Tải bản đầy đủ (.pdf) (26 trang)

Nghiên cứu giải pháp đảm bảo an toàn thông tin trong điện toán đám mây (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (507.82 KB, 26 trang )

HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
---------------------------------------

ĐINH VĂN NHƢ PHONG

NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN
THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY

Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TS. Nguyễn Tiến Ban

Phản biện 1: PGS.TS. Nguyễn Tài Hưng
Phản biện 2: PSG.TS. Lê Nhật Thăng

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại
Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: …..giờ…...ngày 11 tháng 03 năm 2017

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông



1

MỞ ĐẦU
Điện toán đám mây( Cloud Computing) đang là xu thế chủ đạo của hạ tầng
IT trong doanh nghiệp hiện nay với rất nhiều ưu điểm. Trong các quy trình đánh giá
hệ thống hiện tại để xây dựng một đám mây riêng hoặc chung, an toàn thông tin
được coi là một trong những vấn đề quan trọng được đưa ra xem xét đầu tiên. Hiểu
được các nguy cơ tấn công cũng như các cơ chế bảo mật để phòng chống các nguy
cơ đối với các hệ thống điện toán đám mây sẽ giúp người quản trị đưa ra được
chiến lược phù hợp cho điện toán đám mây của doanh nghiệp mình.
Cùng với sự phát triển của công nghệ thông tin, tội phạm công nghệ cao
ngày càng diễn biến hết sức phức tạp, chúng ăn cắp các thông tin quan trọng làm
ảnh hướng rất lớn đến các doanh nghiệp cũng như các cá nhân. Vấn đề an toàn
thông tin nói chung và trong Điện toán đám mây nói riêng, cần được các nhà cung
cấp dịch vụ cũng như người sử dụng quan tâm thích đáng.
Với lý do trên học viên quan tâm và lựa chọn đề tài “Nghiên cứu giải pháp
đảm bảo an toàn thông tin trong Điện toán đám mây”
Kết cấu luận văn được chia làm 3 chương:
Chƣơng 1: Tổng quan về điện toán đám mây
Chƣơng 2: Vấn đề an toàn thông tin trong điện toán đám mây
Chƣơng 3: Giải pháp đảm bảo an toàn thông tin trong điện toán đám mây
cho doanh nghiệp
Kết luận: Trong phần này đưa ra những kết luận vấn đề làm được trong luận
văn và đề xuất hướng nghiên cứu tiếp theo.
Học viên hy vọng luận văn có thể là một tài liệu tham khảo có giá trị cho
những người bắt đầu tìm hiểu và nghiên cứu về các giải pháp đảm bảo an toàn
thông tin cho Điện toán đám mây.



2

CHƢƠNG 1
TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1 Giới thiệu
Ngày nay đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu quả của
riêng công ty cũng như dữ liệu khách hàng, đối tác là một trong những bài toán
được ưu tiên hàng đầu và đang không ngừng gây khó khăn cho họ.
Để có thể quản lý được nguồn dữ liệu đó ban đầu các doanh nghiệp phải
đầu tư, tính toán rất nhiều loại chi phí, như chi phí cho phần cứng, phần mềm, thiết
bị mạng, chi phí cho quản trị viên, chi phí bảo trì, sửa chữa…Ngoài ra họ còn phải
tính toán khả năng mở rộng nâng cấp thiết bị, phải kiểm soát việc bảo mật dữ liệu
vũng như tính sẵn sàng cao của dữ liệu.
Từ một bài toán điển hình như vậy, chúng ta thấy được rằng nếu có một nơi
tin cậy giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các doanh nghiệp sẽ
không quan tâm nhiều đến cơ sở hạ tầng, công nghệ mà chỉ tập trung chính vào
việc kinh doanh của họ thì sẽ mang lại cho họ hiệu quả và lợi nhuận ngày càng cao
hơn.
Thuật ngữ “Cloud computing” ra đời bắt nguồn từ một trong những hoàn
cảnh như vậy. “Cloud computing” còn được xuất phát từ ý tưởng đưa tất cả mọi thứ
như dữ liệu, phần mềm, tính toán..lên trang mạng Internet. Chúng ta sẽ không còn
trông thấy các máy chủ của riêng các doanh nghiệp để lưu trữ dữ liệu, phần mềm
nữa mà chỉ có một số các “máy chủ ảo” tập trung ở trên mạng. Các “máy chủ ảo”
sẽ cung cấp các dịch vụ giúp cho doanh nghiệp có thể quản lý dữ liệu dễ dàng hơn,
họ sẽ chỉ trả chi phí có lượng sửa dụng dịch vụ của họ, mà không cần phải đầu tư
nhiều vào cơ sở hạng tầng cũng như quan tâm đến sự phát triển của công nghệ. Xu
hướng này đặc biệt có lợi cho các công ty, doanh nghiệp vừa và nhỏ.
1.2 Khái niệm điện toán đám mây
Theo Wikipedia [2]



3

“Điện toán đám mây (cloud computing) là một mô hình điện toán có khả
năng co giãn (scalable) linh động và các tài nguyên thường được ảo hóa được cung
cấp như một dịch vụ trên mạng Internet.”
Điện toán đám mây còn gọi là điện toán máy chủ ảo là mô hình điện toán sử
dụng các công nghệ máy tính và phát triển dựa vào mạng Internet. Thuật ngữ “đám
mây” ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vào cách được bố trí của nó
trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức tạp của các cơ sở hạ
tầng chứa trong nó.
Theo Gartner “Một mô hình điện toán nơi mà khả năng mở rộng và linh hoạt
về công nghệ thông tin được cung cấp như một dịch vụ cho nhiều khách hàng đang
sử dụng các công nghệ trên Internet”.
Theo Ian Foster “Một mô hình điện toán phân tán có tính co giãn lớn mà
hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ,
các nền tảng dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân
phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”.
1.3 Mô hình điện toán đám mây
1.3.1 Mô hình tổng quan điện toán đám mây
1.3.2 Mô hình kiến trúc điện toán đám mây
1.3.2.1 Thành phần
Hai thành phần quan trọng của kiến trúc điện toán đám mây được biết đến là
front end và back end [3].
Front end là phần phía khách hàng dùng máy tính. Nó bao gồm hệ thống
mạng của khách hàng (hoặc máy tính) và các ứng dụng được sử dụng để truy cập
vào đám mây thông qua giao diện người dùng có thể là một trình duyện web.
Back end chính là đám mây, bao gồm các máy tính khác nhau, máy chủ và
các thiết bị lưu trữ dữ liệu.
1.3.2.2 Mô hình kiến trúc điện toán đám mây

Các thành phần của mô hình kiến trúc của điện toán đám mây:


4

Thành phần Khách hàng (Client): thành phần này của điện toán đám mây
bao gồm phần cứng và phần mềm, để dựa vào đó, khách hàng có thể truy cập và sử
dụng các ứng dụng/dịch vụ được cung cấp từ điện toán đám mây. Chẳng hạn máy
tính và đường dây kết nối Internet (thiết bị phần cứng) và các trình duyệt web (phần
mềm)….
Thành phần Ứng dụng (Application): cung cấp các dịch vụ phần mềm đến
các tổ chức các nhân có nhu cầu sử dụng, ví dụ: bộ phần mềm văn phòng của
Google Docs, thư điện tử, phần mềm quản lý khách hàng của SalesForce…
Thành phần Nền tảng cung cấp các dịch vụ cơ bản: là các bộ công cụ để
phát triển, thử nghiệm và triển khai ứng dụng trên nền điện toán đám mây cho
khách hàng. Các dịch vụ Paas phổ biến hiện nay cho phép phát triển ứng dụng trên
nền tảng và ngôn ngữ phát triển ứng dụng phổ biến như .NET (Microsolf Windows
Azure); Java, Python, Ruby (Google App Engine, Amazon)…
Thành phần Cơ sở hạ tầng (Infrastructure): cung cấp các dịch vụ máy
chủ, lưu trữ dữ liệu, cơ sở dữ liệu cũng như các công cụ quản trị tài nguyên đó cho
các tổ chức, các nhân có nhu cầu. Các tài nguyên thường được ảo hóa, chuẩn hóa
thành một số cấu hình trước khi cung cấp để đảm bảo khả năng linh hoạt trong
quản trị cũng như hỗ trợ tự động hóa.
Thành phần Máy chủ (Server): bao gồm các sản phẩm phần cứng và phần
mềm máy tính, được thiết kế và xây dụng đặc biệt để cung cấp các dịch vụ của đám
mây. Các server phải được xây dựng và có cấu hình đủ mạnh (thậm chí là rất mạnh)
để đáp ứng nhu cầu sử dụng của số lượng đông đảo người dùng và nhu cầu ngày
càng cao của họ.
1.3.3 Các mô hình triển khai
1.3.3.1 Đám mây “công cộng” –Public Cloud Computing

Mô hình đầu tiên được nói đến khi đề cập tới điện toán đám mây chính là mô
hình đám mây công cộng. Đây là mô hình mà hạ tầng điện toán đám mây được một
số tổ chức sở hữu và cung cấp dịch vụ rộng rãi cho tất cả các khách hàng thông qua
hạ tầng mạng Internet hoặc các mạng công cộng diện rộng. Các ứng dụng khác


5

nhau chia sẻ chung tài nguyên tính toán, mạng và lưu trữ. Do vậy, hạ tầng điện toán
đám mây được thiết kế đảm bảo cô lập về dữ liệu giữa các khách hàng và tách biệt
về truy cập.
1.3.3.2 Đám mây riêng – Private Cloud Computing
Là các dịch vụ đám mây được cung cấp trong doanh nghiệp. Những đám
mây này tồn tại bên trong mô hình mạng công ty và chúng được doanh nghiệp quản
lý. Các đám mây riêng đưa ra nhiều lợi ích giống như các đám mây chung, điểm
khác biệt chính là doanh nghiệp chịu trách nhiệm thiết lập và bảo trì đám mây. Việc
thiết lập đám mây riêng đôi khi không còn chi phí cho việc sử dụng và duy trì hoạt
động liên tục của đám mây và có thể vượt quá chi phí sử dụng một đám mây chung.
1.3.3.3 Đám mây lai – Hybrid Cloud Computing
Đám mây lai là sự kết hợp của các đám mây công cộng và riêng. Những đám
mây này thường do doanh nghiệp tạo ra và chịu trách nhiệm quản lý. Nó được phần
chia giữa doanh nghiệp và nhà cung cấp đám mây công cộng. Đám mây lai sử dụng
các dịch vụ có trong cả đám mây công cộng và đám mây riêng.
1.3.3.4 Đám mây cộng đồng – Community Cloud Computing
Các đám mây cộng đồng là các đám mây được chia sẻ bởi một số tổ chức và
hỗ trợ một cộng đồng cụ thể có mối quan tâm: chung mục đích, yêu cầu an ninh,
chính sách. Nó có thể được quản lý bởi các tổ chức hoặc một bên thứ ba. Một đám
mây cộng đồng có thể được thiết lập bởi một số tổ chức có yêu cầu tương tự và tìm
cách chia sẻ cơ sở hạ tầng để thực hiện một số lợi ích của điện toán đám mây.
1.4 Đặc điểm của điện toán đám mây

Điện toán đám mây có các đặc điểm chính sau đây :
 Tính tự phục vụ theo nhu cầu.
 Truy cập diện rộng (Broad network access).
 Dùng chung tài nguyên và độc lập vị trí.
 Khả năng co giãn nhanh chóng.
 Điều tiết dịch vụ (Measured service).


6

1.5 Các loại dịch vụ điện toán đám mây
Có ba loại dịch vụ của điện toán đám mây chính sau :
1.5.1 Dịch vụ hạ tầng (IaaS)
Cung cấp cho người dùng hạ tầng thô (thường là dưới hình thức các máy ảo)
như là một dịch vụ.
Dịch vụ IaaS cung cấp các dịch vụ cơ bản chẳng hạn như các máy chủ ảo,
lưu trữ dữ liệu, và cơ sở dữ liệu trên một nền tảng để triển khai và chạy các ứng
dụng của người sử dụng.
Những đặc trưng tiêu biểu của dịch vụ hạ tầng
 Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bị mạng,
bộ nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ liệu.
 Khả năng mở rộng linh hoạt.
 Chi phí thay đổi tùy theo thực tế.
 Nhiều người thuê có thể cùng dùng chung trên một tài nguyên.
 Cấp độ doanh nghiệp: đem lại lợi ích cho công ty bởi một nguồn tài
nguyên tính toán tổng hợp.
Lợi ích của IaaS
Đối với các doanh nghiệp, lợi ích lớn nhất của IaaS thể hiện qua một khái
niệm được gọi là cloudbursting. Các tổ chức, cá nhân tiết kiệm được vốn đầu tư vào
hệ thống rất lớn, vì các doanh nghiệp sẽ không cần phải đầu tư thêm các máy chủ,

thường chỉ chạy 70% công suất hai hoặc ba lần trong năm, thời gian còn lại chỉ
chạy 7-10% tải.
1.5.2 Dịch vụ nền tảng (PaaS)
Dịch vụ nền tảng cung cấp giao diện lập trình ứng dụng (API- Application
Programing Interface) cho phát triển ứng dụng trên một nền tảng trừu tượng. PaaS
cung cấp nền tảng tính toán và một tập hợp các giải pháp nhiều lớp. Nó hỗ trợ việc
triển khai ứng dụng mà người sử dụng không cần quan tâm đến sự phức tạp của
việc trang bị và quản lý các lớp phần cứng và phần mềm bên dưới. PaaS cung cấp


7

tất cả các tính năng cần thiết để hỗ trợ chu trình sống của việc xây dựng, cung cấp
một ứng dụng và dịch vụ web sẵn sàng trên Internet mà không cần bất kì thao tác
tải hay cài đặt phần mềm cho những người phát triển, quản lý tin học, hay người
dùng cuối. Nó còn được biết đến với một tên khác là cloudware.
Những đặc trưng tiêu biểu
 Phục vụ cho việc phát triển, triển khai và vận hành ứng dụng giống như là
môi trường phát triển tích hợp.
 Các công cụ khởi tạo với giao diện trên nền web.
 Kiến trúc đồng nhất.
 Tích hợp dịch vụ web và cơ sở dữ liệu.
 Hỗ trợ công tác nhóm phát triển.
 Công cụ hỗ trợ tiện ích.
Thuận lợi và khó khăn
Một số thuận lợi
 Dịch vụ nền tảng đang ở thời kì đầu và được ưa chuộng ở những tính năng
vốn được ưa thích bởi dịch vụ phần mềm, bên cạnh đó có tích hợp các yếu tố về
nền tảng hệ thống.
 Ưu điểm trong những dự án tập hợp những công việc nhóm có sự phân tán

về địa lý.
 Khả năng tích hợp nhiều nguồn dịch vụ web.
 Giảm chi ngoài lề khi tích hợp các dịch vụ về bảo mật, khả năng mở rộng,
kiểm soát lỗi…
 Giảm chi phí khi trừu tượng hóa công việc lập trình ở mức cao để tạo tác
vụ, giao diện người dùng và các yếu tố ứng dụng khác.
 Tạo điều kiện dễ dàng hơn cho việc phát triển ứng dụng đa người dùng,
cho những người không chỉ trong nhóm lập trình mả có thể kết hợp nhiều nhóm
cùng làm việc.


8

Một số khó khăn
 Ràng buộc bởi nhà cung cấp: nghĩa là một khách hàng phụ thuộc vào nhà
cung cấp và không thể sử dụng nhà cung cấp khác mà không phải chịu chi phí
chuyển đổi đáng kể.
 Giới hạn phát triển: độ phức tạp khiến nó không phù hợp với yêu cầu phát
triển nhanh vì những tính năng phức tạp khi hiện thực trên nền tảng web.
1.5.3 Dịch vụ phần mềm ứng dụng (SaaS)
Dịch vụ phần mềm là một mô hình triển khai ứng dụng mà ở đó người cung
cấp cho người sử dụng dịch vụ theo yêu cầu. Những nhà cung cấp SaaS có thể lưu
trữ ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị khách hàng, vô
hiệu hóa nó sau khi kết thúc thời hạn.
Những đặc trưng tiêu biểu
 Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng.
 Quản lý các hoạt động từ một vị trí tập trung hơn là tại mỗi nơi của khách
hàng cho phép hàng truy xuất từ xa thông qua web.
 Cung cấp ứng dụng thông thường gần gũi với mô hình ánh xạ từ một đến
nhiều hơn bao gồm cả các đặc trưng kiến trúc, giá cả và quản lý.

 Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việc tải
các bản vá lỗi và cập nhật.
 Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diện rộng.
1.6 Các lợi ích của điện toán đám mây
Điện toán đám mây ra đồi giải quyết vấn đề sau:
Vấn đề về lưu trữ dữ liệu.
Vấn đề về sức mạnh tính toán.
Vấn đề về cung cấp tài nguyên, phần mềm.
Tính linh động.
Giản bớt chi phí.
Tạo nên sự độc lập.


9

Tăng cường độ tin cậy.
Bảo mật.
Bảo trì dễ dàng.
1.7 Các khó khăn và thách thức
Trong quá trình hiện thực điện toán đám mây, người ta nhận thấy một số khó
khăn thách thức sau:
 Về bảo mật
o Sở hữu trí tuệ ( Intellectual property).
o Tính riêng tư (Privacy).
o Độ tin cậy (Trust).
 Về khả năng không kiểm soát dữ liệu
o Độ trễ dữ liệu.
o Tính sẵn sàng của dịch vụ, dữ liệu.
o Các dịch vụ kèm theo.
o Các quy định pháp luật cho dịch vụ giữa khách hàng và nhà cung cấp.

1.8 Kết luận chƣơng 1
Mô hình điện toán đám mây dường như ngày càng được ưa chuộng vì sự tiện
lợi cũng như không phải đầu tư nhiều về hạng tầng CNTT.Tuy nhiên, nghiên cứu
gần đây cho thấy vấn đề về bảo mật là rào cản lớn nhất quyết định xem điện toán
đám mây có được sử dụng rộng rãi hay không. Điện toán đám mây hay điện toán
máy chủ ảo là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa
vào mạng Internet. Thuật ngữ “đám mây” ở đây chính là mạng Internet và các kết
cấu hạ tầng bên trong.


10

CHƢƠNG 2
VẤN ĐỀ AN TOÀN THÔNG TIN
TRONG ĐIỆN TOÁN ĐÁM MÂY
2.1

Tổng quan về an toàn thông tin mạng
Trải qua nhiều giai đoạn, hàng loạt các giao thức và cơ chế đã được tạo ra

nhằm đáp ứng nhu cầu an toàn thông tin. An toàn thông tin đã thay đổi rất nhiều
trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay
đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng.
2.1.1 Vấn đề đảm bảo an toàn thông tin
An toàn thông tin [9] bảo vệ mạng của các tổ chức, cá nhân trước việc đánh
cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công
bằng mã độc từ virus và sâu máy tính trên mạng Internet. Nếu an toàn thông tin
mạng không được triển khai, các tổ chức, cá nhân có khả năng sẽ gặp rủi ro trước
xâm nhập trái phép, làm ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự
không tuân thủ quy định và thậm chí là các hành động phạm pháp.

2.1.1.1

Xác định nguy cơ đối với hệ thống mạng

Một số nguy cơ cần phải xách định sau:
 Lỗ hổng của hệ thống việc xác định các lỗ hổng của hệ thống được bắt đầu từ
các điểm truy cập vào hệ thống.
 Xác định các mối đe dọa.
 Không kiểm soát hoặc mất cấu hình hệ thống chiếm một tỷ lệ lớn trong số
các lỗ hổng bảo mật.
 Những nguy cơ trong nội bộ mạng.
 Xác định các phần mềm có nhiều lỗ hổng tạo cơ hội cho hacker xâm nhập
vào hệ thống.
 Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học, trong
phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại “rệp” điện
tử theo ý đồ định trước, gọi là “bom điện tử”.


11

 Chính sách an toàn thông tin : không chấp hành các chuẩn an toàn, không
xác định rõ các quyền trong vận hành hệ thống.
2.1.1.2 Những lưu ý đối với người sử dụng mạng
Một số vấn đề về an toàn thông tin khi tham gia các dịch vụ trên mạng
 Thiết lập các công cụ quản lý, kiểm tra và điều khiển hệ thống máy tính để
chống việc xâm nhập trái phép xảy ra.
 Việc bảo vệ mật khẩu tên miền của bạn một cách cẩn thận, sử dụng những
mật khẩu đủ mạnh tối thiểu là 8 ký tự trở lên kết hợp chữ số và chữ cái.
 Bảo mật thông tin khi mua hàng trực tuyến.
2.1.2 An toàn thông tin trong điện toán đám mây

An ninh toàn thông tin toán trong điện toán đám mây là một lĩnh vực mới
trong sự phát triển của bảo mật máy tính, an ninh mạng, và rộng rãi hơn an ninh
thông tin. Nó dùng để chỉ một tập hợp rộng rãi các chính sách, công nghệ, và kiểm
soát triển khai để bảo vệ dữ liệu, ứng dụng, và cơ sở hạ tầng liên quan đến điện
toán đám mây. An toàn thông tin điện toán đám mây không phải là để bị nhầm lẫn
với các dịch vụ phần mềm bảo mật là “dựa trên đám mây”. Nhiều nhà cung cấp
phần mềm thương mại có các dịch vụ chẳng hạn dựa trên đám mây phòng chống
virus và quản lý tổn thương.
2.1.2.1 Các vấn đề an toàn thông tin liên quan đến điện toán đám mây
Có một số vấn đề an toàn thông tin liên quan đến điện toán đám mây, nhưng
tập trung vào hai loại chính:
 Các vấn đề an toàn thông tin mà các nhà cung cấp dịch vụ điện toán đám
mây phải đối mặt .
 Các vấn đề an toàn thông tin mà khách hàng sử dụng dịch vụ điện toán đám
mây.
2.1.2.2 An toàn thông tin riêng tư của dữ liệu
Để đảm bảo dữ liệu được an toàn và dữ liệu riêng tư đó được duy trì, nhà
cung cấp dịch vụ điện toán đám mây tham gia vào các lĩnh vực sau:


12

 Bảo vệ dữ liệu.
 Nhận dạng quản lý.
 Nhà cung cấp đảm bảo rằng các máy vật lý đầy đủ an toàn và việc truy cập
vào các máy này cũng như tất cả các dữ liệu của khách hàng khi khách hàng
có nhu cầu truy cập không bị hạn chế.
 Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng rằng họ sẽ có
quyền truy cập thường xuyên và có thể dự đoán trước dữ liệu và ứng dụng
của họ.

 Các nhà cung cấp dịch vụ đám mây phải đảm bảo rằng các ứng dụng có sẵn
như là một dịch vụ thông qua các đám mây được an toàn bằng cách thực hiện
thủ tục kiểm tra và chấp nhận cho mã ứng dụng bên ngoài hoặc đóng gói.
 Các nhà cung cấp đảm bảo rằng tất cả các dữ liệu quan trọng phải được cắt
dấu và người được ủy quyền mới có quyền truy cập toàn bộ dữ liệu của
mình.
2.2 Các mối đe dọa an toàn thông tin trong điện toán đám mây
2.2.1 Các nguy cơ và các mối đe dọa trên điện toán đám mây
2.2.1.1 Nguy cơ mất an toàn thông tin
Trong điện toán truyền thống, các doanh nghiệp còn phải tìm đủ mọi giải
pháp chỉ để đảm bảo an toàn cho những thông tin đặt ngay trên hạ tầng thiết bị của
chính mình, thì rất khó khăn để họ tin tưởng giao lại thông tin khi mà họ không biết
được nó được đặt chính xác ở đâu và lại được quản lý bởi những người không quen
biết theo mô hình đám mây. Vì vậy, mất an toàn thông tin luôn là nguy cơ được
quan tâm đặc biệt nhất.
2.2.1.2 Nguy cơ virus
Do khả năng phá hoại và lây lan nhanh, virus máy tính là một trong những
nguy cơ lớn khi nhắc đến các vấn đề an toàn thông tin. Việc tập trung hóa thông tin
trong đám mây có thể rút ngắn thời gian và tiết kiệm tiền bạc trong việc diệt virus,
song nguy cơ và ảnh hưởng của virus sẽ không thay đổi thậm chí còn nguy hiểm hơn.


13

2.2.1.3 Nguy cơ lừa đảo trực tuyến và các lỗ hổng Web
Hiện nay, đa phần người sử dụng Internet vẫn chưa nhận thức đầy đủ về an
toàn thông tin. Do đó, lừa đảo trực tuyến là một nguy cơ mất an toàn thông tin và
thường bị hacker sử dụng để chiếm đoạt thông tin một cách bất hợp pháp.
2.2.1.4 Nguy cơ tấn công mạng
Hiện tại, giới tội phạm công nghệ cao có 4 phương thức tấn công mạng sau:

2.2.1.4.1 Tấn công chủ động
Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn
công hoàn toàn công khai và chủ động trong tổ chức và thực hiện tấn công với mục
đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống.
2.2.1.4.2 Tấn công bị động
Bao gồm quét, bắt trộm và nghe trộm các gói tin có thể được xem là một
phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả.
2.2.1.4.3 Tấn công mật khẩu
Bao gồm việc dự đoán, so sánh và tra mật khẩu thông qua một bộ từ điển mật
khẩu. Kỹ thuật tấn công từ điển, tấn công mục tiêu bằng cách thử tất cả các từ trong
một danh sách dài gọi là từ điển (được chuẩn bị trước).
2.2.1.4.4 Tấn công mã nguồn và mã mật
Bao gồm các phương pháp của sau (Backdoor), Virus, Trojans, Worms, các
khóa mật mã yếu và thuật toán.
2.2.1.5 Nguy cơ về tính sẵn sàng của các dịch vụ chưa đáp ứng đầy đủ
Trong thời gian gần đây, dịch vụ thư điện tử trực tuyến Gmail của Google
liên tục gặp trục trặc khiến cho người sử dụng không thể giao dịch và trao đổi liên
lạc trong nhiều giờ. Ví dụ thực tế này cho thấy, chỉ một dịch vụ khi gặp phải vấn đề
đã ảnh hưởng rất lớn đến công việc của người sử dụng. Với mô hình điện toán đám
mây có nhiều các dịch vụ phức tạp liệu dẫn đến có đảm bảo khả năng sẵn sàng cho
nhu cầu thông tin mọi lúc mọi nơi.


14

2.2.2 Các phần mềm độc hại
Thuật ngữ “phần mềm độc hại” bao hàm tất cả các loại phần mềm độc hại
được thiết kế để làm hại máy tính hoặc mạng. Phần mềm độc hại có thể được cài
đặt trên máy người sử dụng mà nạn nhân không hay biết, thường thông qua các liên
kết lừa đảo hoặc nội dung tải xuống được đăng như là nội dung mong muốn.

2.2.2.1 Virus máy tính
Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính
nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file
chương trình, văn bản, máy tính…).
2.2.2.2 Sâu máy tính (Worms)
Sâu máy tính thường được coi là một nhánh của virus, nhưng có một vài
khác biệt cơ bản. Sâu máy tính là một chương trình tự sao chép, nhưng không lây
nhiễm tới các tập tin trong máy tính như virus.
2.2.2.3 Trojan horse
Trojan là chương trình giả dạng phần mềm hợp pháp nhưng khi khởi động sẽ
gây hại cho máy tính. Trojan không thể tự động lây lan qua máy tính, đây cũng là
đặc tính để phân biệt chúng với virus và sâu máy tính.
2.2.2.4 Web ứng dụng và nguy cơ bảo mật dữ liệu
2.2.2.4.1 Injection
Injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của
việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ
quản trị cơ sở dữ liệu trả về để inject (xâm nhập) và thi hành các câu lệnh SQL bất
hợp pháp.
Các dạng tấn công bằng SQL Injection
Dạng tấn công vượt qua kiểm tra đăng nhập: Với dạng tấn công này, tin tặc
có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi khi dùng các câu lệnh
SQL thao tác trên cơ sở dữ liệu của ứng dụng web.


15

Dạng tấn công sử dụng câu lệnh SELECT: Dạng tấn công này phức tạp hơn.
Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi
dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu
cho việc tấn công.

Dạng tấn công sử dụng câu lệnh INSERT: Thông thường các ứng dụng web
cho phép người dùng đăng kí một tài khoản để tham gia. Chức năng không thể thiếu là
sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của
mình.
Dạng tấn công sử dụng stored-procedures: Việc tấn công bằng storedprocedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi với quyền quản trị hệ
thống “sa”.
2.2.2.4.2 Lỗi cấu hình bảo mật (Security misconfiguration)
Các máy chủ web và máy chủ ứng dụng là xương sống của một ứng dụng
web. Chúng cung cấp một số dịch vụ là các ứng dụng web sử dụng bao gồm dịch
vụ thư mục, lưu trữ dữ liệu và hòm thư điện tử.
2.2.2.4.3 Lưu trữ mật mã không an toàn (Insecure erytographic storage)
Trong đám mây, sự cần thiết để lưu trữ thông tin nhạy cảm bởi các ứng dụng
web trong cơ sở dữ liệu hoặc trong hệ thống tập tin là quan trọng. Các thông tin có
thể là số thẻ tín dụng, số an sinh xã hội, hồ sơ tài khoản và mật khẩu, vì vậy việc sử
dụng mã hóa là rất quan trọng.
2.2.3 Các lỗ hổng bảo mật
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên
một hệ thống được phân loại gồm lỗ hổng C, B, A như sau:
Lỗ hổng loại C : Các lỗ hổng loại này cho phép thực hiện các phương pháp
tấn công theo DoS (Denial of Services- Từ chối dịch vụ). Mức độ nguy hiểm thấp,
chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống,
không làm phá hỏng dữ liệu hoặc đạt quyền truy nhập bất hợp pháp.


16

Lỗ hổng loại B: Lỗ hổng loại này cho phép người sử dụng có thể thêm các
quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ nên có thể dẫn
đến mất mát hoặc lộ thông tin yêu cầu bảo mật. Mức độ nguy hiểm trung bình.
Những lỗ hổng này thường có trong các ứng dụng trên hệ thống. Lỗ hổng loại này

có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể
chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.
Lỗ hổng loại A: Các lỗ hổng loại này cho phép người sử dụng ở bên ngoài có
thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm
phá hủy toàn bộ hệ thống.
2.2.4 Đánh giá về mối đe dọa về an toàn thông tin trong điện toán đám mây
2.2.4.1 Những đánh giá về mức độ an toàn thông tin
2.2.4.2 Tin tặc thay đổi phương thức tấn công
Tin tặc điều chỉnh các kỹ thuật tấn công
Tấn công nhằm vào các lỗ hổng an ninh Shell Command Injection.
Gia tăng đột biến về dò mật khẩu tự động.
Tấn công phishing nhằm vào các trang mạng xã hội và dịch vụ chuyển gói.
Phƣơng thức tấn công mới của hacker
Tin tặc tấn công các thiết bị di động tăng 19%.
Tấn công nhằm các mạng xã hội có sự gia tăng.
2.2.4.3 Không có sự an toàn tuyệt đối trong môi trường điện toán
2.3 Kết luận chƣơng 2
An toàn thông tin trong điện toán đám mây ngày càng trở nên cấp thiết khi
các dịch vụ của mô hình điện toán đám mây nở rộ vào những năm tới đây. Khi nhu
cầu sử dụng dịch vụ trên “đám mây” trở nên cần thiết vì tính tiện lợi và giá thành
phù hợp so với việc đầu tư vào các thiết bị, thì vấn đề an toàn thông tin hệ thống
mạng máy tính nói chung và điện toán đám mây nói riêng là một trong những vấn
đề mà hiện nay giới công nghệ thông tin cũng như các tổ chức, cá nhân có nhu cầu
sử dụng các dịch vụ đám mây rất quan tâm.


17

CHƢƠNG 3
GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN TRONG ĐIỆN TOÁN

ĐÁM MÂY CHO DOANH NGHIỆP
3.1 An toàn thông tin cho điện toán đám mây doanh nghiệp

3.1.1 Tình hình chung thế giới
3.1.2 Tình hình ứng dụng tại Việt Nam
3.1.3 Yêu cầu chung về an toàn thông tin
3.2 Nguy cơ mất an toàn bảo mật trong điện toán đám mây của doanh nghiệp
Mất kiểm soát: trong điện toán đám mây bằng cách sử dụng cơ sở hạ tầng
của người khác, khách hàng nhất thiết phải nhường quyền kiểm soát cho nhà cung
cấp trên một số vấn đề mà có thể ảnh hưởng đến an toàn thông tin. Đồng thời, các
thỏa thuận (hoặc hợp đồng) có thể không đưa ra một cam kết cung cấp dịch vụ này
trong một phần của cung cấp dịch vụ đám mây, do đó để lại một khoảng trống
trong phòng thủ an toàn thông tin.
Sự phụ thuộc: hiện tại có rất ít các công cụ, thủ tục hoặc dữ liệu tiêu chuẩn
định dạng đảm bảo tính di động dịch vụ. Điều này có thể gây khó khăn cho khách
hàng để di chuyển đến một nhà cung cấp khác hoặc chuyển dữ liệu về cho các ứng
dụng khác của khách hàng. Điều này dẫn đến sự phụ thuộc vào một một nhà cung
cấp dịch vụ đám mây, đặc biệt tính linh động của dữ liệu, khía cạnh cơ bản nhất, lại
không được kích hoạt …
Cách li bất thành: dịch vụ tập trung đặc điểm chính của điện toán đám mây.
Điều này có thể dẫn đến rủi ro là không tách được bộ nhớ lưu trữ của các khách
hàng khác nhau, có thể có các cuộc tấn công an toàn thông tin làm lẫn lộn dữ liệu
các khách hàng khác nhau. Tuy nhiên cũng cần thấy rằng các cuộc tấn công vào các
cơ chế cách ly tài nguyên vẫn còn rất ít hơn rất nhiều và khó khăn hơn nhiều cho kẻ
tấn công khi so sánh với các cuộc tấn công trên các hệ điều hành truyền thống.
Tính tuân thủ: dịch vụ phải đạt được các yêu cầu về một loại giấy phép,
chứng nhận nào đó (ví dụ, tiêu chuẩn ngành công nghiệp hoặc yêu cầu pháp lý) có


18


thể có rủi ro khi di cư ứng dụng đến các đám mây: nếu các nhà cung cấp dịch vụ
điện toán đám mây không thể cung cấp bằng chứng về sự tuân thủ của họ với các
yêu cầu có liên quan nếu nhà cung cấp dịch vụ điện toán đám mây không cung cấp
cơ chế kiểm soát dịch vụ cho khách hàng.
Giao diện bị lộ: Các giao diện bị lộ làm cho một nguy cơ bị tấn công ngày
càng gia tăng, đặc biệt là khi kết hợp với truy cập từ xa và các lỗ hổng trình duyệt
web.
Bảo vệ dữ liệu: điện toán đám mây gây ra rủi ro cho việc bảo vệ dữ liệu cho
khách hàng và các nhà cung cấp. Trong một số trường hợp, nó có thể khó khăn cho
các khách hàng (trong vai trò là điều khiển dữ liệu) để kiểm tra hiệu quả xử lý dữ
liệu của các nhà cung cấp và vì thế để đảm bảo rằng dữ liệu được xử lý một cách
hợp pháp. Vấn đề này là làm trầm trọng hơn trong các trường hợp chuyển nhiều dữ
liệu, ví dụ, giữa các đám mây liên quan.
Xóa dữ liệu chƣa hết: khi một yêu cầu để xóa một nguồn tài nguyên điện
toán đám mây được thực hiện, như với hầu hết các hệ điều hành, điều này chưa
chắc có thể dẫn đến xoá sạch các dữ liệu. Xóa hết dữ liệu đúng thời điểm cũng có thể
không thực hiện được, hoặc vì lý do có bản sao dữ liệu dự phòng, hoặc vì phần xóa
cũng lưu dữ liệu từ các khách hàng khác. Khi dữ liệu tập trung cùng với cơ chế tái sử
dụng các nguồn tài nguyên phần cứng, nguy cơ không xóa hết dữ liệu là rất cao.
Rủi ro từ nội bộ: trường hợp này rất hiếm khi xảy ra nhưng tác hại của nó rất
lớn (ví dụ người quản trị hệ thống điện toán đám mây của nhà cung cấp). Một sai
sót của họ có thể gây ra hậu quả rất lớn. Tuy nhiên, điều này rất khó xảy ra vì các
nhà cung cấp dịch vụ đám mây có các nguyên tắc bảo mật rất cao, một cá nhân nào
đó không đủ quyền để làm hỏng hệ thống..
3.3 Giải pháp đảm bảo an toàn thông tin trong điện toán đám mây cho doanh
nghiệp
3.3.1 Những lí luận chung về giải pháp an toàn thông tin
 Tính tin cẩn thận (Confidentiality).
 Tính sẵn sàng (Availability).



19

 Tính an ninh (Security).
3.3.2 Đề xuất khung quy chế để xây dựng, triển khai hệ thống đám mây đảm
bảo an toàn thông tin cho doanh nghiệp Việt Nam
Yêu cầu chung với nhà cung cấp ĐTĐM
Do tính chất quan trọng của dữ liệu trong các cơ quan nhà nước, hệ thống
điện toán đám mây ngoài việc cung cấp một môi trường linh hoạt, ổn định thì
cần phải đảm bảo an toàn cho thông tin dữ liệu luân chuyển trên hệ thống.
Chính vì vậy, tôi xin đề xuất theo hướng cần có quy định quản lý của nhà
nước đối vơí các tổ chức, doanh nghiệp cung cấp giải pháp để xây dựng và
triển khai hệ thống đám mây trong cơ quan nhà nước như sau:
- Có Giấy chứng nhận đăng ký doanh nghiệp đang có hiệu lực, hoặc
Giấy chứng nhận đăng ký kinh doanh đang có hiệu lực, hoặc Giấy chứng nhận
đầu tư đang có hiệu lực, trong đó có ghi ngành, nghề kinh doanh là kinh doanh
dịch vụ điện toán đám mây.
- Hệ thống trang thiết bị để xây dựng hệ thống hạ tầng điện toán đám
mây phải có giấy chứng nhận hoặc chứng minh đảm bảo an toàn thông minh
tuân thủ c ác tiêu chuẩn bảo mật.
- Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên
tục và khắc phục khi có sự cố xảy ra.
- Có các biện pháp đảm bảo an toàn, bảo mật thông tin, bí mật thông tin, dữ
liệu.
- Có áp dụng hệ thống quản lý chất lượng, hệ thống quản lý an toàn, bảo
mật thông tin theo tiêu chuẩn hiện hành.
Đối với các cơ quan nhà nước xây dựng hệ thống đám mây.
- Việc đầu tư xây dựng hệ thống đám mây của các cơ quan nhà nước
phải tuân thủ theo quy hoạch, đảm bảo yêu cầu về kỹ thuật, chất lượng, an

toàn, bảo mật thông tin, phạm vi phục vụ đủ lớn, khả thi trong quản lý và khai
thác, đảm bảo hiệu quả đầu tư.
- Phải tuân thủ nghiêm ngặt các quy định về chuẩn kết nối, chuẩn dữ liệu,
trang thiết bị phần cứng và phần mềm, yêu cầu hạ tầng, mức đảm bảo kỹ thuật,


20

chất lượng dịch vụ, an toàn, bảo mật thông tin theo quy định.
- Đảm bảo không được truyền tải, lưu trữ trên đám mây các thông tin
của cơ quan nhà nước thuộc danh mục bí mật nhà nước;
- Phải tuân thủ nghiêm các quy định của pháp luật về viễn thông, công
nghệ thông tin, lưu trữ và bảo mật thông tin trong cơ quan nhà nước;
- Việc sử dụng dịch vụ điện toán đám mây trong cơ quan nhà nước phải
bảo đảm khai thác hiệu quả tài nguyên mạng máy tính và nâng cao chất lượng
ứng dụng công nghệ thông tin trong hoạt động của các cơ quan Nhà nước....
Đối với tổ chức, doanh nghiệp cung cấp dịch vụ ĐTĐM nhằm đảm bảo
các yêu cầu về an toàn bảo mật cần phải có quy định trách nhiệm trong các nội
dung như sau:
- Có trách nhiệm công bố công khai hợp đồng sử dụng dịch vụ điện toán
đám mây mẫu trên trang thông tin điện tử của tổ chức, doanh nghiệp.
- Cung cấp đầy đủ thông tin về dịch vụ cho người sử dụng dịch vụ: chất
lượng dịch vụ, giá dịch vụ, nguyên tắc và mức độ bồi thường thiệt hại, quyền
và nghĩa vụ của tổ chức, doanh nghiệp cung cấp dịch vụ; quyền và nghĩa vụ
của người sử dụng dịch vụ; và các thông tin khác liên quan.
- Đảm bảo và duy trì chất lượng dịch vụ như mức đã công bố. Thường
xuyên tự kiểm tra chất lượng dịch vụ do mình cung ứng. Khi phát hiện mức
chất lượng dịch vụ không phù hợp với mức đã công bố phải thực hiện ngay
các biện pháp khắc phục để đảm bảo chất lượng dịch vụ.....
3.3.3. Đề xuất mô hình điện toán đám mây triển

3.3.3.1. Mô hình tổng thể
Đám mây được xây dựng theo mô hình đám mây riêng có phạm vi cung cấp dịch vụ cho
các cơ quan, tổ chức thuê hạ tầng, các dịch vụ cung cấp bởi đám mây bao gồm:
Dịch vụ lưu trữ dữ liệu cung cấp cho các cơ quan
Dịch vụ máy ảo cung cấp tài nguyên tính toán cho các đơn vị phục vụ triển
khai các ứng dụng CNTT
Dịch vụ mạng ảo giúp các đơn vị xây dựng một nhóm các máy ảo có kết nối
mạng để triển khai ứng dụng mang tính tương tác...
Tất cả các dịch vụ trên được cung cấp cho các cơ quan, doanh nghiệp thống


21
nhất trên nền tảng cơ sở hạ tầng duy nhất.

3.3.3.2. Mô hình triển khai cơ sở hạ tầngCấu trúc mạng
Phần lõi của trung tâm dữ liệu bao gồm: lớp kết nối mạng ngoại vi, lớp mạng
quy tụ, lớp mạng truy cập.
Cấu trúc ảo hóa
Toàn bộ các hệ thống ảo hóa được điều khiển giám sát bởi hệ quản trị cơ sở
hạ tầng, quản trị dịch vụ ĐTĐM tập trung
Mô hình hệ thống quản lý hạ tầng đám mây
Mô hình hệ thống quản lý hạ tầng đám mây bao gồm các chức năng quản lý hạ
tầng. Mô hình nay phụ thuộc vào công nghệ cụ thể của các hãng cung cấp hạ tầng
được triển khai .
3.3.4. Đề xuất giải pháp về hạ tầng của hệ thống đám mây
Giải pháp sàn nâng cho phòng máy chủ
Giải pháp nguồn cung cấp
Giải pháp làm mát
Giải pháp giám sát và bảo mật phòng máy chủ
Giải pháp Phòng cháy chữa cháy

Giải pháp cắt lọc set
3.3.5. Đề xuất giải pháp về công nghệ lƣu trữ của hệ thống đám mây
3.3.5.1. Công nghệ lưu trữ
Hiện nay có một số loại hình lưu trữ dữ liệu cơ
bản như:
- DAS (Direct Attached Storage): lưu trữ dữ liệu qua các thiết bị gắn trực tiếp
- NAS (Network Attached Storage): lưu trữ dữ liệu vào thiết bị lưu trữ thông qua mạng
IP
- SAN (Storage Area Network): lưu trữ dữ liệu qua mạng lưu trữ chuyên dụng riêng.
3.3.5.2. Sao lưu dự phòng dữ liệu
3.3.6.1. Mô hình AAA
Các dịch vụ AAA được chia làm ba phần, xác thực (authentication), điều khiển truy
cập (access control) và tính cước (accounting). Ta sẽ tìm hiểu sự khác nhau của ba
phần này và cách thức chúng làm việc như thế nào.
Nhận dạng và xác thực (Identification & Authentication )


22
Nhận dạng là phương pháp người dùng báo cho hệ thống biết họ là ai. Bộ
phận nhận dạng người dùng của một hệ thống quản lý là một cơ chế tương đối đơn
giản, hoạt động dựa trên một hệ thống tên người dùng (username) hoặc định danh
người dùng (userID)
Những yêu cầu nhận dạng đòi hỏi các định danh dùng để nhận dạng:
-

Phải là một định danh duy nhất

-

Không để dùng để xác định địa vị hay tầm quan trọng của người dùng

trong một tổ chức. Ví dụ như không được để lộ ra trong username là CEO
hay Giám đốc…

Xác thực dùng để nhận dạng (identify) người dùng. Chẳng hạn bằng cách so
sánh mật khẩu mà người dùng đăng nhập với mật khẩu đã được lưu trữ trong hệ
thống trước đó.
Điều khiển truy cập(Access Control)
Điều khiển truy cập là bước kiểm tra xem một người dùng được phép tr uy
cập vào những khu vực dữ liệu nào của server hay đám mây. Nó liên quan đến việc
quản lý truy cập của các user, thông qua việc xác thực, kết hợp với các luật(Rule)
được quản lý bởi người quản lý mà cho phép hay không cho phép user đó thực hiện
những hành động nhất định.
Access Control gồm 2 bước: bước 1 là ủy quyền(authorization) và bước 2 là
Approve.
Access control được sử dụng để thiết lập một mối quan hệ giữa chủ
thể(users, process, program) và các đối tượng(file, database, devices), dựa trên đó xác
đị nh các quyền truy cập vào đối tượng.
Sự ủy quyền (authorization) hay còn gọi là sự chính thức hóa định nghĩa
quyền của người dùng trong một hệ thống
Tính cước(Accounting)
Accounting là hành động thu thập dữ liệu về lượng tiêu thụ tài nguyên cho các
mục đíc h: phân tích xu hướng, phân bổ năng lực thanh toán, kiểm toán và định giá
chi phí, theo dõi các mô hình sử dụng bởi người dùng cá nhân, máy chủ, dịch vụ…
Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt
đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi,
thống kê lưu lượng và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ.


23
Nói cách khác, accounting cho phép giám sát dịch vụ và tài nguyên được người dùng

sử dụng.
Việc sử dụng AAA trong vấn đề bảo mật và an toàn thông tin
Các nhà cung cấp dịch vụ tích hợp dữ liệu dựa trên công nghệ đám mây ngày
nay phải điều khiển việc truy cập cũng như giám sát thông tin mà người dùng đầu cuối
đang thao tác. Những việc làm đó có thể đưa đến thành công hay thất bại đối với
một dịch vụ ĐTĐM. Với ý tưởng đó, AAA là cách thức tốt nhất để giám sát những
gì mà người dùng đầu cuối có thể làm trên mạng. Ta có thể xác thực, cấp quyền,
điều khiển truy cập cho người dùng cũng như tập hợp được thông tin như thời gian
bắt đầu hay kết thúc của người dùng.
Như ta thấy, bảo mật là vấn đề rất quan trọng.Với mức độ điều khiển, thật dễ
dàng để cài đặt bảo mật và quản trị mạng. Ta có thể định nghĩa các vai trò (role)
đưa ra cho người dùng những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và
theo dõi những thay đổi trong mạng. Với khả năng log lại sự kiện, ta có thể có
những sự điều chỉnh thích hợp với từng yêu cầu đặt ra. Tất cả những thành phần này
là cần thiết để duy trì tính an toàn, bảo mật cho mạng.
3.3.6.2. Kỹ thuật quản lý truy cập dữ liệu
Quản lý truy cập là một chính sách hay thủ tục cho phép, từ chối hoặc hạn
chế quyền truy cập tới một hệ thống. Nó có thể thực hiện quản lý theo dõi và ghi
lại những hành động có liên quan đến hoạt động truy cập vào hệ thống cũng như
có cơ chế xác định người cố gắng đi vào một cách trái phép
Hiện nay có nhiều loại mô hình quản lý truy cập, phổ biến là:
Điều khiển truy cập tùy quyền (Discre tionnary Access Control – DAC)
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC)
Điều khiển truy cập dựa trên vai trò (Role -based Access Control - RBAC)

3.4 Kết luận chƣơng 3
Trong chương 3 này đã chỉ ra một số nguy cơ tiềm ẩn và yêu cầu về sự mất
an toàn thông tin của người dùng và doanh nghiệp, đem lại một số khuyến cáo, đề
xuất chi tiết từ đó xây dựng các biện pháp để đảm bảo an toàn thông tin cho điện
toán đám mây của doanh nghiệp.



×