Bảo mật và quyền riêng tư trong điện toán đám mây

Bảo mật và quyền riêng tư trong điện toán đám mây

- -TIỂU LUẬN

AN NINH MẠNG THÔNG TIN

GIẢNG VIÊN HƯỚNG DẪN: NGUYỄN VIỆT HÙNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG I

ĐỀ TÀI: BẢO MẬT VÀ QUYỀN RIÊNG TƯ TRONG ĐIỆN

TOÁN ĐÁM MÂY.

LỜI NÓI ĐẦU.

Ngày này, đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu quả dữ liệu của riêng công ty cũng như dữ liễu khách hàng, đối tác là một trong những bài toán được ưu tiên hàng đầu và không ngừng gây khó khăncho họ Để có thể quản lý được nguồn dữ liệu đó, ban đầu các doanh nghiệp cần phải đầu rư, tính toán rất nhiều chi phí cho phần cứng, phần mềm, mạng, chi phí cho người quản lý bảo trì hệ thống… Ngoài ra họ còn phải tính toán khả năng mở rộng, nâng cấp thiết bị; phải kiểm soát việc bảo mật dữ liệu cũng như tính sẵn sàng cao của dữ liệu

Từ một bài toán điển hình như vậy, chúng ta thấy được rằng nếu có một nơi tin cậy giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các doanh nghiệp sẽ không còn phải bận tâm đến cơ sở hạ tầng, công nghệ mà chỉ tập trung vào công việc kinh doanh của họ, như vậy thì sẽ mang lại những hiệu quả và lợi ích to lớn

Thuật ngữ “ Cloud computing” ra đời trong hoàn cảnh như vậy.Thuật ngữ “cloud computing” còn được bắt nguồn từ ý tưởng đưa tất cả mọi thứ như dữ liệu, phần mềm, tính toán, … lên trên mạng

Internet Chúng ta sẽ không còn trông thấy các máy PC, máy chủ của riêng các doanh nghiệp để lưu trữ dữ liệu, phần mềm nữa mà chỉ còn một số các “máy chủ ảo” tập trung ở trên mạng Các “máy chủ ảo” sẽ cung cấp các dịch vụ giúp cho doanh nghiệp có thể quản lý dữ liệu dễ dàng hơn, họ sẽ chỉ trả chi phí cho lượng sử dụng dịch vụ của họ, mà không cần phải đầu tư nhiều vào cơ sở hạ tầng cũng như quan tâm nhiều đến công nghệ Xu hướng này sẽ giúp nhiều cho các công ty, doanh nghiệp vừa và nhỏ mà không có cơ sở hạ tầng mạng, máy chủ để lưu trữ, quản lý dữ liệu tốt Các công nghệ mới phát dinh đi theo điện toán đám mây cũng rất nhiều Và vấn đề an ninh bảo mật trong điện toán đám mây

là yêu cầu tiên quyết, trong bài tiểu luận này chúng ta sẽ cùng nghiên cứu

về an ninh trong điện toán đám mây

MỤC LỤC.

Contents

L I NÓI Ờ ĐẦ 2 U.

M C L C Ụ Ụ 3

Contents 3

DANH M C HÌNH V Ụ Ẽ 3

T VI T T T VÀ KÝ T Ừ Ế Ắ Ự 4

CH ƯƠ NG 1: GI I THI U V I N TOÁN ÁM MÂY Ớ Ệ Ề Đ Ệ Đ 4

CH ƯƠ NG 2: B O M T TRONG I N TOÁN ÁM MÂY Ả Ậ Đ Ệ Đ 8

2.1 V n đ an toàn liên quan đ n ki n trúc c a đi n toán đám mây ấ ề ế ế ủ ệ 8

2.1.1 An ninh m c h t ng ở ứ ạ ầ 9

2.1.2 An ninh m c d ch v n n t ng ở ứ ị ụ ề ả 10

2.1.3 An ninh m c d ch v ph n m m ở ứ ị ụ ầ ề 10

2.2 Các m i đe d a đ n an ninh c a đám mây ố ọ ế ủ 11

2.3 Hình th c t n công ứ ấ 12

2.4 Chi n l c b o v an ninh trong T M ế ượ ả ệ Đ Đ 13

2.5 V n đ m ấ ề ở 15

K t lu n ch ng 2 ế ậ ươ 15

CH ƯƠ NG 3: RIÊNG T TRONG I N TOÁN ÁM MÂY Ư Đ Ệ Đ 16

3.1 Các m i đe d a đ n quy n riêng t trong T M ố ọ ế ề ư Đ Đ 16

3.2 Chi n l c b o v T M ế ượ ả ệ Đ Đ 16

3.3 V n đ m ấ ề ở 18

CH ƯƠ NG 4: K T LU N Ế Ậ 19

TÀI LI U THAM KH O Ệ Ả 20

DANH MỤC HÌNH VẼ. Hình 1 Mô hình đi n toán đám mây ệ 5

Hình 2 Bên trong đám mây 6

Hình 3 Mô hình d ch v trong đi n toán đám mây ị ụ ệ 7

Hình 4.mô hình d ch v và m t s ng d ng ị ụ ộ ố ứ ụ 7

Hình 5 Ki n trúc phân t ng trong đi n toán đám mây ế ầ ệ 9

Hình 6 Mô hình 3 l p b o v d li u ớ ả ệ ữ ệ 13

Hình 7 Mô hình b o m t d a trên Encryption Proxy ả ậ ự 14

Hình 8 Mô hình b o m t d li u s d ng VNP loud ả ậ ữ ệ ử ụ 15

DANH MỤC BẢNG BIỂU. B ng 1: Tính b o m t ả ả ậ 11

B ng 2: Tính toàn v n ả ẹ 11

B ng 3: Tính s n sàng ả ẵ 12

B ng 4: Các cách ti p c n quy n riêng t ả ế ậ ề ư 16

TỪ VIẾT TẮT VÀ KÝ TỰ.

CHƯƠNG 1: GIỚI THIỆU VỀ ĐIỆN TOÁN ĐÁM MÂY.

1.1 Định nghĩa.

Điện toán đám mây: còn gọi là điện toán máy chủ ảo, là mô hình điện

toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet Thuật ngữ "đám mây" ở đây là chỉ mạng Internet (dựa vào cách được bố trí của nó trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó

Hình 1 Mô hình điện toán đám mây.

Ở mô hình điện toán này, mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các "dịch vụ", cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó "trong đám mây" mà không cần phải có các kiến thức, kinh nghiệm về công nghệ

đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó

1.2 Mô hình tổng quan.

Theo định nghĩa, các nguồn điện toán khổng lồ như phần mềm, dịch vụ… sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình và văn phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần

Hiện nay, các nhà cung cấp đưa ra nhiều dịch vụ của cloud

computing theo nhiều hướng khác nhau, đưa ra các chuẩn riêng cũng như cách thức hoạt động khác nhau Do đó, việc tích hợp các cloud để giải quyết một bài toán lớn của khách hàng vẫn còn là một vấn đề khó khăn.Chính vì vậy, các nhà cung cấp dịch vụ đang có xu hướng tích hợp các cloud lại với nhau thành “sky computing”, đưa ra các chuẩn chung để

Hình 2 Bên trong đám mây.

giải quyết các bài toán lớn của khách hàng

1.3 Một số dịch vụ của Cloud computing.

Trong điện toán đám mây, mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp phổ biến dưới dạng “dịch vụ” (service), người

sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó “trongđám mây” mà không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó Có 03 mô hình cơ bản nhất thường được sử dụng trong điện toán đám mây là: Phần mềm như một dịch vụ (SaaS); Hạ tầng như một dịch vụ (PaaS) và nền tảng như một dịch vụ (IaaS) Một cách đơn giản, có thể so sánh các mô hình này với mô hình truyền thống

Hình 3 Mô hình dịch vụ trong điện toán đám mây.

Hình 4.mô hình dịch vụ và một số ứng dụng.

1.4. Các đặc điểm của điện toán đám mây.

Đặc điểm: 5 đặc điểm cần thiết để minh họa mối liên kết cũng như sự khácnhau giữa kiến trúc điện toán đám mây và điện toán truyền thống

- Dịch vụ theo yêu cầu Một người sử dụng có thể đơn phương cung

cấp các khả năng điện toán như thời gian máy chủ và lưu trữ trênmạng khi cần thiết một cách tự động, mà không yêu cầu có sự tươngtác với một nhà cung cấp dịch vụ

- Truy cập mạng rộng Các khả năng là sẵn sàng thông qua mạng và

được truy cập thông qua các cơ chế tiêu chuẩn mà khuyến khích sửdụng bằng các nền tảng máy trạm mỏng và dày một cách hỗn hợp (như

các điện thoại di động, các máy tính xách tay và các thiết bị số cá nhânPDA) cũng như các dịch vụ phần mềm khác theo lối truyền thống ho

ặc dựa trên đám mây

- Gộp tài nguyên Các tài nguyên điện toán của nhà cung cấp được gộp

lại để phục vụ cho nhiều người sử dụng có sử dụng mô hình nhiềungười thuê sử dụng, với các tài nguyên ảo và vật lý khác nhau đượcchỉ định và chỉ định lại theo phương thức động theo yêu cầu của người

sử dụng Có một mức độ độc lập về vị trí trong đó người sử dụngthường không có sự kiểm soát hoặc hiểu biết về vị trí chính xác đối vớicác tài nguyên của nhà cung cung cấp, nhưng có thể có khả năng chỉđịnh vị trí ở mức trừu tượng cao hơn (như, quốc gia, bang, hoặc trungtâm dữ liệu) Những ví dụ về các tài nguyên bao gồm lưu trữ, xử lý, bộnhớ, băng thông mạng, và các máy ảo Thậm chí các đám mây riêng có

xu hướng g ộp các tài nguyên giữa những phần khác nhau của cùngmột tổ chức

- Tính đàn hồi nhanh Các khả năng có thể được cung cấp một cách

nhanh chóng và đàn hồi – trong một số trường hợp là một cách tự động– để nhanh chóng mở rộng phạm vi ra ngoài; và nhanh chóng đưa ra

để nhanh chóng thu hẹp phạm vi lại Đối với người sử dụng, cáckhả năng sẵn sàng cho việc cung cấp dường như thường là không giớihạn và có thể được mua theo bất kỳ số lượng nào, bất kỳ lúc nào

- Dịch vụ được đo đếm Các hệ thống đám mây tự động kiểm soát và

tối ưu hóa việc sử dụng các tài nguyên bằng việc thúc đẩy một khảnăng đo đếm được ở một số mức trừu tượng phù hợp với dạng dịch vụ(như lưu trữ, xử lý, độ rộng băng thông, hoặc các tài khoản người

sử dụng tích cực đang hoạt động) Việc sử dụng các tài nguyên có thểđược giám sát, kiểm soát, và báo cáo – cung cấp sự minh bạch cho cảnhà cung cấp và người sử dụng dịch vụ

1.5 Kết luận chương 1.

CHƯƠNG 2: BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM

MÂY.

2.1 Vấn đề an toàn liên quan đến kiến trúc của điện toán đám mây.

Điện toán mây được cấu thành từ nhiều thành phần khác nhau Từ máy chủ, lưu trữ, mạng được ảo hóa, tiếp theo là các thành phần quản lý Cloud Management Thành phần này sẽ quản lý tất cả các tài nguyên được

ảo hóa và tạo ra các máy chủ ảo với hệ điều hành, ứng dụng để cung cấp cho khách hàng Như vậy, điện toán mây là một mô hình lego với rất nhiều

miếng ghép công nghệ tạo thành Mỗi một miếng ghép lại tồn tại trong nó những vấn đề bảo mật và vô hình chung, điện toán mây khi giải bài toán bảo mật tất yếu phải giải quyết các vấn đề của những miếng ghép trên.Các dịch vụ điện toán đám mây có kiến trúc phân tầng, mỗi tầng cung cấp các dịch vụ và tiện tích của tầng thấp hơn Vì vậy an ninh của hệ thống phụ thuộc vào an ninh của mỗi tầng được thiết kế và cài đặt kèm theo như

Những mối đe dọa này có thể liên quan đến máy chủ ảo như là vi rút và các phần mềm độc hại khác Nhà cung cấp dịch vụ chịu trách nhiện chính về giải pháp cho vấn đề này Khách hàng thuê bao cũng có thể thực hiện các giải pháp và chính sách an toàn riêng cho mình, từ đó làm gia tăng gánh nặng lên phần cứng và hiệu năng chung của hệ thống Các máy chủ ảo vẫn có thể bị lâynhiễm hay bị kiểm soát bởi phần mềm độc hại Trong trường hợp này, các chính sách an ninh của khách hàng có thể bị vô hiệu, như vậy nhà cung cấp dịch vụ phải là người có vai trò chính trong an ninh ở mức này Ngoài ra, vì IaaS khai thác hạ tầng vật lý và chính sách chung như DNS Server, Switch, IPprotocol,… Vì vậy, khả năng bị tấn công vào “khách hàng yếu nhất” sau đó

“lây lan” cho các khách hàng khác Vấn đề này hiện nay khách hàng thuê bao

không thểcan thiệp gì vì nhiều máy chủ ảo chia sẻ cùng tài nguyên vật lý như CPU, bộnhớ, đĩa,… Mọi ánh xạ vật lý-máy ảo, máy ảo-vật lý đều thông qua một “bộ ảo hóa”, nếu bộ này bị phần mềm độc hại kiểm soát thì toàn bộ kháchhàng trong đám mây sẽ bị cùng một mối hiểm họa như nhau.

vì vậy những nguy cơ về an toàn giống hệt như những nguy cơ an toàn của SOA như tấn công từ chối dịch vụ, tấn công XML và nhiều cách tấn công

khác 1114 Vì dịch vụ nền tảng là dịch vụ đa thuê bao, nhiều người dùng nên cơ chế xác thực, chứng thực là rất quan trọng Trách nhiệm bảo mật

và an toàn trong trường hợp này liên quan đến cảnhà cung cấp, người thuê bao và người dùng (user) Các dịch vụ PaaS phải cung cấp môi trường đểphát triển ứng dụng bao gồm chức năng tác nghiệp, các chức năng an toàn và quản

lí hệthống Nhà cung cấp cần có cơ chế bắt buộc chứng thực để truy cập các dịch vụ PaaS, người thuê bao có trách nhiệm phát triển hay cung cấp các chứcnăng bảo mật cần thiết thông qua cơchếchứng thực chung và người dùng phải

có trách nhiệm bảo vệ tài khoản đăng nhập cá nhân của mình

an toàn được chia sẻ cho nhà cung cấp hạ tầng đám mây và nhà cung cấp dịch

vụ phần mềm

Người dùng đầu cuối (end user) chỉ là người dùng phần mềm với các lựa chọn cấu hình khác nhau được cung cấp bởi phần mềm nên không có nhiều vai trò trong an toàn hệ thống Người dùng cuối chỉ biết tin vào nhà cung cấp phần mềm và các cam kết của nhà cung cấp về trách nhiệm bảo mật.Thông thường các cam kết này có thể là điều khoản trong hợp đồng thuê bao phần mềm, như là: an toàn thông tin và chất lượng dịch vụ Chúng thường bao

gồm: dung lượng dữ liệu, toàn vẹn dữ liệu, chính sách về phân tán, sao lưu và phục hồi dữ liệu khi có sự cố, độ tin cậy, tính riêng tư và an toàn mạng cùng với các cam kết khác vềchất lượng dịch vụ như dung lượng đường truyền, tính sẵn dùng.

2.2 Các mối đe dọa đến an ninh của đám mây.

• L i c a b o m t truy c p trên nhi u tên mi n ỗ ủ ả ậ ậ ề ề

• L i c a đi n t và h th ng truy n d n v t lý cho cho ỗ ủ ệ ử ệ ố ề ẫ ậ

d li u đám mây và d phòng ữ ệ ự

Bảng 2: Tính toàn vẹn.

S phân ly d li u ự ữ ệ

• Vành đai an ninh không đúng quy đ nh ị

• C u hình không chính xác c a các máy o và hypervisor ấ ủ ả Truy c p ng i dùng ậ ườ

• Nghèo v nh n d ng và qu n lý th t c truy c p ề ậ ạ ả ủ ụ ậ

Ch t l ng d li u ấ ượ ữ ệ

• Gi i thi u l i nh ng ng d ng và thành ph n c s h ớ ệ ỗ ữ ứ ụ ầ ơ ở ạ

t ng ầ

Khai thác th t c ph c h i y u ủ ụ ụ ồ ế2.3 Hình thức tấn công.

Khi dao d ch trong môi tr ng đi n toán đám mây, b o m t có ngh là d li u đ c ị ườ ệ ả ậ ĩ ữ ệ ượ

gi bí m t t c 2 phía là khách hàng và nhà cung c p Không m t bên th 3 nào ữ ậ ừ ả ấ ộ ứ

đ c bi t các thông tin liên quan đ n d li u đó.ượ ế ế ữ ệ

Hình thức tấn công.

Có 2 chủ thể trên điện toán đám mây là người dùng và nhà cung cấp

Các mối đe dọa đến an toàn trong điện toán đám mây tạm gọi là hacker.

Các bước thực hiện của một cuộc tấn công:

Đầu tiên hacker tiến hành thu thập thông tin về mục tiêu, kiểu giao tiếp trao đổi

dữ liệu

Giai đoạn 1: thu thập thông tin.

• Thu thập: Thu thập càng nhiều thông tin liên quan về đối tượng càng tốt,

người dùng, doanh nghiệp, chi nhánh của công ty, máy chủ bao gồm các chi tiết: Domain name, Địa chỉ IP,…

• Thăm dò: phần lớn thông tin quan trọng từ sever có được từ bước này Xác

định những thông tin liên quan đến máy chủ của nhà cung cấp hoặc của khách hàng

• Liệt kê tìm lỗ hổng: Bước này tím kiếm tài nguyên được bảo vệ kém, tài

khoản của người dùng có thể được sử dụng để xâm nhập bao gồm các mật khẩu mặc định

Giai đoạn 2: Phân tích và hành động.

• Dành quyền truy cập: hacker tìm cách truy cập vào mạng bằng những

thông tin có được từ các bước trên Tấn công vào các lỗ hổng bảo mật bằng cách tấn công vào lỗi tràn bộ đệm

• Nâng quyền hệ thống: Trong trường hợp hacker xâm nhập đựợc vào mạng với một tài khoản nào đó, thì họ sẽ tìm cách kiểm soát toàn bộ hệ thống Hacker sẽ tìm cách crack password của admin, hoặc sử dụng lỗ hổng để leo thang đặc quyền Kẻ xâm nhập có thể truy cập vào các files hay folder

dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy

phần mềm như là Backdoors và Trojan horses, cũng như cho phép truy cậpsâu hơn và thăm dò Mục đích chung của hacker là chiếm được quyền truy cập ở mức độ quản trị Khi đó xem như có toàn quyền điều khiển hệ thống mạng Có thể sử dụng Sniffer để bắt các gói tin, từ đó phân tích tìm ra mật khẩu.

• Khai thác hệ thống: Thông tin lấy từ bước trên đủ để hacker định vị server

và điều khiển server Tùy vào mục đích là ăn cắp thông tin hay phá hoại

mà hacker dừng ở những bước khác nhau

Giai đoạn 3 : Dừng và xóa dấu vết.

• Tạo cổng hậu: Để chuẩn bị cho lần xâm nhập tiếp theo được dễ dàng hơn

Hacker để lại Backdoors, tức là một cơ chế cho phép hacker truy nhập trở lại bằng con đường bí mật không phải tốn nhiều công sức khai phá, bằng việc cài đặt Trojan hay tạo user mới Ở đây là các loại Trojan, keylog, creat rogue user accounts…

• Xoá dấu vết: Sau khi đã có những thông tin cần thiết, hacker tìm cách xoá

dấu vết, xoá các file LOG của hệ điều hành làm cho người quản lý không nhận ra hệ thống đã bị xâm nhập hoặc có biết cũng không tìm ra kẻ xâm nhập là ai Sử dụng công cụ: Clear logs, Zap, Event log GUI…

•

2.4 Chiến lược bảo vệ an ninh trong ĐTĐM.

Đảm bảo an toàn là vấn đề sống còn đối với sự phát triển của điện toán đám mây trong thực tế Hiện nay, rất nhiều tổ chức và doanh nghiệp đã

nghiên cứu và đưa ra nhiều giải pháp an toàn cho điện toán đám mây Dưới đây giới thiệu sơ lược về một số mô hình an toàn và thuật toán mã hóa cơ bản

đã được xuất bản gần đây

Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây

Hình 6 Mô hình 3 lớp bảo vệ dữ liệu.

Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, với giải pháp thường được áp dụng là dùng mật khẩu một lần (One Time