Tải bản đầy đủ (.pdf) (70 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Kỹ thuật - Công nghệ

Kỹ thuật an toàn thông tin cho dịch vụ lưu trữ đám mây

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.07 MB, 70 trang )

L Ê THỊ HOÀNG LINH

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

KỸ THUẬT VIỄN THÔNG

LUẬN VĂN THẠC SỸ
CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG

KỸ THUẬT AN TOÀN THÔNG TIN
CHO DỊCH VỤ LƯU TRỮ ĐÁM MÂY

LÊ THỊ HOÀNG LINH

2016 - 2018

HÀ NỘI – 11/2018


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ
KỸ THUẬT AN TOÀN THÔNG TIN
CHO DỊCH VỤ LƯU TRỮ ĐÁM MÂY
LÊ THỊ HOÀNG LINH
CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG
MÃ SỐ: 8520208

TS. NGUYỄN HOÀI GIANG



HÀ NỘI – 11/2018


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

LỜI CAM ĐOAN
Luận văn Thạc sĩ “Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây” là
công trình nghi n cứu của cá nhân tôi.
Các nội dung nghiên cứu và th nghiệm trình bày trong luận văn là trung thực rõ
ràng.
Các tài liệu tham khảo, nội dung trích dẫn đã ghi rõ nguồn gốc.
Ngày 15 tháng 11 năm 2018
Tác giả luận văn

Lê Thị Hoàng Linh

Học viên thực hiện: Lê Thị Hoàng Linh

1


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

LỜI CẢM ƠN
Đầu tiên, em xin g i lời cảm ơn sâu sắc tới TS Nguyễn Hoài Giang, Thầy giáo
trực tiếp hƣớng dẫn, định hƣớng cho luận văn cũng nhƣ tạo điều kiện về thời gian,
sự gi p đ tận tình về kiến thức và các tài liệu tham khảo quý báu.
Tiếp theo, em xin cảm ơn các Thầy, Cô trong Khoa Đào tạo sau đại học – Đại
học Mở Hà Nội đã nhiệt t nh giảng dạy, truyền đạt kiến thức cho em trong suốt thời

gian qua.
Em xin cảm ơn gia đ nh, bạn b đã chia s , gi p đ t i trong học tập và thời gian
thực hiện nghiên cứu đề tài này.
Luận văn này chắc chắn kh ng tránh khỏi những thiếu sót, em mong nhận đƣợc
những lời g p , ch bảo t các Thầy, Cô và các bạn để có thể hoàn thiện đề tài của
mình tốt hơn.
Hà Nội, ngày 15 tháng 11 năm 2018
Ngƣời thực hiện

Lê Thị Hoàng Linh

Học viên thực hiện: Lê Thị Hoàng Linh

2


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

T M TẮT LUẬN VĂN
Trong thời đại b ng n th ng tin nhƣ hiện nay, nhu cầu lƣu trữ và chia s dữ liệu
là r t lớn, các nguồn dữ liệu đƣợc ƣu ti n lƣu trữ trực tuyến để dễ dàng cho việc
truy xu t và cập nhật, quản lý.
R t nhiều dịch vụ miễn ph nhƣ

ropbox, Google

rive, One rive đã đƣợc

cung c p cho ngƣời d ng. C r t nhiều t chức, cá nhân đã lựa chọn s dụng dịch
vụ ở tr n để làm giải pháp sao lƣu, chia s dữ liệu và lƣu trữ.

Tuy nhi n khi lƣu trữ dữ liệu tr n đám mây của các nhà cung c p thƣơng mại th
v n đề bảo mật dữ liệu lu n làm ngƣời d ng lo ngại khi s dụng dịch vụ. Đ c biệt là
những cơ quan đơn vị c các dữ liệu quan trọng, hay các b mật thƣơng mại, sở hữu
tr tuệ th họ đ c biệt quan tâm đến t nh b mật của dữ liệu.
Giải quyết bài toán này đồ án đã tập trung tr nh bày các nội ch nh sau:
 T m hiểu cơ bản về điện toán đám mây.
 T m hiểu v n đề an toàn bảo mật dữ liệu tr n đám mây.
 Lựa chọn, đề xu t giải pháp mã nguồn mở Owncloud để triển khai dịch vụ
lƣu trữ đám mây ri ng cho các t chức, cơ quan c những giữ liệu b mật cần
bảo vệ.

Học viên thực hiện: Lê Thị Hoàng Linh

3


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

MỤC LỤC
LỜI CAM ĐOAN ...................................................................................................1
LỜI CẢM ƠN .........................................................................................................2
T M TẮT LUẬN V N .........................................................................................4
MỤC LỤC ...............................................................................................................6
ANH MỤC H NH V ..........................................................................................8
MỞ Đ U .................................................................................................................9
1. L do chọn đề tài .............................................................................................9
2. Mục ti u đề tài ...............................................................................................10
3. Phƣơng pháp nghi n cứu...............................................................................10
4. Kết quả ..........................................................................................................10
5. ố cục của đồ án ...........................................................................................11

CHƢƠNG I – ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG .................................1
1.1. Khái niệm và các đ c điểm cơ bản điện toán đám mây .............................12
1.2. Kiến tr c điện toán đám mây .....................................................................15
1.3. Công nghệ ảo hóa (Virtualization Technologies) ......................................18
1.4. Các m h nh dịch vụ của điện toán đám mây ............................................19
1.5. Các mô hình triển khai điện toán đám mây ...............................................23
1.6. Kết luận ......................................................................................................27
CHƢƠNG II - AN TOÀN, BẢO MẬT DỮ LIỆU TRÊN ĐÁM MÂY ...............29
2.1. Một số rủi ro và nguy cơ m t an toàn dữ liệu trong điện toán đám mây ...30
2.2. An toàn dữ liệu li n quan đến kiến tr c dịch vụ của điện toán đám mây ..32
2.3. An toàn dữ liệu trong các giai đoạn v ng đời dữ liệu ................................36
2.4. Công nghệ và kỹ thuật đảm bảo an toàn dữ liệu tr n đám mây .................38
2.5. Kết luận ......................................................................................................45
CHƢƠNG III - XÂY ỰNG CH VỤ LƢU TRỮ ĐÁM MÂY AN TOÀN S
ỤNG OWNCLOU ...........................................................................................46
3.1. Giới thiệu về Owncloud .............................................................................48
3.2. Kiến trúc giải pháp của OwnCloud ............................................................51
3.3. Tr nh chủ Owncloud ..................................................................................53
Học viên thực hiện: Lê Thị Hoàng Linh

4


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

3.4 Các đề xu t triển khai tr n thực tế ..............................................................55
3.5. Th nghiệm dịch vụ lƣu trữ đám mây s dụng Owncloud ........................61
3.6 Kết luận .......................................................................................................66
K T LUẬN ...........................................................................................................67
TÀI LIỆU THAM KHẢO .....................................................................................68


Học viên thực hiện: Lê Thị Hoàng Linh

5


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

ANH MỤC T

VI T TẮT
anh sách kiểm soát truy cập

ACL

Access Control List

API

Application Programming

Giao diện lập tr nh ứng dụng

CC

Interface
Cloud Computing

Điện toán đám mây (ĐTĐM)


CPU

Central Processing Unit

CSA

Cloud Security Alliance

Li n minh điện toán đám mây

CSP

Cloud Service Provider

Nhà cung c p dịch vụ đám mây

CIFS

Common Internet File

Hệ thống chia s file tr n Internet

DLP

Sharing
Data
Loss Prevention

Chống th t thoát dữ liệu


GFS2

Global File System 2

Hệ thống tập tin chia s

HA

High Availability

T nh s n sàng truy cập cao

HIDS

Host Intrusion Detection

Hệ thống phát hiện xâm nhập tại

IaaS

System
Infrastructure as a Service

ch
ịch vụ hạ tầng

IDS

Intrustion detection system


Hệ thống phát hiện xâm nhập

IPS

Intrustion prevention system

Hệ thống ph ng chống xâm nhập

NIDS

Network Intrusion Detection

Hệ thống phát hiện xâm nhập tr n

NIST

System
National Institute of

mạng
Viện ti u chu n và c ng nghệ quốc

NFS

Standards and Technology
Network File System

gia
Hệ thống tập tin mạng


PaaS

Platform as a Service

OS

Operating System

Hệ điều hành - HĐH

OCR

Optical Character

Hệ thống nhận diện k tự

RAM

Recognition
Random
Access Memory

REST

Representational State

Kiến tr c dịch vụ Web thay thế cho

SaaS


Tranfer as a Service
Software

SOAP
ịch vụ ứng dụng

SLA

Service Level Agreement

Thỏa thuận mức dịch vụ

Học viên thực hiện: Lê Thị Hoàng Linh

ộ x l trung tâm

đĩa

ịch vụ nền tảng

ộ nhớ truy cập ngẫu nhi n

6


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

SOA

Service Oriented


Kiến tr c hƣớng dịch vụ

SOAP

Architecture
Simple
Object Access

Giao thức truy cập đối tƣợng đơn

VPN

Protocolprivate network
Virtual

giản ri ng ảo
Mạng

EFS

Encrypting File System

Hệ thống tập tin mã h a

VM

Virtual Machine

Máy ảo


VMM

Virtual Machine Monitor

Tr nh quản l máy ảo

WebDAV

Web-based Distributed

Hệ thống quản lý chứng thực và

Authoring and Versioning

phiên bản dựa tr n m i trƣờng Web

Học viên thực hiện: Lê Thị Hoàng Linh

7


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

ANH MỤC H NH V
Hình 1.1 - Các đ c điểm, mô hình dịch vụ và mô hình triển khai của ĐTĐM .........12
Hình 1.2 - Kiến tr c cơ bản của điện toán đám mây.................................................15
Hình 1.3 - Kiến trúc phân lớp của điện toán đám mây .............................................16
Hình 1.5 - Mô hình dịch vụ điện toán đám mây và các ứng dụng thực tế ................20
Hình 2.1 - Biện pháp đảm bảo an toàn trong v ng đời dữ liệu .................................38

Hình 2.2 - Sơ đồ s dụng mã h a trong điện toán đám mây.....................................40
H nh 3.1 - Các user case khi s dụng dịch vụ ropbox ............................................50
H nh 3.2 - M h nh lƣu trữ đám mây s dụng OwnCloud ........................................51
Hình 3.3 - Kiến trúc giải pháp của OwnCloud .........................................................52
Hình 3.4 - Kiến trúc máy chủ OwnCloud .................................................................53
H nh 3.5 - M h nh triển khai cho t chức quy m nhỏ ............................................55
H nh 3.6 - M h nh triển khai cho t chức quy m trung b nh .................................56
H nh 3.7 - M h nh đề xu t cho một đơn vị đào tạo .................................................58
H nh 3.8 - C u h nh mã h a dữ liệu tr n server ........................................................59
H nh 3.9 - M h nh hệ thống Owncloud th nghiệm ................................................61
H nh 3.10 - Giao diện khi đăng nhập lần đầu vào Owncloud ...................................62
H nh 3.11 - Tạo ngƣời d ng của hệ thống lƣu trữ ....................................................62
H nh 3.12 - Giao diện phần mềm máy trạm Windows 7 ..........................................63
H nh 3.13 - Cảnh báo về chứng ch self-signed ........................................................63
H nh 3.14 - Thực hiện ch p các tập tin vào thƣ mục để upload l n server ...............64
H nh 3.15 - ữ liệu t máy client đã đƣợc tải l n server ..........................................64
H nh 3.16 - Chia s tập tin cho ngƣời d ng user2 ....................................................65
H nh 3.17 - Đăng nhập tài khoản tr n máy client Ubuntu ........................................65
H nh 3.18 - Tập tin đƣợc chia s bởi user1 ...............................................................66

Học viên thực hiện: Lê Thị Hoàng Linh

8


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

MỞ Đ U
L


o

ọn

t

Ngày nay khi công nghệ thông tin và internet phát triển mạnh mẽ kéo theo sự
gia tăng của các mối đe dọa nhƣ: tin t c, mã độc v.v.. th v n đề bảo vệ an toàn dữ
liệu tại c ng sở, nơi làm việc cũng nhƣ tại nhà đang là một nhu cầu thiết yếu.

ịch

vụ lƣu trữ trên mây là một giải pháp để giải quyết v n đề này.
Ngày càng có nhiều ngƣời lựa chọn s dụng loại hình dịch vụ này v t nh dễ s
dụng đối với ngƣời d ng trong việc lƣu trữ và sao lƣu dữ liệu, đồng thời cung c p
khả năng chia s dữ liệu giữa những ngƣời cùng s dụng dịch vụ với nhau cũng nhƣ
đồng bộ dữ liệu trên nhiều thiết bị.
Tuy nhi n, ngƣời d ng đ c biệt là các doanh nghiệp thƣờng do dự khi giao phó
dữ liệu của mình cho nhà cung c p dịch vụ lƣu trữ trên mây vì họ sợ rằng mình sẽ
m t quyền kiểm soát dữ liệu đ . Hơn nữa nguy cơ tin t c t n công vào nhà cung c p
dịch vụ đám mây đánh cắp dữ liệu đã làm gia tăng mối lo sợ của ngƣời dùng.
Để giảm thiểu mối lo sợ này thì các nhà cung c p dịch vụ kh ng ng ng t m các
biện pháp để đảm bảo an toàn dữ liệu của ngƣời d ng. Điện toán đám mây c kiến
tr c phức tạp gồm nhiều thành phần khác nhau, phục vụ số lƣợng lớn các ngƣời
dùng với các yêu cầu khác nhau do đ sẽ tồn tại nhiều nguy cơ gây m t an toàn.
Ch nh v vậy việc đảm bảo an toàn dữ liệu cho điện toán đám mây đ i hỏi cần phải
xem x t một cách toàn diện t y u cầu về con ngƣời, c ng nghệ, kỹ thuật đến ch nh
sách.
Đây cũng ch nh là l do em đã chọn luận văn của m nh là “Kỹ thuật An toàn
thông tin cho dịch vụ lưu trữ đám mây”.


Học viên thực hiện: Lê Thị Hoàng Linh

9


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

Mụ t u

t

Đề tài tập trung nghi n cứu v n đề an toàn, bảo mật dữ liệu tr n điện toán đám
mây cụ thể là đối với dịch vụ lƣu trữ đám mây.
T m hiểu các nguy cơ và phƣơng pháp bảo vệ an toàn dữ liệu tr n đám mây, t
đ lựa chọn s dụng giải pháp mã nguồn mở để xây dựng dịch vụ lƣu trữ đám mây
đảm bảo an toàn dữ liệu cho ngƣời d ng và c thể triển khai tại các cơ quan, doanh
nghiệp v a và nhỏ.
Để đạt đƣợc mục ti u đ luận văn tập trung làm rõ các nội dung ch nh nhƣ sau:
1. T m hiểu t ng quan về điện toán đám mây
2. T m hiểu v n đề an toàn, bảo mật dữ liệu tr n đám mây
3. T m hiểu giải pháp mã nguồn mở Owncloud - dịch vụ lƣu trữ đám mây, th
nghiệm và đƣa ra đề xu t ứng dụng.

P

n p

pn


n

u

1. Phƣơng pháp nghi n cứu l thuyết
T ng hợp kiến thức nghi n cứu t các nguồn tài liệu nhƣ: sách điện t , ti u
chu n, bài báo khoa học.
2. Phƣơng pháp th nghiệm
-

Đọc các tài liệu hƣớng dẫn t website của nhà phát triển sản ph m.

-

Cài đ t th nghiệm tr n máy ảo.

t quả
Việc th nghiệm giải pháp tr n m i trƣờng máy ảo đã cho th y khả năng áp
dụng triển khai dịch vụ lƣu trữ đám mây ri ng s dụng Owncloud là r t khả thi. Các
chức năng, sự tiện dụng và bảo mật sẽ là những đ c điểm mà r t nhiều t chức
doanh nghiệp quan tâm.

Học viên thực hiện: Lê Thị Hoàng Linh

10


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây




luận văn:

Luận văn chia làm 3 chƣơng với nội dung cụ thể nhƣ sau:
Chƣơng 1 - Điện toán đám mây và ứng dụng.
Chƣơng này tr nh bày kiến thức cơ bản về điện toán đám mây:
- Định nghĩa điện toán đám mây.
- Các đ c điểm, các m h nh dịch vụ, m h nh triển khai của điện toán
đám mây và kiến tr c của điện toán đám mây.
Việc t m hiểu sẽ gi p hiểu đƣợc những giải pháp đảm bảo an toàn bảo mật dữ
liệu tr nh bày ở chƣơng 2.
Chƣơng 2 - An toàn th ng tin dữ liệu cho điện toán đám mây.
Chƣơng này sẽ tr nh bày các mối hiểm họa đối với điện toán đám mây:
- Xem x t v n đề an toàn dữ liệu t g c độ kiến tr c đến các giai đoạn
trong v ng đời dữ liệu.
- T m hiểu các giải pháp c ng nghệ và kỹ thuật đảm bảo an toàn dữ liệu
cho điện toán đám mây.
Chƣơng 3 - T m hiểu giải pháp lƣu trữ đám mây s dụng phần mềm nguồn
mở Owncloud.
- Phân t ch các ƣu nhƣợc điểm của phần mềm
- Th nghiệm tr n m i trƣờng máy ảo.
- Đề xu t các m h nh triển khai tr n thực tế và các giải pháp bảo đảm, an
toàn và bảo mật cho dữ liệu của t chức triển khai.

Học viên thực hiện: Lê Thị Hoàng Linh

11


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây


CHƯƠNG 1 – ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG
Chƣơng đầu tiên này sẽ trình bày những nội dung cơ bản về điện toán đám mây:
các khái niệm, kiến tr c, m h nh và những lợi ch mà điện toán đám mây mang lại.

1.1. Khái niệm v



ểm

bản

ện to n

m mây

 Địn n
ện to n m mây
Điện toán đám mây ra đời đã góp phần tạo ra những dịch vụ công nghệ thông tin
đƣợc cung c p đến mọi đối tƣợng theo nhu cầu, với thời gian nhanh hơn và chi ph
r hơn. Vậy điện toán đám mây là g ?
Theo Peter M và Timothy G (2009) thuộc Viện tiêu chu n và công nghệ quốc
gia Mỹ (NIST) đã đƣa ra định nghĩa về điện toán đám mây nhƣ sau: iệ
mây là

ô hì h iện toán cho phép truy cập qua mạ g ể lựa chọn và sử dụng tài

nguyên tính toán (ví dụ: mạng, máy chủ, lưu rữ, ứng dụng và dịch vụ) theo nhu cầu
một cách thuận tiệ và ha h chó g, ồng thời cho phép kết thúc sử dụng dịch vụ,

giải phóng tài nguyên dễ dàng, giảm thiểu các giao tiếp với nhà cung cấp.
Mô hình này gồm có 5 đ c trƣng cơ bản, 3 mô hình dịch vụ và 4 mô hình triển
khai.

Hình 1.1 - C



ểm, mô hình dịch vụ và mô hình triển khai c a ĐTĐM

Học viên thực hiện: Lê Thị Hoàng Linh

12


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

Nói cách khác, điện toán đám mây là loại hình điện toán trong đ tài nguyên tính
toán đƣợc thu ngoài, đồng thời thỏa mãn các tiêu chí:
 Tài nguyên điện toán có khả năng t y biến, thu hồi, mở rộng theo nhu cầu
khách hàng một cách nhanh chóng.
 S dụng th ng qua m i trƣờng Internet, c độ s n sàng cao
 Tài nguy n đƣợc cung c p theo phƣơng thức dịch vụ. Ngƣời dùng ch trả
tiền cho những gì s dụng, ch trả tiền khi nào s dụng, dùng bao nhiêu trả
b y nhiêu.
 C

ểm bản
ện to n m mây
Theo định nghĩa của NIST, điện toán đám mây c 5 đ c điểm cơ bản sau:

 Tự phục vụ theo nhu cầu: M i khi có nhu cầu ngƣời dùng ch cần g i
yêu cầu thông qua trang web cung c p dịch vụ, hệ thống của nhà cung c p
sẽ đáp ứng nhu cầu của ngƣời dùng.
Lợi ích rõ nh t của việc tự phục vụ là ngƣời s dụng có thể nhanh chóng
tự cung c p nguồn tài nguyên mà không cần nhờ tới bộ phận kỹ thuật.
Ngƣời dùng có thể tự phục vụ yêu cầu của m nh nhƣ tăng thời gian s
dụng server, tăng dung lƣợng lƣu trữ… mà kh ng cần phải tƣơng tác trực
tiếp với nhà cung c p dịch vụ, mọi nhu cầu về dịch vụ đều đƣợc x lý trên
m i trƣờng Internet.
 Truy cập diện rộng: Điện toán đám mây cung c p các dịch vụ thông qua
m i trƣờng Internet.

o đ , ngƣời dùng có kết nối Internet là có thể s

dụng dịch vụ hơn nữa, điện toán đám mây ở dạng dịch vụ n n kh ng đ i
hỏi khả năng x lý cao ở phía client.
Vì vậy ngƣời dùng có khả năng s dụng các loại thiết bị và công nghệ với
nền tảng khác nhau (ví dụ: điện thoại di động, máy tính bảng, máy tính
xách tay, máy trạm) để truy cập s dụng các dịch vụ điện toán đám mây.
Với điện toán đám mây ngƣời dùng không còn bị phụ thuộc vị trí nữa, họ
có thể truy xu t dịch vụ t b t kỳ nơi nào, vào b t kỳ lúc nào có kết nối
internet.

Học viên thực hiện: Lê Thị Hoàng Linh

13


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây


 Tính linh hoạt, m m dẻo: Đây là t ch ch t đ c biệt nh t, n i bật nh t và
quan trọng nh t của điện toán đám mây.
Khả năng điều ch nh hệ thống tùy theo nhu cầu của ngƣời dùng, để ngƣời
d ng c đƣợc những tài nguy n đ ng với những gì họ cần: không nhiều
hơn và kh ng t hơn cũng tức là: khi nhu cầu tăng cao, hệ thống sẽ tự mở
rộng bằng cách thêm tài nguyên vào và khi nhu cầu giảm xuống, hệ thống
sẽ tự giảm bớt tài nguyên.
Đ c điểm này giúp cho nhà cung c p s dụng tài nguyên hiệu quả, tận
dụng triệt để tài nguy n dƣ th a, phục vụ đƣợc nhiều khách hàng.
Đối với ngƣời s dụng dịch vụ, đ c điểm trên giúp họ giảm chi phí do họ
ch trả phí cho những tài nguyên thực sự dùng.
 Ướ l ợng dịch vụ: Một nhà cung c p dịch vụ điện toán đám mây phải
ƣớc tính chi phí các nguồn đầu vào của khách hàng và họ có thể s dụng
dữ liệu này để xu t h a đơn cho khách hàng. Hệ thống điện toán đám mây
tự động kiểm soát và tối ƣu h a việc s dụng tài nguyên (mạng, lƣu trữ,
x lý …).
Việc s dụng tài nguy n đƣợc theo dõi, kiểm soát và báo cáo minh bạch
cho cả 2 phía - nhà cung c p và khách hàng.
T

n uy n

ợc chia sẻ: Các nguồn tài nguyên bao gồm lƣu trữ, x lý,

bộ nhớ và băng th ng mạng, t t cả tài nguy n điện toán của nhà cung c p
dịch vụ điện toán đám mây đều đƣợc dùng chung, phục vụ cho nhiều
khách hàng. Các tài nguyên sẽ đƣợc phân phối động tùy theo nhu cầu của
ngƣời dùng.
Khi nhu cầu của một khách hàng giảm xuống, thì phần tài nguy n dƣ th a
sẽ đƣợc tận dụng để phục vụ cho một khách hàng khác.

Tuy nhiên ngƣời dùng có cảm giác về sự độc lập trong s dụng tài nguyên
và không nhận thức đƣợc chính xác về vị trí nguồn tài nguy n đang s
dụng, nhƣng c thể xác định đƣợc vị trí nguồn tài nguyên ở mức tƣơng đối
(ví dụ: quốc gia, trung tâm dữ liệu...).

Học viên thực hiện: Lê Thị Hoàng Linh

14


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

1.2. Ki n trú

ện to n

m mây

Kiến tr c điện toán đám mây bao gồm nhiều thành phần khác nhau nhƣng về cơ
bản kiến trúc của điện toán đám mây gồm 2 thành phần chính đƣợc kết nối với nhau
thông qua mạng Internet là Front End và Back End.
 Front End (phần trƣớc): Phần hạ tầng ph a ngƣời dùng của một hệ thống điện
toán đám mây. Front End bao gồm các máy tính của ngƣời dùng, các giao
diện, hay các ứng dụng đƣợc yêu cầu s dụng trên các nền tảng điện toán đám
mây (ví dụ: các trình duyệt - browser).
 Back End (phần sau): Ch nh là đám mây, bao gồm t t cả nguồn tài nguyên
cần thiết để có thể cung c p dịch vụ điện toán đám mây nhƣ hạ tầng phần
cứng (máy chủ, thiết bị mạng, các thiết bị lƣu trữ…) các dịch vụ và ứng dụng
mà đám mây cung c p.
T t cả các thành phần này sẽ đƣợc quản lý tập trung và đƣợc bảo vệ khỏi các

mối đe dọa t bên ngoài bằng cách triển khai các mô hình quản lý và thực thi chính
sách bảo mật.

Hình 1.2 - Ki n trú

Học viên thực hiện: Lê Thị Hoàng Linh

bản c

15

ện to n

m mây


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

Theo cách nhìn phân lớp, đám mây có kiến trúc 4 lớp nhƣ tr n h nh 1.3 bao
gồm: Phần cứng và mạng, Dịch vụ, Truy cập và Ngƣời dùng
Trong đ m i lớp lại có các lớp con với vai trò khác nhau. Ví dụ trong lớp phần
cứng và mạng có các lớp tài nguy n con: phần cứng, ảo hóa và hƣớng dịch vụ.
Trong lớp con tài nguyên phần cứng lại có các thành phần t nh toán, lƣu trữ và kết
nối mạng.

Hình 1.3 - Ki n trúc phân lớp c

ện to n

m mây


Bản ch t lớp phần cứng và mạng gồm các máy chủ dữ liệu đƣợc kết nối với
nhau nhƣ một hệ thống duy nh t phục vụ cho việc lƣu trữ và x lý dữ liệu và các
ứng dụng tính toán trên các tài nguyên khác.
Điện toán đám mây gọi một ứng dụng chạy trên máy chủ ảo nhƣ là n đang chạy
tại ch trên hạ tầng phần cứng phân tán trong đám mây. Các máy chủ ảo đƣợc tạo ra
theo cách mà những thỏa thuận dịch vụ (Service Level Agreements) và sự tin cậy
đều đƣợc đảm bảo.
Có thể có nhiều thực thể (instance) khác nhau của cùng một máy chủ ảo truy cập
vào những phần s n sàng của cơ sở hạ tầng phần cứng. Điều này đảm bảo rằng có
nhiều bản sao của các ứng dụng, để khi xảy ra l i chúng s n sàng khắc phục.

Học viên thực hiện: Lê Thị Hoàng Linh

16


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

Máy chủ ảo phân tán quá trình x l vào cơ sở hạ tầng phần cứng và sau khi quá
tr nh t nh toán đƣợc hoàn thành chúng sẽ trả về kết quả. Quá trình này cần có một
phần mềm ho c hệ điều hành x lý công việc quản lý hệ thống phân tán, giống nhƣ
kỹ thuật t nh toán lƣới, giúp quản lý các yêu cầu khác nhau đến máy chủ ảo.
Cơ chế này sẽ đảm bảo việc tạo ra nhiều bản sao và cả việc bảo vệ sự thống nh t
dữ liệu đƣợc lƣu tr n cơ sở hạ tầng. Đồng thời hệ điều hành cũng c thể tự điều
ch nh khi g p quá tải. Các tiến trình phân chia x l để hoàn thành đáp ứng yêu cầu.
Hệ thống quản lý công việc nhƣ vậy trong suốt với ngƣời dùng, hay nói cách khác
là n với ngƣời dùng.
Sự độc lập với ngƣời dùng thể hiện ở ch nó x lý và trả về kết quả đạt đƣợc,
chứ không quan trọng nó x lý ở đâu và bằng cách nào. Ngƣời dùng trả tiền dựa

tr n “khối lƣợng” s dụng hệ thống hay dịch vụ. Thực tế số tiền mà khách hàng
phải trả thƣờng đƣợc tính dựa vào số lƣợng CPU dùng trên một giờ ho c số Gb dữ
liệu di chuyển trong một giờ.
Lớp dịch vụ cung c p các dịch vụ khác nhau cho ngƣời dùng có thể là những
phần mềm độc lập ho c kết hợp với các dịch vụ khác để thực hiện tƣơng tác với
nhau. Ngoài ra nó có thể cung c p sự kết hợp giữa các máy t nh để thực thi một
chƣơng tr nh ứng dụng theo yêu cầu của ngƣời dùng.
Điều quan trọng là các ứng dụng đƣợc cung c p luôn luôn s n sàng cho phép
khách hàng s dụng ngay mà không cần phải cài đ t, vận hành hay duy trì ứng dụng
tại máy tính cá nhân của mình. Việc này giúp loại bỏ đƣợc các chi phí bảo trì, vận
hành các chƣơng tr nh ứng dụng cho ngƣời dùng.
Lớp truy cập cung c p khả năng truy cập đa dạng trên các nền tảng thiết bị đầu
cuối khác nhau để s dụng dịch vụ đám mây cũng nhƣ sự tƣơng tác với các dịch vụ
của đám mây.
Trên cùng là lớp ngƣời dùng cung c p các chức năng cho ngƣời d ng và đối tác
cũng nhƣ ngƣời quản trị hệ thống đám mây.
Và cuối cùng là lớp liên kết chức năng giữa các lớp tr n, đảm bảo chức năng
quản lý hoạt động, vận hành cũng nhƣ bảo mật và ri ng tƣ của đám mây.

Học viên thực hiện: Lê Thị Hoàng Linh

17


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

1.3. Công nghệ ảo hóa (Virtualization Technologies)
Ảo h a là c ng nghệ nền tảng của điện toán đám mây. Ảo hóa là khái niệm
d ng để ch các tài nguy n điện toán có thể đƣợc tạo ra với một mức độ uyển
chuyển và linh hoạt r t cao mà kh ng đ i hỏi ngƣời dùng phải có kiến thức chuyên

sâu về các tài nguyên vật lý nằm ở dƣới.
Trong m i trƣờng ảo hóa, các tài nguy n điện toán có thể đƣợc tạo ra, thay
đ i k ch thƣớc, ho c di chuyển một cách linh động khi nhu cầu biến đ i. Ảo hóa
cung c p những lợi thế quan trọng trong việc chia s , quản lý và tách biệt tài nguy n
điện toán (khả năng cho ph p nhiều ngƣời dùng và ứng dụng có thể chia s các tài
nguyên vật lý mà không gây ra ảnh hƣởng lẫn nhau) của đám mây. Công nghệ ảo
hóa không ch giới hạn ở máy ảo virtual machine). Ảo h a c n đƣợc áp dụng đối
với lƣu trữ, kết nối mạng và ứng dụng.
T t cả các tài nguy n ảo h a đƣợc quản lý bởi tr nh quản l máy ảo - VMM
Virtual Machine Monitor) hay c n gọi là Hypervisor. Hypervisor là một phần mềm
nằm ngay trên phần phần cứng ho c b n dƣới HĐH nhằm mục đ ch cung c p các
m i trƣờng tách biệt gọi là các phân vùng – partition. M i phân vùng ứng với m i
máy ảo - VM có thể chạy các HĐH độc lập.
Về bản ch t VMM cũng đƣợc chia làm 2 loại nhƣ h nh 1.4 dƣới đây:

H n 1.4 - H

loạ tr n quản l m y ảo VMM

Học viên thực hiện: Lê Thị Hoàng Linh

18


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

 Loạ

: VMM đ ng vai tr là một tr nh si u quản l


Hypervisor) chạy trên

phần cứng. Lớp phần mềm Hypervisor chạy trực tiếp trên nền tảng phần
cứng của máy chủ, không thông qua b t kì một HĐH hay một nền tảng nào
khác. Qua đ , các hypervisor này có khả năng điều khiển, kiểm soát phần
cứng của máy chủ. Đồng thời, n cũng c khả năng quản lý các HĐH chạy
trên nó.
Nói cách khác, các HĐH sẽ chạy ở một lớp nằm phía trên các Hypervisor.
Một số ví dụ về các hệ thống Hypervisor loại 1 nhƣ là: Oracle VM, VMware
ESX Server, IBM's POWER Hypervisor (PowerVM), Microsoft's Hyper-V
6/2008), Citrix XenServer…
 Loạ

: VMM đ ng vai tr nhƣ một phần mềm trung gian chạy tr n HĐH để

chia s tài nguyên với HĐH. Lớp Hypervisor chạy trên nền tảng HĐH, s
dụng các dịch vụ đƣợc HĐH cung c p để phân chia tài nguyên tới các máy
ảo. Nếu xem Hypervisor này là một lớp phần mềm riêng biệt, thì các HĐH
của máy ảo (Guest OS) sẽ nằm trên lớp thứ 3 so với phần cứng máy chủ.
Một số v dụ về hệ thống hypervisor loại 2 có thể kể đến nhƣ VMware
Server, VMware Workstation, Microsoft Virtual Server…

1.4. C

m

n




vụ

ện to n

m mây

Trên thực tế có khá nhiều mô hình khác nhau tuy nhiên theo định nghĩa của
NIST điện toán đám mây c 3 mô hình dịch vụ:
 Dịch vụ phần mềm (Software as a Service – SaaS).
 Dịch vụ nền tảng (Platform as a Service – PaaS).
 Dịch vụ cơ sở hạ tầng (Infrastructure as a Service – IaaS)
Cách phân chia này c n đƣợc gọi là mô hình SPI. M i mô hình phục vụ một
mục đ ch khác nhau. Một doanh nghiệp có thể chọn để s dụng ch một, hai ho c
thậm chí t t cả ba loại mô hình dịch vụ đám mây đồng thời nếu nhƣ c nhu cầu.

Học viên thực hiện: Lê Thị Hoàng Linh

19


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

Hình 1.5 - Mô hình dịch vụ

ện to n

m mây và các ng dụng thực t

 SaaS: có khả năng cho khách hàng s dụng các ứng dụng đƣợc nhà cung c p
dịch vụ đám mây CSP) cung c p trên một cơ sở hạ tầng điện toán đám mây.

Các ứng dụng có thể truy cập t các thiết bị khác nhau của khách hàng ho c
thông qua một giao diện Thin client, chẳng hạn nhƣ một trình duyệt web,
ho c một giao diện chƣơng tr nh.
Dịch vụ ứng dụng (SaaS) là một mô hình dịch vụ phần mềm triển khai qua
Internet, trong đ SaaS sẽ cung c p gi y phép một dịch vụ cho khách hàng
để s dụng một ứng dụng theo yêu cầu, hay còn gọi là “phần mềm theo yêu
cầu”. M h nh SaaS cho phép các nhà cung c p phát triển, lƣu trữ và vận
hành phần mềm để khách hàng s dụng. Thay vì mua các phần cứng và phần
mềm để chạy một ứng dụng, khách hàng ch cần một máy tính ho c một máy
chủ để tải ứng dụng và truy cập internet để chạy phần mềm. Phần mềm này
có thể đƣợc c p phép cho một ngƣời dùng duy nh t ho c cho một nhóm
ngƣời dùng.
SaaS cung c p phần mềm nhƣ một dịch vụ trên Internet, không cần cài đ t
hay chạy chƣơng tr nh tr n máy t nh ph a khách hàng. Những ứng dụng cung

Học viên thực hiện: Lê Thị Hoàng Linh

20


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

c p cho khách hàng đƣợc cài đ t, c u hình trên máy chủ t xa. Đồng thời
công việc bảo tr đơn giản và đƣợc hƣớng dẫn t nhà cung c p.
SaaS có thể đƣợc chia thành hai loại chính:
1) Cung cấp cho doanh nghiệp: Đây là những giải pháp kinh doanh đƣợc
cung c p cho các công ty và doanh nghiệp. Ch ng đƣợc cung c p thông
qua doanh nghiệp đăng k dịch vụ. Các ứng dụng đƣợc cung c p thông
qua hình thức trên bao gồm các quá tr nh kinh doanh nhƣ quản lý dây
chuyền cung c p, quan hệ khách hàng và các công cụ hƣớng kinh doanh.

2) Cung cấp cho cá nhân: Các dịch vụ này đƣợc cung c p cho công chúng
tr n cơ sở thu bao đăng k . Tuy nhi n, họ đƣợc cung c p miễn phí và h
trợ thông qua quảng cáo. Ví dụ trong loại hình này gồm có dịch vụ web
mail, chơi game trực tuyến, và ngân hàng của ngƣời tiêu dùng, và nhiều
kiểu khách hàng khác.
 PaaS: có khả năng cho khách hàng triển khai các ứng dụng của họ đƣợc tạo
ra ho c mua lại) vào cơ sở hạ tầng điện toán đám mây, s dụng ngôn ngữ lập
tr nh, thƣ viện, dịch vụ, và các công cụ h trợ của CSP. Dịch vụ nền tảng
cung c p các nền tảng điện toán cho phép khách hàng phát triển các phần
mềm, phục vụ nhu cầu tính toán ho c xây dựng thành dịch vụ trên nền tảng
đám mây.
PaaS cung c p t t cả các nguồn lực cần thiết để xây dựng các ứng dụng và
dịch vụ hoàn toàn t Internet, mà không cần phải tải về hay cài đ t phần
mềm. Nó h trợ việc phát triển ứng dụng mà không cần quan tâm đến sự
phức tạp của việc trang bị và quản lý các lớp phần cứng và phần mềm bên
dƣới. Dịch vụ PaaS có thể đƣợc cung c p dƣới dạng các ứng dụng lớp giữa
(middleware), các máy chủ ứng dụng (application server) cùng các công cụ
lập trình với ngôn ngữ lập trình nh t định để xây dựng ứng dụng. Dịch vụ
PaaS cũng có thể đƣợc xây dựng riêng và cung c p cho khách hàng thông
qua một API riêng. Khách hàng xây dựng ứng dụng và tƣơng tác với hạ tầng
điện toán đám mây th ng qua API đ .

Học viên thực hiện: Lê Thị Hoàng Linh

21


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

Các dịch vụ khác bao gồm khả năng t ch hợp dịch vụ web, cơ sở dữ liệu tích

hợp, khả năng mở rộng, lƣu trữ, quản lý và phiên bản.
Nền tảng hƣớng dịch vụ thƣờng cung c p một giao diện ngƣời dùng dựa trên
HTML ho c JavaScript. Nền tảng hƣớng dịch vụ h trợ phát triển giao diện
web nhƣ Simple Object Access Protocol SOAP) và REST Representational
State Tranfer), cho phép xây dựng nhiều dịch vụ web.
Tùy chọn PaaS có ba loại khác nhau:
1) M

tr ờng phát triển bổ sung (Add-on development facilities): Điều

này cho phép các ứng dụng SaaS đƣợc lựa chọn. Th ng thƣờng, các nhà
phát triển PaaS và khách hàng đƣợc yêu cầu đăng k cho các ứng dụng
SaaS.
2) M

tr ờn

ộc lập (Stand-alone environments): Những m i trƣờng

không cung c p gi y phép, kỹ thuật.
3) M

tr ờng phân ph i ng dụng (Application delivery-only environments):

Những m i trƣờng h trợ dịch vụ lƣu trữ theo c p độ, nhƣ khả năng mở
rộng theo nhu cầu bảo mật nhƣng kh ng bao gồm nhiệm vụ phát triển, g
l i, và kiểm tra.
 IaaS: Cung c p khả năng cho khách hàng s dụng năng lực x l , lƣu trữ,
mạng và tài nguy n máy t nh cơ bản khác của CSP để triển khai chạy hệ điều
hành, các ứng dụng và phần mềm khác trên một cơ sở hạ tầng điện toán đám

mây.
Các dịch vụ cơ sở hạ tầng cung c p cho khách hàng tài nguyên hạ tầng điện
toán nhƣ máy chủ, mạng, kh ng gian lƣu trữ và các công cụ quản trị tài
nguy n đ . Các tài nguy n này thƣờng đƣợc ảo hoá, chu n hoá thành một số
c u h nh trƣớc khi cung c p để đảm bảo khả năng linh hoạt trong quản trị
cũng nhƣ h trợ tự động hoá.
Tầng dƣới cùng của đám mây là tầng cung c p dịch vụ cơ sở hạ tầng. Ở đây
là một tập hợp các tài nguyên vật l nhƣ các máy chủ, các thiết bị mạng và
các đĩa cứng lƣu trữ đƣợc đƣa ra nhƣ dịch vụ với mục đ ch cung c p cho

Học viên thực hiện: Lê Thị Hoàng Linh

22


Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây

khách hàng. Cũng nhƣ với các dịch vụ nền tảng, ảo hóa là một phƣơng pháp
thƣờng đƣợc s dụng để tạo ra bản phân phối các nguồn tài nguyên theo yêu
cầu. Các nhà sản xu t lớn cung c p cơ sở hạ tầng bao gồm IBM Bluehouse,
VMware, Amazon EC2, Microsoft Azure Platform, Sun ParaScale Cloud
Storage.
Các dịch vụ cơ sở hạ tầng tập trung vào v n đề trang bị cho các trung tâm dữ
liệu bằng cách đảm bảo công su t điện toán khi cần thiết. Trên thực tế các kỹ
thuật ảo h a thƣờng đƣợc s dụng trong tầng này, nên có thể th y rõ sự tiết
kiệm chi phí khi s dụng tài nguyên hệ thống. Nhà cung c p dịch vụ ch
kiểm soát lớp phần cứng dƣới cùng còn toàn bộ lớp tài nguyên ảo hóa cung
c p cho khách hàng cũng nhƣ hệ điều hành và ứng dụng là do ngƣời dùng
quản lý.
Ba mô hình dịch vụ IaaS, PaaS, SaaS có mối liên hệ ch t chẽ với nhau trong

t ng thể một hạ tầng điện toán đám mây. Với IaaS là nền tảng, PaaS đƣợc xây dựng
dựa trên IaaS và SaaS lại đƣợc xây dựng dựa trên PaaS.
Sự khác biệt cơ bản giữa các dịch vụ là khả năng khách hàng có thể điều khiển
hay kiểm soát đối với cơ sở hạ tầng đám mây của CSP. SaaS cung c p khả năng
kiểm soát ít nh t trong khi IaaS cung c p khả năng kiểm soát nhiều nh t cho khách
hàng.

1.5. Các ng dụng và mô hình triển k

ện to n

m mây

Điểm mạnh của điện toán đám mây là ngƣời dùng có thể truy nhập dữ liệu mọi
lúc, mọi nơi ch cần có kết nối internet. Những ứng dụng t điện toán đám mây ti u
biểu nhƣ dịch vụ email, dịch vụ ngân hàng trực tuyến, mạng xã hội hay mua sắm,
trò truyện trực tuyến nhƣ Facebook, Amazon, Skype hay nhƣ Shoppee, Zalo ở Việt
Nam.
Việc s dụng điện toán đám mây đi k m với những lợi ích:
 Cơ sở dữ liệu mạnh mẽ cùng khả năng mở rộng vô tận cũng nhƣ thu hẹp
nhanh chóng của nhà cung c p dịch vụ khiến cho việc đầu tƣ cơ sở hạ tầng

Học viên thực hiện: Lê Thị Hoàng Linh

23


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×