MỤC LỤC
MỞ ĐẦU............................................................................................................................ 1
CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY..........................................2
1.1. Khái niệm chung.....................................................................................................2
1.2. Ưu và nhược điểm..................................................................................................3
1.2.1. Ưu điểm............................................................................................................3
1.2.2. Nhược điểm......................................................................................................4
1.3. Các loại hình đám mây...........................................................................................4
1.3.1. Đám mây công cộng.........................................................................................4
1.3.2. Đám mây riêng.................................................................................................5
1.3.3. Đám mây lai.....................................................................................................5
1.3.4. Đám mây riêng.................................................................................................5
1.4. Đặc điểm của điện toán đám mây..........................................................................5
CHƯƠNG 2: AN TỒN BẢO MẬT TRONG CƠNG NGHỆ ĐÁM MÂY..................7
2.1. Khái niệm chung.....................................................................................................7
2.2. Các phương pháp tấn công trong công nghệ đám mây.......................................7
2.2.1. Các cuộc tấn công ngang hàng.......................................................................7
2.2.2. Các cuộc tấn cơng cấy mã................................................................................7
2.2.3. Xác thực bị phá vỡ...........................................................................................8
2.2.4. Cấu hình bảo mật sai.......................................................................................9
2.2.5. Lỗ hổng của bên thứ ba...................................................................................9
2.3. Các phương pháp chủ đạo tấn công kho dữ liệu trong công nghệ đám mây. . .10
2.3.1. Tấn công API.................................................................................................10
2.3.2. Cấu hình sai...................................................................................................10
2.3.3. Giả mạo yêu cầu từ phía máy chủ.................................................................11
2.4. Một số phương pháp khắc phục rủi ro................................................................11
CHƯƠNG 3: THIẾT LẬP MÃ HĨA............................................................................13
3.1. Thiết lập mã hóa...................................................................................................13
MỞ ĐẦU
Hiện nay, công nghệ thông tin ngày càng phát triển, chúng ta ứng dụng công nghệ
ở khắp mọi nơi, hầu hết các ngành nghề, cơng việc đều có sự tham gia của công nghệ.
Trong những năm gần đây nền tảng Ảo hóa và Điện tốn đám mây đã có sự phát triển với
quy mơ nhanh chóng. Nền tảng này giúp cho cá nhân, tổ chức hay doanh nghiệp có sự tiết
kiệm đáng kể về chi phí phần cứng, chi phí hoạt động. Ngồi ra cịn được cải thiện về sức
mạnh tính tốn, chất lượng dịch vụ và sự thuận lợi trong kinh doanh.
Tuy nhiên cùng với sự phát triển và lợi ích được mang lại thì song song với đó là
vấn đề an ninh, an tồn bảo mật dữ liệu trở nên cấp thiết. Do sự đặc trưng riêng của nền
tảng khi sử dụng các biện pháp an ninh thơng tin vật lý truyền thống như tường lửa thì có
thể sẽ làm hạn chế khả năng tính tốn của nền tảng hay thậm chí có thể tạo ra các lỗ hổng
bảo mật nghiêm trọng và dễ bị khai thác.
Nhóm chúng em tìm hiểu về đề tài “An tồn bảo mật trong cơng nghệ đám mây”.
Với mong muốn tìm hiểu và có kiến thức rõ ràng hơn về những nguy cơ, thách thức và
phương hướng bảo mật an toàn trong cơng nghệ đám mây. Bản báo cáo này được nhóm
chúng em hồn thành qua q trình nghiên cứu, học tập trong suốt kỳ học vừa rồi và nhận
được sự chỉ dạy, hướng dẫn tận tình của thầy Mạc Văn Quang.
Do trình độ kiến thức và kinh nghiệm cịn hạn chế cho nên đề tài cịn nhiều sự
thiếu sót và chưa được hồn thiện. Nhóm chúng em kính mong nhận được sự thông cảm
và chỉ bảo thêm của thầy cô để đề tài và vốn kiến thức của chúng em có thể hoàn thiện
hơn.
Chúng em xin chân thành cảm ơn các thầy cô!
1
CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1. Khái niệm chung
“Điện toán đám mây (cloud computing) là một khái niệm rộng, nó tương quan với
các phương thức để cung cấp cơ sở hạ tầng, dịch vụ và phần mềm thông qua mạng theo
nhu cầu, phù hợp với quy mô. Điện toán đám mây dựa trên một nền tảng ảo hóa, trong đó
các kho tài nguyên (ảo hóa) được tổ chức một cách linh động vì lợi ích của các ứng dụng
và phần mềm. Điều này sẽ làm thay đổi cách thức các ứng dụng được viết ra và cung
cấp.” – Cisco System.
“Điện tốn đám mây là một mơ hình để hỗ trợ truy cập qua mạng thuận tiện, theo
nhu cầu vào một kho tài ngun điện tốn có thể định cấu hình được (như là tài nguyên
mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) có thể được cung cấp và thu hồi nhanh
chóng với cơng sức quản lý hoặc tương tác của nhà quản trị ở mức độ tối thiểu. Mơ hình
điện tốn đám mây đảm bảo độ sẵn sàng và được cấu thành từ năm đặc tính cần thiết, ba
mơ hình cung cấp và bốn mơ hình triển khai” – NIST (Viện tiêu chuẩn và Cơng nghệ
Quốc gia, Mỹ).
2
Hình 1.1. Mơ hình Điện tốn đám mây
1.2. Ưu và nhược điểm
1.2.1. Ưu điểm
Những ưu điểm và thế mạnh dưới đây đã góp phần giúp “Điện tốn đám mây” trở
thành mơ hình điện tốn được áp dụng rộng rãi trên tồn thế giới.
Tính linh động: Người dùng có thể thoải mái lựa chọn các dịch vụ phì hợp với nhu
cầu của mình, cũng như có thể bỏ bớt những thành phần mà mình khơng muốn. Ví dụ như
thay vì phải bỏ ra hàng trăm USD cho một bộ Ms Office thì ta có thể mua riêng lẻ từng
phần hoặc chỉ trả một khoản phí nhỏ hơn rất nhiều lần mỗi khi sử dụng một mảng nào đó
của nó..
Giảm bớt chi phí: Người dùng khơng chỉ giảm bớt chi phí bản quyền mà cịn giảm
phần lớn chi phí cho việc mua và bảo dưỡng máy chủ. Việc tập hợp ứng dụng của nhiều
tổ chứ lại một chỗ sẽ giúp giảm chi phí đầu tư ban đầu, cũng như tăng hiệu năng sử dụng
các thiết bị này một cách tối đa.
Tạo nên sự độc lập: Người dùng sẽ khơng cịn bị bó hẹp với một thiết bị hay một vị
trí cố định nào nữa. Với Điện toán đám mây, phần mềm hay dữ liệu có thể được truy cập
và sử dụng từ bất kỳ đâu, trên bất kỳ thiết bị nào mà không cần phải quan tâm đến giới
hạn phần cứng cũng như địa lý.
Tăng cường độ tin cậy: Dữ liệu trong mơ hình Điện tốn đám mây được lưu trữ
một cách phân tán tại nhiều cụm máy chủ tại nhiều vị trí khác nhau. Điều này giúp tăng
độ tin cậy, độ an toồn của dữ liệu mỗi khi có sự cố hoặc thảm họa xảy ra.
Bảo mật: Việc tập trung dữ liệu từ nhiều nguồn khác nhau sẽ giúp các chuyên gia
bảo mật tăng cường khả năng bảo vệ dữ liệu của người dùng, cũng như giảm thiểu rủi ro
bị ăn cắp tồn bộ dữ liệu. Ví dụ như dữ liệu được đặt tại sáu máy chủ khác nhau, trong
trường hợp hacker tấn cơng, thì dữ liệu bị lộ chỉ là 1/6. Đât là một cách chia sẻ rủi ro giữa
các tổ chức với nhau.
3
Bảo trì dễ dàng: Mọi phần mềm đều nằm trên server, người dùng sẽ không cần lo
lắng cập nhật hay sửa lỗi phần mềm nữa. Các lập trình viên cũng dễ dàng hơn trong việc
cài đặt nâng cấp ứng dụng.
1.2.2. Nhược điểm
Tính riêng tư: Khơng chắc chắn về việc các thông tin người dùng và dữ liệu được
chứa trên điện tốn đám mây có đảm bảo được riêng tư và liệu các thơng tin đó có bị sử
dụng vì một mục đích khác.
Tính sẵn dùng: Các dịch vụ đám mây có thể bị “treo” một cách bất ngờ và khiến
cho người dùng không thể truy cập các dịch vụ và dữ liệu của mình trong khoảng thời
gian đó và gây ảnh hưởng đến công việc.
Mất dữ liệu: Một vài dịch vụ lưu trữ trực tuyến trên đám mây bất ngờ dừng hoạt
động hoặc không tiếp tục cung cấp dịch vụ, khiến người dùng phải sao lưu dữ liệu ngược
trở về máy tính cá nhân gây mất thời gian. Hoặc đơi khi dữ liệu có thể bị mất và khơng
khơi phục lại được.
Vấn đề về quy định pháp luật cho các dịch vụ giữa khách hàng và nhà cung cấp
cũng là một nhược điểm phải quan tâm.
1.3. Các loại hình đám mây
1.3.1. Đám mây công cộng
Đám mây công cộng là các dịch vụ đám mây được một bên thứ ba (người bán)
cung cấp. Chúng tồn tại ngồi tường lửa cơng ty và chúng được lưu trữ đầy đủ và được
nhà cung cấp đám mây quản lý.
Các đám mây công cộng cố gắng cung cấp cho người tiêu dùng với các phần tử
cơng nghệ thơng tin tốt nhất. Cho dù đó là phần mềm, cơ sở hạ tầng ứng dụng hoặc cơ sở
hạ tầng vật lý, nhà cung cấp đám mây chịu trách nhiệm về cài đặt, quản lý, cung cấp và
bảo trì. Khách hàng chỉ chịu phí cho các tài ngun nào mà họ sử dụng, vì thế cái chưa sử
dụng được loại bỏ.
4
1.3.2. Đám mây riêng
Đám mây riêng là các dịch vụ đám mây được cung cấp trong doanh nghiệp. Những
đám mây này tồn tại bên trong tường lửa công ty và được doanh nghiệp quản lý.
Các đám mây riêng đưa ra nhiều lợi ích giống như các đám mây chung thực hiện
với sự khác biệt chính: doanh nghiệp có trách nhiệm thiết lập và bảo trì đám mây này. Sự
khó khăn và chi phí của việc thiết lập một đám mây bên trong đơi khi có thể có chiều
hướng ngăn cản việc sử dụng và chi phí hoạt động liên tục của đám mây có thể vượt q
chi phí của việc sử dụng một đám mây chung.
Các đám mây riêng đưa ra nhiều lợi thế hơn so với loại chung. Việc kiểm soát chi
tiết hơn trên các tài nguyên khác nhau đang tạo thành một đám mây mang lại cho công ty
tất cả các tùy chọn cấu hình có sẵn. Ngồi ra, các đám mây riêng là lý tưởng khi các kiểu
công việc đang được thực hiện không thiết thực cho một đám mây chung, do đứng với các
mối quan tâm về an ninh và về quản lý.
1.3.3. Đám mây lai
Đám mây lai là một sự kết hợp của các đám mây công cộng và riêng. Những đám
mây này thường do doanh nghiệp tạo ra và các trách nhiệm quản lý sẽ được phân chia
giữa doanh nghiệp và nhà cung cấp đám mây công cộng. Đám mây lai sử dụng các dịch
vụ có trong cả khơng gian cơng cộng và riêng.
1.3.4. Đám mây riêng
Đám mây cộng đồng là đám mây liên quan đến việc chia sẻ cở sở hạ tầng giữa các
tổ chức, các nhóm đối tượng có mục đích chia sẻ cùng một nội dung. Ví dụ như các tổ
chức hay một nhóm đối tượng thuê những đám mây riêng để chia sẻ chung những nội
dung về âm nhạc, phim ảnh, cơng nghệ, qn sự,…
1.4. Đặc điểm của điện tốn đám mây
Nhanh chóng cải thiện với người dùng có khả năng cung cấp sẵn các tài nguyên cơ
sở hạ tầng cơng nghệ một cách nhanh chóng và ít tốn kém.
5
Chi phí được giảm đáng kể và chi phí vốn đầu tư được chuyển sang hoạt động chi
tiêu. Sự độc lập giữa thiết bị và vị trí làm cho người dùng có thể truy cập hệ thống bằng
cách sử dụng trình duyệt web mà khơng quan tâm đến vị trí của họ hay thiết bị được dùng
để truy cập. Vì cơ sở hạ tầng off – site (được cung cấp bởi đối tác thứ 3) và được truy cập
thông qua Internet, do đó người dùng có thể kết nối từ bất kỳ nơi nào.
Việc cho thuê nhiều để có thể chia sẻ tài nguyên và chi phí giữa một phạm vi lớn
người dùng, cho phép:
- Tập trung hóa cơ sở hạ tầng trong các lĩnh vực với chi phí thấp hơn (chẳng hạn
như bất động sản, điện, …)
- Khả năng chịu tải nâng cao (người dùng không cần kỹ sư cho các mức tải cao
nhất có thể).
- Cải thiện việc sử dụng và hiệu quả cho các hệ thống mà thường chỉ 10 – 20%
được sử dụng.
Độ tin cậy cải thiện thơng qua việc sử dụng các site có nhiều dư thừa, làm nó thích
hợp cho tính liên tục trong kinh doanh và khôi phục sau sự cố. Việc bảo mật cải thiện nhờ
vào tập trung hóa dữ liệu, các tài nguyên chú trọng bảo mật,… Nhưng cũng nâng cao mối
quan tâm về việc mất quyền điều khiển dữ liệu nhạy cảm. Bảo mật thường thì tốt hay tốt
hơn các hệ thống truyền thống, một phần bởi các nhà cung cấp có thể dành nhiều nguồn
lực cho việc giải quyết các vấn đề bảo mật mà nhiều khách hàng không có đủ chi phí để
thực hiện.
Khả năng chịu đựng xảy ra thông qua việc tận dụng tài nguyên đã được cải thiện,
các hệ thống hiệu quả hơn. Tuy nhiên, các máy tính và cơ sở hạ tầng kết hợp là những thứ
tiêu thụ năng lượng chủ yếu.
6
CHƯƠNG 2: AN TỒN BẢO MẬT TRONG CƠNG NGHỆ ĐÁM MÂY
2.1. Khái niệm chung
An tồn bảo mật thơng tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy
cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thơng tin chưa có sự cho phép. Là sự
bảo tồn của việc bảo mật, tồn vẹn và tính sẵn có của thơng tin.
An tồn thơng tin là mối quan tâm hàng đầu của các tổ chức khi chuyển sang đám
mây. Bởi lẽ, dữ liệu được lưu trữ trong môi trường này vẫn có khả năng bị mất hay rị rỉ
do tin tặc tấn công, phần mềm độc hại giả mạo, dính mã độc,… Việc chú trọng nâng cao
vấn đề bảo mật sẽ giúp những điểm yếu của hệ thống được khắc phục và có thể giảm tác
động một phần khi xảy ra một cuộc tấn công hoặc một vài vấn đề khẩn cấp khác.
2.2. Các phương pháp tấn công trong công nghệ đám mây
2.2.1. Các cuộc tấn công ngang hàng
Các cuộc tấn cơng ngang hàng liên quan đến tính năng di chuyển ngang mà không
bị phát hiện trên đám mây. Để thực hiện được kiểu tấn cơng này địi hỏi phải có nhiều
kiến thức và kỹ thuật vì kẻ tấn công phải di chuyển sâu hơn vào mạng để lấy dữ liệu nhạy
cảm và những tài sản giá trị cao.
Đầu tiên kẻ tấn công sẽ chiếm quyền truy cập vào các cặp khóa và thiết lập thơng
tin tạm thời bằng các lệnh riêng biệt. Tiếp đó, chúng sử dụng tấn công Brute Force để
chiếm đoạt các đặc quyền truy cập cấp thấp vào tài khoản rồi tiến hành tìm kiếm những
hoạt động có truy cập ngang hàng để thực hiện các lệnh tương tự. Chúng di chuyển trong
hệ thống với mục đích nâng cao các đặc quyền và vai trị chức năng của mình. Chúng lặp
lại điều này cho đến khi có được quyền truy xuất các cơ sở dữ liệu và thông tin.
2.2.2. Các cuộc tấn công cấy mã
Các cuộc tấn công như chèn SQL, cấy lệnh và cấy mã vào hệ điều hành vẫn là
những rủi ro cho các tổ chức, cho dù các môi trường dịch vụ là truyền thống hay hiện đại.
7
Thách thức của việc ngăn chặn các cuộc tấn công cấy mã ngày càng gia tăng do
những vùng phức tạp và các chức năng Serverless (mơ hình thực thi điện tốn đám mây
trong đó nhà cung cấp đám mây tự động quản lý việc phân bổ và cung cấp máy chủ) được
bổ sung và một môi trường.
Hệ thống phương pháp của các cuộc tấn công là như nhau, đều là một ứng dụng xử
lý dữ liệu đầu vào từ một nguồn không đáng tin cậy. Tuy nhiên, với Microservices (các
dịch vụ nhỏ, tách biệt) đầu vào được kích hoạt thơng qua nhiều sự kiện và đây là một
thách thức cho quản lý thủ cơng. Điều này có nghĩa là chúng ta khơng được chỉ dựa vào
các biện pháp kiểm sốt bảo mật và lớp ứng dụng nguyên khối mà phải đảm bảo mã an
tồn và khơng dễ bị tấn cơng Injection (cấy mã).
Với những mã có lỗ hổng, các tin tặc có thể dễ dàng lợi dụng lỗ hổng đó để khai
thác mơi trường. Ví dụ bằng cách truy cập vào mơi trường, kẻ tấn cơng có thể thao túng
mã hàm điều khiển sử dụng kỹ thuật Injection để thực hiện một cuộc tấn công. Để giảm
thiểu kiểu tấn công này, ít nhất phải có những đặc quyền đối với mã để đảm bảo khơng ai
có thể thực hiện được hoặc truy cập ngoài phạm vi cho phép. Điều quan trọng nữa là phải
tiến hành quét mã tự động để xác định các lỗ hổng trong bất kỳ vùng chứa hoặc thư viện
nào mà bạn sử dụng.
2.2.3. Xác thực bị phá vỡ
Với Microservices, có hàng trăm chức năng khác nhau chạy riêng biệt, mỗi chức
năng có mục đích riêng và được kích hoạt từ các sự kiện khác nhau. Mỗi chức này này
yêu cầu giao thức xác thực riêng nên dễ xảy ra lỗi. Những kẻ tấn cơng sẽ tìm kiếm những
tài nguyên bị quên lãng hoặc mã dư thừa hay mở các API có những lỗ hổng bảo mật đã
biết để chiếm quyền truy nhập vào môi trường. Điều này cho phép chúng chiếm quyền
truy nhập vào trang web có nội dung hoặc tính năng nhạy cảm mà khơng cần xác thực
hợp lệ. Mặc dù nhà cung cấp dịch vụ sẽ xử lý phần lớn quy trình quản lý và khôi phục
mật khẩu, nhưng các khách hàng phải đảm bảo rằng những tài nguyên của họ phải được
cấu hình đúng cách.
8
Tuy nhiên, mọi thứ trở nên phức tạp hơn khi tính năng khơng được kích hoạt từ
u cầu của người dùng cuối mà lại là từ quy trình ứng dụng theo cách bỏ qua lược đồ xác
thực. Để xử lý vấn đề này, điều quan trọng là phải theo dõi liên tục ứng dụng của bạn, bao
gồm cả luồng ứng dụng để bạn có thể xác định những sự kích hoạt ứng dụng. Từ đó, bạn
sẽ muốn tạo và phân loại các cảnh báo khi những tài ngun khơng có các quyền thích
hợp, có các quyền dư thừa hoặc hành vi kích hoạt bất thường hay khơng tn thủ.
2.2.4. Cấu hình bảo mật sai
Trong các ứng dụng truyền thống, lỗi cấu hình bảo mật – Misconfiguration có thể
xảy ra ở mọi cấp độ: mạng, máy chủ web, các máy chủ ứng dụng, vùng chứa… Đối với
đám mây, bộ nhớ và cơ sở dữ liệu được mã hóa theo mặc định.
Tuy nhiên, để tăng cường bảo mật, các khách hàng có thể cung cấp các khóa mã
hóa riêng hoặc tạo sự phân chia trong kiến trúc nhiều người thuê. Điều quan trọng là phải
hiểu một số sắc thái. Những trình kích hoạt hủy liên kết, những tệp tin không được bảo vệ
và các thư mục ảnh hưởng tới bảo mật của bạn như thế nào? Ví dụ như một kẻ tấn cơng
có thể xác định một vùng cấu hình sai để chiếm quyền truy nhập và gây từ chối dịch vụ
hoặc rò rỉ dữ liệu nhạy cảm. Để giảm thiểu điều này, hãy đảm bảo tận dụng các dịch vụ
tích hợp sẵn từ nhà cung cấp đám mây của bạn cũng như các dịch vụ bên thứ ba để quét
các tài khoản đám mây nhằm xác định những tài nguyên công cộng. Hãy xem lại các tài
nguyên này và xác minh chúng đã được kiểm soát truy nhập và tuân thủ những hướng dẫn
thực hiện tối ưu. Ngoài ra cũng cần tạo các cảnh báo và thiết lập các cách để giám sát liên
tục môi trường đám mây để nếu phát hiện hành vi bất thường hoặc sai cấu hình thì nó có
thể nhanh chóng được giải quyết. Đối với Microservices, hãy tìm các trình kích hoạt
khơng liên kết và các tài nguyên không kết nối tới các chức năng, đảm bảo cũng thiết lập
thời gian chờ ở mức thấp nhất theo u cầu của tính năng và ln ln tn thủ cấu hình
tối ưu nhất.
9
2.2.5. Lỗ hổng của bên thứ ba
Việc thực thi Microservices đang ngày một tăng cao, các nhà phát triển có nhiều
quyền kiểm soát hơn đối với cơ sở hạ tầng đám mây và do đó phải chịu nhiều trách nhiệm
liên quan tới bảo mật hơn.
Đám mây là nói tới sự linh hoạt và di chuyển nhanh. Các ứng dụng và chức năng
có thể được khởi chạy chỉ bằng một cái nhập chuột, điều này thường có nghĩa là mã và
các API đang được sao chép. Nếu tiềm ẩn lỗ hổng bên trong, các quyền chính hay dự
phịng được xây dựng trong các kho mã có thể dễ dàng được tích hợp vào mơi trường ứng
dụng đám mây. Tuy nhiên, nó không dễ dàng như thiết lập một cổng an ninh hay kiểm tra
QA. Điều đó sẽ chỉ làm chậm lại sự phát triển và mất đi đi tính linh hoạt của đám mây.
Đây là nơi mà tích hợp hệ thống và tự động hóa đóng một vai trị quan trọng. Điều quan
trọng khơng kém là các nhóm bảo mật phải sớm thiết lập các giải pháp tự động vào
CI/CD. Họ phải đảm bảo các chuẩn tốt nhất và các biện pháp tuân thủ được tích hợp vào
tài nguyên trước khi triển khai. Hệ thống cũng phải đảm bảo rằng mã được quét lỗ hổng
trước khi khởi chạy. Sau đó, trong thời gian chạy, điều quan trọng là phải liên tục qt
mơi trường theo thời gian thực để nhanh chóng xác định các lỗ hổng bất cứ khi nào có thể
và tự động khắc phục vấn đề.
2.3. Các phương pháp chủ đạo tấn công kho dữ liệu trong công nghệ đám mây
2.3.1. Tấn cơng API
Rị rỉ thơng tin xác thực API hoặc API bị định cấu hình sai là 1 trong những lỗ
hổng phổ biến mở đường cho hacker xâm nhập vào các nền tảng đám mây. Khi kẻ tấn
cơng có được 1 trong các khóa truy cập, chúng sẽ sử dụng nó chiếm truy cập và kiểm sốt
1 phần của máy chủ, sau đó thực hiện lệnh gọi API đối với các hoạt động độc hại.
2.3.2. Cấu hình sai
Cơ sở dữ liệu và máy chủ bị định cấu hình sai là một trong những nguyên nhân
phổ biến đằng sau không ít thảm họa bảo mật đám mây. Tài nguyên trên máy tính rất
phức tạp và thay đổi liên tục, khiến người quản lý hệ thống gặp khó khăn khi cấu hình.
10
Tin tặc, đặc biệt là những nhóm được tài trợ ln nhắm vào lỗ hổng cấu hình sai
trên các máy chủ đám mây để triển khai Ransomware và Backdoor nhằm khai thác tiền
điện tử hoặc đánh cắp dữ liệu nhạy cảm.
2.3.3. Giả mạo yêu cầu từ phía máy chủ
Đây là một hình thức tấn cơng cho phép tin tặc thay đổi tham số được sử dụng trên
ứng dụng web để tạo hoặc kiểm soát các yêu cầu từ máy chủ dễ bị tấn cơng. Là hình thức
tấn cơng có xu hướng nở rộ trong thời gian gần đây, liên quan trực tiếp đến quyền truy
cập cấu hình, nhật ký, thơng tin đăng nhập và nhiều dữ liệu khác trong cơ sở hạ tầng đám
mây.
2.4. Một số phương pháp khắc phục rủi ro
Các rủi ro có thể gặp phải trong quá trình sử dụng dịch vụ đám mây:
- Tội phạm mạng có động cơ tài chính được đánh giá là nhóm có mối đe dọa phổ
biến nhất nhắm vào mơi trường đám mây trong các trường hợp ứng phó sự cố X-Force
của IBM.
- Nhiều cuộc tấn công mạng được thực hiện thông qua các ứng dụng đám mây, bao
gồm các chiến thuật như khai thác lỗ hổng và cấu hình sai. Tùy thuộc vào tổ chức bị ảnh
hưởng và loại ứng dụng chạy trong đám mây, việc xâm nhập của tin tặc có thể gây thiệt
hại nặng nề. Bên cạnh đó, việc cấu hình sai mơi trường đám mây đã dẫn đến hơn một tỷ
hồ sơ bị mất trong năm 2019.
- Ransomware trong đám mây được triển khai nhiều hơn ba lần so với bất kỳ loại
phần mềm độc hại nào khác trong môi trường đám mây, tiếp theo là tiền điện tử và phần
mềm độc hại botnet.
- Ngoài việc triển khai phần mềm độc hại, đánh cắp dữ liệu là hoạt động đe dọa
phổ biến nhất mà IBM quan sát thấy trong môi trường đám mây bị vi phạm trong năm
qua, từ thông tin nhận dạng cá nhân (PII) đến email liên quan đến máy khách.
- Các tác nhân đe dọa sử dụng tài nguyên đám mây để khuếch đại hiệu ứng của các
cuộc tấn công như tiền điện tử và DDoS.
11
Phương pháp khắc phục rủi ro:
- Áp dụng chiến lược hợp nhất kết hợp các hoạt động bảo mật và đám mây - thông
qua các nhà phát triển ứng dụng, các đơn vị điều hành CNTT và bảo mật. Doanh nghiệp
cần xác định rõ ràng các chính sách và trách nhiệm đối với các tài nguyên đám mây hiện
có cũng như đối với việc mua các tài nguyên đám mây mới.
- Thực hiện nghiên cứu mức độ rủi ro bằng việc đánh giá loại công việc và dữ liệu
mà doanh nghiệp dự định chuyển sang đám mây và xác định các chính sách bảo mật phù
hợp. Bắt đầu với đánh giá dựa trên rủi ro về khả năng hiển thị trên tồn mơi trường và tạo
lộ trình cho việc ứng dụng đám mây theo từng giai đoạn.
- Áp dụng quản lý truy cập đa tầng bằng cách tận dụng các chính sách và cơng cụ
quản lý để truy cập vào tài nguyên đám mây, bao gồm xác thực đa yếu tố, để ngăn chặn
việc xâm nhập bằng thông tin đăng nhập. Hạn chế các tài khoản đặc quyền và đặt tất cả
các nhóm người dùng thành các đặc quyền ít yêu cầu nhất để giảm thiểu thiệt hại từ thỏa
hiệp tài khoản (mơ hình khơng tin cậy).
- Đảm bảo các công cụ giám sát an ninh, khả năng hiển thị và phản hồi có hiệu quả
trên tất cả các tài nguyên trên nền tảng đám mây và tại chỗ. Xem xét chuyển sang các
công nghệ và tiêu chuẩn mở, cho phép khả năng tương tác lớn hơn giữa các công cụ.
- Thực hiện tự động hóa bảo mật hiệu quả trong hệ thống của bạn có thể cải thiện
khả năng phát hiện và phản hồi của bạn, thay vì dựa vào phản ứng thủ cơng trước các sự
kiện.
- Ngồi ra có thể sử dụng mơ phỏng chủ động để diễn tập các tình huống tấn cơng
khác nhau giúp xác định vị trí mà các điểm mù có thể tồn tại cũng như giải quyết bất kỳ
vấn đề tiềm ẩn nào có thể phát sinh trong q trình điều tra tấn công.
12
CHƯƠNG 3: THIẾT LẬP MÃ HĨA
3.1. Thiết lập mã hóa
Hình 3.1. Demo bảo mật 2 lớp (2FA)
13
Hình 3.2.
Hình 3.3.
Hình 3.4.
14