NGHIÊN CỨU VỀ BIỆN PHÁP AN NINH CHO ỨNG DỤNG ĐIỆN TOÁN ĐÁM MÂY SAAS Chương 1: Trình bày khái quát về điện toán đám mây, mô hình điện toán đám mây SaaS (tính chất, đặc điểm, thành phần và các dạng triển khai) và vai trò vấn đề an ninh trong môi trường ứng dụng SaaS. Chương 2: Nghiên cứu các nhóm nguy cơ mất an ninh đối với mô hình đám mây SaaS, đưa ra những giải pháp tương ứng để giải quyết vấn đề an ninh nói trên. Chương 3: Áp dụng một trong số những giải pháp trên để kiểm thử vấn đề an ninh khi triển khai mô hình SaaS cho cơ sở chính là trường Đại học PCCC tại tỉnh Hà Nam.
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS Nguyễn Trung Kiên
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3LỜINÓIĐẦU Với sự phát triển nhanh chóng của hệ thống mạng Internet trên thế giới, cùng với nhu cầu của con người ngày càng cao các dịch vụ cho thuê phần mềm qua mạng (Software as a Service, viết tắt là SaaS) dần dần thay thế cho mô hình bán phần mềm
cổ điển Ngày nay, Phần mềm như một dịch vụ SaaS được biết đến như mô hình dịch
vụ Công nghệ Thông tin đang ngày càng được sử dụng rộng rãi trên thế giới vì lợi thế
về chi phí và đáp ứng đầy đủ và nhanh chóng đối với nhu cầu của doanh nghiệp Tuy nhiên, mô hình SaaS cũng tiềm ẩn nhiều rủi ro trong vấn đề an ninh
An ninh cho SaaS được coi như vấn đề quan tâm hàng đầu không chỉ với nhà cung cấp dịch vụ mà với cả những người sử dụng dịch vụ SaaS Việc áp dụng các biện pháp an ninh vào thực tiễn có thể giúp các nhà cung cấp SaaS thuyết phục các doanh nghiệp và khách hàng sử dụng tin tưởng vào sự an ninh của mình
Bản thân hiện đang công tác tại trường Đại học Phòng cháy chữa cháy, và trong tương lai gần, nhà trường sẽ tách ra thành các cơ sở giảng dạy ở 03 địa điểm là tỉnh Hà Nam, tỉnh Hòa Bình và tỉnh Đồng Nai Trên cơ sở đó, đề tài tìm hiểu về những biện pháp an ninh cho dịch vụ SaaS nhằm đề xuất, tham mưu cho lãnh đạo nhà trường xây dựng, hoặc sử dụng một số dịch vụ SaaS thông qua nhà cung cấp SaaS, nhằm phục vụ công tác giảng dạy cũng như nghiên cứu của cán bộ, giáo viên trong nhà trường được thuận lợi hơn
Mục tiêu của đề tài này tập trung vào nghiên cứu những thách thức an ninh trong triển khai mô hình dịch vụ SaaS và các giải pháp phòng ngừa, giảm thiểu rủi ro
để phù hợp với những thách thức đó Qua đó, đề xuất với lãnh đạo nhà trường ứng dụng mô hình SaaS vào các mặt công tác, giảng dạy và học tập trong nhà trường Với mục tiêu đặt ra như vậy, những nội dung và kết quả nghiên cứu chính của luận văn sẽ:
- Cung cấp cái nhìn tổng thể về ĐTĐM, những lợi ích, ưu nhược điểm của ĐTĐM
- Nghiên cứu mô hình dịch vụ SaaS trong công nghệ ĐTĐM để từ đó đề xuất
mô hình triển khai đám mây riêng SaaS tại trường Đại học PCCC
Trang 4- Xác định những thách thức an ninh và giải pháp cho những thách thức đó cho
mô hình SaaS khi triển khải tại tại trường Đại học PCCC
Những nội dung chính của luận văn được trình bày trong ba chương như sau: Chương 1: Trình bày khái quát về điện toán đám mây, mô hình điện toán đám mây SaaS (tính chất, đặc điểm, thành phần và các dạng triển khai) và vai trò vấn đề
an ninh trong môi trường ứng dụng SaaS
Chương 2: Nghiên cứu các nhóm nguy cơ mất an ninh đối với mô hình đám mây SaaS, đưa ra những giải pháp tương ứng để giải quyết vấn đề an ninh nói trên
Chương 3: Áp dụng một trong số những giải pháp trên để kiểm thử vấn đề an ninh khi triển khai mô hình SaaS cho cơ sở chính là trường Đại học PCCC tại tỉnh Hà Nam
Phần kết luận đưa ra những đánh giá về những kết quả đạt được và thảo luận
về hướng nghiên cứu tiếp của luận văn
CHƯƠNG 1 NGHIÊN CỨU TỔNG QUAN VỀ SAAS TRONG MÔ HÌNH
ĐIỆN TOÁN ĐÁM MÂY 1.1 Tổng quan về điện toán đám mây
Điện toán đám mây là một giải pháp trong đó tất cả các tài nguyên điện toán (phần cứng, phần mềm, mạng, lưu trữ, v.v) được cung cấp nhanh chóng, dễ dàng, ít tốn kém nhất Điện toán đám mây sử dụng công nghệ Ảo hóa, các dịch vụ cho thuê
cơ sở hạ tầng, hệ điều hành, ứng dụng người dùng cuối có thể quản trị dễ dàng bởi người dùng cuối Yếu tố chính cho các giải pháp này là chúng sở hữu khả năng điều chỉnh tăng và giảm, để cho người dùng có được những tài nguyên mà họ cần: không nhiều hơn và không ít hơn (tối ưu)
Theo Wikipedia:
“Điện toán đám mây là một mô hình điện toán có khả năng co giãn (scalable) linh động và các tài nguyên thường được ảo hóa được cung cấp như một dịch vụ trên mạng Internet”
Trang 5Theo Viện quốc gia về Tiêu chuẩn và Công nghệ Mỹ (NIST - National Institute of Standards and Technology):
“Điện toán đám mây là một mô hình cho phép ở một vị trí thuận tiện, khách hàng có thể truy cập mạng theo yêu cầu và được chia sẻ tài nguyên máy tính (mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) được nhanh chóng từ nhà cung cấp và cung cấp sự quản lý tối thiểu hoặc tương tác được ở mức dịch vụ Mô hình điện toán đám mây này bao gồm 5 đặc điểm, 3 mô hình dịch vụ, và 4 mô hình triển khai.”
1.1.1 Các đặc điểm của Điện toán đám mây
1.1.1.1 Tự phục vụ theo nhu cầu (On-Demand Self-Rervice):
Một người dùng có thể tự tính toán khả năng dự phòng của mình, chẳng hạn như lưu trữ mạng, bởi vì khi cần thiết sẽ tự động thực hiện mà không cần sự tương tác của con người đối với mỗi nhà cung cấp dịch vụ
1.1.1.2 Truy xuất diện rộng (Broad Network Access)
Khả năng sẵn có trên mạng và truy cập thông qua các cơ chế tiêu chuẩn khuyến khích sử dụng bởi các nền tảng thiết bị đầu cuối không đồng nhất như điện thoại di động, máy tính bảng, máy tính xách tay, và máy trạm
1.1.1.3 Dùng chung tài nguyên (Resource Pooling)
Tài nguyên tính toán của nhà cung cấp được gộp lại để phục vụ cho nhiều người dùng sử dụng một mô hình nhiều người thuê, với nguồn tài nguyên vật lý và ảo khác nhau được tự động phân công và bố trí theo nhu cầu của người dùng Nguồn tài nguyên này là độc lập với người sử dụng thông thường
1.1.1.4 Khả năng co giãn (Rapid Elasticity)
Khả năng co giãn có thể được cung cấp và phát hành một cách linh hoạt, tự động trong một số trường hợp, mở rộng nhanh chóng ra ngoài và bên trong tương xứng với nhu cầu Khả năng sẵn có, cho phép cung cấp không giới hạn và có thể được khai thác với bất kỳ số lượng nào tới người sử dụng
1.1.1.5 Điều tiết dịch vụ (Measured Service)
Hệ thống điện toán đám mây tự động kiểm soát và tối ưu hóa sử dụng tài nguyên bằng cách tận dụng một khả năng điều tiết tại một số mức độ phù hợp với
Trang 6loại hình dịch vụ Tài nguyên được sử dụng có thể được theo dõi, kiểm soát và báo cáo, cung cấp sự minh bạch cho cả nhà cung cấp và người sử dụng của các dịch vụ 1.1.2 Mô hình dịch vụ của Điện toán đám mây
1.1.2.1 Phần mềm như một dịch vụ (SaaS)
Khả năng cung cấp cho người sử dụng các ứng dụng của nhà cung cấp đang chạy trên một cơ sở hạ tầng đám mây Các ứng dụng có thể truy cập từ các thiết bị khác nhau của người sử dụng hoặc thông qua một giao diện khách hàng hoặc một giao diện chương trình phần mềm
1.1.2.2 Nền tảng như một dịch vụ ( PaaS )
Khả năng cung cấp cho người sử dụng để triển khai cho cơ sở hạ tầng điện toán đám mây người sử dụng tạo ra hoặc mua lại các ứng dụng được tạo ra sử dụng các ngôn ngữ lập trình, thư viện, dịch vụ, và các công cụ hỗ trợ của nhà cung cấp
1.1.2.3 Cơ sở hạ tầng như một dịch vụ (IaaS)
Khả năng cung cấp cho người sử dụng khả năng cung cấp, lưu trữ, mạng, và tài nguyên máy tính cơ bản khác, nơi mà người sử dụng có thể triển khai và chạy bất kỳ phần mềm nào, có thể bao gồm các hệ điều hành và các ứng dụng
1.1.3 Mô hình phát triển của Điện toán đám mây
1.1.3.1 Đám mây riêng (Private Cloud)
Cơ sở hạ tầng đám mây được cung cấp để sử dụng độc quyền bởi một tổ chức bao gồm nhiều người sử dụng (ví dụ: các đơn vị kinh doanh) Nó có thể được sở hữu, quản lý và hoạt động bởi tổ chức, một bên thứ ba, hoặc một số sự kết hợp của họ, và
nó có thể tồn tại ở bên trong hoặc bên ngoài tổ chức, doanh nghiệp
1.1.3.2 Đám mây công cộng (Public Cloud)
Cơ sở hạ tầng đám mây được cung cấp mở rộng cho người sử dụng chung công cộng Nó có thể được sở hữu, quản lý và điều hành bởi một doanh nghiệp, tổ chức chính phủ, hoặc một số sự kết hợp của họ Nó tồn tại trên phía của các nhà cung cấp mây
1.1.3.3 Đám mây hỗn hợp (Hybrid Cloud)
Trang 7Cơ sở hạ tầng điện toán đám mây là một thành phần của hai hoặc nhiều cơ sở
hạ tầng điện toán đám mây khác nhau (tư nhân, cộng đồng, hoặc công cộng) mà vẫn tồn tại như một thực thể duy nhất, nhưng bị ràng buộc với nhau bởi công nghệ tiêu chuẩn hoặc công nghệ độc quyền cho phép ứng dụng dữ liệu và tính di động
1.1.3.4 Đám mây cộng đồng (Community Cloud)
Cơ sở hạ tầng điện toán đám mây được cung cấp để sử dụng độc quyền bởi một cộng đồng cụ thể của người sử dụng từ các tổ chức chia sẻ mối quan tâm (ví dụ: nhiệm vụ, yêu cầu bảo mật, chính sách và cân nhắc tuân thủ)
1.2 Nghiên cứu về dạng điện toán đám mây SaaS
1.2.1 Khái niệm SaaS
SaaS cung cấp các ứng dụng hoàn chỉnh như một dịch vụ theo yêu cầu cho nhiều khách hàng thông qua Internet Trong SaaS cần một server đóng vai trò hosting quản lý ứng dụng Server này có thể là một “Cloud” hoặc một “Mainframe” Người dùng truy xuất ứng dụng này thông qua trình duyệt web SaaS cho phép khách hàng
có thể sử dụng một ứng dụng trên cơ sở “chỉ trả tiền cái bạn dùng” (pay-as-you-go)
và loại bỏ sự bắt buộc phải cài đặt và chạy các ứng dụng trên phần cứng riêng của khách hàng Khách hàng chỉ cần truy cập vào các ứng dụng thông qua một trình duyệt Web thông qua Internet SaaS được sử dụng như là các thuê bao và tất cả đều được hỗ trợ, bảo trì và nâng cấp bởi các nhà cung cấp SaaS
1.2.2 Lịch sử hình thành mô hình SaaS
Trước khi mô hình SaaS xuất hiện, chúng ta đã từng nghe nói tới mô hình nhà cung cấp dịch vụ phần mềm (Application Service Provider - ASP) ASP được định nghĩa là nhà cung cấp dịch vụ cho thuê ứng dụng (phần mềm), giúp khách hàng loại
bỏ đáng kể các chi phí liên quan đến việc mua và tự bảo dưỡng các ứng dụng
1.2.3 Những mô hình triển khai đám mây SaaS
1.2.3.1 Đám mây riêng (Private Cloud)
On site Private Cloud: Doanh nghiệp hay tổ chức tự triển khai dịch vụ đám mây riêng SaaS dựa trên căn cứ theo nhu cầu của doanh nghiệp, tổ chức mà có thể tự
Trang 8thiết lập cơ sở hạ tầng, dịch vụ cho đám mây để phục cho các client bên trong đám mây
Outsource Private Cloud: Đây là bước phát triển tiếp theo của mô hình On Site Private Cloud với việc người sử dụng truy cập vào tài nguyên đám mây từ bên ngoài vành đai đám mây
Doanh nghiệp có sử dụng dịch vụ đám mây của nhà cung cấp dịch vụ đám mây (Cloud Service Provider, gọi tắt là CSP)
1.2.3.2 Đám mây cộng đồng (Community Cloud)
On-site Community Cloud: Các doanh nghiệp vừa cung cấp dịch vụ đám mây và sử dụng dịch vụ đám mây của doanh nghiệp khác
Outsourced Community Cloud: Mô hình này là sự kết hợp của On-site Community Cloud và Outsource Private Cloud CSP hỗ trợ On-site Private Cloud cho các doanh nghiệp
1.2.3.3 Đám mây công cộng (Public Cloud)
Doanh nghiệp sử dụng hoàn toàn dịch vụ đám mây của CSP
1.3 Vai trò của vấn đề an ninh trong triển khai cung cấp dịch vụ SaaS
An ninh trong môi trường đám mây có thể nói là chính là an ninh thông thường cộng với an ninh đặc thù của điện toán đám mây An ninh trong triển khai mô hình cung cấp dịch vụ SaaS là an ninh phụ thuộc vào kiến trúc của mô hình triển khai SaaS và các lĩnh vực liên quan khác nhau trong đó bao gồm: An ninh và Tính riêng tư; Sự tuân thủ quy định; Pháp lý hoặc Hợp đồng ràng buộc Một phần trong việc quản lý kiến trúc khi sử dụng dịch vụ đám mây SaaS là xuất hiện những vấn đề nảy sinh như là: quản trị CNTT nội bộ; quản lý rủi ro
Ngoài vấn đề về kiến trúc ra, một loạt các lĩnh vực khác phải quan tâm như:
- Lĩnh vực về quản lý và những chỉ dẫn thực hiện: Quản lý rủi ro của doanh nghiệp; Quản lý liên quan tới việc để lộ về điện tử và pháp lý; Quản lý sự tuân thủ và kiểm toán; Quản lý vòng đời thông tin - dữ liệu từ khi tạo cho tới khi xóa; Tính khả chuyển và tính tương hợp mà chỉ có thể giải quyết được bằng các chuẩn mở
Trang 9- Lĩnh vực hoạt động và những chỉ dẫn thực hiện: An ninh truyền thống; tính liên tục; phục hồi thảm họa; vận hành trung tâm dữ liệu; phản ứng, thông báo, xử lý tình huống; an ninh ứng dụng; mã hóa và quản lý khóa; nhận dạng và quản lý truy cập; ảo hóa
1.4 Kết luận chương
Kết thúc chương, luận văn đã cung cấp cái nhìn tổng thể về điện toán đám mây, những lợi ích, ưu nhược điểm và mô hình triển khai cũng cách thức hoạt động của điện toán đám mây Mô hình SaaS trong công nghệ điện toán đám mây cung cấp,
hỗ trợ người dùng trong công việc, học tập nghiên cứu, chiến lược kinh doanh là rất cần thiết Tuy nhiên, mô hình SaaS cũng tồn tại những thách thức an ninh của riêng
nó
CHƯƠNG 2 NGHIÊN CỨU VẤN ĐỀ BẢO MẬT CHO SAAS
Trong môi trường Internet hay nội bộ, hệ thống phần mềm truyền thống hay điện toán đám mây, vấn đề an ninh cốt lõi vẫn là bảo vệ thông tin Trong đám mây SaaS, thông tin được lưu ở nhiều nơi, có thể lưu ở trung tâm dữ liệu hoặc ở đâu đó trong “đám mây” Framework an ninh X805 của ITU là một công cụ tốt được rất nhiều tổ chức sử dụng để phân tích các nguy cơ và đưa ra giải pháp bảo vệ cho các hệ thống hay giải pháp mạng, trong chương 2 này, học viên sẽ phân tích nguy cơ mất an toàn bảo mật theo Framework anh ninh X.805 cho mô hình On Site Private Cloud SaaS đã đưa ra trong Chương I
2.1 Một số vấn đề an ninh đối với SaaS
2.1.1 Khi triển khai mô hình SaaS
Các thách thức an ninh SaaS có sự khác nhau tùy thuộc vào mô hình triển khai được sử dụng bởi các nhà cung cấp SaaS, các nhà cung cấp có thể chọn để triển khai các giải pháp, hoặc bằng cách sử dụng một nhà cung cấp đám mây công cộng hoặc tự lưu trữ Các nhà cung cấp đám mây công cộng chuyên dụng như Amazon giúp đỡ xây dựng các giải pháp SaaS an toàn bằng cách cung cấp các dịch vụ cơ sở hạ tầng
mà hỗ trợ trong việc bảo đảm môi trường và vành đai an ninh
Trang 102.1.2 An ninh dữ liệu
Trong một mô hình triển khai ứng dụng truyền thống trước đây, dữ liệu nhạy cảm của từng doanh nghiệp được cư trú trong phạm vi ranh giới doanh nghiệp và nó được bảo đảm về cả mặt vật lý, logic và nhân viên và các chính sách kiểm soát truy cập Tuy nhiên, trong mô hình SaaS, dữ liệu doanh nghiệp được lưu trữ bên ngoài ranh giới doanh nghiệp, tại các nhà cung cấp SaaS đầu cuối
2.1.3 An ninh mạng
Trong một mô hình triển khai SaaS, dữ liệu nhạy cảm được thu được từ các doanh nghiệp, xử lý bởi các ứng dụng SaaS và được lưu trữ ở cuối nhà cung cấp SaaS
2.1.4 Tách biệt dữ liệu
Trong một kiến trúc SaaS hoàn thiện nhiều người thuê, các trường hợp ứng dụng và lưu trữ dữ liệu có thể được chia sẻ giữa các doanh nghiệp Điều này cho phép nhà cung cấp SaaS khiến cho việc sử dụng các nguồn tài nguyên hiệu quả hơn và giúp đạt được chi phí thấp hơn Song cần phải áp dụng kiểm tra an ninh đầy đủ để đảm bảo an ninh dữ liệu và ngăn chặn truy cập dữ liệu trái phép từ một người thuê bởi những người sử dụng từ người thuê khác
2.1.5 Tiêu chuẩn cho điện toán đám mây còn yếu
SAS 70 là một tiêu chuẩn kiểm toán được thiết kế để các nhà cung cấp dịch vụ
có đủ quyền kiểm soát dữ liệu Song vấn đề ở chỗ là tiêu chuẩn này không được tạo
ra để áp dụng đối với điện toán đám mây, nhưng nó lại trở thành tiêu chuẩn duy nhất trong tiêu trong trường hợp không có tiêu chuẩn dành riêng cho điện toán đám mây
Tốt hơn so với SAS 70 là tiêu chuẩn ISO 27001, một tiêu chuẩn kỹ thuật bảo mật thông tin được công bố bởi Tổ chức tiêu chuẩn quốc tế ở Thụy Sĩ Tiêu chuẩn ISO 27001 là một tiêu chuẩn khá toàn diện bao gồm rất nhiều khía cạnh hoạt động bảo mật mà khách hàng có thể quan tâm
2.1.6 Vấn đề về bí mật thông tin
Trang 11Khi doanh nghiệp, tổ chức muốn sử dụng dịch vụ đám mây, điều khiến họ trăn trở là những thông tin nhạy cảm của mình liệu có được giữ bí mật khi mà chúng được lưu trữ và quản lý bởi các quản trị viên của các nhà cung cấp điện toán đám mây 2.1.7 Dễ dàng truy cập nhưng tăng rủi ro
Một lợi ích chính của phần mềm như một dịch vụ là các ứng dụng kinh doanh
có thể được truy cập bất cứ nơi nào có kết nối Internet, song nó cũng đặt ra những rủi
ro mới Cùng với sự gia tăng của máy tính xách tay và điện thoại thông minh, SaaS làm cho nó thậm chí còn quan trọng hơn cho các cửa hàng CNTT để đảm bảo thiết bị đầu cuối
2.1.8 Khách hàng không biết nơi lưu trữ dữ liệu của mình
Thông thường mỗi quốc gia đều có các luật quản lý an ninh thông tin riêng của mình để giữ cho dữ liệu nhạy cảm trong nước Mặc dù việc giữ dữ liệu bên trong biên giới của quốc gia có vẻ như một nhiệm vụ tương đối đơn giản, song các nhà cung cấp điện toán đám mây thường sẽ không đảm bảo điều đó
2.2 Phân loại các nguy cơ chính về an ninh đối với SaaS Theo kiến trúc an ninh X.805 thì những mối nguy hại về an ninh bảo mật thông tin do tình cờ hay cố ý được phân loại thành 5 nhóm nguy cơ chính Chúng ta sẽ xem xét từng nguy cơ được trình bày dưới đây
2.2.1 Nhóm nguy cơ đánh cắp thông tin
Việc các doanh nghiệp, tổ chức hay cá nhân chuyển sang sử dụng công nghệ đám mây (đám mây công cộng hay với đám mây riêng) thì nguy cơ bị mất thông tin đều có thể xẩy ra Với mô hình đám mây công cộng thì việc bị đánh cắp thông tin của
cá nhân, doanh nghiệp, tổ chức có nguy cơ rất cao bởi đám mây này hoạt động trong môi trường Internet Nơi mà thông tin rất dẽ bị đánh cắp khi chúng được truyền đi giữa các máy chủ trong đám mây Đối với mô hình đám mây riêng, mặc dù không hoạt động trong môi trường Internet, nhưng vẫn còn đó nhưng mối nguy như bị cài virus, Trojan…bởi mối nguy về con người trong nội bộ hệ thống CNTT của doanh nghiệp, tổ chức
2.2.2 Nhóm nguy cơ về sửa đổi làm sai lệch thông tin
Trang 12Trong môi trường Internet, thông tin di chuyển trong đám mây SaaS công cộng rất dễ bị Hacker sử dụng các kiểu tấn công Man in the midle, Packet sniffing… để nghe lén tài khoản và mật mã người dùng, sau đó dùng những thông tin đó truy cập vào cơ sở dữ liệu rồi tiến hành sửa đổi và giả mạo thông tin để có lợi cho mình hoặc gây tổn thất cho doanh nghiệp Còn trong mô hình triển khai đám mây SaaS riêng thì nguy cơ này rất hiếm khi xảy ra, bởi các Client là ở bên trong đám mây, những truy cập này chịu sự ảnh hưởng của các chính sách, quy trình an ninh bảo mật
2.2.3 Nhóm nguy cơ về phá hủy thông tin
Trong môi trường đám mây SaaS thì nguy cơ này ít có khả năng xảy ra, song không có nghĩa là không có Nội bộ nhân viên quản trị hệ thống, mối rủi ro xuất phát
từ nội bộ nhân viên quản trị thường cao hơn và mức độ nguy hiểm hơn nhiều so với việc một người dùng cố ý đưa virus hay malware vào để phá hủy dữ liệu của trung tâm dữ liệu
2.2.4 Nhóm nguy cơ về phát tán thông tin
Bản thân các nhà cung cấp SaaS khi cung cấp các phần mềm đều đã qua những cuộc kiểm tra chất lượng, tìm lỗi, lỗ hổng an ninh trong phần mềm và hệ thống của mình cung cấp Hoặc các nhà cung cấp SaaS có thể hợp tác với bên thứ 3 chuyên kiểm thử tìm ra lỗi bảo mật trong các hệ thống phần mềm Nguy cơ chính ở đây là liệu những người tìm ra được những lỗi bảo mật đó có thông báo cho nhà cung cấp SaaS biết hay không mà giữ lại để sử dụng có lợi cho bản thân
2.2.5 Nhóm nguy cơ về làm gián đoạn dịch vụ
Trong môi trường SaaS, tấn công từ chối dịch vụ sẽ gây khó khăn không chỉ cho các nhà cung cấp dịch vụ SaaS mà cả đối với người dùng, doanh nghiệp, nó làm cho mọi hoạt động của các phía liên quan bị ảnh hưởng, gây thiệt hại nặng về kinh tế, chính trị, ảnh hưởng uy tín của nhà cung cấp
2.3 Nghiên cứu các biện pháp an ninh cho ứng dụng SaaS
Áp dụng Kiến trúc an ninh X.805 cho hệ thống SaaS như đã phân tích các nguy
cơ chính ở mục 2.2 và an ninh theo những đặc trưng của mô hình SaaS Theo bảng
Trang 132-1 dưới đây sẽ đưa ra mối quan hệ giữa các biện pháp an ninh kiến trúc và nguy cơ an ninh
Bảng 2-1: Mối quan hệ giữa các nguy cơ và giải pháp an ninh
Phá hủy thông tin
Lỗ hổng
an ninh
Từ chối dịch vụ Kiểm soát truy
2.3.1 Kiến trúc an ninh SaaS
2.3.1.1 Kiểm soát truy cập (Access Control)
Phương pháp này bảo vệ chống sử dụng trái phép tài nguyên mạng Kiểm soát truy cập đảm bảo nhân viên hoặc các thiết bị chỉ có thẩm quyền mới được phép truy cập vào mạng, thông tin được lưu trữ, truyền thông tin, dịch vụ và các ứng dụng
Một số cơ chế phổ biến để thực hiện biện pháp này đó là: Sử dụng mật khẩu,
sử dụng danh sách điều khiển truy nhập (ACL), tiêu chuẩn Ngôn ngữ đánh dấu có xác nhận an toàn bảo mật (SAML)
2.3.1.2 Xác thực người sử dụng (Authentication)
Phương pháp này phục vụ để xác nhận danh tính những người sử dụng khi truy cập vào đám mây SaaS Nó đảm bảo xác thực tính hợp lệ các danh tính của các đối
