Tìm hiểu mô hình điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây

6Tuy nhiên, cho đến năm 1999, điện toán đám mây mới cho thấy thành tựucủa sự phát triển với cột mốc là điện toán đám mây của Saleforce.com với cácứng dụng doanh nghiệp cung cấp thông qua

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN&TRUYỀN THÔNG

Ngành: Công nghệ thông tin Chuyên ngành: Khoa học máy tính

Mã số: 60 48 0101 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN CANH

Thái Nguyên – 2019

LỜI CAM ĐOAN

Học viên xin cam đoan luận văn này là công trình nghiên cứu thực sự củabản thân, dưới sự hướng dẫn khoa học của TS Hồ Văn Canh

Các số liệu, kết quả trong luận văn là trung thực và chưa từng được công

bố dưới bất cứ hình thức nào Tất cả các nội dung tham khảo, kế thừa của các tácgiả khác đều được trích dẫn đầy đủ

Em xin chịu trách nhiệm về nghiên cứu của mình

Tác giả

Phạm Thị Phượng

LỜI CẢM ƠN

Học viên trân trọng cảm ơn sự quan tâm, tạo điều kiện và động viên củaLãnh đạo Đại học Thái Nguyên, các thầy cô Khoa Đào tạo sau đại học, các khoađào tạo và các quý phòng ban Học viện trong suốt thời gian qua

Học viên xin bày tỏ sự biết ơn sâu sắc tới TS Hồ Văn Canh đã nhiệt tìnhđịnh hướng, bồi dưỡng, hướng dẫn học viên thực hiện các nội dung khoa họctrong suốt quá trình nghiên cứu, thực hiện luận văn

Xin chân thành cảm ơn sự động viên, giúp đỡ to lớn từ phía Cơ quan đơn

vị, đồng nghiệp và gia đình đã hỗ trợ học viên trong suốt quá trình triển khai cácnội dung nghiên cứu

Mặc dù học viên đã rất cố gắng, tuy nhiên, luận văn không tránh khỏinhững thiếu sót Học viên kính mong nhận được sự đóng góp từ phía Cơ sở đàotạo, quý thầy cô, các nhà khoa học để tiếp tục hoàn thiện và tạo cơ sở cho nhữngnghiên cứu tiếp theo

Xin trân trọng cảm ơn!

Thái Nguyên, tháng năm 2019

Học viên

Phạm Thị Phượng

DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT

DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU

5

1 Đặt vấn đề

MỞ ĐẦU

Điện toán đám mây_ Cloud Computing được hình thành năm 1969 và có

sự phát triển mạnh mẽ từ khi có internet băng thông rộng, đã làm thay đổi cáchthức hoạt động của điện toán truyền thống Hiện nay, điện toán đám mây(ĐTĐM)

được các quốc gia trên thế giới ứng dụng rộng rãi trong các lĩnh vực hoạt độngcủa đời sống, kinh tế xã hội Bằng việc tối ưu sử dụng các nguồn tài nguyên hệthống, điện toán đám mây đem lại nhiều lợi ích, cơ hội mới cho các các cơ quan,

tổ chức, doanh nghiệp trong quá trình đẩy mạnh ứng dụng công nghệ thông tin,truyền thông vào hoạt động chuyên ngành [3, 4]

Các hoạt động liên quan tới điện toán đám mây được chính phủ các quốcgia phát triển mang tính chiến lược trên phạm vi toàn thế giới như đám mâyNebula, google moderator của Mỹ, đám mây G-clould của Anh, kasumigasekicủa Nhật Bản…bởi vậy điện toán đám mây luôn thu hút nhiều quốc gia, tổ chức,các tập đoàn, công ty và nhà khoa học, các chuyên gia đầu tư nghiên cứu [10, 11,13]

Ở nước ta hiện nay, hầu hết các tổ chức, doanh nghiệp đã có hiểu biết cơbản về điện toán đám mây Nhiều tổ chức, doanh nghiệp đã và đang sử dụngđiện toán đám mây theo các mức độ khác nhau Một số công trình nghiên cứu [3,6] đã chỉ rõ điện toán đám mây là giải pháp tối ưu để các doanh nghiệp nước tagiảm thiểu chi phí cũng như tăng hiệu suất làm việc ở mức tối đa

Tuy nhiên trong quá trình nghiên cứu và ứng dụng cho thấy có nhiều vấn

đề về nguy cơ an ninh an toàn thông tin đang đặt ra hiện nay đối với việc lưu trữ

dữ liệu trên đám mây [16, 24] Do vậy, tình hình sử dụng công nghệ đám mâycòn gặp phải một số khó khăn nhất định, hiệu quả ứng dụng chưa phát huy tối đatính ưu việt của các dịch vụ Trước những yêu cầu cấp bách đó, đòi hỏi cần cónhững nghiên cứu, giải pháp tăng tính an toàn cho đám mây cũng như việc bảomật thông tin, dữ liệu lưu trữ

đề bảo mật dữ liệu trong điện toán đám mây” mang tính cấp thiết, thực sự có ý

nghĩa khoa học và thực tiễn

2 Đối tượng và phạm vi nghiên cứu

Nghiên cứu tìm hiểu về điện toán đám mây, kiến trúc, mô hình, ưu nhượcđiểm và giới thiệu một số nhà cung cấp dịch vụ điện toán đám mây

- Nghiên cứu một số vấn đề bảo mật dữ liệu trong điện toán đám mây vàphương pháp khắc phục Từ đó đi sâu tìm hiểu phương pháp bảo vệ dữ liệu đãlưu trữ bằng các thuật toán mã hóa AES và RSA

- Nghiên cứu và cài đặt, thử nghiệm hệ thống máy chủ lưu trữ ownCloud

3 Hướng nghiên cứu của luận văn

Nghiên cứu tổng quan mô hình điện toán đám mây, một số vấn đề bảo mật

dữ liệu trong điện toán đám mây và phương pháp khắc phục Từ đó đi sâunghiên cứu phương pháp bảo vệ dữ liệu đã lưu trữ bằng các thuật toán mã hóatrên máy chủ ownCloud Nghiên cứu xây giải pháp mã hóa dữ liệu an toàn từphía người dùng và ổ chức cài đặt, thực nghiệm, đánh giá các kết quả nghiên cứuđạt được

4 Những nội dung nghiên cứu chính

Chương 1: Tổng quan về điện toán đám mây

Nghiên cứu về tổng quan khái niệm, lịch sử hình thành và phát triển củađiện toán đám mây, kiến trúc và một số mô hình của điện toán đám mây Đồngthời phân tích chỉ ra những ưu, nhược điểm, tình hình triển khai nghiên cứu ứngdụng và sử dụng công nghệ điện toán đám mây thế giới và tại Việt Nam

Chương 2: Bảo vệ thông tin trong điện toán đám mây

Nội dung Chương 2 nghiên cứu tìm hiểu vấn đề an ninh thông tin, một sốtiêu chuẩn về an ninh thông tin, phân loại an ninh thông tin trong điện tóa đámmây, vấn đề an ninh dữ liệu trong điện toán đám mây và giải pháp Trên cơ sở

đó, tập trung phân tích hai thuật toán mã hóa dữ liệu lưu trữ cho điện toán đámmây là RSA và AES

Chương 3: Ứng dụng bảo vệ thông tin trong điện toán đám mây

3Nghiên cứu và xây dựng điện toán đám mây riêng tích hợp công cụ thuthập thông tin tự động dựa trên phần mềm mã nguồn mở ownCloud và ApacheNutch Nghiên cứu phân tích thuật toán mã hóa dữ liệu phía ownCloud và đềxuất xây dựng giải pháp mã hóa dữ liệu an toàn phía client sử dụng RSA kết hợpAES 256 Tiến hành cài đặt, thực nghiệm và rút ra những kết luận, đề xuất.

5 Phương pháp nghiên cứu

- Nghiên cứu các bài báo khoa học trong nước và quốc tế

- Nghiên cứu một số vấn đề bảo mật dữ liệu trong điện toán đám mây vàphương pháp khắc phục Từ đó đi sâu tìm hiểu phương pháp bảo vệ dữ liệu đãlưu trữ bằng các thuật toán mã hóa AES và RSA

- Cài đặt ứng dụng thử nghiệm và đánh giá

6 Ý nghĩa khoa học của luận văn

Nghiên cứu vấn đề bảo mật dữ liệu trong điện toán đám mây có ý nghĩa vàvai trò to lớn trong việc vệ an ninh thông tin Đây là vấn đề đang được quan tâm,thu hút nhiều quốc gia, tổ chức, cá nhân đầu tư nghiên cứu Luận văn đã kết hợphai kỹ thuật sử dụng các search engine để xây dựng đám mây thu tin tự động và

kỹ thuật mã hóa để bảo mật dữ liệu Do vậy, luận văn có tính khoa học và ứngdụng thực tiễn

CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 Điện toán đám mây

Điện toán đám mây - Cloud Computing (sau đây có thể gọi tắt là đámmây) là mô hình điện toán đang tiến tới hoàn chỉnh, mỗi tổ chức tiêu chuẩn, mỗihãng công nghệ đang đưa ra những định nghĩa và cách nhìn của riêng mình

Theo Wikipedia: “Điện toán đám mây là một mô hình điện toán có khả năng co giãn linh động, các tài nguyên thường được ảo hóa và được cung cấp như một dịch vụ trên mạng Internet”.

Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”.

Một số định nghĩa thì cho rằng điện toán đám mây là điện toán máy chủ

ảo, tuy nhiên, định nghĩa này chưa thực sự đầy đủ và chính xác, máy chủ ảokhông phải là thành phần thiết yếu của một đám mây Nó chỉ là thành phần chủchốt để một vài loại đám mây hoạt động

Hiện tại, định nghĩa của Viện tiêu chuẩn và công nghệ quốc gia Mỹ NIST (National Institute of Science and Technology) được cho là thể hiện rõ

-nhất bản chất của điện toán đám mây [14]: điện toán đám mây là mô hình điện toán cho phép truy cập qua mạng để lựa chọn và sử dụng tài nguyên tính toán (mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ…) theo nhu cầu một cách thuận tiện và nhanh chóng Đồng thời, điện toán đám mây cũng cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các tương tác với nhà cung cấp.

Như vậy, điện toán đám mây có thể coi là bước tiếp theo của ảo hóa, baogồm ảo hóa phần cứng và ứng dụng, là thành phần quản lý, tổ chức, vận hànhcác hệ thống ảo hóa trước đó

Điện toán đám mây có năm đặc điểm chính như sau:

Tự phục vụ theo nhu cầu (On-deman self-service): Người sử dụng có thể tự

cung cấp các tài nguyên như máy chủ ảo, tài khoản email… mà không cần có

5người tương tác với nhân viên của nhà cung cấp dịch vụ (nhân viên công nghệthông tin).

Mạng lưới truy cập rộng lớn (Broad Network Access): Khách hàng có thể

truy cập tài nguyên qua mạng máy tính (như mạng Internet) từ nhiều thiết bịkhác nhau (điện thoại thông minh, máy tính bảng, máy tính xách tay…)

Tài nguyên được chia sẻ (Resource Pooling): Tài nguyên của các nhà

cung cấp dịch vụ được chia sẻ tới nhiều khách hàng Thông thường, các côngnghệ ảo hóa được sử dụng để cho nhiều bên cùng thuê và cho phép tài nguyênđược cấp phát động dựa theo nhu cầu của khách hàng

Tính linh hoạt nhanh (Rapid elasticity): Tài nguyên có thể được cung cấp

và giải phóng nhanh, tự động dựa trên nhu cầu Khách hàng có thể tăng hoặcgiảm việc sử dụng dịch vụ đám mây một cách dễ dàng theo nhu cầu hiện tại củamình

Ước lượng dịch vụ (Measured service): Khách hàng chỉ chi trả cho tài

nguyên thực tế họ đã sử dụng Thông thường, nhà cung cấp dịch vụ sẽ cung cấpcho khách hàng bảng điều khiển (dashboard) để họ có thể theo dõi việc sử dụngdịch vụ của họ

Điện toán đám mây đã khắc phục được yếu điểm quan trọng của điện toántruyền thống về khả năng mở rộng và độ linh hoạt Các công ty, tổ chức có thểtriển khai ứng dụng và dịch vụ nhanh chóng, giảm chi phí và ít rủi ro về đầu tưban đầu

1.2 Lịch sử hình thành và phát triển của điện toán đám mây

Điện toán đám mây thường được mọi người biết đến như một công nghệmới được phát triển trong những năm gần đây Tuy nhiên, khái niệm này khôngmới như ta vẫn nghĩ Điện toán đám mây đã bắt đầu được hình thành vào khoảnggiữa thế kỷ 20, khi có sự ra đời của các máy tính mainframe Dưới đây là một sốmốc phát triển quan trọng của điện toán đám mây [20]:

Năm 1969, J.C.R Liicklider là người chịu trách nhiệm tạo điều kiện cho sựphát triển của APANET trong cuốn Advanced Research Project Agency

điện toán đám mây.

6Tuy nhiên, cho đến năm 1999, điện toán đám mây mới cho thấy thành tựucủa sự phát triển với cột mốc là điện toán đám mây của Saleforce.com với cácứng dụng doanh nghiệp cung cấp thông qua một trang web đơn giản, mở đườngcho việc cung cấp các ứng dụng trên Internet.

Năm 2002, Amazon Web Service cung cấp bộ các dịch vụ lưu trữ, tínhtoán, trí tuệ nhân tạo…

Năm 2004, mạng xã hội Facebook ra đời kết nối và lưu dữ liệu, tạo thànhmột dịch vụ đám mây cá nhân

Năm 2006, Amazon ra mắt EC2 (Elastic Compute), là một dịch vụ webthương mại cho phép các công ty nhỏ, cá nhân thuê máy tính mà trên đó để chạycác ứng dụng máy tính của mình

Cuối năm 2008 là sự ra đời của điện toán đám mây Azue của Microsoft.Năm 2009, Google Apps chính thức được phát hành, sau đó, liên tiếp cáchãng công nghệ có tên tuổi tham gia cung cấp dịch vụ liên quan đến điện toánđám mây như Rackspace, IBM…

Cho tới nay, các công ty đã tích cực cải thiện dịch vụ và khả năng đáp ứngcủa mình để phục vụ nhu cầu cho người sử dụng một cách tốt nhất Đặc biệt, sốngười dùng điện thoại thông minh và máy tính bảng tăng nhanh trong nhữngnăm gần đây đã giúp cho các dịch vụ điện toán đám mây ngày càng phát triểnvượt bậc, mang nhiều trải nghiệm mới cho người dùng, kết nối mọi lúc mọi nơiqua môi trường Internet

1.3 Kiến trúc điện toán đám mây

Kiến trúc điện toán đám mây bao gồm nhiều thành phần đám mây liên kếtvới nhau Ta có thể chia kiến trúc điện toán đám mây thành hai phần quan trọng:nền tảng font-end và nền tảng back-end Hai phần này kết nối với nhau thôngqua mạng máy tính, thường là mạng Internet [18]

Front-end là phần thuộc về phía khách hàng dùng máy tính Hạ tầng

khách hàng trong nền tảng font-end (Client Infrastructure) là những yêu cầuphần mềm hoặc phần cứng (hệ thống mạng của khách hàng hoặc máy tính) để

sử dụng các

dịch vụ trên điện toán đám mây Thiết bị cung cấp cho khách hàng có thể là trìnhduyệt, máy tính để bàn, máy xách tay, điện thoại thông minh…

Back-end đề cập đến chính đám mây của hệ thống, bao gồm tất cả các tài

nguyên cần thiết để cung cấp dịch vụ điện toán đám mây Nó gồm các thànhphần con chính như: cơ sở hạ tầng, lưu trữ, máy ảo, cơ chế an ninh, dịch vụ, môhình triển khai, máy chủ…

Hình 1.1: Kiến trúc điện toán đám mây

Cơ sở hạ tầng (Infrastructure) của điện toán đám mây là phần cứng đượccung cấp như dịch vụ, nghĩa là được chia sẻ và có thể sử dụng lại dễ dàng Cáctài nguyên phần cứng được cung cấp theo thời gian cụ thể theo yêu cầu Dịch vụkiểu này giúp cho khách hàng giảm chi phí bảo hành, chi phí sử dụng,…

Lưu trữ (Storage): Lưu trữ đám mây là khái niệm tách dữ liệu khỏi quátrình xử lý và chúng được lưu trữ ở những vị trí từ xa Lưu trữ đám mây thườngđược triển khai theo các dạng: đám mây công cộng, đám mây riêng, đám mâycộng đồng hoặc đám mây lai Lưu trữ đám mây cũng bao gồm cả các dịch vụ cơ

sở dữ liệu, ví dụ như BigTable của Google, SimpleDB của Amazon,…

Cloud Runtime: Là dịch vụ phát triển phần mềm ứng dụng và quản lý cácyêu cầu phần cứng, nhu cầu phần mềm Ví dụ nền dịch vụ như khung ứng dụngweb, web hosting

8Dịch vụ (Service): Dịch vụ đám mây là một phần độc lập có thể kết hợpvới các dịch vụ khác để thực hiện tương tác, kết hợp giữa các máy tính với nhau

để thực thi chương trình ứng dụng theo yêu cầu trên mạng Ví dụ các dịch vụhiện nay như: Simple Queue Service, Google Maps, các dịch vụ thanh toán linhhoạt trên mạng của Amazon

Ứng dụng: Ứng dụng đám mây (Cloud Application) là một đề xuất về kiếntrúc phần mềm sẵn sàng phục vụ, nhằm loại bỏ sự cần thiết phải mua phần mềm,cài đặt, vận hành và duy trì ứng dụng tại máy bàn/thiết bị của người sử dụng.Ứng dụng đám mây loại bỏ được các chi phí để bảo trì và vận hành các chươngtrình ứng dụng

Các máy chủ sử dụng các giao thức nhất định được gọi là middleware giúpcác thiết bị kết nối để giao tiếp với nhau

1.4 Một số mô hình điện toán đám mây

1.4.1 Các mô hình dịch vụ

Điện toán đám mây có thể được xem như một nhóm các dịch vụ, trong đó

có 3 mô hình dịch vụ chính [9, 14]: phần mềm như một dịch vụ, nền tảng nhưmột dịch vụ, cơ sở hạ tầng như một dịch vụ

Phần mềm như một dịch vụ (SaaS - Software as a Service): Tất cả các

phần mềm (tài chính, nhân sự, bán hàng, tư vấn) được cung cấp như một dịch vụ.Nghĩa là người dùng sử dụng các phần mềm của nhà cung cấp dịch vụ chạy trênmột nền tảng đám mây và sẽ truy cập các phần mềm này thông qua Web VớiSaaS, người dùng lựa chọn ứng dụng phù hợp với nhu cầu và chạy ứng dụng đótrên cơ sở hạ tầng đám mây mà không cần quan tâm đến việc quản lý tài nguyênphần cứng - công việc này đã có nhà cung cấp dịch vụ lo Nhà cung cấp dịch vụ

sẽ quản lý, kiểm soát và đảm bảo ứng dụng luôn sẵn sang và hoạt động ổn định

Hình 1.2: Các mô hình dịch vụ của điện toán đám mây

SaaS có thể phục vụ cùng lúc hàng 9iki nghìn khách hàng (dịch vụ đámmây công cộng), hoặc môi trường dịch vụ đám mây riêng cho các phần mềmchuyên dụng

Một số phần mềm được cung cấp như dịch vụ tiêu biểu là: Google Docs,Zoho Docs, Salesfore.com…

Nền tảng như một dịch vụ (PaaS): Cung cấp nền tảng vận hành các ứng

dụng, dịch vụ, cho phép khách hàng phát triển các phần mềm trên đó Nghĩa làkhách hàng sử dụng ngôn ngữ lập trình và các công cụ mà nhà cung cấp dịch vụ

hỗ trợ để tạo các ứng dụng (hoặc mua lại các ứng dụng đã tạo) Khách hàngkhông cần quản lý, kiểm soát cơ sở hạ tầng đám mây (mạng, máy chủ, hệ điềuhành, lưu trữ), nhưng có quyền kiểm soát các ứng dụng họ đã triển khai ứngdụng lưu trữ các cấu hình môi trường Có thể xem cơ sở dữ liệu, phần mềmmiddleware là các ví dụ của nền tảng và được cung cấp như một dịch vụ PaaSthường được sử dụng bởi các nhà phát triển, nhà kiểm thử, nhà triển khai, các kỹ

sư middleware và quản trị viên Google App Engine, IBM IT Factory, WindowsAzure là các ví dụ điển hình của PaaS

Cơ sở hạ tầng như một dịch vụ (IaaS): IaaS là tầng thấp nhất của điện

toán đám mây, cung cấp các tài nguyên phần cứng như máy chủ, hệ thống lưutrữ, các thiết bị mạng và các tài nguyên tính toán cơ bản khác dưới dạng dịch vụcho

10các đơn vị, tổ chức Với IaaS, người dùng có thể triển khai và chạy các phầnmềm tùy ý mà không phải quan tâm đến cơ sở hạ tầng đám mây, nhưng có quyềnkiểm soát với hệ điều hành, lưu trữ, các ứng dụng đã triển khai và có thể hạn chếviệc lựa chọn thành phần mạng.

Đối tượng sử dụng dịch vụ IaaS thường là các nhà phát triển hệ thống, kỹ

sư mạng, quản trị hệ thống, kỹ sư giám sát, người quản lý công nghệ thông tin.Công nghệ được sử dụng rộng rãi trong IaaS là công nghệ ảo hóa để chia sẻ vàphân phối tài nguyên theo yêu cầu

Đối với các doanh nghiệp, lợi ích lớn nhất của IaaS là sự bùng nổ lên đámmây (Cloudbursting), quá trình này làm giảm tải các tác vụ lên đám mây nhiềulần khi cần nhiều tài nguyên tính toán nhất Việc này giúp tiết kiệm nhiều chi phí

vì các doanh nghiệp sẽ không phải đầu tư thêm nhiều máy chủ mà rất ít khi sửdụng hết công suất

Tuy nhiên, những doanh nghiệp này phải có bộ phận công nghệ thông tin

để xây dựng và triển khai phần mềm xử lý có khả năng phân phối lại các quytrình xử lý lên một đám mây IaaS Nếu không xây dựng lại phần mềm này thìdoanh nghiệp sẽ gặp một số khó khăn khi nhà cung cấp ngừng kinh doanh, hoặccác vấn đề về bảo vệ dữ liệu cá nhân, tài chính…

Một số nhà cung cấp dịch vụ IaaS tiêu biểu như: Vmware, Amazon…

1.4.2 Các mô hình triển khai

Với mỗi loại mô hình dịch vụ, đều có thể sử dụng các hình triển khai [9,14] chính của điện toán đám mây là: đám mây công cộng, đám mây riêng, đámmây cộng đồng, đám mây lai và một số mô hình triển khai khác như sau:

Đám mây công cộng (Public Cloud): việc cung cấp và sử dụng dịch vụ

được tổ chức, hoạt động và quản lý bởi nhà cung cấp dịch vụ Dịch vụ đám mâycông cộng thường được chuyển qua Internet từ một hoặc nhiều trung tâm dữ liệucủa nhà cung cấp dịch vụ Chúng được dùng chung và cho nhiều bên thuê để tínhtoán giúp tiết kiệm, giảm thiểu chi phí mà vẫn đạt được tối đa tiềm năng Tuynhiên, đám mây công cộng nhận được ít sự kiểm soát và giám sát an ninh củanhà cung cấp dịch vụ

Đám mây công cộng có nhiều dạng và tồn tại dưới nhiều hình thức như làWindows Azure, Microsoft Office 365 và Amazon Elastic Compute Cloud… Tacũng có thể tìm thấy các dịch vụ quy mô nhỏ hơn phù hợp với nhu cầu cá nhân.

Ưu điểm lớn nhất của đám mây công cộng chính là nó luôn được sẵn sàng

để sử dụng nhanh chóng: một ứng dụng kinh doanh mới nhất có thể được triểnkhai chỉ trong vòng vài phút và có khả năng mở rộng dễ dàng Doanh nghiệpkhông cần đầu tư vào hệ thống hạ tầng công nghệ thông tin nội bộ nữa

Hình 1.3: Các mô hình triển khai chính của điện toán đám mây

Đám mây riêng (Private Cloud): được cung cấp riêng cho một cá nhân

hoặc tổ chức nào đó (không sử dụng chung) Một số mô hình điện toán đám mâyriêng nổi bật cung cấp cái nhìn tổng quan về các mô hình phổ biến nhất:

Dedicated: dịch vụ được sở hữu, vận hành và quản lý bởi tổ chức và đượclưu trữ trong hạ tầng cơ sở (on premises) của chính tổ chức hoặc cùng được đặttrong một cơ sở dữ liệu trung tâm (ngoài hạ tầng cơ sở - off premises)

Managed: dịch vụ thuộc sở hữu của tổ chức nhưng được điều hành vàquản lý bởi một nhà cung cấp dịch vụ Dịch vụ này có thể được lưu trữ trong các

tổ chức hoặc lưu trữ đồng thời cùng nhà cung cấp dịch vụ

Virtual: dịch vụ được sở hữu, vận hành, quản lý và tổ chức bởi một nhàcung cấp dịch vụ nhưng tổ chức này được cô lập với các khách hàng khác

12Lợi ích của đám mây riêng là doanh nghiệp có thể tự thiết kế nó rồi tùybiến theo thời gian cho phù hợp với mình Họ có thể kiểm soát được chất lượngdịch vụ đã cung cấp Với hệ thống chuẩn được lắp đặt, hoạt động theo nguyêntắc, đảm bảo tính bảo mật thì nhiệm vụ quản trị của nhân viên công nghệ thôngtin sẽ được duy trì Mặt bất lợi của đám mây này là mô hình triển khai của nócần sự đầu tư nhiều về chuyên môn, tiền bạc (đầu tư vốn để mua các phần cứng,phần mềm cần thiết đủ đáp ứng trong lúc cao điểm, chi phí duy trì phần cứng…)

và thời gian để tạo ra các giải pháp kinh doanh đúng đắn cho doanh nghiệp

Đám mây cộng đồng (Community Cloud): là đám mây được chia sẻ

giữa một số tổ chức, doanh nghiệp có mục tiêu sử dụng tương tự nhau với nhau.Đám mây cộng đồng này có thể sử dụng nhiều công nghệ, và nó thường đượccác doanh nghiệp liên doanh sử dụng cùng thực hiện các công trình nghiên cứukhoa học Đám mây cộng đồng hỗ trợ người dùng các tính năng của cả đám mâyriêng và đám mây công cộng Các đám mây loại này cố gắng để đạt được mộtmức độ kiểm soát an ninh và giám sát tương tự như được cung cấp bởi đám mâyriêng trong khi cố gắng đạt được hiệu quả chi phí như được cung cấp bởi đámmây công cộng

Vì tính mở tự nhiên, đám mây cộng đồng rất phức tạp Tính bảo mật vàthống nhất vừa là một thế mạnh vừa là một điểm yếu, mang sự thách thức về tínhtoán Dù là với đám mây riêng yếu tố chính sách công ty là rất lớn nhưng ta chỉ

có thể hình dung ra vai trò của chính sách công ty là quan trọng thế nào khi thamgia vào đám mây cộng đồng được mua và sử dụng bởi nhiều công ty cùng mộtlúc

Đám mây lai (Hybrid Cloud): Đám mây lai thường là sự kết hợp những

mặt mạnh của đám mây riêng và đám mây công cộng… Điểm yếu của cái nàythì sẽ có điểm mạnh bù lại Đa số các doanh nghiệp đều lựa chọn mô hình triểnkhai

điện toán đám mây có lợi cho mình nhất

Với mô hình này, các tổ chức, doanh nghiệp sẽ sử dụng đám mây côngcộng để xử lý, giải quyết các chức năng nghiệp vụ và các dữ liệu ít quan trọng

quan trọng trong tầm kiểm soát bằng cách sử dụng đám mây riêng Tổ chức,doanh

13nghiệp sẽ hưởng lợi từ hai thứ: quản lý được tính bảo mật với đám mây riêng; rẻ,tiện, linh động và có khả năng mở rộng với đám mây công cộng, một dịch vụđơn lẻ nhưng bao gồm cả hai loại đám mây.

Các mô hình triển khai khác: Ngoài các mô hình đám mây riêng, đám

mây công cộng, đám mây cộng đồng và đám mây lai là điển hình thì điện toánđám mây còn có một số loại mô hình triển khai khác như:

Đám mây phân tán (Distributed Cloud): Điện toán đám mây cũng có thể

được cung cấp bởi một tập các máy phân tán chạy ở các vị trí khác nhau nhưngvẫn kết nối tới một mạng hoặc một trung tâm dịch vụ Ví dụ các nền tảng máyphân tán như BONIC, F o l d in g @ H o m e

Đám mây liên kết (Intercloud): Là một liên kết có quy mô toàn cầu “cloud

of clouds” và một phần mở rộng dựa trên mạng Internet Đám mây liên kết tậptrung vào khả năng tương tác trực tiếp giữa nhà cung cấp dịch vụ đám mây côngcộng hơn là giữa nhà cung cấp và người sử dụng (như trường hợp đám mây lai

và đa đám mây)

Đa đám mây (Multicloud): Là việc sử dụng nhiều dịch vụ điện toán đám

mây trong một kiến trúc không đồng nhất để giảm sự phụ thuộc vào một nhàcung cấp duy nhất, làm tăng tính linh hoạt thông qua việc chọn, giảm các nguycơ… Nó khác với đám mây lai trong đó đề cập đến nhiều dịch vụ đám mây thay

vì nhiều mô hình triển khai (công cộng, riêng, kế thừa)

Như vậy, tùy theo nhu cầu cụ thể mà các tổ chức, doanh nghiệp có thểchọn để triển khai các ứng dụng trên mô hình nào cho phù hợp Mỗi mô hìnhđám mây đều có điểm mạnh và yếu của nó Các doanh nghiệp phải cân nhắc đốivới các mô hình mà họ chọn Và họ có thể sử dụng nhiều mô hình để giải quyếtcác vấn đề khác nhau Theo Ziff David B2B, phần lớn các công ty dùng nhiềuhơn một loại đám mây: 29% chỉ dùng đám mây công cộng, 7% chỉ dùng đámmây riêng, 58% sử dụng đám mây lai (2014) Nhu cầu về một ứng dụng có tínhtạm thời có thể triển khai trên đám mây công cộng bởi vì nó giúp tránh việc phảimua thêm thiết bị để giải quyết một nhu cầu tạm thời Tương tự, nhu cầu về mộtứng dụng thường

trú hoặc một ứng dụng có những yêu cầu cụ thể về chất lượng dịch vụ hay vị trícủa dữ liệu thì nên triển khai trên đám mây riêng hoặc đám mây lai.

1.5 Phân tích ưu nhược điểm của điện toán đám mây

1.5.1 Ưu điểm

Người sử dụng có thể được hưởng những lợi ích khác nhau khi sử dụngcác mô hình đám mây khác nhau Tuy nhiên có một số lợi ích nổi bật sau đây đãgóp phần giúp điện toán đám mây trở thành mô hình điện toán được áp dụngrộng rãi trên toàn thế giới

- Tốc độ xử lý nhanh, cung cấp dịch vụ nhanh chóng với giá thành rẻ

- Chi phí đầu tư cơ sở hạ tầng, máy móc và nhân lực ban đầu của người sửdụng điện toán đám mây được giảm đến mức thấp nhất

- Không phụ thuộc vào thiết bị và vị trí địa lý, cho phép người sử dụngtruy cập hệ thống thông qua trình duyệt web ở bất kỳ đâu, trên bất kỳ thiết bịnào

- Chia sẻ tài nguyên trên địa bàn rộng lớn

- Độ tin cậy cao, không chỉ phù hợp cho các ứng dụng thông thường, điệntoán đám mây còn phù hợp với các yêu cầu cao và liên tục của các công ty kinhdoanh và các trung tâm nghiên cứu khoa học

- Khả năng mở rộng mềm dẻo, giúp cải thiện chất lượng dịch vụ trên đám

- Khả năng bảo mật được cải thiện do sự tập trung về dữ liệu

- Khả năng bảo trì dễ dàng: các ứng dụng trên điện toán đám mây dễ sửachữa và cải thiện tính năng vì chúng không được cài đặt cố định trên một máy tính

nào

- Tài nguyên sử dụng của điện toán đám mây luôn được quản lý và thống

kê trên từng khách hàng và ứng dụng theo thời gian cụ thể, giúp cho việc địnhgiá mỗi dịch vụ do điện toán đám mây cung cấp để người sử dụng lựa chọn chophù

hợp

1.5.2 Một số tồn tại của điện toán đám mây

- Tính sẵn dùng: Trong môi trường chung của điện toán đám mây, các ứngdụng thường cạnh tranh về tài nguyên mạng như: thời gian xử lý, khả năng chia

tải… Nếu hệ thống cơ sở hạ tầng của nhà cung cấp dịch vụ không hoàn thiện thìviệc tắc nghẽn trong hệ thống hoàn toàn có thể xảy ra Khi đó, liệu các dịch vụđám mây có bị “treo” bất ngờ, khiến cho người dùng không thể truy cập các dịch

vụ và dữ liệu của mình trong những khoảng thời gian nào đó khiến ảnh hưởngđến công việc

- Tính riêng tư: Các thông tin người dùng và dữ liệu được chứa trên điệntoán đám mây có đảm bảo được riêng tư, và liệu các thông tin đó có bị sử dụng

vì một mục đích nào khác

- Mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây bấtngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, khiến cho ngườidùng phải sao lưu dữ liệu của họ từ đám mây về máy tính cá nhân Điều này sẽmất nhiều thời gian Thậm chí một vài trường hợp, vì một lý do nào đó, dữ liệungười dùng bị mất và không thể phục hồi được

- Tính di động của dữ liệu và quyền sở hữu: Một câu hỏi đặt ra, liệu ngườidùng có thể chia sẻ dữ liệu từ dịch vụ đám mây này sang dịch vụ của đám mâykhác? Hoặc trong trường hợp không muốn tiếp tục sử dụng dịch vụ cung cấp từđám mây, liệu người dùng có thể sao lưu toàn bộ dữ liệu của họ từ đám mây haykhông Và làm cách nào để người dùng có thể chắc chắn rằng các dịch vụ đámmây sẽ không hủy toàn bộ dữ liệu của họ trong trường hợp dịch vụ ngừng hoạtđộng

- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các đám mây là cáchthức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng lại chính là mối

lo của

người sử dụng dịch vụ của điện toán đám mây Bởi lẽ một khi các đám mây bịtấn công hoặc đột nhập, toàn bộ dữ liệu sẽ bị chiếm dụng Tuy nhiên, đây khôngthực sự là vấn đề của riêng điện toán đám mây, bởi lẽ tấn công đánh cắp dữ liệu

là vấn đề gặp phải trên bất kỳ môi trường nào, ngay cả trên các máy tính cánhân

Ở nước ta, việc triển khai điện toán đám mây vẫn đối mặt với nhiều tháchthức như: cơ sở hạ tầng chưa đồng bộ, bảo mật thông tin, chi phí đầu tư cho hạ

16tầng đám mây cao trong khi quy mô thị trường còn nhỏ và các nhà cung cấp dịch

vụ trong nước khó cạnh tranh với các nhà cung cấp dịch vụ toàn cầu, khả năng

liên kết giữa các nhà cung cấp dịch vụ đám mây, lien kết hạ tầng với ứng dụngcòn yếu… Tuy nhiên, điện toán đám mây với những lợi ích đã thấy rõ vẫn sẽsớm trở nên phổ biến và là xu thế tất yếu của công nghệ tương lai.

1.6 Một số nhà cung cấp dịch vụ điện toán đám mây

1.6.1 Trên thế giới

Trên thế giới hiện có khoảng hơn 200 nhà cung cấp dịch vụ điện toán đámmây [6, 19], mỗi nhà cung cấp thường có thế mạnh riêng của mình về từng lĩnhvực của điện toán đám mây Sau đây là một số nhà cung cấp dịch vụ đám mâytiêu biểu:

Với dịch vụ cơ sở hạ tầng (IaaS): có hai nhà cung cấp nổi tiếng về cả chất

lượng và giá cả là Amazon Web Services của Amazon.com và Microsoft Azurecủa Microsoft

- Amazon: có vị trí nổi bật về điện toán đám mây Hiện nay, Amazon đã

cung cấp không gian máy tính ảo với dịch vụ Amazon Workspaces, qua đó,người sử dụng có thể thuê một máy tính ảo chạy trên Amazon Web Services.Amazon khiến mọi người ngạc nhiên khi một nhà bán lẻ trực tuyến lại có thể tạo

ra nhiều sự thay đổi trong ngành công nghiệp công nghệ thông tin và trong cuộcsống hàng ngày đến vậy

- Microsoft: cũng đang là một doanh nghiệp lớn về điện toán đám mây với

Azure Microsoft cũng mới mở rộng Azure vào thị trường IaaS, và thậm chí còncho phép người dùng chạy Linux trên đám mây của mình với mức giá hứa hẹn sẽthấp hơn Amazon Bên cạnh đó, Microsoft cũng cung cấp rất nhiều các ứng dụngdoanh nghiệp trên đám mây của mình từ cơ sở dữ liệu SQL Server đến MicrosoftOffice 365

Với dịch vụ lưu trữ (Storage): Google Drive của Google và Box là hai

nhà cung cấp tiêu biểu:

- Google: là gã khổng lồ công nghệ được sinh ra từ đám mây Hiện tại

Google đã tăng mức lưu trữ và kết hợp với các công cụ trước đây như GoogleDocs để thuận tiện cho người sử dụng Google Drive tương thích với các hệ điềuhành trên máy tính cũng như trên điện thoại thông minh

- Box: cung cấp 10 GB dung lượng lưu trữ miễn phí, và dịch vụ chia sẻ

file giúp nhiều người có thể làm việc cùng nhau trên các tài liệu

Với dịch vụ Desktop (DaaS): hai nhà cung cấp nổi tiếng với dịch vụ này

là Citrix và Vmware

- Vmware: là một trong những đối thủ lớn nhất trong thị trường điện toán

đám mây, chuyên cung cấp phần mềm vCloud để xây dựng đám mây Vmwaregần đây là thay đổi chiến lược khi cung bố kế hoạch ra mắt đám mây công cộngcủa riêng mình Đây là một sự lựa chọn thú vị vì hiện có khoảng 200 nhà cungcấp dịch vụ điện toán đám mây được xây dựng trên nền tảng vCloud và giờ đâyVmware sẽ phải cạnh tranh với họ

- Citrix: cũng sản xuất phần mềm dành cho các đám mây để cạnh tranh với

hai đối thủ chính là Vmware và OpenStack Để cạnh tranh với OpenStack, công

ty đã cho phép quỹ Apache, một tổ chức phi lợi nhuận quản lý nhiều dự án mãnguồn mở phổ biến, sử dụng phần mềm CloudStack của mình Động thái nàycũng cho phép Citrix bán nhiều hơn các phần mềm trung tâm dữ liệu khác củamình để cạnh tranh với Vmware

Với dịch vụ phần mềm (SaaS): tiêu biểu là Salesforce.com và Insightly.

- Salesforce.com:Salesforce.com đã chứng minh rằng thế giới muốn mua

phần mềm-như-một-dịch vụ Trong năm 2012, công ty đã mở rộng một loạt cáclĩnh vực mới Salesforce.com đã chi hơn 1 tỷ đô la Mỹ để mua lại Radian6 vàBuddy Media Cloud Marketing Bên cạnh đó, Salesforce.com cũng được biếtđến như là một trong những đám mây PaaS phổ biến nhất để chạy các ứng dụngcủa riêng bạn Salesforce.com được biết đến như là một trong những đám mâyPaaS phổ biến nhất

- Insightly: cung cấp phần mềm CRM (Customer Relationship

Management) như một dịch vụ được tích hợp với Gmail, Google Apps, Outlook

2013 và Office 365 Insightly phù hợp với các doanh nghiệp vừa và nhỏ, giúpkhách hàng theo dõi các giao dịch của họ

Với dịch vụ nền tảng (PaaS): tiêu biểu là Red Hat OpenShift và Heroku.

- Red Hat OpenShift: cung cấp dịch vụ nền tảng dựa trên nguồn mở, cho

phép các nhà phát triển tùy chỉnh theo ý mình và có thể được dùng thử miễn phí(1 GB lưu trữ)

- Heroku: Nền tảng này hỗ trợ nhiều ngôn ngữ lập trình, từ Java tới Ruby

Python Heroku là một trong những nhà cung cấp PaaS sớm nhất, nó cung cấpcác ứng dụng của bên thứ ba cũng như của riêng mình

Ngoài ra, còn một số nhà cung cấp dịch vụ đám mây nổi tiếng như IBM,Rackspace (OpenStack)

1.6.2 Tại Việt Nam

Với trung tâm điện toán đám mây đầu tiên được ra mắt từ nửa cuối năm

2008, Việt Nam trở thành một trong những nước đầu tiên của Asian đưa vào sửdụng công nghệ này Cho đến nay, Việt Nam đã xuất hiện thêm nhiều công tycung cấp dịch vụ điện toán đám mây, song chủ yếu tập trung vào thị trường nhỏnhư QTSC, VNTT, Prism, Exa, HostVN, MOS, BiakiCRM Một số nhà cungcấp như Bkav, FPT, VDC, CMC Telecom NEO,… thì chỉ cung cấp những dịch

vụ riêng lẻ quản lý văn phòng, nhân sự, quan hệ khách hàng…

Nhìn chung, các nhà cung cấp dịch vụ đám mây công cộng tại Việt Namvẫn còn ở quy mô nhỏ Một số công ty tích hợp hệ thống (SI) và nhà cung cấpphần mềm độc lập (ISV) đã có chiến lược đầu tư vào điện toán đám mây, kết hợpxây dựng đám mây công cộng với triển khai đám mây riêng cho khách hàng.Trong số này, FIS, SBD, HiPT đang chiếm thị phần lớn ở mảng IaaS; còn LạcViệt, MISA, NEO, CT-IN giữ vai trò chủ chốt ở mảng SaaS

Năm 2014, VTC Digicom sau hai năm nghiên cứu và phát triển đã chínhthức ra mắt dịch vụ điện toán đám mây gồm: Cloud Server (máy chủ ảo), CloudStorage (không gian lưu trữ) và Cloud Streaming/CDN

Năm 2017, Viện Công nghiệp phần mềm và nội dung số Việt Nam triểnkhai đề án cung cấp hạ tầng, dịch vụ dùng chung cho cơ quan nhà nước tại địachỉ số 115 Trần Duy Hưng [3]

Kết luận Chương 1

Trong chương 1 của luận văn đã phân tích, tìm hiểu những nội dung cơbản về điện toán đám mây, bao gồm khái niệm, lịch sử hình thành và phát triển,vai trò, kiến trúc mô hình dịch vụ, mô hình triển khai điện toán đám mây, nhữngnhà cung cấp dịch vụ điện toán đám mây lớn trên thế giới và tại Việt Nam

Nội dung chương 1 cũng đi sâu nghiên cứu phân tích những ưu điểm, giátrị to lớn của điện toán đám mây trong việc cung cấp các nhóm dịch vụ hạ tầng,dịch vụ lưu trữ, desktop, dịch vụ phần mềm và nền tảng [3, 6] Trên cơ sở nghiêncứu những hạn chế của điện toán đám mây, nội dung chương 1 phân tích làm rõnguy cơ mất an toàn thông tin, cho thấy vị trí tầm quan trọng của việc nghiêncứu giải pháp bảo mật dữ liệu trong quá trình lưu trữ và truyền nhận qua đámmây Đây là cơ sở tiền đề, nền tảng cho triển khai nghiên cứu chuyên sâu về bảo

vệ thông tin trong điện toán đám mây được trình bày tại chương 2

CHƯƠNG 2: BẢO VỆ THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY 2.1 Khái niệm an ninh thông tin

Ngày càng có nhiều các công ty cung cấp dịch vụ điện toán đám mây,nhưng bước tiến mới này tiềm ẩn những nguy cơ về an ninh

Theo NIST định nghĩa [14]: An ninh thông tin là sự tiến hành việc duy trì

tính toàn vẹn, bảo mật và sẵn sàng của dữ liệu khi gặp vấn đề từ truy cập độchại, lỗi hệ thống…

- Tính toàn vẹn: Thông tin là thực, đầy đủ, đáng tin cậy Dữ liệu khôngđược thay đổi không phù hợp cho dù gặp sự cố hoặc các hoạt động độc hại cóchủ

đích

- Bảo mật: Thông tin có thể chỉ được truy cập bởi người được uỷ quyềnhoặc chia sẻ giữa các nhóm được ủy quyền Phương pháp xác thực, bao gồm cảxác minh, có thể được áp dụng để bảo vệ dữ liệu tránh khỏi xâm nhập độc hại

- Sẵn sàng: dữ liệu luôn sẵn sàng và sẵn có sử dụng khi cần theo quyềnthao tác cho đối tượng đã được ủy quyền

Theo ISO/IEC 27000, 2009 định nghĩa [10]: An ninh thông tin là sự giữ

gìn tính bảo mật, toàn vẹn và sẵn sàng của thông tin và các thuộc tính khác nhưtính xác thực, trách nhiệm, không chối bỏ và tin cậy

Theo CNSS, 2010 định nghĩa [6]: An ninh thông tin là sự bảo vệ thông tin

và hệ thống thông tin khỏi việc truy cập trái phép, sử dụng, tiết lộ, gián đoạn,biến đổi, hoặc phá hủy để cung cấp bảo mật, tính toàn vẹn và tính sẵn sàng

Theo Venter và Eloff, 2003 [6]: An ninh thông tin là sự bảo vệ thông tin

và giảm thiểu những nguy cơ lộ thông tin cho các bên trái phép

2.2 Một số tiêu chuẩn về an ninh thông tin

Ban kỹ thuật tiêu chuẩn quốc tế JTC1/SC 27 “IT Security Techniques” do

hai tổ chức là Cơ qua tiêu chuẩn hóa quốc tế ISO (International Organization forStandardization) và Ủy bản kỹ thuật điện quốc tế IEC (InternationalElectrotechnical Commission) cộng tác thành lập

Ban kỹ thuật này đã công bố hơn 130 tiêu chuẩn quốc tế về lĩnh vực anninh thông tin Những tiêu chuẩn quốc tế được sự trợ giúp xây dựng, đóng góp ýkiến của nhiều chuyên gia, các hãng bảo mật và các tổ chức tiêu chuẩn hóatrên thế

giới

2.2.1 Tiêu chuẩn về hệ thống quản lý an ninh

Hiện nay, trên thế giới đang tồn tại một họ các tiêu chuẩn hệ thống quản lý

an ninh thuộc bộ ISO 27000 Bộ tiêu chuẩn ISO 27000 về hệ thống quản lý anninh thông tin ISMS (Information Security Management System) được xây dựng

để có thể áp dụng cho mọi tổ chức, bất kể loại hình, kích cỡ hay môi trường kinhdoanh của tổ chức đó Người sử dụng là những chuyên gia, quản lý kinh doanh

có liên quan đến các hoạt động quản lý hệ thống an ninh

Để có thể đạt được các chỉ tiêu an ninh có trong bộ ISO 27000 là khá khókhăn và rất tốn kém Số lượng chứng chỉ chứng nhận đạt sự phù hợp với ISO/IEC

27001 trên toàn thế giới mới chỉ lên đến con số 7940

Một bộ tiêu chuẩn về lĩnh vực quản lý an ninh cũng đáng được nhắc tới đó

là bộ ISO/IEC 31000 về quản lý rủi ro

2.2.2 Tiêu chuẩn an ninh thông tin về điện toán đám mây

Tổ chức ISO công bố 04 tiêu chuẩn liên quan đến điện toán đám mây là:ISO/IEC 17203:2011 quy định về định dạng mã hóa mở OVF, ISO/IEC17826:2012 về giao diện quản lý dữ liệu đám mây CDMI, ISO/IEC 17963:2013

về quản lý dịch vụ web, cuối cùng là ISO/IEC TR 30102:2012 về thủ tục kỹthuật cho DAPS (Nền tảng và dịch vụ ứng dụng phân tán) Ngoài ra tiêu chuẩnISO/IEC

27017 đưa ra các nguyên tắc kiểm soát an ninh thông tin cho dịch vụ điện toánđám mây

Tuy nhiên, các tiêu chuẩn điện toán đám mây “riêng” vẫn đang phát triểnmạnh mẽ, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã đưa ra nguyêntắc phân loại chuẩn điện toán đám mây, đồng thời theo đó là hàng loạt tiêu chuẩnđiện toán đám mây ra đời (công bố bởi NIST, IETF, ITU-T…), được thế giới công nhận và áp dụng Cụ thể:

- Về xác thực và ủy quyền: RFC 5246, RFC 3820, RFC 5280, X.509(ISO/IEC 9594-8), RFC 5849, OpenID, XACML (eXtensible Access ControlMarkup Language), SAML (Security Assertion Markup Language), FIPS 181,FIPS 190, FIPS 196…

- Về tính bí mật: RFC 5246, KMIP (Key Management Interoperability

22Protocol), XML, FIPS 140-2, FIPS 185, FIPS 197, FIPS 188…

- Về tính toàn vẹn: XML, FIPS 180-3, FIPS 186-3, FIPS 198-1,…

- Về quản lý nhận diện: SPML (Service Provisioning Markup Language),X.idmcc, SAML, OpenID, FIPS 201-1,…

- Về thủ tục an ninh: NIST SP 800-126, NIST SP 800-61, X.1500, X.1520,X.1521, PCI, FIPS 191…

- Về quản lý chính sách: XACML, FIPS 199, FIPS 200,…

- Về tính tương hợp: OCCI (Open Cloud Computing Interface), CDMI,IEEE P2301, IEEE P2302…

- Về tính khả chuyển: CDMI, OVF (Open Virtualization Format), IEEEP2301…

2.2.3 Tiêu chuẩn an ninh thông tin về dữ liệu

Điểm mấu chốt trong an ninh thông tin chính là dữ liệu, có nhiều bộ tiêuchuẩn về an ninh dữ liệu, đầu tiên cần kể đến là bộ tiêu chuẩn ISO 8000 về Chất

lượng dữ liệu Bộ tiêu chuẩn này đưa ra các thủ tục về chất lượng dữ liệu, các

đặc tính cần kiểm tra chất lượng, đồng thời đưa ra hàng loạt các yêu cầu về thunhận, biểu diễn, phương pháp đo và kiểm tra chất lượng dữ liệu

Hiện nay bộ tiêu chuẩn ISO 8000 được chia thành 04 mảng:

Phần 1 đến phần 99: Chất lượng dữ liệu chung;

Phần 100 đến phần 199: Chất lượng dữ liệu gốc;

Phần 200 đến phần 299: Chất lượng dữ liệu giao dịch;

Phần 300 đến phần 399: Chất lượng dữ liệu sản phẩm

Ngoài ra là các tiêu chuẩn về kiến trúc dữ liệu cũng được xây dựng như:

- ISIS-MTT: Đặc tả tính tương hợp chữ ký công nghiệp (MailTrusT): đưa

ra cách chứng thực khóa công khai, chứng thực thuộc tính và thu hồi chứng thực,thiết lập và gửi yêu cầu đến cơ quan chứng thực và phản hồi, thiết lập thông điệp

2.2.4 Tiêu chuẩn về đánh giá an ninh thông tin

Tiêu chuẩn đánh giá an ninh thông tin chung là CC (Common Criteria)đưa ra những tiêu chí đánh giá an ninh chung cho sản phẩm hoặc hệ thống thôngtin Hiện nay, CC đã được chuyển thành các tiêu chuẩn quốc tế là bộ tiêu chuẩnISO/IEC 15408 và tiêu chuẩn ISO/IEC 18045 Trong đó, ISO/IEC 18045:2008quy định các hành động tối thiểu được thực hiện bởi chuyên gia đánh giá khithực hiện đánh giá theo ISO/IEC 15408, sử dụng các chỉ tiêu và bằng chứng đểđánh giá như quy định trong ISO/IEC 15408 Tiêu chuẩn này không quy địnhcác hành động đảm bảo đánh giá từng thành phần mà chưa có chấp thuận đánhgiá chung

Đây được xem là bộ các tiêu chí đánh giá chung nhất cho các sản phẩm,thiết bị và hệ thống công nghệ thông tin

Hình 2.1: Quá trình hình thành cộng đồng CC (Common Criteria)

Ngoài ra đối với hệ thống ISMS, chúng ta có ISO/IEC 27007:2011 đưa racác nguyên tắc đánh giá hệ thống an ninh thông tin, cũng là tiêu chuẩn được sửdụng để đánh giá an ninh thông tin cho các hệ thống thông tin thông thường, kể

cả các hệ thống không phải ISMS

2.3 Phân loại về an ninh thông tin trong điện toán đám mây

2.3.1 Theo nhóm vấn đề

Các vấn đề an ninh liên quan đến điện toán đám mây được chia thành 5loại chính: các tiêu chuẩn an ninh, mạng, kiểm soát truy cập, hạ tầng đám mây

và dữ liệu [18]

2.3.1.1 Nhóm vấn đề về các tiêu chuẩn an ninh

Các tiêu chuẩn cần thiết để có biện pháp phòng ngừa, ngăn chặn các cuộctấn công bao gồm các thỏa thuận mức dịch vụ, kiểm tra quản lý và các thỏathuận khác giữa người sử dụng, nhà cung cấp dịch vụ và các bên liên quan khác

Các vấn đề an ninh thuộc nhóm này gồm vấn đề thiếu tiêu chuẩn an ninh,thiếu kiểm tra quản lý, thiếu khía cạnh pháp lý, vấn đề về sự tin cậy

2.3.1.2 Nhóm vấn đề về mạng

Liên quan đến các cuộc tấn công mạng như kết nối sẵn sàng (ConnectionAvailability), từ chối dịch vụ (DoS), tấn công lũ lụt (flooding attack), các lỗhổng giao thức Internet.v.v

Các vấn đề an ninh của nhóm mạng gồm việc cài đặt các tường lửa chomạng, các cấu hình an ninh mạng, các lỗ hổng giao thức Internet và tính phụthuộc vào Internet

2.3.1.3 Nhóm vấn đề về kiểm soát truy cập

Là một nhóm hướng người dùng, bao gồm các vấn đề nhận diện, xác thực

và cấp phép Các vấn đề an ninh của kiểm soát truy cập gồm cướp tài khoản vàdịch vụ, vấn đề độc hại từ nội bộ, cơ chế xác thực, quyền truy cập và an ninhtrình duyệt

2.3.1.4 Nhóm vấn đề về hạ tầng đám mây

Gồm các vấn đề an ninh, các cuộc tấn công tới SaaS, PaaS, IaaS và liênquan đến môi trường ảo hóa Một số vấn đề an ninh của nhóm này gồm giao diệnAPI thiếu an toàn, chất lượng dịch vụ, lỗi công nghệ chia sẻ, độ bền của nhàcung cấp, cấu hình an ninh sai, kiến trúc đa thuê, vị trí máy chủ và sao lưu

2.3.1.5 Nhóm vấn đề về dữ liệu

Gồm các vấn đề liên quan đến an ninh dữ liệu như dự phòng dữ liệu, mất

và rò rỉ dữ liệu, vị trí dữ liệu, phục hồi dữ liệu, sự riêng biệt của dữ liệu, tính sẵnsàng của dữ liệu, bảo vệ dữ liệu…

2.3.2 Các nguy cơ hàng đầu về an ninh

Các nguy cơ an ninh có thể thay đổi tùy theo các mô hình dịch vụ hay các

mô hình triển khai đám mây Dưới đây là một số nguy cơ hàng đầu về an ninhtrong điện toán đám mây được khảo sát vào cuối năm 2013 bởi CSA [25], xéttheo các mô hình dịch vụ của đám mây

2.3.2.1 Nguy cơ vi phạm dữ liệu

Việc lấy cắp dữ liệu bí mật của một công ty, tổ chức luôn là một nguy cơđối với bất kỳ cơ sở hạ tầng công nghệ thông tin nào, nhưng với điện toán đámmây thì nguy cơ này cao hơn Người dùng có thể sử dụng biện pháp mã hóa đểgiảm thiểu nguy cơ vi phạm dữ liệu, tuy nhiên khóa mã hóa cần phải được giữcẩn thận Người dùng cũng có thể chọn giải pháp sao lưu (sao lưu offline) phòngtrường hợp mất dữ liệu, nhưng vấn đề này đồng thời cũng làm tăng nguy cơ tiếpxúc với việc vi phạm dữ liệu

2.3.2.2 Nguy cơ mất dữ liệu

Với cả người tiêu dùng và doanh nghiệp thì mất những dữ liệu quan trọng

là nguy cơ nghiêm trọng Dữ liệu lưu trữ trên đám mây có thể bị mất do kẻ tấncông lấy cắp hoặc một vài nguyên nhân khác (bị xóa tình cờ, mất chìa khóa mãhóa dữ liệu hoặc thảm họa động đất, hỏa hoạn…)

2.3.2.3 Cướp tài khoản hoặc dịch vụ vận chuyển

Cướp tài khoản và dịch vụ cũng không phải là nguy cơ mới Phương pháptấn công như lừa đảo, gian lận, các phần mềm khai thác… Việc sử dụng lại mậtkhẩu có thể làm tăng nguy cơ này, nếu kẻ tấn công được quyền truy cập vàothông tin của người dùng, họ có thể can thiệp vào các hoạt động, thao tác dữliệu, giao dịch, trả về các thông tin giả mạo, chuyển hướng truy cập đến cáctrang độc hại Với các thông tin bị đánh cắp, kẻ tấn công có thể thường xuyêntruy cập vào các khu vực quan trọng của dịch vụ điện toán đám mây, đe dọa tínhbảo mật, toàn vẹn và tính sẵn sàng của các dịch vụ này Các tổ chức cần phảinhận thức được các kỹ thuật đó cũng như thực hiện các chiến lược bảo vệ theochiều sâu để hạn chế thiệt hại Các tổ chức cũng nên hạn chế việc chia sẻ thông

có thể.

2.3.2.4 Nguy cơ giao diện và các API không an toàn

Nhà cung cấp dịch vụ điện toán đám mây cung cấp một tập hợp các giaodiện hay các API để người dùng quản lý, tương tác với dịch vụ đám mây của họ(dự phòng, quản lý tài nguyên…) trong khi tính bảo mật, tính sẵn dùng của điệntoán đám mây nói chung lại phụ thuộc vào sự an toàn của các API cơ bản Nếu

cơ chế kiểm soát truy cập và chứng thực không được thiết kế tốt thì rất dễ gặpcác truy cập trái phép, độc hại Ví dụ như các truy cập nặc danh, sử dụng lại mậtkhẩu…Nguy cơ này tồn tại trên cả ba mô hình dịch vụ của điện toán đám mây

Để giảm thiểu nguy cơ này, cần phân tích mô hình an ninh của các giao diện nhàcung cấp dịch vụ, đảm bảo cơ chế xác thực và điều khiển truy cập mạnh mẽ kếthợp với mã hóa trong quá trình truyền và cần hiểu được liên kết phụ thuộc vớicác

API

2.3.2.5 Tấn công từ chối dịch vụ (DoS)

Tấn công từ chối dịch vụ gây ra tình trạng quá tải của cơ sở hạ tầng, chúng

sử dụng lượng lớn tài nguyên hệ thống và không cho phép khách hàng sử dụngdịch vụ Có nhiều dạng của tấn công DoS có thể ngăn cản việc sử dụng điện toánđám mây Ví dụ, kẻ tấn công có thể khởi động cuộc tấn công DoS trên lớp ứngdụng bằng cách khai thác lỗ hổng bảo mật trong các máy chủ web, cơ sở dữ liệuhoặc các nguồn tài nguyên điện toán đám mây khác để lấp đầy các ứng dụngkhác với tải trọng rất nhỏ Trải qua một cuộc tấn công từ chối dịch vụ cũnggiống như tắc nghẽn giao thông trong giờ cao điểm: không có cách nào để đếnđược đích và không thể làm gì khác ngoại trừ ngồi và chờ đợi Với người dùng,ngừng dịch vụ không chỉ chống lại bạn, mà còn buộc bạn phải cân nhắc lại việcchuyển dữ liệu quan trọng lên đám mây để giảm chi phí cơ sở hạ tầng

2.2.2.6 Nguy cơ từ chính người dùng nội bộ

Hầu hết các tổ chức đã quen với các mối đe dọa từ bên trong (nội bộ), cóthể là nhà cung cấp đám mây, khách hàng sử dụng đám mây hay bên thứ ba.Nguy cơ từ người dùng nội bộ thường gây ra thiệt hại lớn hơn so với các cuộc