Nghiên cứu ứng dụng một số giải pháp bảo mật kết nối trong hệ thống điện toán đám mây TT

Để có được tính bảo mật đồng nhất giữa các thành phần, cần sự tham gia giữa các nhà mạng ISP, nhà cung cấp dịch vụ cloud Cloud Provider và các hệ thống quản lý, lưu trữ dữ liệu online để

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Vào lúc: 8 giờ, ngày 15 tháng 01 năm 2022

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Ngày nay, với sự linh hoạt trong triển khai/mở rộng, tối ưu chi phí

và hỗ trợ tối đa các nhu cầu của doanh nghiệp, tổ chức, điện toán đám mây đã trở thành một giải pháp thay thế các mô hình cơ sở hạ tầng truyền thống

Đi kèm với sự phát triển vũ bão của điện toán đám mây, tính bảo mật của đường truyền kết nối giữa các hệ thống đã trở thành sự quan tâm hàng đầu khi triển khai hệ thống điện toán đám mây cho doanh nghiệp,

tổ chức Để có được tính bảo mật đồng nhất giữa các thành phần, cần sự tham gia giữa các nhà mạng (ISP), nhà cung cấp dịch vụ cloud (Cloud Provider) và các hệ thống quản lý, lưu trữ dữ liệu online để đưa ra một

hệ thống bảo mật chung nhằm tối ưu tính bảo mật các kết nối liên mạng giữa các bên

Luận văn sẽ trình bày về một số biện pháp bảo mật điện toán đám mây trong hệ thống quản lý doanh nghiệp theo trình tự như sau:

- Chương 1: Tổng quan và Thực trạng bảo mật trong hệ thống điện toán đám mây

- Chương 2: Bảo mật kết nối trong hệ thống điện toán đám mây

- Chương 3: Ứng dụng hệ thống bảo mật kết nối zerotrust trong hệ thống điện toán đám mây

- Chương 4: Kết quả và bàn luận

CHƯƠNG 1 TỔNG QUAN VÀ THỰC TRẠNG BẢO MẬT

TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY

1 Tổng quan về điện toán đám mây

Điện toán đám mây– Cloud Computing là mô hình điện toán cung cấp nguồn tài nguyên máy tính, bao gồm bất kì thứ gì liên quan đến điện toán và máy tính cho người dùng tùy theo mục đích sử dụng thông qua kết nối Internet

Hay có thể nói đơn giản điện toán đám mây là việc cung cấp các dịch vụ điện toán - bao gồm máy chủ, lưu trữ, cơ sở dữ liệu, mạng, phần mềm, phân tích và trí tuệ - qua hệ thống mạng lưới Internet toàn cầu (“đám mây”) để cung cấp các thay đổi mới nhanh hơn, tài nguyên co giãn linh hoạt và tối ưu chi phí theo quy mô/nhu cầu

Như vậy, điện toán đám mây có thể coi là bước tiếp theo của ảo hóa, bao gồm ảo hóa phần cứng và ứng dụng, là thành phần quản lý, tổ chức, vận hành các hệ thống ảo hóa trước đó

1.1 Các đặc điểm chính

Tự cấu hình theo nhu cầu (On-deman self-service)

Mạng lưới truy cập rộng lớn (Broad Network Access)

Tài nguyên được chia sẻ (Resource Pooling)

Tính linh hoạt nhanh (Rapid elasticity)

Ước lượng dịch vụ (Measured service)

1.2 Lịch sử hình thành và các mốc phát triển của điện toán đám mây

Năm 1999 đánh dấu một trong những cột mốc đầu tiên của điện toán đám mây là sự ra đời của Salesforce.com, ứng dụng đã đi tiên phong trong việc định hình khái niệm cung cấp các ứng dụng doanh nghiệp thông qua một trang web đơn giản

Tiếp thep Salesforce.com là sự xuất hiện của Amazon Web Services (AWS) vào năm 2002, trong đó AWS cung cấp chuỗi các dịch vụ dựa trên nền tảng đám mây như lưu trữ, tính toán và cả AI- trí tuệ nhân tạo thông qua Amazon Mechanical Turk

Vào năm 2004, Facebook chính thức ra đời và đã tạo ra một cuộc cách mạng trong việc giao tiếp giữa người với người

Sự phát triển nền tảng điện toán đám mây của Amazon tiếp tục được đánh dấu vào năm 2006 khi công ty này mở rộng các dịch vụ điện toán đám mây của mình mà khởi đầu là sự ra đời của Elastic Compute Cloud (EC2)

Năm 2008, HTC đã công bố điện thoại đầu tiên sử dụng Android Năm 2009, Google Apps đã chính thức được phát hành

Trong những năm 2010, các công ty đã phát triển điện toán đám mây để tích cực cải thiện dịch vụ và khả năng đáp ứng của mình để phục

vụ nhu cầu cho người sử dụng một cách tốt nhất

1.3 Kiến trúc hệ thống điện toán đám mây

Mô hình điện toán đám mây bao gồm mặt trước Front end và mặt sau Back end được kết nối thông qua một mạng mà đa số trường hợp là Internet Phần mặt trước Front end được coi là phương tiện chuyên chở

để người dùng tương tác với hệ thống Phần mặt sau Back end chính là

đám mây, là nơi cung cấp các ứng dụng, các máy tính, máy chủ và lưu trữ dữ liệu để tạo ra đám mây của các dịch vụ

- Front-end là phần thuộc về phía khách hàng dùng máy tính

- Back-end đề cập đến chính đám mây của hệ thống, bao gồm tất cả các

tài nguyên cần thiết để cung cấp dịch vụ điện toán đám mây Back end

1.4 Các mô hình điện toán đám mây

1.4.1 Các mô hình triển khai hệ thống điện toán đám mây

Hiện nay, có 4 mô hình triển khai điện toán đám mây chính đang được sử dụng phổ biến, bao gồm Đám mây công cộng (Public Cloud), Đám mây riêng (Private Cloud), Đám mây lai (Hybrid Cloud) và Đám mây cộng đồng (Community Cloud)

Đám mây công cộng (Public Cloud): Đám mây công cộng là các

dịch vụ được bên thứ 3 (người bán) cung cấp và tồn tại ngoài tường lửa của công ty Đám mây công cộng được nhà cung cấp đám mây quản lý

và được xây dựng nhằm mục đích phục vụ công cộng

Đám mây riêng (Private Cloud): Đám mây riêng là các dịch vụ

điện toán đám mây được cung cấp trong các doanh nghiệp

Đám mây lai (Hybrid Cloud): Đám mây lai là sự kết hợp của đám

mây công cộng và Đám mây riêng Mô hình này cho phép khai thác điểm mạnh của hai mô hình trên cũng như đưa ra phương thức sử dụng tối ưu

cho người sử dụng

Đám mây cộng đồng (Community Cloud): Đám mây cộng đồng là

các dịch vụ trên nền tảng điện toán đám mây do nhiều tổ chức, doanh nghiệp cùng hợp tác xây dựng và cung cấp cho cộng đồng

công cộng

Đám mây riêng Đám mây lai Đám mây

Yêu cầu trình

độ vận hành hệ thống

Yêu cầu trình

độ vận hành hệ thống

liệu Ít hoặc không Cao Tương đối cao Tương đối cao

Ít tốn kém chi phí hơn đám mây riêng, đắt hơn mô hình công cộng

Chi phí được chia sẻ giữa các thành viên tham gia

Nhu cầu đầu

Các mô hình triển khai khác:

Đám mây phân tán (Distributed Cloud)

Đám mây liên kết (Intercloud)

Đa đám mây (Multicloud)

1.4.2 Các mô hình dịch vụ (tầng đám mây được cung cấp)

Phần mềm như một dịch vụ (SaaS - Software as a Service): là viết

tắt của “Software as a Service”, là dịch vụ cho phép người dùng sử dụng software (phần mềm) thông qua network (hệ thống mạng)

Nền tảng như một dịch vụ (PaaS): là viết tắt của “Platform as a

Service”, là dịch vụ cho phép người dùng sử dụng platform (môi trường phát triển) cho ứng dụng thông qua hệ thống mạng

Cơ sở hạ tầng như một dịch vụ (IaaS): IaaS là từ viết tắt của

“Infrastructure as a Service” Đây là một dịch vụ cho phép người dùng

sử dụng cơ sở hạ tầng CNTT cần thiết cho việc xây dựng hệ thống

Như vậy, tùy theo nhu cầu cụ thể mà các tổ chức, doanh nghiệp có thể chọn để triển khai các ứng dụng trên mô hình nào cho phù hợp

1.5 Một số nhà cung cấp dịch vụ điện toán đám mây

Trên thế giới hiện đang có hơn 200 nhà cung cấp dịch vụ điện toán đám mây, các nhà cung cấp thường có thế mạnh riêng và tập trung vào thế mạnh riêng của mình về từng lĩnh vực của điện toán đám mây Sau đây là một số nhà cung cấp dịch vụ điện toán đám mây tiêu biểu và đang dẫn dắt thị trường

- Amazon

Trong chương 1 của luận văn đã phân tích, tìm hiểu những nội dung

cơ bản về điện toán đám mây, bao gồm khái niệm, lịch sử hình thành và phát triển, vai trò, kiến trúc mô hình dịch vụ, mô hình triển khai điện toán đám mây, những nhà cung cấp dịch vụ điện toán đám mây lớn trên thế giới

CHƯƠNG 2 BẢO MẬT KẾT NỐI TRONG HỆ THỐNG ĐIỆN TOÁN ĐÁM MÂY 2.1 Khái niệm an toàn thông tin

An toàn thông tin là các hoạt động bảo vệ tài sản thông tin, bao gồm những sản phẩm và quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin, An toàn thông tin là một lĩnh vực rất rộng, có liên quan đến hai khía cạnh là an toàn về mặt vật lý và an toàn về mặt kỹ thuật

- Mục tiêu cơ bản của an toàn thông tin:

o Đảm bảo tính bảo mật

o Đảm bảo tính toàn vẹn

o Đảm bảo tính xác thực

o Đảm bảo tính sẵn sàng

2.2 Một số tiêu chuẩn về an ninh thông tin

Ban kỹ thuật tiêu chuẩn quốc tế JTC1/SC 27 “IT Security Techniques” đã công bố hơn 130 tiêu chuẩn quốc tế về lĩnh vực an ninh thông tin

2.2.1 Tiêu chuẩn về hệ thống quản lý an ninh

Hiện nay, trên thế giới đang tồn tại một họ các tiêu chuẩn hệ thống quản lý an ninh thuộc bộ ISO 27000 Bộ tiêu chuẩn ISO 27000 về hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) được xây dựng để có thể áp dụng cho mọi tổ chức, bất kể loại hình, kích cỡ hay môi trường kinh doanh của tổ chức đó Người sử dụng

là những chuyên gia, quản lý kinh doanh có liên quan đến các hoạt động quản lý hệ thống an ninh

Để có thể đạt được các chỉ tiêu an ninh có trong bộ ISO 27000 là khá khó khăn và rất tốn kém Số lượng chứng chỉ chứng nhận đạt sự phù hợp với ISO/IEC 27001 trên toàn thế giới mới chỉ lên đến con số 7940

Một bộ tiêu chuẩn về lĩnh vực quản lý an ninh cũng đáng được nhắc tới đó là bộ ISO/IEC 31000 về quản lý rủi ro

2.2.2 Tiêu chuẩn an ninh thông tin về điện toán đám mây

Tổ chức ISO công bố 04 tiêu chuẩn liên quan đến điện toán đám mây là: ISO/IEC 17203:2011 quy định về định dạng mã hóa mở OVF, ISO/IEC 17826:2012 về giao diện quản lý dữ liệu đám mây CDMI, ISO/IEC 17963:2013 về quản lý dịch vụ web, cuối cùng là ISO/IEC TR 30102:2012 về thủ tục kỹ thuật cho DAPS (Nền tảng và dịch vụ ứng dụng phân tán) Ngoài ra tiêu chuẩn ISO/IEC 27017 đưa ra các nguyên tắc kiểm soát an ninh thông tin cho dịch vụ điện toán đám mây

Ngoài ra, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đưa ra nguyên tắc phân loại chuẩn điện toán đám mây, đồng thời theo đó

là hàng loạt tiêu chuẩn điện toán đám mây ra đời:

- Về xác thực và ủy quyền: RFC 5246, RFC 3820, RFC 5280, X.509 (ISO/IEC 9594-8), RFC 5849, OpenID, XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), FIPS 181, FIPS 190, FIPS 196…

- Về tính bí mật: RFC 5246, KMIP (Key Management Interoperability Protocol), XML, FIPS 140-2, FIPS 185, FIPS 197, FIPS 188…

- Về tính toàn vẹn: XML, FIPS 180-3, FIPS 186-3, FIPS 198-1,…

- Về quản lý nhận diện: SPML (Service Provisioning Markup Language), X.idmcc, SAML, OpenID, FIPS 201-1,…

- Về thủ tục an ninh: NIST SP 800-126, NIST SP 800-61, X.1500, X.1520, X.1521, PCI, FIPS 191…

- Về quản lý chính sách: XACML, FIPS 199, FIPS 200,…

- Về tính tương hợp: OCCI (Open Cloud Computing Interface), CDMI,

- IEEE P2301, IEEE P2302…

- Về tính khả chuyển: CDMI, OVF (Open Virtualization Format), IEEE P2301…

2.2.3 Tiêu chuẩn an ninh thông tin về dữ liệu

Hiện nay bộ tiêu chuẩn ISO 8000 được chia thành 04 mảng:

Phần 1 đến phần 99: Chất lượng dữ liệu chung;

- Phương pháp mã hóa không đối xứng RSA, mã hóa đối xứng AES, thuật toán hàm băm SHA 256, quản lý khóa XML V2

- Các bộ tiêu chuẩn ISO 7811, ISO 7816 về thẻ nhận dạng, thẻ thông minh tiếp xúc và không tiếp xúc, thẻ từ và thẻ mạch tích hợp,…

2.2.4 Tiêu chuẩn về đánh giá an ninh thông tin

Tiêu chuẩn đánh giá an ninh thông tin chung là CC (Common Criteria) đưa ra những tiêu chí đánh giá an ninh chung cho sản phẩm hoặc

hệ thống thông tin

Hiện nay, CC đã được chuyển thành các tiêu chuẩn quốc tế là bộ tiêu chuẩn ISO/IEC 15408 và tiêu chuẩn ISO/IEC 18045 Trong đó, ISO/IEC 18045:2008 quy định các hành động tối thiểu được thực hiện bởi chuyên gia đánh giá khi thựchiện đánh giá theo ISO/IEC 15408, sử dụng các chỉ tiêu và bằng chứng để đánh giá như quy định trong ISO/IEC

15408 Tiêu chuẩn này không quy định các hành động đảm bảo đánh giá từng thành phần mà chưa có chấp thuận đánh giá chung Đây được xem

là bộ các tiêu chí đánh giá chung nhất cho các sản phẩm, thiết bị và hệ thống công nghệ thông tin

Ngoài ra đối với hệ thống ISMS, chúng ta có ISO/IEC 27007:2011 đưa ra các nguyên tắc đánh giá hệ thống an ninh thông tin, cũng là tiêu chuẩn được sử dụng để đánh giá an ninh thông tin cho các hệ thống thông tin thông thường, kể cả các hệ thống không phải ISMS

2.3 Một số vấn đề bảo mật các ứng dụng điện toán đám mây 2.3.1 Quản lý định danh và truy nhập

Định nghĩa Công nghệ Zero Trust: Ngày nay, khi các dữ liệu

trong đám mây public/private hoặc trên các mạng kết hợp, mô hình bảo mật Zero Trust đã phát triển để giải quyết một loạt các cuộc tấn công toàn diện hơn

Nguyên tắc Zero Trust: Mô hình Zero Trust giả định vi phạm và

xác minh từng yêu cầu như thể yêu cầu đó bắt nguồn từ mạng mở Bất kể yêu cầu đó bắt nguồn từ đâu hay truy nhập vào tài nguyên nào thì Zero Trust cũng luôn nhắc nhở chúng ta “không bao giờ tin cậy, luôn xác minh” Mỗi yêu cầu truy nhập đều được xác thực, ủy quyền và mã hóa đầy đủ trước khi cấp quyền truy nhập Các nguyên tắc phân vùng cực nhỏ

và quyền truy nhập đặc quyền tối thiểu được áp dụng để giảm thiểu hành

vi xâm nhập mạng Thông tin và phân tích phong phú được sử dụng để phát hiện cũng như ứng phó với những bất thường trong thời gian thực với 3 nguyên tắc chính như sau:

đó cư trú ở đâu

Cách thức hoạt động của ZTNA: ZTNA cho phép người dùng

hoặc thiết bị nào thực hiện các truy nhập/tác động khi chưa chứng minh được sự an toàn của mình ngược lại với hệ thống Như vậy, ZTNA đã mở rộng tính xác thực Zero Trust ra ngoài mạng và giảm các lỗ hổng tấn công bằng các ẩn các ứng dụng khỏi Internet:

- Kiểm soát truy cập: Xác thực dựa trên danh tính và kiểm soát truy

cập được gán trong các dịch vụ có tích hợp ZTNA, kết hợp lại thành

một giải pháp thay thế cho kiểm soát truy cập dựa t-rên IP thường được

sử dụng với hầu hết các cấu hình mạng VPN hiện nay

- Khả năng hiển thị & Kiểm soát với SASE: Các giải pháp cạnh dịch

vụ truy cập an toàn (SASE) kết hợp xác thực dựa trên danh tính ZTNA

và khả năng kiểm soát truy cập chi tiết mang đến một cách tiếp cận

tổng thể, hoàn chỉnh hơn

2.3.2 An minh mạng

- Phân vùng mạng lưới: Hiện nay, các nhà cung cấp dịch vụ điện toán

đám mây sử dụng công nghệ phân vùng mạng để hạn chế truy cập vào các thiết bị và máy chủ trong phân vùng mạng đó Ngoài ra, các nhà cung cấp còn tạo ra các phân vùng mạng ảo được cách ly dựa trên hạ tầng vật lý, và tự động giới hạn không cho người dùng hoặc dịch vụ tiếp cận một phân vùng mạng nhất định đã được cách ly

- Mạng riêng ảo (VPN): Các nhà cung cấp dịch vụ Internet triển khai

những kết nối an toàn từ môi trường điện toán đám mây tới các tài nguyên private của hệ thống, cũng như các dữ liệu/ứng dụng được triển khai trên hệ thống điện toán đám mây công cộng Mạng VPN là yêu cầu cần phải có để chạy một môi trường điện toán đám mây riêng

- Bảo mật và tường lửa: Các chi nhánh của khách hàng sử dụng hệ

thống điện toán đám mây thường bổ sung tường lửa mạng để bảo vệ vành đai (đám mây riêng ảo/truy cập mạng ở cấp độ mạng con) và tạo

ra các nhóm an ninh mạng cho truy cập ở cấp độ phiên bản (instance) Các nhóm an ninh bảo mật là phòng tuyến phòng thủ đầu tiên, hiệu quả để cấp quyền truy cập vào các tài nguyên điện toán đám mây

- Vi phân vùng mạng (Micro-segmentation): Việc phát triển các ứng

dụng điện toán đám mây như là một tập hợp của các dịch vụ nhỏ sẽ

mang lại lợi thế về an ninh bảo mật khi có thể cách ly chúng thông qua

sử dụng các phân vùng mạng Thiết lập một nền tảng điện toán đám mây có khả năng triển khai vi phân vùng thông qua tự động hóa cấu hình mạng và cấp phát tài nguyên mạng là điều cần thiết

2.3.3 Bảo vệ dữ liệu

Một số vấn đề bảo mật dữ liệu khi sử dụng hệ thống điện toán đám mây:

- Vị trí dữ liệu (data locatity): Với mô hình SaaS, người dùng sử dụng

phần mềm và công cụ của nhà cung cấp để xử lý dữ liệu của họ.Trong một số trường hợp, nhà cung cấp dịch vụ điện toán đám mây phải thực hiện yêu cầu phải tiết lộ dữ liệu của người dùng hoặc bàn giao thiết bị

vật lý cho bên thứ ba hoặc cơ quan pháp luật

- Toàn vẹn dữ liệu (data integrity): Trong hệ thống phân tán, có nhiều

cơ sở dữ liệu và ứng dụng cần quản lý Ứng dụng SaaS thường sử dụng API dựa trên XML Việc thiếu kiểm soát tính toàn vẹn có thể làm dữ liệu bị sai lệch, do đó, các nhà phát triển phải đảm bảo tính toàn vẹn của dữ liệu không bị tổn hại

- Phân tách dữ liệu (data segregation): Dữ liệu của người sử dụng

được chia sẻ trên cùng vị trí lưu trữ vật lý, điều này dễ dẫn đến xâm nhập dữ liệu Kẻ tấn công trong một cuộc tấn công đơn lẻ có thể truy cập vào lượng thông tin bí mật của nhiều tổ chức khách hàng, lấy được lượng thông tin phong phú Nếu không có cơ chế cách ly dữ liệu của những người dùng khác nhau thì khả năng bị xâm phạm dữ liệu là rất cao