tiểu luân về Xác thực và ủy quyền trong hệ thống đám mây tham khảo thực hiên lab mô phỏng bằng cloud
Trang 1TRƯỜNG ĐẠI HỌC KINH TẾ KỸ THUẬT CÔNG
NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN
TIỂU LUẬN KẾT THÚC HỌC PHẦN
ĐỀ TÀI: XÁC THỰC VÀ ỦY QUYỀN TRONG HỆ
THỐNG ĐÁM MÂY
Giảng viên hướng dẫn : Đào Thụy Ánh
Sinh viên thực hiện: Lê Sơn Tùng Lớp: DHMT15A1HN
Mã sinh viên: 21103200021
HÀ NỘI – 4/2025
Trang 2Lời Cảm Ơn
Em xin kính gửi thầy Đào Thụy Ánh những lời cảm ơn chân thành nhất Trong quá trình thực hiện đề tài "Xác thực và ủy quyền trong hệ thống đám mây", thầy đã tận tình hướng dẫn, chia sẻ những kiến thức chuyên sâu và truyền đạt
sự nhiệt huyết đối với lĩnh vực Công nghệ Thông tin Nhờ sự hỗ trợ của thầy,
em không chỉ hoàn thành tốt các vấn đề liên quan đến xác thực và ủy quyền trong hệ thống đám mây mà còn hiểu rõ hơn về tầm quan trọng của những cơ chế này trong thực tiễn Điều đó đã giúp em củng cố thêm niềm đam mê và định hướng nghề nghiệp của mình
Em cũng xin bày tỏ lòng biết ơn sâu sắc đến Trường Đại học Kinh tế - Kỹ thuật Công nghiệp Hà Nội, đặc biệt là Khoa Công nghệ Thông tin cùng ngành Mạng máy tính và Truyền thông dữ liệu, vì đã tạo điều kiện cho sinh viên được tiếp cận với các đề tài thực tiễn và mang tính ứng dụng cao Đề tài "Xác thực và ủy quyền trong hệ thống đám mây" thực sự là một trải nghiệm học tập quý giá, giúp em khám phá những kiến thức mới và phát triển kỹ năng nghiên cứu của bản thân
Cuối cùng, em xin kính chúc thầy Đào Thụy Ánh luôn dồi dào sức khỏe, hạnh phúc và gặt hái nhiều thành công trong sự nghiệp giảng dạy Những lời dạy bảo
và sự tận tâm của thầy sẽ luôn là nguồn động lực lớn lao để em tiếp tục phấn đấu trong học tập và sự nghiệp phía trước
Sinh Viên
Lê Sơn Tùng
Trang 3Lời Mở Đầu 4 CHƯƠNG 1: XÁC THỰC VÀ ỦY QUYỀN TRONG HỆ THỐNG ĐÁM MÂY 6 1.1 KHÁI NIỆM VỀ XÁC THỰC VÀ ỦY QUYỀN 6 1.2 VAI TRÒ CỦA XÁC THỰC VÀ ỦY QUYỀN TRONG
BẢO MẬT HỆ THỐNG ĐÁM MÂY 7 1.3 CÁCH MÔ HÌNH XÁC THỰC PHỔ BIẾN 7 1.4 CÁCH CƠ CHẾ ỦY QUYỀN PHỔ BIẾN 7 CHƯƠNG 2: CÁC BƯỚC XÁC THỰC TẾ VÀ ỦY QUYỀN
TRONG HỆ THỐNG ĐÁM MÂY 8 2.1 QUY TRÌNH XÁC THỰC TRỰC HỆ THỐNG ĐÁM MÂY
8
2.2 QUY TRÌNH ỦY QUYỀN TRONG HỆ THỐNG ĐÁM
MÂY 9 CHƯƠNG 3: LAB MÔ PHỎNG XÁC THỰC VÀ ỦY QUYỀN TRONG HỆ THỐNG ĐÁM MÂY 10 3.1 THIẾT LẬP MÔI TRƯỜNG THỬ NGHIỆM 10 BƯỚC 1: LỰA CHỌN NỀN TẢNG & ĐĂNG KÝ GOOGLE CLOUD IAM 11 BƯỚC 2: TẠO TÀI KHOẢN NGƯỜI DÙNG TRONG
GOOGLE CLOUD IAM 11 BƯỚC 3: THIẾT LẬP CHÍNH SÁCH PHÂN QUYỀN
(RBAC, ABAC, PBAC) 13 BƯỚC 4: CHUẨN BỊ TÀI NGUYÊN THỬ NGHIỆM 19 BƯỚC 5: KIỂM TRA & XÁC MINH QUYỀN TRUY CẬP 21 KẾT LUẬN 25 TÀI LIỆU THAM KHẢO 26
Trang 4Tuy nhiên, song hành với những lợi ích đó, các vấn đề về bảo mật thông tin cũng ngày càng trở nên cấp thiết, đặc biệt là các cơ chế xác thực (Authentication) và ủy quyền (Authorization) Những cơ chế này đóng vai trò quan trọng trong việc kiểm soát truy cập, bảo vệ dữ liệu và ngăn chặn các nguy cơ tấn công mạng Nếu không có một hệ thống xác thực và ủy quyền chặt chẽ, các thông tin quan trọng có thể bị truy cập trái phép, dẫn đến hậu quả nghiêm trọng về an toàn dữ liệu
Xuất phát từ thực tiễn đó, nhóm nghiên cứu quyết định lựa chọn đề tài "Xác thực và
ủy quyền trong hệ thống đám mây" nhằm tìm hiểu, phân tích các phương pháp bảo mật phổ biến hiện nay và đề xuất giải pháp nâng cao hiệu quả bảo mật trong môi trường điện toán đám mây
2 Mục tiêu nghiên cứu
Mục tiêu chính của đề tài bao gồm:
• Tìm hiểu khái niệm về xác thực và ủy quyền, cũng như vai trò của chúng trong bảo mật hệ thống đám mây
• Phân tích các mô hình xác thực phổ biến như mật khẩu (Password-based
Authentication), sinh trắc học (Biometric Authentication), xác thực hai yếu tố (2FA - Two-Factor Authentication), xác thực đa yếu tố (MFA - Multi-Factor Authentication)
• Đánh giá các cơ chế ủy quyền hiện nay, bao gồm RBAC (Role-Based Access Control), ABAC (Attribute-Based Access Control), PBAC (Policy-Based Access Control) và so sánh sự khác biệt giữa chúng
• Xây dựng mô hình thử nghiệm áp dụng xác thực và ủy quyền vào hệ thống thực tế để kiểm tra mức độ hiệu quả và bảo mật
Trang 5• Đề xuất giải pháp cải thiện các phương pháp xác thực và ủy quyền nhằm nâng cao tính an toàn trong hệ thống đám mây
3 Phạm vi nghiên cứu
Do tính chất rộng lớn của lĩnh vực bảo mật trong điện toán đám mây, đề tài sẽ tập trung nghiên cứu các vấn đề liên quan đến xác thực và ủy quyền trong môi trường đám mây công cộng (Public Cloud) và đám mây lai (Hybrid Cloud) Các nghiên cứu
sẽ tập trung vào các nền tảng phổ biến như AWS, Google Cloud, Microsoft Azure, đồng thời xem xét các giao thức bảo mật đang được áp dụng trong thực tế
4 Phương pháp nghiên cứu
• Phương pháp nghiên cứu lý thuyết: Thu thập, tổng hợp và phân tích tài liệu từ các nguồn sách, báo khoa học, các nghiên cứu trước đây và tiêu chuẩn bảo mật hiện hành
• Phương pháp thực nghiệm: Xây dựng mô hình thử nghiệm để đánh giá hiệu quả của các phương pháp xác thực và ủy quyền
• Phương pháp phân tích - đánh giá: So sánh, đối chiếu các mô hình bảo mật để rút ra ưu điểm, nhược điểm và đề xuất giải pháp cải tiến
5 Ý nghĩa của đề tài
Việc nghiên cứu đề tài này không chỉ giúp làm rõ các khái niệm quan trọng trong bảo mật hệ thống đám mây mà còn mang lại giá trị thực tiễn cao đối với các tổ chức, doanh nghiệp đang triển khai nền tảng Cloud Computing Một hệ thống xác thực và
ủy quyền tốt sẽ giúp:
• Bảo vệ dữ liệu khỏi các truy cập trái phép và giảm thiểu rủi ro bị tấn công
• Tăng cường kiểm soát truy cập, giúp phân quyền hợp lý cho từng người dùng, hạn chế tình trạng rò rỉ thông tin nội bộ
• Nâng cao trải nghiệm người dùng, giúp đăng nhập an toàn mà vẫn đảm bảo tính thuận tiện
• Đáp ứng các tiêu chuẩn bảo mật, hỗ trợ doanh nghiệp tuân thủ các quy định như GDPR, HIPAA, ISO 27001
Trang 6CHƯƠNG 1: XÁC THỰC VÀ ỦY QUYỀN TRONG HỆ THỐNG
ĐÁM MÂY 1.1 KHÁI NIỆM VỀ XÁC THỰC VÀ ỦY QUYỀN
• Xác thực (Authentication): Là quá trình xác thực danh tính của người dùng, thiết
bị hoặc ứng dụng khi truy cập vào hệ thống đám mây Mục tiêu là đảm bảo rằng chỉ những đối tượng hợp lệ mới được phép truy cập
• Các phương thức xác thực phổ biến bao gồm:
o Mật khẩu (Xác thực dựa trên mật khẩu): Người dùng nhập thông tin đăng nhập như tài khoản tên và mật khẩu
o Sinh trắc học (Xác thực sinh trắc học): Sử dụng các đặc điểm sinh học như vân tay, khuôn mặt hoặc giọng nói để xác minh danh tính
o Xác thực hai yếu tố (2FA - Xác thực hai yếu tố): Kết hợp hai phương pháp độc lập, ví dụ: mật khẩu và mã OTP (Mật khẩu một lần) gửi qua điện thoại
o Xác thực đa yếu tố (MFA - Multi-Factor Authentication): Kết hợp nhiều yếu tố (mật khẩu, sinh trắc học, mã OTP, vv) để tăng cường bảo mật
• Ủy quyền (Authorization): Là trình cấp quyền truy cập vào tài nguyên cụ thể trong hệ thống sau khi danh tính được xác thực thành công Ủy quyền quyết định người dùng có thể làm gì trong hệ thống
• Một số mô hình ủy quyền phổ biến bao gồm:
o RBAC (Kiểm soát truy cập dựa trên vai trò) : Quyền truy cập được phân
bổ dựa trên vai trò của người dùng (ví dụ: quản trị viên, nhân viên)
o ABAC (Kiểm soát truy cập dựa trên thuộc tính) : Quyền truy cập được quyết định dựa trên thuộc tính của người dùng, tài nguyên hoặc môi trường (ví dụ: vị trí, thời gian)
o PBAC (Kiểm soát truy cập dựa trên chính sách) : Quyền truy cập được điều chỉnh bởi các công cụ bảo mật chính của hệ thống
Trang 71.2 VAI TRÒ CỦA XÁC THỰC VÀ ỦY QUYỀN TRONG BẢO MẬT HỆ THỐNG ĐÁM MÂY
• Đảm bảo chỉ những người dùng mới hợp lệ mới có thể truy cập vào hệ thống, ngăn chặn các cuộc tấn công của kẻ xâm nhập
• Giảm thiểu nguy cơ rò rỉ dữ liệu để truy cập trái phép bằng cách kiểm soát chặt chẽ tính năng và quyền hạn
• Tăng cường khả năng kiểm soát quyền truy cập, giúp tránh việc người dùng sử dụng quyền vượt quá phạm vi cho phép
• Hỗ trợ thủ công các tiêu chuẩn bảo mật quốc tế như GDPR (Quy định chung về bảo vệ dữ liệu), HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế) và ISO 27001 (Quản lý bảo mật thông tin)
1.3 CÁCH MÔ HÌNH XÁC THỰC PHỔ BIẾN
• Mật khẩu (Xác thực dựa trên mật khẩu) : Phương pháp đơn giản và phổ biến nhất, nhưng dễ bị tấn công qua các hình thức như mong đợi mật khẩu, lừa đảo hoặc vũ phu
• Sinh trắc học (Xác thực sinh trắc học) : Sử dụng các đặc điểm vật lý hoặc hành
vi độc nhất (vân tay, mống mắt, giọng nói) để xác minh, có độ chính xác cao nhưng chi phí phát triển khai lớn
• Xác thực hai yếu tố (2FA) : Kết hợp mật khẩu với một yếu tố bổ sung sung (như
mã OTP gửi qua SMS hoặc ứng dụng xác thực), tăng cường bảo mật đáng kể so với chỉ dùng mật khẩu
• Xác thực đa yếu tố (MFA) : Yêu cầu nhiều yếu tố độc lập (ví dụ: mật khẩu, vân tay và mã OTP), phù hợp cho các hệ thống yêu cầu bảo mật cao nhưng có thể gây bất tiện cho người dùng
1.4 CÁCH CƠ CHẾ ỦY QUYỀN PHỔ BIẾN
• RBAC (Kiểm soát truy cập dựa trên vai trò) : Quyền truy cập được phân công dựa trên vai trò của người dùng trong tổ chức Ví dụ: Quản trị viên có toàn quyền, nhưng nhân viên chỉ được truy cập dữ liệu cụ thể
Trang 8• ABAC (Kiểm soát truy cập dựa trên thuộc tính) : Quyền truy cập dựa trên các thuộc tính như vị trí công việc, truy cập thời gian hoặc loại dữ liệu, mang lại linh hoạt hơn RBAC
• PBAC (Kiểm soát truy cập dựa trên chính sách) : Quyền truy cập được điều chỉnh bởi các chính sách bảo mật được xác định trước, phù hợp với các hệ thống phức tạp và yêu cầu kiểm soát Chi tiết
CHƯƠNG 2: CÁC BƯỚC XÁC THỰC TẾ VÀ ỦY QUYỀN
TRONG HỆ THỐNG ĐÁM MÂY 2.1 QUY TRÌNH XÁC THỰC TRỰC HỆ THỐNG ĐÁM MÂY
Xác thực là bước đầu tiên trong quá trình bảo mật, đảm bảo rằng danh tính của người dùng được xác minh chính xác trước khi truy cập vào hệ thống đám mây
Quy trình này bao gồm các bước sau:
Bước 1: Nhập thông tin xác thực
Người dùng cung cấp thông tin đăng nhập theo yêu cầu của hệ thống, bao gồm:
• Tên tài khoản và mật khẩu (Password-based Authentication)
• Phương thức sinh trắc học như vân tay, nhận diện khuôn mặt (Biometric Authentication)
• Mã OTP hoặc phương thức xác thực hai yếu tố (2FA, MFA) tùy thuộc vào cấu hình bảo mật
Bước 2: Kiểm tra thông tin
Hệ thống tiến hành xác minh tính hợp lệ của thông tin đăng nhập bằng cách:
• Đối chiếu dữ liệu với cơ sở dữ liệu nội bộ
• Xác thực thông qua giao thức bảo mật như LDAP (Lightweight Directory Access Protocol), OAuth 2.0, hoặc OpenID Connect
• Kiểm tra hành vi đăng nhập, như địa chỉ IP, thiết bị sử dụng, vị trí địa lý để phát hiện hoạt động đáng ngờ
Bước 3: Phản hồi kết quả
Trang 9• Nếu thông tin hợp lệ: Hệ thống xác nhận danh tính và cấp quyền truy cập cho người dùng
• Nếu thông tin không hợp lệ: Hệ thống từ chối yêu cầu, hiển thị thông báo lỗi, yêu cầu nhập lại hoặc kích hoạt cơ chế bảo mật bổ sung như khóa tạm thời tài khoản để ngăn chặn hành vi đăng nhập trái phép
Quy trình này giúp đảm bảo rằng chỉ những người dùng hợp lệ mới có thể truy cập vào
hệ thống, góp phần bảo vệ dữ liệu và tài nguyên quan trọng trên nền tảng đám mây
2.2 QUY TRÌNH ỦY QUYỀN TRONG HỆ THỐNG ĐÁM MÂY
Sau khi xác thực thành công, quá trình ủy quyền được thực hiện nhằm xác định phạm
vi truy cập của người dùng trong hệ thống
Quy trình này bao gồm các bước sau:
Bước 1: Xác định thông tin người dùng
Hệ thống kiểm tra thông tin của người dùng đã được xác thực, bao gồm:
• Vai trò (Role): Người dùng thuộc nhóm nào (Quản trị viên, Nhân viên, Khách, v.v.)
• Thuộc tính (Attribute): Các thông tin đặc điểm của người dùng như phòng ban,
vị trí địa lý, thiết bị sử dụng
• Chính sách (Policy): Các quy tắc bảo mật áp dụng cho người dùng, được xác định trong hệ thống quản lý danh tính (Identity Management System)
Bước 2: Cấp quyền truy cập
Dựa trên mô hình ủy quyền được áp dụng, hệ thống gán quyền truy cập phù hợp:
• RBAC (Role-Based Access Control): Quyền truy cập được cấp dựa trên vai trò của người dùng
• ABAC (Attribute-Based Access Control): Quyền truy cập được xác định dựa trên các thuộc tính của người dùng
• PBAC (Policy-Based Access Control): Hệ thống kiểm tra chính sách bảo mật để cấp quyền truy cập theo điều kiện cụ thể
Ví dụ: Một người dùng có vai trò "Quản trị viên" có quyền truy cập toàn bộ hệ thống,
trong khi một "Nhân viên" chỉ có thể xem và chỉnh sửa dữ liệu trong phạm vi nhất định
Trang 10Bước 3: Thực thi quyền hạn và giám sát
• Sau khi quyền truy cập được cấp, người dùng có thể thực hiện các thao tác trong phạm vi được cho phép, chẳng hạn như đọc dữ liệu, tải tệp lên/xuống hoặc chỉnh sửa thông tin
• Hệ thống giám sát hoạt động của người dùng để đảm bảo tuân thủ chính sách bảo mật, phát hiện hành vi truy cập bất thường hoặc vi phạm quyền hạn
Quy trình này giúp kiểm soát chặt chẽ việc sử dụng tài nguyên trong hệ thống đám mây, ngăn chặn truy cập trái phép và đảm bảo an toàn dữ liệu
2.3 PHÂN TÍCH ƯU, NHƯỢC ĐIỂM CỦA CÁC MÔ HÌNH
Mô
hình
RBAC Quản lý dễ dàng, phù hợp với tổ
chức nhỏ và cấu trúc đơn giản
Thiếu linh hoạt, có thể cấp quyền dư thừa cho người dùng không cần
thiết
ABAC Linh hoạt, kiểm soát chi tiết dựa
trên nhiều thuộc tính như thời gian,
vị trí
Phức tạp trong việc thiết lập và quản lý do yêu cầu cấu hình thuộc
tính đa dạng
PBAC Mạnh mẽ, cho phép tùy chỉnh
quyền truy cập theo chính sách cụ
Cần thiết lập một môi trường đám mây thực tế sử dụng các nền tảng phổ biến như AWS IAM, Google Cloud IAM hoặc Azure Active Directory
Quy trình thiết lập được chia thành các bước cụ thể với tài nguyên cần thiết như sau:
1 Lựa chọn nền tảng & đăng ký Google Cloud IAM
2 Cài đặt tài khoản người dùng: Tạo User1 (Admin) và User2 (Nhân viên)
Trang 113 Thiết lập chính sách & phân quyền: Áp dụng mô hình RBAC, ABAC, PBAC
4 Chuẩn bị tài nguyên thử nghiệm: Tạo bucket trên Google Cloud Storage (GCS)
5 Kiểm tra & xác minh quyền truy cập
BƯỚC 1: LỰA CHỌN NỀN TẢNG & ĐĂNG KÝ GOOGLE CLOUD IAM
Lý do chọn Google Cloud IAM:
• Tích hợp mạnh mẽ với các dịch vụ đám mây của Google
• Quản lý truy cập tập trung cho toàn bộ Google Cloud Platform (GCP)
• Dễ sử dụng với giao diện Google Cloud Console
Yêu cầu:
• Tạo một tài khoản Google Cloud (nếu chưa có) tại: https://cloud.google.com
• Kích hoạt dịch vụ Google Cloud IAM trong Google Cloud Console
• Bật gói miễn phí (Free Tier) để thử nghiệm
Thực hiện:
1 Đăng nhập vào Google Cloud Console: https://console.cloud.google.com/
2 Kích hoạt Google Cloud IAM:
o Vào Navigation menu → Chọn IAM & Admin → Chọn IAM
3 Xác minh tài khoản bằng thẻ tín dụng (không bị trừ phí, chỉ để xác nhận)
BƯỚC 2: TẠO TÀI KHOẢN NGƯỜI DÙNG TRONG GOOGLE CLOUD IAM
Mục tiêu:
Tạo 2 tài khoản với quyền hạn khác nhau để mô phỏng xác thực và ủy quyền
Thực hiện:
1 Vào IAM & Admin → Chọn IAM
2 Tạo User1 (Admin):
o Nhấp vào Add → Nhập địa chỉ email tungle962003@gmail.com
o Chọn Role: Owner (Quyền Admin toàn hệ thống)
o Nhấp Save
Trang 123 Tạo User2 (Nhân viên):
o Nhấp vào Add → Nhập địa chỉ email tungcka3@gmail.com của User2
o Chọn Role: Viewer (Chỉ có quyền xem tài nguyên)
o Nhấp Save
Trang 13Kiểm tra:
• Đăng nhập với User1 và User2 để xác nhận quyền hạn đã được cấp
BƯỚC 3: THIẾT LẬP CHÍNH SÁCH PHÂN QUYỀN (RBAC, ABAC, PBAC)
1 Mô hình RBAC (Role-Based Access Control)
Mục tiêu:
• User1 (Admin) có toàn quyền
