Nghiên cứu ứng dụng một số giải pháp bảo mật kết nối trong hệ thống điện toán đám mây

Hệ thống khung kết nối các thành phần trong hệ thống điện toán đám mây: Dựa trên nhu cầu thực tế khi xây dựng hệ thống doanh nghiệp online, hệ thống sẽ bao gồm 2 hay nhiều nhà cung cấp d

LỜI CAM ĐOAN

Học viên xin cam đoan luận văn này là công trình nghiên cứu của bản thân học viên, dưới sự dẫn dắt, hướng dẫn khoa học của TS Nguyễn Tất Thắng

Tất cả số liệu, thông tin, kết quả trong luận văn này là trung thực và chưa từng được công bố trước đây dưới bất cứ hình thức nào Ngoài ra, các nội dung tham khảo

và kế thừa từ các tác giả khác đã được trích dẫn đầy đủ

Học viên xin chịu trách nhiệm về nghiên cứu của mình

Tác giả

Vũ Hải Phong

LỜI CẢM ƠN

Học viên trân trọng cảm ơn Lãnh đạo Học viện Công nghệ Bưu chính Viễn thông, các thầy cô Khoa Đào tạo sau đại học của Học viện đã dành sự quan tâm, tạo điều kiện và động viên học viên trong suốt thời gian thực hiện nghiên cứu

Học viên xin bày tỏ sự biết ơn sâu sắc tới TS Nguyễn Tất Thắng đã nhiệt tình định hướng, bồi dưỡng, hướng dẫn học viên thực hiện các nội dung nghiên cứu khoa học trong suốt quá trình thực hiện luận văn

Mặc dù học viên đã rất cố gắng, tuy nhiên, luận văn không tránh khỏi những thiếu sót Học viên kính mong nhận được sự đóng góp từ phía Học viện, quý thầy cô, các nhà khoa học để tiếp tục hoàn thiện và tạo tiền đề cho những nghiên cứu tiếp theo

Xin trân trọng cảm ơn!

MỤC LỤC

LỜI CAM ĐOAN ii

LỜI CẢM ƠN ii

MỤC LỤC iii

MỞ ĐẦU v

1 Lý do chọn đề tài 1

2 Tổng quan về vấn đề nghiên cứu 1

3 Mục đích nghiên cứu 2

4 Đối tượng và phạm vi nghiên cứu 2

5 Phương pháp nghiên cứu 2

CHƯƠNG 1: TỔNG QUAN VÀ THỰC TRẠNG BẢO MẬT TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 3

1.1 Tổng quan về điện toán đám mây 3

1.2 Các đặc điểm chính 4

1.3 Lịch sử hình thành và các mốc phát triển của điện toán đám mây 4

1.4 Kiến trúc hệ thống điện toán đám mây 5

1.5 Các mô hình điện toán đám mây 7

1.5.1 Các mô hình triển khai hệ thống điện toán đám mây 7

1.5.2 Đám mây công cộng (Public Cloud): 7

1.5.3 Đám mây riêng (Private Cloud): 8

1.5.4 Đám mây lai (Hybrid Cloud): 9

1.5.5 Đám mây cộng đồng (Community Cloud): 9

1.5.6 Các mô hình triển khai khác: 10

1.6 Các mô hình dịch vụ (tầng đám mây được cung cấp) 11

1.7 Một số nhà cung cấp dịch vụ điện toán đám mây 13

1.8 Kết luận Chương 1 14

CHƯƠNG 2: BẢO MẬT KẾT NỐITRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 16

2.1 Khái niệm an toàn thông tin 16

2.2 Một số tiêu chuẩn về an ninh thông tin 17

2.3 Tiêu chuẩn về hệ thống quản lý an ninh 17

2.4 Tiêu chuẩn an ninh thông tin về điện toán đám mây 18

2.5 Tiêu chuẩn an ninh thông tin về dữ liệu 19

2.6 Tiêu chuẩn về đánh giá an ninh thông tin 19

2.7 Một số vấn đề bảo mật các ứng dụng điện toán đám mây 20

2.7.1 Quản lý định danh và truy nhập 20

2.8 An minh mạng 23

2.9 Bảo vệ dữ liệu 24

2.10 Kết luận Chương 2 26

CHƯƠNG 3: NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG BẢO MẬT KẾT NỐI ZERO TRUST TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 27

3.1 Xây dựng hệ thống điện toán đám mây 27

3.1.1 Giới thiệu hệ thống Google Cloud 27

3.1.2 Giới thiệu hệ thống quản lý mạng lưới Team Cloudflare 28

3.1.3 Xây dựng hệ thống điện toán đám mây 30

3.2 Thực nghiệm và đánh giá 37

3.2.1 Đảm bảo an toàn truy cập Website Nội bộ 37

3.2.2 Đảm bảo an toàn truy cập Website Public 41

3.3 Kết luận Chương 3 45

CHƯƠNG 4: KẾT QUẢ VÀ BÀN LUẬN 47

4.1 Kết luận 47

4.2 Kiến nghị 47

DANH SÁCH HÌNH VẼ

Hình 1.1 Mô hình kiến trúc điện toán đám mây 6

Hình 1.2 Các mô hình dịch vụ của điện toán đám mây 11

Hình 1.3 Báo cáo Magic Quadrant của Công ty tư vấn CNTT Gartner năm 2019 về các dịch vụ điện toán đám mây trên thế giới 14

Hình 2.1 Các lớp bảo mật Zero Trust 21

Hình 3.1 Mô hình hoạt động của Hệ thống quản lý/ bảo mật Cloudflare 30

Hình 3.2 Đăng nhập và giao diện hệ thống Google Cloud 31

Hình 3.3 Cấu hình máy ảo (VM) để thiết lập Cloudflare tunnel trên Google Cloud 32 Hình 3.4 Cấu hình máy ảo (VM) để cài đặt máy chủ web Nginx 32

Hình 3.5 Tunnel kết nối từ hệ thống Google Cloud tới Cloudflare Network 34

Hình 3.6 Thiết lập Group trong nhóm Team trên Cloudflare 34

Hình 3.7 Thiết lập WARP Client và đăng nhập vào hệ thống Team 35

Hình 3.8 Tốc độ truy nhập khi sử dụng hệ thống bảo mật Zero Trust 35

Hình 3.9 Download OpenVPN profile và login trên Client 36

Hình 3.10 Tốc độ truy nhập khi sử dụng hệ thống bảo mật OpenVPN 37

Hình 3.11 Cấu hình bảo mật trên Team Cloudflare cho user vuhaiphong249@gmail.com 38

Hình 3.12 Cấu hình bảo mật trên Team Cloudflare cho phép các user truy cập port 80 38

Hình 3.13 Hệ thống OpenVPN chưa có chức năng cấp quyền truy cập cụ thể đến từng website cho user 39

Hình 3.14 Kết quả truy nhập của user haiphongbb 39

Hình 3.15 Kết quả truy cập của user vuhaiphong249 40

Hình 3.16 Cấu hình giới hạn lãnh thổ truy cập cho phongvh6.com.vn/test 41

Hình 3.17 Cấu hình bảo mật trên Team Cloudflare cho Viettel.phongvh6.com.vn 42 Hình 3.18 Cấu hình bảo mật trên Team Cloudflare cho FPT.phongvh6.com.vn 42

Hình 3.19 Kết quả đăng nhập website phongvh6.com/test với location tại Bỉ 43

Hình 3.20 Kết quả đăng nhập với user tại Việt Nam 43

Hình 3.21 Kết quả đăng nhập với user tại Bỉ 44Hình 3.22 Kết quả đăng nhập với người dùng thông thường khi không đăng nhập hệ thống Cloudflare Teams 45Hình 3.23 Kết quả đăng nhập với người dùng thông thường khi không sử dụng Cloudflare Teams 45

MỞ ĐẦU

1 Lý do chọn đề tài

Ngày nay, với sự linh hoạt trong triển khai/mở rộng, tối ưu chi phí và hỗ trợ tối đa các nhu cầu của doanh nghiệp, tổ chức, điện toán đám mây đã trở thành một giải pháp thay thế các mô hình cơ sở hạ tầng truyền thống

Đi kèm với sự phát triển vũ bão của điện toán đám mây, tính bảo mật của đường truyền kết nối giữa các hệ thống đã trở thành sự quan tâm hàng đầu khi triển khai hệ thống điện toán đám mây cho doanh nghiệp, tổ chức Để có được tính bảo mật đồng nhất giữa các thành phần, cần sự tham gia giữa các nhà mạng (ISP), nhà cung cấp dịch vụ cloud (Cloud Provider) và các hệ thống quản lý, lưu trữ dữ liệu online để đưa ra một hệ thống bảo mật chung nhằm tối ưu tính bảo mật các kết nối liên mạng giữa các bên

Trong phạm vi đề tài này, em sẽ trình bày về một số biện pháp bảo mật điện toán đám mây trong hệ thống quản lý doanh nghiệp

2 Tổng quan về vấn đề nghiên cứu

Xác thực định danh và kiểm soát truy nhập vào hệ thống: Hiện tại với cách xác thực truy nhập truyền thống, các nhánh sẽ truy nhập đến trụ sở chính để được quyền kết nối đến hệ thống điện toán đám mây, vậy nên trụ sợ sẽ trở thành mục tiêu số một trong các cuộc tấn công công nhằm vào hệ thống và đánh cắp dữ liệu người dùng

Phương thức kết nối giữa các bên chưa đồng nhất: Các chi nhánh, trụ sở, Data Center, hệ thống điện toán đám mây đang sử dụng các kết nối Internet truyền thống (MPLS, IP-VPN, …) để kết nối tới các thành phần khác trong hệ thống dẫn đến sự bất đồng bộ trong vấn đề bảo mật

Hệ thống khung kết nối các thành phần trong hệ thống điện toán đám mây: Dựa trên nhu cầu thực tế khi xây dựng hệ thống doanh nghiệp online, hệ thống sẽ bao gồm 2 hay nhiều nhà cung cấp dịch vụ cloud, các ứng dụng quản lý công việc, văn

bản online Việc kết nối này vẫn đang thực hiện tự phát khi có nhu cầu và không được bảo mật toàn diện khi truy nhập dữ liệu

3 Mục đích nghiên cứu

Hệ thống điện toán đám mây hiện nay bao gồm nhiều thành phần cấu tạo và kết nối tới hệ thống của các bên thứ ba, đi kèm với đó việc quản trị yêu cầu xác thực định danh và kiểm soát truy nhập vào từng hệ thống riêng lẻ, cần chuẩn hóa kết nối chung có thế áp dụng trực tiếp lên hệ thống mạng lưới sẵn có

Hệ thống bảo mật các kết nối là giải pháp cho vấn đề nêu trên Mục tiêu nghiên cứu cụ thể được trình bày trong luận văn như sau:

- Tìm hiểu về hệ thống bảo mật các kết nối trong hệ thống điện toán đám mây

- Ứng dụng hệ thống bảo mật kết nối vào hệ thống điện toán đám mây trong doanh nghiệp

- Đánh giá tính khả thi

4 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Bảo mật kết nối trong hệ thống điện toán đám mây Phạm vi nghiên cứu: Cơ sở lý thuyết liên quan tới bảo mật hệ trong hệ thống điện toán đám mây và ứng dụng bảo mật hệ trong hệ thống điện toán đám mây trong quản lý doanh nghiệp

5 Phương pháp nghiên cứu

Phương pháp lý thuyết: Khảo sát, phân tích các tài liệu khoa học liên quan đến bảo mật kết nối trong hệ thống điện toán đám mây

CHƯƠNG 1: TỔNG QUAN VÀ THỰC TRẠNG BẢO MẬT TRONG

HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 1.1 Tổng quan về điện toán đám mây

Điện toán đám mây – Cloud Computing là mô hình điện toán cung cấp tài nguyên máy tính cho người dùng tùy theo mục đích sử dụng thông qua kết nối Internet Nguồn tài nguyên đó có thể là bất kì thứ gì liên quan đến điện toán và máy tính Thuật ngữ "điện toán đám mây" ở đây dùng để chỉ hệ thống máy chủ ảo cung cấp các tài nguyên, công nghệ và dịch vụ trên mạng Internet (dựa vào cách được bố trí của nó trong sơ đồ mạng máy tính) cũng như diễn tả độ phức tạp của các cơ sở hạ tầng chứa trong hệ thống

Theo Amazon Web Services (AWS): “Điện toán đám mây là việc phân phối các tài nguyên CNTT theo nhu cầu qua Internet với chính sách thanh toán theo mức

sử dụng Thay vì mua, sở hữu và bảo trì các trung tâm dữ liệu và máy chủ vật lý, bạn

có thể tiếp cận các dịch vụ công nghệ, như năng lượng điện toán, lưu trữ và cơ sở dữ liệu, khi cần thiết, từ nhà cung cấp dịch vụ đám mây”

Theo tổ chức IEEE "Nó là hình mẫu trong đó thông tin được lưu trữ thường trực tại các máy chủ trên Internet và chỉ được được lưu trữ tạm thời ở các máy khách, bao gồm máy tính cá nhân, trung tâm giải trí, máy tính trong doanh nghiệp, các phương tiện máy tính cầm tay "

Hay có thể nói đơn giản điện toán đám mây là việc cung cấp các dịch vụ điện toán - bao gồm máy chủ, lưu trữ, cơ sở dữ liệu, mạng, phần mềm, phân tích và trí tuệ

- qua hệ thống mạng lưới Internet toàn cầu (“đám mây”) để cung cấp các thay đổi mới nhanh hơn, tài nguyên co giãn linh hoạt và tối ưu chi phí theo quy mô/nhu cầu Bạn thường chỉ phải trả tiền cho các dịch vụ đám mây mà bạn sử dụng, giúp giảm chi phí hoạt động, vận hành cơ sở hạ tầng hiệu quả hơn và mở rộng quy mô khi nhu cầu kinh doanh của bạn thay đổi theo tình hình thực tế

Như vậy, điện toán đám mây có thể coi là bước tiếp theo của ảo hóa, bao gồm

ảo hóa phần cứng và ứng dụng, là thành phần quản lý, tổ chức, vận hành các hệ thống

ảo hóa trước đó

1.2 Các đặc điểm chính

Tự cấu hình theo nhu cầu (On-deman self-service): Người sử dụng có thể tự thiết lập các tài nguyên như máy chủ ảo, tài khoản email… mà không cần có người tương tác với nhân viên của nhà cung cấp dịch vụ (nhân viên công nghệ thông tin)

Mạng lưới truy cập rộng lớn (Broad Network Access): Khách hàng có thể truy cập tài nguyên qua mạng máy tính (như mạng Internet) từ nhiều thiết bị khác nhau (điện thoại thông minh, máy tính bảng, máy tính xách tay…)

Tài nguyên được chia sẻ (Resource Pooling): Tài nguyên của các nhà cung cấp dịch vụ được chia sẻ tới nhiều khách hàng Thông thường, các công nghệ ảo hóa được sử dụng để cho nhiều bên cùng thuê và cho phép tài nguyên được cấp phát linh động dựa theo nhu cầu của khách hàng

Tính linh hoạt nhanh (Rapid elasticity): Tài nguyên có thể được cung cấp và nâng cáp nhanh chóng, tự động dựa trên nhu cầu Khách hàng có thể tăng hoặc giảm việc sử dụng dịch vụ đám mây một cách dễ dàng theo nhu cầu hiện tại của mình

Ước lượng dịch vụ (Measured service): Khách hàng chỉ chi trả cho tài nguyên thực tế họ đã sử dụng Thông thường, nhà cung cấp dịch vụ sẽ cung cấp cho khách hàng bảng điều khiển (dashboard) để họ có thể theo dõi việc sử dụng dịch vụ của họ

1.3 Lịch sử hình thành và các mốc phát triển của điện toán đám mây

Năm 1999 đánh dấu một trong những cột mốc đầu tiên của điện toán đám mây

là sự ra đời của Salesforce.com, ứng dụng đã đi tiên phong trong việc định hình khái niệm cung cấp các ứng dụng doanh nghiệp thông qua một trang web đơn giản Salesforce.com đã mở đường cho các chuyên gia và các công ty phần mềm nghiên cứu và triển khai cung cấp các ứng dụng trên Internet

Tiếp thep Salesforce.com là sự xuất hiện của Amazon Web Services (AWS) vào năm 2002, trong đó AWS cung cấp chuỗi các dịch vụ dựa trên nền tảng đám mây như lưu trữ, tính toán và cả AI- trí tuệ nhân tạo thông qua Amazon Mechanical Turk

Sự xuất hiện của AWS đã hỗ trợ người sử dụng lưu trữ thông tin dữ liệu và xử lý khối lượng công việc lớn hơn rất nhiều

Vào năm 2004, Facebook chính thức ra đời và đã tạo ra một cuộc cách mạng trong việc giao tiếp giữa người với người Qua Facebook, người dùng có thể chia sẻ

dữ liệu cá nhân cho bạn bè, điều này đã vô tình tạo ra một định nghĩa mà thường được gọi là đám mây dành cho cá nhân

Sự phát triển nền tảng điện toán đám mây của Amazon tiếp tục được đánh dấu vào năm 2006 khi công ty này mở rộng các dịch vụ điện toán đám mây của mình mà khởi đầu là sự ra đời của Elastic Compute Cloud (EC2) EC2 cho phép người dùng truy cập vào các ứng dụng của Amazon và thao tác trên các ứng dụng thông qua đám mây Sau đó, Amazon cho ra đời Simple Storage Service (S3), được xem là dịch vụ lưu trữ trên mạng Internet Amazon S3 hỗ trợ người dùng lưu trữ và lấy tất cả dữ liệu,

số liệu ở bất cứ nơi nào, bất cứ lúc nào trên web

Năm 2008, HTC đã công bố điện thoại đầu tiên sử dụng Android

Năm 2009, Google Apps đã chính thức được phát hành

Trong những năm 2010, các công ty đã phát triển điện toán đám mây để tích cực cải thiện dịch vụ và khả năng đáp ứng của mình để phục vụ nhu cầu cho người

sử dụng một cách tốt nhất

1.4 Kiến trúc hệ thống điện toán đám mây

Mô hình điện toán đám mây bao gồm Front-end và Back-end Hai thành phần này được kết nối thông qua một mạng, trong đa số trường hợp là Internet Phần Front-end là phương tiện chuyên chở, qua đó người dùng tương tác với hệ thống; phần Back-end chính là đám mây Phần Front-end gồm có một máy tính hoặc mạng máy tính của doanh nghiệp và các ứng dụng được sử dụng để truy cập vào đám mây Phần

Back-end cung cấp các ứng dụng, các máy tính, máy chủ và lưu trữ dữ liệu để tạo ra đám mây của các dịch vụ

Hình 1.1 Mô hình kiến trúc điện toán đám mây

Front-end là phần thuộc về phía khách hàng dùng máy tính Hạ tầng khách hàng trong nền tảng Front-end (Client Infrastructure) là những yêu cầu phần mềm hoặc phần cứng (hệ thống mạng của khách hàng hoặc máy tính) để sử dụng các dịch

vụ trên điện toán đám mây Thiết bị cung cấp cho khách hàng có thể là trình duyệt, máy tính để bàn, máy xách tay, điện thoại thông minh…

Back-end đề cập đến chính đám mây của hệ thống, bao gồm tất cả các tài nguyên cần thiết để cung cấp dịch vụ điện toán đám mây Nó gồm các thành phần con chính như: cơ sở hạ tầng, lưu trữ, máy ảo, cơ chế an ninh, dịch vụ, mô hình triển khai, máy chủ Back end bao gồm các thành phần chính sau:

Cơ sở hạ tầng (Infrastructure): Cơ sở hạ tầng của điện toán đám mây là phần cứng được cung cấp như dịch vụ, điều này có nghĩa là cơ sở hạ tầng này có thể được chia sẻ và sử dụng lại dễ dàng Các tài nguyên phần cứng được cung cấp theo thời gian cụ thể theo yêu cầu, do đó góp phần giúp giảm chi phí bảo hành và sử dụng cho khách hàng

Lưu trữ (Storage): Lưu trữ đám mây là quá trình tách dữ liệu khỏi quá trình xử

lý và lưu trữ dữ liệu đó ở những vị trí từ xa Việc lưu trữ đám mây thường được triển khai dưới các dạng như đám mây công cộng, đám mây cộng đồng, đám mây riêng hoặc đám mây lai Một số ví dụ về lưu trữ đám mây được biết đến như SimpleDB của Amazon hay BigTable của Google

Cloud Runtime: Đây là dịch vụ phát triển phần mềm ứng dụng và quản lý các yêu cầu phần cứng, nhu cầu phần mềm Khung ứng dụng web, web hosting là ví dụ

về nền ứng dụng này

Dịch vụ (Service): Dịch vụ đám mây là một phần độc lập có thể kết hợp với các dịch vụ khác để thực hiện tương tác, kết hợp giữa các máy tính với nhau để triển khai chương trình ứng dụng theo yêu cầu trên mạng Một số ví dụ các dịch vụ đám mây là Simple Google Maps, Queue Service, hay các dịch vụ thanh toán trên mạng của Amazon

Ứng dụng (Cloud Application): Ứng dụng đám mây là một đề xuất về kiến trúc phần mềm sẵn sàng phục vụ, nhằm loại bỏ sự cần thiết phải mua phần mềm, cài đặt, vận hành và duy trì ứng dụng tại máy bàn/thiết bị của người sử dụng Ưu điểm của ứng dụng này là loại bỏ được các chi phí để bảo trì và vận hành các chương trình ứng dụng

1.5 Các mô hình điện toán đám mây

1.5.1 Các mô hình triển khai hệ thống điện toán đám mây

Hiện nay, có 4 mô hình triển khai điện toán đám mây chính đang được sử dụng phổ biến, bao gồm Đám mây công cộng (Public Cloud), Đám mây riêng (Private Cloud), Đám mây lai (Hybrid Cloud) và Đám mây cộng đồng (Community Cloud) Dưới đây là sự phân tích đặc điểm và những ưu, nhược điểm của từng mô hình

1.5.2 Đám mây công cộng (Public Cloud):

Đám mây công cộng là các dịch vụ được bên thứ 3 (người bán) cung cấp và tồn tại ngoài tường lửa của công ty Đám mây công cộng được nhà cung cấp đám

mây quản lý và được xây dựng nhằm mục đích phục vụ công cộng Theo đó, người dùng sẽ đăng ký với nhà cung cấp và trả phí sử dụng dựa theo chính sách giá của nhà cung cấp Đám mây công cộng được đánh giá là mô hình triển khai được sử dụng phổ biến nhất hiện nay của cloud computing

- Các doanh nghiệp sử dụng dịch vụ bị phụ thuộc vào nhà cung cấp và không

có toàn quyền quản lý

- Vấn đề an toàn dữ liệu và mất kiểm soát về dữ liệu Điều này được hiểu là trong mô hình Đám mây công cộng mọi dữ liệu đều nằm trên dịch vụ Cloud, nhà cung cấp dịch vụ Cloud cho doanh nghiệp có thể bảo vệ và quản lý những

dữ điều đó Điều này khiến cho khách hàng, đặc biệt là các công ty lớn cảm thấy lo ngại đối với những dữ liệu quan trọng của mình trong quá trình sử dụng dịch vụ Cloud

1.5.3 Đám mây riêng (Private Cloud):

Đám mây riêng là các dịch vụ điện toán đám mây được cung cấp trong các doanh nghiệp Do đó, những “đám mây” này tồn tại bên trong tường lửa của doanh nghiệp và được họ trực tiếp quản lý Đây được đánh giá là xu hướng tất yếu cho các doanh nghiệp nhằm tối ưu hóa hạ tầng công nghệ thông tin cũng như quyền kiểm soát thông tin của doanh nghiệp

Ưu điểm:

- Chủ động quản lí, sử dụng, nâng cấp dịch vụ

- Bảo mật tốt thông tin nội bộ

Nhược điểm:

- Có thể gây khó khăn về công nghệ cho doanh nghiệp

- Chi phí xây dựng, duy trì hệ thống

- Hạn chế đối tượng sử dụng: chỉ người trong nội bộ doanh nghiệp, người ngoài không thể sử dụng

1.5.4 Đám mây lai (Hybrid Cloud):

Đám mây lai là sự kết hợp của đám mây công cộng và Đám mây riêng Mô hình này cho phép khai thác điểm mạnh của hai mô hình trên cũng như đưa ra phương thức sử dụng tối ưu cho người sử dụng Theo đó, những “đám mây” này thường do chính doanh nghiệp tạo ra và việc quản lý sẽ được phân chia cho cả doanh nghiệp và nhà cung cấp điện toán đám mây công cộng

Ưu điểm: Doanh nghiệp có thể sử dụng nhiều dịch vụ một lúc mà không bị giới hạn

Nhược điểm: Mô hình có thể gây khó khăn trong việc triển khai và quản lý

và tốn nhiều chi phí

1.5.5 Đám mây cộng đồng (Community Cloud):

Đám mây cộng đồng là các dịch vụ trên nền tảng điện toán đám mây do nhiều

tổ chức, doanh nghiệp cùng hợp tác xây dựng và cung cấp cho cộng đồng Những tổ chức và doanh nghiệp này thường có chung một mục tiêu, nhiệm vụ hay sứ mệnh và không có tổ chức, doanh nghiệp riêng lẻ nào được độc quyền đám mây cộng đồng này Họ thường uỷ thác cho một bên thứ 3 quản lý

Ưu điểm: Tính bảo mật và an ninh tốt

Nhược điểm: Chi phí tốn kém khi tham gia

Như vậy, tổng kết lại chúng ta có bảng so sánh sau về đặc tính của các mô hình triển khai điện toán đám mây:

1.5.6 Các mô hình triển khai khác:

Ngoài các mô hình đám mây riêng, đám mây công cộng, đám mây cộng đồng

và đám mây lai là điển hình thì điện toán đám mây còn có một số loại mô hình triển khai khác như:

Đám mây phân tán (Distributed Cloud): Điện toán đám mây cũng có thể được cung cấp bởi một tập các máy phân tán chạy ở các vị trí khác nhau nhưng vẫn kết nối tới một mạng hoặc một trung tâm dịch vụ Ví dụ các nền tảng máy phân tán như BONIC, Folding@Home

Đám mây liên kết (Intercloud): Là một liên kết có quy mô toàn cầu “cloud of clouds” và một phần mở rộng dựa trên mạng Internet Đám mây liên kết tập trung

Đám mây công cộng

Yêu cầu trình độ vận hành hệ thống

Bảo vệ dữ liệu và

Ít tốn kém chi phí hơn đám mây riêng, đắt hơn mô hình công cộng

Chi phí được chia

sẻ giữa các thành viên tham gia

Nhu cầu đầu tư

Tùy thuộc vào nhu cầu

Tùy thuộc vào nhu cầu

Tùy thuộc vào nhu cầu

vào khả năng tương tác trực tiếp giữa nhà cung cấp dịch vụ đám mây công cộng hơn

là giữa nhà cung cấp và người sử dụng (như trường hợp đám mây lai và đa đám mây)

Đa đám mây (Multicloud): Là việc sử dụng nhiều dịch vụ điện toán đám mây trong một kiến trúc không đồng nhất để giảm sự phụ thuộc vào một nhà cung cấp duy nhất, làm tăng tính linh hoạt thông qua việc chọn, giảm các nguy cơ… Nó khác với đám mây lai trong đó đề cập đến nhiều dịch vụ đám mây thay vì nhiều mô hình triển khai (công cộng, riêng, kế thừa)

1.6 Các mô hình dịch vụ (tầng đám mây được cung cấp)

Hình 1.2 Các mô hình dịch vụ của điện toán đám mây

Phần mềm như một dịch vụ (SaaS - Software as a Service): là viết tắt của

“Software as a Service”, là dịch vụ cho phép người dùng sử dụng software (phần mềm) thông qua network (hệ thống mạng) Thông qua đám mây, SaaS cung cấp những phần mềm đang được vận hành bởi các công ty đám mây.Do đó, các nhà phát triển không cần tiến hành các cài đặt đặc biệt như máy chủ hoặc chuẩn bị tài nguyên,

và có thể phát triển phần mềm cần thiết thông qua Internet

Nền tảng như một dịch vụ (PaaS): là viết tắt của “Platform as a Service”, là

dịch vụ cho phép người dùng sử dụng platform (môi trường phát triển) cho ứng dụng thông qua hệ thống mạng PaaS cung cấp một bộ phần mềm như phần mềm trung gian kết nối hệ điều hành và ứng dụng cần thiết cho việc phát triển hệ thống, hệ thống

quản lý cơ sở dữ liệu, ngôn ngữ lập trình và hệ điều hành web server v.v Do đó, các developer có thể tập trung vào phát triển phần mềm mà không cần xây dựng platform (nền tảng) Với SaaS, phần mềm cố định được sử dụng như một dịch vụ, nhưng với PaaS, ứng dụng được phát triển trong nội bộ công ty có thể được sử dụng, nên đặc trưng của Paas là cho phép sử dụng ứng dụng linh hoạt hơn

Cơ sở hạ tầng như một dịch vụ (IaaS): IaaS là từ viết tắt của “Infrastructure

as a Service” Đây là một dịch vụ cho phép người dùng sử dụng cơ sở hạ tầng CNTT cần thiết cho việc xây dựng hệ thống, chẳng hạn như hệ thống mạng, máy chủ và hệ điều hành v.v cần thiết cho hoạt động của hệ thống, thông qua Internet Với IaaS, người dùng chọn các thông số kỹ thuật phần cứng và phần mềm cần có, thiết lập hệ điều hành, v.v., xây dựng cơ sở hạ tầng CNTT và phát triển ứng dụng Không giống như SaaS và PaaS, IaaS có tính linh hoạt cao hơn, cho phép người dùng chọn thông

số kỹ thuật phần cứng và hệ điều hành tùy ý Trong phạm vi đó, cần có kiến thức chuyên môn về hệ điều hành, phần cứng, mạng và phải xem xét các biện pháp bảo mật

Như vậy, tùy theo nhu cầu cụ thể mà các tổ chức, doanh nghiệp có thể chọn

để triển khai các ứng dụng trên mô hình nào cho phù hợp Vì mỗi mô hình đám mây đều có điểm mạnh và yếu riêng, mỗi doanh nghiệp phải cân nhắc lựa chọn mô hình

mô hình phù hợp để giải quyết các vấn đề của doanh nghiệp đó Theo Ziff David B2B, phần lớn các công ty dùng nhiều hơn một loại đám mây: 29% chỉ dùng đám mây công cộng, 7% chỉ dùng đám mây riêng, 58% sử dụng đám mây lai (2014) Nhu cầu về một ứng dụng có tính tạm thời có thể triển khai trên đám mây công cộng bởi

vì mô hình này giúp tránh việc phải mua thêm thiết bị để giải quyết một nhu cầu tạm thời Bên cạnh đó, nhu cầu về một ứng dụng thường trú hoặc một ứng dụng có những yêu cầu cụ thể về chất lượng dịch vụ hay vị trí của dữ liệu thì nên triển khai trên đám mây riêng hoặc đám mây lai

1.7 Một số nhà cung cấp dịch vụ điện toán đám mây

Trên thế giới hiện đang có hơn 200 nhà cung cấp dịch vụ điện toán đám mây, các nhà cung cấp thường có thế mạnh riêng và tập trung vào thế mạnh riêng của mình

về từng lĩnh vực của điện toán đám mây Sau đây là một số nhà cung cấp dịch vụ điện toán đám mây tiêu biểu và đang dẫn dắt thị trường

Amazon: có vị trí nổi bật về điện toán đám mây Hiện nay, Amazon đã cung cấp không gian máy tính ảo với dịch vụ Amazon Workspaces, qua đó, người sử dụng

có thể thuê một máy tính ảo chạy trên Amazon Web Services Amazon khiến mọi người ngạc nhiên khi một nhà bán lẻ trực tuyến lại có thể tạo ra nhiều sự thay đổi trong ngành công nghiệp công nghệ thông tin và trong cuộc sống hang ngày đến vậy

Microsoft: Microsoft là một doanh nghiệp lớn về điện toán đám mây với Azure Trong đó, công ty này mới mở rộng Azure vào thị trường IaaS, và cho phép người dùng chạy Linux trên đám mây của mình với mức giá đưa ra thấp hơn Amazon Ngoài ra, Microsoft còn cung cấp rất nhiều ứng dụng cho doanh nghiệp trên đám mây của mình như cơ sở dữ liệu SQL Server hay Microsoft Office 365

Google: là gã khổng lồ công nghệ được sinh ra từ đám mây Hiện tại Google

đã tăng mức lưu trữ và kết hợp với các công cụ trước đây như Google Docs để thuận tiện cho người sử dụng Google Drive tương thích với các hệ điều hành trên máy tính cũng như trên điện thoại thông minh

Top 10 nhà cung cấp dịch vụ điện toán đám mây xét theo các tiêu chí chất lượng dịch vụ, hạ tầng mạng lưới và thị phần theo Gartner 2019:

1 Amazon Web Services (AWS)

7 Salesforce

8 SAP

9 Rackspace Cloud

10 VMWare

Hình 1.3 Báo cáo Magic Quadrant của Công ty tư vấn CNTT Gartner năm 2019 về

các dịch vụ điện toán đám mây trên thế giới

1.8 Kết luận Chương 1

Trong chương 1 của luận văn đã phân tích, tìm hiểu những nội dung cơ bản về điện toán đám mây, bao gồm khái niệm, lịch sử hình thành và phát triển, vai trò, kiến

trúc mô hình dịch vụ, mô hình triển khai điện toán đám mây, những nhà cung cấp dịch vụ điện toán đám mây lớn trên thế giới

Nội dung chương 1 cũng đi sâu nghiên cứu phân tích những ưu điểm, giá trị

to lớn của điện toán đám mây trong việc cung cấp các nhóm dịch vụ hạ tầng, dịch vụ lưu trữ, desktop, dịch vụ phần mềm và nền tảng Trên cơ sở nghiên cứu những hạn chế của điện toán đám mây, nội dung chương 1 phân tích làm rõ nguy cơ mất an toàn thông tin, cho thấy vị trí tầm quan trọng của việc nghiên cứu giải pháp bảo mật dữ liệu trong quá trình lưu trữ và truyền nhận qua đám mây Đây là cơ sở tiền đề, nền tảng cho triển khai nghiên cứu chuyên sâu về bảo vệ thông tin trong điện toán đám mây được trình bày tại chương 2

CHƯƠNG 2: BẢO MẬT KẾT NỐITRONG HỆ THỐNG ĐIỆN TOÁN

ĐÁM MÂY 2.1 Khái niệm an toàn thông tin

Cùng với sự phát triển và bùng nổ nhu cầu chuyển đổi hạ tầng từ các hệ thống CNTT/lưu trữ truyền thống lên các hệ thống điện toán đám mây, ngày càng có nhiều các công ty cung cấp dịch vụ an ninh thông tin cho các hệ thống kết nối/ điện toán đám mây

An toàn thông tin là các hoạt động bảo vệ tài sản thông tin, bao gồm những sản phẩm và quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,

An toàn thông tin là một lĩnh vực rất rộng, có liên quan đến hai khía cạnh là an toàn

về mặt vật lý và an toàn về mặt kỹ thuật

Mục tiêu cơ bản của an toàn thông tin:

- Đảm bảo tính bảo mật: Thông tin có thể chỉ được truy cập bởi người được uỷ quyền hoặc chia sẻ giữa các nhóm được ủy quyền Phương pháp xác thực, bao gồm cả xác minh, có thể được áp dụng để bảo vệ dữ liệu tránh khỏi xâm nhập độc hại

- Đảm bảo tính toàn vẹn: Thông tin là thực, đầy đủ, đáng tin cậy Dữ liệu không được thay đổi không phù hợp cho dù gặp sự cố hoặc các hoạt động độc hại có chủ đích

- Đảm bảo tính xác thực: Đảm bảo tính xác thực là đảm bảo kết nối, dữ liệu, giao dịch, hoặc các tài liệu, bao gồm tài liệu điện tử hoặc tài liệu cứng, đều là thật (genuine) Việc đảm bảo này đóng vai trò quan trọng trong việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống

- Đảm bảo tính sẵn sàng: dữ liệu luôn sẵn sàng và sẵn có sử dụng khi cần theo quyền thao tác cho đối tượng đã được ủy quyền

Theo ISO/IEC 27000, 2009 định nghĩa: An ninh thông tin là sự giữ gìn tính

bảo mật, toàn vẹn và sẵn sàng của thông tin và các thuộc tính khác như tính xác thực, trách nhiệm, không chối bỏ và tin cậy

Theo CNSS, 2010 định nghĩa: An ninh thông tin là sự bảo vệ thông tin và hệ

thống thông tin khỏi việc truy cập trái phép, sử dụng, tiết lộ, gián đoạn, biến đổi, hoặc phá hủy để cung cấp bảo mật, tính toàn vẹn và tính sẵn sàng

Theo Venter và Eloff, 2003 định nghĩa: An ninh thông tin là sự bảo vệ thông

tin và giảm thiểu những nguy cơ lộ thông tin cho các bên trái phép

2.2 Một số tiêu chuẩn về an ninh thông tin

Ban kỹ thuật tiêu chuẩn quốc tế JTC1/SC 27 “IT Security Techniques” do tổ chức là Cơ qua tiêu chuẩn hóa quốc tế ISO (International Organization for Standardization) và Ủy bản kỹ thuật điện quốc tế IEC (International Electrotechnical Commission) cộng tác thành lập

Ban kỹ thuật này đã công bố hơn 130 tiêu chuẩn quốc tế về lĩnh vực an ninh thông tin Những tiêu chuẩn quốc tế được sự trợ giúp xây dựng, đóng góp ý kiến của nhiều chuyên gia, các hãng bảo mật và các tổ chức tiêu chuẩn hóa trên thế giới

2.3 Tiêu chuẩn về hệ thống quản lý an ninh

Hiện nay, trên thế giới đang tồn tại một họ các tiêu chuẩn hệ thống quản lý an ninh thuộc bộ ISO 27000 Bộ tiêu chuẩn ISO 27000 về hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) được xây dựng để có thể áp dụng cho mọi tổ chức, bất kể loại hình, kích cỡ hay môi trường kinh doanh của tổ chức đó Người sử dụng là những chuyên gia, quản lý kinh doanh có liên quan đến các hoạt động quản lý hệ thống an ninh

Để có thể đạt được các chỉ tiêu an ninh có trong bộ ISO 27000 là khá khó khăn

và rất tốn kém Số lượng chứng chỉ chứng nhận đạt sự phù hợp với ISO/IEC 27001 trên toàn thế giới mới chỉ lên đến con số 7940

Một bộ tiêu chuẩn về lĩnh vực quản lý an ninh cũng đáng được nhắc tới đó là

bộ ISO/IEC 31000 về quản lý rủi ro.

2.4 Tiêu chuẩn an ninh thông tin về điện toán đám mây

Tổ chức ISO công bố 04 tiêu chuẩn liên quan đến điện toán đám mây là: ISO/IEC 17203:2011 quy định về định dạng mã hóa mở OVF, ISO/IEC 17826:2012

về giao diện quản lý dữ liệu đám mây CDMI, ISO/IEC 17963:2013 về quản lý dịch

vụ web, cuối cùng là ISO/IEC TR 30102:2012 về thủ tục kỹ thuật cho DAPS (Nền tảng và dịch vụ ứng dụng phân tán) Ngoài ra tiêu chuẩn ISO/IEC 27017 đưa ra các nguyên tắc kiểm soát an ninh thông tin cho dịch vụ điện toán đám mây

Tuy nhiên, các tiêu chuẩn điện toán đám mây “riêng” vẫn đang phát triển mạnh

mẽ, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đưa ra nguyên tắc phân loại chuẩn điện toán đám mây, đồng thời theo đó là hàng loạt tiêu chuẩn điện toán đám mây ra đời (công bố bởi NIST, IETF, ITU-T…), được thế giới công nhận và áp dụng Cụ thể:

- Về xác thực và ủy quyền: RFC 5246, RFC 3820, RFC 5280, X.509 (ISO/IEC 9594-8), RFC 5849, OpenID, XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), FIPS 181, FIPS

190, FIPS 196…

- Về tính bí mật: RFC 5246, KMIP (Key Management Interoperability Protocol), XML, FIPS 140-2, FIPS 185, FIPS 197, FIPS 188…

- Về tính toàn vẹn: XML, FIPS 180-3, FIPS 186-3, FIPS 198-1,…

- Về quản lý nhận diện: SPML (Service Provisioning Markup Language), X.idmcc, SAML, OpenID, FIPS 201-1,…

- Về thủ tục an ninh: NIST SP 800-126, NIST SP 800-61, X.1500, X.1520, X.1521, PCI, FIPS 191…

- Về quản lý chính sách: XACML, FIPS 199, FIPS 200,…

- Về tính tương hợp: OCCI (Open Cloud Computing Interface), CDMI,

- IEEE P2301, IEEE P2302…

- Về tính khả chuyển: CDMI, OVF (Open Virtualization Format), IEEE P2301…

2.5 Tiêu chuẩn an ninh thông tin về dữ liệu

Điểm mấu chốt trong an ninh thông tin chính là dữ liệu, có nhiều bộ tiêu chuẩn

về an ninh dữ liệu, đầu tiên cần kể đến là bộ tiêu chuẩn ISO 8000 về Chất lượng dữ liệu Bộ tiêu chuẩn này đưa ra các thủ tục về chất lượng dữ liệu, các đặc tính cần kiểm tra chất lượng, đồng thời đưa ra hàng loạt các yêu cầu về thu nhận, biểu diễn, phương pháp đo và kiểm tra chất lượng dữ liệu

Hiện nay bộ tiêu chuẩn ISO 8000 được chia thành 04 mảng:

- Phần 1 đến phần 99: Chất lượng dữ liệu chung;

- Phần 100 đến phần 199: Chất lượng dữ liệu gốc;

- Phần 200 đến phần 299: Chất lượng dữ liệu giao dịch;

- Phần 300 đến phần 399: Chất lượng dữ liệu sản phẩm

Ngoài ra là các tiêu chuẩn về kiến trúc dữ liệu cũng được xây dựng như:

- ISIS-MTT: Đặc tả tính tương hợp chữ ký công nghiệp (MailTrusT): đưa ra cách chứng thực khóa công khai, chứng thực thuộc tính và thu hồi chứng thực, thiết lập và gửi yêu cầu đến cơ quan chứng thực và phản hồi, thiết lập thông điệp mã hóa và chữ ký

- Phương pháp mã hóa không đối xứng RSA, mã hóa đối xứng AES, thuật toán hàm băm SHA 256, quản lý khóa XML V2

- Các bộ tiêu chuẩn ISO 7811, ISO 7816 về thẻ nhận dạng, thẻ thông minh tiếp xúc và không tiếp xúc, thẻ từ và thẻ mạch tích hợp,…

2.6 Tiêu chuẩn về đánh giá an ninh thông tin

Tiêu chuẩn đánh giá an ninh thông tin chung là CC (Common Criteria) đưa ra những tiêu chí đánh giá an ninh chung cho sản phẩm hoặc hệ thống thông tin

Hiện nay, CC đã được chuyển thành các tiêu chuẩn quốc tế là bộ tiêu chuẩn ISO/IEC 15408 và tiêu chuẩn ISO/IEC 18045 Trong đó, ISO/IEC 18045:2008 quy

định các hành động tối thiểu được thực hiện bởi chuyên gia đánh giá khi thựchiện đánh giá theo ISO/IEC 15408, sử dụng các chỉ tiêu và bằng chứng để đánh giá như quy định trong ISO/IEC 15408 Tiêu chuẩn này không quy định các hành động đảm bảo đánh giá từng thành phần mà chưa có chấp thuận đánh giá chung Đây được xem

là bộ các tiêu chí đánh giá chung nhất cho các sản phẩm, thiết bị và hệ thống công nghệ thông tin

Ngoài ra đối với hệ thống ISMS, chúng ta có ISO/IEC 27007:2011 đưa ra các nguyên tắc đánh giá hệ thống an ninh thông tin, cũng là tiêu chuẩn được sử dụng để đánh giá an ninh thông tin cho các hệ thống thông tin thông thường, kể cả các hệ thống không phải ISMS

2.7 Một số vấn đề bảo mật các ứng dụng điện toán đám mây

2.7.1 Quản lý định danh và truy nhập

Ngày nay, khi đăng nhập vào bất kể ứng dụng hay một nền tảng nào, đặt biệt

là hệ thống của các tổ chức với quy mô lớn đang được đưa lên hệ thống cloud đề được bắt đầu từ việc kiểm tra định danh nhằm xác thực nhân dạng và quyền đi kèm

để thực hiện tương tác với hệ thống

Định nghĩa Công nghệ Zero Trust: Trong quá khứ, với tư cách là một người

quản lý và vận hành hệ thống cho một tổ chức, bạn sẽ tập trung bảo mật của bạn tại lớp tường lửa của mỗi chi nhánh/cơ sở và các kết nối VPN được cung cấp bởi các nhà mạng, giả sử rằng mọi thứ bên trong mạng nội bộ công ty an toàn Nhưng ngày nay, khi nhu cầu chuyển đổi và mở rộng hệ thống để lưu trữ các dữ liệu, khai thác dịch vụ trên hệ thống điện toán đám mây public/private hoặc trên các mạng kết hợp ngày càng lớn, mô hình bảo mật Zero Trust đã phát triển để giải quyết một loạt các cuộc tấn công vào các dịch vụ/hệ thống public và nội bộ toàn diện hơn

Nguyên tắc Zero Trust: Thay vì giả định mọi thứ sau tường lửa công ty là an

toàn, mô hình Zero Trust giả định vi phạm và xác minh từng yêu cầu như thể yêu cầu

đó bắt nguồn từ mạng mở Bất kể yêu cầu đó bắt nguồn từ đâu hay truy nhập vào tài nguyên nào thì Zero Trust cũng luôn nhắc nhở chúng ta “không bao giờ tin cậy, luôn