Tải bản đầy đủ (.pdf) (84 trang)

Nghiên cứu giải pháp đảm bảo an ninh và an toàn cho dịch vụ điện toán đám mây

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.73 MB, 84 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM H
À NỘI 2
PHẠM THỊ KIM OANH
NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH VÀ
AN TOÀN CHO D
ỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY
LUẬN VĂN THẠC SĨ MÁY TÍNH
HÀ NỘI, 2014
PHẠM THỊ KIM OANH CHUYÊN NGÀNH KHOA HỌC MÁY TÍNH KHÓA
LỜI CẢM ƠN
Để hoàn thành luận văn này ngoài nỗ lực của bản thân trong quá trình học
tập nghiên cứu, em còn nhận được rất nhiều sự nhiệt tình giúp đỡ, hướng dẫn cũng
như động vi
ên trong suốt quá trình thực hiện luận văn.
Trước hết
em muốn gửi lời cảm ơn sâu sắc nhất tới TS. Hồ Văn Hương –
người đã nhiệt tình giúp đỡ, hướng dẫn và đưa ra những chỉ dẫn kịp thời để em có
thể bám sát đề tài hoàn thiện luận văn.
Em xin gửi lời cảm ơn đến các thầy cô trong trường Đại sư phạm Hà Nội 2,
những người đã dạy dỗ, giúp đỡ và chỉ bảo cho em trong suốt quá trình học tập.
Mặc dù đã có nhiều cố gắng trong việc hoàn thiện luận văn, tuy nhiên do hạn
chế về thời gian cũng như kiến thức bản thân, luận văn không tránh khỏi thiếu sót.
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM H
À NỘI 2
PHẠM THỊ KIM OANH
NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH VÀ
AN TOÀN CHO D
ỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY
Chuyên ngành: Khoa học máy tính


Mã số: 60 48 01 01
LUẬN VĂN THẠC SĨ MÁY TÍNH
Người hướng dẫn khoa học: TS. Hồ Văn Hương
HÀ NỘI, 2014
1
LỜI CẢM ƠN
Để hoàn thành luận văn này ngoài nỗ lực của bản thân trong quá trình học
tập nghiên cứu, em còn nhận được rất nhiều sự nhiệt tình giúp đỡ, hướng dẫn cũng
như động vi
ên trong suốt quá trình thực hiện luận văn.
Trước hết em muốn gửi lời cảm ơn sâu sắc nhất tới TS.
Hồ Văn Hương –
người đã nhiệt tình giúp đỡ, hướng dẫn và đưa ra những chỉ dẫn kịp thời để em có
thể bám sát đề tài hoàn thiện luận văn.
Em xin gửi lời cảm ơn đến các thầy cô trong trường Đại sư phạm Hà Nội 2,
những người đã dạy dỗ, giúp đỡ và chỉ bảo cho em trong suốt quá trình học tập.
Mặc dù đã có nhiều cố gắng trong việc hoàn thiện luận văn, tuy nhiên do hạn
chế về thời gian cũng như kiến thức bản thân, luận văn không tránh khỏi thiếu sót.
Em mong nhận được sự thông cảm và những ý kiến đóng góp quý báu của thầy cô.
Em xin chân thành cảm ơn!
Việt Trì, ngày 14 tháng 12 năm 2014
Học viên
Ph
ạm Thị Kim Oanh
2
LỜI CAM ĐOAN
Tôi cam kết luận văn là công trình nghiên cứu của bản thân tôi dưới sự
hướng dẫn của TS.Hồ Văn Hương.
Tôi xin cam đoan rằng số liệu v
à kết quả nghiên cứu trong luận văn này là

trung th
ực và không trùng lặp với các đề tài khác. Tôi xin cam đoan rằng mọi sự
giúp đỡ cho việc thực hiện luận văn này đ
ã được cảm ơn và các thông tin trích dẫn
trong luận văn đã được chỉ rõ nguồn gốc.
Việt Trì, ngày 14 tháng 12 năm 2014
Học viên
Ph
ạm Thị Kim Oanh
3
MỤC LỤC
Lời cảm ơn 1
L
ời cam đoan 2
M
ục lục 3
Danh m
ục hình 4
Danh m
ục các từ viết tắt và thuật ngữ 6
M
ở đầu 8
Chương I. Tổng quan về điện toán đám mây 12
1.1 Khái ni
ệm về điện toán đám mây 12
1.2 Các mô hình d
ịch vụ của điện toán đám mây 14
1.3 Các mô hình tri
ển khai điện toán đám mây 16
1.4 K

ết luận 19
Chương II. Các vấn đề an ninh trong điện toán đám mây 21
2.1 Định nghĩa về an ninh và đảm bảo an ninh 21
2.2 Cá
c nguy cơ an ninh đối với điện toán đám mây và cách khắc phục 22
2.3 Mã hóa 34
2.4 Ch
ữ ký số 39
2.5 K
ết luận 39
Chương III. Phân tích vấn đề và xây dựng giải pháp đảm bảo an ninh cho điện toán
đám mây
41
3.1 Đề xuất giải pháp 41
3.2 Tri
ển khai ứng dụng 55
3.3 K
ết luận 77
K
ết luận 78
1. Đánh giá kết quả thực hiện 78
2. Hướng phát triển mở rộng 78
Tài li
ệu tham khảo 80
4
DANH MỤC HÌNH
S
ố thứ tự Ý nghĩa Trang
Hình 1.1 Mô hình điện toán đám mây 13
Hình 1.2 Cấu trúc theo dịch vụ mô hình điện toán đám mây 16

Hình 1.3 Mô hình đám mây nội bộ 17
Hình 1.4 Mô hình đám mây công đồng 17
Hình 1.5 Mô hình đám mây lai 18
Hình 2.1 Giải mã dùng khóa công khai 36
Hình 2.2 Quá trình mã hóa kết hợp giữa khóa công khai và
khóa đối xứng
37
Hình 2.3 Quá trình giải mã 37
Hình 3.1 Quy trình ký và kiểm tra chữ ký với Openstack
Object Storage
56
Hình 3.2 Quy trình mã hóa với Openstack Object Storage 56
Hình 3.3 Biểu đồ phân cấp chức năng 57
Hình 3.4 Biểu đồ Usecase tổng quát 57
Hình 3.5 Biểu đồ trình tự chức năng quản lý thư mục 66
Hình 3.6 Biểu đồ trình tự chức năng quản lý file 67
Hình 3.7 Biểu đồ trình tự chức năng truyền file 68
Hình 3.8 Biểu đồ trình chức năng tải file 69
Hình 3.9 Biểu đồ trình tự chức năng mã hóa/ký 70
Hình 3.10 Biểu đồ trình tự chức năng giải mã/kiểm tra chữ ký 70
Hình 3.11 Giao diện chính của chương trình 71
Hình 3.12 Giao diện quản lý file 71
Hình 3.13 Giao diện mã hóa/ký 72
Hình 3.14 Giao diện giải mã/kiểm tra chữ ký 72
Hình 3.15 Giao diện upload 73
Hình 3.16 Giao diện download file 73
5
Hình 3.17 Mô hình cài
đặt Openstack Object Storage 74
Hình 3.18 Quá trình hiển thị file và thư mục 75

Hình 3.19 Ký thành công 75
Hình 3.20 Định dạng chữ ký PDF 75
Hình 3.21 Kiểm tra chữ ký thành công 76
Hình 3.22 Quá trình upload thành công 76
Hình 3.23 Quá trình download thành công 77
6
DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ
STT Từ viết tắt/Thuật ngữ Giải nghĩa
1 NIST Viện công nghệ và tiêu chuẩn quốc gia Mĩ
(National Institute of Standards and Technology)
2 ENISA Cơ quan an ninh thông tin và mạng châu Âu
(European Network and Information Security
Agency)
3 IaaS Dịch vụ hạ tầng (Infrastructure as a Service)
4 PaaS Dịch vụ nền tảng (Platform as a Service)
5 SaaS Dịch vụ phần mềm (Software as a Service)
6 CPU Bộ xử lý trung tâm (Central Processing Unit)
7 EC2 Dịch vụ máy chủ ảo của Amazon (Amazon
Elastic Compute Cloud)
8 Server Máy chủ
9 Public Cloud Đám mây công cộng
10 Private Cloud Đám mây nội bộ
11 Hybrid Cloud Đám mây lai
12 Community Cloud Đám mây công cộng
13 Cloud Đám mây
14 Private key Khóa bí mật (dùng trong hệ mã hóa công khai)
15 Public key Khóa công khai (dùng trong hệ mã hóa công
khai)
16 DDOS Một loại hình tấn công mạng
17 ARP Giao thức phân giải địa chỉ (Address Resolution

Protocol)
18 MAC Địa chỉ vật lý của các thiết bị mạng (Media
Access Control)
19 DNS Hệ thống phân giải tên miền (Domain Name
7
System)
20 DHCP Giao thức cấu hình địa chỉ động (Dynamic Host
Configuration Protocol)
21 TCP Giao thức điều khiển truyền vận (Transmission
Control Protocol)
22 UDP Giao thức truyền dữ liệu phi kết nối (User
Datagram Protocol)
23 ICMP Giao thức kiểm soát thông điệp mạng (Internet
Control Message Protocol)
24 VM Máy ảo (Virtual Machine)
8
MỞ ĐẦU
1. Lý do chọn đề tài
Trong những năm gần đây, điện toán đám mây đã có những bước tiến vượt
b
ậc. Như chúng ta đã biết, điện toán đám mây không phải là một công nghệ gì mới,
mà là sự kết hợp nhiều công nghệ trước đây. Những công nghệ này đã hoàn thiện ở
các mức độ khác nhau trong những ngữ cảnh khác nhau, chúng không được thiết kế
như một thể thống nhất. Tuy nhiên chúng đ
ã tọa ra một hệ thống kỹ thuật cho điện
toán đám mây. Những tiến bộ mới trong bộ vi xử lý, công nghệ ảo hóa, đĩa lưu trữ,
kết nối Internet băng thông rộng, các máy chủ rẻ, mạnh và nhanh đã kết hợp với
nhau tạo ra điện toán đám mây.
Các lợi ích điện toán đám mây đem lại cho người dùng rất lớn, trên thực tế
điện toán đám mây đ

ã thật sự được quan tâm và sử dụng hiệu quả ở nhiều nước phát
tri
ển trên thế giới. Khả năng giải quyết và đáp ứng tốt các nhu cầu bức thiết trong
nhi
ều lĩnh vực. Vì vậy, điện toán đám mây càng được các tổ chức, doanh nghiệp và
cá nhân s
ử dụng và điện toán đám mây sẽ là xu hướng phát triển trong tương lai.
M
ột số thuận lợi khi triển khai điện toán đám mây :
- Chi phí đầu tư thấp: Theo mô hình truyền thống, để có được cơ sở hạ tầng,
máy móc và nguồn nhân lực thì người sử dụng cần thời gian và kinh phí để xây
dựng kế hoạch, đầu tư hạ tầng, đầu tư máy móc và người quản trị Chi phí này là
không nhỏ và đôi khi lại không được sử dụng hiệu quả, ví dụ như không đáp ứng đủ
hoặc không sử dụng hết công suất sau khi đưa vào sử dụng Các khó khăn này sẽ
được giải quyết trong mô hình điện toán đám mây với phương châm “pay as you
use” (người dùng chỉ phải trả tiền cho những gì mình đã sử dụng).
- Tốc độ xử lý nhanh, không còn phụ thuộc vào thiết bị và vị trí địa lý: cho
phép người dùng truy cập và sử dụng hệ thống thông qua trình duyệt web ở bất kỳ
đâu và trên bất kỳ thiết bị nào mà họ sử dụng (như là PC hoặc là thiết bị di động ).
- Dễ dàng mở rộng, nâng cấp: Thay vì phải đầu tư mới hoặc nâng cấp phần
cứng, phần mềm, đội ngũ quản trị để mở rộng hay nâng cấp hệ thống thì với điện
toán đám mây người sử dụng chỉ việc gửi yêu cầu cho nhà cung cấp dịch vụ.
9
Tuy nhiên, điều mà các tổ chức, các doanh nghiệp hoặc cá nhân e ngại khi
muốn chuyển đổi các ứng dụng quan trọng trong kinh doanh sang môi trường đám
mây là do những thách thức có thể gặp phải như độ tin cậy, tính riêng tư, bảo mật,
kh
ả năng sẵn sàng của dịch vụ và hiệu suất hoạt động.
-Tính riêng tư: Các thông tin về người dùng và dữ liệu được chứa trên đám mây
khôngchắc chắn được đảm bảo tính riêng tư và các thông tin đó cũng có thể bị sử

dụng vì một mục đích khác.
- Tính sẵn sàng: Các trung tâm điện toán đám mây hay hạ tầng mạng có thể gặp
sự cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng không thể truy
cập các dịch vụ và dữ liệu của mình trong những khoảng thời gian nào đó.
- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây
bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài
trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phục hồi
được.
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách thức
hiệu quả để tăngcường bảo mật, nhưng mặt khác cũng chính là mối lo của người sử
dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn công hoặc đột
nhập, toàn bộ dữ liệu sẽ bị chiếm dụng.

Trong đó, vấn đề bảo mật dữ liệu của điện toán đám mây là điều mà nhiều
người quan tâm nhất. Dữ liệu của khách hàng được nhà cung cấp điện toán đám
mây b
ảo mật như thế nào? Người sử dụng tự bảo mật dữ liệu ra sao? Vì thế em
chọn đề tài “Nghiên cứu giải pháp đảm bảo an ninh và an toàn cho dịch vụ
điện toán đám mâ
y” để trình bày và giải quyết những vấn đề nêu trên.
2. Mục đích nghiên cứu
Giúp người sử dụng điện toán đám mây hiểu về cấu trúc hoạt động của điện
toán
đám mây, tìm hiểu và đề xuất các giải pháp an ninh bảo mật trong điện toán
đám mây, đồng thời xây dựn
g thử nghiệm giải pháp bảo mật xác thực người dùng,
b
ảo mật xác thực dữ liệu của người dùng trong môi trường điện toán đám mây.
3. Nhiệm vụ nghiên cứu
10

- Tìm hi
ểu công nghệ điện toán đám mây, mã hóa, chữ ký số
- Đánh giá các vấn đề về an ninh cho điện toán đám mây và đưa ra giải pháp đảm
bảo an ninh và an toàn cho điện toán đám mây.
- Áp dụng giải pháp Openstack vào xây dựng một đám mây và ứng dụng chữ ký số
vào việc đảm bảo an ninh cho dịch vụ được triển khai.
4. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu bao gồm: cloud computing, các tài liệu viết về an ninh
bảo mật trong cloud computing, các chuẩn bảo mật, xác thực, môi trường phát triển
và tri
ển khai hệ thống xác thực người dùng và dữ liệu của họ.
Ph
ạm vi nghiên cứu gồm: Tổng quan về điện toán đám mây, các giải pháp an
ninh bảo mật trong điện toán đám mây và xây dựng thử nghiệm giải pháp bảo mật
xác thực người dùng, xác thực dữ liệu của người dùng điện toán đám mây.
5. Giả thuyết khoa học
Việc nghiên cứu và triển khai thành công khóa luận sẽ đáp ứng nhu cầu tìm
hi
ểu giải pháp an ninh bảo mật trong điện toán đám mây cho các cá nhân, doanh
nghiệp trước khi quyết định đăng ký sử dụng dịch vụ của điện toán đám mây. Giải
pháp bảo mật xác thực người dùng giúp các khách hàng điện toán đám mây tự bảo
vệ các ứng dụng và dữ liệu của mình khi triển khai trên đám mây.
6. Phương pháp nghiên cứu
Phương pháp chính là nghiên cứu qua nguồn tư liệu đã xuất bản, các bài báo,
các báo cáo khoa h
ọc về điện toán đám mây và an ninh bảo mật trong điện toán đám
mây. Xây dựng giải pháp bảo mật xác thực người dùng, dữ liệu người dùng điện
toán
đám mây, kiểm thử và đánh giá kết quả hệ thống xác thực trong môi trường
điện toán đám mây.

11
NỘI DUNG
Chương I. Tổng quan về điện toán đám mây
1.1 Khái niệm điện toán đám mây
1.2 Các mô hình hình vụ điện toán đám mây
1.3 Các mô hình triển khai điện toán đám mây
1.4 Kết luận
Chương II
. Các vấn đề an ninh trong điện toán đám mây
2.1 Định nghĩa về an ninh và đảm bảo an ninh
2.2 Các nguy cơ an ninh đối với điện toán đám mây và cách khắc phục
2.3 Mã hóa
2.4 Ch
ữ ký số
2.5 Kết luận
Chương
III. Phân tích vấn đề và xây dựng giải pháp đảm bảo an ninh cho điện toán
đám mây
3.1 Đề xuất giải pháp
3.2 Triển khai ứng dụng
3.3 Kết luận
12
CHƯƠNG I. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1 Khái ni
ệm về điện toán đám mây
1.1.1 Định nghĩa
Điện toán đám mây là một thuật ngữ mới xuất hiện một vài năm trở lại đây,
nó gắn liền với một cuộc cách mạng mới trong cách sử dụng tài nguyên cũng như
cung cấp thông tin và dịch vụ của các tổ chức. Cùng với sự phát triển của điện toán
đám m

ây thì định nghĩa về nó cũng rất đa dạng, chúng ta có thể tham khảo một số
định nghĩa của một số tổ chức lớn về điện toán đám mây:
+ Theo NIST: “Điện toán đám mây l
à một mô hình mạng cho phép truy cập
dễ dàng vào một hệ thống mạng đồng nhất, theo nhu cầu đến một kho tài nguyên
điện toán dùng chung (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ), các tài
nguyên này có th
ể được cung cấp và thu hồi một cách nhanh chóng với yêu cầu tối
thiểu về quản lý hay sự can thiệp từ phía nhà cung cấp dịch vụ” [1]
+
Theo ENISA: “Điện toán đám mây là mô hình cung cấp dịch vụ theo yêu
c
ầu thường được triển khai trên công nghệ ảo hóa và các công nghệ điện toán phân
tán. [1]
+ Theo hãng Gartner: “
Điện toán đám mây là một kiểu tính toán trong đó các
năng lực CNTT có khả nă
ng mở rộng rất lớn được cung cấp dưới dạng dịch vụ qua
mạng Internet đến nhiều khách hàng bên ngoài” [1]
+ Theo hãng Forrester Research: “ M
ột kho tài nguyên cơ sở hạ tầng ảo hóa,
có khả năng mở rộng cao và được quản lý, có thể hỗ trợ các ứng dụng của khách
hàng cu
ối và được tính tiền theo mức độ sử dụng” [1]
Như vậy ta có thể hiểu điện toán đám mây là một giải pháp toàn diện cho
phép cung cấp các tài nguyên công nghệ thông tin như là một dịch vụ và có khả
năng thay đổi linh hoạt theo nhu cầu của người sử
dụng. Và thuật ngữ “đám mây” là
các tài nguyên t
ồn tại trên mạng Internet và người sử dụng chỉ cần có một kết nối

Internet là có thể truy cập tới các tài nguyên này mà không cần hiểu rõ chi tiết về
công nghệ, kĩ thuật và hạ tầng bên trong của các đám mây. [1], [2]
13
Hình 1.1 Mô hình điện toán đám mây
1.1.2 Các đặc trưng cơ bản của điện toán đám mây
- Khả năng co giãn: tài nguyên có thể được cung cấp một cách nhanh chóng và
m
ềm dẻo, có khả năng thay đổi tăng lên hay giảm đi tùy thuộc vào nhu cầu sử dụng
của khách hàng. Đối với khách hàng, tài nguyên trên “đám mây luôn sẵn sàng và có
th
ể coi là không có giới hạn trong việc sử dụng vào bất kỳ thời điểm cũng như
khối lượng tài nguyên yêu cầu
- Dịch vụ theo yêu cầu: khách hàng có thể được cung cấp tài nguyên như máy chủ,
dung lượng lưu trữ…một cách tự động theo y
êu cầu mà không cần phải có sự can
thiệp từ phía nhà cung cấp dịch vụ.
- Không phụ thuộc vào vị trí: khách hàng không biết và không điều khiển vị trí của
tài nguyên được cung cấp, tuy nhi
ên họ vẫn có thể làm điều này thông qua các dịch
vụ nâng cao của nhà cung cấp. Tài nguyên có thể bao gồm: lưu trữ, xử lý, bộ nhớ và
băng thông mạng.
- Truy cập dễ dàng: người dùng có thể truy cập tới tài nguyên trên đám mây chỉ với
yêu cầu là có một ứng dụng có thể kết nối tới Internet từ bất kỳ thiết bị nào như:
máy tính để b
àn, thiết bị di động, máy tính xách tay…
- Điều tiết dịch vụ: các hệ thống điện toán đám mây tự động điều khiển và tinh
ch
ỉnh tài nguyên sử dụng bằng cách áp dụng các biện pháp đo lường ở các cấp độ
14
khác nhau cho t

ừng loại dịch vụ. Tài nguyên sử dụng có thể được giám sát, đo
lường v
à khách hàng sẽ chỉ phải trả phí cho lượng tài nguyên họ sử dụng.
1.2 Các mô hình dịch vụ của điện toán đám mây
Hiện tại hầu hết các tổ chức và các công ty lớn trên thế giới đều thống nhất
phân chia dịch vụ điện toán đám mây thành 3 tầng với các mức chức năng khác
nhau ứng với mỗi tầng:
1.2.1 Dịch vụ hạ tầng
Mô hình IaaS cung cấp cho người dùng một hạ tầng ảo dưới hình thức là các
máy ch
ủ ảo, lưu trữ, mạng như là một dịch vụ. Người dùng có thể triển khai và
ch
ạy các phần mềm trên các máy ảo như trên một máy chủ thực hay có thể đưa sữ
liệu cá nhân lên “đám mây” và lưu trữ. Người dùng không có quyển kiểm soát hạ
tầng thực bên trong “đám mây” tuy nhiên họ có toàn quyền quản lý và sử dụng tài
nguyên mà h
ọ được cung cấp, cũng như yêu cầu mở rộng lượng tài nguyên họ được
phép sử dụng. [7], [8]
Các đặc trưng tiêu biểu của IaaS
- Cung cấp các tài nguyên như là dịch: bao gồm máy chủ ảo, thiết bị mạng, bộ
nhớ, CPU, không gian đĩa cứng, lưu trữ dữ liệu.
- Có khả năng mở rộng linh hoạt
- Chi phí được tính theo lượng tài nguyên sử dụng
- Một thiết bị vật lý có thể được chia sẻ cho nhiều người thuê cùng một lúc.
Hiện tại nhà cung cấp dịch vụ máy chủ ảo nổi tiếng nhất là Amazon với các dịch vụ
Amazon Elastic Computer Cloud (EC2). Đối với EC2 người dùng sau khi đăng kí
tài khoản trong hệ thống là có thể tiến hành sử dụng dịch vụ bằng việc tạo máy ảo
và triển khai các ứng dụng trên máy ảo của mình. Người dùng chỉ phải chi trả cho
thời gian sử dụng, dụng lượng lưu trữ và băng thông mạng. Ngoài Amazon còn có
m

ột số hãng khác cung cấp dịch vụ máy chủ ảo như Rackspace, GoGrid cũng cung
cấp Iaas theo mô hình tương tự. Hầu hết các tập đoàn công nghệ lớn hiện nay như
Google, Mircosoft, Apple đề
u cung cấp dịch vụ lưu trữ trên nền điện toán đám mây,
15
các thi
ết bị của người dùng có thể đồng bộ dữ liệu cá nhân từ bất kỳ thiết bị nào và
s
ử dụng chúng.
1.2.2 Dịch vụ nền tảng (Platform as a Service)
Mô hình PaaS cung cấp cách thức cho phát triển ứng dụng trên một nền tảng
trừu tượng. Nó hỗ trợ việc triển khai ứng dụng mà không quan tâm đến chi phí hay
sự phức tạp của việc trang bị và quản lý các phần cứng và phần mềm bên dưới.
Cung cấp tất cả cac tính năng cần thiết để hỗ trợ việc xây dựng và cung cấp một ứng
dụng và dịch vụ Web sẵn sàng trên Internet mà không cần bất kỳ thao tác tải hay cài
đặt phần mềm ch những người phát triển ứng dụng có thể tạo ra các ứng dụng một
cách nhanh chóng, khi nhiều rắc rối trong việc thiết lập máy chủ, cơ sở dữ liệu đã
được nhà cung cấp PaaS giải quyết. [7], [8]
Những đặc trưng tiêu biểu
- Phục vụ cho môi trường phát triển, kiểm thử, triển khai và vận hành ứng dụng
- Các công cụ khởi tạo với giao diện trên nền Web
- Kiến trúc đồng nhất
- Tích hợp dịch vụ Web và cơ sở dữ liệu
- Hỗ trợ cộng tác nhóm phát triển
- Công cụ hỗ trợ tiện ích
Ví dụ: Google App Engine, Saleforce. Microsoft Azure
1.2.3 Dịch vụ phần mềm (Software as a Service)
Dịch vụ phần mềm SaaS là một mô hình triển khai phần mềm trên điện toán
đám mây mà ở đó người cung cấp cho phép người d
ùng sử dụng dịch vụ theo yêu

c
ầu. Những nhà cung cấp SaaS có thể lưu trữ ứng dụng trên máy chủ của họ hoặc
tải ứng dụng xuống thiết bị khách hàng, vô hiệu hóa nó sau khi kết thúc thời hạn.
Các chức năng theo yêu cầu có thể được kiểm soát bên trong để được chia sẻ bản
quyền của một nhà cung cấp ứng dụng thứ ba. [7], [8]
Những đặc trưng tiêu biểu của SaaS
- Phần mềm sãn có đòi hỏi việc truy xuất, quản lý qua mạng
16
- Các
ứng dụng sẽ được chạy tập trung trên hạ tầng của nhà cung cấp dịch vụ và
cho phép người dùng truy xuất từ xa
- Những tính năng tập trung cần nâng cấp, giải phóng người dùng khởi việc tải
các bản vá lỗi và cập nhật
- Thường xuyên tích hợp những phần mềm giao tiếp trên diện rộng
Dịch vụ email hay các ứng dụng Google Docs, Google Calendar của Google là các
ví d
ụ tiêu biểu cho hình thức cung cấp dịch vụ SaaS.
Hình 1.2 Cấu trúc theo dịch vụ mô hình điện toán đám mây
1.3 Các mô hình triển khai điện toán đám mây
Các mô hinh triển khai điện toán đám mây về thực chất được phân chia theo
các chính sách v
ề quản lý truy nhập đối với mỗi đám mây và chúng được chia
thành bốn loại sau:
- Đám mây công cộng
- Đám mây nội bộ
- Đám mây lai
- Đám mây cộng đồng
17
1.3.1 Đám mây công cộng
Một đám mây công cộng là một đám mây được xây dựng nhằm phục vụ cho

mục đích sử dụng công cộng. Người dùng sẽ đăng ký với nhà cung cấp đám mây
công cộng và trả phí sử dụng dựa theo chính sách giá của nhà cung cấp. Đám mây
công cộng là mô hình triển khai phổ biến nhất của điện toán đám mây. Khi người
dùng sử dụng dịch vụ Amazon Web Services, các ứng dụng trực tuyến của Google
hay các dịch vụ tương tự trên nền đám mây, họ đang sử dụng đám mây công cộng.
1.3.2 Đám mây nội bộ
Các đám mây nội bộ tồn tại phía bên trong tường lửa của các công ty hay tổ
chức. Các dịch vụ mà các công ty, tổ chức đó tạo ra và được kiểm soát bên trong
công ty, t
ổ chức đó.
Hình 1.3 Mô hình đám mây nội bộ
1.3.3 Đám mây cộng đồng
Một đám mây cộng đồng là đám mây được chia sẻ bởi một số tổ chức và hỗ
trợ một số cộng đồng cụ thể có mối quan tâm chung (chung sứ mệnh, yêu cầu an
ninh, chính sách). Nó có thể được quản lý bởi một số tổ chức có yêu cầu tương tự
và tìm cách chia sẻ cơ sở hạ tầng để thực hiện một số lợi ích của điện toán đám
mây.
18
Hình 1.4 Mô hình đám mây cộng đồng (nguồn Internet)
1.3.4 Đám mây lai
Một đám mây lai là đám mây kết hợp hai hoặc nhiều mô hình triển khai điện
toán đám mây ở tr
ên ví dụ là sự kết hợp giữa đám mây công cộng và đám mây nội
bộ. Điều này cho phép khai thác các điểm mạnh nhất của từng mô hình cũng như
đưa ra phương thức sử dụng tối ưu cho người sử dụng. Thay v
ì phải bó buộc bên
trong m
ột đám mây nội bộ thì người sử dụng có thể tận dụng được cả các tính năng
của các đám mây công cộng cho các mục đích sử dụng của mình.
Hình 1.5 Mô hình đám mây lai (nguồn Internet)

19
1.4 Kết luận
Giải pháp điện toán đám mây có thể được coi là một bài toán lý tưởng giải
quy
ết, khắc phục các điểm yếu hay các vấn đề mà nhiều doanh nghiệp hiện đang
g
ặp phải như thiếu năng lực CNTT, chi phí đầu tư ban đầu hạn chế… Doanh nghiệp
s
ẽ không cần phải có cơ sở hạ tầng đồng bộ, triển khai nhanh chóng mà không phụ
thuộc nhiều vào các ứng dụng trên máy, tiết giảm chi phí nâng cấp ứng dụng, lượng
tài nguyên s
ử dụng lớn, không cần tới bộ máy nhân sự cồng kềnh hay yêu cầu về
nhân sự kỹ thuật trình độ cao thấp, mô hình trả thuê bao và có thể dễ dàng thay đổi
quy mô khi cần thiết. Rõ ràng đây là những lợi ích thiết thực cho các doanh nghiệp,
tổ chức, cơ quan chính phủ cần quan tâm và cân nhắc.
Cu
ộc khảo sát của hãng bảo mật Symantec được tiến hành trên 3700 tổ chức
tại hơn 35 quốc gia trên thế giới, trong đó có Việt Nam. Theo đó 46%các tổ chức tại
Vi
ệt Nam đang triển khai đám mây lai và ảo hóa. Lưu trữ dạng dịch vụ tư nhân
(Private SaaS) có m
ức độ phổ biến thấp nhất với 39% tổ chức hiện đang ứng dụng,
20% và 21% doanh nghi
ệp triển khai ảo hóa máy chủ và ảo hóa lưu trữ. Các doanh
nghi
ệp vẫn đang tìm hiểu về khả năng của những công nghệ này và làm cách nào để
khắc phục những thách thức đi kèm với chúng.
Khảo sát cho thấy, các tổ chức hiện đang tận dụng công nghệ ảo hóa cho các
ứng dụng quan trọng trong kinh doanh nhưng c
òn khá chậm chạp. Trong số các

doanh nghiệp Việt Nam đang ứng dụng công nghệ ảo hóa, 64% đơn vị dự định sẽ
ảo hóa các ứng dụng cơ sở dữ liệu trong v
òng 12 tháng tới, 45% doanh nghiệp dự
định sẽ ảo hóa các ứng dụng web và 64% đơn vị sẽ dự định ảo hóa email v
à các ứng
dụng lịch biểu, 45% đơn vị dự định sẽ ảo hóa các ứng dụng ERP.
Ngày càng có nhiều công ty tham gia vào quá trình phát triển các ứng dụng
điện toán đám mây ti
êu biểu như Microsoft, Google, Intel, IBM… đã và đang tạo ra
một thị trường rộng lớn các ứng dụng điện toán đám mây, đem lại nhiều sự lựa chọn
hơn cho các cá nhân, tổ chức có mong muốn “mây hóa” các ứng dụng v
à dữ liệu
của mình. Theo đánh giá của các chuyên gia hàng đầu về điện toán đám mây, việc
phát triển điện toán đám mây trong tương lai sẽ tập trung vào 3 vấn đề chính bao
20
g
ồm: Khả năng liên kết (Federated), tự động hóa (Automated), và nhận biết thiết bị
đầu cuối (Client aware). Đây cũng l
à cách tiếp cận mới với vấn đề tự động hóa
CNTT cho phép đáp ứng những y
êu cầu của người dùng bằng cách mới, hiệu quả
hơn và tiết kiệm chi phí hơn. Các đám mây liên kết sẽ cho phép sắp xếp nhanh hơn
các tài nguyên, trong khi các
đám mây có khả năng nhận biết thiết bị đầu cuối sẽ tận
d
ụng những tính năng đặc thù của mỗi thiết bị theo cách tối ưu. Điện toán đám mây
s
ẽ là công nghệ được ứng dụng nhiều nhất trong tương lai.
21
CHƯƠNG II. CÁC VẤN ĐỀ AN NINH TRONG ĐIỆN TOÁN ĐÁM MÂY

2.1 Định nghĩa về an ninh và đảm bảo an ninh
2.1.1 Khái ni
ệm an ninh
An ninh thông tin là kết hợp của ba yếu tố:
- Tính bí mật: đảm bảo rằng chỉ những người có thẩm quyền mới xem và sử dụng
được thông tin.
- Tính toàn vẹn: đảm bảo thông tin không bị thay đổi trái phép, chỉ những người có
thầm quyền mới được sửa đổi thông tin.
- Tính sẵn sàng: dảm bảo hệ thống luôn sẵn sàng khi người dùng cần tới.
2.1.2 Đảm bảo an ninh
Khi một trong ba yếu tố an ninh bị vi phạm thì tính an ninh của hệ thống sẽ bị ảnh
hưởng:
- Mất tính bí mật: thông tin cần bảo vệ bị truy cập trái phép, nội dung thông tin bị lộ
Ví dụ: mật khẩu người dùng IaaS bị lộ khi truyền qua mạng dưới dạng clear text.
Hacker dùng mật khẩu này để truy cập vào máy chủ ảo, ăn cắp dữ liệu, phá hoại hệ
thống…
- Mất tính toàn vẹn: thông tin bị thay đổi trái phép
Ví dụ: thông tin thanh toán của người dùng truyền tới ngân hàng bị thay đổi làm sai
l
ệch số liệu
- Mất tính sẵn sàng: hệ thống bị tấn công làm tê liệt dịch vụ, không sẵn sàng đáp
ứng nhu cầu khách h
àng.
Ví d
ụ: hệ thống cloud bị tấn công DDOS làm tê liệt dịch vụ, người dùng không thể
truy cập vào dịch vụ cloud được.
Để đảm bảo an ninh cho một hệ thống thông tin cần đảm bảo đủ 3 yếu tố: bí mật,
toàn vẹn, sẵn sàng.
2.1.3 Vấn đề an ninh với điện toán đám mây
Mặc dù lợi ích của điện toán đám mây mang lại cho doanh nghiệp và người

dùng là không phủ nhận cũng như xu hướng phát triển hạ tầng, dịch vụ trên nền
điện toán đám mây là xu hướng mạnh hiện nay. Tuy nhi
ên cũng vì thế mà các vấn
22
đề về an ninh cho điện toán đám mây cũng trở nên nhiều hơn. Một trong những vấn
đề an ninh nổi trội đó l
à việc quản lý dữ liệu người dùng, việc đảm bảo sự riêng tư
cho dữ liệu người dùng.
2.2 Các nguy cơ an ninh đối với điện toán đám mây và cách khắc phục
2.2.1 An ninh mức vật lý
Một số nguy cơ về mặt vật lý đối với các hệ thống điện toán đám mây:
- Hệ thống bị sự cố về thảm họa tự nhiên: động đất, bão…
- H
ệ thống bị sự cố về điện: mất điện
- Hệ thống bị người khác xâm nhập trái phép, phá hoại về mặt vật lý
Các biện pháp khắc phục:
- Xây dựng hệ thống datacenter ở những vị trí địa lý khác nhau (mô hình multisites)
- Các thi
ết bị, máy chủ phải được đặt trong phòng cách ly riêng (tủ có khóa, niêm
phong các c
ổng usb, com…) và áp dụng các biện pháp kiểm soát như thẻ từ, sinh
trắc học…
- Áp dụng hệ thống cảnh báo nhiệt độ, cảnh báo điện, dự phòng điện (smart UPS,
máy nổ )
- Xây dựng các chính sách về quản lý truy cập đối với người ra vào khu vực trung
tâm dữ liệu
+ Quyền truy cập phải được thu hồi ngay lập tức khi công việc của nhân viên hết
nhu cầu truy cập vào trung tâm dữ liệu
+ Tất cả các truy cập về mặt vật lý và điện tử tới trung tâm dữ liệu của nhân viên
ph

ải được ghi nhật ký và kiểm tra định kỳ.
+ Áp dụng các công cụ kiểm định để người dùng có thể dễ dàng đánh giá dữ liệu
của họ được lưu trữ, bảo vệ, sử dụng như thế nào và thẩm định các chính sách đã
th
ực thi.
2.2.2 An ninh cho hạ tầng mạng
2.2.2.1 Một số nguy cơ an ninh mạng truyền thống đối với mô hình điện toán
đám mây
a. Tấn công từ chối dịch vụ
23
T
ấn công gây từ chối dịch vụ là dạng tấn công đơn giản và phổ biến nhất,
ki
ểu tấn công này nhằm vào tính sẵn sàng của hệ thống. Dạng tấn công này được
thực hiện bằng cách gửi thật nhiều các yêu cầu phục vụ đến máy dịch vụ làm cho
máy d
ịch vụ phải sản sinh ra nhiều tiến trình con và hệ thống phải cấp phát bộ nhớ
và vùng đệm cho chúng. Đến một lúc nào đó tài nguyên của hệ thống sẽ cạn kiệt v
à
h
ệ thống trở nên “trơ” đối với các yêu cầu hợp lệ khác từ khách hàng, nghĩa là hệ
thống đang ở trong tình trạng từ chối dịch vụ.
Một số dạng tấn công từ chối dịch vụ:
- Ping of death: kẻ tấn công thực hiện gửi gói ICMP với kích thước lớn, chẳng hạn:
ping 192.168.10.50 – t 65000. Khi gói này được tạo ra và truyền đến đích, nó sẽ bị
phân mảnh trên đường truyền và được tái hợp lại ở đích với độ lớn 65000 và có thể
làm tràn vùng đệm tr
ên nhiều hệ thống và gây ra tình trạng từ chối dịch vụ.
- SYN attack: kiểu tấn công này khai thác điểm yếu của thủ tục bắt tay 3 bước khi
thiết lập một kết nối TCP. Kẻ tấn công sẽ gửi gói tin yêu cầu thiết lập kết nối.

Server nhận được sẽ cấp phát một vùng tài nguyên, gửi lại phản hồi và chờ việc
thiết lập kết nối. Kẻ tấn công tiếp tục gửi hàng loạt yêu cầu tới server bị hết tài
nguyên và không th
ể phục vụ kết nối tiếp theo. Khi này, một khách hàng thật sự kết
nối tới hệ thống thì hệ thống đang ở trong tình trạng quá tải và không thể phục vụ.
- IP Sumurfing: kẻ tấn công gửi broadcast một gói tin SYN cho 1 mạng đích với IP
nguồn là máy nạn nhân. Khi đó nạn nhân sẽ phải xử lý một khối lượng SYN/ACK
rất lớn từ tất cả các máy thuộc mạng đích. Nếu kẻ tấn công còn lặp lại việc này
nhi
ều lần thì máy nạn nhân sẽ hết vùng nhớ đệm và rơi vào tình trạng từ chối dịch
vụ.
- Land attack: kẻ tấn công gửi một gói tin với địa chỉ Ip nguồn và ip đích trùng nhau
và trùng với ip của hệ thống nạn nhân, số hiệu cổng TCP nguồn và đích trùng nhau.
Khi đó hệ thống nạn nhận sẽ trao đổi dữ liệu với chính nó và bị hao phí tài nguyên
cho ho
ạt động vô ích này.
b. Tấn công Man –in –the-middle (MITM attack)

×