
TIỂU LUẬN
AN NINH MẠNG THÔNG TIN
1
GIẢNG VIÊN HƯỚNG DẪN: NGUYỄN VIỆT HÙNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
ĐỀ TÀI: BẢO MẬT VÀ QUYỀN RIÊNG TƯ TRONG ĐIỆN
TOÁN ĐÁM MÂY.
LỜI NÓI ĐẦU.
Ngày này, đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu
quả dữ liệu của riêng công ty cũng như dữ liễu khách hàng, đối tác là một
trong những bài toán được ưu tiên hàng đầu và không ngừng gây khó khăn
cho họ. Để có thể quản lý được nguồn dữ liệu đó, ban đầu các doanh
nghiệp cần phải đầu rư, tính toán rất nhiều chi phí cho phần cứng, phần
mềm, mạng, chi phí cho người quản lý bảo trì hệ thống… Ngoài ra họ còn
phải tính toán khả năng mở rộng, nâng cấp thiết bị; phải kiểm soát việc
bảo mật dữ liệu cũng như tính sẵn sàng cao của dữ liệu.
Từ một bài toán điển hình như vậy, chúng ta thấy được rằng nếu có
một nơi tin cậy giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các
doanh nghiệp sẽ không còn phải bận tâm đến cơ sở hạ tầng, công nghệ mà
chỉ tập trung vào công việc kinh doanh của họ, như vậy thì sẽ mang lại
những hiệu quả và lợi ích to lớn.
Thuật ngữ “ Cloud computing” ra đời trong hoàn cảnh như vậy.
Thuật ngữ “cloud computing” còn được bắt nguồn từ ý tưởng đưa
tất cả mọi thứ như dữ liệu, phần mềm, tính toán, … lên trên mạng
Internet. Chúng ta sẽ không còn trông thấy các máy PC, máy chủ của
riêng các doanh nghiệp để lưu trữ dữ liệu, phần mềm nữa mà chỉ còn
một số các “máy chủ ảo” tập trung ở trên mạng. Các “máy chủ ảo” sẽ
cung cấp các dịch vụ giúp cho doanh nghiệp có thể quản lý dữ liệu dễ
dàng hơn, họ sẽ chỉ trả chi phí cho lượng sử dụng dịch vụ của họ, mà

không cần phải đầu tư nhiều vào cơ sở hạ tầng cũng như quan tâm nhiều
đến công nghệ. Xu hướng này sẽ giúp nhiều cho các công ty, doanh
nghiệp vừa và nhỏ mà không có cơ sở hạ tầng mạng, máy chủ để lưu trữ,
quản lý dữ liệu tốt. Các công nghệ mới phát dinh đi theo điện toán đám
mây cũng rất nhiều. Và vấn đề an ninh bảo mật trong điện toán đám mây
là yêu cầu tiên quyết, trong bài tiểu luận này chúng ta sẽ cùng nghiên cứu
về an ninh trong điện toán đám mây.
2
MỤC LỤC.
Contents
L I NÓI U.Ờ ĐẦ 2
M C L C.Ụ Ụ 3
Contents 3
DANH M C HÌNH V .Ụ Ẽ 3
T VI T T T VÀ KÝ T .Ừ Ế Ắ Ự 4
CH NG 1: GI I THI U V I N TOÁN ÁM MÂY.ƯƠ Ớ Ệ Ề Đ Ệ Đ 4
CH NG 2: B O M T TRONG I N TOÁN ÁM MÂY.ƯƠ Ả Ậ Đ Ệ Đ 8
2.1. V n đ an toàn liên quan đ n ki n trúc c a đi n toán đám mây.ấ ề ế ế ủ ệ 8
2.1.1. An ninh m c h t ng.ở ứ ạ ầ 9
2.1.2. An ninh m c d ch v n n t ng.ở ứ ị ụ ề ả 10
2.1.3. An ninh m c d ch v ph n m m.ở ứ ị ụ ầ ề 10
2.2. Các m i đe d a đ n an ninh c a đám mây.ố ọ ế ủ 11
2.3. Hình th c t n công.ứ ấ 12
2.4. Chi n l c b o v an ninh trong T M.ế ượ ả ệ Đ Đ 13
2.5. V n đ m .ấ ề ở 15
K t lu n ch ng 2.ế ậ ươ 15
CH NG 3: RIÊNG T TRONG I N TOÁN ÁM MÂY.ƯƠ Ư Đ Ệ Đ 16
3.1. Các m i đe d a đ n quy n riêng t trong T M.ố ọ ế ề ư Đ Đ 16
3.2. Chi n l c b o v T M.ế ượ ả ệ Đ Đ 16
3.3. V n đ m .ấ ề ở 18

CH NG 4: K T LU N.ƯƠ Ế Ậ 19
TÀI LI U THAM KH O.Ệ Ả 20
DANH MỤC HÌNH VẼ.
Hình 1. Mô hình đi n toán đám mây.ệ 5
Hình 2. Bên trong đám mây 6
Hình 3. Mô hình d ch v trong đi n toán đám mây.ị ụ ệ 7
Hình 4.mô hình d ch v và m t s ng d ng.ị ụ ộ ố ứ ụ 7
3
Hình 5. Ki n trúc phân t ng trong đi n toán đám mây.ế ầ ệ 9
Hình 6. Mô hình 3 l p b o v d li u.ớ ả ệ ữ ệ 13
Hình 7. Mô hình b o m t d a trên Encryption Proxyả ậ ự 14
Hình 8 .Mô hình b o m t d li u s d ng VNP loud.ả ậ ữ ệ ử ụ 15
DANH MỤC BẢNG BIỂU.
B ng 1: Tính b o m t.ả ả ậ 11
B ng 2: Tính toàn v n.ả ẹ 11
B ng 3: Tính s n sàng.ả ẵ 12
B ng 4: Các cách ti p c n quy n riêng t .ả ế ậ ề ư 16
TỪ VIẾT TẮT VÀ KÝ TỰ.
CHƯƠNG 1: GIỚI THIỆU VỀ ĐIỆN TOÁN ĐÁM MÂY.
1.1. Định nghĩa.
Điện toán đám mây: còn gọi là điện toán máy chủ ảo, là mô hình điện
toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet.
Thuật ngữ "đám mây" ở đây là chỉ mạng Internet (dựa vào cách được bố
trí của nó trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức
tạp của các cơ sở hạ tầng chứa trong nó.
4
Hình 1. Mô hình điện toán đám mây.
Ở mô hình điện toán này, mọi khả năng liên quan đến công nghệ
thông tin đều được cung cấp dưới dạng các "dịch vụ", cho phép người sử
dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó "trong

đám mây" mà không cần phải có các kiến thức, kinh nghiệm về công nghệ
đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công
nghệ đó.
1.2. Mô hình tổng quan.
Theo định nghĩa, các nguồn điện toán khổng lồ như phần mềm, dịch
vụ… sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong
máy tính gia đình và văn phòng (trên mặt đất) để mọi người kết nối và sử
dụng mỗi khi họ cần.
Hiện nay, các nhà cung cấp đưa ra nhiều dịch vụ của cloud
computing theo nhiều hướng khác nhau, đưa ra các chuẩn riêng cũng như
cách thức hoạt động khác nhau. Do đó, việc tích hợp các cloud để giải
quyết một bài toán lớn của khách hàng vẫn còn là một vấn đề khó khăn.
Chính vì vậy, các nhà cung cấp dịch vụ đang có xu hướng tích hợp các
cloud lại với nhau thành “sky computing”, đưa ra các chuẩn chung để
5
Hình 2. Bên trong đám mây.
giải quyết các bài toán lớn của khách hàng.
1.3. Một số dịch vụ của Cloud computing.
Trong điện toán đám mây, mọi khả năng liên quan đến công nghệ
thông tin đều được cung cấp phổ biến dưới dạng “dịch vụ” (service), người
sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó “trong
đám mây” mà không cần quan tâm đến các cơ sở hạ tầng phục vụ công
nghệ đó. Có 03 mô hình cơ bản nhất thường được sử dụng trong điện toán
đám mây là: Phần mềm như một dịch vụ (SaaS); Hạ tầng như một dịch vụ
(PaaS) và nền tảng như một dịch vụ (IaaS). Một cách đơn giản, có thể so
sánh các mô hình này với mô hình truyền thống.
6
Hình 3. Mô hình dịch vụ trong điện toán đám mây.
Hình 4.mô hình dịch vụ và một số ứng dụng.
1.4. Các đặc điểm của điện toán đám mây.

Đặc điểm: 5 đặc điểm cần thiết để minh họa mối liên kết cũng như sự khác
nhau giữa kiến trúc điện toán đám mây và điện toán truyền thống.
- Dịch vụ theo yêu cầu. Một người sử dụng có thể đơn phương cung
cấp các khả năng điện toán như thời gian máy chủ và lưu trữ trên
mạng khi cần thiết một cách tự động, mà không yêu cầu có sự tương
tác với một nhà cung cấp dịch vụ.
- Truy cập mạng rộng. Các khả năng là sẵn sàng thông qua mạng và
được truy cập thông qua các cơ chế tiêu chuẩn mà khuyến khích sử
dụng bằng các nền tảng máy trạm mỏng và dày một cách hỗn hợp (như
7
các điện thoại di động, các máy tính xách tay và các thiết bị số cá nhân
PDA) cũng như các dịch vụ phần mềm khác theo lối truyền thống ho
ặc dựa trên đám mây.
- Gộp tài nguyên. Các tài nguyên điện toán của nhà cung cấp được gộp
lại để phục vụ cho nhiều người sử dụng có sử dụng mô hình nhiều
người thuê sử dụng, với các tài nguyên ảo và vật lý khác nhau được
chỉ định và chỉ định lại theo phương thức động theo yêu cầu của người
sử dụng. Có một mức độ độc lập về vị trí trong đó người sử dụng
thường không có sự kiểm soát hoặc hiểu biết về vị trí chính xác đối với
các tài nguyên của nhà cung cung cấp, nhưng có thể có khả năng chỉ
định vị trí ở mức trừu tượng cao hơn (như, quốc gia, bang, hoặc trung
tâm dữ liệu). Những ví dụ về các tài nguyên bao gồm lưu trữ, xử lý, bộ
nhớ, băng thông mạng, và các máy ảo. Thậm chí các đám mây riêng có
xu hướng g ộp các tài nguyên giữa những phần khác nhau của cùng
một tổ chức.
- Tính đàn hồi nhanh. Các khả năng có thể được cung cấp một cách
nhanh chóng và đàn hồi – trong một số trường hợp là một cách tự động
– để nhanh chóng mở rộng phạm vi ra ngoài; và nhanh chóng đưa ra
để nhanh chóng thu hẹp phạm vi lại. Đối với người sử dụng, các
khả năng sẵn sàng cho việc cung cấp dường như thường là không giới

hạn và có thể được mua theo bất kỳ số lượng nào, bất kỳ lúc nào.
- Dịch vụ được đo đếm. Các hệ thống đám mây tự động kiểm soát và
tối ưu hóa việc sử dụng các tài nguyên bằng việc thúc đẩy một khả
năng đo đếm được ở một số mức trừu tượng phù hợp với dạng dịch vụ
(như lưu trữ, xử lý, độ rộng băng thông, hoặc các tài khoản người
sử dụng tích cực đang hoạt động). Việc sử dụng các tài nguyên có thể
được giám sát, kiểm soát, và báo cáo – cung cấp sự minh bạch cho cả
nhà cung cấp và người sử dụng dịch vụ.
1.5. Kết luận chương 1.
CHƯƠNG 2: BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM
MÂY.
2.1. Vấn đề an toàn liên quan đến kiến trúc của điện toán đám mây.
Điện toán mây được cấu thành từ nhiều thành phần khác nhau. Từ
máy chủ, lưu trữ, mạng được ảo hóa, tiếp theo là các thành phần quản lý
Cloud Management. Thành phần này sẽ quản lý tất cả các tài nguyên được
ảo hóa và tạo ra các máy chủ ảo với hệ điều hành, ứng dụng để cung cấp
cho khách hàng. Như vậy, điện toán mây là một mô hình lego với rất nhiều
8
miếng ghép công nghệ tạo thành. Mỗi một miếng ghép lại tồn tại trong nó
những vấn đề bảo mật và vô hình chung, điện toán mây khi giải bài toán
bảo mật tất yếu phải giải quyết các vấn đề của những miếng ghép trên.
Các dịch vụ điện toán đám mây có kiến trúc phân tầng, mỗi tầng cung cấp
các dịch vụ và tiện tích của tầng thấp hơn. Vì vậy an ninh của hệ thống
phụ thuộc vào an ninh của mỗi tầng được thiết kế và cài đặt kèm theo như
là một dịch vụ hay tiện ích.
Hình 5. Kiến trúc phân tầng trong điện toán đám mây.
2.1.1. An ninh ở mức hạ tầng.
An ninh của các dịch vụ ở tầng thấp như tầng vật lý hay hạ tầng (IaaS)
phụ thuộc vào nhà cung cấp, tức là chủ sở hữu của đám mây. Hiện tại, có một
số nhà cung cấp dịch vụ IaaS nhưng chưa có chuẩn nào về an ninh cho các

dịch vụ này. Vềmặt nguyên tắc, khách hàng thuê bao dịch vụ IaaS có thể áp
đặt các chính sách an ninh của mình bằng cách phát triển các dịch vụ hay tiện
ích riêng thông qua các dịch vụ của tầng vật lý và các dịch vụ IaaS của nhà
cung cấp. Chính sách về an toàn ởmức này là rất phức tạp vì nhiều chính sách
khác nhau áp đặt lên cùng một môi trường phần cứng (vật lý).
Những mối đe dọa này có thể liên quan đến máy chủ ảo như là vi rút và
các phần mềm độc hại khác. Nhà cung cấp dịch vụ chịu trách nhiện chính về
giải pháp cho vấn đề này. Khách hàng thuê bao cũng có thể thực hiện các giải
pháp và chính sách an toàn riêng cho mình, từ đó làm gia tăng gánh nặng lên
phần cứng và hiệu năng chung của hệ thống. Các máy chủ ảo vẫn có thể bị lây
nhiễm hay bị kiểm soát bởi phần mềm độc hại. Trong trường hợp này, các
chính sách an ninh của khách hàng có thể bị vô hiệu, như vậy nhà cung cấp
dịch vụ phải là người có vai trò chính trong an ninh ở mức này. Ngoài ra, vì
IaaS khai thác hạ tầng vật lý và chính sách chung như DNS Server, Switch, IP
protocol,… Vì vậy, khả năng bị tấn công vào “khách hàng yếu nhất” sau đó
“lây lan” cho các khách hàng khác. Vấn đề này hiện nay khách hàng thuê bao
9
không thểcan thiệp gì vì nhiều máy chủ ảo chia sẻ cùng tài nguyên vật lý như
CPU, bộnhớ, đĩa,… Mọi ánh xạ vật lý-máy ảo, máy ảo-vật lý đều thông qua
một “bộ ảo hóa”, nếu bộ này bị phần mềm độc hại kiểm soát thì toàn bộ khách
hàng trong đám mây sẽ bị cùng một mối hiểm họa như nhau.
2.1.2. An ninh ở mức dịch vụ nền tảng.
Ở mức trung gian, dịch vụ nền tảng (PaaS) dựa trên dịch vụ tầng dưới
(IaaS) và cung cấp dịch vụ của mình cho tầng trên nó (SaaS). Ở mức này, các
dịch vụ hay tiện ích về an toàn có thể được cài đặt thêm hoặc cấu hình
các dịch vụ được cung cấp từ tầng dưới. Ở đây, người dùng có thể quản trị
phần thuê bao của mình để tạo ra môi trường thực thi các ứng dụng. Hiện nay,
dịch vụ PaaS của đám mây dựa trên mô hình kiến trúc hướng dịch vụ (SOA)
vì vậy những nguy cơ về an toàn giống hệt như những nguy cơ an toàn của
SOA như tấn công từ chối dịch vụ, tấn công XML và nhiều cách tấn công

khác 1114. Vì dịch vụ nền tảng là dịch vụ đa thuê bao, nhiều người
dùng nên cơ chế xác thực, chứng thực là rất quan trọng. Trách nhiệm bảo mật
và an toàn trong trường hợp này liên quan đến cảnhà cung cấp, người thuê
bao và người dùng (user). Các dịch vụ PaaS phải cung cấp môi trường đểphát
triển ứng dụng bao gồm chức năng tác nghiệp, các chức năng an toàn và quản
lí hệthống. Nhà cung cấp cần có cơ chế bắt buộc chứng thực để truy cập các
dịch vụ PaaS, người thuê bao có trách nhiệm phát triển hay cung cấp các chức
năng bảo mật cần thiết thông qua cơchếchứng thực chung và người dùng phải
có trách nhiệm bảo vệ tài khoản đăng nhập cá nhân của mình.
2.1.3. An ninh ở mức dịch vụ phần mềm.
Ở mức dịch vụ phần mềm (SaaS), các phần mềm được cung cấp như là
dịch vụ trên mạng, sử
dụng các chính sách bảo mật dữ liệu và tài nguyên khác từcác tầng bên
dưới cung cấp. Một số dịch vụ phần mềm khá phổ biến hiện nay là Google
Search Engine, Google mail… Khách hàng của các dịch vụ này không biết
được dữ liệu của mình được quản lí và khai thác như thếnào và nó nằm ở đâu
trên thế giới này. Vấn đềan ninh ở đây liên quan đến bảo mật dữ liệu, rò rỉ
thông tin nhạy cảm và nguy cơ bị tấn công từ chối truy cập… Trách nhiệm về
an toàn được chia sẻ cho nhà cung cấp hạ tầng đám mây và nhà cung cấp dịch
vụ phần mềm.
Người dùng đầu cuối (end user) chỉ là người dùng phần mềm với các
lựa chọn cấu hình khác nhau được cung cấp bởi phần mềm nên không có
nhiều vai trò trong an toàn hệ thống. Người dùng cuối chỉ biết tin vào nhà
cung cấp phần mềm và các cam kết của nhà cung cấp về trách nhiệm bảo mật.
Thông thường các cam kết này có thể là điều khoản trong hợp đồng thuê bao
phần mềm, như là: an toàn thông tin và chất lượng dịch vụ. Chúng thường bao
10
gồm: dung lượng dữ liệu, toàn vẹn dữ liệu, chính sách về phân tán, sao lưu và
phục hồi dữ liệu khi có sự cố, độ tin cậy, tính riêng tư và an toàn mạng cùng
với các cam kết khác vềchất lượng dịch vụ như dung lượng đường truyền,

tính sẵn dùng.
2.2. Các mối đe dọa đến an ninh của đám mây.
Sự đe dọa.
Bảng 1: Tính bảo mật.
Nh ng m i đe d a t ng i dùng n i b :ữ ố ọ ừ ườ ộ ộ
• Mã đ c t ng i cung c p d ch v đi n toán đám mây.ộ ừ ườ ấ ị ụ ệ
• Mã đ c t ng i s d ng.ộ ừ ườ ử ụ
• Mã đ c t m t bên th 3.ộ ừ ộ ứ
Nh ng m i đe d a t n công t bên ngoài.ữ ố ọ ấ ừ
• Ph n m m t xa t n công c s h t ng c a đám mây.ầ ề ừ ấ ơ ở ạ ầ ủ
• Ph n m m t xa t n công ng d ng c a đám mây.ầ ề ừ ấ ứ ụ ủ
• Ph n c ng t xa t n công đám mây.ầ ứ ừ ấ
• Ph n m m và ph n c ng t n công t chầ ề ầ ứ ấ ổ ứ
Rò r d li u:ỉ ữ ệ
• L i c a b o m t truy c p trên nhi u tên mi n.ỗ ủ ả ậ ậ ề ề
• L i c a đi n t và h th ng truy n d n v t lý cho cho ỗ ủ ệ ử ệ ố ề ẫ ậ
d li u đám mây và d phòng.ữ ệ ự
Bảng 2: Tính toàn vẹn.
S phân ly d li u.ự ữ ệ
• Vành đai an ninh không đúng quy đ nh.ị
• C u hình không chính xác c a các máy o và hypervisor.ấ ủ ả
Truy c p ng i dùng.ậ ườ
• Nghèo v nh n d ng và qu n lý th t c truy c p.ề ậ ạ ả ủ ụ ậ
Ch t l ng d li u.ấ ượ ữ ệ
• Gi i thi u l i nh ng ng d ng và thành ph n c s h ớ ệ ỗ ữ ứ ụ ầ ơ ở ạ
t ng.ầ
11
Bảng 3: Tính sẵn sàng.
S thay đ i qu n lý.ự ổ ả
M i đe d a t s t ch i.ố ọ ừ ự ừ ố

• Chia b ng thông m ng b t ch i.ă ạ ị ừ ố
• DNS t ch i d ch v .ừ ố ị ụ
• ng d ng và d li u t ch i d ch v .ứ ụ ữ ệ ừ ố ị ụ
Gián đo n v t lý.ạ ậ
Khai thác th t c ph c h i y u.ủ ụ ụ ồ ế
2.3. Hình thức tấn công.
Khi dao d ch trong môi tr ng đi n toán đám mây, b o m t có ngh là d li u đ c ị ườ ệ ả ậ ĩ ữ ệ ượ
gi bí m t t c 2 phía là khách hàng và nhà cung c p. Không m t bên th 3 nào ữ ậ ừ ả ấ ộ ứ
đ c bi t các thông tin liên quan đ n d li u đó.ượ ế ế ữ ệ
Hình thức tấn công.
Có 2 chủ thể trên điện toán đám mây là người dùng và nhà cung cấp
Các mối đe dọa đến an toàn trong điện toán đám mây tạm gọi là hacker.
Các bước thực hiện của một cuộc tấn công:
Đầu tiên hacker tiến hành thu thập thông tin về mục tiêu, kiểu giao tiếp trao đổi
dữ liệu.
Giai đoạn 1: thu thập thông tin.
• Thu thập: Thu thập càng nhiều thông tin liên quan về đối tượng càng tốt,
người dùng, doanh nghiệp, chi nhánh của công ty, máy chủ bao gồm các
chi tiết: Domain name, Địa chỉ IP,…
• Thăm dò: phần lớn thông tin quan trọng từ sever có được từ bước này. Xác
định những thông tin liên quan đến máy chủ của nhà cung cấp hoặc của
khách hàng.
• Liệt kê tìm lỗ hổng: Bước này tím kiếm tài nguyên được bảo vệ kém, tài
khoản của người dùng có thể được sử dụng để xâm nhập bao gồm các mật
khẩu mặc định.
Giai đoạn 2: Phân tích và hành động.
• Dành quyền truy cập: hacker tìm cách truy cập vào mạng bằng những
thông tin có được từ các bước trên. Tấn công vào các lỗ hổng bảo mật
bằng cách tấn công vào lỗi tràn bộ đệm.
• Nâng quyền hệ thống: Trong trường hợp hacker xâm nhập đựợc vào mạng

với một tài khoản nào đó, thì họ sẽ tìm cách kiểm soát toàn bộ hệ thống.
Hacker sẽ tìm cách crack password của admin, hoặc sử dụng lỗ hổng để
leo thang đặc quyền. Kẻ xâm nhập có thể truy cập vào các files hay folder
dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy
cập. Khi hacker đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặt
12
phần mềm như là Backdoors và Trojan horses, cũng như cho phép truy cập
sâu hơn và thăm dò. Mục đích chung của hacker là chiếm được quyền truy
cập ở mức độ quản trị. Khi đó xem như có toàn quyền điều khiển hệ thống
mạng. Có thể sử dụng Sniffer để bắt các gói tin, từ đó phân tích tìm ra mật
khẩu.
• Khai thác hệ thống: Thông tin lấy từ bước trên đủ để hacker định vị server
và điều khiển server. Tùy vào mục đích là ăn cắp thông tin hay phá hoại
mà hacker dừng ở những bước khác nhau.
Giai đoạn 3 : Dừng và xóa dấu vết.
• Tạo cổng hậu: Để chuẩn bị cho lần xâm nhập tiếp theo được dễ dàng hơn.
Hacker để lại Backdoors, tức là một cơ chế cho phép hacker truy nhập trở
lại bằng con đường bí mật không phải tốn nhiều công sức khai phá, bằng
việc cài đặt Trojan hay tạo user mới. Ở đây là các loại Trojan, keylog,
creat rogue user accounts…
• Xoá dấu vết: Sau khi đã có những thông tin cần thiết, hacker tìm cách xoá
dấu vết, xoá các file LOG của hệ điều hành làm cho người quản lý không
nhận ra hệ thống đã bị xâm nhập hoặc có biết cũng không tìm ra kẻ xâm
nhập là ai. Sử dụng công cụ: Clear logs, Zap, Event log GUI…
•
2.4. Chiến lược bảo vệ an ninh trong ĐTĐM.
Đảm bảo an toàn là vấn đề sống còn đối với sự phát triển của điện toán
đám mây trong thực tế. Hiện nay, rất nhiều tổ chức và doanh nghiệp đã
nghiên cứu và đưa ra nhiều giải pháp an toàn cho điện toán đám mây. Dưới
đây giới thiệu sơ lược về một số mô hình an toàn và thuật toán mã hóa cơ bản

đã được xuất bản gần đây.
Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây
Hình 6. Mô hình 3 lớp bảo vệ dữ liệu.
Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, với
giải pháp thường được áp dụng là dùng mật khẩu một lần (One Time
13
Password - OTP). Các hệ thống đòi hỏi tính an toàn cao sẽ yêu cầu xác thực
từ hai phía là người dùng và nhà cung cấp, nhưng với các nhà cung cấp điện
toán đám mây miễn phí, thì chỉ xác thực một chiều (Hình 3).
- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toàn
vẹn dữ liệu (Data Integrity) và bảo vệ tính riêng tư người dùng (Private User
Protection) thông qua một thuật toán mã hóa đối xứng.
- Lớp 3 (Layer 3): Lớp dữ liệu người dùng phục vụ cho việc phục hồi nhanh
dữ liệu theo tốc độ giải mã.
Mô hình bảo mật dựa trên Encryption Proxy
Hệ thống trên được thiết kế để mã hóa toàn bộ dữ liệu của người dùng trước
khi đưa lên đám mây.
Hình 7. Mô hình bảo mật dựa trên Encryption Proxy
Quá trình mã hóa/giải mã và xác thực được thông qua Encryption Proxy.
Mô hình này đảm bảo dữ liệu an toàn và bí mật trong quá trình truyền
(transmission) và lưu trữ (storage) giữa người dùng và đám mây. Để các bản
mã vẫn được xử lý và quản lý lưu trữ mà không cần giải mã thì thuật toán mã
hóa dữ liệu đồng phôi (homomorphic encryption algorithm) và đồng phôi đầy
đủ (fully hommomorphic) đang được quan tâm nghiên cứu ứng dụng trong
mô hình này. Thông tin bí mật của người dùng phục vụ quá trình mã hóa/giải
mã được lưu tại Secure Storage.
Mô hình bảo vệ dữ liệu sử dụng VPN Cloud.
Trong mô hình duới, để đảm bảo dữ liệu trên kênh truyền được an toàn,
người ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đường truyền giữa
các đám mây riêng với nhau và giữa người sử dụng với đám mây. Với các tổ

chức có nhu cầu an toàn dữ liệu cao thì khi triển khai thường lựa chọn mô hình
điện toán đám mây riêng (Private Cloud Computing). VPN Cloud sẽ giúp cho
việc kết nối giữa người dùng và đám mây, cũng như kết nối giữa các đám mây
riêng được an toàn và bảo mật thông qua chuẩn IPSec.
14
Hình 8 .Mô hình bảo mật dữ liệu sử dụng VNP loud.
Công nghệ VPN trong các hệ thống mạng truyền thống đã phát huy
nhiều ưu việt và được dùng khá phổ biến. Tuy nhiên, với công nghệ điện
toán đám mây luôn đòi hỏi tính linh động (dynamic) và mềm dẻo (elastic)
trong tổ chức cũng như quản lý hệ thống, thì các kỹ thuật dynamic VPN hay
elastic VPN sẽ phù hợp. Khi số lượng kết nối VPN trong hệ thống điện toán
đám mây lớn sẽ đòi hỏi mô hình thiết lập VPN phù hợp tương ứng. Có hai
mô hình VPN thường được quan tâm là Hub - and - Spoke và Full- Mesh.
2.5. Vấn đề mở.
Điện toán đám mây đang phát triển và mở rộng với tốc độ nhanh
chóng và công nghệ này sẽ thay thế dần các công nghệ truyền thống trong
thời gian tới. Việc ứng dụng điện toán đám mây không chỉ cho các doanh
nghiệp vừa và nhỏ, hay người dùng đơn lẻ mà nó đã được triển khai cho các
doanh nghiệp lớn, các cơ quan nhà nước. Vấn đề đặt ra là sử dụng điện toán
đám mây có thực sự an toàn cho tính riêng tư của người sử dụng; tính toàn
vẹn dữ liệu; tính bảo mật Đây còn là vấn đề cần được đầu tư nghiên cứu
trong thời gian tới.
Kết luận chương 2.
Chương 2 giới thiệu về các nguy cơ đe dọa đến điện toán đám mây.
Các chiến lược bảo vệ an ninh trong điện toán đám mây cũng được đưa ra
thảo luận. Trên cơ sở đó trình bày các vấn đề mở cần được nghiên cứu trong
tương lai. Tính bảo mật trong điện toán đám mây luôn được chú ý xem xét
kĩ lưỡng. Tương tự như tính bảo mật, quyền riêng tư trong điện toán đám
mây cũng được giới người dùng quan tâm. Chương 3 sẽ giới thiệu về vấn đề
này.

15
CHƯƠNG 3: RIÊNG TƯ TRONG ĐIỆN TOÁN ĐÁM
MÂY.
Quy n riêng t n i quan tâm l n nh t trong mô hình đi n toán đám mây, ề ư ỗ ớ ấ ệ
do th c t r ng r t nhi u thông tin d li u c a khách hàng và doanh nghi p ự ế ằ ấ ề ữ ệ ủ ệ
ch a trong đám mây đ c ki m soát và duy trì b i các nhà cung c p. Vì th có ứ ượ ể ở ấ ế
nh ng r i ro ti m n ng mà các d li u bí m t (ví d : tài kho n, d li u tài ữ ủ ề ă ữ ệ ậ ụ ả ữ ệ
chính, s c kh e, b o hi m…) ho c các thông tin cá nhân b ti t l m t cách ứ ỏ ả ể ặ ị ế ộ ộ
r ng rãi, th m chí có nh ng thông tin tuy t m t cho các đ i th c nh tranh ộ ậ ữ ệ ậ ố ủ ạ
trong kinh t doanh nghi p thì qu là m t l i lo l n. Do đó, quy n riêng t là ế ệ ả ộ ỗ ớ ề ư
m t v n đ u tiên cao nh t.ộ ấ ề ư ấ
Trong ch ng này chúng ta chú ý đ n quy n riêng t cá nhân nh m t thu c tính ươ ế ề ư ư ộ ộ
c t lõi. < t vài thu c tính b o m t tr c ti p ho c gián ti p nh h ng đ n ố ộ ộ ả ậ ự ế ặ ế ả ưở ế
quy n riêng t cá nhân, bao g m b o m t, tính toàn v n, trách nhi m gi i ề ư ồ ả ậ ẹ ệ ả
trình… Rõ ràng, đ d li u không b ti t l , b o m t là y u t không th thi u ể ữ ệ ị ế ộ ả ậ ế ố ể ế
và đ m b o tính toàn v n c a d li u. ả ả ẹ ủ ữ ệ
3.1. Các mối đe dọa đến quyền riêng tư trong ĐTĐM.
A. Nh ng m i đe d a đ n quy n riêng t trong đi n toán đám mây.ữ ố ọ ế ề ư ệ
Trong m t s tr ng h p, quy n riêng t cá nhân là m t hình th c ộ ố ườ ợ ề ư ộ ứ
nghiêm ng t c a b o m t, do có nh ng quan đi m cho r ng c 2 đ u ng n ặ ủ ả ậ ữ ể ằ ả ề ă
ch n rò r thông tin. Do đó, khi b o m t c a đám mây b xâm ph m, quy n riêng ặ ỉ ả ậ ủ ị ạ ề
t cung b xâm ph m. Chúng luôn đi li n, b xung trách nhi m cho nhau, c ngư ị ạ ề ổ ệ ũ
nh nh ng d ch v an ninh khác. Ý ngh a c a quy n riêng t trong đi n toán ư ữ ị ụ ĩ ủ ề ư ệ
đám mây g m 2 ph n là:ồ ầ Quy n riêng t d li u và quy n riêng t i n toán.ể ư ữ ệ ề ư đ ệ
Nh v y các đ i t ng t n công vào chi c khiên an ninh chính là t n ư ậ ố ượ ấ ế ấ
công vào quy n riêng t c a nhà cung c p d ch v , đ ng th i c khách hàng.ề ư ủ ấ ị ụ ồ ờ ả
3.2. Chiến lược bảo vệ ĐTĐM.
Hàng rào b o v .ả ệ
Các hình th c ti p c n quy n riêng t đ c chia thành 3 lo i:ứ ế ậ ề ư ượ ạ
Bảng 4: Các cách tiếp cận quyền riêng tư.

Phương pháp tiếp cận Mô tả Ví dụ
Trung tâm thông tin an
ninh
Đối tượng dữ liệu có các
chính sách kiểm soát truy
cập tới chúng.
Một kiến trúc dữ liệu dùng
chung kết hợp mã hóa và
kiểm soát truy cập.
16
Điện toán tin cậy
Hệ thống sẽ luôn xử lý
theo cách dự kiến đã được
lập trình trước với phần
cứng hoặc phần mềm thực
thi.
Nền tảng điện toán đám
mây tin cậy : Mã thông báo
phần cứng ; Quyền riêng-
aaS.
Giao thức mật mã
Công nghệ mã hóa và các
công cụ được sử dụng để
bảo vệ sự riêng tư.
Mã hóa hoàn toàn
Homomorphic (FHE) và
ứng dụng của nó.
Nâng cao công ngh mã hóa.ệ
Fully homomophic Encryption (FHE) cho phép tính toán trên d li u mã ữ ệ
hóa, đ c l u tr trong các máy ch c a nhà cung c p d ch v trên đi n toán đám ượ ư ữ ủ ủ ấ ị ụ ệ

mây. D li u có th đ c x lý mà không c n gi i mã. Các máy ch đám mây có ít ữ ệ ể ượ ử ầ ả ủ
ho c không có chút hi u bi t gì v n i dung ch a trong gói tin x lý bên ặ ể ế ề ộ ứ ử ở
đ u vào, và các ch c n ng x lý. FHE tr thành m t công c m nh m đ th cầ ứ ă ử ở ộ ụ ạ ẽ ể ự
thi b o m t trong đi n toán đám mây. Tuy nhiên, FHE v n còn ch a m t s ả ậ ệ ẫ ứ ộ ố
nh c đi m đó là nó khá ph c t p trong th c t , vì v y các nhà nghiên c u đang ượ ể ứ ạ ự ế ậ ứ
c g ng gi m s ph c t p c a nó xu ng t i đa đ l y l i hi u qu .ố ắ ả ự ứ ạ ủ ố ố ể ấ ạ ệ ả
Mã hóa d li u khi ng b quan d ch v i n toán ám mây.ữ ệ đồ ộ ị ụ đ ệ đ
Với dịch vụ Điện toán đám mây, dữ liệu của người dùng được đồng bộ
một cách tự động mà không đòi hỏi các thiết bị phải kết nối với nhau, chỉ cần
kết nối vào mạng Internet là đủ. Tuy nhiên, vấn đề cần được giải quyết là bảo
mật dữ liệu trong dịch vụ này.
- Đồng bộ dữ liệu và vấn đề bảo mật.: Với dịch vụ ĐTĐM, khi người
dùng cần đồng bộ tập tin giữa nhiều thiết bị khác nhau thì phải cài
lên mỗi thiết bị một phần mềm của nhà cung cấp dịch vụ, đồng thời
xác định một thư mục để chứa tập tin cần đồng bộ. Sự thay đổi trong
thư mục của người dùng (thêm/xóa tập tin, chỉnh sửa tập tin) sẽ được
tự động thực hiện trên mọi thiết bị liên quan. Như vậy, người dùng
không cần phải sao chép tập tin để mang đi sử dụng ở nơi khác;
không phải cập nhật lại tập tin ở mọi thiết bị và không phải nghĩ xem
“bản mới nhất của tài liệu được lưu trên thiết bị nào”.
Tuy nhiên, có một vấn đề quan trọng đặt ra với những người
muốn sử dụng dịch vụ ĐTĐM để đồng bộ dữ liệu, đó là bảo mật và
an toàn thông tin. Trước đây, dữ liệu chỉ được mã hóa.
Như vậy, để vừa có được những lợi ích mà các dịch vụ này mang
lại, vừa đảm bảo được bí mật cho dữ liệu của mình, người dùng cần
sử dụng mật mã. Dữ liệu cần phải được mã hóa trên máy khách (trên
thiết bị của người dùng) và truyền lên máy chủ ở dạng đã mã hóa.
- Mã hóa bằng EncFS : một hệ quản lý tập tin mật mã ảo (virtual
encrypting file system). Điểm giống nhau giữa EncFS với các công
cụ trên đây là khi hoạt động, chúng đều tạo ra trong hệ thống một

17
(một số) ổ đĩa ảo; khi đưa một đĩa ảo vào ổ đĩa ảo, người dùng có thể
truy cập đến dữ liệu trong đĩa ảo một cách bình thường, còn trên thực
tế thì mọi dữ liệu đều được mã hóa trước khi lưu lên đĩa. EncFS khác
với các công cụ còn lại ở một điểm cơ bản. Mỗi đĩa ảo của các công
cụ kia tồn tại ở dạng một tập tin duy nhất trong hệ thống (tương tự
như tập tin ISO). Khi ta thay đổi một tập tin trong đĩa ảo thì cũng có
nghĩa là tập tin đĩa ảo bị thay đổi và cần phải được đồng bộ. Còn đĩa
ảo của EncFS là một thư mục. Khi người dùng thao tác với một tập
tin, chỉ có một tập tin tương ứng với nó trong thư mục đĩa ảo bị thay
đổi. Tất nhiên, thư mục này (chứa các tập tin ở dạng đã mã hóa) có
thể nằm trong thư mục của Dropbox. Và như thế, khi sử dụng EncFS,
dữ liệu của ta vẫn được mã hóa trước khi chuyển lên máy chủ và
DropBox vẫn chỉ phải đồng bộ những tập tin bị thay đổi.
- Truy cập tập tin đã mã hóa qua giao diện web: Một khi đã sử
dụng BoxCryptor cho Dropbox, thì ta sẽ không thể truy cập được các
tập tin đã mã hóa qua giao diện web (chính xác là ta có thể tải chúng
về, nhưng không thể mở ra được vì chúng đã được mã hóa). Để giải
quyết vấn đề này, ta có thể sử dụng phiên bản di động (portable
version) của BoxCryptor. Nó sẽ giúp ta giải mã các file đã được mã
hóa. Nhưng hãy lưu ý rằng, nếu ta không vô hiệu hóa chức năng mã
hóa tên tập tin của BoxCryptor thì khó mà tìm được tập tin cần thiết
qua giao diện web của Dropbox. Phiên bản di động của BoxCryptor
ra đời nhằm mục đích sử dụng trong những trường hợp quyền của
người dùng trong hệ thống (máy tính) bị hạn chế. Và cũng cần nói
thêm rằng, nó làm việc rất tốt với phiên bản di động của Dropbox
3.3. Vấn đề mở.
Riêng t chính là v n đ và c ng là trách nhi m c a b o m t, hai khái ni m ư ấ ề ũ ệ ủ ả ậ ệ
nh ng m t ý ngh a, m t nhi m v . Nghiên c u v quy n b o m t chính là ư ộ ĩ ộ ệ ụ ứ ề ề ả ậ
nghiên c u đ b o v quy n riêng t chính là b o v l i ích cho ng i s d ng ứ ể ả ệ ề ư ả ệ ợ ườ ử ụ

và bên cung c p kh i m t bên th ba mu n phá ho i và l i d ng.ấ ỏ ộ ứ ố ạ ợ ụ
Riêng t hay an ninh trong đám mây nói chung v n là m t v n đ c n ph i ư ẫ ộ ấ ề ầ ả
nghiên c u trong nhi u n m, đ a ra nh ng ý t ng m i đ che l p nh ng l ứ ề ă ư ữ ưở ớ ể ấ ữ ỗ
h ng b o m t. ổ ả ậ
18
CHƯƠNG 4: KẾT LUẬN.
Mặc dù điện toán đám mây đang được coi là một cuộc cách mạng Internet
làm thay đổi cách ứng dụng công nghệ thông tin, nhưng việc chấp nhận nó vẫn
còn nhiều vấn đề và e ngại chung quanh câu hỏi an toàn, bảo mật thông tin. Lợi
ích của điện toán đám mây là rõ ràng và vô cùng hấp dẫn, nó làm giảm nhẹ chi
phí đầu tư và gánh nặng bảo trì phần cứng, phần mềm, tuy nhiên từ kiến trúc,
dịch vụ và các đặc điểm của điện toán đám mây cho thấy vẫn còn nhiều câu hỏi
đặt ra cho vấn
đề an toàn và bảo mật. Mặt khác, vấn đề an toàn trên điện toán đám mây
không chỉ là trách nhiệm của nhà cung cấp dịch vụ mà còn là trách nhiệm của tất
19
cả các bên có liên quan trong đám mây: nhà cung cấp, khách hàng, người dùng
cuối. Vấn đề này có lẽ vẫn còn phải cần một thời gian nữa để có thể có giải pháp
thỏa đáng làm tăng độ an toàn của đám mây, nhất là đám mây công cộng
(public).
Điện toán đám mây còn rất mới và còn tiềm năng phát triển và ứng dụng,
vấn đề an toàn của đám mây cần được nghiên cứu tiếp tục để ngày càng trở nên
an toàn hơn.
TÀI LIỆU THAM KHẢO.
[1] , Tr n Cao. 21/10/2013. "T NG QUAN V AN NINH TRÊN I N TOÁN ÁM MÂY." Đệ ầ Ổ Ề Đ Ệ Đ
T p chó khoa h c công ngh tr ng i h c C n Th .ạ ọ ệ ườ đạ ọ ầ ơ
[2] Jaydip Sen, Innovation Labs, Tata Consultancy Services Ltd., Kolkata, INDIA. 2013.
Security and privacy Issues in cloud computing.
[3] Xiao, Zhifeng Xiao and Yang. 2013. "Security and Privacy in Cloud Computing." IEEE
COMMUNICATIONS SURVEYS & TUTORIALS, VOL. 15, NO. 2, SECOND

QUARTER 2013.
20
21