Xác thực hai nhân tố ứng dụng trên điện toán đám mây
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.89 MB, 74 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
NGUYỄN MINH TÂN
XÁC THỰC HAI NHÂN TỐ ỨNG DỤNG TRÊN
ĐIỆN TOÁN ĐÁM MÂY
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THÔNG
HÀ NỘI – NĂM 2015
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
NGUYỄN MINH TÂN
XÁC THỰC HAI NHÂN TỐ ỨNG DỤNG TRÊN
ĐIỆN TOÁN ĐÁM MÂY
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THÔNG
NGƯỜI HƯỚNG DẪN KHOA HỌC
TS. TRẦN HOÀNG HẢI
HÀ NỘI – NĂM 2015
MỤC LỤC
MỤC LỤC ................................................................................................................1
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT ..........................................................3
DANH MỤC BẢNG ................................................................................................4
DANH MỤC HÌNH VẼ, ĐỒ THỊ ...........................................................................5
LỜI MỞ ĐẦU ..........................................................................................................7
1.1
1.2
1.3
Mục đích của đề tài ......................................................................................8
Đối tượng và phạm vi nghiên cứu ...............................................................8
Phương pháp nghiên cứu .............................................................................8
CHƯƠNG 1 ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN
TOÁN ĐÁM MÂY ..................................................................................................9
1.1 Điện toán đám mây: .....................................................................................9
1.1.1 Điện toán đám mây là gì? ......................................................................9
1.2 Mô hình điện toán đám mây ......................................................................10
1.2.1 Mô hình kiến trúc.................................................................................10
1.2.2 Mô hình triển khai ...............................................................................11
1.2.3 Đặc điểm của điện toán đám mây ........................................................14
1.2.4 Các loại dịch vụ điện toán đám mây....................................................15
1.3 Vấn đề bảo mật trong điện toán đám mây .................................................17
1.3.1 Rủi ro bảo mật của điện toán đám mây ...............................................17
1.3.2 Các vấn đề bảo mật liên quan đến người sử dụng. ..............................21
1.3.3 Đánh giá tác động riêng tư...................................................................22
1.3.4 Sự tin cậy .............................................................................................23
1.3.5 Bảo mật hệ điều hành ..........................................................................24
1.3.6 Bảo mật máy ảo ...................................................................................25
1.3.7 Bảo mật ảo hóa ....................................................................................25
1.3.8 Nguy cơ bảo mật bởi chia sẻ máy ảo ...................................................29
1.3.9 Nguy cơ bảo mật gây ra bởi hệ điều hành quản lý ..............................31
CHƯƠNG 2
2.1
2.2
2.3
XÁC THỰC ĐA NHÂN TỐ TRÊN ĐIỆN TOÁN ĐÁM MÂY ..33
Xác thực .....................................................................................................33
Xác thực theo chính sách ...........................................................................34
Khái niệm xác thực đa nhân tố ..................................................................36
1
2.3.1 Yếu tố kiến thức...................................................................................37
2.3.2 Yếu tố sở hữu .......................................................................................37
2.3.3 Yếu tố tự nhiên ....................................................................................37
2.4 Các phương pháp xác thực truyền thống ...................................................37
2.4.1 Phương pháp sử dụng mật khẩu ..........................................................37
2.4.2 Security token ......................................................................................39
2.4.3 Software Token ....................................................................................46
2.4.4 Xác thực ngoài luồng ...........................................................................47
2.4.5 Sinh trắc học ........................................................................................48
2.5 Nhận dạng sinh trắc học.............................................................................51
2.5.1 Thuật toán xác thực .............................................................................52
2.5.2 Đăng ký hình ảnh .................................................................................52
2.5.3 Trích chọn đặc chưng và phân loại: .....................................................53
CHƯƠNG 3
ĐÁM MÂY
ÁP DỤNG XÁC THỰC HAI NHÂN TỐ TRONG ĐIỆN TOÁN
55
3.1 Mục tiêu ứng dụng .....................................................................................55
3.2 Giải pháp đề xuất .......................................................................................55
3.3 Tính thực tiễn của giải pháp ......................................................................56
3.4 One Time Password (OTP) Tokens ...........................................................56
3.4.1 OTP Token Configuration: ..................................................................58
3.4.2 Bộ sinh OTP: .......................................................................................59
3.5 Xây dựng ứng dụng Php tích hợp xác thực hai nhân tố .............................61
3.6 Google Authenticator .................................................................................63
3.6.1 Trường hợp sử dụng ............................................................................64
3.6.2 Kỹ thuật sử dụng ..................................................................................64
3.7 Cài đặt google authenticator trên mobile. ..................................................64
3.7.1 Cài đặt trên thiết bị chạy hệ điều hành android ...................................64
3.7.2 Cài đặt trên thiết bị chạy hệ điều hành iOS .........................................68
KẾT LUẬN ............................................................................................................71
TÀI LIỆU THAM KHẢO ......................................................................................72
2
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
Thuật ngữ Định nghĩa
CSP
Ghi chú
Nhà cung cấp dịch vụ điện toán
Cloud Service Provider
đám mây
API
Application programming interface Giao diện lập trình ứng dụng
OTP
One time password
Mật khẩu sử dụng một lần
3
DANH MỤC BẢNG
No table of figures entries found.
4
DANH MỤC HÌNH VẼ, ĐỒ THỊ
Hình 1-1 Điện toán đám mây ....................................................................................9
Hình 1-2 Mô hình cloud ..........................................................................................12
Hình 1-3 Hybrid cloud ............................................................................................14
Hình 1-4 Dịch vụ trên cloud....................................................................................16
Hình 2-1 Biểu đồ Xác thực .....................................................................................35
Hình 2-2 Xác thực đa nhân tố .................................................................................36
Hình 2-3 Phương pháp sử dụng mật khẩu ...............................................................38
Hình 2-4 Token sử dụng để xác thực OTP .............................................................41
Hình 2-5Tokens sử dụng cổng USB .......................................................................42
Hình 2-6 Tokens sử dụng Audio Jack Port .............................................................43
Hình 2-7 Thẻ visa contactless. ................................................................................43
Hình 2-8 Smartcard. ................................................................................................44
Hình 2-9 Thẻ smartcard hỗ trợ cả không kết nối và kết nối ...................................45
Hình 2-10 Software Token sử dụng trên IOS .........................................................46
Hình 2-11 Software Token sử dụng trên Desktop ..................................................47
Hình 2-12 Xác thực ngoài luồng .............................................................................48
Hình 2-13 Xác thực sử dụng vân tay ......................................................................49
Hình 2-14 Hệ thống quét võng mạc ........................................................................50
Hình 2-15 Hệ thống xác thực dựa trên chữ ký ........................................................51
Hình 2-16 Quy trình so khớp ..................................................................................54
Hình 3-1 Mô hình xác thực của ứng dụng ..............................................................56
Hình 2-17 Quy trình sinh mã OTP ..........................................................................59
Hình 2-18 Giải thuật sinh mã OTP .........................................................................60
Hình 3-2 Giao diện tạo và quản lý user. .................................................................62
Hình 3-3 Giao diện đăng nhập sử dụng xác thực hai nhân tố. ................................62
Hình 3-4 Giao diện đăng nhập thành công. ............................................................63
Hình 3-5 Ứng dụng google authenticator trên iOS. ................................................63
5
Hình 3-8 Màn hình khởi động của google authenticator. .......................................66
Hình 3-9 Màn hình cài đặt ZXing barcode scanner để đọc cấu hình google
authenticator.....................................................................................................66
Hình 3-10 Màn hình chọn cấu hình google authenticator. ......................................67
Hình 3-11 Màn hình cấu hình google authenticator. ..............................................67
Hình 3-12 Màn hình thiết lập thành công google authenticator. ............................68
Hình 3-13 Thực hiện cài google authentication từ Appstore. .................................68
Hình 3-14 Thực hiện mở google authentication và tiến hành scan barcode thiết lập
đồng bộ ban đầu.. .............................................................................................69
Hình 3-15 Giao diện ứng dụng khi chạy. ................................................................70
6
LỜI MỞ ĐẦU
Trong những năm gần đây, điện toán đám mây được nhiều người dùng, doanh
nghiệp nhắc tới như một công cụ hữu hiệu trong việc ảo hóa, sử dụng tài nguyên
mạng và nhận được rất nhiều sự quan tâm của các nhà khoa học máy tính. Điện toán
đám mây liên quan đến các khái niệm về công nghệ mạng, ảo hóa mạng cũng như
bao gồm các khái niệm về phần mềm dịch vụ, Web 2.0 cùng với các xu hướng công
nghệ nổi bật khác. Trong đó đề tài chủ yếu của nó là vấn đề dựa vào Internet để đáp
ứng những nhu cầu điện toán cũng như đảm bảo an toàn thông tin của người
dùng…
Điện toán đám mây hay điện toán máy chủ ảo là mô hình điện toán sử dụng các
công nghệ máy tính và phát triển dựa vào mạng Internet. Thuật ngữ "đám mây" ở
đây chính là mạng Internet và các kết cấu hạ tầng bên trong.
Trên thực tế, điện toán đám mây đơn giản chỉ là một bước tiến khác trong cách
mạng công nghệ thông tin. Mô hình đám mây được phát triển dựa trên 3 yếu tố cơ
bản gồm máy tinh trung ương, máy chủ/khách và ứng dụng Web. Nhưng bản chất
của 3 thành phần này đều tồn tại các vấn đề về bảo mật.
Các vấn đề bảo mật vẫn không ngăn được sự bùng nổ công nghệ cũng như sự ưa
chuông điện toán đám mây bởi khả năng giải quyết và đáp ứng các nhu cầu bức
thiết trong kinh doanh. Để đảm bảo an toàn cho đám mây điện toán, chúng ta cần
nắm được vai trò của nó trong sự phát triển công nghệ. Rất nhiều câu hỏi tồn tại
xung quanh những ưu và khuyết điểm khi sử dụng điện toán đám mây trong đó tính
bảo mật, hữu dụng và quản lí luôn được chú ý xem xét kĩ lưỡng. Bảo mật là đề tài
được giới người dùng thắc mắc nhiều nhất và nhiều câu hỏi được đặt ra để quyết
định liệu việc triển khai điện toán đám mây có phù hợp hay không và nếu không thì
nên chọn mô hình nào cho phù hợp: cá nhân, công cộng hay cả hai.
Với những lý do trên, tôi quan tâm và lựa chọn đề tài “Xác thực hai nhân tố ứng
dụng trên điện toán đám mây.”
7
NHIỆM VỤ VÀ PHÂN TÍCH NHIỆM VỤ
1.1 Mục đích của đề tài
Nghiên cứu các phương pháp tăng cường bảo mật cho điện toán đám mây. Từ đó
đưa ra các giải pháp giúp doanh nghiệp, tổ chức, người dùng cá nhân có các biện
pháp bảo mật thích hợp nhằm hạn chế thấp nhất rủi ro khi cung cấp cũng như tham
gia sử dụng các dịch vụ điện toán đám mây.
1.2 Đối tượng và phạm vi nghiên cứu
Tập trung nghiên cứu về các vấn đề bảo mật, các nguy cơ, cơ chế xác thực và quản
lý bảo mật trên điện toán đám mây, tìm hiểu về mô hình xác thực đa nhân tố và ứng
dụng trên điện toán đám mây.
1.3 Phương pháp nghiên cứu
Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật trong điện toán
đám mây, đánh giá các nguy cơ tiềm tang và đề xuất giải pháp tăng cường cơ chế an
ninh bảo mật trong điện toán đám mây
Nội dung luận văn được chia làm 3 chương chính:
-
Chương I: Điện toán đám mây & các vấn đề bảo mật trên điện toán đám
mây.
-
Chương II: Xác thực đa nhân tố trên điện toán đám mây.
-
Chương III: Áp dụng xác thực hai nhân tố trong điện toán đám mây.
8
CHƯƠNG 1
ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ BẢO
MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY
Ta bắt đầu thực hiện các công việc được đề ra, bắt đầu là việc tìm hiểu về điện toán
đám mây và các vấn đề bảo mật trong điện toán đám mây. Để từ đó ta có một cái
nhìn tổng thể đi dần đến chi tiết về điện toán đám mây và bảo mật trong điện toán
đám mây.
1.1 Điện toán đám mây:
1.1.1 Điện toán đám mây là gì?
Theo Wikipedia: “Điện toán đám mây (cloud computing) là một mô hình điện toán
có khả năng co giãn (scalable) linh động và các tài nguyên thường được ảo hóa
được cung cấp như một dịch vụ trên mạng Internet”.
Điện toán đám mây, còn gọi là điện toán máy chủ ảo, là mô hình điện toán sử dụng
các công nghệ máy tính và phát triển dựa vào mạng Internet.
Hình 1-1 Điện toán đám mây
9
Điện toán đám mây là “một mô hình điện toán nơi mà khả năng mở rộng và linh
hoạt về công nghệ, thông tin được cung cấp như một dịch vụ cho nhiều khách hàng
đang sử dụng các công nghệ trên nền Internet”. Theo Gartner.
Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng
theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền
tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối
theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”.
Theo Viện Tiêu chuẩn và Công nghệ (NIST) đã đưa ra nghĩa định nghĩa như sau:
“Điện toán đám mây là một mô hình cho phép ở một vị trí thuận tiện, khách hàng có
thể truy cập mạng theo yêu cầu và được chia sẻ tài nguyên máy tính (mạng, máy
chủ, lưu trữ, ứng dụng và dịch vụ) được nhanh chóng từ nhà cung cấp. Trong
trường hợp xấu nhất thì cũng phải cung cấp dịch vụ hoạt động ở mức tương tác”.
1.2 Mô hình điện toán đám mây
Theo định nghĩa, các nguồn điện toán khổng lồ như phần mềm, dịch vụ sẽ nằm tại
các máy chủ ảo trên Internet thay vì trong máy tính gia đình và văn phòng (trên mặt
đất) để mọi người kết nối và sử dụng mỗi khi họ cần.
Hiện nay, các nhà cung cấp đưa ra nhiều dịch vụ điện toán đám mây theo nhiều
hướng khác nhau, đưa ra các chuẩn riêng cũng như cách thức hoạt động khác nhau.
Do đó, việc tích hợp các đám mây để giải quyết một bài toán lớn của khách hàng
vẫn còn là một vấn đề khó khăn. Chính vì vậy, các nhà cung cấp dịch vụ đang có xu
hướng tích hợp các đám mây lại với nhau và đưa ra các chuẩn chung để giải quyết
các bài toán lớn của khách hàng.
1.2.1 Mô hình kiến trúc
1.2.1.1Thành phần
Hai thành phần quan trọng của kiến trúc điện toán đám mây được biết đến là front
end và back end.
10
Front end là phần phía khách hàng dùng máy tính. Nó bao gồm hệ thống mạng của
khách hàng (hoặc máy tính) và các ứng dụng được sử dụng để truy cập vào đám
mây thông qua giao diện người dùng có thể là một trình duyệt web.
Back end chính là đám mây, bao gồm các máy tính khác nhau, máy chủ và các thiết
bị lưu trữ dữ liệu.
1.2.1.2Mô hình kiến trúc
Đối với mạng Internet như hiện nay thì các tổ chức đã được lập ra để quản lí và
cùng thống nhất với nhau về các giao thức, các mô hình. Các thiết bị hoạt động
trong Internet được thiết kế sao cho phù hợp với mô hình điện toán đám mây. Trong
điện toán đám mây cũng hình thành nên mô hình cho chính nó. Bao gồm các thành
phần sau:
Thành phần ứng dụng cung cấp các dịch vụ phần mềm đến các tổ chức cá nhân có
nhu cầu sử dụng.
Thành phần nền tảng cung cấp các dịch vụ cơ bản là các bộ công cụ để phát triển,
thử nghiệm và triển khai ứng dụng trên nền điện toán đám mây cho khách hàng.
Thành phần cơ sở hạ tầng cung cấp các dịch vụ máy chủ, lưu trữ dữ liệu, cơ sở dữ
liệu cũng như các công cụ quản trị tài nguyên đó cho các tổ chức, cá nhân có nhu
cầu.
1.2.2 Mô hình triển khai
Từ “đám mây” (cloud) xuất phát từ hình ảnh minh họa mạng Internet đã được sử
dụng rộng rãi trong các hình vẽ về hệ thống mạng máy tính của giới CNTT. Một
cách nôm na, điện toán đám mây là mô hình điện toán Internet. Tuy nhiên, khi mô
hình Cloud Computing (CC) dần định hình, các ưu điểm của nó đã được vận dụng
để áp dụng trong các môi trường có quy mô và phạm vi riêng, hình thành các mô
hình triển khai khác nhau.
1.2.2.1Đám mây “công cộng”
11
Mô hình đầu tiên được nói đến khi đề cập tới CC chính là mô hình Public Cloud.
Đây là mô hình mà hạ tầng CC được một tổ chức sỡ hữu và cung cấp dịch vụ rộng
rãi cho tất cả các khách hàng thông qua hạ tầng mạng Internet hoặc các mạng công
cộng diện rộng. Các ứng dụng khác nhau chia sẻ chung tài nguyên tính toán, mạng
và lưu trữ. Do vậy, hạ tầng CC được tiết kế để đảm bảo cô lập về dữ liệu giữa các
khách hàng và tách biệt về truy cập.
Hình 1-2 Mô hình cloud
Các dịch vụ Public Cloud hướng tới số lượng khách hàng lớn nên thường có năng
lực về hạ tầng cao, đáp ứng nhu cầu tính toán linh hoạt, đem lại chi phí thấp cho
khách hàng. Do đó khách hàng của dịch vụ trên Public Cloud sẽ bao gồm tất cả các
tầng lớp mà khách hàng cá nhân và doanh nghiệp nhỏ sẽ được lợi thế trong việc dễ
dàng tiếp cận các ứng dụng công nghệ cap, chất lượng mà không phải đầu tư ban
đầu, chi phí sử dụng thấp, linh hoạt.
1.2.2.2Đám mây “doanh nghiệp”
Đám mây doanh nghiệp (Private Cloud) là mô hình trong đó hạ tầng đám mây được
sở hữu bởi một tổ chức và phục vụ cho người dùng của tôt chức đó. Private Cloud
có thể được vận hành bởi một bên thứ ba và hạ tầng đám mây có thể được đặt bên
trong hoặc bên ngoài tổ chức sở hữu (tại bên thứ ba kiêm vận hành hoặc thậm chí là
một bên thứ tư).
12
Private Cloud được các tổ chức, doanh nghiệp lớn xây dựng cho mình nhằm khai
thác ưu điểm được các tổ chức, doanh nghiệp lớn xây dựng cho mình nhằm khai
thác ưu điểm về công nghệ và khả năng quản trị của CC. Với Private Cloud, các
doanh nghiệp tối ưu được hạ tầng IT của mình, nâng cao hiệu quả sử dụng, quản lý
trong cấp phát và thu hồi tài nguyên, qua đó giảm thời gian đưa sản phẩm sản xuất,
kinh doanh ra thị trường.
1.2.2.3Đám mây “chung”
Đám mây chung (Community Cloud) là mô hình trong đó hạ tầng đám mây được
chia sẻ bởi một số tổ chức cho cộng đồng người dùng trong các tổ chức đó. Các tổ
chức này do đặc thù không tiếp cận với các dịch vụ Public Cloud và chia sẻ chung
một hạ tầng CC để nâng cao hiệu quả đầu tư và sử dụng.
13
1.2.2.4Đám mây “lai”
Mô hình đám mây lai (Hybrid Cloud) là mô hình bao gồm hai hoặc nhiều hơn các
đám mây trên tích hợp với nhau. Mô hình Hybrid Cloud cho phép chia sẻ hạ tầng
hoặc đáp ứng nhu cầu trao đổi dữ liệu.
Hình 1-3 Hybrid cloud
1.2.3 Đặc điểm của điện toán đám mây
Điện toán đám mây có các đặc điểm chính sau đây:
14
-
Nhanh chóng cải thiện với người dùng có khả năng cung cấp sẵn các tài
nguyên cơ sở hạ tầng công nghệ một cách nhanh chóng và ít tốn kém.
-
Chi phí được giảm đáng kể và chi phí vốn đầu tư được chuyển sang hoạt
động khác của doanh nghệp.
-
Sự độc lập giữa thiết bị và vị trí làm cho người dùng có thể truy cập hệ thống
bằng cách sử dụng trình duyệt web mà không quan tâm đến vị trí của họ hay
thiết bị nào mà họ đang dùng, ví dụ như PC, mobile.
-
Nhiều người sử dụng giúp chia sẻ tài nguyên và giá thành, cho phép tập
trung hóa cơ sở hạ tầng, tận dụng hiệu quả các hệ thống.
-
Độ tin cậy được cải thiện
-
Phân phối theo nhu cầu sử dụng.
-
Quản lý được hiệu suất hoạt động và các kiến trúc nhất quán, kết nối được
dùng là cấu trúc web service để giao tiếp hệ thống.
-
Việc bảo mật được cải thiện nhờ vào tập trung hóa dữ liệu, các tài nguyên
chú trọng bảo mật,..v.v…nhưng cũng nâng cao mối quan tâm về việc mất
quyền điều khiển dữ liệu nhạy cảm.
-
Khả năng duy trì và ổn định.
1.2.4 Các loại dịch vụ điện toán đám mây
Dịch vụ CC rất đa dạng và bao gồm tất cả các lớp dịch vụ điện toán từ cung cấp
năng lực tính toán trên dưới máy chủ hiệu suất cao hay các máy chủ ảo, không gian
lưu trữ dữ liệu, hay một hệ điều hành, một công cụ lập trình, hay một ứng dụng kế
toán… Các dịch vụ cũng được phân loại khá da dạng, nhưng các mô hình dịch vụ
CC phổ biến nhất có thể được phân thành 3 nhóm: Dịch vụ hạ tầng (IaaS), Dịch vụ
nền tảng (PaaS) và Dịch vụ phần mềm (SaaS).
15
Hình 1-4 Dịch vụ trên cloud
1.2.4.1Dịch vụ hạ tầng IaaS (Infrastructure as a Service)
Dịch vụ IaaS cung cấp dịch vụ cơ bản bao gồm năng lực tính toán, không gian lưu
trữ, kết nối mạng tới khách hàng. Khách hàng (cá nhân hoặc tổ chức) có thể sử
dụng tài nguyên hạ tầng này để đáp ứng nhu cầu tính toán hoặc cài đặt ứng dụng
riêng cho người sử dụng. Với dịch vụ này khách hàng làm chủ hệ điều hành, lưu trữ
và các ứng dụng do khách hàng cài đặt. Khách hàng điển hình của dịch vụ IaaS có
thể là mọi đối tượng cần tới một máy tính và tự cài đặt ứng dụng của mình.
Ví dụ điển hình về dịch vụ này là dịch vụ EC2 của Amazon. Khách hàng có thể
đăng ký sử dụng một máy tính ảo trê dịch vụ của Amazon và lựa chọn một hệ thống
điều hành (ví dụ, Windows hoặc Linux) và tự cài đặt ứng dụng của mình.
1.2.4.2Dịch vụ nền tảng PaaS (Platform as a Service)
Dịch vụ PaaS cung cấp nền tảng điện toán cho phép khách hàng phát triển các phần
mềm, phục vụ nhu cầu tính toán hoặc xây dựng thành dịch vụ trên nền tảng Cloud
dó. Dịch vụ PaaS có thể được cung cấp dưới dạng các ứng dụng lớp giữa
(middleware), các ứng dụng chủ (application server) cùng các công cụ lập trình với
ngôn ngữ lập trình nhất định để xây dựng ứng dụng. Dịch vụ PaaS cũng có thể được
xây dựng riêng và cung cấp cho khách hàng thông qua một API riêng. Khách hàng
xây dựng ứng dụng và tương tác với hạ tầng CC thông qua API đó. Ở mức PaaS,
khách hàng không quản lý nền tảng Cloud hay các tài nguyên lớp như hệ điều hành,
lưu giữ ở lớp dưới. Khách hàng điển hình của dịch vụ PaaS chính là các nhà phát
triển ứng dụng (ISV).
16
Dịch vụ App Engine của Google là một dịch vụ PaaS điển hình, cho phép khách
hàng xây dựng các ứng dụng web với môi trường chạy ứng dụng và phát triển dựa
trên ngôn ngữ lập trình Java hoặc Python.
1.2.4.3Dịch vụ phần mềm SaaS (Software as a Service)
Dịch vụ SaaS cung cấp các ưng dụng hoàn chỉnh như một dịch vụ theo yêu cầu cho
nhiều khách hàng với chỉ một phiên bản cài đặt. Khách hàng lựa chọn ứng dụng phù
hợp với nhu cầu và sử dụng mà không quan tâm tói hay bỏ công sức quản lý tài
nguyên tính toán bên dưới.
Dịch vụ SaaS nổi tiếng nhất phải kể đến Salesforce.com với các ứng dụng cho
doanh nghiệp mà nổi bật nhất là CRM. Các ứng dụng SaaS cho người dùng cuối
phổ biến là các ứng dụng office Online của Microsoft hay Google Docs của Google.
1.3 Vấn đề bảo mật trong điện toán đám mây
1.3.1 Rủi ro bảo mật của điện toán đám mây
Các mối đe dọa chia thành ba mục chính :
-
Các mối đe dọa bảo mật truyền thống
-
Các mối đe dọa liên quan đến tính sẵn sàng của hệ thống
-
Các mối đe dọa liên quan đến kiểm soát dữ liệu của bên thứ ba.
1.3.1.1Các mối đe dọa truyền thống:
Các hệ thống truyền thống thường gặp những mối đe dọa khi kết nối Internet,… Tác
động của các mối đe dọa truyền thống bị khuếch đại do số lượng lớn các tài nguyên
của điện toán đám mây và có thể ảnh hướng đến số lượng lớn người dùng. Giới hạn
mơ hồ giữa trách nhiệm của các nhà cung cấp dịch vụ điện toán đám mây và người
sử dụng cùng với những khó khăn để xác định chính xác nguyên nhân gây ra vấn đề
thêm vào mối quan tâm của người sử dụng điện toán đám mây.
Các mối đe dọa truyền thống bắt đầu từ vị trí người sử dụng, người dùng phải bảo
vệ hạ tầng được sử dụng để kết nối với điện toán đám mây và tương tác với các ứng
17
dụng chạy trên các đám mây. Nhiệm vụ này là khó khăn hơn bởi vì một số thành
phần của hạ tầng này ở bên ngoài tường lửa bảo vệ người sử dụng.
Các mối đe dọa tiếp theo là liên quan đến việc xác thực và quá trình cấp phép. Các
quy trình cho một cá nhân không mở rộng được cho doanh nghiệp. Trong trường
hợp này truy cập điện toán đám mây của các thành viên của một tổ chức phải được
‘sắc thái’ hóa; cá nhân khác nhau nên được chỉ định cấp độ khác biệt của đặc quyền
dựa trên vai trò của họ trong tổ chức. Nó cũng không dễ để hợp nhất hoặc kết hợp
chính sách nội bộ và các bảo mật của một tổ chức với những chính sách bảo mật
trên cloud.
Các cuộc tấn công truyền thống gây ảnh hưởng tới các nhà cung cấp dịch vụ điện
toán đám mây. Những tấn công thường gặp: từ chối dịch vụ (DDOS) tấn công ngăn
cản người dùng truy cập vào các dịch vụ điện toán đám mây, Phishing, SQL
injection, hoặc cross-site scripting.
Các máy chủ điện toán đám mây lưu trữ nhiều máy ảo và nhiều ứng dụng có thể
chạy theo mỗi máy ảo. Multi-tenancy kết hợp với lỗ hổng VMM có thể mở ra các
kênh tấn công mới cho người dùng có ý đồ xấu. Xác định các con đường tiếp theo
từ kẻ tấn công là khó khăn lớn trên môi trường điện toán đám mây.
1.3.1.2Tính sẵn sàng của các dịch vụ điện toán đám mây là một mối quan tâm lớn.
Lỗi hệ thống, mất điện, và các thảm họa khác có thể tắt dịch vụ đám mây trong một
thời gian dài, khi một lỗi như vậy xảy ra có thể là nguyên nhân khiến các tác vụ phụ
thuộc vào dữ liệu đó hoạt động không chính xác.
Đám mây cũng có thể bị ảnh hưởng bởi hiện tượng chuyển pha và các hiệu ứng
khác cụ thể cho các hệ thống phức tạp. Một khía cạnh quan trọng của tính sẵn sàng
là người dùng không thể yên tâm rằng một ứng dụng lưu trữ trên đám mây trả về
đúng kết quả.
1.3.1.3Kiểm soát của bên thứ ba:
18
Tạo ra một chuỗi các lo ngại gây ra bởi sự thiếu minh bạch và sự hạn chế người
dùng. Ví dụ, một nhà cung cấp điện toán đám mây có thể phân quyền một số tài
nguyên từ một bên thứ ba có mức độ tin tưởng đáng ngờ.
Lưu trữ dữ liệu duy nhất trên đám mây là sự mạo hiểm cũng tương tự như việc nhà
cung cấp dịch vụ đám mây hoạt động gián điệp gây ra các nguy hiểm thực sự. Các
điều khoản nghĩa vụ hợp đồng thường đặt tất cả trách nhiệm bảo mật dữ liệu cho
người sử dụng.
Sẽ rất khó cho một người sử dụng điện toán đám mây để chứng minh rằng dữ liệu
đã bị xóa bởi các nhà cung cấp dịch vụ. Sự thiếu minh bạch làm cho khả năng xác
minh là rất khó khăn đối với điện toán đám mây. VD: Hướng dẫn kiểm nghiệm xây
dựng bởi Viện Tiêu chuẩn Quốc gia (NIST) như các tiêu chuẩn xử lý thông tin liên
bang (FIPS) và Đạo luật quản lý an ninh thông tin liên bang (FISMA) là bắt buộc
đối với các cơ quan Chính phủ Hoa Kỳ.
Sự lạm dụng của điện toán đám mây đề cập đến khả năng thực hiện các hoạt
động bất chính từ các đám mây, ví dụ nhiều trường hợp sử dụng AWS hoặc các ứng
dụng được hỗ trợ bởi IaaS để khởi động các cuộc tấn công từ chối phân phối dịch
vụ hoặc phát tán thư rác và phần mềm độc hại. Công nghệ chia sẻ xem xét các mối
đe dọa do multi-tenant được hỗ trợ bởi công nghệ ảo hóa. VMMS có thể có lỗ hổng
cho phép hệ điều hành khách ảnh hưởng đến sự an toàn của nền tảng chia sẻ với các
máy ảo khác.
API không an toàn có thể không bảo vệ người sử dụng trong quá trình loạt các
hoạt động bắt đầu từ xác thực và kiểm soát truy cập để theo dõi và kiểm soát của
các ứng dụng trong thời gian chạy. Các nhà cung cấp dịch vụ điện toán đám mây
không tiết lộ các tiêu chuẩn thuê mướn và các chính sách của họ do đó, những rủi ro
của những ác ý nội bộ là không thể bỏ qua.
Mất hoặc rò rỉ dữ liệu là hai rủi ro với những hậu quả nặng nề cho một cá nhân
hay một tổ chức sử dụng dịch vụ điện toán đám mây. Duy trì các bản sao của các dữ
liệu nằm bên ngoài, thường là không khả thi do khối lượng của dữ liệu. Nếu chỉ lưu
trữ dữ liệu trên đám mây, sau đó dữ liệu nhạy cảm bị mất trong quá trình đám mây
sao chép dữ liệu thất bại có thể gây hậu quả nghiêm trọng.
19
Chiếm quyền điều khiển tài khoản hoặc dịch vụ là một mối đe dọa và người sử
dụng điện toán đám mây phải ý thức được và bảo vệ, chống lại tất cả các phương
pháp ăn cắp thông tin. Cuối cùng, rủi ro chưa đề cập đến lộ ra từ sự thiếu hiểu biết
hay đánh giá thấp những rủi ro của điện toán đám mây.
Nỗ lực để xác định và phân loại các cuộc tấn công trong môi trường điện toán đám
mây sẽ được thảo luận. Ba yếu tố tham gia trong mô hình xem xét là: người sử
dụng, dịch vụ và cơ sở hạ tầng điện toán đám mây, và có sáu loại tấn công có thể.
Người dùng có thể bị tấn công từ hai hướng, dịch vụ và các đám mây. Giả mạo
SSL, các cuộc tấn công trên bộ nhớ cache của trình duyệt, hoặc các cuộc tấn công
lừa đảo là ví dụ về các cuộc tấn công có nguồn gốc tại dịch vụ. Người sử dụng cũng
có thể là một nạn nhân của cuộc tấn công hoặc bắt nguồn tại các đám mây hoặc lừa
đảo có nguồn gốc từ các hạ tầng điện toán đám mây.
Dịch vụ có thể được đính kèm từ người sử dụng. Tràn bộ đệm, SQL injection, và
leo thang đặc quyền là những loại phổ biến của các cuộc tấn công từ dịch vụ. Dịch
20
vụ này cũng có thể bị tấn công bởi cơ sở hạ tầng điện toán đám mây và điều này có
lẽ là dòng nghiêm trọng nhất của cuộc tấn công. Hạn chế quyền truy cập vào các
nguồn tài nguyên, các cuộc tấn công đặc quyền liên quan đến sự biến dạng dữ liệu,
tiêm chích hoạt động bổ sung, chỉ là một vài trong số chiều dòng có thể có của các
cuộc tấn công có nguồn gốc tại các đám mây.
Cơ sở hạ tầng điện toán đám mây có thể bị tấn công bởi người dùng mà mục tiêu là
hệ thống điều khiển điện toán đám mây. Các loại tấn công đều giống nhau một
người sử dụng chi phối đối với bất kỳ dịch vụ điện toán đám mây khác. Hạ tầng
điện toán đám mây cũng có thể là mục tiêu của một dịch vụ yêu cầu một số lượng
quá nhiều tài nguyên và gây ra sự cạn kiệt của các nguồn tài nguyên.
1.3.2 Các vấn đề bảo mật liên quan đến người sử dụng.
Hầu như tất cả các cuộc điều tra đều báo cáo rằng bảo mật là mối quan tâm hàng
đầu cho người sử dụng điện toán đám mây đang quen với việc có quyền kiểm soát
đầy đủ của tất cả các hệ thống mà thông tin nhạy cảm được lưu trữ và xử lý. Người
sử dụng thường hoạt động trong một phạm vi an toàn được bảo vệ bởi tường lửa.
Bất chấp những mối đe dọa tiềm ẩn, người dùng phải tin vào những nhà cung cấp
dịch vụ điện toán đám mây nếu muốn hưởng lợi từ những lợi ích kinh tế đem lại.
Đây là một quá trình chuyển đổi khá khó khăn, nhưng quan trọng đối với tương lai
của điện toán đám mây. Để hỗ trợ quá trình chuyển đổi này một số người cho rằng
bảo mật trên điện toán đám mây đang nằm trong tay của các chuyên gia, do đó
người dùng thậm chí còn được bảo vệ tốt hơn so với khi họ chịu trách nhiệm với
bảo mật của chính họ.
1.3.2.1Mối quan tâm chủ yếu của người sử dụng là các truy cập trái phép thông tin
bí mật và trộm cắp dữ liệu.
Dữ liệu dễ bị tổn thương trong lưu trữ hơn là trong khi nó được xử lý. Dữ liệu được
giữ lại ở thiết bị lưu trữ trong thời gian dài, trong khi nó tiếp xúc với các mối đe dọa
khi được xử lý trong thời gian tương đối ngắn. Do đó, cần phải quan tâm sát sao đến
vấn đề an ninh của máy chủ lưu trữ và trong khi truyền dữ liệu.
21
Điều này không có nghĩa là các mối đe dọa trong thời gian xử lý có thể được bỏ
qua, các mối đe dọa như vậy có thể bắt nguồn từ sai sót của hệ thống. Ngoài ra còn
có nguy cơ truy cập trái phép và trộm cắp dữ liệu gây ra bởi giả mạo nhân viên của
nhà cung cấp dịch vụ Điện toán đám mây (CSP - Cloud Service Provider). Việc
thuê và kiểm tra an ninh, chính sách của nhân viên CSP là quá trình hoàn toàn
không rõ rang với người sử dụng và điều này biện minh cho mối quan tâm của
người dùng đến các cuộc tấn công nội bộ.
1.3.2.2Mối quan tâm tiếp theo về vấn đề người dùng kiểm soát vòng đời của dữ
liệu.
Hầu như không thể xác định được dữ liệu đã thực sự bị xóa khi người sử dụng xóa
dữ liệu. Ngay cả khi nó đã bị xóa, không có gì đảm bảo rằng đã bị xóa hoàn toàn và
người sử dụng tiếp theo không thể phục hồi dữ liệu. Vấn đề này càng trầm trọng
hơn như các nhà cung cấp dịch vụ điện toán đám mây dựa vào bản sao lưu liên tục
để ngăn ngừa mất dữ liệu ngẫu nhiên. Cách sao lưu như vậy được thực hiện mà
không có sự đồng ý của người sử dụng hoặc họ không biết. Trong lúc ghi dữ liệu có
thể bị mất, vô tình xóa, hoặc bị truy cập bởi một kẻ tấn công.
1.3.2.3Sự thiếu chuẩn hóa.
1.3.3 Đánh giá tác động riêng tư
Thời đại kỹ thuật số đã phải đối mặt với những thách thức đáng kể từ các nhà lập
pháp liên quan đến sự riêng tư như các mối đe dọa mới nổi lên. Ví dụ, thông tin cá
nhân tự nguyện chia sẻ, nhưng bị đánh cắp từ các trang web được cấp quyền truy
cập vào nó hoặc sử dụng sai có thể dẫn đến hành vi trộm cắp danh tính.
Mối lo ngại về quyền riêng tư khác nhau trong ba mô hình cung cấp điện toán đám
mây và cũng phụ thuộc vào bối cảnh thực tế.
Các khía cạnh chính của sự riêng tư là: việc thiếu kiểm soát người sử dụng, khả
năng sử dụng trái phép, phổ biến dữ liệu, và giám sát.
1.3.3.1Việc thiếu kiểm soát người sử dụng
22
Đề cập đến một thực tế là lấy việc kiểm soát dữ liệu người dùng làm trung tâm
không tương thích với việc sử dụng điện toán đám mây. Một khi dữ liệu được lưu
trữ trên các máy chủ của CSP những tổn thất của người sử dụng được kiểm soát
trên các vị trí chính xác, và trong một số trường hợp có thể mất quyền truy cập vào
dữ liệu. Ví dụ, trong trường hợp của dịch vụ Gmail của chủ sở hữu tài khoản không
có kiểm soát ở nơi dữ liệu được lưu trữ hoặc email cũ được lưu trữ như thế nào
trong một số bản sao lưu của các máy chủ.
1.3.3.2Sử dụng trái phép các thông tin
ví dụ như nhắm mục tiêu quảng cáo. Không có phương tiện kỹ thuật để ngăn chặn
việc sử dụng này.
1.3.3.3Giám sát dữ liệu
Nguy cơ về gia công phần mềm. trong đó các vấn đề, ví dụ, làm thế nào để xác định
các nhà thầu phụ của một CSP, những quyền gì đối với các dữ liệu mà họ có, và
những quyền gì để có thể chuyển nhượng dữ liệu trong trường hợp phá sản hoặc sáp
nhập.
1.3.4 Sự tin cậy
1.3.4.1Cơ chế bảo mật để kiểm soát và giám sát truy cập, tính minh bạch của danh
tính.
Các cơ chế để kiểm soát truy cập được thiết kế để loại bỏ những kẻ đột nhập và tác
nhân gây hại. Tính minh bạch đòi hỏi mối liên quan giữa một tác nhân ảo và một
người thật cần được kiểm tra an ninh cẩn thận thông qua các phương pháp như nhận
dạng sinh trắc học. Chữ ký số và chứng thực số được sử dụng để nhận dạng. Sự
giám sát có thể được dựa trên phát hiện xâm nhập hoặc có thể dựa vào đăng nhập và
kiểm soát. Việc đầu tiên là dựa trên theo dõi thời gian thực, thứ hai là dựa trên chọn
lọc ngoại tuyến.
Thông tin sử dụng khi có sự tin tưởng vào một thực thể không biết; Các giấy chứng
nhận được ban hành bởi một người có thẩm quyền tin cậy và mô tả những đặc trưng
23
