TIỂU LUẬN: AN NINH MẠNG THÔNG TIN
ĐỀ TÀI:
BẢO MẬT VÀ
QUYỀN RIÊNG TƯ
TRONG ĐIỆN TOÁN ĐÁM
MÂY
GVHD: NGUYỄN VIỆT HÙNG
Tổng quan về điện toán đám mây (ĐTĐM)
I
•
Định nghĩa
•
Các dịch vụ điện toán đám mây
Bảo mật trong điện toán đám mây
II
•
Các mối đe dọa
•
Hình thức tấn công
•
Chiến lược bảo vệ an ninh
Riêng tư trong điện toán đám mây
III
•
Các mối đe dọa
•
Chiến lược bảo vệ ĐTĐM
NỘI DUNG
I – TỔNG QUAN VỀ
ĐIỆN TOÁN ĐÁM MÂY
(ĐTĐM)

1. ĐỊNH NGHĨA

Điện toán đám mây: còn gọi là
điện toán máy chủ ảo, là mô
hình điện toán sử dụng các
công nghệ máy tính và phát
triển dựa vào mạng Internet.
Thuật ngữ "đám mây" ở đây là
chỉ mạng Internet (dựa vào
cách được bố trí của nó trong
sơ đồ mạng máy tính) và như
một liên tưởng về độ phức tạp
của các cơ sở hạ tầng chứa
trong nó.
2. CÁC DỊCH VỤ ĐTĐM

Điện toán đám mây cung
cấp 3 mô hình dịch vụ cơ
bản: dịch vụ hạ tầng
(IaaS), dịch vụ nền tảng
(PaaS) và dịch vụ phần
mềm (SaaS).
II – BẢO MẬT TRONG
ĐIỆN TOÁN ĐÁM MÂY
1. CÁC MỐI ĐE DỌA
Tính bảo mật
Những mối đe dọa từ người dùng nội bộ:
• Mã độc từ người cung cấp dịch vụ điện toán đám mây.
• Mã độc từ người sử dụng.
• Mã độc từ một bên thứ 3.

Những mối đe dọa tấn công từ bên ngoài:
• Phần mềm từ xa tấn công cơ sở hạ tầng của đám mây.
• Phần mềm từ xa tấn công ứng dụng của đám mây.
• Phần cứng từ xa tấn công đám mây.
• Phần mềm và phần cứng tấn công tổ chức.
Rò rỉ dữ liệu:
• Lỗi của bảo mật truy cập trên nhiều tên miền.
• Lỗi của điện tử và hệ thống truyền dẫn vật lý cho cho dữ
liệu đám mây và dự phòng.
Tính toàn vẹn Tính sẵn sàng
Sự phân ly dữ liệu:
•
Vành đai an ninh không đúng quy
định.
•
Cấu hình không chính xác của các
máy ảo và hypervisor.
Truy cập người dùng:
•
Nghèo về nhận dạng và quản lý
thủ tục truy cập.
Chất lượng dữ liệu:
•
Giới thiệu lỗi những ứng dụng và
thành phần cơ sở hạ tầng.
Sự thay đổi quản lý.
Mối đe dọa từ sự từ chối.
•
Chia băng thông mạng bị từ chối.
•

DNS từ chối dịch vụ.
•
Ứng dụng và dữ liệu từ chối dịch
vụ.
Gián đoạn vật lý.
Khai thác thủ tục phục hồi yếu
1. CÁC MỐI ĐE DỌA
2. HÌNH THỨC TẤN CÔNG
Các bước thực hiện của một cuộc tấn công:

Thu thập: Thu thập càng nhiều thông tin liên
quan về đối tượng càng tốt, người dùng,
doanh nghiệp, chi nhánh của công ty, máy chủ
bao gồm các chi tiết: Domain name, địa chỉ
IP,

Thăm dò: Phần lớn thông tin quan trọng từ
server có được từ bước này. Xác định những
thông tin liên quan đến máy chủ của nhà cung
cấp hoặc của khách hàng.

Liệt kê tìm lỗ hổng: Bước này tìm kiếm tài
nguyên được bảo vệ kém, tài nguyên của
người dùng có thể được sử dụng để xâm nhập
bao gồm các mật khẩu mặc định.
Giai đoạn 2:
Phân tích và
hành động
Giai đoạn 3:
Dừng và xóa

dấu vết

Dành quyền truy cập: hacker tìm cách truy
cập vào mạng bằng những thông tin có được
từ các bước trên. Tấn công vào các lỗ hổng
bảo mật bằng cách tấn công vào lỗi tràn bộ
đệm.

Nâng quyền hệ thống: Trong trường hợp
hacker xâm nhập đựợc vào mạng với một tài
khoản nào đó, thì họ sẽ tìm cách kiểm soát
toàn bộ hệ thống.

Khai thác hệ thống: Thông tin lấy từ bước
trên đủ để hacker định vị server và điều khiển
server. Tùy vào mục đích là ăn cắp thông tin
hay phá hoại mà hacker dừng ở những bước
khác nhau.
• Tạo cổng hậu: Để chuẩn bị cho lần xâm nhập
tiếp theo được dễ dàng hơn. Hacker để lại
Backdoors, tức là một cơ chế cho phép hacker
truy nhập trở lại bằng con đường bí mật không
phải tốn nhiều công sức khai phá, bằng việc cài
đặt Trojan hay tạo user mới. Ở đây là các loại
Trojan, keylog, creat rogue user accounts…
• Xoá dấu vết: Sau khi đã có những thông tin
cần thiết, hacker tìm cách xoá dấu vết, xoá các
file LOG của hệ điều hành làm cho người quản
lý không nhận ra hệ thống đã bị xâm nhập hoặc
có biết cũng không tìm ra kẻ xâm nhập là ai. Sử

dụng công cụ: Clear logs, Zap, Event log GUI…
3. CHIẾN LƯỢC BẢO VỆ AN NINH
1. Phòng ngừa vị trí: Giảm nguy sơ tấn công khi sử dụng trong môi
trường cơ sở hạ tầng chia sẻ. Ví dụ: các nhà cung cấp dịch vụ
điện toán đám mây có thế xáo trộn vị trí ảo của các máy vật lý,
hoặc chỉ định ngẫu nhiên địa chỉ IP cho các máy ảo.
2. Loại bớt các mối đe dọa: Người dung có thể yêu cầu cách ly vật
lý. Một trong các tùy chọn là chỉ chia sẻ với những máy có
nguồn gốc rõ rang.
3. NoHype: Hạn chế tối đa mức độ cơ sở hạ tầng được chia sẻ
trong khi vẫn giữ được tính năng của ảo hóa.
4. Xây dựng nền tảng điện toán đám mây đáng tin cậy: Trong đó
đảm bảo một môi trường đáng tin cậy cho khách hàng, đảm bảo
giữ bí mật, xác định những dịch vụ an toàn.
5. Duy trì kiểm soát dữ liệu về khách hàng: Kiểm soát chặt chẽ
những truy vấn khả nghi, chỉ có chủ sở hữu chính mới được
phép truy nhập.
III - RIÊNG TƯ TRONG
ĐIỆN TOÁN ĐÁM MÂY
1. CÁC MỐI ĐE DỌA

Trong một số trường hợp, quyền riêng tư cá nhân là một
hình thức nghiêm ngặt của bảo mật, do có những quan điểm
cho rằng cả 2 đều ngăn chặn rò rỉ thông tin. Do đó, khi bảo
mật của đám mây bị xâm phạm, quyền riêng tư cung bị xâm
phạm. Chúng luôn đi liền, bổ xung trách nhiệm cho nhau,
cũng như những dịch vụ an ninh khác. Ý nghĩa của quyền
riêng tư trong điện toán đám mây gồm 2 phần là: Quyền
riêng tư dữ liệu và quyền riêng tư điện toán.


Như vậy các đối tượng tấn công vào chiếc khiên an ninh
chính là tấn công vào quyền riêng tư của nhà cung cấp dịch
vụ, đồng thời cả khách hàng.
2. CHIẾN LƯỢC BẢO VỆ ĐTĐM

Hàng rào bảo vệ: các hình thức tiếp cận quyền riêng tư được chia
làm 3 loại:
Phương pháp tiếp cận Mô tả Ví dụ
Trung tâm thông tin an ninh
Đối tượng dữ liệu có các
chính sách kiểm soát truy
cập tới chúng.
Một kiến trúc dữ liệu dùng
chung kết hợp mã hóa và
kiểm soát truy cập.
Điện toán tin cậy
Hệ thống sẽ luôn xử lý theo
cách dự kiến đã được lập
trình trước với phần cứng
hoặc phần mềm thực thi.
Nền tảng điện toán đám mây
tin cậy : Mã thông báo phần
cứng ; Quyền riêng-aaS.
Giao thức mật mã
Công nghệ mã hóa và các
công cụ được sử dụng để
bảo vệ sự riêng tư.
Mã hóa hoàn toàn
Homomorphic (FHE) và ứng
dụng của nó.

2. CHIẾN LƯỢC BẢO VỆ ĐTĐM
1. Mật mã không phải là tất cả: Riêng mã hóa không thể cung cấp một giải
pháp toàn diện cho chính sách riêng tư trong điện toán đám mây, mà chỉ
với FHE. Nên có ý tưởng đưa ra phân loại:
.
Loại 1: Phục vụ đơn người dùng: Không có các bên khách có thể biết
được nội dung, quá trình trao đổi giữa khách hàng và nhà cung cấp dịch
vụ.
.
Loại 2: Phục vụ đa người dùng, Phương pháp bảo mật phức tạp hơn do
có nhiều bên tham gia vài quá trình trao đổi dữ liệu. Do đó quá trình
kiểm soát dữ liệu luôn kèm theo quá trình xử lý dữ liệu. ( Để xác định
đúng loại dữ liệu với đúng người dung)
2. Cơ cấu bảo vệ sự riêng tư.
.
Chính sách xếp hạng chiến lược ngăn chặn để giúp khách hang xác
định nhà cung cấp dịch vụ an toàn nhất.
.
Cơ chế tự động tích hợp những yêu cầu và những thỏa thuận của cả
người tham gia và bên cung cấp & có sự cam kết của cả 2 bên.
.
Thực thi chính sách: Đảm bảo chính sách sẽ được thực hiện
KẾT LUẬN
Mặc dù điện toán đám mây đang được coi là một cuộc
cách mạng Internet làm thay đổi cách ứng dụng công nghệ
thông tin, nhưng việc chấp nhận nó vẫn còn nhiều vấn đề
và e ngại chung quanh câu hỏi an toàn, bảo mật thông tin.
Lợi ích của điện toán đám mây là rõ ràng và vô cùng hấp
dẫn, nó làm giảm nhẹ chi phí đầu tư và gánh nặng bảo trì
phần cứng, phần mềm, tuy nhiên từ kiến trúc, dịch vụ và

các đặc điểm của điện toán đám mây cho thấy vẫn còn
nhiều câu hỏi đặt ra cho vấn đề an toàn và bảo mật.
Mặt khác, vấn đề an toàn trên điện toán đám mây
không chỉ là trách nhiệm của nhà cung cấp dịch vụ mà
còn là trách nhiệm của tất cả các bên có liên quan trong
đám mây: nhà cung cấp, khách hàng, người dùng cuối.
Vấn đề này có lẽ vẫn còn phải cần một thời gian nữa để có
thể có giải pháp thỏa đáng làm tăng độ an toàn của đám
mây, nhất là đám mây công cộng (public).
Điện toán đám mây còn rất mới và còn tiềm năng phát
triển và ứng dụng, vấn đề an toàn của đám mây cần được
nghiên cứu tiếp tục để ngày càng trở nên an toàn hơn.
KẾT LUẬN