đặt và hoạt động hiệu quả để phát hiện nhanh nhất có thể
các mối nguy hại.
1.1.6. Các tấn công nguy hại từ bên ngoài
Các đe dọa từ bên ngoài là một trong những vấn đề được quan tâm nhất đối
với bất cứ doanh nghiệp nào, do trực tiếp tác động tới việc thất thoát các thông tin
mật ra bên ngoài hoặc thậm chí có thể làm mất uy tín của doanh nghiệp và lợi thế
kinh doanh của doanh nghiệp đó. Đây là một trong những vấn đề muôn thuở của
hạ tầng đám mây từ trước tới nay. Các đám mây có xu thế mang tính tích hợp hơn
là các mạng riêng và hỗ trợ nhiều giao diện để giúp hợp pháp thông tin truy cập
người dùng. Thực tế các tin tặc thường tận dụng ưu thế vào việc khai thác điểm
yếu API hay đường kết nối hay trực tiếp xâm nhập vào trong hệ thống. Các tin tặc
bên ngoài có thể không gây thiệt hại như các tin tặc bên trong, tuy nhiên để ngăn
chặn tin tặc tấn công từ bên ngoài khó hơn rất nhiều so với tin tặc bên trong vì rõ

ràng rằng với các biện pháp an ninh thì việc đột nhập vào hệ thống từ bên trong
khó hơn rất nhiều so với việc sử dụng các kết nối mạng từ bên ngoài. Hiện nay giới
tội phạm công nghệ cao có 4 phương thức tấn công mạng sau:
-Tấn công chủ động: Tấn công chủ động như tên gọi của nó là các cuộc tấn
công mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thực
hiện cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động
của mạng máy tính hoặc hệ thống.
- Tấn công bị động : Bao gồm quét, bắt trộm và nghe trộm các gói tin có thể
được xem là một phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả.
- Tấn công mật khẩu: Bao gồm việc dự đoán, so sánh và tra mật khẩu thông
qua một bộ từ điển mật khẩu.
- Tấn công mã nguồn và mã mật: Bao gồm các phương pháp cửa sau
(BackDoor), Virus, Trojans, Worms, các khóa mật mã yếu và thuật toán.
Mối nguy hại này có thể được giảm nhẹ bằng cách làm tương tự giống như
trong các trung tâm dữ liệu mạng truyền thống, tuy nhiên đám mây không tương
đồng với các trung tâm dữ liệu đó mà nó còn có các máy ảo với rất nhiều người
Đồ án tốt nghiệp 2015 16 Nguyễn Thái Hà – AT7A
dùng. Do đó, vòng bảo vệ gồm sử dụng tường lửa, ACL và hệ thống IDS/IPS là bắt
buộc. Bên trong vòng bảo vệ đó, các điểm nóng cần được triển khai cùng với các
hệ thống xác thực mạnh mẽ gây khó khăn lớn cho tin tặc khi tấn công. Để tăng
cường thêm khả năng bảo mật, cần có một hệ thống điều khiển truy cập hoạt động
hiệu quả. Các máy ảo nên được cách li với mỗi khách hàng và một tường lửa được
cấu hình đúng mức nên được thực thi để khi một máy ảo bị tấn công và khai thác,
tin tặc không thể dễ dàng từ đó tấn công các máy ảo khác.
Hơn nữa, các mối nguy hại bảo mật mới nảy sinh hằng ngày, càng lúc càng
tinh vi và nguy hiểm hơn và không thể đoán trước. Có thể cải tiến việc giám sát
các thành phần và hoạt động khác nhau của đám mây cũng như các quy trình làm
việc của đám mây một cách bí mật để đánh 5lạc hướng cũng như dụ tin tặc vào bẫy
do mục tiêu tấn công bị thay đổi và không rõ ràng.
1.1.7. Mất mát dữ liệu

Khi doanh nghiệp di trú dữ liệu của họ lên đám mây, họ luôn kỳ vọng vào
mức độ tin cậy và an toàn của dữ liệu, tuy nhiên rõ ràng rằng sự an toàn của dữ
liệu trên đám mây không thể tốt bằng khi đặt trong hệ thống đóng của doanh
nghiệp do môi trường đám mây là một môi trường đa nhiệm và việc điều khiển
truy cập không cùng một cấp độ giống như môi trường truyền thống. Việc thực
hiện điều này là không dễ dàng và việc mất mát dữ liệu có thể gây ra các tổn hại về
tài chính, danh tiếng và tin cậy của khách hàng và doanh nghiệp. Việc mất mát dữ
liệu có thể phát sinh do rất nhiều yếu tố ví dụ như khi xóa hay thay đổi các bản ghi
mà không có bản sao lưu dự phòng, xác thực không đầy đủ, phân quyền và kiểm
soát tài khoản, các mã khóa xác thực không đảm bảo, các lỗi điều hành, các vấn đề
chính trị và độ ổn định của trung tâm dữ liệu…
1.1.8. Gián đoạn dịch vụ
Gián đoạn dịch vụ có thể đẩy doanh nghiệp vào tình trạng khó khăn, tài
nguyên không sẵn sàng cho người dùng hợp pháp sử dụng và không chỉ làm khách
hàng không thỏa mãn, việc này còn làm giảm tinh thần làm việc của nhân viên.
Đồ án tốt nghiệp 2015 17 Nguyễn Thái Hà – AT7A
Trong trường hợp tin tặc đạt được quyền điều khiển tới hệ thống xác thực truy cập
của doanh nghiệp, họ có thể giám sát truyền tải và thay đổi dữ liệu.Trong trường
hợp xấu nhất, tin tặc còn có thể tái sử dụng các phiên làm việc và gián tiếp chuyển
hướng khách hàng truy cập tới các trang web phi pháp hay thực hiện các cuộc tấn
công DOS/DDOS nhắm tới yếu tố sẵn sàng phục vụ của hệ thống.
Mối nguy hại này có thể được giảm nhẹ bởi nhiều tiến trình ẩn. Trước hết,
nhà cung cấp phải ngăn việc chia sẻ xác thực tài khoản giữa những người dùng
theo nhiều cách thức và phương tiện đối với mỗi máy ảo hoặc mỗi phiên. Tiếp
theo, nhà cung cấp phải thực thi các kỹ thuật xác thực đa nhân tố mạnh mẽ đủ đảm
bảo người dùng chỉ được truy cập sau khi vượt qua các tiến trình xác thực. Thêm
vào đó, nên sử dụng các công cụ như iptable để có danh sách các kết nối đến từ dải
IP hoặc tên DNS đã biết. Đồng thời vẫn cần hệ thống IDS/IPS hoạt động hiệu quả.
Bảo mật trong điện toán đám mây là trách nhiệm của cả nhà cung cấp và người
dùng, và do đó người dùng phải sẵn sàng sử dụng các kỹ thuật để đảm bảo dữ liệu

và thông tin được an toàn. Nếu có thể, nhà cung cấp nên linh động chấp nhận các
chính sách bảo mật cụ thể của người dùng.
Ngoài ra, việc cấp phép người dùng khi khởi tạo và các tiến trình đánh giá
có thể giúp làm giảm thiểu bất cứ tấn công nào thậm chí trước khi chúng có thể
phát tán ví dụ đơn giản như việc đăng ký một tài khoản google hiện nay đã kèm
theo việc kích hoạt bằng số điện thoại… Việc giám sát toàn diện lưu lượng mạng
của khách hàng được thực thi sử dụng hệ thống ngăn chặn xâm nhập và thậm chí là
hệ thống ngăn chặn xâm nhập máy chủ tại các điểm cuối của khách hàng. Các cố
gắng tấn công gây gián đoạn dịch vụ có thể tránh nhờ giám sát danh sách đen công
cộng và danh sách đen của nhà cung cấp dịch vụ.
1.1.9. Mất quyền kiểm soát
Khi doanh nghiệp chuyển cổng dữ liệu hoặc dịch vụ lên đám mây, họ không
cần quan tâm vị trí dữ liệu và dịch vụ của họ đặt ở đâu, và do đó nhà cung cấp có
thể chứa dữ liệu hoặc dịch vụ ở bất cứ đâu trong đám mây. Tuy nhiên nó cũng gây
Đồ án tốt nghiệp 2015 18 Nguyễn Thái Hà – AT7A
ra mối quan tâm của người dùng về việc doanh nghiệp mất quyền kiểm soát dữ liệu
quan trọng và không nắm rõ các thuật toán bảo mật mà nhà cung cấp đưa vào.
Hạ tầng ảo hóa của đám mây rất phức tạp và mang tính động do việc đa xử
lý, lưu trữ ảo, có nhiều người quản lý, nhiều ứng dụng chạy tại cùng một thời
điểm. Ngoài ra có một số lượng lớn nguồn lưu lượng vào và ra khỏi mỗi máy chủ
vật lý hay máy chủ ảo. Do đó, hạ tầng ảo hóa của đám mây xóa nhòa biên giới vật
lý truyền thống sử dụng trong việc định nghĩa, quản lý và bảo vệ tài sản của doanh
nghiệp trong trung tâm dữ liệu truyền thống. Tuy vậy nó dẫn đến việc hạ tầng ảo
hóa sẽ trở nên phức tạp và bản thân nó sẽ được bảo vệ khỏi các mối đe dọa bất kể
từ bên trong hay bên ngoài. Các giải pháp bảo mật tương thích trong môi trường
đám mây sử dụng để bảo vệ hạ tầng ảo hóa đám mây là một thách thức lớn đòi hỏi
việc nghiên cứu sâu về nhiều hướng tấn công và các đặc tính riêng biệt.
1.3. Các hướng nghiên cứu bảo mật cho điện toán đám mây.
1.1.10. Giới thiệu một số mô hình an toàn
• Mô hình bảo vệ 3 lớp

Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây[1]
Hình 1. 8. Mô hình ba lớp bảo vệ dữ liệu
Đồ án tốt nghiệp 2015 19 Nguyễn Thái Hà – AT7A

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×