Chuyên đề:

Bảo mật trong điện toán đám mây


An ninh bảo mật trong điện toán đám mây

1. Giới thiệu

An ninh bảo mật điện toán đám mây (đôi khi được gọi đơn giản là "đám mây bảo mật") là một lĩnh vực mới trong sự phát triển

của bảo mật máy tính, an ninh mạng, và rộng rãi hơn an ninh thông tin. Nó dùng để chỉ một tập hợp rộng rãi các chính sách, công

nghệ, và kiểm soát triển khai để bảo vệ dữ liệu, ứng dụng, và cơ sở hạ tầng liên quan đến điện toán đám mây.


Mục tiêu bảo mật thông tin trên đám mây



Tính an toàn.



Tính đáng tin cậy.



Khả năng tồn tại : đó là khẳ năng kháng lại hoặc chịu được các cuộc tấn công và có khả năng phục hồi nhanh nhất có
thể cũng như gây tổn hại ít nhất có thể.



Ngoài ra còn có bảy nguyên tắc bổ sung để đảm bảo hỗ trợ an toàn thông tin: bảo mật, toàn vẹn, tính sẵn có, chứng
thực, cấp phép, kiểm tra và trách nhiệm.


2. Các vấn đề an ninh bảo mật liên quan đến điện toán
đám mây

Có một số vấn đề an ninh bảo mật liên quan đến điện toán đám mây, nhưng tập trung vào hai loại chính:



Các vấn đề an ninh bảo mật mà các nhà cung cấp dịch vụ điện toán đám mây phải đối mặt.



Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán đám mây.


3. Các tiêu chuẩn quản lý bảo mật

Quản lý bảo mật trong điện toán đám mây: dựa trên các tiêu chuẩn quản lý bảo mật:



Quản lý tính sẵn sàng




Kiểm soát truy cập



Quản lý tính dễ bị xâm phạm



Quản lý đường dẫn



Quản lý cấu hình



Phản ứng sự cố



Hệ thống sử dụng và theo dõi truy cập


4. An ninh bảo mật sự riêng tư của dữ liệu

Để đảm bảo dữ liệu được an toàn (người sử dụng trái phép không được truy cập hoặc chỉ đơn giản là bị mất mát dữ liệu) và dữ liệu riêng tư đó được
duy trì, nhà cung cấp dịch vụ điện toán đám mây tham gia vào các lĩnh vực sau:






Bảo vệ dữ liệu
Nhận dạng quản lý
Nhà cung cấp đảm bảo rằng các máy vật lý đầy đủ an toàn và việc truy cập vào các máy này cũng như tất cả các dữ liệu của khách hàng khi
khách hàng có nhu cầu truy cập không bị hạn chế.



Các nhà cung cấp dịch vụ đám mây đảm bảo với khách hàng rằng họ sẽ có quyền truy cập thường xuyên và có thể dự đoán trước dữ liệu và ứng
dụng của họ.



Các nhà cung cấp đảm bảo rằng tất cả các dữ liệu quan trọng phải được cất dấu và người được uỷ quyền mới có quyền truy cập toàn bộ dữ liệu
của mình.


5. An ninh bảo mật mạng



An ninh bảo mật mạng bảo vệ mạng của các tổ chức, cá nhân trước việc đánh cắp và sử dụng sai mục đích thông tin
kinh doanh bí mật và chống lại tấn công mã độc từ virus và sâu máy tính trên mạng Internet, Intranet.

Nếu an ninh mạng không được triển khai các tổ chức, cá nhân có khả năng sẽ gặp rủi ro trước xâm nhập trái phép, làm
ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp.


6. Giới thiệu các nguy cơ và các mối đe dọa trên điện toán đám

mây


6.1. Nguy cơ mất an toàn thông tin

Trong điện toán truyền thống, các doanh nghiệp còn phải tìm đủ mọi giải pháp chỉ để đảm bảo an toàn cho những thông tin đặt

ngay trên hạ tầng thiết bị của chính mình, thì rất khó để họ tin tưởng giao lại thông tin khi mà họ không biết nó được đặt chính xác

ở đâu và lại được quản lý bởi những người không quen biết theo mô hình đám mây. Vì vậy, mất an toàn thông tin luôn là nguy cơ

được quan tâm đặc biệt nhất


6.2. Nguy cơ virus

Do khả năng phá hoại và lây lan nhanh, virus máy tính là một trong những nguy cơ lớn khi nhắc đến các vấn đề

an ninh bảo mật thông tin. Việc tập trung hóa thông tin trong đám mây có thể rút ngắn thời gian và tiết kiệm tiền

bạc trong việc diệt virus, song nguy cơ và ảnh hưởng của virus sẽ không thay đổi thậm chí còn nguy hiểm hơn.


6.3. Nguy cơ lừa đảo trực tuyến và các lỗ hổng Web

Hiện nay, đa phần người sử dụng Internet vẫn chưa nhận thức đầy đủ về an ninh bảo mật thông tin. Do đó, lừa

đảo trực tuyến là một nguy cơ an ninh bảo mật lớn và thường bị hacker sử dụng để chiếm đoạt thông tin một

cách bất hợp pháp.



6.4. Nguy cơ tấn công mạng

Hiện nay giới tội phạm công nghệ cao có 4 phương thức tấn công mạng sau:



Tấn công chủ động

Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thực hiện
cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống.



Tấn công bị động

Bao gồm quét, bắt trộm và nghe trộm các gói tin có thể được xem là một phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả.



Tấn công mật khẩu

Bao gồm việc dự đoán, so sánh và tra mật khẩu thông qua một bộ từ điển mật khẩu.



Tấn công mã nguồn và mã mật

Bao gồm các phương pháp cửa sau (BackDoor), Virus, Trojans, Worms, các khóa mật mã yếu và thuật toán.



7. Các phần mềm độc hại

Thuật ngữ "phần mềm độc hại" bao hàm tất cả các loại phần mềm độc hại được thiết kế để làm hại máy tính hoặc
mạng. Phần mềm độc hại có thể được cài đặt trên máy người sử dụng mà nạn nhân không hay biết, thường thông qua
các liên kết lừa đảo hoặc nội dung tải xuống được đăng như là nội dung đáng mong ước.


7.1. Virus máy tính

Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này
sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính...).


7.2. Sâu máy tính (Worms)

Sâu máy tính thường được coi là một nhánh của virus nhưng có một vài khác biệt cơ bản. Sâu máy tính là một

chương trình tự sao chép, nhưng không lây nhiễm tới các tập tin trong máy tính như virus. Thay vào đó, nó sẽ

tự cài vào máy tính chỉ một lần, sau đó tìm cách lây lan sang máy tính khác.


7.3. Trojan horse

Trojan là chương trình giả dạng phần mềm hợp pháp nhưng khi khởi động sẽ gây hại cho máy tính.

Trojan không thể tự động lây lan qua máy tính, đây cũng là đặc tính để phân biệt chúng với virus và sâu


máy tính.


8. Web ứng dụng và nguy cơ bảo mật dữ liệu


8.1. Các dạng tấn công bằng SQL Injection



Dạng tấn công vượt qua kiểm tra đăng nhập: Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi
khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web.



Dạng tấn công sử dụng câu lệnh SELECT: Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ tấn công phải có
khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công.



Dạng tấn công sử dụng câu lệnh INSERT: Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản để tham gia.
Chức năng không thể thiếu là sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình.



Dạng tấn công sử dụng stored-procedures: Việc tấn công bằng stored- procedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi
với quyền quản trị hệ thống 'sa'.


8.2. Các lỗ hổng bảo mật

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập
trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp.



Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ- là một nỗ
lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính). sự cố gắng ác ý của một người hay nhiều người để một trang,
hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng
cách làm quá tải tài nguyên của hệ thống



Lỗ hổng loại B: Lỗ hổng loại này cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ nên
có thể dẫn đến mất mát hoặc lộ thông tin yêu cầu bảo mật.



Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở bên ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy
hiểm, có thể làm phá hủy toàn bộ hệ thống.


9. Giải pháp an ninh bảo trong mật điện toán đám
mây



Giải pháp tăng năng lực bảo mật của HP




Giải pháp bảo mật điện toán đám mây của Trend Micro



Giải pháp bảo mật điện toán đám mây của Panda Security



Giải pháp bảo mật điện toán đám mây của Symantec


BT: Tìm hiểu các giải pháp bảo mật