KNghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước

Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước”, luận văn đi sâu nghiên cứu tìm hiểu: Tìn

ĐẠI HỌC QUỐC GIA HÀ NỘI

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẶNG THỊ THÙY TRANG

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƯỚC

Ngành: Công nghệ thông tin

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số:

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS LÊ QUANG MINH

Hà Nội - 2014

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn với đề tài: “Nghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước” hoàn toàn là kết quả

nghiên cứu của chính bản thân tôi và chưa được công bố trong bất cứ một công trình nghiên cứu nào của người khác Trong quá trình thực hiện luận văn, tôi đã thực hiện nghiêm túc các quy tắc đạo đức nghiên cứu; các kết quả trình bày trong luận văn là sản phẩm nghiên cứu, khảo sát của riêng cá nhân tôi; tất cả các tài liệu tham khảo sử dụng trong luận văn đều được trích dẫn tường minh, theo đúng quy định

Tôi xin hoàn toàn chịu trách nhiệm về tính trung thực của số liệu và các nội dung khác trong luận văn của mình./

Hà Nội, ngày 10 tháng 06 năm 2014

Tên tác giả

Đặng Thị Thùy Trang

MỤC LỤC

LỜI CAM ĐOAN 2

MỤC LỤC 3

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 6

DANH MỤC CÁC BẢNG 7

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 8

MỞ ĐẦU 9

Chương 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM 11

1.1.Trọng tâm ứng dụng CNTT 2011-2015 11

1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại Việt Nam 11

1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay 11

1.2.1.1.Mạng LAN kết nối Internet 11

1.2.1.2.Các loại người sử dụng và phân quyền truy cập 12

1.2.2.Yêu cầu thực tế 13

1.2.3.Vấn đề thực tiễn 13

1.2.4.Các quy định của các cơ quan nhà nước 14

1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối Internet tại Việt Nam 14

1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu 14

1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng 15

1.3.2.1.Thất thoát thông tin: Wikileak 15

1.3.2.2.Mã độc lây lan như bom nổ chậm 15

1.3.3.Tình hình tại Việt Nam 15

1.3.4.Nguyên nhân 16

1.3.4.1.Năng lực kỹ thuật 16

1.3.4.2.Đầu tư thiếu đồng bộ 16

1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế 16

1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam 17

Chương 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HÓA ĐỂ ĐẢM BẢO AN TOÀN THÔNG TIN 18

2.1 Giới thiệu về ảo hóa 18

2.1.1 Ảo hóa và những vấn đề liên quan 18

2.1.1.1 Ảo hóa là gì? 18

2.1.1.2 Lợi ích của ảo hóa 19

2.1.1.3 Quá trình phát triển và các xu thế hiện nay trên thế giới 20

2.1.2 Phân loại ảo hóa 21

2.1.2.1 Network Virtualization (Ảo hóa hệ thống mạng) 21

2.1.2.2 Storage Virtualization (Ảo hóa hệ thống lưu trữ) 23

2.1.2.3 Application Virtualization (Ảo hóa ứng dụng) 25

2.1.2.4 Server Virtualization (Ảo hóa hệ thống máy chủ) 27

2.2 Các công nghệ hỗ trợ ảo hóa 29

2.2.1 Công nghệ máy ảo 29

2.2.2 Công nghệ Raid 30

2.2.2.1 Khái niệm Raid 30

2.2.2.2 Lịch sử ra đời và phát triển của Raid 31

2.2.2.3 Các chuẩn Raid 31

2.2.2.4 Các loại Raid 32

2.2.3 Công nghệ lưu trữ mạng Sans 35

2.2.4 Công nghệ High Availability 35

2.2.4.1 Yêu cầu của Vmware High Availability 36

2.2.4.2 Ưu điểm của High Availability 36

2.2.4.3 Hạn chế của High Availability 37

2.3 Công nghệ ảo hóa ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi trong mạng LAN 37

2.3.1 Ảo hóa ứng dụng 37

2.3.2 Lợi ích ảo hóa ứng dụng 38

2.3.3 Ảo hóa ứng dụng trong mô hình Thin Client Architecture 37

Chương 3: TÌM HIỂU CÔNG NGHỆ THIN CLIENT VÀ GIAO THỨC REMOTE DESKTOP PROTOCOL 38

3.1 Giới thiệu về thin clients 40

3.1.1 Khái niệm thin clients 40

3.1.2 Đặc điểm của thin client 40

3.1.3 Tiêu chuẩn cho các kiến trúc thin client 40

3.1.3.1 Tổng quan về kiến trúc thin client 42

3.1.3.2 Ứng dụng kiến trúc thin client 43

3.1.3.3 Thin client 44

3.1.3.4 Fat server 45

3.2 Các công nghệ thin client 46

3.2.1 Các công nghệ trình diễn phân tán 47

3.2.1.1 Kiến trúc tính toán độc lập (ICA) 47

3.2.1.2 Giao thức RDP (Remote Desktop Protocol) 49

3.2.1.3 X Windows 50

3.2.1.4 Tổng kết các công nghệ trình diễn phân tán 51

3.2.2 Các công nghệ trình diễn từ xa 53

3.2.2.1 Các công nghệ dựa trên trình duyệt (browser) 53

3.2.2.2 Khung làm việc thin-client của IBM (TCF-Thin-Client Framework) 54

3.2.2.3 Tổng kết các công nghệ trình diễn từ xa 56

3.3 Giao thức hiển thị từ xa Remote Desktop Protocol (RDP) 57

3.3.1 Giới thiệu Remote Desktop Protocol (RDP) 57

3.3.2 Cơ chế làm việc của giao thức RDP 57

3.3.2.1 Connection Initiation 57

3.3.2.2 Basic Settings Exchange 58

3.3.2.3 Channel Connection 59

3.3.2.4 RDP Sercurity Commencement 59

3.3.2.5 Secury Settings Exchange 59

3.3.2.6 Licensing 59

3.3.2.7 Capabilities Negotiation 60

3.3.2.8 Connection Finalization 60

Chương 4: MÔ HÌNH MẠNG LAN TRONG GIẢI PHÁP V-AZUR BẢO VỆ AN NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM VIỆC TỪ XA QUA INTERNET 61

4.1.Phân chia mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn 61 4.1.1 Phân chia mạng nội bộ 61

4.1.2 Bài toán truy cập Internet và làm việc từ xa an toàn 62

4.2 Nhược điểm và các vấn đề của các giải pháp hiện có 62

4.2.1.Nhược điểm của các giải phảp hiện có 62

4.2.2 Các vấn đề với RDP và VDI 62

4.3 Giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet 63

4.3.1 Mô hình kiến trúc hệ thống mạng LAN trong giải pháp V-Azur 63

4.3.2 Mô tả giải pháp công nghệ VCM12 sử dụng trong V-Azur 64

4.3.2.1 Bản chất kỹ thuật của giảp pháp 64

4.3.2.2 Truy cập Internet an toàn 65

4.3.2.3 Làm việc từ xa an toàn 67

4.3.2.4 Yêu cầu kỹ thuật 68

4.4 Đánh giá công nghệ VCM12 69

4.4.1 Tính mới, ưu việt và tiên tiến về công nghệ 69

4.4.2 So sánh với trình độ công nghệ hiện có tại Việt Nam và trên thế giới 69

4.4.3 Khả năng triển khai và tính phù hợp của giải pháp với thị trường trong nước 70

4.4 Đề xuất giải pháp chính sách và khuyến nghị 70

4.4.1 Nâng cao nhận thức 70

4.4.2 Bảo vệ nhiều lớp 70

4.4.3 Kết luận & kiến nghị 71

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 72

DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN LUẬN VĂN 73

TÀI LIỆU THAM KHẢO 74

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

ICA Independent Computing Architecture Kiến trúc tính toán độc lập

Protocol

Giao thức ứng dụng truy cập các cấu trúc thư mục

MPLs Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức

OSI Open Systems Interconnection Mô hình tham chiếu kết nối các

hệ thống mở RAID Redundent Array of Independent

Disks

Sự tận dụng các phần dư trong các ổ cứng độc lập

TCP Transsmission Control Protocol Giao thức điều khiển truyền vận VDI Virtual Desktop Infrastructure Ảo hóa hạ tầng máy tính

VRF Virtual Routing and Forwarding Bảng định tuyến ảo

DANH MỤC CÁC BẢNG

Bảng 3.1: Các phạm trù ứng dụng 44

Bảng 3.2: Các cấu hình phần cứng của thin client 44

Bảng 3.3: Operating System Footprint 45

Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch bản 45

Bảng 3.5: Tổng kết các công nghệ trình diễn phân tán 51

Bảng 3.6: Browser clients footprints 54

Bảng 3.7: Tổng kết công nghệ trình diễn từ xa 56

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1.1: Các thành phần chính của mạng LAN 12

Hình 1.2: Các loại người sử dụng trong mạng LAN hiện nay 12

Hình 2.1: Một server vật lý trong hệ thống ảo hóa 18

Hình 2.2: Ảo hóa lớp mạng 22

Hình 2.3: Kiến trúc ảo hóa mạng của Cisco 23

Hình 2.4: Áo hóa hệ thống lưu trữ 24

Hình 2.5: Host-based Storage Virtualization 24

Hình 2.6: Storage-device based Storage Virtualization 25

Hình 2.7: Network-based Storage Virtualization 25

Hình 2.8: Mô hình Application Streaming của Citrix 26

Hình 2.9: Kiến trúc Host-based 28

Hình 2.10: Kiến trúc Hypervisor-based 29

Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng của máy ảo 30

Hình 2.12 Sơ đồ hoạt động của chuẩn Striping 32

Hình 2.13: Sơ đồ hoạt động của chuẩn Duplexing 32

Hình 2.14: Sơ đồ hoạt động của Raid level 0 33

Hình 2.15: Sơ đồ hoạt động của Raid 1 33

Hình 2.16: Sơ đồ hoạt động của Raid 5 34

Hình 2.17: Sơ đồ hoạt động của Raid 1-0 34

Hình 2.18: Sơ đồ lưu trữ San 35

Hình 2.19: Sơ đồ hoạt động của Vmware High Availability 36

Hình 2.20: Công nghệ ảo hóa ứng dụng 37

Hình 2.21: Ảo hóa ứng dụng trong mô hình Thin Client Architecture 39

Hình 3.2: Kiến trúc thin client 42

Hình 3.3: Mô hình ba thành phần của thin client 47

Hình 3.4: Kiến trúc trình diễn phân tán 47

Hình 3.5: Thông tin giữa ICA client và server 48

Hình 3.6: Giao thức ICA và tầng giao vận 49

Hình 3.7: Sơ đồ kiến trúc X Window 51

Hình 3.8: Kiến trúc TCF 55

Hình 3.9: Giao thức Remote Desktop 57

Hình 4.1: Mô hình phân chia mạng nội bộ 61

Hình 4.2: Tổ chức mạng LAN trong giải pháp V-Azur 63

Hình 4.3: Giải pháp VCM12 được bố trí trong mạng LAN 65

Hình 4.4: Triển khai chức năng Truy cập Internet an toàn 65

Hình 4.5: Mô hình giải hệ thống giải pháp VPN 67

Hình 4.6: Mô hình bảo vệ nhiều lớp 71

MỞ ĐẦU

Hiện nay, các vấn đề an ninh mạng hay chống tin tặc là những vấn đề đang được sự quan tâm chú ý của nhiều cơ quan, tổ chức và cả cộng đồng, đặc biệt với các đơn vị yêu cầu bảo mật tuyệt đối Theo một đánh giá gần đây, các Website và mạng nội bộ Việt Nam đang có mức độ mất an toàn cao Việt Nam đang là một trong 3 quốc gia dễ bị tổn thương nhất về an ninh mạng Theo báo cáo năm 2011 của Bộ Công an, tình hình an ninh mạng của Việt Nam đã trở nên rất nghiêm trọng, đặc biệt tại các cơ quan trong hệ thống chính trị, các ngân hàng và các tổng công ty lớn

Từ năm 2004, Bộ trưởng Bộ Công an, đã có Quyết định số 71/2004/QĐ-BCA [1], quy định về bảo đảm an toàn an ninh mạng liên quan đến sử dụng và quản lý Internet có giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin, tài liệu, số liệu thuộc bí mật nhà nước” Biện pháp này được giải thích theo nhiều cách sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang

bị 2 máy tính” hoặc “máy tính có tài liệu bí mật không được nối mạng”,…

Có hai nhu cầu ngày càng tăng trong các cơ quan nhà nước và trong các doanh nghiệp là truy cập Internet và làm việc từ xa Việc cấm tuyệt đối sử dụng Internet là đi ngược lại với chủ trương ứng dụng CNTT để hiện đại hóa đất nước Hiện nay, các cán

bộ, công chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các website do chính Chính phủ cung cấp để giúp cho việc soạn thảo văn bản và công tác nghiệp vụ Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán

bộ Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình hình càng thêm phức tạp Bên cạnh đó, các cán bộ lãnh đạo đi công tác xa hoặc làm việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và đọc hồ sơ tài liệu

Việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an toàn Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo cổng USB, thiết bị truy cập 3G,… hoặc chuyển hoàn toàn sang dùng máy tính cá nhân riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy định và chính sách bảo mật nội bộ đã có Bảo mật là vấn đề của con người Nếu không

có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi

và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản trở tiến bộ và gây lãng phí của cải của Nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó kiểm soát

Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước”, luận văn đi sâu

nghiên cứu tìm hiểu: Tình hình bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối Internet tại Việt Nam, xây dựng bộ kiến trúc an toàn an ninh thông tin phù hợp với điều kiện hiện nay của Việt Nam; Nghiên cứu công nghệ ảo hóa để đảm bảo an toàn

thông tin, ảo hóa ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi trong mạng LAN; Tìm hiểu công nghệ thin clients và các giao thức thin clients: Remote Desktop Protocol (RDP), Independent Computing Architecture (ICA) Protocol,…; Nghiên cứu các giải pháp sử dụng Thin Clients cũng như RDP; Từ đó so sánh, đánh giá các giải pháp này với bộ giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet Ý tưởng của sản phẩm V-Azur dựa trên nền giải pháp VCM12 [12] xuất phát từ mục đích có được giải pháp đơn giản, ít tốn kém đồng thời giải quyết được hầu hết vấn đề đã nêu, vừa đem lại tiện lợi tối đa cho người dùng Sản phẩm sẽ là giải pháp hữu hiệu để giảm thiểu rủi ro về an ninh mạng và sẽ tiếp tục được nâng cấp và giải quyết các thách thức mới do thực tế đề ra

Luận văn gồm 4 chương và phần kết luận, hướng phát triển của đề tài:

Chương 1: Tổng quan về vấn đề bảo vệ an toàn an ninh trong mạng LAN và truy cập Internet tại Việt Nam (1.1.Trọng tâm ứng dụng CNTT 2011-2015; 1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh trong mạng LAN và truy cập Internet tại Việt Nam; 1.3.Xác định vấn đề về bảo vệ an toàn an ninh dữ liệu trong mạng LAN và truy cập Internet tại Việt Nam)

Chương 2: Nghiên cứu công nghệ ảo hóa để đảm bảo an toàn thông tin (2.1.Giới thiệu về ảo hóa; 2.2.Các công nghệ hỗ trợ ảo hóa ; 2.3.Công nghệ ảo hóa ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi trong mạng LAN)

Chương 3: Tìm hiểu công nghệ Thin client và giao thức Remote Desktop Protocol (3.1.Giới thiệu về thin clients; 3.2.Các công nghệ thin clients; 3.3 Giao thức làm việc từ xa an toàn Remote Desktop Protocol (RDP))

Chương 4: Mô hình mạng LAN trong giải phảp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet (4.1 Phân chia mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn; 4.2 Nhược điểm và các vấn đề của các giải pháp hiện có; 4.3 Giải pháp V-Azur bảo vệ an toàn an ninh

dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet; 4.4 Đánh giá công nghệ VCM12; 4.5 Đề xuất giải pháp chính sách và khuyến nghị)

Luận văn trình bày những nội dung cơ bản, những nội dung được đề cập sâu hơn là cơ sở cho giải pháp ứng dụng V-AZUR Giải pháp có ý nghĩa thiết thực trong việc đảm bảo an toàn an ninh cho hệ thống mạng cơ quan, doanh nghiệp

Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn không tránh khỏi những thiếu sót, mong Thầy, Cô và đồng nghiệp đóng góp ý kiến xây dựng

Xin chân thành cảm ơn!

Đặng Thị Thùy Trang

Chương 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM 1.1.Trọng tâm ứng dụng CNTT 2011-2015

Căn cứ Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng Chính phủ phê duyệt Chương trình quốc gia về ứng dụng CNTT trong hoạt động của

cơ quan nhà nước giai đoạn 2011-2015; Trọng tâm ứng dụng CNTT giai đoạn 2011 –

2015: Quản lý hành chính, cơ sở dữ liệu quốc gia, an toàn an ninh mạng

Quản lý hành chính: Quản lý văn bản tích hợp trong toàn quốc tới cơ quan

nhà nước các cấp, bảo đảm an toàn, an ninh, tính pháp lý của văn bản trao đổi; Thư điện tử quốc gia; Giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ với các

Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương; Chỉ đạo, điều hành của Chính phủ trên Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; Quản lý, theo dõi chương trình công tác của Chính phủ; Mạng thông tin điện tử phục vụ trao đổi thông tin giữa Văn phòng Chính phủ, Văn phòng Trung ương Đảng, Văn phòng Quốc hội, Văn phòng Chủ tịch nước; Cổng thông tin điện tử Chỉnh phủ; Tài chính tích hợp, Giám sát thị trường tài chính; Nộp tờ khai thuế qua mạng Internet; Triển khai thủ tục hải quan điện tử; Ứng dụng thương mại điện tử trong mua sắm Chính phủ; Quản lý thông tin đầu tư nước ngoài…

Các cơ sở dữ liệu quốc gia: Thủ tục hành chính trên Internet; Cán bộ, công

chức, viên chức; Kinh tế công nghiệp và thương mại; Tài nguyên và môi trường; Biên giới lãnh thổ; Các dự án đầu tư; Doanh nghiệp; Dân cư; Tài chính

An toàn an ninh mạng: Các hệ thống cơ sở dữ liệu và quản lý hành chính đều cần được bảo vệ an toàn

1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại Việt Nam

1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay

1.2.1.1.Mạng LAN kết nối Internet

Ngày nay, các thành phần chủ yếu của một mạng LAN có kết nối Internet có thể mô tả sơ bộ như theo sơ đồ Hình 1.1 Các máy trạm, máy chủ, cơ sở dữ liệu, máy

in thường được đặt sau tường lửa (giải pháp mềm như ISA hoặc giải pháp cứng như Cisco ASA hoặc cả hai)

Để an toàn, điểm truy cập Wifi phải đặt trước tường lửa ngay sau modem Mạng lớn có nhiều máy có thể phải dùng thiết bị switch

FIREWALL ISA Modem

ADSL hoặc Cáp quang

`

Switch

Wifi Access Point

Application Server

Windows Server

Database

Hình 1.1: Các thành phần chính của mạng LAN

1.2.1.2.Các loại người sử dụng và phân quyền truy cập

Sơ đồ Hình 1.2 là sơ đồ khá phổ biến về người sử dụng trong mạng LAN hiện nay Người sử dụng mạng LAN có thể sử dụng các máy trạm gồm:

P1: Máy trạm có quyền truy cập vào các tài nguyên cần bảo mật, có các tài liệu

bí mật Các máy này nếu có thể kết nối thẳng với Internet như trên sơ đồ cho dù thông qua tường lửa cũng là vi phạm Quyết định 71/2004/QĐ-BCA của Bộ Công an

P2: Máy trạm chỉ có quyền truy cập vào các tài nguyên thường, các tài liệu công khai Chú ý một số mạng, tùy theo nhu cầu công việc, có thể không cần phải có máy P2

` P1

` P2

MÁY LÀM VIỆC

TỪ XA

Máy chủ ứng dụng

Tường lửa

Hình 1.2: Các loại người sử dụng trong mạng LAN hiện nay

Ứng dụng chủ yếu hiện nay cần bảo mật là các ứng dụng hỗ trợ tác nghiệp (theo

mô hình Client-Server chạy trên nền Desktop hoặc theo mô hình Web-based) Trong

cả hai trường hợp, các tài liệu được lưu trữ trên “Máy chủ ứng dụng” Các lỗ hổng an ninh cần xử lý của mô hình này là:

- Cần phải ngăn chặn kết nối trực tiếp của P1 vào Internet để đảm bảo các máy tính chứa tài liệu mật không thể kết nối được với Internet Người dùng hiện nay thường gửi tài liệu qua các hệ thống Email miễn phí khó kiểm soát, qua các chương trình chat, qua các chương trình chia sẻ file ngang hàng (P2P),… hoặc tải về P1 các mã độc do vô tình hay hữu ý

- Với nhận thức và kiến thức hiện nay của người dùng, việc truy cập từ P2 vào P1 để lấy tài nguyên hoặc cài mã độc hết sức dễ dàng Nhóm người sử dụng P2 thường có nhận thức trách nhiệm thấp hơn về bảo mật và dễ dàng

để thất thoát, ngoài ra tin tặc có thể lợi dụng sơ hở này để truy cập P1 từ máy P2 Như vậy, về mặt kỹ thuật, không có sự khác biệt giữa P1 và P2

- Hiện nay việc phân quyền hoàn toàn dựa vào quyền truy cập được quy định trên máy chủ ứng dụng Tuy nhiên, người sử dụng có thể giả mạo các máy con để hợp thức hóa việc truy cập tài nguyên trên máy chủ; các tài nguyên

và tài liệu trên máy chủ ứng dụng có thể truy cập trực tiếp được cũng khá nhiều và ở dạng chưa mã hóa Bên cạnh đó quyền truy cập cũng không có chính sách phân quyền cẩn thận và không được theo dõi ghi nhật ký thường xuyên để truy vết

Có thể thấy, sơ đồ này hiện nay khá phổ biến và đã bộc lộ nhiểu điểm yếu cần cấp tốc khắc phục

1.2.2.Yêu cầu thực tế

Với sự phát triển ngày càng rộng khắp của CNTT, mạng LAN đang ngày càng phổ biến ở các cơ quan thuộc hệ thống chính trị và các doanh nghiệp ở Việt Nam Trong lúc đó:

(i) Sử dụng Internet đã trở thành một thói quen, yêu cầu công việc không thể thiếu đối với cơ quan nhà nước và doanh nghiệp

(ii) Làm việc từ xa sẽ trở nên quan trọng đối với lãnh đạo, nhân viên đi công tác hoặc làm việc ở nhà Hay do họp hành quá nhiều trong giờ hành chính không có thời gian xử lý công văn

(iii) Một số bộ, địa phương có hệ thống ứng dụng tập trung, cần được sử dụng

từ xa cho các đơn vị trực thuộc không cùng địa bàn

Các nhu cầu này đã đề ra những thách thức to lớn và phải có những giải pháp cấp bách để bảo đảm an ninh thông tin và dữ liệu

1.2.3.Vấn đề thực tiễn

Như đã phân tích các lỗ hổng an ninh ở mục 1.2.1.2 thì các vấn đề thực tiễn đặt

ra đối với hệ thống mạng nội bộ trong các cơ quan nhà nước hiện nay như sau:

a Người dùng ở trong mạng nội bộ có thể gửi các tệp tin, dữ liệu ra ngoài qua đường Internet Vô tình hay cố ý

b Người dùng làm việc từ xa sử dụng VPN, có thể tải về các tệp tin, dữ liệu có thể bị phát tán

c Mã độc có thể nhiễm vào mạng nội bộ, phá hoại hoặc đánh cắp dữ liệu

d Internet mở ra các lỗ hổng đối với mạng LAN có kết nối Internet

1.2.4.Các quy định của các cơ quan nhà nước

Gần đây đã có những cuộc tấn công lớn và toàn diện của tin tặc trong nước và nước ngoài vào các mạng LAN và cổng điện tử của các cơ quan và doanh nghiệp Việt Nam nhằm tới các mục tiêu:

- Chiếm quyền kiểm soát hệ thống quản trị nội dung (CMS), để thay thế nội dung của các trang điện tử bằng các nội dung phản tuyên truyền

- Truy cập trái phép và cài mã độc lên các máy tính có tài liệu và thông tin cần bảo mật Các mã độc này sẽ định kỳ được kích hoạt và chuyển tải các thông tin quý ra ngoài

- Lợi dụng sự bất cẩn của người sử dụng và sự thiếu cẩn trọng trong công tác quản lý để giả mạo quyền sử dụng, xâm nhập hệ thống và gửi ra ngoài các tài nguyên cần bảo vệ theo đường Internet, email sử dụng các ứng dụng thông dụng như HTTP, TELNET, FTP, SMNP,…

Trước tình hình đó, nhà nước ta đã có một số quy định nhằm đảm bảo an toàn

an ninh thông tin cho mạng nội bộ của các cơ quan nhà nước cụ thể như sau:

a Quy định về sử dụng Internet của Bộ Công An (QĐ 71/2004/QĐ-BCA) nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối Internet

b Quyết định của Bộ trưởng Bộ Tài chính (2615/QĐ-BTC) các máy tính trong ngành tài chính có các tài liệu quan trọng không được mở trang tin và ứng dụng Internet ngay trên máy

c Vấn đề: Bảo mật là vấn đề của con người Nếu không có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản trở tiến bộ và gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó kiểm soát Do đó, cần có công nghệ phù hợp

1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối Internet tại Việt Nam

1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu

Cuộc cách mạng công nghệ thông tin (CNTT) nói chung và Internet nói riêng

đã tác động mạnh mẽ, tạo ra bước đột phá trong tiến trình phát triển kinh tế, văn hóa,

xã hội, mở ra một kỷ nguyên mới cho xã hội loại người

Đồng thời, CNTT cũng đã trở thành phương tiện nguy hiểm để các thế lực thù địch và bọn tội phạm lợi dụng vào mục đích phá hoại, gây thiệt hại lớn về kinh tế - xã hội và an ninh của nhiều quốc gia, tổ chức quốc tế Theo thống kê của các cơ quan an

ninh mạng quốc tế, trong năm 2012, thiệt hại về kinh tế do tội phạm mạng gây ra đã lên đến 388 tỷ USD, cao hơn nhiều so với năm 2011 là 114 tỷ USD Đặc biệt số vụ tấn công mạng vào các hệ thống cơ sở hạ tầng trọng yếu của nhiều quốc gia ngày càng gia tăng và các thiết bị kết nối Internet truyền thống, các thiết bị dân dụng, như tivi thông minh, máy in, hệ thống phần mềm điều khiển trên xe ôtô… cũng trở thành mục tiêu của các cuộc tấn công mạng

Bên cạnh các yếu tố đe dọa an ninh truyền thống, nguy cơ chiến tranh mạng đang trở nên hiện hữu Không phải ngẫu nhiên, Eugene Kaspersky, đồng sáng lập và là Giám đốc điều hành của hãng bảo mật Kaspersky Lab đã đánh giá: những năm 90 của thế kỷ 20 là thập kỷ của những kẻ phá hoại trên mạng; những năm đầu thế kỷ 21 là thập kỷ của tội phạm mạng và giờ đây là kỷ nguyên mới của chiến tranh không gian ảo

và khủng bố không gian mạng Chiến lược không gian mạng quốc tế của Mỹ - quốc gia hàng đầu về CNTT cũng xác định tấn công mạng là một trong những mối đe dọa lớn nhất đối với lợi ích an ninh quốc gia của nước này

Như vậy, Internet ra đời là nguồn gốc dẫn đến hiểm họa chiến tranh mạng (Cyber War) và thách thức tội phạm mạng (Cyber Crime) cho tất cả các quốc gia trên toàn thế giới

1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng

1.3.2.1.Thất thoát thông tin: Wikileak

WikiLeaks vụ nổi tiếng vì đã đưa ra hàng loạt các tài liệu mật của Bộ Quốc phòng và Bộ Ngoại giao Mỹ liên quan tới hàng loạt các quốc gia trên thế giới Vụ rò rỉ hàng trăm ngàn tài liệu về cuộc chiến ở Afganistan trên WikiLeaks có thể gây thương vong cho cuộc sống của nhiều binh sĩ Mỹ, các đối tác nước ngoài trong liên minh với

Mỹ, cho những người dân Afganistan làm việc quân đội Mỹ, Bộ trưởng Quốc phòng

Mỹ Gates và Tư lệnh Liên quân Mỹ Đô đốc Mullen khẳng định

WikiLeaks đã tung ra gần 400.000 tài liệu không phổ biến của quân đội Mỹ có liên quan tới chiến tranh Irap, thách thức những cảnh báo từ chính phủ Mỹ rằng việc

hé lộ các tài liệu có thể đặt những người sống vào rủi ro

1.3.2.2.Mã độc lây lan như bom nổ chậm

Hình thức lây nhiễm và phát tán mã độc qua: thư điện tử, USB, website, tải phần mềm lậu, hội thoại trực tuyến, mạng xã hội, qua việc cài đặt trực tiếp… Việc cài đặt mã độc vào máy nạn nhân không chỉ có khả năng ăn cắp thông tin mật khẩu, mã bảo mật thẻ tín dụng, dữ liệu trên máy tính, ghi âm nghe lén thông tin, chụp ảnh từ màn hình, quy phim từ màn hình mà còn có thể tiếp tục sử dụng máy nạn nhân để làm bàn đạp tấn công các máy tính khác

1.3.3.Tình hình tại Việt Nam

Đối với Việt Nam, hệ thống mạng thông tin quốc gia, nhất là hệ thống mạng thông tin của các cơ quan, tổ chức quan trọng vẫn sẽ là mục tiêu tấn công xâm nhập của tin tặc nước ngoài; nguy cơ mất an ninh, an toàn thông tin, lộ, lọt bí mật nhà nước

sẽ ngày càng nghiêm trọng nếu không có giải pháp phòng, chống hữu hiệu:

 Báo cáo về tính an toàn của các mạng LAN và website của Việt Nam của một tổ chức quốc tế Việt Nam đang là một trong 3 nước yếu nhất

 Báo cáo của Bộ Công An: Hơn 90% các mạng nội bộ của các cơ quan Đảng, Chính phủ và các ngân hàng bị xâm nhập, lấy dữ liệu

Trước tình hình đó, Công tác đảm bảo an ninh, an toàn mạng thông tin quốc gia, phòng, chống vi phạm và tội phạm mạng là cuộc đấu tranh của toàn dân dưới sự lãnh đạo của Đảng, là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia, giữ gìn trật tự, an toàn xã hội; là trách nhiệm của cả hệ thống chính trị và toàn dân, của các cấp, các ngành, trong đó lực lượng Công an giữ vai trò lòng cốt

1.3.4.Nguyên nhân

1.3.4.1.Năng lực kỹ thuật

Thực trạng an toàn thông tin tại Việt Nam đang tiềm ẩn nhiều nguy cơ An ninh mạng vẫn chưa thực sự được quan tâm tại các cơ quan, doanh nghiệp Theo nhận định của các chuyên gia Công ty Bkav, hầu hết cơ quan doanh nghiệp của Việt Nam chưa

bố trí được nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chưa tương xứng với tình hình thực tế Đó là nguyên nhân chính

1.3.4.2.Đầu tư thiếu đồng bộ

Việt Nam hiện nay gặp rất nhiều thách thức, trước tiên là các cuộc tấn công sẽ gia tăng và tính chất ngày càng tinh vi Đối với các tổ chức, hiện nay các hệ thống của

họ gần như chưa được quan tâm đầy đủ dưới khía cạnh bảo mật Kinh phí để đầu tư trong các cơ quan nhà nước bị hạn chế Đây là một mâu thuẫn, khi họ vẫn muốn bảo

vệ hệ thống của mình nhưng chưa đầu tư được

1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế

Các cuộc tấn công của tin tặc ngày càng tăng mạnh và việc bảo mật yếu kém của các cơ quan, tổ chức, doanh nghiệp đã biến không gian mạng của Việt Nam trở thành nơi ưa thích của giới tin tặc quốc tế Đã xuất hiện các cuộc tấn công và các hệ thống thông tin của các cơ quan tổ chức

Trong 6 tháng đầu năm 2011, có hàng trăm website bị các hacker nước ngoài tấn công, chiếm quyền điều khiển, thay đổi giao tiện trong đó có các website của Bộ Nông nghiệp, Bộ Ngoại giao, …

Tháng 10 năm 2011, có hơn 150 website bị tấn công do một nhóm hacker Thổ Nhĩ Kỳ thực hiện Cùng với một số máy chủ tại TP Hồ Chí Minh của các công ty cung cấp các dịch vụ hosting, domain khá nổi tiếng

Không chỉ có website doanh nghiệp, ngày 8/11/2011, hacker đã tấn công và chiếm quyền trang web của Sở Văn hóa - Thể thao và Du lịch tỉnh của Nam Định và

để lại một trang trắng với dòng chữ “Đừng hỏi vì sao bị hack mà hãy hỏi thành phố bạn đã ra quyết định gì”

Ngay cả, website của trung tâm an ninh mạng BKAV cũng bị hacker tấn công vào hôm 6/2/2012 và nhóm hacker Anonymous đã chỉ ra nhiều lỗi bảo mật của website này Mẫu số chung của việc tin tặc có thể tấn công hàng nghìn website là sự

yếu kém trong quản trị web và không thường xuyên phát hiện và khắc phục các lỗ hổng an toàn thông tin, ít quan tâm đến các cảnh bảo an ninh của các cơ quan, tổ chức

có chức năng đảm bảo an ninh an toàn thông tin quốc gia

1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam

Hiện nay, nguy cơ mất an toàn, bảo mật thông tin trong các cơ quan Đảng và Nhà nước khá cao Theo khảo sát của VNCERT năm 2012, 54% cơ quan Đảng và Nhà nước không ghi nhận hành vi tấn công Điều này đồng nghĩa với việc quá nửa website

ở Việt Nam dù “xây nhà” đã trang bị “khóa” song kẻ trộm vẫn đột nhập mà chủ nhà không hay biết Bên cạnh đó, có 64% cơ quan nhà nước không ước lượng được tổn thất tài chính khi bị tấn công

Trong khi đó, nguy cơ tấn công xuất phát rất đa dạng, qua các website, hệ thống thư điện tử, tấn công DDOS và qua thiết bị USB Trước tình trạng đó, Ban Cơ yếu Chính phủ đã nghiên cứu và triển khai các sản phẩm bảo mật như: thiết bị nhớ an toàn (USB an toàn), hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ, mô hình hệ thống CA quốc gia, hệ thống giám sát an ninh mạng (GSANM)… Tuy nhiên, với một hạ tầng rộng lớn, việc triển khai các sản phẩm trên chưa đủ và còn khá nhiều khó khăn

Thêm vào đó, một số chuyên gia an ninh mạng cho rằng: tất cả các vụ tấn công

do cố tình hay hữu ý đều nhằm vào hệ điều hành Microsoft Window (đặc biệt chú ý tới việc tấn công mạng từ Trung Quốc và bê bối từ vụ PRISM của cơ quan NSA-Hoa Kỳ), trong khi đó Việt Nam chưa có khả năng chế ngự các mối đe dọa không gian mạng do nhà nước, quốc gia đứng đằng sau Windows là phần mềm nguồn đóng, sở hữu độc quyền là mối đe dọa của an ninh quốc gia Cần loại bỏ và thay vào đó là sử dụng phần mềm nguồn mở (PMNM) nhằm đảm bảo an toàn, an ninh thông tin mạng cho quốc gia Và câu hỏi đặt ra: Phần mềm nguồn mở sẽ đảm bảo an toàn, an ninh thông tin mạng?

Tóm lại, an toàn an ninh thông tin là một thách thức không chỉ đối với nước ta

mà còn là bài học toàn cầu Hơn nữa, Việt Nam là một trong những điểm ưa thích của hacker quốc tế Ở nước ta tình hình mất an toàn thông tin xuất phát từ sự yếu kém của nguồn nhân lực, các giải pháp đầu tư cơ sở hạ tầng thiếu đồng bộ, thiếu công nghệ phù hợp với hoàn cảnh trong nước Các giải pháp đảm bảo an ninh, an toàn thông tin chỉ mang tính đối phó, gây lãng phí ngân sách Vì thế, giải pháp tối ưu trước hết là đào tạo nguồn nhân lực có trình độ và tập trung đầu tư nghiên cứu phát triển sản phẩm ứng dụng phù hợp, kiến trúc an ninh, an toàn thông tin cần chuẩn công nghiệp mặc định tại Việt Nam Cần có những chính sách, hành lang pháp lý minh bạch, khuyến khích doanh nghiệp, cơ quan nghiên cứu phát triển công nghệ và sản phẩm; tránh trao độc quyền cho một số cơ quan không có năng lực Đồng thời, không nên có quan điểm bài xích các sản phẩm nước ngoài một cách cực đoan

Chương 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HÓA ĐỂ ĐẢM BẢO AN

TOÀN THÔNG TIN 2.1 Giới thiệu về ảo hóa

2.1.1 Ảo hóa và những vấn đề liên quan

2.1.1.1 Ảo hóa là gì?

Ảo hóa là một công nghệ được ra đời nhằm khai thác triệt để khả năng làm việc của các phần cứng trong một hệ thống máy chủ Nó hoạt động như một tầng trung gian giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó Ý tưởng của công nghệ

ảo hóa máy chủ là từ một máy vật lý đơn lẻ có thể tạo thành nhiều máy ảo độc lập Ảo hóa cho phép tạo nhiều máy ảo trên một máy chủ vật lý, mỗi một máy ảo cũng được cấp phát tài nguyên phần cứng như máy thật gồm có RAM, CPU, card mạng, ổ cứng, các tài nguyên khác và hệ điều hành riêng Khi chạy ứng dụng, người sử dụng không nhận biết được ứng dụng đó chạy trên lớp phần cứng ảo

Hình 2.1: Một server vật lý trong hệ thống ảo hóa

Các bộ xử lý của hệ thống máy tính lớn được thiết kế hỗ trợ công nghệ ảo hóa

và cho phép chuyển các lệnh hoặc tiến trình nhạy cảm của các máy ảo có thể ảnh hưởng trực tiếp đến tài nguyên hệ thống cho hệ điều hành chủ xử lý, sau đó lớp ảo hóa

sẽ mô phỏng kết quả để trả về cho máy ảo Tuy nhiên, không phải tất cả bộ xử lý đều

hỗ trợ ảo hóa Các bộ xử lý cũ trên máy để bàn đều không có hỗ trợ chức năng này Ngày nay hai nhà sản xuất bộ xử lý lớn trên thế giới là Intel và AMD đều cố gắng tích hợp công nghệ ảo hóa vào trong các sản phẩm của họ Các bộ xử lý có ứng dụng ảo hóa thường là Intel VT (Virtualization Technology) hoặc AMD Pacifica

Sử dụng công nghệ ảo hóa đem đến cho người dùng sự tiện ích Việc có thể chạy nhiều hệ điều hành đồng thời trên cùng một máy tính thuận tiện cho việc học tập

nghiên cứu và đánh giá một sản phẩm hệ điều hành hay một phần mềm tiện ích nào

đó Nhưng không ngừng lại ở đó, những khả năng và lợi ích của ảo hóa còn hơn thế và nơi gặt hái được nhiều thành công và tạo nên thương hiệu của công nghệ ảo hóa đó chính là môi trường hệ thống máy chủ ứng dụng và hệ thống mạng

Ảo hóa máy chủ thực sự không được quan tâm cho đến những năm gần đây Do còn nhiều vấn đề về công nghệ và người dùng chưa thực sự quan tâm tới lợi ích và còn thiếu đội ngũ am hiểu về công nghệ này nên việc áp dụng nó vào hệ thống là rất dè dặt Nhưng khi đối mặt với thực trạng khủng hoảng của nền kinh tế toàn cầu thì bất kỳ một doanh nghiệp nào cũng chủ tâm để tìm một giải pháp tiết kiệm hơn Đây cũng là lúc công nghệ ảo hóa tìm được chỗ đứng vững chắc cho mình trong lĩnh vực công nghệ thông tin trên thế giới

Hiện nay có nhiều nhà cung cấp các sản phẩm máy chủ và phần mềm đều chú tâm đầu tư nghiên cứu và phát triển công nghệ này như là HP, IBM, Microsoft và Vmware Nhiều dạng ảo hóa được đưa ra và có thể chia thành hai dạng chính là ảo hóa cứng và ảo hóa mềm Từ hai dạng này sau này mới phát triển thành nhiều loại ảo hóa

có chức năng và cấu trúc khác nhau như VMM-Hypervisor, VMM, Hybrid…

Ảo hóa cứng được gọi là phân thân máy chủ Dạng ảo hóa này cho phéo tạo nhiều máy ảo trên một máy chủ vật lý Mỗi máy ảo chạy hệ điều hành riêng và được cấp phát tài nguyên phần cứng như số xung nhịp CPU, ổ cứng và bộ nhớ… Các tài nguyên của máy chủ có thể được cấp phát động một cách linh động tùy theo nhu cầu của từng máy ảo Giải pháp này cho phép hợp nhất các hệ thống máy chủ cồng kềnh thành một máy chủ duy nhất và các máy chủ trước đây bây giờ đóng vai trò là máy ảo ứng dụng chạy trên nó

Ảo hóa mềm còn gọi là phân thân hệ điều hành Nó thực ra chỉ là sao chép bản sao của một hệ điều hành chính làm nhiều hệ điều hành con và cho phép các máy ảo ứng dụng có thể chạy trên nó Như vậy, nếu hệ điều hành chủ là Linux thì các ảo hóa này sẽ cho phép tạo thêm nhiều bản Linux làm việc trên cùng máy Cách này có ưu điểm là chỉ cần một bản quyền cho một hệ điều hành và có thể sử dụng cho các máy ảo còn lại Nhược điểm của nó là không thể sử dụng nhiều hệ điều hành khác nhau trên cùng một máy chủ

2.1.1.2 Lợi ích của ảo hóa

Thông thường việc đầu tư cho một trung tâm công nghệ thông tin là rất tốn kém Chi phí đầu tư mua các máy chủ cấu hình mạnh và các phần mềm bản quyền là rất đắt đỏ Trong thời buổi kinh tế khó khăn hiện nay doanh nghiệp nào cũng muốn cắt giảm và hạn chế tối đa các chi phí không cần thiết mà vẫn đáp ứng được năng suất và tính ổn định của hệ thống Do đó, việc ứng ảo hóa trở thành nhu cầu cần thiết của bất

kỳ doanh nghiệp lớn hay nhỏ Vì thay vì mua mười máy chủ cho mười ứng dụng thì cần mua một hoặc hai máy chủ có hỗ trợ ảo hóa thì vẫn có thể chạy tốt mười ứng dụng trên Điều này cho ta thấy sự khác biệt giữa hệ thống ảo hóa và không ảo hóa Bên cạnh đó việc ứng dụng ảo hóa còn đem lại những lợi ích sau đây

Quản lý đơn giản: khi triển khai hệ thống ảo hóa thì số lượng máy chủ vật lý

giảm đi đáng kể và khi đó việc theo dõi và giám sát hệ thống rất dễ dàng và hầu như được thực hiện bởi công cụ phần mềm quản trị tập trung từ xa do nhà cung cấp phần mềm ảo hóa hỗ trợ Nhà quản trị dễ dàng theo dõi tình trạng của các máy ảo và của cả

hệ thống Nếu máy chủ bị trục trặc thì có thể chuyển máy ảo từ máy chủ này sang máy chủ khác, có thể nâng cấp phần cứng bằng cách gắn thêm RAM, ổ cứng một cách nhanh chóng và đơn giản

Triển khai nhanh: khi triển khai hệ thống thì không cần nhất thiết phải cài đặt

toàn bộ máy ảo trên hệ thống vì mỗi máy ảo chỉ là một tập tin được cài trên một phân vùng trên ổ cứng nên chúng ta có thể tận dụng điều này để giảm thiểu thời gian cài đặt bằng cách sao chép các tập tin này và cấu hình lại cho đúng với yêu cầu của máy ảo đang sử dụng Với cách làm này sẽ giảm thời gian cài đặt từng máy ảo và vận dụng tối

đa tài nguyên nhàn rỗi của tất cả các máy chủ vật lý Vì thực tế hiện nay tại trung tâm

dữ liệu có nhiều máy chủ không khai thác hết tài nguyên phần cứng của hệ thống

Phục hồi và lưu trữ hệ thống nhanh chóng: Vì máy ảo chỉ là một tập tin trên ổ

đĩa nên việc sao lưu rất đơn giản là sao chép lại các tập tin này Và khi một máy ảo gặp sự cố và hỏng hóc do một lỗi hệ điều hành nào đó thì việc phục hồi đơn giản là chép đè tập tin đã được sao chép lên tập tin cũ và hệ thống có thể hoạt động bình thường lại ngay như lúc chưa bị lỗi Thời gian để phục hồi hệ thống là rất ít Nếu được đầu tư thêm một số máy chủ khác thì ta có thể cấu hình tính năng High Availability cho các máy chủ ảo hóa này Khi đó một máy ảo hay một máy chủ bị sự cố thì tất cả các máy ảo sẽ được di chuyển nóng đến máy chủ khác và có thể hoạt động lại ngay tức thì

Cân bằng tải và phân phối tài nguyên linh hoạt: Với các công cụ quản lý từ xa

các máy chủ và máy ảo ta sẽ thấy được tình trạng của toàn bộ hệ thống từ đó có chính sách nâng cấp CPU, RAM, ổ cứng cho máy chủ hoặc máy ảo đó hoặc di chuyển máy

ảo đang quá tải đó sang máy chủ vật lý có cấu hình mạnh hơn, có nhiều tài nguyên còn trống hơn để hoạt động

Tiết kiệm: công nghệ ảo hóa giúp các doanh nghiệp có thể tiết kiệm được một

chi phí lớn đó là điện năng chiếu sáng và hệ thống làm mát Ảo hóa cho phép gom nhiều máy chủ vào một máy chủ vật lý nên chỉ tốn kém chi phí điện tiêu thụ, làm mát

và chiếu sáng cho một vài máy chủ thôi Bên cạnh đó thì diện tích sử dụng để đặt máy chủ cũng được thu hẹp lại, hệ thống dây cáp nối cũng ít đi

2.1.1.3 Quá trình phát triển và các xu thế hiện nay trên thế giới

Ảo hóa có nguồn gốc từ việc phân chia ổ đĩa, chúng phân chia một máy chủ thực thành nhiều máy chủ con Một khi máy chủ thực chia, mỗi máy chủ con có thể chạy một hệ điều hành và các ứng dụng độc lập

Tiên phong cho công nghệ ảo hóa này là từ hãng IBM với hệ thống máy ảo VM/370 nổi tiếng được công bố vào năm 1972 Đến năm 1999 Vmware giới thiệu sản phẩm vmware workstation Sản phẩm này ban đầu được thiết kế để hỗ trợ việc phát

triển và kiểm tra phần mềm và đã trở nên phổ biến nhờ khả năng tạo những máy tính

ảo chạy đồng thời nhiều hệ điều hành khác nhau trên cùng một máy tính thực Khác với chế độ khởi động kép là những máy tính được nhiều hệ điều hành và có thể chọn lúc khởi động nhưng mỗi lúc chỉ làm việc được với 1 hệ điều hành

Vmware, được EMC (hãng chuyên về lĩnh vực lưu trữ) mua lại vào tháng 12 năm 2003, đã mở rộng tầm hoạt động từ máy tính để bàn (desktop) đến máy chủ (server) và hiện hãng vẫn giữ vai trò thống lĩnh thị trường ảo hóa

Ngày nay xu hướng ảo hóa máy chủ đã trở thành xu hướng chung của hầu hết các doanh nghiệp trên toàn thế giới Những khó khăn trong thời kỳ khủng hoảng khiến cho các doanh nghiệp phải tìm mọi cách để giảm thiểu chi phí Ảo hóa được coi là một công nghệ giúp các doanh nghiệp cắt giảm chi tiêu hiệu quả với khả năng tận dụng tối

đa năng suất của các thiết bị phần cứng Việc áp dụng công nghệ ảo hóa máy chủ nhằm tiết kiệm không gian sử dụng, nguồn điện và giải pháp tỏa nhiệt trong trung tâm

dữ liệu Ngoài ra việc giảm thời gian thiết lập máy chủ, kiểm tra phần mềm trước khi đưa vào hoạt động cũng là một trong những mục đích chính khi ảo hóa máy chủ Công nghệ mới này sẽ tạo ra những điều mới mẻ trong tư duy của các nhà quản lý công nghệ thông tin về tài nguyên máy tính Khi việc quản lí các máy riêng lẻ trở nên dễ dàng hơn, trọng tâm của CNTT có thể chuyển từ công nghệ sang dịch vụ Hiện nay, các “đại gia” trong giới công nghệ như Microsoft, Oracle, Sun… đều nhập cuộc chơi ảo hóa nhằm giành thị phần lớn trong lĩnh vực này với “gã khổng lồ” VMWare Do đó, trên thị trường có rất nhiều sản phẩm để các doanh nghiệp có thể lựa chọn và ứng dụng

2.1.2 Phân loại ảo hóa

2.1.2.1 Network Virtualization (Ảo hóa hệ thống mạng)

2.1.2.1.1 Khái niệm

Chúng ta thường hay nghĩ tới các mạng LAN ảo (VLAN) khi nghe nói về ảo hóa mạng lưới Nhưng đây chỉ là một khía cạnh trong lĩnh vực này Thật ra ảo hóa mạng phức tạp hơn, và các kỹ thuật về ảo hóa trên hệ thống mạng vẫn đang được phát triển và hoàn thiện hơn

Ảo hóa mạng, hình dung một cách đơn giản là gom các dịch vụ, các ứng dụng dựa trên nền người dùng/máy chủ, đưa chúng lên hệ thống mạng Sau đó, các ứng dụng, dịch vụ này sẽ được gán và cung cấp vào các kênh phù hợp theo nhu cầu, hay ứng dụng cụ thể được đối tượng nào đó yêu cầu để sử dụng (Assign for request)

2.1.2.1.2 Mô hình hoạt động

Có nhiều phương pháp để thực hiện việc ảo hóa hệ thống mạng Các phương pháp này tùy thuộc vào các thiết bị hỗ trợ, tức là các nhà sản xuất thiết bị đó, ngoài ra còn phụ thuộc vào hạ tầng mạng sẵn có, cũng như nhà cung cấp dịch vụ mạng (ISP) Dưới đây là mô hình hoạt động của một vài phương pháp vẫn đang được nghiên cứu cũng như đã được triển khai bởi Cisco

 Ảo hóa lớp mạng (Virtualized overlay network)

Trong mô hình này, nhiều hệ thống mạng ảo sẽ cùng tồn tại trên một lớp nền tài nguyên dùng chung Các tài nguyên đó bao gồm các thiết bị mạng như Router, Switch, các dây truyền dẫn, NIC (network interface card) Việc thiết lập nhiều hệ thống mạng

ảo này sẽ cho phép sự trao đổi thông suốt giữa các hệ thống mạng khác nhau, sử dụng các giao thức và phương tiện truyền tải khác nhau, ví dụ như mạng Internet, hệ thống PSTN, hệ thống Voip Điều này làm tăng tính linh động trong hệ thống mạng, giúp doanh nghiệp – người dùng thoát khỏi sự trói buộc của thiết bị - hạ tầng vật lý

Hình 2.2: Ảo hóa lớp mạng

Chú thích:

 Substrate link: Các liên kết vật lý nền tảng

 Sustrate router: Các router vật lý

 Virtual link và Substrate router là các thiết bị và liên kết được ảo hóa

 Mô hình ảo hóa của Cisco

Một giải pháp về ảo hóa hệ thống mạng được Cisco đưa ra, đó là phân mô hình

ảo hóa ra làm 3 khu vực, với các chức năng chuyên biệt Mỗi khu vực sẽ có các liên kết với các khu vực khác để cung cấp các giải pháp đến tay người dùng 1 cách thông suốt Cụ thể như sau:

- Khu vực quản lý truy nhập (Access Control): Có nhiệm vụ chứng thực người dùng muốn đăng nhập để sử dụng tài nguyên hệ thống, qua đó sẽ ngăn chặn các truy xuất không hợp lệ của người dùng; ngoài ra khu vực này còn kiểm tra, xác nhận và chứng thực việc truy xuất của người dùng trong vào các vùng hoạt động (như là VLan, Access list)

- Khu vực đường dẫn (Path Isolation): Nhiệm vụ của khu vực này là duy trì liên lạc thông qua hạ tầng cấu trúc Layer 3 (tầng Network trong mô hình OSI); vận chuyển liên lạc giữa các vùng khác nhau trong hệ thống Trong các vùng này sử dụng giao thức khác nhau, như MPLs (Multiprotocol Label Switching) và VRF (Virtual Routing and Forwarding), do đó cần một cầu nối

để liên lạc giữa chúng Ngoài ra, khu vực này có nhiệm vụ liên kết (maping) giữa các đường truyền dẫn với các vùng hoạt động ở hai khu vực cạnh nó là Access Control và Services Edge

- Khu vực liên kết với dịch vụ (Services Edge): Tại đây sẽ áp dụng những chính sách phân quyền, cũng như bảo mật ứng với từng vùng hoạt động cụ thể; đồng thời qua đó cung cấp quyền truy cập đến dịch vụ cho người dùng Các dịch vụ có thể ở dạng chia sẻ hay phân tán, tùy thuộc vào môi trường phát triển ứng dụng và yêu cầu của người dùng

Hình 2.3: Kiến trúc ảo hóa mạng của Cisco

2.1.2.2 Storage Virtualization (Ảo hóa hệ thống lưu trữ)

2.1.2.2.1 Khái niệm

Ngày nay, nhu cầu lưu trữ dữ liệu của người dùng, doanh nghiệp ngày càng tăng lên Và hiển nhiên khi nhu cầu ấy tăng lên, chúng ta cần một số lượng đĩa cứng tăng tương ứng, cùng với sự phát triển dung lượng của các đĩa Do đó, vấn đề bị phát sinh khi chúng ta có quá nhiều thiết bị lưu trữ vật lý cần được quản lý Mặc dù có nhiều phương pháp được đề xuất để phục vụ cho việc quản lý này như RAID (Ghép nhiều đĩa cứng vật lý thành 1 đĩa cứng, qua đó gia tăng tốc độ đọc ghi và có khả năng chịu lỗi cao), NAS (Network-attached storage), và SAN (Storage-area networks), việc quản lý vẫn rất khó khăn và độ phức tạp cao

Do đó, khái niệm ảo hóa hệ thống lưu trữ (Storage virtualization) ra đời Ảo hóa

hệ thống lưu trữ, về cơ bản là sự mô phỏng, giả lập việc lưu trữ từ các thiết bị lưu trữ vật lý Các thiết bị này có thể là băng từ, ổ cứng hay kết hợp cả 2 loại

Hình 2.4: Áo hóa hệ thống lưu trữ

Ảo hóa hệ thống lưu trữ mang lại các ích lợi như việc tăng tốc khả năng truy xuất dữ liệu, do việc trải rộng và phân chia các tác vụ đọc/viết trong mạng lưu trữ Ngoài ra, việc mô phỏng các thiết bị lưu trữ vật lý cho phép tiết kiệm thời gian hơn thay vì phải định vị xem máy chủ nào hoạt động trên ổ cứng nào để truy xuất

Hình 2.5: Host-based Storage Virtualization

Trong mô hình này, ngăn cách giữa lớp ảo hóa và ổ đĩa vật lý là driver điều khiển của các ổ đĩa Phần mềm ảo hóa sẽ truy xuất tài nguyên (các ổ cứng vật lý) thông qua sự điều khiển và truy xuất của lớp Driver này

 Storage-device-based

Phần mềm ảo hóa được nhúng vào ổ cứng vật lý

Hình 2.6: Storage-device based Storage Virtualization

Trong dạng này, phần mềm ảo hóa giao tiếp trực tiếp với ổ cứng Ta có thể xem như đây là 1 dạng firmware đặc biệt, được cài trực tiếp vào ổ cứng Dạng này cho phép truy xuất nhanh nhất tới ổ cứng, nhưng các thiết lập thường khó khăn và phức tạp hơn các mô hình khác Dịch vụ ảo hóa được cung cấp cho các Server thông qua một thiết bị điều khiển gọi là Primary Storage Controller

 Network-based

Hình 2.7: Network-based Storage Virtualization

Trong mô hình này, việc ảo hóa sẽ được thực thi trên một thiết bị mạng, ở đây

có thể là một thiết bị switch hay server Các switch/server này kết nối với các trung tâm lưu trữ (SAN) Từ switch/server này, các ứng dụng kết nối vào được giao tiếp với trung tâm dữ liệu bằng các “ổ cứng” mô phỏng do Switch/server tạo ra dựa trên trung tâm dữ liệu thật Đây cũng là mô hình hay gặp nhất trên thực tế

2.1.2.3 Application Virtualization (Ảo hóa ứng dụng)

2.1.2.3.1 Khái niệm

Thông thường, khi muốn sử dụng một phần mềm nào đó như office, design, người dùng hay có suy nghĩ rằng cần phải tốn thời gian cài đặt phần mềm đó lên trên máy tính, cụ thể hơn là lên hệ điều hành đang sử dụng Điều này tốn khá nhiều thời gian, nhất là nếu áp dụng trên những doanh nghiệp lớn, có cả ngàn máy tính, và đồng thời vấn đề quản lý các phần mềm này như ai truy xuất, thời gian truy xuất cho phép ra sao trở thành một thách thức thật sự

Do đó, khái niệm ảo hóa ứng dụng ra đời Một ứng dụng được ảo hóa sẽ không được cài đặt lên máy tính một cách thông thường, mặc dù ở góc độ người sử dụng, ứng dụng vẫn hoạt động một cách bình thường Ảo hóa ứng dụng sẽ giúp tách rời sự phụ thuộc giữa nền tảng phần cứng, hệ điều hành và ứng dụng với nhau

2.1.2.3.2 Mô hình hoạt động

Có khá nhiều tổ chức đã tham gia vào quá trình ảo hóa ứng dụng với các mô hình khác nhau Có thể kể đến như Citrix với mô hình Application Streaming, Microsoft với mô hình Microsoft Application Virtualization Ở đây chúng ta sẽ tìm hiểu về mô hình Application Streaming của Citrix

Hình 2.8: Mô hình Application Streaming của Citrix

Kỹ thuật streaming cho phép người quản lý có thể “đẩy” và quản lý các ứng dụng trên nền tảng hệ điều hành Windows đến bất cứ người dùng nào theo yêu cầu Cụ thể hơn: thông qua các đường truyền dữ liệu được dành riêng, các ứng dụng được tải

về thiết bị của người dùng, sau đó chạy trên một môi trường giả lập Các thành phần của hệ thống application streaming này bao gồm:

Application Profiler: Tại đây các application được đóng gói, kèm với nó là các

thông tin như tài nguyên cần thiết để chạy ứng dụng, các quy tắc khi triển khai trên thiết bị người dùng, các thành phần của ứng dụng…

Application Hub: Sau khi đã được đóng gói kèm theo các thông tin cần thiết,

các ứng dụng/phần mềm được lưu trữ tại đây

Một đặc điểm với kỹ thuật này là: Các ứng dụng được lưu trữ tại bộ nhớ cục bộ

tại các máy tính cuối của người dùng, và được sử dụng như các phần mềm được cài

đặt theo cách truyền thống Nhưng thật sự nó không được cài đặt, mà là chạy trên lớp đệm là môi trường ảo hóa nằm ngay trên hệ điều hành

2.1.2.4 Server Virtualization (Ảo hóa hệ thống máy chủ )

2.1.2.4.1 Khái niệm

Như đã giới thiệu ở phần đầu tiên, ảo hóa hệ thống máy chủ tức là ta tiến hành phân chia một server thành nhiều server ảo, đối với người sử dụng họ nhận biết và sử dụng các server ảo giống như một máy vật lý độc lập có đủ các tài nguyên cần thiết (bộ vi xủ lý, bộ nhớ, kết nối mạng, …), trong khi các server ảo không hề có những tài nguyên độc lập như vậy, nó chỉ sử dụng tài nguyên được gán từ máy chủ vật lý Ở đây, bản chất A là các server ảo sử dụng tài nguyên của máy chủ vật lý, bản chất B là các server ảo có thể hoạt động như một server vật lý độc lập

Ảo hóa hệ thống máy chủ giúp đem lại nhiều lợi ích, như tăng tính di động, dễ thiết lập của các máy chủ ảo, giúp việc quản lý, chia sẻ tài nguyên tốt hơn, quản lý luồng làm việc phù hợp với nhu cầu, dể huấn luyện, cài đặt…

2.1.2.4.2 Mô hình hoạt động

Xét về kiến trúc hệ thống, các mô hình ảo hóa hệ thống máy chủ có thể ở hai dạng Host-based hoặc Hypervisor-based (còn gọi là bare-metal hypervisor) Ngoài ra, tùy theo từng sản phẩm ảo hóa được triển khai (như VMWare, Microsoft HyperV, Citrix XEN Server) mà mức độ ảo hóa cụ thể sẽ khác nhau Các mức độ ảo hóa bao gồm:

 Full virtualization: Hệ điều hành khách (Các hệ điều hành cài trên máy

chủ ảo) không bị thay đổi, và chúng hoạt động như trên phần cứng thật sự

 Para virtualization: Các hệ điều hành khách sẽ bị thay đổi để hoạt động tốt

hơn với phần cứng Tuy nhiên dạng này thường có hạn chế là hỗ trợ khá ít các loại hệ điều hành khách

 Emulation: Các hệ điều hành khách bị thay đổi, nhưng chúng được chạy

trên một phần mềm giả lập CPU vật lý

Để có một cái nhìn đầy đủ hơn, ta xem xét hai dạng kiến trúc Host-based và Hypervisor-based của ảo hóa hệ thống máy chủ, đồng thời xem xét khái niệm Hypervisor là gì

 Hypervisor là gì

Để hiểu rõ hơn về khái niệm ảo hóa máy chủ, trước hết chúng ta sẽ tìm hiểu một định nghĩa mới, đó là hypervisor Hypervisor hay còn gọi là Virtual Machine Monitor (VMM), là một lớp phần mềm “mỏng” giữa phần cứng và hệ điều hành để cho phép các hệ điều hành đó quản lý và sử dụng các tài nguyên phần cứng cùng lúc

 Kiến trúc Host-based

Còn gọi là hosted hypervisor Kiến trúc này sử dụng một lớp hypervisor chạy

trên nền tảng hệ điều hành, sử dụng các dịch vụ được hệ điều hành cung cấp để phân chia tài nguyên tới các máy ảo Ta xem hypervisor này là một lớp phần mềm riêng

biệt, do đó thì các hệ điều hành khách của máy ảo sẽ nằm trên lớp thứ 3 so với phần cứng máy chủ

xử lý đồ họa, âm thanh…)

 Hệ điều hành Host: Hệ điều hành này thực hiện việc liên lạc trực tiếp với phần cứng, qua đó cung cấp các dịch vụ và chức năng thông qua hệ điều hành này

 Hệ thống virtual machine monitor (hypervisor) : chạy trên nền tảng hệ điều hành host, các hệ thống này lấy tài nguyên và dịch vụ do hệ điều hành host cung cấp, thực hiện việc quản lý, phân chia trên các tài nguyên này

 Các ứng dụng máy ảo: Sử dụng tài nguyên do hypervisor quản lý

Một số hệ thống hypervisor dạng Hosted có thể kể đến như VMware Server, VMware Workstation, Microsoft Virtual Server…

xử lý đồ họa, âm thanh…)

 Lớp nền tảng ảo hóa Virtual Machine Monitor (còn gọi là hypervisor), thực hiện việc liên lạc trực tiếp với nền tảng phần cứng phía dưới, quản

lý và phân phối tài nguyên cho các hệ điều hành khác nằm trên nó

 Các ứng dụng máy ảo: Các máy ảo này sẽ lấy tài nguyên từ phần cứng, thông qua sự cấp phát và quản lý của hypervisor

Một số ví dụ về các hệ thống Bare-metal hypervisor như là: Oracle VM, VMware ESX Server, IBM's POWER Hypervisor (PowerVM), Microsoft's Hyper-V (xuất xưởng tháng 6 năm 2008), Citrix XenServer…

2.2 Các công nghệ hỗ trợ ảo hóa

2.2.1 Công nghệ máy ảo

Máy ảo là một máy tính được cài đặt trên một hệ điều hành khác hay một máy tính khác Một máy ảo cũng bao gồm phần cứng, các ứng dụng phần mềm và hệ điều hành, điều khác biệt ở đây là lớp phần cứng của máy ảo không phải là các thiết bị thường mà chỉ là một môi trường hay phân vùng mà ở đó nó được cấp phát một số tài nguyên như là chu kì cpu, bộ nhớ, ổ đĩa … Công nghệ máy ảo cho phép cài và chạy nhiều máy ảo trên một máy tính vật lý Mỗi máy ảo có một hệ điều hành máy khách riêng lẻ và được phân bố tài nguyên, ổ cứng, card mạng và các tài nguyên phần cứng khác một cách hợp lý Việc phân bố tài nguyên này phụ thuộc vào nhu cầu của từng máy ảo ứng dụng và cũng tùy thuộc vào phương pháp ảo hóa được dùng Đặc biệt khi máy ảo cần truy xuất tài nguyên phần cứng thì nó hoạt động giống như một máy thật hoàn chỉnh Vì chỉ là một tập tin được phân vùng trên ổ đĩa nên việc di chuyển các máy ảo từ máy chủ này sang máy chủ khác là rất dễ dàng và không cần quan tâm đến vấn đề tương thích phần cứng hay ảnh hưởng tới máy chủ

Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng của máy ảo

Trong kiến trúc của một bộ xử lý ảo được chia thành 4 lớp Lớp 0 là lớp có quyền cao nhất có thể truy cập và can thiệp sâu nhất đến tài nguyên phần cứng Lớp 0 thường là các hệ điều hành chủ được cài trên chính máy chủ Lớp 1 là lớp ảo hóa Hypervisor Lớp này dùng để quản lý và phân phối tài nguyên đến các máy ảo Lớp 2

là các hệ điều hành khách chạy trên các máy ảo Để truy cập tài nguyên phần cứng nó phải liên lạc với lớp ảo hóa và phải qua hệ điều hành máy chủ Lớp có quyền can thiệp thấp nhất đến tài nguyên là lớp 3 Đây là các ứng dụng hoạt động trên các máy ảo

Trong các hệ thống máy tính lớn dùng để xử lý các ứng dụng thương mại và khoa học (mainframe), hệ điều hành chạy trên phần cứng máy thực ở chế độ ưu tiên vì chỉ có hệ điều hành chủ mới được phép sửa đổi và can thiệp vào phần cứng bên dưới

nó Còn máy ảo làm việc ở chế độ giới hạn vì phần cứng mà nó nhìn thấy chỉ là các thiết bị ảo Khi máy ảo yêu cầu các lệnh hoặc tiến trình thông thường thì hệ điều hành chủ sẽ chuyển tiếp chúng đến bộ xử lý để thực thi trực tiếp, còn đối với các lệnh hoặc các tiến trình đặc biệt nhạy cảm can thiệp sâu đến phần cứng bên dưới sẽ bị chặn lại vì

có thể làm ảnh hưởng tới hệ thống và máy ảo còn lại Hệ điều hành chủ sẽ thực thi lệnh với bộ xử lý trên máy thực rồi sau đó mô phỏng kết quả rồi trả về cho máy ảo Đây là cơ chế nhằm cách ly máy ảo với máy thực để đảm bảo an toàn hệ thống

2.2.2 Công nghệ Raid

2.2.2.1 Khái niệm Raid

RAID là chữ viết tắt của Redundant Array of Independent Disks có nghĩa là sự tận dụng các phần dư trong các ổ cứng độc lập Ban đầu, RAID được sử dụng như một giải pháp phòng hộ vì nó cho phép ghi dữ liệu lên nhiều đĩa cứng cùng lúc RAID chính là sự kết hợp giữa các đĩa cứng vật lý bằng cách sử dụng một trình điều khiển đặc biệt RAID có thể sử dụng như là một phần cứng lẫn phần mềm

Hệ thống RAID được dùng trong việc đảm bảo an toàn dữ liệu khi có ổ đĩa bị lỗi và phục hồi lại các dữ liệu, có thể thay nóng ổ đĩa đối với một số loại RAID và cũng còn tùy thuộc vào máy chủ RAID ngày càng trở nên cần thiết cho các hệ thống máy tính

Vì RAID mang tính toàn vẹn dữ liệu cao, phục hồi nhanh chóng nên RAID chủ yếu được ứng dụng vào các máy chủ, không phải là các máy bàn không thể dùng RAID được mà là do chi phí đầu tư khá tốn kém nên chỉ ở các hệ thống lớn đòi hỏi độ

an toàn cho dữ liệu phải cao mới sử dụng

2.2.2.2 Lịch sử ra đời và phát triển của Raid

Công nghệ Raid bắt nguồn từ những ý tưởng gom những dung lượng nhỏ còn trống ở nhiều ổ cứng để tạo một ổ cứng có dung lượng lớn hơn Ngày 30-05-1978 Norman Ken Ouchi tại IBM đã nhận được giải thưởng bằng sáng chế với chủ đề

“System for recovering data stored in failed memory unit”[8] Chủ đề này nói về cách hoạt động ghi song song, ánh xạ và ghép đôi mà ngày nay được ứng dụng trong các loại Raid Sau nhiều năm nghiên cứu thì tại viện nghiên cứu Berkeley, Daivid A Patterson, Garth A Gibson và Randy Katz đã đưa ra định nghĩa về Raid và các ứng dụng của nó Vào tháng 6/1988, trong một hội nghị SIGMOD, RAID chính thức được công bố là từ viết tắt của “Redundant Arrays of inexpensive Disk” và cũng từ ngày này trở đi, khái niệm về RAID được xuất hiện

Các chuẩn RAID đang nghiên cứu và phát triển hiện này:

 Striping (còn gọi là Song Hành)

Là một trong những chuẩn RAID mang lại hiệu năng cao nhất, nó giúp ta tăng tốc độ truy cập lên tối đa bằng cách ghi song song dữ liệu lên các ổ đĩa này Kỹ thuật này sẽ chia các tập tin dữ liệu ra và ghi đồng thời lên ổ đĩa cứng trong cùng một thời gian Và khi đọc thì cũng đọc cùng lúc trên tất cả các ổ đĩa làm cho tốc độ đọc cao, mang lại hiệu suất cao

Hình 2.12 Sơ đồ hoạt động của chuẩn Striping

 Duplexing

Còn gọi là chuẩn Ghép Đôi Đây là chuẩn mở rộng của ánh xạ Dữ liệu cũng được ghi trên hai ổ cứng nhưng phải có hai bộ điều khiển RAID kết nối với hai đĩa cứng Chi phí cho kỹ thuật này tốn kém hơn vì phải sử dụng hai bộ điều khiển và dung lượng lưu trữ thật sự chỉ bằng một nửa dung lượng của các ổ đĩa

Hình 2.13: Sơ đồ hoạt động của chuẩn Duplexing

 Chuẩn Parity Raid

Đây là phương pháp bảo vệ an toàn cho dữ liệu, nó sử dụng các thông tin mang tính chẵn lẻ bằng cách lưu giữ một con số nhị phân 0 hoặc 1 cho biết tổng các bít trong gói tin là chẵn hay lẻ Nếu dùng chuẩn này thị lợi ích lớn nhất của nó là không yêu cầu

hệ thống RAID bớt đi một phần dung lượng để lưu trữ dữ liệu Nhưng khuyết điểm của nó là phải yêu cầu hệ thống một phần cứng thật mạnh

toàn bộ dữ liệu sẽ không sử dụng được Raid 0 đòi hỏi ít nhất hai ổ đĩa và dung lượng

là tổng dung lượng Raid của các ổ đĩa Ví dụ có hai ổ đĩa 80GB thì Raid 0 sẽ tạo thành một ổ đĩa 160GB

Hình 2.14: Sơ đồ hoạt động của Raid level 0

 Raid level 1

Sử dụng chuẩn ánh xạ hay ghép đôi để ghi dữ liệu lên các ổ đĩa Tốc độ truy xuất dữ liệu bình thường như đối với một ổ đĩa đơn Ưu điểm của Raid 1 là tính an toàn dữ liệu cao, vì dữ liệu được sao chép và lưu trũ trên hai ổ đĩa khác nhua Khi một

ổ đĩa hỏng thì ổ đĩa thứ hai sẽ hoạt động và dữ liệu được đảm bảo an toàn Có thể thay nóng một ổ cứng bị hỏng Công nghệ này cũng đòi hỏi ít nhất hai ổ cứng, và dung lượng sau khi Raid 1 là một nửa tổng dung lượng Raid của các ổ đĩa Ví dụ có hai ổ đĩa 80GB sau khi Raid sẽ tạo thành một ổ đĩa 80GB và một ổ dự phòng

Hình 2.15: Sơ đồ hoạt động của Raid 1

 Raid level 5

Đây là loại Raid phổ biến nhất hiện nay vì tốc độ nhanh và độ an toàn dữ liệu cao vì sử dụng kết hợp chuẩn ghi song hành và kiểm tra tính chẵn lẻ (parity) của dữ liệu để ghi lên ổ đĩa

Quy trình ghi và kiểm tra chẵn lẻ là khá phức tạp nên có thể hình dung theo hai quy luật là: Nếu tổng số bít nhiều nhất là số lẻ thì parity là bít 1, nếu tổng số bits nhiều nhất là số chẵn thì parity là số 0 Theo ví dụ hình 2.8 bên dưới nếu dữ liệu ghi vào đĩa

1 và đĩa 2 lần lượt là 1-0 Tổng số bít là 1 nên parity sẽ là 1 Vậy dữ liệu ghi trên 3 đĩa lúc này là 1-0-1 Nếu đĩa 1 bị hư hỏng thì dữ liệu lúc này sẽ là -0-1 và dựa vào quy luật

trên ta có thể suy ra dữ liệu trên ổ đĩa 1 là bít 1 Tương tự nếu ổ đĩa thứ hai bị hư thì dữ liệu sẽ là 1- -1 và dựa vào quy luật trên ta có thể suy ra bít trong ổ đĩa thứ hai là 0

Ta có thể thấy dữ liệu có thể được lấy lại một cách nhanh chóng Tuy nhiên để đầu tư cho phương pháp này thì khá tốn kém Nó yêu cầu ít nhất ba ổ đĩa và dung lượng ổ đĩa tạo thành là tổng dung lượng Raid trừ đi một đĩa

Hình 2.16: Sơ đồ hoạt động của Raid 5

Hình 2.17: Sơ đồ hoạt động của Raid 1-0

2.2.3 Công nghệ lưu trữ mạng Sans

Công nghệ lưu trữ mạng cục bộ SAN (Storage Area Network) là một hệ thống được thiết kế cho việc thêm các ổ đĩa lưu trữ cho một hệ thống máy chủ một cách dễ dàng như ổ đĩa cứng, hoặc băng từ Công nghệ này cho phép người dùng kết nối từ xa đến các thiết bị lưu trữ trên mạng vì thế nên nó dễ dàng chia sẻ lưu trữ và quản lý thông tin, mở rộng lưu trữ dễ dàng thông qua quá trình thêm các thiết bị lưu trữ vào mạng không cần phải thay đổi các thiết bị như máy chủ hay các thiết bị lưu trữ hiện

có Trong công nghệ ảo hóa lưu trữ mạng được dùng làm trung tâm của dữ liệu và cũng có thể làm nơi chứa các máy ảo khi cần thiết Nó hỗ trợ các máy chủ có thể lấy

dữ liệu từ nó để khởi động

SAN cũng có thể được thiết kế tích hợp các tính năng lưu trữ và cho phép nhiều máy chủ cùng lưu trữ trên nó Ngoài ra một ưu điểm nổi trội của nó là phục hồi dữ liệu một cách nhanh chóng bằng cách thay nóng một thiết bị bị lỗi Từ đó cho thấy SAN là một thành phần không thể thiếu của một hệ thống lớn

Hình 2.18: Sơ đồ lưu trữ San

2.2.4 Công nghệ High Availability

High Availability được cung cấp bởi nhà sản xuất Vmware Đây là một tiện ích hoàn hảo được thiết kế cho hệ thống máy chủ ESX và Vmware Infrastructure Mục đích của công nghệ này là di chuyển các máy ảo từ máy chủ này sang một máy chủ khác khi sảy ra sự cố về hỏng hóc máy chủ vật lý hay mất kết nối mạng Công nghệ này giúp các máy ảo ứng dụng có thể được phục hồi và hoạt động ngay khi chuyển sang máy chủ mới mà không có lo lắng gì về vấn đề tương thích với máy chủ vật lý

Đây là một tính năng rất mạnh vì bất cứ hệ thống hoặc thiết bị phần cứng nào cũng đều có thể bị rủi ro và hư hỏng, và các vấn đề trục trặc này khó có thể đoán trước

được Vì vậy để đảm bảo an toàn dữ liệu và các máy chủ ứng dụng có thể hoạt động trực tuyến ngay lập tức thì khi bị sự cố thì giải pháp chính là cấu hình cho hệ thống hoạt động tính năng High Availability

Hình 2.19: Sơ đồ hoạt động của Vmware High Availability

2.2.4.1 Yêu cầu của Vmware High Availability

 Công nghệ High Availability chỉ hỗ trợ cho một số phần mềm ảo hóa do Vmware cung cấp như là Vmware Infrastructure hoặc Vmware ESX Server

 Để cấu hình tính năng này phải có ít nhất là hai hệ thống máy chủ sử dụng ảo hóa

 Phải có ít nhất một thiết bị lưu trữ SAN để kết nối hai hệ thống

 Yêu cầu phải có tương thích về hoạt động của các hệ thống máy chủ

2.2.4.2 Ưu điểm của High Availability

 Cung cấp độ an toàn cao cho các máy ảo, nhờ đó các máy ảo có thể hoạt động được ngay khi được di chuyển sang hệ thống máy chủ mới

 Không phân loại hệ điều hành, High Availability có thể di chuyển bất cứ

hệ điều hành nào được cài trên máy ảo

 Cấu hình dễ dàng và triển khai nhanh chóng