Kỹ thuật an toàn thông tin cho dịch vụ lưu trữ đám mây

Theo Peter M và Timothy G 2009 thuộc Viện tiêu chu n và công nghệ quốc gia Mỹ NIST đã đưa ra định nghĩa về điện toán đám mây như sau: iệ mây là ô hì h iện toán cho phép truy cập qua mạ

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG

KỸ THUẬT AN TOÀN THÔNG TIN CHO DỊCH VỤ LƯU TRỮ ĐÁM MÂY

LÊ THỊ HOÀNG LINH

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ

KỸ THUẬT AN TOÀN THÔNG TIN CHO DỊCH VỤ LƯU TRỮ ĐÁM MÂY

LÊ THỊ HOÀNG LINH

CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG

MÃ SỐ: 8520208

TS NGUYỄN HOÀI GIANG

HÀ NỘI – 11/2018

LỜI CAM ĐOAN

Luận văn Thạc sĩ “Kỹ thuật An toàn thông tin cho dịch vụ lưu trữ đám mây” là công trình nghi n cứu của cá nhân tôi

Các nội dung nghiên cứu và th nghiệm trình bày trong luận văn là trung thực rõ ràng

Các tài liệu tham khảo, nội dung trích dẫn đã ghi rõ nguồn gốc

Ngày 15 tháng 11 năm 2018

Tác giả luận văn

Lê Thị Hoàng Linh

LỜI CẢM ƠN

Đầu tiên, em xin g i lời cảm ơn sâu sắc tới TS Nguyễn Hoài Giang, Thầy giáo trực tiếp hướng dẫn, định hướng cho luận văn cũng như tạo điều kiện về thời gian,

sự gi p đ tận tình về kiến thức và các tài liệu tham khảo quý báu

Tiếp theo, em xin cảm ơn các Thầy, Cô trong Khoa Đào tạo sau đại học – Đại học Mở Hà Nội đã nhiệt t nh giảng dạy, truyền đạt kiến thức cho em trong suốt thời gian qua

Em xin cảm ơn gia đ nh, bạn b đã chia s , gi p đ t i trong học tập và thời gian thực hiện nghiên cứu đề tài này

Luận văn này chắc chắn kh ng tránh khỏi những thiếu sót, em mong nhận được những lời g p , ch bảo t các Thầy, Cô và các bạn để có thể hoàn thiện đề tài của mình tốt hơn

Hà Nội, ngày 15 tháng 11 năm 2018

Người thực hiện

Lê Thị Hoàng Linh

T M TẮT LUẬN VĂN

Trong thời đại b ng n th ng tin như hiện nay, nhu cầu lưu trữ và chia s dữ liệu

là r t lớn, các nguồn dữ liệu được ưu ti n lưu trữ trực tuyến để dễ dàng cho việc truy xu t và cập nhật, quản lý

R t nhiều dịch vụ miễn ph như ropbox, Google rive, One rive đã được cung c p cho người d ng C r t nhiều t chức, cá nhân đã lựa chọn s dụng dịch

vụ ở tr n để làm giải pháp sao lưu, chia s dữ liệu và lưu trữ

Tuy nhi n khi lưu trữ dữ liệu tr n đám mây của các nhà cung c p thương mại th

v n đề bảo mật dữ liệu lu n làm người d ng lo ngại khi s dụng dịch vụ Đ c biệt là những cơ quan đơn vị c các dữ liệu quan trọng, hay các b mật thương mại, sở hữu

tr tuệ th họ đ c biệt quan tâm đến t nh b mật của dữ liệu

Giải quyết bài toán này đồ án đã tập trung tr nh bày các nội ch nh sau:

 T m hiểu cơ bản về điện toán đám mây

 T m hiểu v n đề an toàn bảo mật dữ liệu tr n đám mây

 Lựa chọn, đề xu t giải pháp mã nguồn mở Owncloud để triển khai dịch vụ lưu trữ đám mây ri ng cho các t chức, cơ quan c những giữ liệu b mật cần bảo vệ

MỤC LỤC

LỜI CAM ĐOAN 1

LỜI CẢM ƠN 2

T M TẮT LUẬN V N 4

MỤC LỤC 6

ANH MỤC H NH V 8

MỞ Đ U 9

1 L do chọn đề tài 9

2 Mục ti u đề tài 10

3 Phương pháp nghi n cứu 10

4 Kết quả 10

5 ố cục của đồ án 11

CHƯƠNG I – ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG 1

1.1 Khái niệm và các đ c điểm cơ bản điện toán đám mây 12

1.2 Kiến tr c điện toán đám mây 15

1.3 Công nghệ ảo hóa (Virtualization Technologies) 18

1.4 Các m h nh dịch vụ của điện toán đám mây 19

1.5 Các mô hình triển khai điện toán đám mây 23

1.6 Kết luận 27

CHƯƠNG II - AN TOÀN, BẢO MẬT DỮ LIỆU TRÊN ĐÁM MÂY 29

2.1 Một số rủi ro và nguy cơ m t an toàn dữ liệu trong điện toán đám mây 30

2.2 An toàn dữ liệu li n quan đến kiến tr c dịch vụ của điện toán đám mây 32

2.3 An toàn dữ liệu trong các giai đoạn v ng đời dữ liệu 36

2.4 Công nghệ và kỹ thuật đảm bảo an toàn dữ liệu tr n đám mây 38

2.5 Kết luận 45

CHƯƠNG III - XÂY ỰNG CH VỤ LƯU TRỮ ĐÁM MÂY AN TOÀN S ỤNG OWNCLOU 46

3.1 Giới thiệu về Owncloud 48

3.2 Kiến trúc giải pháp của OwnCloud 51

3.3 Tr nh chủ Owncloud 53

3.4 Các đề xu t triển khai tr n thực tế 55

3.5 Th nghiệm dịch vụ lưu trữ đám mây s dụng Owncloud 61

3.6 Kết luận 66

K T LUẬN 67

TÀI LIỆU THAM KHẢO 68

ANH MỤC T VI T TẮT

ACL Access Control List anh sách kiểm soát truy cập

Interface

Giao diện lập tr nh ứng dụng

CPU Central Processing Unit ộ x l trung tâm

CSA Cloud Security Alliance Li n minh điện toán đám mây

Sharing

Hệ thống chia s file tr n Internet

DLP Data Loss Prevention Chống th t thoát dữ liệu

GFS2 Global File System 2 Hệ thống tập tin chia s đĩa

HA High Availability T nh s n sàng truy cập cao

HIDS Host Intrusion Detection

System

Hệ thống phát hiện xâm nhập tại

ch

IaaS Infrastructure as a Service ịch vụ hạ tầng

IDS Intrustion detection system Hệ thống phát hiện xâm nhập

IPS Intrustion prevention system Hệ thống ph ng chống xâm nhập

NIDS Network Intrusion Detection

System

Hệ thống phát hiện xâm nhập tr n mạng

NIST National Institute of

Standards and Technology

Viện ti u chu n và c ng nghệ quốc gia

NFS Network File System Hệ thống tập tin mạng

OCR Optical Character

Recognition

Hệ thống nhận diện k tự

RAM Random Access Memory ộ nhớ truy cập ngẫu nhi n

REST Representational State

Tranfer

Kiến tr c dịch vụ Web thay thế cho SOAP

SLA Service Level Agreement Thỏa thuận mức dịch vụ

SOA Service Oriented

EFS Encrypting File System Hệ thống tập tin mã h a

VMM Virtual Machine Monitor Tr nh quản l máy ảo

WebDAV Web-based Distributed

Authoring and Versioning

Hệ thống quản lý chứng thực và phiên bản dựa tr n m i trường Web

ANH MỤC H NH V

Hình 1.1 - Các đ c điểm, mô hình dịch vụ và mô hình triển khai của ĐTĐM 12

Hình 1.2 - Kiến tr c cơ bản của điện toán đám mây 15

Hình 1.3 - Kiến trúc phân lớp của điện toán đám mây 16

Hình 1.5 - Mô hình dịch vụ điện toán đám mây và các ứng dụng thực tế 20

Hình 2.1 - Biện pháp đảm bảo an toàn trong v ng đời dữ liệu 38

Hình 2.2 - Sơ đồ s dụng mã h a trong điện toán đám mây 40

H nh 3.1 - Các user case khi s dụng dịch vụ ropbox 50

H nh 3.2 - M h nh lưu trữ đám mây s dụng OwnCloud 51

Hình 3.3 - Kiến trúc giải pháp của OwnCloud 52

Hình 3.4 - Kiến trúc máy chủ OwnCloud 53

H nh 3.5 - M h nh triển khai cho t chức quy m nhỏ 55

H nh 3.6 - M h nh triển khai cho t chức quy m trung b nh 56

H nh 3.7 - M h nh đề xu t cho một đơn vị đào tạo 58

H nh 3.8 - C u h nh mã h a dữ liệu tr n server 59

H nh 3.9 - M h nh hệ thống Owncloud th nghiệm 61

H nh 3.10 - Giao diện khi đăng nhập lần đầu vào Owncloud 62

H nh 3.11 - Tạo người d ng của hệ thống lưu trữ 62

H nh 3.12 - Giao diện phần mềm máy trạm Windows 7 63

H nh 3.13 - Cảnh báo về chứng ch self-signed 63

H nh 3.14 - Thực hiện ch p các tập tin vào thư mục để upload l n server 64

H nh 3.15 - ữ liệu t máy client đã được tải l n server 64

H nh 3.16 - Chia s tập tin cho người d ng user2 65

H nh 3.17 - Đăng nhập tài khoản tr n máy client Ubuntu 65

H nh 3.18 - Tập tin được chia s bởi user1 66

MỞ Đ U

L o ọn t

Ngày nay khi công nghệ thông tin và internet phát triển mạnh mẽ kéo theo sự gia tăng của các mối đe dọa như: tin t c, mã độc v.v th v n đề bảo vệ an toàn dữ liệu tại c ng sở, nơi làm việc cũng như tại nhà đang là một nhu cầu thiết yếu ịch

vụ lưu trữ trên mây là một giải pháp để giải quyết v n đề này

Ngày càng có nhiều người lựa chọn s dụng loại hình dịch vụ này v t nh dễ s dụng đối với người d ng trong việc lưu trữ và sao lưu dữ liệu, đồng thời cung c p khả năng chia s dữ liệu giữa những người cùng s dụng dịch vụ với nhau cũng như đồng bộ dữ liệu trên nhiều thiết bị

Tuy nhi n, người d ng đ c biệt là các doanh nghiệp thường do dự khi giao phó

dữ liệu của mình cho nhà cung c p dịch vụ lưu trữ trên mây vì họ sợ rằng mình sẽ

m t quyền kiểm soát dữ liệu đ Hơn nữa nguy cơ tin t c t n công vào nhà cung c p dịch vụ đám mây đánh cắp dữ liệu đã làm gia tăng mối lo sợ của người dùng

Để giảm thiểu mối lo sợ này thì các nhà cung c p dịch vụ kh ng ng ng t m các biện pháp để đảm bảo an toàn dữ liệu của người d ng Điện toán đám mây c kiến

tr c phức tạp gồm nhiều thành phần khác nhau, phục vụ số lượng lớn các người dùng với các yêu cầu khác nhau do đ sẽ tồn tại nhiều nguy cơ gây m t an toàn

Ch nh v vậy việc đảm bảo an toàn dữ liệu cho điện toán đám mây đ i hỏi cần phải xem x t một cách toàn diện t y u cầu về con người, c ng nghệ, kỹ thuật đến ch nh sách

Đây cũng ch nh là l do em đã chọn luận văn của m nh là “Kỹ thuật An toàn

thông tin cho dịch vụ lưu trữ đám mây”

Mụ t u t

Đề tài tập trung nghi n cứu v n đề an toàn, bảo mật dữ liệu tr n điện toán đám mây cụ thể là đối với dịch vụ lưu trữ đám mây

T m hiểu các nguy cơ và phương pháp bảo vệ an toàn dữ liệu tr n đám mây, t

đ lựa chọn s dụng giải pháp mã nguồn mở để xây dựng dịch vụ lưu trữ đám mây đảm bảo an toàn dữ liệu cho người d ng và c thể triển khai tại các cơ quan, doanh nghiệp v a và nhỏ

Để đạt được mục ti u đ luận văn tập trung làm rõ các nội dung ch nh như sau:

1 T m hiểu t ng quan về điện toán đám mây

2 T m hiểu v n đề an toàn, bảo mật dữ liệu tr n đám mây

3 T m hiểu giải pháp mã nguồn mở Owncloud - dịch vụ lưu trữ đám mây, th nghiệm và đưa ra đề xu t ứng dụng

P n p p n n u

1 Phương pháp nghi n cứu l thuyết

T ng hợp kiến thức nghi n cứu t các nguồn tài liệu như: sách điện t , ti u chu n, bài báo khoa học

2 Phương pháp th nghiệm

- Đọc các tài liệu hướng dẫn t website của nhà phát triển sản ph m

- Cài đ t th nghiệm tr n máy ảo

t quả

Việc th nghiệm giải pháp tr n m i trường máy ảo đã cho th y khả năng áp dụng triển khai dịch vụ lưu trữ đám mây ri ng s dụng Owncloud là r t khả thi Các chức năng, sự tiện dụng và bảo mật sẽ là những đ c điểm mà r t nhiều t chức doanh nghiệp quan tâm

ụ luận văn:

Luận văn chia làm 3 chương với nội dung cụ thể như sau:

Chương 1 - Điện toán đám mây và ứng dụng

Chương này tr nh bày kiến thức cơ bản về điện toán đám mây:

- Định nghĩa điện toán đám mây

- Các đ c điểm, các m h nh dịch vụ, m h nh triển khai của điện toán đám mây và kiến tr c của điện toán đám mây

Việc t m hiểu sẽ gi p hiểu được những giải pháp đảm bảo an toàn bảo mật dữ liệu tr nh bày ở chương 2

Chương 2 - An toàn th ng tin dữ liệu cho điện toán đám mây

Chương này sẽ tr nh bày các mối hiểm họa đối với điện toán đám mây:

- Xem x t v n đề an toàn dữ liệu t g c độ kiến tr c đến các giai đoạn trong v ng đời dữ liệu

- T m hiểu các giải pháp c ng nghệ và kỹ thuật đảm bảo an toàn dữ liệu cho điện toán đám mây

Chương 3 - T m hiểu giải pháp lưu trữ đám mây s dụng phần mềm nguồn

mở Owncloud

- Phân t ch các ưu nhược điểm của phần mềm

- Th nghiệm tr n m i trường máy ảo

- Đề xu t các m h nh triển khai tr n thực tế và các giải pháp bảo đảm, an toàn và bảo mật cho dữ liệu của t chức triển khai

CHƯƠNG 1 – ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG

Chương đầu tiên này sẽ trình bày những nội dung cơ bản về điện toán đám mây: các khái niệm, kiến tr c, m h nh và những lợi ch mà điện toán đám mây mang lại

1.1 Khái niệm v ặ ểm bản ện to n m mây

 Địn n ện to n m mây

Điện toán đám mây ra đời đã góp phần tạo ra những dịch vụ công nghệ thông tin được cung c p đến mọi đối tượng theo nhu cầu, với thời gian nhanh hơn và chi ph

r hơn Vậy điện toán đám mây là g ?

Theo Peter M và Timothy G (2009) thuộc Viện tiêu chu n và công nghệ quốc

gia Mỹ (NIST) đã đưa ra định nghĩa về điện toán đám mây như sau: iệ

mây là ô hì h iện toán cho phép truy cập qua mạ g ể lựa chọn và sử dụng tài nguyên tính toán (ví dụ: mạng, máy chủ, lưu rữ, ứng dụng và dịch vụ) theo nhu cầu một cách thuận tiệ và ha h chó g, ồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các giao tiếp với nhà cung cấp

Mô hình này gồm có 5 đ c trưng cơ bản, 3 mô hình dịch vụ và 4 mô hình triển khai

Hình 1.1 - C ặ ểm, mô hình dịch vụ và mô hình triển khai c a ĐTĐM

Nói cách khác, điện toán đám mây là loại hình điện toán trong đ tài nguyên tính toán được thu ngoài, đồng thời thỏa mãn các tiêu chí:

 Tài nguyên điện toán có khả năng t y biến, thu hồi, mở rộng theo nhu cầu khách hàng một cách nhanh chóng

 S dụng th ng qua m i trường Internet, c độ s n sàng cao

 Tài nguy n được cung c p theo phương thức dịch vụ Người dùng ch trả tiền cho những gì s dụng, ch trả tiền khi nào s dụng, dùng bao nhiêu trả

b y nhiêu

 C ặ ểm bản ện to n m mây

Theo định nghĩa của NIST, điện toán đám mây c 5 đ c điểm cơ bản sau:

 Tự phục vụ theo nhu cầu: M i khi có nhu cầu người dùng ch cần g i

yêu cầu thông qua trang web cung c p dịch vụ, hệ thống của nhà cung c p

sẽ đáp ứng nhu cầu của người dùng

Lợi ích rõ nh t của việc tự phục vụ là người s dụng có thể nhanh chóng

tự cung c p nguồn tài nguyên mà không cần nhờ tới bộ phận kỹ thuật Người dùng có thể tự phục vụ yêu cầu của m nh như tăng thời gian s dụng server, tăng dung lượng lưu trữ… mà kh ng cần phải tương tác trực tiếp với nhà cung c p dịch vụ, mọi nhu cầu về dịch vụ đều được x lý trên

m i trường Internet

 Truy cập diện rộng: Điện toán đám mây cung c p các dịch vụ thông qua

m i trường Internet o đ , người dùng có kết nối Internet là có thể s dụng dịch vụ hơn nữa, điện toán đám mây ở dạng dịch vụ n n kh ng đ i hỏi khả năng x lý cao ở phía client

Vì vậy người dùng có khả năng s dụng các loại thiết bị và công nghệ với nền tảng khác nhau (ví dụ: điện thoại di động, máy tính bảng, máy tính xách tay, máy trạm) để truy cập s dụng các dịch vụ điện toán đám mây Với điện toán đám mây người dùng không còn bị phụ thuộc vị trí nữa, họ

có thể truy xu t dịch vụ t b t kỳ nơi nào, vào b t kỳ lúc nào có kết nối internet

 Tính linh hoạt, m m dẻo: Đây là t ch ch t đ c biệt nh t, n i bật nh t và

quan trọng nh t của điện toán đám mây

Khả năng điều ch nh hệ thống tùy theo nhu cầu của người dùng, để người

d ng c được những tài nguy n đ ng với những gì họ cần: không nhiều hơn và kh ng t hơn cũng tức là: khi nhu cầu tăng cao, hệ thống sẽ tự mở rộng bằng cách thêm tài nguyên vào và khi nhu cầu giảm xuống, hệ thống

sẽ tự giảm bớt tài nguyên

Đ c điểm này giúp cho nhà cung c p s dụng tài nguyên hiệu quả, tận dụng triệt để tài nguy n dư th a, phục vụ được nhiều khách hàng

Đối với người s dụng dịch vụ, đ c điểm trên giúp họ giảm chi phí do họ

ch trả phí cho những tài nguyên thực sự dùng

 Ướ l ợng dịch vụ: Một nhà cung c p dịch vụ điện toán đám mây phải

ước tính chi phí các nguồn đầu vào của khách hàng và họ có thể s dụng

dữ liệu này để xu t h a đơn cho khách hàng Hệ thống điện toán đám mây

tự động kiểm soát và tối ưu h a việc s dụng tài nguyên (mạng, lưu trữ,

x lý …)

Việc s dụng tài nguy n được theo dõi, kiểm soát và báo cáo minh bạch cho cả 2 phía - nhà cung c p và khách hàng

 T n uy n ợc chia sẻ: Các nguồn tài nguyên bao gồm lưu trữ, x lý,

bộ nhớ và băng th ng mạng, t t cả tài nguy n điện toán của nhà cung c p dịch vụ điện toán đám mây đều được dùng chung, phục vụ cho nhiều khách hàng Các tài nguyên sẽ được phân phối động tùy theo nhu cầu của người dùng

Khi nhu cầu của một khách hàng giảm xuống, thì phần tài nguy n dư th a

sẽ được tận dụng để phục vụ cho một khách hàng khác

Tuy nhiên người dùng có cảm giác về sự độc lập trong s dụng tài nguyên

và không nhận thức được chính xác về vị trí nguồn tài nguy n đang s dụng, nhưng c thể xác định được vị trí nguồn tài nguyên ở mức tương đối (ví dụ: quốc gia, trung tâm dữ liệu )

1.2 Ki n trú ện to n m mây

Kiến tr c điện toán đám mây bao gồm nhiều thành phần khác nhau nhưng về cơ bản kiến trúc của điện toán đám mây gồm 2 thành phần chính được kết nối với nhau thông qua mạng Internet là Front End và Back End

 Front End (phần trước): Phần hạ tầng ph a người dùng của một hệ thống điện toán đám mây Front End bao gồm các máy tính của người dùng, các giao diện, hay các ứng dụng được yêu cầu s dụng trên các nền tảng điện toán đám mây (ví dụ: các trình duyệt - browser)

 Back End (phần sau): Ch nh là đám mây, bao gồm t t cả nguồn tài nguyên cần thiết để có thể cung c p dịch vụ điện toán đám mây như hạ tầng phần cứng (máy chủ, thiết bị mạng, các thiết bị lưu trữ…) các dịch vụ và ứng dụng

mà đám mây cung c p

T t cả các thành phần này sẽ được quản lý tập trung và được bảo vệ khỏi các mối đe dọa t bên ngoài bằng cách triển khai các mô hình quản lý và thực thi chính sách bảo mật

Hình 1.2 - Ki n trú bản c ện to n m mây

Theo cách nhìn phân lớp, đám mây có kiến trúc 4 lớp như tr n h nh 1.3 bao gồm: Phần cứng và mạng, Dịch vụ, Truy cập và Người dùng

Trong đ m i lớp lại có các lớp con với vai trò khác nhau Ví dụ trong lớp phần cứng và mạng có các lớp tài nguy n con: phần cứng, ảo hóa và hướng dịch vụ Trong lớp con tài nguyên phần cứng lại có các thành phần t nh toán, lưu trữ và kết nối mạng

Hình 1.3 - Ki n trúc phân lớp c ện to n m mây

Bản ch t lớp phần cứng và mạng gồm các máy chủ dữ liệu được kết nối với nhau như một hệ thống duy nh t phục vụ cho việc lưu trữ và x lý dữ liệu và các ứng dụng tính toán trên các tài nguyên khác

Điện toán đám mây gọi một ứng dụng chạy trên máy chủ ảo như là n đang chạy tại ch trên hạ tầng phần cứng phân tán trong đám mây Các máy chủ ảo được tạo ra theo cách mà những thỏa thuận dịch vụ (Service Level Agreements) và sự tin cậy đều được đảm bảo

Có thể có nhiều thực thể (instance) khác nhau của cùng một máy chủ ảo truy cập vào những phần s n sàng của cơ sở hạ tầng phần cứng Điều này đảm bảo rằng có nhiều bản sao của các ứng dụng, để khi xảy ra l i chúng s n sàng khắc phục

Máy chủ ảo phân tán quá trình x l vào cơ sở hạ tầng phần cứng và sau khi quá

tr nh t nh toán được hoàn thành chúng sẽ trả về kết quả Quá trình này cần có một phần mềm ho c hệ điều hành x lý công việc quản lý hệ thống phân tán, giống như

kỹ thuật t nh toán lưới, giúp quản lý các yêu cầu khác nhau đến máy chủ ảo

Cơ chế này sẽ đảm bảo việc tạo ra nhiều bản sao và cả việc bảo vệ sự thống nh t

dữ liệu được lưu tr n cơ sở hạ tầng Đồng thời hệ điều hành cũng c thể tự điều

ch nh khi g p quá tải Các tiến trình phân chia x l để hoàn thành đáp ứng yêu cầu

Hệ thống quản lý công việc như vậy trong suốt với người dùng, hay nói cách khác

Lớp dịch vụ cung c p các dịch vụ khác nhau cho người dùng có thể là những phần mềm độc lập ho c kết hợp với các dịch vụ khác để thực hiện tương tác với nhau Ngoài ra nó có thể cung c p sự kết hợp giữa các máy t nh để thực thi một chương tr nh ứng dụng theo yêu cầu của người dùng

Điều quan trọng là các ứng dụng được cung c p luôn luôn s n sàng cho phép khách hàng s dụng ngay mà không cần phải cài đ t, vận hành hay duy trì ứng dụng tại máy tính cá nhân của mình Việc này giúp loại bỏ được các chi phí bảo trì, vận hành các chương tr nh ứng dụng cho người dùng

Lớp truy cập cung c p khả năng truy cập đa dạng trên các nền tảng thiết bị đầu cuối khác nhau để s dụng dịch vụ đám mây cũng như sự tương tác với các dịch vụ của đám mây

Trên cùng là lớp người dùng cung c p các chức năng cho người d ng và đối tác cũng như người quản trị hệ thống đám mây

Và cuối cùng là lớp liên kết chức năng giữa các lớp tr n, đảm bảo chức năng quản lý hoạt động, vận hành cũng như bảo mật và ri ng tư của đám mây

1.3 Công nghệ ảo hóa (Virtualization Technologies)

Ảo h a là c ng nghệ nền tảng của điện toán đám mây Ảo hóa là khái niệm

d ng để ch các tài nguy n điện toán có thể được tạo ra với một mức độ uyển chuyển và linh hoạt r t cao mà kh ng đ i hỏi người dùng phải có kiến thức chuyên sâu về các tài nguyên vật lý nằm ở dưới

Trong m i trường ảo hóa, các tài nguy n điện toán có thể được tạo ra, thay

đ i k ch thước, ho c di chuyển một cách linh động khi nhu cầu biến đ i Ảo hóa cung c p những lợi thế quan trọng trong việc chia s , quản lý và tách biệt tài nguy n điện toán (khả năng cho ph p nhiều người dùng và ứng dụng có thể chia s các tài nguyên vật lý mà không gây ra ảnh hưởng lẫn nhau) của đám mây Công nghệ ảo hóa không ch giới hạn ở máy ảo virtual machine) Ảo h a c n được áp dụng đối với lưu trữ, kết nối mạng và ứng dụng

T t cả các tài nguy n ảo h a được quản lý bởi tr nh quản l máy ảo - VMM Virtual Machine Monitor) hay c n gọi là Hypervisor Hypervisor là một phần mềm nằm ngay trên phần phần cứng ho c b n dưới HĐH nhằm mục đ ch cung c p các

m i trường tách biệt gọi là các phân vùng – partition M i phân vùng ứng với m i máy ảo - VM có thể chạy các HĐH độc lập

Về bản ch t VMM cũng được chia làm 2 loại như h nh 1.4 dưới đây:

H n 1.4 - H loạ tr n quản l m y ảo VMM

 Loạ : VMM đ ng vai tr là một tr nh si u quản l Hypervisor) chạy trên

phần cứng Lớp phần mềm Hypervisor chạy trực tiếp trên nền tảng phần cứng của máy chủ, không thông qua b t kì một HĐH hay một nền tảng nào khác Qua đ , các hypervisor này có khả năng điều khiển, kiểm soát phần cứng của máy chủ Đồng thời, n cũng c khả năng quản lý các HĐH chạy trên nó

Nói cách khác, các HĐH sẽ chạy ở một lớp nằm phía trên các Hypervisor Một số ví dụ về các hệ thống Hypervisor loại 1 nhƣ là: Oracle VM, VMware ESX Server, IBM's POWER Hypervisor (PowerVM), Microsoft's Hyper-V 6/2008), Citrix XenServer…

 Loạ : VMM đ ng vai tr nhƣ một phần mềm trung gian chạy tr n HĐH để

chia s tài nguyên với HĐH Lớp Hypervisor chạy trên nền tảng HĐH, s dụng các dịch vụ đƣợc HĐH cung c p để phân chia tài nguyên tới các máy

ảo Nếu xem Hypervisor này là một lớp phần mềm riêng biệt, thì các HĐH của máy ảo (Guest OS) sẽ nằm trên lớp thứ 3 so với phần cứng máy chủ Một số v dụ về hệ thống hypervisor loại 2 có thể kể đến nhƣ VMware Server, VMware Workstation, Microsoft Virtual Server…

1.4 C m n ị vụ ện to n m mây

Trên thực tế có khá nhiều mô hình khác nhau tuy nhiên theo định nghĩa của NIST điện toán đám mây c 3 mô hình dịch vụ:

 Dịch vụ phần mềm (Software as a Service – SaaS)

 Dịch vụ nền tảng (Platform as a Service – PaaS)

 Dịch vụ cơ sở hạ tầng (Infrastructure as a Service – IaaS)

Cách phân chia này c n đƣợc gọi là mô hình SPI M i mô hình phục vụ một mục đ ch khác nhau Một doanh nghiệp có thể chọn để s dụng ch một, hai ho c thậm chí t t cả ba loại mô hình dịch vụ đám mây đồng thời nếu nhƣ c nhu cầu

Hình 1.5 - Mô hình dịch vụ ện to n m mây và các ng dụng thực t

 SaaS: có khả năng cho khách hàng s dụng các ứng dụng được nhà cung c p

dịch vụ đám mây CSP) cung c p trên một cơ sở hạ tầng điện toán đám mây Các ứng dụng có thể truy cập t các thiết bị khác nhau của khách hàng ho c thông qua một giao diện Thin client, chẳng hạn như một trình duyệt web,

ho c một giao diện chương tr nh

Dịch vụ ứng dụng (SaaS) là một mô hình dịch vụ phần mềm triển khai qua Internet, trong đ SaaS sẽ cung c p gi y phép một dịch vụ cho khách hàng

để s dụng một ứng dụng theo yêu cầu, hay còn gọi là “phần mềm theo yêu cầu” M h nh SaaS cho phép các nhà cung c p phát triển, lưu trữ và vận hành phần mềm để khách hàng s dụng Thay vì mua các phần cứng và phần mềm để chạy một ứng dụng, khách hàng ch cần một máy tính ho c một máy chủ để tải ứng dụng và truy cập internet để chạy phần mềm Phần mềm này

có thể được c p phép cho một người dùng duy nh t ho c cho một nhóm người dùng

SaaS cung c p phần mềm như một dịch vụ trên Internet, không cần cài đ t hay chạy chương tr nh tr n máy t nh ph a khách hàng Những ứng dụng cung

c p cho khách hàng được cài đ t, c u hình trên máy chủ t xa Đồng thời công việc bảo tr đơn giản và được hướng dẫn t nhà cung c p

SaaS có thể được chia thành hai loại chính:

1) Cung cấp cho doanh nghiệp: Đây là những giải pháp kinh doanh được

cung c p cho các công ty và doanh nghiệp Ch ng được cung c p thông qua doanh nghiệp đăng k dịch vụ Các ứng dụng được cung c p thông qua hình thức trên bao gồm các quá tr nh kinh doanh như quản lý dây chuyền cung c p, quan hệ khách hàng và các công cụ hướng kinh doanh

2) Cung cấp cho cá nhân: Các dịch vụ này được cung c p cho công chúng

tr n cơ sở thu bao đăng k Tuy nhi n, họ được cung c p miễn phí và h trợ thông qua quảng cáo Ví dụ trong loại hình này gồm có dịch vụ web mail, chơi game trực tuyến, và ngân hàng của người tiêu dùng, và nhiều kiểu khách hàng khác

 PaaS: có khả năng cho khách hàng triển khai các ứng dụng của họ được tạo

ra ho c mua lại) vào cơ sở hạ tầng điện toán đám mây, s dụng ngôn ngữ lập

tr nh, thư viện, dịch vụ, và các công cụ h trợ của CSP Dịch vụ nền tảng cung c p các nền tảng điện toán cho phép khách hàng phát triển các phần mềm, phục vụ nhu cầu tính toán ho c xây dựng thành dịch vụ trên nền tảng đám mây

PaaS cung c p t t cả các nguồn lực cần thiết để xây dựng các ứng dụng và dịch vụ hoàn toàn t Internet, mà không cần phải tải về hay cài đ t phần mềm Nó h trợ việc phát triển ứng dụng mà không cần quan tâm đến sự phức tạp của việc trang bị và quản lý các lớp phần cứng và phần mềm bên dưới Dịch vụ PaaS có thể được cung c p dưới dạng các ứng dụng lớp giữa (middleware), các máy chủ ứng dụng (application server) cùng các công cụ lập trình với ngôn ngữ lập trình nh t định để xây dựng ứng dụng Dịch vụ PaaS cũng có thể được xây dựng riêng và cung c p cho khách hàng thông qua một API riêng Khách hàng xây dựng ứng dụng và tương tác với hạ tầng điện toán đám mây th ng qua API đ

Các dịch vụ khác bao gồm khả năng t ch hợp dịch vụ web, cơ sở dữ liệu tích hợp, khả năng mở rộng, lưu trữ, quản lý và phiên bản

Nền tảng hướng dịch vụ thường cung c p một giao diện người dùng dựa trên HTML ho c JavaScript Nền tảng hướng dịch vụ h trợ phát triển giao diện web như Simple Object Access Protocol SOAP) và REST Representational State Tranfer), cho phép xây dựng nhiều dịch vụ web

Tùy chọn PaaS có ba loại khác nhau:

1) M tr ờng phát triển bổ sung (Add-on development facilities): Điều

này cho phép các ứng dụng SaaS được lựa chọn Th ng thường, các nhà phát triển PaaS và khách hàng được yêu cầu đăng k cho các ứng dụng SaaS

2) M tr ờn ộc lập (Stand-alone environments): Những m i trường

không cung c p gi y phép, kỹ thuật

3) M tr ờng phân ph i ng dụng (Application delivery-only environments): Những m i trường h trợ dịch vụ lưu trữ theo c p độ, như khả năng mở rộng theo nhu cầu bảo mật nhưng kh ng bao gồm nhiệm vụ phát triển, g

l i, và kiểm tra

 IaaS: Cung c p khả năng cho khách hàng s dụng năng lực x l , lưu trữ,

mạng và tài nguy n máy t nh cơ bản khác của CSP để triển khai chạy hệ điều hành, các ứng dụng và phần mềm khác trên một cơ sở hạ tầng điện toán đám mây

Các dịch vụ cơ sở hạ tầng cung c p cho khách hàng tài nguyên hạ tầng điện toán như máy chủ, mạng, kh ng gian lưu trữ và các công cụ quản trị tài nguy n đ Các tài nguy n này thường được ảo hoá, chu n hoá thành một số

c u h nh trước khi cung c p để đảm bảo khả năng linh hoạt trong quản trị cũng như h trợ tự động hoá

Tầng dưới cùng của đám mây là tầng cung c p dịch vụ cơ sở hạ tầng Ở đây

là một tập hợp các tài nguyên vật l như các máy chủ, các thiết bị mạng và các đĩa cứng lưu trữ được đưa ra như dịch vụ với mục đ ch cung c p cho

khách hàng Cũng như với các dịch vụ nền tảng, ảo hóa là một phương pháp thường được s dụng để tạo ra bản phân phối các nguồn tài nguyên theo yêu cầu Các nhà sản xu t lớn cung c p cơ sở hạ tầng bao gồm IBM Bluehouse, VMware, Amazon EC2, Microsoft Azure Platform, Sun ParaScale Cloud Storage

Các dịch vụ cơ sở hạ tầng tập trung vào v n đề trang bị cho các trung tâm dữ liệu bằng cách đảm bảo công su t điện toán khi cần thiết Trên thực tế các kỹ thuật ảo h a thường được s dụng trong tầng này, nên có thể th y rõ sự tiết kiệm chi phí khi s dụng tài nguyên hệ thống Nhà cung c p dịch vụ ch kiểm soát lớp phần cứng dưới cùng còn toàn bộ lớp tài nguyên ảo hóa cung

c p cho khách hàng cũng như hệ điều hành và ứng dụng là do người dùng quản lý

Ba mô hình dịch vụ IaaS, PaaS, SaaS có mối liên hệ ch t chẽ với nhau trong

t ng thể một hạ tầng điện toán đám mây Với IaaS là nền tảng, PaaS được xây dựng dựa trên IaaS và SaaS lại được xây dựng dựa trên PaaS

Sự khác biệt cơ bản giữa các dịch vụ là khả năng khách hàng có thể điều khiển hay kiểm soát đối với cơ sở hạ tầng đám mây của CSP SaaS cung c p khả năng kiểm soát ít nh t trong khi IaaS cung c p khả năng kiểm soát nhiều nh t cho khách hàng

1.5 Các ng dụng và mô hình triển k ện to n m mây

Điểm mạnh của điện toán đám mây là người dùng có thể truy nhập dữ liệu mọi lúc, mọi nơi ch cần có kết nối internet Những ứng dụng t điện toán đám mây ti u biểu như dịch vụ email, dịch vụ ngân hàng trực tuyến, mạng xã hội hay mua sắm, trò truyện trực tuyến như Facebook, Amazon, Skype hay như Shoppee, Zalo ở Việt Nam

Việc s dụng điện toán đám mây đi k m với những lợi ích:

 Cơ sở dữ liệu mạnh mẽ cùng khả năng mở rộng vô tận cũng như thu hẹp nhanh chóng của nhà cung c p dịch vụ khiến cho việc đầu tư cơ sở hạ tầng

và quản trị, vận hành về công nghệ thông tin của doanh nghiệp trở n n đơn giản hơn bao giờ hết

 Quản lý dữ liệu hiệu quả với dữ liệu thông minh t đ việc phân tích dữ liệu lớn không còn là v n đề nữa khi việc trích xu t th ng tin được h trợ bởi các công nghệ phân tích dữ liệu có c u trúc lẫn không có c u trúc

 Lưu trữ, chia s dữ liệu cũng như sao lưu và kh i phục dữ liệu làm tăng hiệu quả công việc, không còn các tập hồ sơ kế hoạch ngân sách với nhiều định dạng khác nhau thay vào đ là các văn ph ng ảo h nh thành nơi mà công việc được cập nhật ngay cả khi đang di chuyển

 Ngoài ra ứng dụng quản lý doanh nghiệp và mô phỏng m i trường hoạt động kinh doanh thực tế cũng h trợ tốt cho việc th nghiệm, phát triển và quản lý của doanh nghiệp

Với những ứng dụng như vậy việc xây dựng/thiết kế mô hình khi các t chức và doanh nghiệp muốn áp dụng điện toán đám mây vào các hoạt động quản lý hay kinh doanh thì tùy theo yêu cầu s dụng và khả năng tài ch nh họ có thể xem xét, lựa chọn thực hiện triển khai hệ thống điện toán đám mây theo 4 mô hình mà NIST đã đưa ra sau đây

 Đ m mây r n (Private Cloud): Các đám mây riêng là các dịch vụ đám

mây được cung c p trong doanh nghiệp Những đám mây này tồn tại bên trong tường l a công ty và chúng được doanh nghiệp quản lý Các doanh nghiệp có thể s dụng đội ngũ kỹ thuật của m nh để xây dựng ho c có thể thuê nhà cung c p dịch vụ đám mây để thực hiện

Các v n đề kh khăn và chi ph của việc thiết lập một đám mây ri ng đ i khi

có thể có chiều hướng ngăn cản việc xây dựng và s dụng hệ thống loại này Ngoài ra chi phí h trợ hoạt động liên tục của đám mây ri ng c thể vượt quá nhiều lần chi phí của việc s dụng một đám mây c ng cộng

Các đám mây ri ng c nhiều lợi thế hơn so với đám mây chung Việc kiểm soát chi tiết các tài nguy n khác nhau tr n đám mây gi p doanh nghiệp có các lựa chọn c u hình phù hợp doanh nghiệp có thể kiểm soát tối đa đối với

dữ liệu, bảo mật và ch t lượng dịch vụ Doanh nghiệp sở hữu cơ sở hạ tầng đám mây và do đ quản lý các ứng dụng được triển khai trên đ , cũng như

có thể kiểm soát tối đa đối với dữ liệu, bảo mật và ch t lượng dịch vụ Ngoài

ra, các đám mây ri ng là l tưởng khi các kiểu công việc được thực hiện có các yêu cầu về an ninh và quản lý không phù hợp cho một đám mây c ng cộng

 Đ m mây n cộng (Public Cloud): Các đám mây công cộng là các dịch

vụ đám mây được một bên thứ ba (người bán) cung c p cho nhiều người s dụng rộng rãi Các nhà cung c p đám mây chịu trách nhiệm cài đ t, quản lý, cung c p và bảo trì Các dịch vụ thường được cung c p với “các quy ước về

c u hình” nghĩa là ch ng được phân phối với tưởng cung c p các trường hợp s dụng ph biến nh t Các tùy chọn c u hình thường là một tập hợp con nhỏ hơn so với những g mà ch ng đã c nếu nguồn tài nguy n đã được người dùng kiểm soát trực tiếp Khách hàng được tính phí cho các tài nguyên

mà họ s dụng và ch có quyền truy cập vào tài nguy n được c p phát

Người s dụng dịch vụ đám mây c ng cộng sẽ hưởng lợi ích là không m t chi ph đầu tư ban đầu cũng như chi ph vận hành, bảo trì do nhà cung c p dịch vụ đã gánh vác Tuy nhiên đám mây c ng cộng có rủi ro đ là v n đề

m t kiểm soát về dữ liệu và v n đề an toàn dữ liệu của người dùng Trong

mô hình này mọi dữ liệu của người dùng dịch vụ đám mây do nhà cung c p dịch vụ đám mây đ bảo vệ và quản l Ch nh điều này khiến cho khách hàng, nh t là các công ty lớn cảm th y kh ng an toàn đối với những dữ liệu quan trọng của mình và họ thường không s dụng dịch vụ đám mây c ng cộng Một điều khác cần lưu là khi người dùng yêu cầu có quyền kiểm soát

cơ sở hạ tầng, ho c đ i hỏi nhà cung c p tuân thủ các quy định an ninh ch t chẽ thì công việc của rõ ràng họ không thích hợp cho việc s dụng các đám

mây công cộng

 Đ m mây l (Hybrid Cloud): Các đám mây lai là câu trả lời khi một doanh

nghiệp cần s dụng các dịch vụ của cả hai đám mây ri ng và c ng cộng để

khai thác ưu điểm của t ng mô hình Như ch ng ta đã phân t ch ở trên, đám mây công cộng dễ áp dụng, chi phí th p nhưng kh ng an toàn Ngược lại, đám mây ri ng an toàn hơn nhưng tốn chi phí và khó áp dụng

Những đám mây lai thường do doanh nghiệp tạo ra và các trách nhiệm quản

lý sẽ được phân chia giữa doanh nghiệp và nhà cung c p đám mây công cộng Đám mây lai cung c p các dịch vụ có trong cả không gian công cộng

và riêng Theo hướng này, một doanh nghiệp có thể lựa chọn ph a đám mây công cộng hay riêng dựa trên các mục tiêu và nhu cầu của các dịch vụ cần triển khai Một đám mây lai được xây dựng tốt có thể phục vụ các quy trình nhiệm vụ quan trọng của doanh nghiệp có yêu cầu cao về tính n định, an toàn, cũng như những ứng dụng có dữ liệu quan trọng Hạn chế chính với

m h nh đám mây này là sự kh khăn trong việc tạo ra và quản lý một ứng dụng trên cả hai phía công cộng và riêng sao cho ứng dụng đ c thể kết nối, trao đ i dữ liệu để hoạt động một cách hiệu quả M c khác hệ thống có thể tiếp nhận được và cung c p các dịch vụ l y t các nguồn khác nhau như thể chúng có chung nguồn gốc, hay phức tạp hơn là h trợ tương tác giữa các thành phần ri ng và chung o đây là một khái niệm kiến tr c tương đối mới trong điện toán đám mây, n n cách hiện thực và các công cụ h trợ mô hình này vẫn c n được nghiên cứu

 Đ m mây ộn ồng (Community Cloud): Đám mây cộng đồng là mô

h nh trong đ cơ sở hạ tầng đám mây được chia s bởi một số t chức cho cộng đồng người dùng trong các t chức đ Các t chức có thể có mối quan tâm chung như: chung mục đ ch, y u cầu an ninh, chính sách Nó có thể được quản lý bởi các t chức ho c một bên thứ ba

Đám mây cộng đồng thường được thiết lập bởi một số t chức có yêu cầu tương tự và tìm cách chia s cơ sở hạ tầng để khai thác các lợi ích của điện toán đám mây

Doanh nghiệp có thể lựa chọn một m h nh đám mây trong số để triển khai các ứng dụng trên tùy theo nhu cầu cụ thể M i m h nh đều c điểm mạnh và yếu của

nó Các doanh nghiệp phải cân nhắc đối với các mô hình đám mây mà họ chọn và

họ có thể s dụng nhiều m h nh để giải quyết các v n đề khác nhau

Nhu cầu về một ứng dụng có tính tạm thời có thể triển khai trên đám mây c ng cộng bởi vì nó giúp giảm chi phí mua thêm thiết bị để giải quyết một nhu cầu tạm thời Trong khi nhu cầu về một ứng dụng thường trú ho c một ứng dụng có những yêu cầu cụ thể về ch t lượng dịch vụ hay vị trí của dữ liệu thì nên triển khai trên đám mây ri ng ho c đám mây lai

1.6 K t luận

Chương 1 đã giới thiệu t ng quát về công nghệ lưu trữ Điện toán đám mây cũng như các ứng dụng của công nghệ cùng với các m h nh dịch vụ triển khai

Cụ thể c thể th y được một số ưu điểm ch nh của điện toán đám mây, như sau:

1 Sử dụng các tài nguyên tính toán động (Dynamic computing resources):

Các tài nguy n được c p phát cho doanh nghiệp đ ng như những gì doanh nghiệp muốn một cách tức thời Thay vì việc doanh nghiệp phải tính toán xem có nên mở rộng hay không, phải đầu tư bao nhi u máy chủ thì nay doanh nghiệp ch cần yêu cầu tài nguy n và đám mây sẽ tự tìm kiếm tài nguyên nhàn r i để cung c p cho khách hàng

2 Giảm chi phí: Doanh nghiệp sẽ có khả năng cắt giảm chi ph để mua bán, cài

đ t và bảo trì hệ thống Rõ ràng thay vì việc phải c một chuy n gia đi mua máy chủ, cài đ t và bảo trì máy chủ thì nay doanh nghiệp chẳng cần phải làm

gì ngoài việc xác định chính xác tài nguyên mình cần và yêu cầu nhà cung

c p dịch vụ đám mây

Ưu điểm mà dịch vụ ứng dụng mang lại cho khách hàng là chi phí sẽ th p hơn các phần mềm c p phép Các dịch vụ SaaS c t nh năng tiết kiệm chi phí lớn nh t bởi khi s dụng SaaS khách hàng sẽ loại bỏ những công việc thực sự không cần thiết cho các doanh nghiệp như cài đ t và duy trì phần cứng, trả công cho nhân viên, và duy trì các ứng dụng Doanh nghiệp trả chi phí theo mức độ s dụng hàng tuần, hàng tháng mà không phải trả toàn bộ phí bản

quyền ngay t đầu Ngân sách của doanh nghiệp không phải gánh một khoản đầu tư ban đầu lớn mà sẽ chi trả dần dần và tăng l n khi thực sự có nhu cầu

3 Giảm độ phức tạp trong cơ c u của doanh nghiệp: Doanh nghiệp sản xu t

hàng hóa mà lại phải có đội ngũ IT để vận hành, bảo trì hệ thống thì sẽ tốn kém Nếu thuê khoán bên ngoài được quá trình này thì doanh nghiệp sẽ ch tập trung vào việc sản xu t hàng hóa chuyên môn của mình và giảm bớt được

độ phức tạp trong cơ c u Việc s dụng điện toán đám mây doanh nghiệp sẽ

kh ng cần phải thu hẳn đội ngũ IT để vận hành hệ thống

4 Tăng khả năng sử dụng tài nguyên tính toán: Một trong những câu hỏi đau

đầu của việc đầu tư tài nguy n v dụ máy chủ) là bao lâu thì nó sẽ hết kh u hao, đầu tư như thế có lãi hay không, có bị lạc hậu về công nghệ hay không Khi s dụng tài nguy n tr n đám mây th doanh nghiệp không còn phải quan tâm tới điều này nữa

Đi k m với những ưu điểm trên, thì việc hạn chế đối với công nghệ điện toán đám mây ch nh là việc kiểm soát và đảm bảo an toàn thông tin dữ liệu Chính vì vậy Chương tiếp theo sẽ đề cập và tập chung nghiên cứu về v n đề rủi ro, nguy cơ m t

an toàn thông tin cũng nhưng các c ng nghệ kỹ thuật để x l đảm bảo an toàn dữ liệu trong công nghệ điện toán đám mây

CHƯƠNG - AN TOÀN, BẢO MẬT DỮ LIỆU TRÊN ĐÁM MÂY

Như đã n i ở trên, việc đảm bảo an toàn, bảo mật dữ liệu là một trong những mối quan tâm ch nh đối với t chức và doanh nghiệp khi xem xét di chuyển dữ liệu của mình lên một cơ sở hạ tầng đám mây Bảo đảm an toàn dữ liệu trong điện toán đám mây li n quan tới nhiều kỹ thuật bảo mật khác nhau chứ không ch là việc mã hóa dữ liệu Trong chương này, luận văn sẽ tập trung tìm hiểu các công nghệ, các

kỹ thuật để bảo đảm an toàn dữ liệu của người d ng tr n m i trường điện toán đám mây

Trước khi đi vào t m hiểu v n đề an toàn trong điện toán đám mây ta sẽ trình bày lại khái niệm an toàn th ng tin Nhắc đến an toàn th ng tin người ta thường đưa

ra m h nh tam giác CIA confidentiality, integrity, and availability) nghĩa là đảm bảo an toàn th ng tin là việc đảm bảo 3 thuộc t nh của th ng tin: b mật, toàn vẹn và

đ i th ng tin Đảm bảo t nh toàn vẹn cũng bao hàm nghĩa chống chối bỏ nguồn gốc của bản tin Các giải pháp đảm bảo t nh toàn vẹn gồm: dịch vụ tường l a, quản l an toàn k nh giao tiếp, phát hiện xâm nhập

- Đảm bảo t nh s n sàng c nghĩa đảm bảo sự tin cậy và n định tr n mạng và

hệ thống hay n i cách khác là các kết nối hợp lệ đến hệ thống c thể thực hiện được b t cứ khi nào cần và cho ph p người c đủ th m quyền truy cập vào mạng hay hệ thống Giải pháp đảm bảo t nh s n sàng gồm: hệ thống sao lưu dự ph ng, cân bằng tải

Như vậy đảm bảo an toàn th ng tin cũng c nghĩa là phải trả lời được các câu hỏi:

1 Trong điện toán đám mây t nh b mật li n quan đến v n đề dữ liệu của khách hàng được bảo vệ như thế nào?

2 Ngoài khách hàng, dữ liệu đ c thể bị xem trộm bởi chính nhà cung c p hay những khách hàng khác không?

3 Các nhà cung c p c đạt các chứng nhận của các t chức thứ ba đánh giá về bảo mật hay không?

4 T nh s n sàng li n quan đến việc ứng dụng cung c p tr n điện toán mây luôn

s n sàng phục vụ hay không?

5 Nếu xảy ra sự cố, thời gian khôi phục dịch vụ m t bao lâu?

6 Nhà cung c p dịch vụ c đủ tài ch nh để cung c p lâu dài cho khách hàng? Chế độ bảo hiểm dữ liệu ra sao nếu nhà cung c p ng ng dịch vụ vì lý do tài chính?

7 Ngoài các v n đề tr n th khả năng ph ng chống t n c ng của nhà cung c p dịch vụ thế nào

8 Nhà cung c p dịch vụ c minh bạch cung c p hiện trạng phục vụ điều tra và

th ng tin đến các khách hàng không?

2.1 Một s r ro v n uy mất n to n ữ l ệu tron ện to n m mây

Các v n đề an toàn và bảo mật phát sinh trong điện toán đám mây chủ yếu là do khách hàng kh ng c được quyền kiểm soát của đối với cơ sở hạ tầng vật lý của đám mây Người dùng không biết dữ liệu của họ được lưu trữ vật lý ở nơi nào và cơ chế bảo mật nào được đưa ra để bảo vệ dữ liệu đ

Phải đảm bảo an toàn thông tin trước các rủi ro và nguy cơ m t an toàn dữ liệu trong điện toán đám mây đ là các mối lo ngại ch nh đối với khách hàng khi s dụng các dịch vụ của điện toán đám mây Các rủi ro và nguy cơ đến t thiết kế, m

h nh và hoạt động của điện toán đám mây (yếu tố b n trong) ngoài ra c n c thể bắt nguồn t tin t c t n c ng vào nhà cung c p dịch vụ đám mây yếu tố b n ngoài)

 V n đề ri ng tư dữ liệu là nguy cơ rõ ràng khi khách hàng phụ thuộc vào nhà cung c p dịch vụ, là người sở hữu hạ tầng và t t nhi n c quyền truy cập vào

dữ liệu Những nhà cung c p dịch vụ điện toán đám mây nếu không kiểm soát quyền truy nhập cho người quản lý th người quản l có quyền kiểm soát

dữ liệu, điều đ tạo nên rủi ro xâm phạm đến dữ liệu khách hàng

Ngoài ra khi đăng k s dụng dịch vụ b n cung c p thường y u cầu khách hàng cung c p th ng tin cá nhân Nếu hệ thống của nhà cung c p bị t n c ng

th th ng tin cá nhân của khách hàng c thể bị đánh cắp; kh ng loại tr khả năng nhà cung c p cố t nh lợi dụng việc cung c p dịch vụ để thu thập các

th ng tin của người s dụng và bán cho b n thứ ba để hưởng lợi

 Các nguy cơ li n quan đến nơi lưu trữ và thao tác đối với dữ liệu: Những khách hàng không thể biết dữ liệu của họ được lưu trữ ở đâu và c thể xảy ra

dữ liệu của họ sẽ được lưu trữ cùng với dữ liệu những khách hàng khác mà

kh ng c sự tách biệt (isolation) Hơn nữa ở các nơi khác nhau luật pháp về

an toàn dữ liệu cũng khác nhau

Trong hoạt động của điện toán đám mây việc xóa và di chuyển dữ liệu đám mây cũng tiềm tàng các rủi ro, v tr n đám mây phần cứng được c p phát cho khách hàng dựa trên nhu cầu của họ Rủi ro của dữ liệu kh ng được xóa hoàn toàn t những nơi lưu trữ c thể được phục hồi lại sẽ tăng l n trong đám mây Khách hàng c thể g p rủi ro m t kiểm soát hoàn toàn dữ liệu trong trường hợp máy chủ và mạng của nhà cung c p g p trục tr c ho c trong trường hợp nhà cung c p ng ng cung c p dịch vụ

 Những nguy cơ li n quan đến v n đề sở hữu dữ liệu cũng cần quan tâm xem

x t trong điện toán đám mây Trong m i trường điện toán đám mây tồn tại nguy cơ ảnh hưởng tới việc sở hữu dữ liệu khi di chuyển như một tài nguyên

ra b t kỳ hệ thống bên ngoài nào Có một sự khác biệt cơ bản giữa người sở hữu dữ liệu và s dụng dữ liệu Với một đám mây công cộng các nhà cung

c p điện toán đám mây c thể chịu trách nhiệm cả hai vai trò: v a là người

sở hữu dữ liệu và v a là người s dụng dữ liệu

Nhà cung c p điện toán đám mây phải đảm bảo cho người chủ sở hữu dữ liệu bằng việc đưa ra một cách rõ ràng các thủ tục an ninh được nêu trong các

thỏa thuận mức dịch vụ của họ Trách nhiệm của nhà cung c p dịch vụ đám mây là phải tuân theo những yêu cầu truy cập của người chủ sở hữu dữ liệu dựa trên sự phân loại dữ liệu Những trách nhiệm như vậy phải có trong hợp đồng và bắt tuân theo và được kiểm toán nghiêm ng t Người chủ sở hữu dữ liệu phải yêu cầu các nhà cung c p dịch vụ đám mây đảm bảo rằng dữ liệu được sao lưu của họ không bị trộn lẫn với dữ liệu của các khách hàng khác khi s dụng các dịch vụ đám mây

 Máy chủ lưu trữ của nhà cung c p dịch vụ đám mây cũng c thể bị tin t c t n

c ng và c thể bị lây nhiễm mã độc đánh cắp dữ liệu Những rủi ro cho người dùng khi các máy ảo bị nhiễm mã độc là dữ liệu bị đánh cắp và r r Gần đây loại mã độc t n c ng mã h a dữ liệu người d ng Ransomware) để

đ i tiền chuộc đang được s dụng bởi nhiều nh m tin t c

 T nh s n sàng của mạng: giá trị của điện toán đám mây ch c thể được nhận

ra một cách đầy đủ khi mà băng th ng và kết nối mạng đáp ứng được mức

y u cầu tối thiểu của người d ng Đám mây cần phải lu n s n sàng b t cứ khi nào bạn cần nếu kh ng th kết quả kh ng khác g t nh huống bị t n c ng

t chối dịch vụ oS)

2.2 An to n ữ l ệu l n qu n n k n trú ị vụ ện to n m mây

Một đám mây tr n thực tế là một cụm máy t nh kết nối với nhau th ng qua mạng cục bộ ho c mạng diện rộng, tr n cơ sở ảo h a tài nguy n phần cứng để cung

c p một cách trong suốt ba dịch vụ cơ bản của điện toán đám mây là IaaS, PaaS và SaaS M h nh triển khai đám mây c thể là c ng cộng, đám mây ri ng ho c cộng đồng như đã tr nh bầy ở tr n Các dịch vụ của điện toán đám mây li n quan đến kiến tr c phân tầng, m i tầng cung c p các dịch vụ và chức năng ri ng của n tr n

cơ sở dịch vụ và chức năng của tầng th p hơn V vậy an ninh của hệ thống điện toán đám mây phụ thuộc vào an ninh được thiết kế tại m i tầng

An ninh của các dịch vụ ở tầng th p như tầng vật lý hay hạ tầng (IaaS) phụ thuộc vào nhà cung c p, tức là chủ sở hữu của đám mây Hiện tại, có một số nhà cung c p dịch vụ IaaS nhưng chưa c chu n nào về an ninh cho các dịch vụ này Về

m t nguyên tắc, khách hàng thuê bao dịch vụ IaaS có thể áp đ t các chính sách an

ninh (security policy) của mình bằng cách phát triển các dịch vụ hay tiện ích riêng thông qua các dịch vụ của tầng vật lý và các dịch vụ IaaS của nhà cung c p Chính sách về an toàn ở mức này là r t phức tạp vì nhiều ch nh sách khác nhau áp đ t lên cùng một m i trường phần cứng (vật lý) Những mối đe dọa an toàn ở mức này có thể liên quan tới máy chủ ảo Virtual Machine) như là virus và các phần mềm độc hại khác Nhà cung c p dịch vụ chịu trách nhiệm chính về giải pháp cho v n đề này

V n đề này hiện nay khách hàng thuê bao không thể can thiệp gì vì nhiều máy chủ

ảo chia s cùng tài nguyên vật l như CPU, bộ nhớ, đĩa… Mọi ánh xạ vật lý-máy

ảo, máy ảo-vật l đều thông qua một “bộ ảo h a”, nếu bộ này bị phần mềm độc hại kiểm soát thì toàn bộ khách hàng trong đám mây sẽ bị cùng một mối hiểm họa như nhau

Ảo hóa, có thể giữ một phần an toàn của các tài nguy n máy t nh tránh việc can thiệp trực tiếp vào phần cứng và mạng Các máy ảo cũng c thể bị nhiễm mã độc và

c thể bị s dụng làm c ng cụ t n c ng ra ngoài v vậy các nhà cung c p dịch vụ cần xem x t thực hiện một quá trình quản lý máy ảo để quản lý việc tạo ra, lưu trữ

và s dụng máy ảo

Ở mức trung gian, dịch vụ nền tảng (PaaS) dựa trên dịch vụ tầng dưới (IaaS) và cung c p dịch vụ của mình cho tầng trên nó (SaaS) Ở mức này, các dịch vụ hay tiện ích về an toàn có thể được cài đ t thêm ho c c u hình t các dịch vụ được cung

c p tại tầng dưới Người dùng có thể quản trị phần thuê bao của m nh để tạo ra môi trường thực thi các ứng dụng Hiện nay, dịch vụ PaaS của đám mây dựa trên mô hình kiến tr c hướng dịch vụ (SOA) vì vậy những nguy cơ về an toàn giống hệt như những nguy cơ an toàn của SOA như t n công t chối dịch vụ và nhiều cách t n công khác Vì dịch vụ nền tảng là dịch vụ đa thu bao, nhiều người d ng n n cơ chế xác thực, chứng thực là r t quan trọng Trách nhiệm bảo mật và an toàn trong trường hợp này li n quan đến cả nhà cung c p, người thu bao và người dùng Các dịch vụ PaaS phải cung c p m i trường để phát triển ứng dụng bao gồm chức năng tác nghiệp, các chức năng an toàn và quản lí hệ thống Nhà cung c p cần c cơ chế bắt buộc chứng thực để truy cập các dịch vụ PaaS, người thuê bao có trách nhiệm