(TIỂU LUẬN) TIỂU LUẬN môn học AN TOÀN điện TOÁN đám mây đề tài các GIẢI PHÁP bảo mật CHO CLOUD TRÊN nền TẢNG VMWARE

Theo Viện Tiêu chuẩn và Công nghệ Mỹ NIST, điện toán đám mây được định nghĩa như sau: "Cloud Computing là mô hình dịch vụ cho phép người truy cập tài nguyên điện toán dùng chung mạng, se

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

TIỂU LUẬN MÔN HỌC: AN TOÀN ĐIỆN TOÁN ĐÁM MÂY

Đề tài:

CÁC GIẢI PHÁP BẢO MẬT CHO CLOUD TRÊN

NỀN TẢNG VMWARE

Nhóm sinh viên thực hiện:

Nguyễn Thị Thúy Kiều

Võ Văn Thông Cao Quang Trường

Lê Trùng Dương Nguyễn Hà Thiên Phong

Giáo viên hướng dẫn: Dương Trọng Khang

Tp.Hồ Chí Minh, tháng 12 năm 2021

PHỤ LỤC HÌNH ẢNH

Hình 1: Những ứng dụng điển hình trong lĩnh vực điện toán đám mây 3

Hình 2: Bare-metal Hypervisor 4

Hình 3: Hosted Hypervisor 5

Hình 4: Private Cloud 7

Hình 5: Hybrid Cloud 8

Hình 6: Phương pháp phát hiện mã độc 18

Hình 7: Quy trình xử lý mã độc 18

MỤC LỤC I Tìm hiểu Điện toán đám mây trên nền tảng VMWare 3

1 Điện toán đám mây là gì ? 3

2 Các nền tảng điện toán đám mây trên VMWare 3

2.1 Bare-metal hypervisor 3

2.2 Hosted Hypervisor 4

3 Mô hình trên VMWare 5

3.1 Public Cloud (Đám mây “công cộng”) 5

3.2 Private Cloud (Đám mây “doanh nghiệp”) 6

3.3 Hybrid Cloud (Đám mây “lai”) 7

3.4 Community Cloud 9

4 Những lợi thế và thách thức mà điện toán đám mây trên VMWare mang lại 9

4.1 Lợi thế 9

4.2 Thách thức 10

II Các giải pháp bảo mật cho Cloud trên nền tảng VMWare 15

1 Xây dựng kiến trúc ảo hóa bảo mật nhất quán 15

2 Nâng cao tính bảo mật với giải pháp Private Cloud của VMWare 16

3 Công nghệ phòng chống mã độc chuyên biệt cho môi trường ảo hóa 17

4 Thực hiện cấu hình an toàn lớp phần mềm lõi Hypervisor 18

5 Cấu hình an toàn máy chủ Ảo hóa 19

6 Thiết kế mạng ảo đảm bảo an toàn thông tin 19

7 Thiết lập các biện pháp sau nhằm giới hạn truy cập vật lý các máy chủ Ảo hóa 20

8 Mã hóa dữ liệu máy ảo 20

9 Tách biệt truy cập, cô lập dữ liệu giữa các máy ảo 20

10 Duy trì sao lưu 20

I Tìm hiểu Điện toán đám mây trên nền tảng VMWare

1 Điện toán đám mây là gì ?

Theo Viện Tiêu chuẩn và Công nghệ Mỹ (NIST), điện toán đám mây được định nghĩa như sau: "Cloud Computing là mô hình dịch vụ cho phép người truy cập tài nguyên điện toán dùng chung (mạng, server, lưu trữ, ứng dụng, dịch vụ) thông qua kết nối mạng một cách dễ dàng, mọi lúc, mọi nơi, theo yêu cầu Tài nguyên điện toán đám mây có thể được thiết lập hoặc hủy bỏ nhanh chóng bởi người dùng mà không cần sự can thiệp của Nhà cung cấp dịch vụ"

Sự ra đời của mạng xã hội Facebook năm 2004, sàn thương mại điện tử

Amazon, càng chứng tỏ được tầm quan trọng của ĐTĐM đối hầu hết các lĩnh vực liên quan tới mạng Internet

Google Drive, Dropbox, OneDrive, iCloud, là những ví dụ điển hình của dịch vụ ĐTĐM Người dùng chỉ cần đăng ký tài khoản và sử dụng dịch vụ miễn phí và trả phí theo nhu cầu của bản thân Họ lưu trữ các tài liệu lên tài khoản “đám mây” của mình và truy cập vào sử dụng từ bất cứ vị trí nào miễn có kết nối mạng

Hình 1: Những ứng dụng điển hình trong lĩnh vực điện toán đám mây

2 Các nền tảng điện toán đám mây trên VMWare

2.1 Bare-metal hypervisor

Siêu giám sát này chạy trực tiếp trên phần cứng vật lý của máy chủ, vì vậy nó còn được gọi là siêu giám sát kim loại trần Nó được cài đặt trực tiếp trên phần cứng của máy chủ vật lý, không có hệ điều hành hoặc bất kỳ lớp phần mềm nào khác ở giữa Nền tảng này cần:

 Một máy chủ / máy chủ vật lý

 Hypervisor được cài đặt trên phần cứng

 Máy ảo khách

Hypervisor loại 1 thực sự là một hệ điều hành rất cơ bản mà trên đó chúng ta chạy các máy ảo Vì vậy, máy vật lý mà hypervisor đang chạy chỉ có thể được sử dụng cho mục đích ảo hóa và không có gì khác

Các siêu giám sát này yêu cầu một bảng điều khiển quản lý riêng để thực hiện các hoạt động như tạo phiên bản, di chuyển, v.v Bảng điều khiển quản lý có thể dựa trên web hoặc một gói riêng biệt mà bạn có thể cài đặt trên một máy khác Sử dụng bảng điều khiển này, bạn có thể kết nối với hypervisor để quản lý các hoạt động trên môi trường ảo của mình

Hypervisor loại 1 chủ yếu được tìm thấy trong môi trường doanh nghiệp

Hình 2: Bare-metal Hypervisor

2.2 Hosted Hypervisor

Siêu giám sát này chạy trên hệ điều hành của máy chủ vật lý, do đó chúng còn được gọi là siêu giám sát được lưu trữ Các siêu giám sát này được lưu trữ trên hệ điều hành và siêu giám sát chạy trên lớp đó như một phần mềm khác để cho phép

ảo hóa Những gì chúng tôi có trong trường hợp này là

Một máy chủ vật lý

Hệ điều hành được cài đặt trên phần cứng máy chủ đó (các hệ điều hành như Windows, Linux, macOS)

Trình siêu giám sát kiểu 2 trên hệ điều hành đó

Phiên bản máy ảo / máy ảo khách

Những siêu giám sát này thường được sử dụng trong môi trường có một số lượng nhỏ máy chủ Họ không cần một bảng điều khiển quản lý riêng để thiết lập và quản

lý các máy ảo Các hoạt động này thường có thể được thực hiện trên máy chủ có lưu trữ siêu giám sát Hypervisor này về cơ bản được coi như một ứng dụng trên hệ thống máy chủ của bạn

Hình 3: Hosted Hypervisor

3 Mô hình trên VMWare

3.1 Public Cloud (Đám mây “công cộng”)

Định nghĩa: Là các dịch vụ được bên thứ 3 (người bán) cung cấp Chúng tồn tại ngoài tường lửa của công ty và được nhà cung cấp đám mây quản lý Nó được xây dựng nhằm phục vụ cho mục đích sử dụng công cộng, người dùng sẽ đăng ký với nhà cung cấp và trả phí sử dụng dựa theo chính sách giá của nhà cung cấp Public cloud là mô hình triển khai được sử dụng phổ biến nhất hiện nay của cloud

computing

Hình 3: Public Cloud

Đối tượng sử dụng: Bao gồm người dùng bên ngoài internet Đối tượng quản lý là nhà cung cấp dịch vụ

Ưu điểm:

Phục vụ được nhiều người dùng hơn, không bị giới hạn bởi không gian và thời gian

Tiết kiệm hệ thống máy chủ, điện năng và nhân công cho doanh nghiệp

Nhược điểm:

Các doanh nghiệp phụ thuộc vào nhà cung cấp không có toàn quyền quản lý

Gặp khó khăn trong việc lưu trữ các văn bản, thông tin nội bộ

Tuy nhiên Public Cloud có một trở ngại, đó là vấn đề mất kiểm soát về dữ liệu và vấn đề an toàn dữ liệu Trong mô hình này mọi dữ liệu đều nằm trên dịch vụ Cloud, do nhà cung cấp dịch vụ Cloud đó bảo vệ và quản lý Chính điều này khiến cho khách hàng, nhất là các công ty lớn cảm thấy không an toàn đối với những dữ liệu quan trọng của mình khi sử dụng dịch vụ Cloud

3.2 Private Cloud (Đám mây “doanh nghiệp”)

Định nghĩa: Private cloud là các dịch vụ điện toán đám mây được cung cấp trong các doanh nghiệp Những “đám mây” này tồn tại bên trong tường lửa của công ty

và được các doanh nghiệp trực tiếp quản lý Đây là xu hướng tất yếu cho các doanh nghiệp nhằm tối ưu hóa hạ tầng công nghệ thông tin

Hình 4: Private Cloud

Đối tượng sử dụng: Nội bộ doanh nghiệp sử dụng và quản lý

Ưu điểm:

Chủ động sử dụng, nâng cấp, quản lý, giảm chi phí, bảo mật tốt,…

Nhược điểm:

Khó khăn về công nghệ khi triển khai và chi phí xây dựng, duy trì hệ thống Hạn chế sử dụng trong nội bộ doanh nghiệp, người dùng ở ngoài không thể

sử dụng

3.3 Hybrid Cloud (Đám mây “lai”)

Định nghĩa: Là sự kết hợp của private cloud và public cloud Cho phép ta khai thác điểm mạnh của từng mô hình cũng như đưa ra phương thức sử dụng tối ưu cho người sử dụng Những “đám mây” này thường do doanh nghiệp tạo ra và việc quản

lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp điện toán đám mây công cộng

Hình 5: Hybrid Cloud

large-diag-hybrid-cloud

Đối tượng sử dụng: Doang nghiệp và nhà cung cấp quản lý theo sự thỏa thuận Người sử dụng có thể sử dụng các dịch vụ của nhà cung cấp và dịch vụ riêng của doanh nghiệp

Ưu điểm:

Doanh nghiệp 1 lúc có thể sử dụng được nhiều dịch vụ mà không bị giới hạn

Nhược điểm:

Khó khăn trong việc triển khai và quản lý Tốn nhiều chi phí

Doanh nghiệp có thể chọn để triển khai các ứng dụng trên Public, Private hay Hybrid Cloud tùy theo nhu cầu cụ thể Mỗi mô hình đều có điểm mạnh và yếu của

nó Các doanh nghiệp phải cân nhắc đối với các mô hình Cloud Computing mà họ chọn Và họ có thể sử dụng nhiều mô hình để giải quyết các vấn đề khác nhau Nhu cầu về một ứng dụng có tính tạm thời có thể triển khai trên Public Cloud bởi

vì nó giúp tránh việc phải mua thêm thiết bị để giải quyết một nhu cầu tạm thời Tương tự, nhu cầu về một ứng dụng thường trú hoặc một ứng dụng có những yêu cầu cụ thể về chất lượng dịch vụ hay vị trí của dữ liệu thì nên triển khai trên Private hoặc Hybrid Cloud

3.4 Community Cloud

Đám mây cộng đồng (là các dịch vụ trên nền tảng Cloud computing do các công ty cùng hợp tác xây dựng và cung cấp các dịch vụ cho cộng đồng)

Mô hình triển khai Community Cloud phần lớn giống với mô hình Private Cloud;

sự khác biệt duy nhất là tập hợp người dùng Trong khi chỉ có một công ty sở hữu máy chủ đám mây riêng, một số tổ chức có nền tảng tương tự chia sẻ cơ sở hạ tầng

và các tài nguyên liên quan của community cloud

Nếu tất cả các tổ chức tham gia đều có các yêu cầu về bảo mật, quyền riêng tư và hiệu suất đồng nhất, thì kiến trúc trung tâm dữ liệu nhiều bên thuê này sẽ giúp các công ty này nâng cao hiệu quả của họ, như trong trường hợp các dự án chung Một đám mây tập trung tạo điều kiện thuận lợi cho việc phát triển, quản lý và thực hiện

dự án Các chi phí được chia sẻ bởi tất cả người dùng

Ưu điểm:

Tiết kiệm chi phí

Cải thiện bảo mật, quyền riêng tư và độ tin cậy

Dễ dàng chia sẻ dữ liệu và cộng tác

Nhược điểm:

Chi phí cao so với mô hình public cloud

Chia sẻ dung lượng băng thông và dung lượng lưu trữ cố định

Chưa được sử dụng phổ biến

4 Những lợi thế và thách thức mà điện toán đám mây trên VMWare mang lại 4.1 Lợi thế

- Một nền tảng toàn diện, đã được chứng minh là hoàn hảo nhất, VMware vSphere

là thế hệ thứ 5 của công nghệ ảo hóa luôn dẫn đầu và chưa có sản phầm nào sánh kịp Nó mang đến sự ổn định cao hơn, năng suất vượt trội và hiệu suất vượt xa những giải pháp ảo hóa khác trên thị trường Công nghệ ảo hóa ưu việt của

VMware được công nhận là được sử dụng phổ biến nhất trên thế giới bởi các nhà chuyên gia phân tích công nghệ

- Khả năng sẵn sàng cao của các ứng dụng Với mô hình truyền thống, phần cứng

và phần mềm phải mua từng phần riêng biệt, hạ tầng CNTT có tính sẵn sàng cao vẫn còn phức tạp và tốn kém chi phí Nhưng với công nghệ ảo hóa của VMware tích hợp High Availability (tính sẵn sàng cao) và fault tolerance ( khả năng chịu lỗi) vào ngay nền tảng của Doanh nghiệp để bảo vệ các ứng dụng ảo hóa của Doanh nghiệp Nhờ các tính năng trên nên node hoặc server không bao giờ bị lỗi, tất cả máy ảo tự động khởi động trên một máy chủ khác mà không có thời gian downtime (thời gian ngừng hoạt động) và không bị mất dữ liệu

- Cài đặt dễ dàng theo hướng dẫn bằng wizard (hướng dẫn bằng thuật sĩ) giúp cho việc cài đặt và cấu hình không còn phức tạp nữa Doanh nghiệp có thể nâng cấp và chạy thêm ứng dụng của bên thứ ba vào

- Việc quản lý được tối giản và hợp lý hóa, giúp nâng cao năng suất và giảm cơ cấu nhân sự phục vụ cho IT Nhà quản trị có thể quản lý và điều khiển được cả hai môi trường vật lý và ảo hóa thông qua giao diện website Các đặc tính tiết kiệm thời gian như triển khai tự động, tự động cập nhật các phiên bản và tự động di chuyển các máy ảo chỉ trong vài phút để giảm các công việc, thủ tục rườm rà mà không làm ảnh hưởng đến hoạt động của doanh nghiệp

- Sự ổn định và hiệu suất cao hơn Nền tảng kết hợp CPU và bộ nhớ được cải tiến nhỏ gọn hơn, hypervisor (công nghệ ảo hóa phần cứng) được xây dựng có mục đích để giảm các bản vá lỗi và những hạn chế của I/O Do đó, đối với những công việc phức tạp và tốn sức, những lợi thế của VMware thường gấp 2 tới 3 lần so với đối thủ cạnh tranh gần nhất

- Tính bảo mật ưu việt hơn Hypervisor của VMware mỏng hơn các đối thủ cạnh tranh, nó chỉ dùng ổ đĩa có 144 MB so với ổ đĩa từ 3 tới 10 GB của đối thủ cạnh tranh Với hypervisor nhỏ để lại ít footprint hơn (dấu vết những công việc đã thực hiện), được bảo vệ tốt hơn để chống lại sự đe dọa và các cuộc tấn công từ bên ngoài, bảo mật toàn diện và giảm các đe dọa xâm nhập vào hệ thống

4.2 Thách thức

4.2.1 Vi phạm dữ liệu

Mối đe dọa vi phạm dữ liệu vẫn giữ thứ hạng số một trong cuộc khảo sát Điều này

là dễ hiểu vì mối đe doạ này có thể gây ra thiệt hại lớn về danh tiếng và tài chính Chúng có thể dẫn đến mất quyền sở hữu trí tuệ (Intellectual Property - IP) và các trách nhiệm pháp lý

Những điểm chính của CSA liên quan đến mối đe dọa vi phạm dữ liệu bao gồm:

 Những kẻ tấn công muốn có dữ liệu, vì vậy các doanh nghiệp cần xác định giá trị của dữ liệu và tác động của việc mất dữ liệu

 Ai có quyền truy cập vào dữ liệu là một câu hỏi quan trọng cần giải quyết để bảo vệ dữ liệu

 Dữ liệu có thể truy cập Internet dễ ảnh hưởng do cấu hình sai hoặc bị tấn công nhất

 Mã hóa có thể bảo vệ dữ liệu, nhưng phải đánh đổi hiệu suất và trải nghiệm người dùng

 Các doanh nghiệp cần có các kế hoạch ứng phó sự cố và đã được kiểm chứng, bao gồm liên quan đến các nhà cung cấp dịch vụ đám mây

4.2.2 Cấu hình sai và không kiểm soát thay đổi đầy đủ

Đây là một mối đe dọa mới trong danh sách của CSA và không có gì đáng ngạc nhiên khi có nhiều ví dụ về các doanh nghiệp vô tình để lộ dữ liệu qua đám mây

Ví dụ: CSA trích dẫn sự cố Exactis, trong đó nhà cung cấp để cơ sở dữ liệu

Elasticsearch chứa dữ liệu cá nhân của 230 triệu người tiêu dùng Hoa Kỳ có thể truy cập công khai do định cấu hình sai

Theo CSA, các công ty không chỉ phải lo lắng về việc mất dữ liệu mà còn phải quan tâm về việc xóa hoặc sửa đổi các tài nguyên được thực hiện với mục đích làm gián đoạn hoạt động kinh doanh Báo cáo cho rằng lỗi thuộc về các biện pháp kiểm soát thay đổi kém đối với hầu hết các lỗi cấu hình sai

Những điểm mấu chốt của CSA liên quan đến việc định cấu hình sai và không kiểm soát thay đổi đầy đủ bao gồm: Sự phức tạp của các tài nguyên dựa trên đám mây khiến việc cấu hình rất khó; Các biện pháp kiểm soát và quản lý thay đổi truyền thống khó có hiệu quả trên đám mây; Sử dụng các công cụ tự động hoá để quét liên tục để tìm các tài nguyên được định cấu hình sai

4.2.3 Thiếu chiến lược và kiến trúc bảo mật đám mây

Có một thực tế là các doanh nghiệp mong muốn giảm thiểu thời gian cần thiết để

di chuyển hệ thống và dữ liệu lên đám mây thường được ưu tiên hơn vấn đề bảo mật Kết quả là, công ty bắt đầu hoạt động trên đám mây bằng cách sử dụng cơ sở

hạ tầng và chiến lược bảo mật không được thiết kế cho nó Đây là một vấn đề lớn Những điểm mấu chốt của CSA liên quan đến việc thiếu kiến trúc và chiến lược bảo mật đám mây bao gồm: Kiến trúc bảo mật cần phải phù hợp với các mục đích

và mục tiêu kinh doanh; Phát triển và triển khai một khung kiến trúc bảo mật; Luôn cập nhật các mô hình về mối đe dọa; Triển khai công cụ giám sát liên tục

4.2.4 Quản lý danh tính, thông tin xác thực, quyền truy cập và quản lý khóa kém

Một mối đe dọa mới trong danh sách của CSA là quản lý và kiểm soát truy cập kém về dữ liệu, hệ thống và tài nguyên vật lý như phòng máy chủ và tòa nhà Báo cáo lưu ý rằng đám mây yêu cầu các tổ chức thay đổi các thông lệ liên quan đến quản lý danh tính và truy cập (IAM) Theo báo cáo, hậu quả của việc không làm như vậy có thể dẫn đến các sự cố và vi phạm an ninh do: Thông tin đăng nhập không được bảo vệ cẩn mật; Không thay đổi các khóa mật mã, mật khẩu và chứng chỉ định kỳ; Thiếu khả năng mở rộng; Không sử dụng xác thực đa yếu tố; Không

sử dụng mật khẩu mạnh

Những điểm mấu chốt của CSA liên quan đến việc không đủ danh tính, thông tin xác thực, quyền truy cập và quản lý khóa bao gồm:

 Bảo mật tài khoản, bao gồm cả việc sử dụng xác thực hai yếu tố