13 -1.2 Các yêu cầu đối với các trung tâm dữ liệu Với vai trò là cơ sở hạ tầng của hệ thống thông tin các trung tâm dữ liệu kết nối với Internet phải đáp ứng được các yêu cầu về khả năng
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA CÔNG NGHỆ
Trang 2Mục lục
Chương 1: Kiến trúc tổng quan của trung tâm dữ liệu 11
1.1 Trung tâm dữ liệu kết nối Internet là gì? 11
1.2 Các yêu cầu đối với các trung tâm dữ liệu 13
1.2.1 Khả năng xử lý 13
1.2.2 Khả năng mở rộng 13
1.2.3 Tính sẵn sàng cao 15
1.2.4 Khả năng bảo m ật 16
1.2.5 Khả năng thích ứng 16
1.3 Mô hình của các ứng dụng 17
1.4 Kiến trúc các vùng trong trung tâm dữ liệu 18
Chương 2: Kiến trúc của các vùng trong trung tâm dữ liệu 23
2.1 Vùng truy nhập 23
2.1.1 Đặc điểm của vùng truy nhập 23
2.1.2 Kiến trúc vùng truy nhập 23
2.2 Vùng bảo mật 25
2.2.1 Kiến trúc vùng bảo mật 27
2.2.2 Các thành phần của vùng bảo mật 29
2.3 Vùng dịch vụ cơ bản 36
2.3.1 Các dịch vụ cơ bản 37
2.3.2 Kiến trúc của vùng dịch vụ cơ bản 41
2.4 Vùng ứng dụng 42
2.4.1 Đặc điểm của vùng ứng dụng 42
2.4.2 Kiến trúc của vùng ứng dụng 44
2.5 Vùng dữ liệu 45
2.5.1 Đặc điểm của vùng dữ liệu 45
Trang 32.5.2 Kiến trúc của vùng dữ liệu 46
2.6 Vùng lun trữ 51
2.6.1 Lựa chọn kiến trúc công nghệ cho vùng lưu trữ 51
2.6.2 Kiến trúc vùng lưu trữ với SAN 55
2.7 Vùng quản trị 56
2.7.1 Kiến trúc của vùng quản trị 57
2.7.2 Các thành phần của hệ thống quản trị 60
2.8 Đảm bảo tính sẵn sàng cao của trung tâm dữ liệu 65
2.8.1 Khái niệm độ sẵn sàng cao của trung tâm dữ liệu 65
2.8.2 Các bước xây dựng hệ thống có độ sẵn sàng cao 71
2.8.3 Kiến trúc máy chủ có độ ổn định cao 73
2.8.4 Đảm bảo tính sẵn sàng cao với hệ thống có một máy chủ 75
2.8.5 Đảm bảo tính sẵn sàng cao với hệ thống có nhiều máy chủ 78
2.9 Kiến trúc của hệ thống mạng trong trung tâm dữ liệu 82
2.9.1 Các vấn đề đặt ra đối với việc xây dựng mạng ,.82
2.9.2 Mô hình kết nối nhiều mức 84
2.9.3 Kiến trúc mạng kết nối các vùng trong trung tâm dữ liệu 88
Chương 3: Thiết kế vùng lưu trữ với SAN 91
3.1 Tổng quan về việc thiết kế vùng lưu trữ với SAN 91
3.2 Tổng quan về chuẩn FC (Fibre Channel) 91
3.2.1 Các thuật ngữ cơ bản trong chuẩn FC 93
3.2.2 Các mô hình kết nối với giao thức FC 95
3.3 Thiết kế hệ thống kết nối với công nghệ SAN 98
3.3.1 Các vấn đề cần quan tâm khi thiết kế SAN 98
3.3.2 Các mô hình kết nối SAN 105
3.3.3 Một số mẫu thiết kế SAN 110
Trang 43
-3.4 Kết nối các nút với SAN 113
3.5 Các giải pháp phần mềm trong vùng lưu trữ 115
3.5.1 Bảo mật dữ liệu trong vùng lưu trữ 115
3.5.2 Sao chép dữ liệu 117
3.5.3 Sao lưu dữ liệu trên SAN 119
3.6 Ví dụ về một vùng lưu trữ với công nghệ SAN 121
Trang 5Hình 1-1: Kiến trúc tổng quan của trung tâm dữ liệu kết nối Internet 19
Hình 2-1: Kiến trúc vùng truy nhập 23
Hình 2-2: Kiến trúc vùng bảo m ật 27
Hình 2-3: Mô hình giao thức W AP 40
Hình 2-4: Kiến trúc vùng dịch vụ cơ bản 41
Hình 2-5: Kiến trúc vùng ứng dụng 44
Hình 2-6: Kiến trúc vùng dữ liệu 46
Hình 2-7: Mô hình cụm máy chủ không chia sẻ 48
Hình 2-8: Mô hình cụm máy chủ dùng chung đĩa 49
Hình 2-9: Kiến trúc hệ thống lưu trữ kết nối trực tiếp 51
Hình 2-10: Kiến trúc vùng lưu trữ với SAN 55
Hình 2-11: Kiến trúc hệ thống quản trị 58
Hình 2-12: Quá trình dừng hệ thống không hoạch định 67
Hình 2-13: Quá trình dừng hệ thống có hoạch định 68
Hình 2-14: Không có thời gian ngừng hoạt động 69
Hình 2-15: Các nguyên nhân gây ngừng hoạt động của hệ thống 71
Hình 2-16: Các bước xây dựng hệ thống có độ sẩn sàng cao 72
Hình 2-17: Lựa chọn máy chủ có độ ổn định cao 73
Hình 2-18: Mô hình máy chủ có độ sẵn sàng cao 76
Hình 2-19: Mô hình cụm máy chủ 79
Hình 2-20: Mô hình cân bằng tải 80
Hình 2-21: Kiến trúc một mô đun mạng 85
Hình 2-22: Kiến trúc mạng của toàn hệ thống 86
Hình 2-23: Kiến trúc mạng với một mô đun duy nhất 88
M ục lục các hình vẽ
Trang 6Hình 2-24: Kết nối mạng cho máy chủ 88
Hình 2-25: Kết nối mạng cho firewall 90
Hình 3-1: Các thuật ngữ trong chuẩn FC 93
Hình 3-2: Mô hình kết nối điểm nối điểm 95
Hình 3-3: Mô hình kết nối FC-AL 96
Hình 3-4: Mô hình kết nối FC-SF 97
Hình 3-5: Mở rộng kích SAN 101
Hình 3-6: Mô hình tính hệ số đăng ký ISL 103
Hình 3-7: Mô hình kết nối chồng 105
Hình 3-8: Mô hình kết nối vòng tròn 106
Hình 3-9: Mô hình kết nối toàn phần 107
Hình 3-10: Mô hình kết nối hình sao 108
Hình 3-11: Mẫu thiết kế SAN từ 1 đến 3 switch 110
Hình 3-12: Mẫu thiết kế từ 4 đến 6 switch 111
Hình 3-13: Mẫu thiết kế với 20 switch 112
Hình 3-14: Mẫu thiết kê với khoảng cách lớn 112
Hình 3-15: Kết nối thiết bị trong SAN 113
Hình 3-16: Bảo mật dữ liệu trong vùng lưu trữ 116
Hình 3-17: Sao chép dữ liệu trong SAN 118
Hình 3-18: Mô hình sao lưu dữ liệu truyền thống 119
Hình 3-19: Sao lưu dữ liệu trên SAN 120
Hình 3-20: Sao lưu trên SAN với bản sao dữ liệu 121
Hình 3-21 : Ví dụ về vùng lưu trữ với công nghệ SAN 124
5
Trang 7-Các thuật ngữ viết tắt
ARP Address Resolution Protocol
CIFS Common Internet File System
CORBA Common Object Request Broker Architecture CIR Committed Information Rate
DLT Digital Linear Tape
DMI Desktop Mnagement Interface
ECC Error Checking and Correction
ESCON Enterprise System Connection
FC-AL Fibre Channel Arbitrated Loop
FC-SF Fibre Channel Switched Fabric
FDDI Fiber Distributed Data Interface
FTP File Transfer Protocol
GBIC Gigabit Interface Converter
HIPPI High Performance Parallel Interface
Trang 8HTTP HyperText Transport Protocol
IEEE Institute of Electrical and Electronic Engineers
IMAP4 Internet Mail Access Protocol
IPI Intelligent Peripheral Interface
IPMI Intelligent Platform Management Interface
iSCSI Internet SCSI
ISP Nhà cung cấp dịch vụ Internet (Internet Service Provider) J2EE Java 2 Enterprise Edition
L2TP Layer 2 Tunnel Protocol
LAN Mạng cục bộ (Local Area Network)
LDAP Lightweight Directory Access Protocol
ÑAS Network Attached Storage
OPS Oracle Parallel Server
OPFS Oracle Parellel Fail Safe
POP Post Office Protocol
POP3 Post Office Protocol Version 3
PSTN Public Switched Telephone Network
RAC Real Application Cluster
RADIUS Remote Access Dial In User Service
RAID Redundant Array of Independent Disks
Trang 9RAS Remote Access Server
SCSI Small Computer System Interface SMTP Simple Message Transfer Protocol SNMP Simple Network Management Protocol SQL Structured Query Language
VPN Virtual Private Network
WAP Wireless Application Protocol
Trang 109
-Lời nói đầu
Sự phát triển của Internet nói riêng và của công nghệ thông tin nói chung đang xảy ra rất mạnh mẽ tại Việt nam trong thời gian gần đây cũng như trong tương lai Sự phát triển này đòi hỏi các công ty, các tổ chức cần xây dựng các trung tâm dữ liệu của mình Các trung tâm dữ liệu này ban đầu được hoạt động độc lập nhưng một điều tất yếu là sẽ phải kết nối với Internet trong tương lai Để xây dựng một các hiệu quả các trung tâm dữ liệu cần phải được xây dựng dựa trên một kiến trúc hợp lý Chính vì yêu cầu này em đã chọn đề tài “Kiến trúc của trung tâm dữ liệu” làm luận văn thạc sĩ khoa học.
Nội dung của luận văn là đưa ra một kiến trúc chung dựa vào đó các công
ty, các tổ chức có thể xây dựng các trung tâm dữ liệu của mình.
Do nội dung hạn chế của luận văn nên không thể đề cập tới thiết kế của tất cả các vùng trong trung tâm dữ liệu được Trong luận văn này em lựa chọn vùng lưu trữ để thực hiện việc thiết kế chi tiết.
Về kết cấu của luận văn ngoài lời nói đầu, kết luận và tài liệu tham khảo luận văn được trình bày trong 3 chương:
Chương 1 : Kiến trúc tổng quan của trung tâm dữ liệu.
Nội dung của chương này là tìm hiểu các yêu cầu đặt ra đối với trung tâm dữ liệu từ đó xây dựng một kiến trúc chung cho các trung tâm dữ liệu
Chương 2: Kiến trúc của các vùng trong trung tâm dữ liệu.
Chương 2 đi sâu vào kiến trúc chi tiết của trung tâm dữ liệu bằng việc xem xét kiến trúc của từng vùng trong trung tâm dữ liệu, cách thức kết nối các vùng Chương này cũng đề cập đến việc bảo đảm
độ sẵn sàng cao của các vùng nói riêng và của trung tâm dữ liệu nói chung
Trang 11Chương 3: Thiết kế vùng lưu trữ với SAN
Chương 3 tìm hiểu vể các vấn đề đặt ra đối với việc thiết kế hệ thống lưu trữ trong các trung tâm dữ liệu dựa trên công nghệ SAN
và đưa ra một số mô hình cho thiết kế SAN.
Qua đây em xin chân thành cảm ơn thầy giáo Vũ Duy Lợi, các thầy cô giáo Khoa công nghệ và các bạn cùng khoá đã tận tình giúp đỡ em trong quá trình hoàn thành luận văn này.
Trang 1211
-Chương 1: Kiến trúc tổng quan của trung
tâm dữ liệu 1.1 Trung tâm dữ liệu kết nối Internet là gì?
Các trung tâm dữ liệu nói chung ban đầu được định nghĩa rất đơn giản chỉ
là một phòng chứa các máy chủ Thời kỳ đầu của công nghệ thông tin các trung tâm này thường có một vài máy tính lớn thực hiện toàn bộ mọi xử lý của hệ thống thông tin.
Với xự xuất hiện của các mô hình tính toán phân tán và các hệ thống máy tính tầm trung, máy tính cá nhân và mạng cục bộ, các trung tâm này không chỉ còn là phòng chứa các máy chủ nữa mà đây thực sự là nơi toàn bộ cơ sở hạ tầng của hệ thống thông tin hoạt động Các hệ thống ở đây bao gồm các máy chủ, thiết bị mạng, thiết bị lưu trữ,
Chính sự phát triển có tính lịch sử này mà các trung tâm dữ liệu thường được xem xét theo hai khía cạnh khác nhau:
• Là cơ sở hạ tầng của hệ thống thông tin đó là toàn bộ các thiết bị, phần cứng và phần mềm phục vụ cho sự vận hành của hệ thống thông tin trong mỗi tổ chức và mỗi doanh nghiệp Các vấn đề được quan tâm ở đây là hệ thống này sẽ được tổ chức như thế nào, vận hành ra sao,
• Là nơi chứa toàn bộ cơ sở hạ tầng của hệ thống thông tin, với bình diện này người ta quan tâm đến việc bảo đảm môi trường cho sự hoạt động của hệ thống cơ sở hạ tầng này Các vấn đề được quan tâm ở đây là hệ thống điện, điều hoà nhiệt độ, hệ thống an ninh, phòng cháy chữa cháy,
Trong luận văn này chúng ta chỉ đề cập đến vai trò là cơ sở hạ tầng của trung tâm dữ liệu mà thôi.
Trang 13Các trung tâm dữ liệu truyền thống vẫn liên tục được phát triền để đáp ứng cao yêu cầu của các công ty, các tổ chức Nhưng hiện nay sự phát triển của các trung tâm dữ liệu này gặp phải một thách thức rất lớn Với sự phát triển của Internet và khả năng kết nối toàn cầu các hệ thống thông tin không còn hoạt động giống như trước đây nữa.
Ví dụ trong thời kỳ đầu của công nghệ thông tin độ sẵn sàng của các ứng dụng được tính bằng giờ thậm chí bằng ngày Ngày nay trên Internet việc ứng dụng ngừng hoạt động chỉ vài phút cũng có thể gây thiệt hại rất lớn Trước đây việc ứng dụng ngừng hoạt động chí gây ảnh hưởng tới một nhóm nhỏ người sử dụng trong các công ty hay tổ chức đó mà thôi Với sự phát triển của Internet, người sử dụng không chỉ trong một công ty một tổ chức mà bao gồm rất nhiều người bên ngoài vì vậy việc hệ thống thông tin dừng hoạt động có thể gây ảnh hưởng trực tiếp đến doanh thu, uy tín của các công ty và các tổ chức.
Trước đây các trung tâm dữ liệu đóng vai trò là thành phần trợ giúp cho
sự hoạt động của các tổ chức, công ty thì này nó là một phần không thể thiếu được trong các hoạt động này, là một mắt xích trong các qui trình xử lý của các doanh nghiệp.
Tại Việt nam hiện nay, số lượng người sử dụng Internet đã tăng lên nhanh chóng trong một thời gian gắn Hầu hết các tổ chức và các công ty lớn đều có kế hoạch thực hiện việc kết nối ra Internet nhằm thu được các lợi ích mà Internet có thể đem lại Trong đó phải kể đến hai xu hướng lớn nhất là cung cấp dịch vụ ngân hàng điện tử và chính phủ điện tử Vì vậy việc xây dựng các trung tâm dữ liệu kêt nối với Internet đang là một vấn đề được nhiều người quan tâm.
Các trung tâm dữ liệu kết nối Internet là các trung tâm dữ liệu được ứng dụng công nghệ của Internet và thông qua Internet người sử dụng có thể truy nhập vào trung tâm dữ liệu này.
12
Trang 1413
-1.2 Các yêu cầu đối với các trung tâm dữ liệu
Với vai trò là cơ sở hạ tầng của hệ thống thông tin các trung tâm dữ liệu kết nối với Internet phải đáp ứng được các yêu cầu về khả năng xử lý, khả năng
mở rộng, tính sẵn sàng cao, khả năng bảo mật và khả năng thích ứng với các thay đổi trong tương lai.
1.2.1 Khá năng xử lý
Khả năng xử lý của trung tâm dữ liệu phụ thuộc vào số người sử dụng và
số lượng người sử dụng đồng thời Thời gian đáp ứng của mỗi yêu cầu của người
sử dụng còn phụ thuộc vào cả kết nối mà người sử dụng dùng để kết nối với trung tâm dữ liệu Trung tâm dữ liệu được thiết kế hợp lý phải có khả năng đáp ứng được người sử dụng có kết nối tốt nhất.
Để có được thời gian đáp ứng tốt nhất các trung tâm dữ liệu thường được thiết kế theo từng lớp và các dịch vụ khác nhau được phân bổ trên nhiều máy chủ khác nhau điều này sẽ giúp tăng khả năng kiểm soát đối với khả năng xử lý của hệ thống Việc kiểm soát này được thực hiện bằng cách tối ưu khả năng xử
lý của mỗi máy chủ theo dịch vụ mà nó thực hiện, phân bổ và tái phân bổ các dịch vụ trên các máy chủ nhằm cân bằng tải trên các máy chủ và cuối cùng là sử dụng các thiết bị giúp cân bằng tải trên các máy chủ cung cấp cùng một dịch vụ.
1.2.2 Khả năng mở rộng
Các trung tâm dữ liệu kết nối với Internet không chỉ phục vụ cho người sử dụng bên trong mỗi tổ chức, công ty của mình mà còn phục vụ cho những người bên ngoài tổ chức, công ty đó thông qua Internet Số lượng người sử dụng này rất khó xác định trước và thay đổi liên tục theo thời gian Vì vậy việc xác định ngay
từ ban đầu khả năng xử lý của các trung tâm dữ liệu rất khó và đây là công việc hầu như không thê làm được một cách chính xác Chính vì lý do này mà các tổ chức và các công ty thường xây dựng các trung tâm dữ liệu với khả năng xử lý
Trang 151 4
-hạn chế để tránh lãng phí trong đầu tư trong giai đoạn đầu và mờ rộng khi cần thiết.
Hơn nữa với vai trò là cơ sở hạ tầng của hệ thống thông tin các trung tâm
dữ liệu này phải có khả năng đáp ứng được các ứng dụng mới sẽ được triển khai trong tương lai.
Tất cả các yếu tố này dẫn đến các trung tâm dữ liệu kết nối với Internet phải có khả năng mở rộng trong tương lai khi cần Việc mở rộng sẽ phải thực hiện tại mọi điểm trong trung tâm dữ liệu Một đòi hỏi không kém phần quan trọng là việc mở rộng khả năng xử lý phải được thực hiện với thời gian ngừng cung cấp dịch vụ của hệ thống ít nhất và thời gian ngừng của hệ thống nếu có phải xác định được trước khi thực hiện việc mở rộng khả năng xử lý.
Để đảm bảo mở rộng được khả năng xử lý thì các trung tâm dữ liệu phải được thiết kế để đảm bảo được khả năng mở rộng của thiết bị hay còn gọi là mở rộng theo chiều đứng Khả năng mở rộng của thiết bị được cung cấp bằng việc lựa chọn các thiết bị có tốc độ xử lý lớn hơn Khả năng này bao gồm việc nâng cấp bản thân các thiết bị hiện có (ví dụ như thêm bộ xử lý, bộ nhớ vào các máy chủ) hay việc chuyển sang dùng các thiết bị cùng loại có khả năng xử lý lớn hơn (ví dụ như chuyển một máy chủ có 4 bộ xử lý sang máy chủ có 8 bộ xử lý cùng loại, cùng hệ điều hành).
Tuy nhiên, với khả năng mở rộng này các trung tâm dữ liệu cũng chí có khả năng mở rộng tới một mức độ nhất định nào đó và trong một khoảng thời gian nhất định mà thôi Để mở rộng hơn nữa cũng như việc mở rộng hệ thống trong một tương lai lâu dài thì các trung tâm dữ liệu phải đảm bảo được khả năng mở rộng về kiến trúc hay khả năng mở rộng theo chiều ngang Cách thức
mở rộng khả năng xử lý này được thực hiện bằng cách thêm vào hệ thống các thiêt bị mới và thực hiện cân bằng tải giữa các thiết bị có cùng chức năng Như vậy sau khi mở rộng hệ thống sẽ có khả năng xử lý bằng tổng khả năng xử lý
Trang 1615
-của các thiết bị trong đó Do có khả năng mở rộng về số lượng thiết bị nên phương pháp mở rộng này có khả năng mở rộng lớn hơn Hơn nữa phương pháp này còn cho phép nhiều loại thiết bị khác nhau cùng trong một hệ thống miễn là các thiết bị này có khả năng cung cấp cùng một dịch vụ chính vì vậy nó cho phép hệ thống có khả năng mở rộng trong một thời gian dài hơn.
Khả năng mở rộng về kiến trúc chỉ có thể thực hiện được khi các trung tâm dữ liệu được xây dựng với một kiến trúc hợp lý về phần cứng và phần mềm.
1.2.3 Tính sẵn sàng cao
Tính sẵn sàng của các trung tâm dữ liệu có tính sống còn đối với hệ thống thông tin Đặc biệt đối với các trung tâm dữ liệu kết nối Internet do phải phục vụ những người sử dụng truy nhập từ Internet nên hệ thống phải luôn sẵn sàng 24/24 giờ Tính sẵn sàng của trung tâm dữ liệu được xác định bằrig số giờ sẵn sàng trong một ngày, số ngày mỗi tuần và số tuần mỗi năm Ví dụ vể một số mức độ qui định tính sẵn sàng của các trung tâm dữ liệu như sau:
1 8 giờ/ngày, 5 ngày/tuần
2 12 giờ/ngày, 5 # ngày/tuần
3 24 giờ/ngày, 7 ngày/tuần, 365 ngày/năm Yêu cầu đầu tiên để đảm bảo tính sẵn sàng là không được có điểm yếu trong kiến trúc hệ thống Điểm yếu là điểm mà nếu có sự cố tại điểm này thì sẽ làm ngừng khả năng cung cấp dịch vụ của trung tâm dữ liệu Yêu cầu này đòi hỏi trung tâm dữ liệu phải được thiết kế với một mức dư thừa nhất định về thiết
bị, tài nguyên cũng như khả năng tự phục hồi của các dịch vụ cung cấp.
Yêu cầu thứ hai là phải có kế hoạch phục hồi hệ thống khi hệ thống gặp các sự cố không định trước Điều này đòi hỏi phải có sự hoạch định ngày từ ban đầu về nguồn lực con người, qui trình sao lưu và qui trình vận hành hệ thống.
Trang 17Yêu cầu thứ ba là phải xác định được mức độ dịch vụ có khả năng cung cấp cho người sử dụng Các trung tâm dữ liệu cũng phải cung cấp các hỗ trợ kỹ thuật cho người sử dụng.
sẽ được chia làm nhiều vùng khác nhau Các trao đổi giữa các vùng này sẽ được kiểm soát thông qua một kiến trúc phù hợp Việc kiểm soát các dịch vụ trong mỗi vùng do phần mểm cung cấp dịch vụ kiểm soát.
1.2.5 Khả năng thích ứng
Khả năng thích ứng của trung tâm dữ liệu là khả năng cho phép các trung tâm này có thể chấp nhận các thay đổi trong tương lai Các thay đổi có thể là thêm loại thiết bị truy nhập mới (ví dụ điện thoại di động), các thiết bị mạng và các giao thức truyền thông mới đến việc cung cấp các dịch vụ, các ứng dụng mới Đê’ đảm bảo được khả năng thích ứng thì kiến trúc của các trung tâm dữ liệu phải đảm bảo được mọi sự thay đổi trong hệ thống hầu hết là thay đổi cục
bộ, tránh tối đa việc thay đổi ở khu vực này dẫn đến việc thay đổi ở khu vực khác.
Tóm lại chúng ta có thê thấy được để đảm bảo việc đáp ứng các yêu cầu
cơ bản trên các trung tâm dữ liệu kết nối với Internet phải có một kiến trúc hợp
Trang 18Các ứng dụng hiện này thường được thiết kế theo các lớp Các lớp đó bao gồm:
• Lớp hiển thị: thực hiện việc biểu diễn thông tin theo khuôn dạng qui định trên các thiết bị truy cập của người sử dụng Mỗi thiết bị truy cập sử dụng một khuôn dạng khác nhau ví dụ như HTML hay XML.
• Lớp chuyển đổi: thực hiện việc chuẩn đổi khuôn dạng dữ liệu từ khuôn dạng này sang khuôn dạng khác ví dụ như XML, hay JSP Việc chuyển đổi này giúp cho các lớp dưới chỉ cần phải xử lý một khuôn dạng duy nhất và giúp giảm bớt ảnh hưởng của việc thay đổi thiết bị truy nhập của người sử dụng tới các lớp dưới.
• Lớp trừu tượng hoá: tạo dựng một giao diện tổng quát cho các dịch
vụ giúp xây dựng các chức năng chuyên biệt bằng các dịch vụ khác nhau theo cho mỗi nhóm người sử dụng khác nhau.
• Lớp ứng dụng: thực hiện các xử lý và các thuật toán của mỗi ứng dụng và dịch vụ
• Lớp dữ liệu: các công cụ và các phương tiện truy nhập vào dữ liệu của mỗi ứng dụng và dịch vụ
Trang 1918
-Các lớp trên được xác định theo một trật tự định trước -Các yêu cầu được nhận vào và chuyển ra sẽ được thực hiện theo trật tự qui định này Việc lựa chọn công nghệ hỗ trợ cho việc phân lớp này là rất quan trọng Hiện nay có rất nhiều công nghệ khác nhau cũng như nhiều cách cài đặt khác nhau cho cài đặt mô hình này Việc lựa chọn các sản phẩm thực hiện việc phân lớp phụ thuộc vào yêu cầu về khả năng xử lý, tính hoàn thiện và khả năng linh động.
Để đảm phát huy hiệu quả việc phân lớp này thì trung tâm dữ liệu cũng phải được phân vùng một cách tương ứng và lựa chọn các vùng thích hợp cho mỗi lớp.
1.4 Kiến trúc các vùng trong trung tâm dữ liệu
Cho dù trung tâm dữ liệu Internet cung cấp dịch vụ gì cho người sử dụng
thì trung tâm dữ liệu đó cũng phải đáp ứng được các yêu cầu cơ bản đã đề cập ở
phần trên đó là khả năng xử lý, khả năng mở rộng, khả năng bảo mật, tính sẩn sàng cao và khả năng thích ứng Hơn thế nữa kiến trúc của nó phải phù hợp với
mô hình của các ứng dụng được thực hiện trên đó Đê đáp ứng được các yêu cầu
đó các trung tâm dữ liệu được chia thành các vùng khác nhau Mỗi vùng có một nhiệm vụ riêng, một chức năng riêng.
Việc phân chia các vùng phải đảm bảo tính độc lập tương đối của các vùng, tức là sự thay đổi ở vùng này thường không kéo theo sự theo đổi ở vùng khác Để đảm bảo tính độc lập tương đối này thì việc phân chia vùng phải phù hợp với mô hình của ứng dụng.
Kiến trúc các vùng trong trung tâm dữ liệu kết nối Internet được thực hiện theo mô hình sau:
Trang 212 0
-Với kiến trúc trên, trung tâm dữ liệu kết nối Internet được chia thành 7 vùng được phân bố trong 3 khu vực là khu vực công cộng, khu vực hạn chế và khu vực an toàn Khu vực công cộng là khu vực cho phép mọi người đều có khả năng truy nhập đến đây Tuy nhiên chỉ có những người được phép mới có thể được truy nhập qua khu vực này đến khu vực hạn chế Khu vực an toàn chỉ cho phép các máy chủ nằm trong khu vực hạn chế truy nhập tới Tất cả mọi người sử dụng không nằm trong trung tâm dữ liệu sẽ không thể truy nhập tới được khu vực an toàn Mọi thành phần quan trọng của hệ thống sẽ được đặt tại khu Vực an toàn nhằm được bảo vệ tốt nhất.
1 Vùng truy nhập:
Vùng truy nhập cung cấp các kết nối tới người sử dụng thông qua mạng cục bộ, đường điện thoại, mạng diện rộng hay thông qua Internet Đây là điểm vào của trung tâm dữ liệu Vùng truy nhập cung cấp các kênh nhận và gửi thông tin ra vào trung tâm dữ liệu Vùng này có nhiệm vụ thực hiện thực hiện các giao thức mạng và chuyển đổi các giao thức mạng thành một giao thức duy nhất được
sử dụng trong trung tâm dữ liệu kết nối Internet đó là giao thức TCP/IP Vùng này được phân cách với các vùng khác bởi vùng bảo mật.
2 Vùng bảo mật:
Vùng bảo mật thực hiện việc kiểm soát các dữ liệu truyền trên mạng để đảm bảo các truy nhập từ bên ngoài chỉ có thể đến được các vùng trong khu vực hạn chế bao gồm vùng dich vụ cơ bản và vùng dịch vụ ứng dụng Vùng này cũng có nhiệm vụ chống mọi tấn công vào trung tâm dữ liệu Vùng bảo mật được cài đặt tại hai điểm trong kiến trúc của trung tâm dữ liệu để tạo ra ba khu vực là khu vực công cộng, khu vực hạn chế và khu vực an toàn.
3 Vùng dịch vụ cơ bản:
Trang 2221
-Vùng dịch vụ cơ bản cung cấp các dịch vụ cơ bản như email, web, Vùng này có nhiệm vụ quản lý các yêu cẩu của người sử dụng và thực hiện việc chuyển đổi giao thức của các thiết bị truy cập khác nhau vì vậy các máy chủ ở đây thường được gọi là các máy chủ giao thức Tại đây lớp hiển thị, lớp chuyển đổi và lớp trừu tượng hoá của ứng dụng được thực hiện.
4 Vùng ứng dụng:
Vùng ứng dụng là nơi có nhiệm vụ thực hiện lớp ứng dụng của các ứng dụng Mỗi ứng dụng ở đây thường chuyên biệt đối với mỗi trung tâm dữ liệu cụ thể Vùng này có nhiệm vụ thực hiện các yêu cầu của người sử dụng nhưng ở đây không chứa các thông tin và
dữ liệu của người sử dụng.
5 Vùng dữ liệu:
Vùng dữ liệu có nhiệm vụ xử lý các dữ liệu của người sử dụng Việc phân cách giữa vùng dữ liệu và vùng ứng dụng nhằm đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu ở mức cao nhất Vùng này được kết nối với vùng lưu trữ thông qua giao thức riêng của hệ thống lưu trữ Lớp dữ liệu của ứng dụng sẽ được thực hiện tại đây.
6 Vùng lun trữ:
Vùng lưu trữ thực hiện việc quản lý các thiết bị lun trữ Trong môi trường mở gồm nhiều loại máy chủ, nhiều loại hệ điều hành khác nhau thì hệ thống lưu trữ này thường là hệ thống SAN Chi tiết về vấn đề này sẽ được đề cập trong phần sau.
7 Vùng quản trị:
Vùng quản trị có nhiệm vụ quản lý toàn bộ hệ thống mạng, máy chủ và các phần mềm cũng như các dịch vụ trên đó Hệ thống này
Trang 232 2
-cũng có nhiệm vụ ghi nhật ký các hoạt động của hệ thống, cung cấp các công cụ quản lý và vận hành hệ thống cho người quản trị.
Trang 24Chương 2: Kiến trúc của các vùng trong
trung tâm dữ liệu
2.1 Vùng truy nhập
2.1.1 Đặc điểm của vùng truy nhập
Vùng truy nhập đóng vai trò là điểm vào của trung tâm dữ liệu Vùng truy nhập cung cấp các khả năng kết nối với trung tâm dữ liệu cho người sử dụng Người sử dụng thường có nhiều lựa chọn khác nhau cho việc truy nhập vào trung tâm dữ liệu như mạng cục bộ, mạng diện rộng, Internet hay thông qua đường điện thoại Việc lựa chọn các giao thức kết nối phụ thuộc nhiều vào kinh phí và các dịch vụ do các công ty cung cấp dịch vụ viễn thông cung cấp.
mà thôi.
Trang 25Kết nối cho truy nhập từ xa được thực hiện thông qua mạng điện thoại Thiết bị hỗ trợ kết nối này là RAS (Remote Access Server) và các modem.
Kết nối LAN được thực hiện với các thiết bị chuyển mạch (switch) thông thường Mô hình của kết nối LAN sẽ được trình bày chi tiết hơn trong phần kiến trúc hệ thống mạng trong trung tâm dữ liệu.
Mỗi thành phần này có một băng thông khác nhau Băng thông của mỗi thành phần phụ thuộc vào số lượng người sử dụng trên thành phần đó và ứng dụng sử dụng Việc đánh giá số người sử dụng trên các thành phần LAN và mạng diện rộng có thể đánh giá được một cách khá chính xác Số lượng người sử dụng trên thành phần truy nhập từ xa khó đánh giá hơn và khó nhất là đánh giá
số người sử dụng thông qua Internet.
Số đường điện thoại sử dụng cho kết nối từ xa thường bắt đầu từ khoảng 4 đến 8 đường điện thoại Với số lượng người ít thì số thường khoảng 6 đến 8
người cần một đường điện thoại Thông thường số đường điện thoại sẽ vào khoảng 1/10 số lượng người sử dụng Với số lượng người sử dụng lớn hơn 400 người thì tỷ lệ này sẽ vào khoảng 1/12 và giảm đến 1/15 với 1000 người.
Đối với người sử dụng kết nối Internet thì băng thông cho một người dùng trung bình khoảng 3-10kbps Dung lượng thực tế phụ thuộc rất nhiều vào dịch vụ cung cấp bởi trung tâm dữ liệu này.
Trang 262 5
-2.2 Vùng bảo mật
Việc đảm bảo tính bảo mật của một trung tâm dữ liệu kết nối Internet có thể coi là một việc khó nhất khi xây dựng và quản lý trung tâm dữ liệu này Bảo mật được coi là rào cản lớn nhất cho việc ứng dụng Internet trong các hoạt động kinh doanh và quản lý nhà nước Trung tâm dữ liệu kết nối Internet chỉ có thể đưa vào vận hành khi có một hệ thống bảo mật tương ứng Người sử dụng, khách hành cũng như các đối tác phải được đảm bảo rằng các dữ liệu trên đó là an toàn, không bị truy nhập bất hợp phát hay bị phá hỏng Vì vậy việc xây dựng một hệ thống bảo mật là không thể thiếu được khi xây dựng trung tâm dữ liệu kết nối Internet.
Một trong những vấn đề đặt ra với các trung tâm dữ liệu kết nối Internet
là các trung tâm này cho phép người sử dụng, khách hàng hay các đối tác có thể truy nhập và sử dụng dữ liệu cũng như các tài nguyên ở đây Vì vậy việc bảo mật không chỉ dừng lại ở việc định danh người sử dụng, hạn chế truy nhập vào hệ ihống thư điện tử và web Hệ thống bảo mật ở đây phải có khả năng quản lý bảo mật tới từng tài nguyên nhỏ nhất trong hệ thống đồng thời cũng được quản lý để chống lại các nguy cơ về bảo mật.
Có khá nhiều khó khăn trong việc xây dựng hệ thống bảo mật như:
• Hệ thống bảo mật quá phức tạp
• Các chính sách bảo mật gần như không có khả năng triển khai được
• Chi phí cho hệ thống bảo mật ngày càng cao
Vì vậy việc xây dựng hệ thống bảo mật phải được tiến hành một cách có
hệ thống và cần có một kiến trúc thống nhất thay vì từng sản phẩm riêng rẽ Các yếu tố cần quan tâm trong kiến trúc của hệ thống bảo mật là:
Trang 27-26-• Một chính sách bảo mật rõ ràng, được xác định một cách cụ thể, được triển khai, áp dụng và kiểm soát tập trung
• Các hệ thống bảo mật ở các vùng biên của mạng để đảm bảo an toàn các kết nối đến các trung tâm dữ liệu
• Hệ thống theo dõi và phát hiện các tấn công và một hệ thống tập trung phối hợp các thông tin này để phát hiện sự tấn công đồng thời tại nhiều điểm của trung tâm dữ liệu
• Hệ thống mã khoá công khai để đảm bảo việc định danh an toàn
• Các công cụ cho phép các ứng dụng có thể khai thác các dịch vụ bảo mật
Việc xây dựng hệ thống bảo mật phải căn cứ vào những thiệt hại mà nếu không có nó chúng ta có thể gặp phải chứ không phải là lợi ích mà hệ thống bảo mật có thể đem lại Vì vậy việc ứng dụng các công nghệ về bảo mật phụ thuộc vào ứng dụng cần triển khai, giá trị của các giao dịch và mức độ quan trọng của các thông tin.
Trong phần sau chúng ta sẽ xem xét tổng quan về kiến trúc của vùng bảo mật trong trung tâm dữ liệu kết nối Internet và chi tiết về các thành phần của nó.
Trang 282 7
-2.2.1 Kiến trúc vùng bảo mật
Directory CA AAA IDS
Hình 2-2: Kiến trúc vùng bảo mật Như chúng ta đã đề cập đến trong kiến trúc của trung tâm dữ liệu, vùng bảo mật được chia làm hai phần Nằm giữa hai phần đó là vùng dịch vụ cơ bản
và vùng ứng dụng Mỗi phần này có chức năng và nhiệm vụ hoàn toàn khác nhau.
Phần thứ nhất của vùng bảo mật nằm ngay sau vùng truy nhập Nó tạo thành một ngăn cách giữa khu vực công cộng và khu vực hạn chế Phần này có nhiệm vụ kiểm soát các truy nhập ra và vào trung tâm dữ liệu, hạn chế các tấn cóng từ bên ngoài vào trung tâm dữ liệu.
Phần này của vùng bảo mật bao gồm hệ thống bức tường lửa firewall có nhiệm vụ lọc bỏ các gói thông tin không được phép, các proxy thực hiện kiểm soát nội dung thông tin được trao đổi qua đây và hệ thống VPN giúp tạo các đường kết nối an toàn thông qua việc thiết lập các mạng riêng ảo.
Trang 292 8
-Phần thứ hai nằm giữa khu vực hạn chế và khu vực an toàn -Phần thứ hai này chỉ cho phép các máy chủ từ khu vực hạn chế được truy nhập vào khu vực an toàn Hơn thế nữa hệ thống này cung cấp các dịch vụ bảo mật cho toàn hệ thống như dịch vụ định danh, phân quyền truy nhập hay dịch vụ thư mục Các dịch vụ này được cung cấp cho các ứng dụng trong trung tâm dữ liệu.
Ngoài thành phần firewall giúp kiểm soát các truy nhập vào khu vực an toàn hệ thống này giúp cung cấp các dịch vụ bảo mật như dịch vụ danh mục (directory) , dịch vụ cấp chứng chỉ điện tử (CA), dịch vụ định danh và phân quyền truy nhập (AAA) và dịch vụ theo dõi, phát hiện các tấn công vào hệ thống cũng như các vi phạm chính sách bảo mật.
Việc chia vùng bảo mật thành hai phần nhằm mục đích xây dựng hai lớp bảo vệ Nếu lớp bảo vệ thứ nhất bị phá vỡ thì hệ thống bảo vệ thứ hai vẫn chưa bị phá do hai lớp bảo vệ này độc lập với nhau VI vậy chúng ta có thể có được thời gian để chống lại các cuộc tấn công này trước khi hệ thống thực sự bị phá vỡ.
Hơn thế nữa các dịch vụ bảo mật được nằm ở phần thứ hai cũng được bảo
vệ hai lần để tránh việc các hệ thống bảo mật này bị phá vỡ Nếu hệ thống cung cấp các dịch vụ bảo mật bị phá vỡ thì hầu như toàn bộ hệ thống bảo mật sẽ không còn tác dụng, vì vậy các hệ thống cung cấp dịch vụ bảo mật phải được bảo đảm an toàn ở mức cao nhất.
Để đảm bảo tính độc lập của hai lớp bảo mật này thì hai hệ thống bức tường lửa trên thường phải là hai thiết bị độc lập nhau.
Các thành phần của vùng bảo mật được trình bày chi tiết ở phần tiết theo.
Trang 302 9
Hệ thống bức tường lửa bao gồm phần cứng và phần mềm được đặt tại các điểm vào của từng khu vực Đây là điểm bảo vệ đầu tiên của các khu vực Hệ thống này đảm nhận việc kiểm soát các thông tin qua lại giữa các khu vực.
Đê thực hiện nhiệm vụ này hệ thống bức tường lửa thực hiện hai chức năng khác nhau Chức năng thứ nhất là chống lại các tấn công bằng cách phát hiện các lỗ hổng của mạng và của các giao thức truyền thông Các tấn công này
có thể là các cố gắng phát hiện các địa chỉ mạng của trung tâm dữ liệu hay thực hiện các tấn công TCP SYN làm các máy chủ không được bảo vệ ngừng hoạt động hay giảm khả năng cung cấp dịch vụ của chúng Chức năng thứ hai là thực hiện lọc các gói dữ liệu trên mạng để đảm bảo chỉ có các giao thức được phép mới có thể cho đi qua và các gói dữ liệu nay cũng chỉ được phép đến máy chủ thực hiện giao thức tương ứng mà thôi.
Để các chức năng trên thực hiện hiệu quả và an toàn thì hệ thống bức tường lửa phải có khả năng chống lại các truy nhập trái phép và bị phá huỷ của chính bản thân nó Các hệ thống bức tường lửa phải có khả năng loại bỏ các gói
dữ liệu không hợp lệ mà không gây sự cố cho chính bản thân mình Để chống lại việc truy nhập trái phép vào hệ thống bức tường lửa thì các hệ thống này thường cấm các hoạt động quản trị hệ thống từ các khu vực bên ngoài không an toàn Người quản trị chỉ có thể quản lý được hệ thống bức tường lửa từ bên trong mà thôi Điều đó đảm bảo những người phá hoại từ bên ngoài dù biết được các thông tin giúp người này có khả năng kiểm soát hệ thống bức tường lửa nhưng những người này cũng không thể vào được bên trong của trung tâm dữ liệu để có thể quản trị được hệ thống bức tường lửa này.
2.2.2 Các thành phần của vùng bảo mật
Trang 313 0
Các proxy truyền thống cho phép người dùng từ bên trong hệ thống có thể truy nhập ra bên ngoài Internet mà không cần cho phép từng người có thê truy nhập trực tiếp ra bên ngoài Tất cả người dùng bên trong sẽ kết nối với proxy và
từ đây sẽ thực hiện một kết nối ra bên ngoài thông qua hệ thống bức tường lửa
Cơ chế này giúp hệ thống bức tường lửa trở nên an toàn hơn, cung cấp khả năng kiểm soát các hoạt động truy nhập vào Internet, che dấu địa chỉ của các máy trạm.
Một trong các chức năng của hệ thống bức tường lửa là chỉ cho phép các giao thực hợp lệ được truy nhập tới các máy chủ tương ứng Đây là một chức năng hết sức quan trọng và cần thiết Tuy nhiên nếu chúng ta chỉ dừng lại ở đây thì một rủi ro có thể xảy ra là các máy chủ thực hiện các giao thức có thể không thực sự an toàn và có lỗ hổng bảo mật tại chính phần xử lý các giao thức này Vấn để này có thể tồn tại bởi các ứng dụng này không phải luôn luôn được quan tâm đến việc bảo mật khi phát triển chúng Thông thường các ứng dụng này thường giả định các máy tính sử dụng dịch vụ hoạt động bình thường không thực hiện việc phá hoại Các lỗ hổng của các ứng dụng này có thể bị lợi dụng để tấn công vào các máy chủ Để chống lại việc này thay vì chúng ta phải sửa lại tất cả các máy chủ xử lý giao thức này thành an toàn chúng ta có thể thiết lập các proxy cho mỗi giao thức này Trong trường hợp này người sử dụng từ bên ngoài muốn truy nhập vào bên trong phải thực hiện gián tiếp thông qua một proxy, proxy này sẽ thực hiện việc truy nhập tới máy chủ thực hiện giao thức tương ứng Như vậy các máy trạm từ bên ngoài không thể truy nhập trực tiếp các máy chủ vì vậy các máy chủ này sẽ được bảo vệ tốt hơn.
V
Các proxy này được phát triển để từ chối mọi gói dữ liệu không tuân theo các qui định của giao thức của nó Nó cũng có khả năng đảm bảo các dịch vụ của nó không bị dùng trái mục đích Các proxy này cũng giúp che dấu địa chỉ
Trang 3231
-của các máy chủ để đảm bảo người dùng dù có khả năng truy nhập trực tiếp tới máy chủ cũng không thực hiện được do không biết địa chỉ của máy chủ Các proxy này được gọi là các proxy ngược.
Tóm lại các proxy được uỷ quyển thực hiện thay cho các máy trạm Với các proxy truyền thống cho phép tăng tính an toàn của hệ thống bức tường lửa và che dấu địa chỉ cho các máy trạm Các proxy ngược thực hiện việc bảo vệ các máy chủ khỏi các tấn công vào các lỗ hổng của ứng dụng Mỗi giao thức mạng phải sử dụng một proxy riêng Để giảm bớt số lượng proxy cần sử dụng một số phần mềm proxy có thể hỗ trợ cùng một lúc nhiều giao thức khác nhau Các proxy được sử dụng nhiều nhất là cho các giao thức HTTP và SMTP.
Hệ thống mạng riêng ảo VPN thực hiện việc bảo mật các thông tin truyền qua mạng Internet, cho phép các thông tin này được truyền trên một mạng công cộng nhưng có mức bảo mật tương đương với một kênh truyền riêng Mạng riêng ảo cho phép trao đổi thông tin một cách an toàn thông qua Internet với người sử dụng ở xa, các chi nhánh và các đối tác.
Các hệ thống VPN hiện nay được cài đặt chủ yếu cho môi trường IPv4 nhưng chúng ta phải chú ý đến khả năng hỗ trợ chuẩn IPv6 trong tương lai.
Có hai cách tiếp cận chính để xây dựng VPN là:
• Xây dựng ở lớp mạng với IPSec
• Xây dựng ở lớp kết nối dữ liệu với L2TP Trong giao thức TCP/IP lớp mạng là lớp thấp nhất có khả năng cung cấp bảo mật từ đầu đến cuối Lớp mạng được sử dụng làm nền tảng bảo mật cho các lớp trên Với nền tảng bảo mật này các ứng dụng không cần phải sửa đổi để có thể sử dụng khả năng bảo mật này Các giải pháp cài đặt bảo mật tại mức mạng thường được cài đặt dựa trên một khuôn mẫu chung là IPSec IPSec được gọi là
Trang 33IPSec có khả năng đảm bảo:
• Tính xác thức của nguồn gốc dữ liệu và tính toàn vẹn của dữ liệu
• Tính bảo mật của dữ liệu
• Chống việc chuyển lại các dữ liệu cũ Các hệ thống VPN cài đặt L2TP (Layer 2 Tunnel Protocol) cho phép tạo các kênh ảo từ máy tính ở xa tới các điểm vào của trung tâm dữ liệu Với hệ thống VPN này các máy tính ở xa như được đặt cùng một mạng với các máy trong trung tâm dữ liệu vì vậy hệ thống này cho phép các giao thức khác giao thức ĨP cũng có thể thực hiện được Tuy nhiên khả năng bảo mật của các hệ thống VPN với L2TP thường thấp hơn so với bảo mật ở mức mạng.
Đê đảm bảo an toàn cho dữ liệu ở mức cao nhất thông thường chúng ta có thể sử dụng IPSec cho đảm bảo bảo mật cho dòng dữ liệu được chuyển qua L2TP, tức là dùng kết hợp cả hai cơ chế này.
Hệ thống danh mục điện tử trong bảo mật được sử dụng cho việc định danh người sử dụng và phân quyền, v ề cơ bản danh mục điện tử là một kho chứa thông tin Các danh mục điện tử cho bảo mật bảo gồm các phương thức truy nhập, các thông tin về vị trí, các thông tin chi tiết vể người sử dụng và các tài nguyên trong hệ thống Các thông tin này có thể được trích dẫn theo tên hay loại dịch vụ Các hệ thống thư mục phải cung cấp các khả năng cần thiết để triển khai các chính sách bảo mật Trong trường hợp này bản thân các danh mục điện
Trang 34-
33-tử là một bộ phận của cơ chế bảo mật cho toàn hệ thống Mặt khác nó cũng là một tài nguyên của hệ thống vì vậy nó cũng cần phải được bảo vệ.
Một trong các dịch vụ của hệ thống bảo mật là định danh người sử dụng
để kiểm tra xem người đó có đúng là người mà họ tự nhận hay không Thông thường người sự dụng được định danh bằng tên và mật khẩu Danh sách tên và mật khẩu này được chứa trong các danh mục điện tử.
Sau khi được định danh người sử dụng sẽ được phân quyền và kiểm tra xem họ có được phép thực hiện yêu cầu trên một đối tượng nhất định nào đó hay không Việc phân quyền dựa trên danh sách quyền được gán với mỗi đối tượng Danh sách các quyền này là một thuộc tính của danh mục điện tử Danh sách này cho biết đối với mỗi loại truy nhập những người nào hay những nhóm nào được phép hay không được phép thực hiện.
Các danh mục điện tử có khả năng lưu trữ, biến đổi, loại bỏ và tìm kiếm thông tin trong một kho chứa tập trung và được tổ chức hợp lý thông qua các giao diện được chuẩn hoá Các thông tin này hầu hết chỉ được đọc, ít khi bị thay đổi, được quản lý tập trung và được cập nhập bởi các công cụ quản trị.
Hầu hết các danh mục điện tử hiện này đều được cài đặt theo chuẩn LDAP (Lightweight Directory Access Protocol) Chuẩn LDAP hỗ trợ việc xây dựng các danh mục phân tán, có khả năng mở rộng lớn, khả năng sao chép dữ liệu vì vậy cho phép cung cấp dữ liệu của danh mục tại mọi nơi cần thiết, v ề bảo mật, LDAP hỗ trợ cả việc định danh đơn giản bằng tên và mật khẩu cũng như việc định danh hai chiều giữa máy chủ và người sử dụng với SSL (Secure Socket Layer).
Tóm lại các danh mục điện tử lưu trữ các thông tin về người sử dụng và các tài nguyên trong hệ thống cũng như danh sách quyền truy nhập được gắn với mỗi đối tượng trên Các danh mục điện tử cũng cung cấp cơ chế định danh và phân quyền cho người sử dụng.
Trang 353 4
Hệ thống cấp phát chứng chí điện tử CA (Certificate Authority) thực hiện việc cấp phát các chứng chỉ điện tử Các chứng chỉ điện tử được dùng cho việc định danh thông qua mã khoá công khai cũng như thực hiện việc tạo chữ ký điện tử.
Việc sử dụng phương pháp định danh bằng mã khoá công khai đảm bảo tính bảo mật cao hơn so với phương pháp sử dụng tên và mật khẩu Phương pháp này cho phép định danh hai chiểu tức là máy chủ có khả năng định danh người
sử dụng đồng thời người sử dụng cũng có thể định danh được máy chủ Phương pháp này giúp bảo vệ chống việc tạo dựng các máy chủ giả để lấy cắp thông tin.
Việc sử dụng chữ ký điện tử giúp việc xác định được nguồn gốc thông tin nhằm tránh giả mạo thông tin Với chữ ký điện tử người gửi thông tin cũng không thể từ chối được đây không phải thông tin do mình gửi đi.
Tất cả các công việc trên chỉ có thể thực hiện được với các chứng chỉ điện
tử tin cậy Chứng chí điện tử tin cậy là các chứng chỉ được cấp phát bởi các hệ thống cấp phát chứng chỉ tin cậy được Chúng ta có hai lựa chọn cho hệ thống cấp phát này Các trung tâm dữ liệu có thể tự xây dựng các máy chủ thực hiện việc cấp phát chứng chỉ điện tử hoặc có thể thực hiện việc mua các chứng chỉ điện tử được cấp bởi các công ty cung cấp dịch vụ đáng tin cậy.
2.2.2.ố Hệ thống định danh và phân quyên truy nhập
Thông thường mỗi dịch vụ của hệ thống sẽ thực hiện việc định danh và phân quyền sử dụng khi người sử dụng truy nhập đến dịch vụ này Điểu này gây nhiều bất tiện cho người sử dụng vì phải thực hiện việc định danh rất nhiều lần với nhiều phương thức khác nhau, nhiều tên và mật khẩu khác nhau Điều này cũng gây khó khăn cho công tác quản trị vì phải quản lý các thông tin về định danh và phàn quyền truy nhập ở rất nhiều nơi Cả hai vấn đề này cũng sẽ gây
Trang 36ảnh hưởng lớn đến khả năng bảo mật của toàn hệ thống Để giải quyết vấn đề này một hệ thống định danh và phân quyền tập trung được đặt ra.
Hệ thống định danh và phân quyển thực hiện việc định danh và phân quyền tập trung cho tất cả các dịch vụ của hệ thống Người sử dụng chỉ cần thực hiện định danh một lần cho tất cả các dịch vụ Mỗi khi người sử dụng sử dụng một dịch vụ nào đó hệ thống cung cấp dịch vụ sẽ tương tác với hệ thống định danh và phân quyền để xác định thông tin về người sử dụng và quyền của họ.
Việc quản lý hệ thống định danh và phân quyền cũng được làm tập trung
để đảm bảo tính thống nhất trong toàn hệ thống, tăng tính bảo mật của trung tâm
dữ liệu.
Một vấn đế khó khăn đặt ra đối với hệ thống định danh và phân quyền là mỗi loại dịch vụ có một cách thức định danh và phân quyền khác nhau vì vậy đòi hỏi hệ thống này phải hỗ trợ nhiều phương pháp định danh và phân quyền khác nhau Các phương pháp định danh thông thường phải được hỗ trợ là:
• Hỗ trợ định danh cho chuẩn RADIUS (Remote Access Dial In User Service) cho phép thực hiện định danh cho các kết nối từ xa qua điện thoại
• ProLDAP cho phép định danh và thực hiện phân quyền dựa vào hệ thống danh mục theo chuẩn LDAP
• Các hệ thống mật khẩu một lần như SecurelD, các hệ thống này có
cơ chế sinh mật khẩu truy nhập vào hệ thống chỉ dùng được một lần để tránh mất mật khẩu
Tóm lại hệ thống định danh và phân quyền thực hiện định danh và phần quyền tập trung giúp hệ thống dễ quản lý và an toàn hom.
Trang 373 6
Khác với các hệ thống khác, hệ thống bảo mật không thể được xây dựng hoàn chỉnh ngay từ ban đầu Hệ thống bảo mật phải liên tục thay đổi để chống lại các phương pháp tấn công và kỹ thuật tấn công mới Để có thể thực hiện được việc này hệ thống bảo mật phải có khả năng theo dõi mọi hoạt động không hợp
lệ trong hệ thống và từ đó xác định các hoạt động nào trong số đó là hoạt động tấn công cũng như các phương pháp tấn công của các hoạt động này Từ các thông tin có được này mà hệ thống bảo mật có thể được tăng cường với khả năng phòng vệ mới Chức năng này được thực hiện trong hệ thống theo dõi và kiểm soát của vùng bảo mật.
Hệ thống theo dõi và kiểm soát có nhiệm vụ thu thập mọi thông tin theo dõi của toàn bộ trung tâm dữ liệu và các thông tin này sẽ được tập họp tại đây Việc thu thập thông tin tập trung tại đây giúp việc quản trị hệ thống bảo mật đơn giản hơn vì chỉ phải làm tại một nơi Hơn thế nữa hệ thống này cho phép nhìn toàn bộ các hoạt động chống phá tại mọi điểm trong trung tâm dữ liệu vì vậy giup chống lại các hoạt động phá hoại sử dụng phương pháp phối hợp tấn công tại nhiều điểm khác nhau, đây cũng là những hoạt động phá hoại khó chống nhất.
Hệ thống theo dõi và kiểm soát này là không thể thiếu được trong vùng bảo mật.
2.3 Vùng dịch vụ CƯ bản
Trong hai phần trên chúng ta đã xem xét kiến trúc của hai vùng là vùng truy nhập và vùng bảo mật của một trung tâm dữ liệu kết nối Internet Hai vùng này đã thực hiện việc kết nối với người sử dụng và định danh người sử dụng Vùng dịch vụ cơ bản là vùng đầu tiên thực hiện các yêu cầu của người sử dụng
và quản lý các yêu cầu của người sử dụng Các máy chủ trong vùng này thực
Trang 38Có rất nhiều phần mềm khác nhau được sử dụng để cung cấp dịch vụ DNS như Cisco DNS, DNS service trong Windows NT, Active Directory trong Windows 2000 Nhưng phần mềm được dùng phổ biến nhất cho dịch vụ này là Berkeley Internet Name Daemon (BIND) hiện đang được phát triển bởi Internet Software Consortium Hầu hết các hệ điều hành Unix đều được bán kèm với phần mềm này Chúng ta cũng có thể lấy phần mềm này miễn phí tại www.isc.org.
Dịch vụ thư điện tử thông thường được cung cấp để người sử dụng có thể trao đổi thông tin với nhau Ngoài ra dịch vụ này cũng được dùng để gửi yêu cầu cần xử lý đến trung tâm dữ liệu hay dùng để gửi các báo cáo tới người dùng từ các trung tâm dữ liệu Ví dụ người dùng có thể gửi yêu cầu tạo báo cáo cuối tháng thông qua một thư điện tử có cấu trúc định sẵn Sau khi hệ thống tạo xong báo cáo sẽ gửi lại cho người sử dụng dưới dạng một thư điện tử.
Trang 39• Dịch vụ SMTP cho phép người sử dụng gửi thư điện tử và vận chuyển thư điện tử từ máy chủ nguồn đến máy chủ đích trên mạng Một số phần mềm thư điện tử chỉ thực hiện một trong hai dịch vụ trên, một số phần mểm khác thực hiện việc tích hợp cả hai dịch vụ nàv Các phần mểm thư điện tử phổ biến hiện này là:
• Lotus Domino và Microsoft Exchange cho phép thực hiện dịch vụ thư điện tử với nhiều tính năng cao cấp và đặc biệt là hỗ trợ việc làm việc theo nhóm Tuy nhiên số lượng người dùng trên mỗi máy chủ này thường ít, khả năng mở rộng của hệ thống bị hạn chế Vì vậy các phần mềm này thường dùng trong môi trường phân tán
• Sendmail: thường được dùng trong môi trường có số lượng người
sử dụng không nhiều và chỉ có yêu cầu dùng các thư điện tử ở mức
cơ bản Phần mềm này có thể lấy miễn phí tại www.sendmail.org Dựa trên phần mém này một số hãng phát triển thêm phần mở rộng để giúp quản trị dễ hơn hay tăng cường thêm một số tính năng cao cấp khác.
• OpenWave Email: Phần mềm này thường được sử dụng bởi các nhà cung cấp dịch vụ Internet Phần mềm này có khả năng mở
Trang 40Phần mềm được dùng chủ yếu cho dịch vụ web là Apache Phần mềm này
có thể được lấy miễn phí tại www.apache.org Phần mềm này có thể chạy trên được nhiều loại hệ điều hành khác nhau Ngoài ra một phần mềm khác cũng được sử dụng nhiều hiện nay là IIS của Microsoft.
Đê cung cấp các dịch vụ cho máy điện thoại di động cũng như các thiết bị cầm tay di động khác được thực hiện thông qua dịch vụ WAP (Wireless Application Protocol) Dịch vụ này thực hiện việc chuyển đổi thông tin từ dạng HTML sang WML (Wireless Markup Language) được tối ưu cho điện thoại di động Sau đó các thông tin này sẽ được chuyển tới thiết bị cầm tay thông qua giao thức WTP (Wireless Transaction Protocol).