Nghiên cứu về điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây

Đối tượng và phạm vi nghiên cứu - Nghiên cứu tìm hiểu về điện toán đám mây, kiến trúc, mô hình, ưu nhược điểm và giới thiệu một số nhà cung cấp dịch vụ điện toánđám mây - Nghiên cứu một

MỤC LỤC

LỜI CAM ĐOAN 1

LỜI CẢM ƠN ii

TRÍCH YẾU LUẬN VĂN CAO HỌCiii

MỤC LỤC iv

DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT vi

DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂUviii

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 4

1.1 Điện toán đám mây 4

1.2 Lịch sử hình thành và phát triển của điện toán đám mây 6

1.3 Kiến trúc điện toán đám mây 7

1.4 Một số mô hình điện toán đám mây 9

1.4.1 Các mô hình dịch vụ 9

1.4.2 Các mô hình triển khai 11

1.5 Phân tích ưu điểm và một số tồn tại của điện toán đám mây 15

1.5.1 Ưu điểm 15

1.5.2 Một số tồn tại của điện toán đám mây 16

1.6 Một số nhà cung cấp dịch vụ điện toán đám mây 18

1.6.1 Trên thế giới 18

1.6.2 Tại Việt Nam 20

Kết luận Chương 1 21 CHƯƠNG 2: BẢO VỆ THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY

22

2.1 Khái niệm an ninh thông tin 22

2.2 Một số tiêu chuẩn về an ninh thông tin 22

2.2.1 Tiêu chuẩn về hệ thống quản lý an ninh 23

2.2.2 Tiêu chuẩn an ninh thông tin về điện toán đám mây 23

2.2.3 Tiêu chuẩn an ninh thông tin về dữ liệu 24

2.2.4 Tiêu chuẩn về đánh giá an ninh thông tin 25

2.3 Phân loại về an ninh thông tin trong điện toán đám mây 26

2.3.1 Theo nhóm vấn đề 26

2.3.2 Các nguy cơ hàng đầu về an ninh 27

2.4 An ninh dữ liệu trong điện toán đám mây 31

2.4.1 Một số vấn đề bảo vệ dữ liệu trong điện toán đám mây 31

2.4.2 Giải pháp bảo vệ dữ liệu cho điện toán đám mây 35

2.5 Các thuật toán mã hóa dữ liệu lưu trữ cho điện toán đám mây 37

2.5.1 Thuật toán RSA 37

2.5.2 Thuật toán AES 40

Kêt luận Chương 2 49

CHƯƠNG 3: ỨNG DỤNG BẢO VỆ THÔNG TIN50 TRONG ĐIỆN TOÁN ĐÁM MÂY 50 3.1 Xây dựng hệ thống đám mây riêng 50

3.1.1 Giới thiệu về ownCloud 50

3.1.2 Xây dựng hệ thống đám mây riêng ownCloud 52

3.2 Bảo vệ dữ liệu khi sử dụng điện toán đám mây 56

3.2.1 Mã hóa dữ liệu phía máy chủ ownCloud 56

3.2.2 Nghiên cứu xây dựng giải pháp mã hóa dữ liệu người dùng 61

3.3 Thử nghiệm và đánh giá 65

3.3.1 Với mã hóa phía máy chủ ownCloud 66

3.3.2 Với mã hóa phía người dùng 66

Kết luận Chương 3 68

KẾT LUẬN 69

TÀI LIỆU THAM KHẢO 70

DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT

Ký hiệu,

AES Advanced Encryption

Standard Tiêu chuẩn mã hóa tiên tiếnAPI Application Programming

Interface Giao diện lập trình ứng dụngCNSS Committee on National

Security Systems Ủy ban hệ thống an ninh quốc giaCSA Cloud Security Alliance Liên minh an ninh điện toán đám mây

IT Information Technology Công nghệ thông tin

ISO International Organization

for Standardization Tổ chức tiêu chuẩn hóa quốc tếIEC

International Electrotechnical Commission

Ủy ban kỹ thuật điện quốc tế GCD Greatest Common Divisor Ước chung lớn nhất

NIST National Institute of

Science and Technology

Viện công nghệ và tiêu chuẩn quốc gia Hoa Kỳ

NSA National Security Agency Cơ quan an ninh quốc gia Mỹ

SLA Service Level Agreement Thỏa thuận ở mức dịch vụ

IaaS Infrastructure as a Service Cơ sở hạ tầng là dịch vụ

SaaS Software as a Service Phần mềm là dịch vụ

TLS Transport Layer Security Bảo mật tầng giao vận

VPN Virtual Private Network Mạng riêng ảo

VM Virtual Machine Máy ảo

RSA Rivest - Shamir - Adlemal Hệ mật mã RSA

RCT Chinese Remainder

Theorem

Định lý đồng dư Trung Hoa

SSL Secure Sockets Layer Giao thức bảo mật trung gian giữa lớp

vận chuyển và lớp ứng dụng

Trường số thực Trường nhị phân Tập hợp khóa mã Thuật toán mã hóa Thuật toán giải mã Tập hợp các bản rõ Tập hợp các bản mã Hàm Phi_Ơle Cặp số nguyên tố và

Số nguyên dương bất kỳ Văn bản rõ thuộc

Bản mã thuộc Thành phần khóa công khai Thành phần khóa bí mật

Số nguyên tố Mersenne

Số nguyên lẻ

DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU

Hình 1.1: Kiến trúc điện toán đám mây 8

Hình 1.2: Các mô hình dịch vụ của điện toán đám mây 10

Hình 1.3: Các mô hình triển khai chính của điện toán đám mây 12

Hình 2.1: Quá trình hình thành cộng đồng CC (Common Criteria) 26Hình 2.2: Lược đồ mã hóa/ giải mã AES 128 47

Hình 3.1: Đăng nhập máy chủ ownCloud qua localhost 53

Hình 3.2: Đăng nhập máy chủ ownCloud qua địa chỉ IP 53

Hình 3.3: Desktop client đồng bộ dữ liệu với máy chủ ownCloud 54

Hình 3.4: Đăng nhập tài khoản đồng bộ với máy chủ ownCloud 54

Hình 3.5: Chọn thư mục đồng bộ với máy chủ ownCloud 55

Hình 3.6: Thiết lập tài khoản Admin 555

Hình 3.7: Thiết lập và quản lý tài khoản người dùng 566

Hình 3.8: Khởi động khóa mã hóa dữ liệu trên máy chủ ownCloud 577Hình 3.9: Kích hoạt chế độ mã hóa bằng tài khoản admin

Kích hoạt chế độ khôi phục khóa mã hóa 588

Hình 3.10: Thông báo ở trang cá nhân sau khi admin kích hoạt giải mãGiải mã thành công và loại bỏ khóa mã hóa dữ liệu 59

Hình 3.11: Mô hình mã hóa phía máy chủ ownCloud 60

Hình 3.12: Giao diện chính của chương trình622

Hình 3.13: Giới thiệu chương trình 622

Hình 3.14: Chức năng tạo khóa 633

Hình 3.15: Chức năng mã hóa 633

Hình 3.16: Quá trình mã hóa 644

Hình 3.17: Chức năng giải mã 644

Hình 3.18: Minh họa tệp trước và sau khi đã mã hóa 655

Hình 3.19: Lưu trữ tập tin đã mã hóa phía client trên ownCloud 677

Hình 3.20: Lưu trữ tập tin không mã hóa phía client trên ownCloud 677

MỞ ĐẦU

1 Đặt vấn đề

Điện toán đám mây_ Cloud Computing được hình thành năm

1969 và có sự phát triển mạnh mẽ từ khi có internet băng thông rộng,

đã làm thay đổi cách thức hoạt động của điện toán truyền thống Hiệnnay, điện toán đám mây (ĐTĐM) được các quốc gia trên thế giới ứngdụng rộng rãi trong các lĩnh vực hoạt động của đời sống, kinh tế xã hội.Bằng việc tối ưu sử dụng các nguồn tài nguyên hệ thống, điện toán đámmây đem lại nhiều lợi ích, cơ hội mới cho các các cơ quan, tổ chức,doanh nghiệp trong quá trình đẩy mạnh ứng dụng công nghệ thông tin,truyền thông vào hoạt động chuyên ngành [1], [2]

Các hoạt động liên quan tới điện toán đám mây được chính phủcác quốc gia phát triển mang tính chiến lược trên phạm vi toàn thế giớinhư đám mây Nebula, google moderator của Mỹ, đám mây G-clouldcủa Anh, kasumigaseki của Nhật Bản…bởi vậy điện toán đám mâyluôn thu hút nhiều quốc gia, tổ chức, các tập đoàn, công ty và nhà khoahọc, các chuyên gia đầu tư nghiên cứu [6], [7], [9]

Ở nước ta hiện nay, hầu hết các tổ chức, doanh nghiệp đã có hiểubiết cơ bản về điện toán đám mây Nhiều tổ chức, doanh nghiệp đã vàđang sử dụng điện toán đám mây theo các mức độ khác nhau Một sốcông trình nghiên cứu [1], [3] đã chỉ rõ điện toán đám mây là giải pháptối ưu để các doanh nghiệp nước ta giảm thiểu chi phí cũng như tănghiệu suất làm việc ở mức tối đa

Tuy nhiên trong quá trình nghiên cứu và ứng dụng cho thấy cónhiều vấn đề về nguy cơ an ninh an toàn thông tin đang đặt ra hiện nayđối với việc lưu trữ dữ liệu trên đám mây [11], [18] Do vậy, tình hình

sử dụng công nghệ đám mây còn gặp phải một số khó khăn nhất định,hiệu quả ứng dụng chưa phát huy tối đa tính ưu việt của các dịch vụ.Trước những yêu cầu cấp bách đó, đòi hỏi cần có những nghiên cứu,

giải pháp tăng tính an toàn cho đám mây cũng như việc bảo mật thôngtin, dữ liệu lưu trữ

Xuất phát từ thực tiễn đó, luận văn “Nghiên cứu về điện toán đám mây và vấn đề bảo mật dữ liệu trong điện toán đám mây” mang

tính cấp thiết, thực sự có ý nghĩa khoa học và thực tiễn

2 Đối tượng và phạm vi nghiên cứu

- Nghiên cứu tìm hiểu về điện toán đám mây, kiến trúc, mô hình,

ưu nhược điểm và giới thiệu một số nhà cung cấp dịch vụ điện toánđám mây

- Nghiên cứu một số vấn đề bảo mật dữ liệu trong điện toán đámmây và phương pháp khắc phục Từ đó đi sâu tìm hiểu phương phápbảo vệ dữ liệu đã lưu trữ bằng các thuật toán mã hóa AES và RSA

- Nghiên cứu và cài đặt, thử nghiệm hệ thống máy chủ lưu trữownCloud

3 Hướng nghiên cứu của luận văn

Nghiên cứu tổng quan mô hình điện toán đám mây, một số vấn

đề bảo mật dữ liệu trong điện toán đám mây và phương pháp khắcphục Từ đó đi sâu nghiên cứu phương pháp bảo vệ dữ liệu đã lưu trữbằng các thuật toán mã hóa trên máy chủ ownCloud Nghiên cứu xâygiải pháp mã hóa dữ liệu an toàn từ phía người dùng và ổ chức cài đặt,thực nghiệm, đánh giá các kết quả nghiên cứu đạt được

4 Những nội dung nghiên cứu chính

Chương 1: Tổng quan về điện toán đám mây

Nghiên cứu về tổng quan khái niệm, lịch sử hình thành và pháttriển của điện toán đám mây, kiến trúc và một số mô hình của điện toánđám mây Đồng thời phân tích chỉ ra những ưu, nhược điểm, tình hìnhtriển khai nghiên cứu ứng dụng và sử dụng công nghệ điện toán đámmây thế giới và tại Việt Nam

Chương 2: Bảo vệ thông tin trong điện toán đám mây

Nội dung Chương 2 nghiên cứu tìm hiểu vấn đề an ninh thôngtin, một số tiêu chuẩn về an ninh thông tin, phân loại an ninh thông tin

trong điện tóa đám mây, vấn đề an ninh dữ liệu trong điện toán đámmây và giải pháp Trên cơ sở đó, tập trung phân tích hai thuật toán mãhóa dữ liệu lưu trữ cho điện toán đám mây là RSA và AES.

Chương 3: Ứng dụng bảo vệ thông tin trong điện toán đám mây

Nghiên cứu và xây dựng mô hình điện toán đám mây riêng, triểnkhai phân tích thuật toán mã hóa dữ liệu trên máy chủ ownCloud và đềxuất xây dựng giải pháp mã hóa dữ liệu an toàn phía client sử dụngRSA kết hợp AES 256 Tiến hành cài đặt, thực nghiệm và rút ra kếtluận, đề xuất

5 Phương pháp nghiên cứu

- Nghiên cứu các bài báo khoa học trong nước và quốc tế

- Nghiên cứu một số vấn đề bảo mật dữ liệu trong điện toán đámmây và phương pháp khắc phục Từ đó đi sâu tìm hiểu phương phápbảo vệ dữ liệu đã lưu trữ bằng các thuật toán mã hóa AES và RSA

- Cài đặt ứng dụng thử nghiệm và đánh giá

6 Ý nghĩa khoa học của luận văn

Nghiên cứu vấn đề bảo mật dữ liệu trong điện toán đám mây có

ý nghĩa và vai trò to lớn trong việc vệ an ninh thông tin Đây là vấn đềđang được quan tâm, thu hút nhiều quốc gia, tổ chức, cá nhân đầu tưnghiên cứu Luận văn đã sử dụng một số kỹ thuật mã hóa để bảo mật

dữ liệu Do vậy, luận văn có tính khoa học và ứng dụng thực tiễn

CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY

1.1 Điện toán đám mây

Điện toán đám mây - Cloud Computing (sau đây gọi tắt là đámmây) là mô hình điện toán đang tiến tới hoàn chỉnh, mỗi tổ chức tiêuchuẩn, mỗi hãng công nghệ đang đưa ra những định nghĩa và cách nhìncủa riêng mình

Theo Wikipedia: “Điện toán đám mây là một mô hình điện toán

có khả năng co giãn linh động, các tài nguyên thường được ảo hóa và được cung cấp như một dịch vụ trên mạng Internet”.

Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”.

Một số định nghĩa cho rằng điện toán đám mây là điện toán máychủ ảo, tuy nhiên, định nghĩa này chưa thực sự đầy đủ và chính xác.Máy chủ ảo không phải là thành phần thiết yếu của một đám mây màchỉ là thành phần chủ chốt để một vài loại đám mây hoạt động

Thời điểm này, định nghĩa của Viện tiêu chuẩn và công nghệquốc gia Mỹ - NIST (National Institute of Science and Technology)

được cho là thể hiện rõ nhất bản chất của điện toán đám mây [10]: điện toán đám mây là mô hình điện toán cho phép truy cập qua mạng để lựa chọn và sử dụng tài nguyên tính toán (mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ…) theo nhu cầu một cách thuận tiện và nhanh chóng Đồng thời, điện toán đám mây cũng cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các tương tác với nhà cung cấp

Như vậy, điện toán đám mây có thể coi là bước tiếp theo của ảohóa, bao gồm ảo hóa phần cứng và ứng dụng, là thành phần quản lý, tổchức, vận hành các hệ thống ảo hóa trước đó

Điện toán đám mây có năm đặc điểm chính như sau:

Tự phục vụ theo nhu cầu (On-deman self-service): Người sử

dụng có thể tự cung cấp các tài nguyên như máy chủ ảo, tài khoảnemail… mà không cần có người tương tác với nhân viên của nhà cungcấp dịch vụ (nhân viên công nghệ thông tin)

Mạng lưới truy cập rộng lớn (Broad Network Access): Khách

hàng có thể truy cập tài nguyên qua mạng máy tính (như mạng Internet)

từ nhiều thiết bị khác nhau (điện thoại thông minh, máy tính bảng, máytính xách tay…)

Tài nguyên được chia sẻ (Resource Pooling): Tài nguyên của các

nhà cung cấp dịch vụ được chia sẻ tới nhiều khách hàng Thôngthường, các công nghệ ảo hóa được sử dụng để cho nhiều bên cùngthuê và cho phép tài nguyên được cấp phát động dựa theo nhu cầu củakhách hàng

Tính linh hoạt nhanh (Rapid elasticity): Tài nguyên có thể được

cung cấp và giải phóng nhanh, tự động dựa trên nhu cầu Khách hàng

có thể tăng hoặc giảm việc sử dụng dịch vụ đám mây một cách dễ dàngtheo nhu cầu hiện tại của mình

Ước lượng dịch vụ (Measured service): Khách hàng chỉ chi trả

cho tài nguyên thực tế họ đã sử dụng Thông thường, nhà cung cấp dịch

vụ sẽ cung cấp cho khách hàng bảng điều khiển (dashboard) để họ cóthể theo dõi việc sử dụng dịch vụ của mình

Điện toán đám mây đã khắc phục được yếu điểm quan trọng củađiện toán truyền thống về khả năng mở rộng và độ linh hoạt Các công

ty, tổ chức có thể triển khai ứng dụng và dịch vụ nhanh chóng, giảm chiphí và ít rủi ro về đầu tư ban đầu

1.2 Lịch sử hình thành và phát triển của điện toán đám mây

Điện toán đám mây thường được mọi người biết đến như mộtcông nghệ mới được phát triển trong những năm gần đây Tuy nhiên,khái niệm này không mới như ta vẫn nghĩ Điện toán đám mây đã bắtđầu được hình thành vào khoảng giữa thế kỷ 20, khi có sự ra đời củacác máy tính mainframe Dưới đây là một số mốc phát triển quan trọngcủa điện toán đám mây [15]:

Năm 1969, J.C.R Liicklider là người chịu trách nhiệm tạo điềukiện cho sự phát triển của APANET trong cuốn Advanced ResearchProject Agency Network đã nêu ý tưởng về mạng máy tính giữa cácthiên hà, có vẻ giống với điện toán đám mây

Tuy nhiên, cho đến năm 1999, điện toán đám mây mới cho thấythành tựu của sự phát triển với cột mốc là điện toán đám mây củaSaleforce.com với các ứng dụng doanh nghiệp cung cấp thông qua mộttrang web đơn giản, mở đường cho việc cung cấp các ứng dụng trênInternet

Năm 2002, Amazon Web Service cung cấp bộ các dịch vụ lưutrữ, tính toán, trí tuệ nhân tạo…

Năm 2004, mạng xã hội Facebook ra đời kết nối và lưu dữ liệu,tạo thành một dịch vụ đám mây cá nhân

Năm 2006, Amazon ra mắt EC2 (Elastic Compute), là một dịch

vụ web thương mại cho phép các công ty nhỏ, cá nhân thuê máy tính

mà trên đó để chạy các ứng dụng máy tính của mình

Cuối năm 2008 là sự ra đời của điện toán đám mây Azue củaMicrosoft

Năm 2009, Google Apps chính thức được phát hành, sau đó, liêntiếp các hãng công nghệ có tên tuổi tham gia cung cấp dịch vụ liênquan đến điện toán đám mây như Rackspace, IBM…

Cho tới nay, các công ty đã tích cực cải thiện dịch vụ và khả năngđáp ứng của mình để phục vụ nhu cầu cho người sử dụng một cách tốtnhất Đặc biệt, số người dùng điện thoại thông minh và máy tính bảngtăng nhanh trong những năm gần đây đã giúp cho các dịch vụ điện toánđám mây ngày càng phát triển vượt bậc, mang nhiều trải nghiệm mớicho người dùng, kết nối mọi lúc mọi nơi qua môi trường Internet.

1.3 Kiến trúc điện toán đám mây

Kiến trúc điện toán đám mây bao gồm nhiều thành phần đámmây liên kết với nhau Ta có thể chia kiến trúc điện toán đám mâythành hai phần quan trọng: nền tảng font-end và nền tảng back-end Haiphần này kết nối với nhau thông qua mạng máy tính, thường là mạngInternet [13]

Front-end là phần thuộc về phía khách hàng dùng máy tính Hạ

tầng khách hàng trong nền tảng font-end (Client Infrastructure) lànhững yêu cầu phần mềm hoặc phần cứng (hệ thống mạng của kháchhàng hoặc máy tính) để sử dụng các dịch vụ trên điện toán đám mây.Thiết bị cung cấp cho khách hàng có thể là trình duyệt, máy tính đểbàn, máy xách tay, điện thoại thông minh…

Back-end đề cập đến chính đám mây của hệ thống, bao gồm tất

cả các tài nguyên cần thiết để cung cấp dịch vụ điện toán đám mây Nógồm các thành phần con chính như: cơ sở hạ tầng, lưu trữ, máy ảo, cơchế an ninh, dịch vụ, mô hình triển khai, máy chủ…

Hình 1.1: Kiến trúc điện toán đám mây

Cơ sở hạ tầng (Infrastructure) của điện toán đám mây là phầncứng được cung cấp như dịch vụ, nghĩa là được chia sẻ và có thể sửdụng lại dễ dàng Các tài nguyên phần cứng được cung cấp theo thờigian cụ thể theo yêu cầu Dịch vụ kiểu này giúp cho khách hàng giảmchi phí bảo hành, chi phí sử dụng,…

Lưu trữ (Storage): Lưu trữ đám mây là khái niệm tách dữ liệukhỏi quá trình xử lý và chúng được lưu trữ ở những vị trí từ xa Lưu trữđám mây thường được triển khai theo các dạng: đám mây công cộng,đám mây riêng, đám mây cộng đồng hoặc đám mây lai Lưu trữ đámmây cũng bao gồm cả các dịch vụ cơ sở dữ liệu, ví dụ như BigTablecủa Google, SimpleDB của Amazon,…

Cloud Runtime: Là dịch vụ phát triển phần mềm ứng dụng vàquản lý các yêu cầu phần cứng, nhu cầu phần mềm Ví dụ nền dịch vụnhư khung ứng dụng web, web hosting

Dịch vụ (Service): Dịch vụ đám mây là một phần độc lập có thểkết hợp với các dịch vụ khác để thực hiện tương tác, kết hợp giữa các

máy tính với nhau để thực thi chương trình ứng dụng theo yêu cầu trênmạng Ví dụ các dịch vụ hiện nay như: Simple Queue Service, GoogleMaps, các dịch vụ thanh toán linh hoạt trên mạng của Amazon.

Ứng dụng: Ứng dụng đám mây (Cloud Application) là một đềxuất về kiến trúc phần mềm sẵn sàng phục vụ, nhằm loại bỏ sự cần thiếtphải mua phần mềm, cài đặt, vận hành và duy trì ứng dụng tại máybàn/thiết bị của người sử dụng Ứng dụng đám mây loại bỏ được cácchi phí để bảo trì và vận hành các chương trình ứng dụng

Các máy chủ sử dụng các giao thức nhất định được gọi làmiddleware giúp các thiết bị kết nối để giao tiếp với nhau

1.4 Một số mô hình điện toán đám mây

1.4.1 Các mô hình dịch vụ

Điện toán đám mây có thể được xem như một nhóm các dịch vụ,trong đó có 3 mô hình dịch vụ chính [5], [10]: phần mềm như một dịch

vụ, nền tảng như một dịch vụ, cơ sở hạ tầng như một dịch vụ

Phần mềm như một dịch vụ (SaaS - Software as a Service):

Tất cả các phần mềm (tài chính, nhân sự, bán hàng, tư vấn) được cungcấp như một dịch vụ Nghĩa là người dùng sử dụng các phần mềm củanhà cung cấp dịch vụ chạy trên một nền tảng đám mây và sẽ truy cậpcác phần mềm này thông qua Web Với SaaS, người dùng lựa chọn ứngdụng phù hợp với nhu cầu và chạy ứng dụng đó trên cơ sở hạ tầng đámmây mà không cần quan tâm đến việc quản lý tài nguyên phần cứng -công việc này đã có nhà cung cấp dịch vụ lo Nhà cung cấp dịch vụ sẽquản lý, kiểm soát và đảm bảo ứng dụng luôn sẵn sàng và hoạt động ổnđịnh

Hình 1.2: Các mô hình dịch vụ của điện toán đám mây

SaaS có thể phục vụ cùng lúc hàng iki nghìn khách hàng (dịch vụđám mây công cộng), hoặc môi trường dịch vụ đám mây riêng cho cácphần mềm chuyên dụng

Một số phần mềm được cung cấp như dịch vụ tiêu biểu là:Google Docs, Zoho Docs, Salesfore.com…

Nền tảng như một dịch vụ (PaaS): Cung cấp nền tảng vận hành

các ứng dụng, dịch vụ, cho phép khách hàng phát triển các phần mềmtrên đó Nghĩa là khách hàng sử dụng ngôn ngữ lập trình và các công cụ

mà nhà cung cấp dịch vụ hỗ trợ để tạo các ứng dụng (hoặc mua lại cácứng dụng đã tạo) Khách hàng không cần quản lý, kiểm soát cơ sở hạtầng đám mây (mạng, máy chủ, hệ điều hành, lưu trữ), nhưng có quyềnkiểm soát các ứng dụng họ đã triển khai ứng dụng lưu trữ các cấu hìnhmôi trường Có thể xem cơ sở dữ liệu, phần mềm middleware là các ví

dụ của nền tảng và được cung cấp như một dịch vụ PaaS thường được

sử dụng bởi các nhà phát triển, nhà kiểm thử, nhà triển khai, các kỹ sưmiddleware và quản trị viên Google App Engine, IBM IT Factory,Windows Azure là các ví dụ điển hình của PaaS

Cơ sở hạ tầng như một dịch vụ (IaaS): IaaS là tầng thấp nhất

của điện toán đám mây, cung cấp các tài nguyên phần cứng như máychủ, hệ thống lưu trữ, các thiết bị mạng và các tài nguyên tính toán cơbản khác dưới dạng dịch vụ cho các đơn vị, tổ chức Với IaaS, ngườidùng có thể triển khai và chạy các phần mềm tùy ý mà không phải quantâm đến cơ sở hạ tầng đám mây, nhưng có quyền kiểm soát với hệ điềuhành, lưu trữ, các ứng dụng đã triển khai và có thể hạn chế việc lựachọn thành phần mạng

Đối tượng sử dụng dịch vụ IaaS thường là các nhà phát triển hệthống, kỹ sư mạng, quản trị hệ thống, kỹ sư giám sát, người quản lýcông nghệ thông tin Công nghệ được sử dụng rộng rãi trong IaaS làcông nghệ ảo hóa để chia sẻ và phân phối tài nguyên theo yêu cầu

Đối với các doanh nghiệp, lợi ích lớn nhất của IaaS là sự bùng nổlên đám mây (Cloudbursting), quá trình này làm giảm tải các tác vụ lênđám mây nhiều lần khi cần nhiều tài nguyên tính toán nhất Việc nàygiúp tiết kiệm nhiều chi phí vì các doanh nghiệp sẽ không phải đầu tưthêm nhiều máy chủ mà rất ít khi sử dụng hết công suất

Tuy nhiên, những doanh nghiệp này phải có bộ phận công nghệthông tin để xây dựng và triển khai phần mềm xử lý có khả năng phânphối lại các quy trình xử lý lên một đám mây IaaS Nếu không xâydựng lại phần mềm này thì doanh nghiệp sẽ gặp một số khó khăn khinhà cung cấp ngừng kinh doanh, hoặc các vấn đề về bảo vệ dữ liệu cánhân, tài chính…

Một số nhà cung cấp dịch vụ IaaS tiêu biểu như: Vmware,Amazon…

1.4.2 Các mô hình triển khai

Với mỗi loại mô hình dịch vụ, đều có thể sử dụng các hình triểnkhai [5], [10] chính của điện toán đám mây là: đám mây công cộng,

đám mây riêng, đám mây cộng đồng, đám mây lai và một số mô hìnhtriển khai khác như sau:

Đám mây công cộng (Public Cloud): việc cung cấp và sử dụng

dịch vụ được tổ chức, hoạt động và quản lý bởi nhà cung cấp dịch vụ.Dịch vụ đám mây công cộng thường được chuyển qua Internet từ mộthoặc nhiều trung tâm dữ liệu của nhà cung cấp dịch vụ Chúng đượcdùng chung và cho nhiều bên thuê để tính toán giúp tiết kiệm, giảmthiểu chi phí mà vẫn đạt được tối đa tiềm năng Tuy nhiên, đám mâycông cộng nhận được ít sự kiểm soát và giám sát an ninh của nhà cungcấp dịch vụ

Đám mây công cộng có nhiều dạng và tồn tại dưới nhiều hìnhthức như là Windows Azure, Microsoft Office 365 và Amazon ElasticCompute Cloud… Ta cũng có thể tìm thấy các dịch vụ quy mô nhỏ hơnphù hợp với nhu cầu cá nhân

Ưu điểm lớn nhất của đám mây công cộng chính là nó luôn đượcsẵn sàng để sử dụng nhanh chóng: một ứng dụng kinh doanh mới nhất

có thể được triển khai chỉ trong vòng vài phút và có khả năng mở rộng

dễ dàng Doanh nghiệp không cần đầu tư vào hệ thống hạ tầng côngnghệ thông tin nội bộ nữa

Hình 1.3: Các mô hình triển khai chính của điện toán đám mây

Đám mây riêng (Private Cloud): được cung cấp riêng cho một

cá nhân hoặc tổ chức nào đó (không sử dụng chung) Một số mô hìnhđiện toán đám mây riêng nổi bật cung cấp cái nhìn tổng quan về các môhình phổ biến nhất:

Dedicated: dịch vụ được sở hữu, vận hành và quản lý bởi tổ chức

và được lưu trữ trong hạ tầng cơ sở (on premises) của chính tổ chứchoặc cùng được đặt trong một cơ sở dữ liệu trung tâm (ngoài hạ tầng cơ

sở - off premises)

Managed: dịch vụ thuộc sở hữu của tổ chức nhưng được điềuhành và quản lý bởi một nhà cung cấp dịch vụ Dịch vụ này có thể đượclưu trữ trong các tổ chức hoặc lưu trữ đồng thời cùng nhà cung cấp dịchvụ

Virtual: dịch vụ được sở hữu, vận hành, quản lý và tổ chức bởimột nhà cung cấp dịch vụ nhưng tổ chức này được cô lập với các kháchhàng khác

Lợi ích của đám mây riêng là doanh nghiệp có thể tự thiết kế nórồi tùy biến theo thời gian cho phù hợp với mình Họ có thể kiểm soát

được chất lượng dịch vụ đã cung cấp Với hệ thống chuẩn được lắp đặt,hoạt động theo nguyên tắc, đảm bảo tính bảo mật thì nhiệm vụ quản trịcủa nhân viên công nghệ thông tin sẽ được duy trì Mặt bất lợi của đámmây này là mô hình triển khai của nó cần sự đầu tư nhiều về chuyênmôn, tiền bạc (đầu tư vốn để mua các phần cứng, phần mềm cần thiết

đủ đáp ứng trong lúc cao điểm, chi phí duy trì phần cứng…) và thờigian để tạo ra các giải pháp kinh doanh đúng đắn cho doanh nghiệp

Đám mây cộng đồng (Community Cloud): là đám mây được

chia sẻ giữa một số tổ chức, doanh nghiệp có mục tiêu sử dụng tương

tự nhau với nhau Đám mây cộng đồng này có thể sử dụng nhiều côngnghệ, và nó thường được các doanh nghiệp liên doanh sử dụng cùngthực hiện các công trình nghiên cứu khoa học Đám mây cộng đồng hỗtrợ người dùng các tính năng của cả đám mây riêng và đám mây côngcộng Các đám mây loại này cố gắng để đạt được một mức độ kiểmsoát an ninh và giám sát tương tự như được cung cấp bởi đám mâyriêng trong khi cố gắng đạt được hiệu quả chi phí như được cung cấpbởi đám mây công cộng

Vì tính mở tự nhiên, đám mây cộng đồng rất phức tạp Tính bảomật và thống nhất vừa là một thế mạnh vừa là một điểm yếu, mang sựthách thức về tính toán Dù là với đám mây riêng yếu tố chính sáchcông ty là rất lớn nhưng ta chỉ có thể hình dung ra vai trò của chínhsách công ty là quan trọng thế nào khi tham gia vào đám mây cộngđồng được mua và sử dụng bởi nhiều công ty cùng một lúc

Đám mây lai (Hybrid Cloud): Đám mây lai thường là sự kết

hợp những mặt mạnh của đám mây riêng và đám mây công cộng…Điểm yếu của cái này thì sẽ có điểm mạnh bù lại Đa số các doanhnghiệp đều lựa chọn mô hình triển khai điện toán đám mây có lợi chomình nhất

Với mô hình này, các tổ chức, doanh nghiệp sẽ sử dụng đám mâycông cộng để xử lý, giải quyết các chức năng nghiệp vụ và các dữ liệu

ít quan trọng Đồng thời, tổ chức, doanh nghiệp sẽ giữ lại các chứcnăng nghiệp vụ và dữ liệu quan trọng trong tầm kiểm soát bằng cách sửdụng đám mây riêng Tổ chức, doanh nghiệp sẽ hưởng lợi từ hai thứ:quản lý được tính bảo mật với đám mây riêng; rẻ, tiện, linh động và cókhả năng mở rộng với đám mây công cộng, một dịch vụ đơn lẻ nhưngbao gồm cả hai loại đám mây

Các mô hình triển khai khác: Ngoài các mô hình đám mây

riêng, đám mây công cộng, đám mây cộng đồng và đám mây lai là điểnhình thì điện toán đám mây còn có một số loại mô hình triển khai khácnhư:

Đám mây phân tán (Distributed Cloud): Điện toán đám mây

cũng có thể được cung cấp bởi một tập các máy phân tán chạy ở các vịtrí khác nhau nhưng vẫn kết nối tới một mạng hoặc một trung tâm dịch

vụ Ví dụ các nền tảng máy phân tán như BONIC, Folding@Home

Đám mây liên kết (Intercloud): Là một liên kết có quy mô toàn

cầu “cloud of clouds” và một phần mở rộng dựa trên mạng Internet.Đám mây liên kết tập trung vào khả năng tương tác trực tiếp giữa nhàcung cấp dịch vụ đám mây công cộng hơn là giữa nhà cung cấp vàngười sử dụng (như trường hợp đám mây lai và đa đám mây)

Đa đám mây (Multicloud): Là việc sử dụng nhiều dịch vụ điện

toán đám mây trong một kiến trúc không đồng nhất để giảm sự phụthuộc vào một nhà cung cấp duy nhất, làm tăng tính linh hoạt thông quaviệc chọn, giảm các nguy cơ… Nó khác với đám mây lai trong đó đềcập đến nhiều dịch vụ đám mây thay vì nhiều mô hình triển khai (côngcộng, riêng, kế thừa)

Như vậy, tùy theo nhu cầu cụ thể mà các tổ chức, doanh nghiệp có thểchọn để triển khai các ứng dụng trên mô hình nào cho phù hợp Mỗi mô hìnhđám mây đều có điểm mạnh và yếu của nó Các doanh nghiệp phải cân nhắcđối với các mô hình mà họ chọn Và họ có thể sử dụng nhiều mô hình để giảiquyết các vấn đề khác nhau Theo Ziff David B2B, phần lớn các công ty dùngnhiều hơn một loại đám mây: 29% chỉ dùng đám mây công cộng, 7% chỉdùng đám mây riêng, 58% sử dụng đám mây lai (2014) Nhu cầu về một ứngdụng có tính tạm thời có thể triển khai trên đám mây công cộng bởi vì nó giúptránh việc phải mua thêm thiết bị để giải quyết một nhu cầu tạm thời Tương

tự, nhu cầu về một ứng dụng thường trú hoặc một ứng dụng có những yêu cầu

cụ thể về chất lượng dịch vụ hay vị trí của dữ liệu thì nên triển khai trên đámmây riêng hoặc đám mây lai

1.5 Phân tích ưu điểm và một số tồn tại của điện toán đám mây

1.5.1 Ưu điểm

Người sử dụng có thể được hưởng những lợi ích khác nhau khi

sử dụng các mô hình đám mây khác nhau Tuy nhiên có một số lợi íchnổi bật sau đây đã góp phần giúp điện toán đám mây trở thành mô hìnhđiện toán được áp dụng rộng rãi trên toàn thế giới

- Tốc độ xử lý nhanh, cung cấp dịch vụ nhanh chóng với giáthành rẻ

- Chi phí đầu tư cơ sở hạ tầng, máy móc và nhân lực ban đầu củangười sử dụng điện toán đám mây được giảm đến mức thấp nhất

- Không phụ thuộc vào thiết bị và vị trí địa lý, cho phép người sửdụng truy cập hệ thống thông qua trình duyệt web ở bất kỳ đâu, trên bất

kỳ thiết bị nào

- Chia sẻ tài nguyên trên địa bàn rộng lớn

- Độ tin cậy cao, không chỉ phù hợp cho các ứng dụng thôngthường, điện toán đám mây còn phù hợp với các yêu cầu cao và liên tụccủa các công ty kinh doanh và các trung tâm nghiên cứu khoa học.

- Khả năng mở rộng mềm dẻo, giúp cải thiện chất lượng dịch vụtrên đám mây

- Khả năng bảo mật được cải thiện do sự tập trung về dữ liệu

- Khả năng bảo trì dễ dàng: các ứng dụng trên điện toán đám mây

dễ sửa chữa và cải thiện tính năng vì chúng không được cài đặt cố địnhtrên một máy tính nào

- Tài nguyên sử dụng của điện toán đám mây luôn được quản lý

và thống kê trên từng khách hàng và ứng dụng theo thời gian cụ thể,giúp cho việc định giá mỗi dịch vụ do điện toán đám mây cung cấp đểngười sử dụng lựa chọn cho phù hợp

1.5.2 Một số tồn tại của điện toán đám mây

- Tính sẵn dùng: Trong môi trường chung của điện toán đámmây, các ứng dụng thường cạnh tranh về tài nguyên mạng như: thờigian xử lý, khả năng chia tải… Nếu hệ thống cơ sở hạ tầng của nhàcung cấp dịch vụ không hoàn thiện thì việc tắc nghẽn trong hệ thốnghoàn toàn có thể xảy ra Khi đó, liệu các dịch vụ đám mây có bị “treo”bất ngờ, khiến cho người dùng không thể truy cập các dịch vụ và dữliệu của mình trong những khoảng thời gian nào đó khiến ảnh hưởngđến công việc

- Tính riêng tư: Các thông tin người dùng và dữ liệu được chứatrên điện toán đám mây có đảm bảo được riêng tư, và liệu các thông tin

đó có bị sử dụng vì một mục đích nào khác

- Mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đámmây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ,khiến cho người dùng phải sao lưu dữ liệu của họ từ đám mây về máy

tính cá nhân Điều này sẽ mất nhiều thời gian Thậm chí một vài trườnghợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phụchồi được.

- Tính di động của dữ liệu và quyền sở hữu: Một câu hỏi đặt ra,liệu người dùng có thể chia sẻ dữ liệu từ dịch vụ đám mây này sangdịch vụ của đám mây khác? Hoặc trong trường hợp không muốn tiếptục sử dụng dịch vụ cung cấp từ đám mây, liệu người dùng có thể saolưu toàn bộ dữ liệu của họ từ đám mây hay không Và làm cách nào đểngười dùng có thể chắc chắn rằng các dịch vụ đám mây sẽ không hủytoàn bộ dữ liệu của họ trong trường hợp dịch vụ ngừng hoạt động

- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các đám mây

là cách thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng lạichính là mối lo của người sử dụng dịch vụ của điện toán đám mây Bởi

lẽ một khi các đám mây bị tấn công hoặc đột nhập, toàn bộ dữ liệu sẽ bịchiếm dụng Tuy nhiên, đây không thực sự là vấn đề của riêng điệntoán đám mây, bởi lẽ tấn công đánh cắp dữ liệu là vấn đề gặp phải trênbất kỳ môi trường nào, ngay cả trên các máy tính cá nhân

Ở nước ta, việc triển khai điện toán đám mây vẫn đối mặt vớinhiều thách thức như: cơ sở hạ tầng chưa đồng bộ, bảo mật thông tin,chi phí đầu tư cho hạ tầng đám mây cao trong khi quy mô thị trườngcòn nhỏ và các nhà cung cấp dịch vụ trong nước khó cạnh tranh với cácnhà cung cấp dịch vụ toàn cầu, khả năng liên kết giữa các nhà cung cấpdịch vụ đám mây, liên kết hạ tầng với ứng dụng còn yếu… Tuy nhiên,điện toán đám mây với những lợi ích đã thấy rõ vẫn sẽ sớm trở nên phổbiến và là xu thế tất yếu của công nghệ tương lai

1.6 Một số nhà cung cấp dịch vụ điện toán đám mây

1.6.1 Trên thế giới

Trên thế giới hiện có khoảng hơn 200 nhà cung cấp dịch vụ điệntoán đám mây [3], [14], mỗi nhà cung cấp thường có thế mạnh riêngcủa mình về từng lĩnh vực của điện toán đám mây Sau đây là một số

nhà cung cấp dịch vụ đám mây tiêu biểu:

Với dịch vụ cơ sở hạ tầng (IaaS): có hai nhà cung cấp nổi tiếng

về cả chất lượng và giá cả là Amazon Web Services của Amazon.com

và Microsoft Azure của Microsoft

- Amazon: có vị trí nổi bật về điện toán đám mây Hiện nay,

Amazon đã cung cấp không gian máy tính ảo với dịch vụ AmazonWorkspaces, qua đó, người sử dụng có thể thuê một máy tính ảo chạytrên Amazon Web Services Amazon khiến mọi người ngạc nhiên khimột nhà bán lẻ trực tuyến lại có thể tạo ra nhiều sự thay đổi trongngành công nghiệp công nghệ thông tin và trong cuộc sống hàng ngàyđến vậy

- Microsoft: cũng đang là một doanh nghiệp lớn về điện toán đám

mây với Azure Microsoft cũng mới mở rộng Azure vào thị trườngIaaS, và thậm chí còn cho phép người dùng chạy Linux trên đám mâycủa mình với mức giá hứa hẹn sẽ thấp hơn Amazon Bên cạnh đó,Microsoft cũng cung cấp rất nhiều các ứng dụng doanh nghiệp trên đámmây của mình từ cơ sở dữ liệu SQL Server đến Microsoft Office 365

Với dịch vụ lưu trữ (Storage): Google Drive của Google và

Box là hai nhà cung cấp tiêu biểu:

- Google: là gã khổng lồ công nghệ được sinh ra từ đám mây.

Hiện tại Google đã tăng mức lưu trữ và kết hợp với các công cụ trướcđây như Google Docs để thuận tiện cho người sử dụng Google Drivetương thích với các hệ điều hành trên máy tính cũng như trên điện thoạithông minh

- Box: cung cấp 10 GB dung lượng lưu trữ miễn phí, và dịch vụ

chia sẻ file giúp nhiều người có thể làm việc cùng nhau trên các tài liệu

Với dịch vụ Desktop (DaaS): hai nhà cung cấp nổi tiếng với

dịch vụ này là Citrix và Vmware

- Vmware: là một trong những đối thủ lớn nhất trong thị trường

điện toán đám mây, chuyên cung cấp phần mềm vCloud để xây dựngđám mây Vmware gần đây là thay đổi chiến lược khi cung bố kế hoạch

ra mắt đám mây công cộng của riêng mình Đây là một sự lựa chọn thú

vị vì hiện có khoảng 200 nhà cung cấp dịch vụ điện toán đám mây đượcxây dựng trên nền tảng vCloud và giờ đây Vmware sẽ phải cạnh tranhvới họ

- Citrix: cũng sản xuất phần mềm dành cho các đám mây để cạnh

tranh với hai đối thủ chính là Vmware và OpenStack Để cạnh tranh vớiOpenStack, công ty đã cho phép quỹ Apache, một tổ chức phi lợi nhuậnquản lý nhiều dự án mã nguồn mở phổ biến, sử dụng phần mềmCloudStack của mình Động thái này cũng cho phép Citrix bán nhiềuhơn các phần mềm trung tâm dữ liệu khác của mình để cạnh tranh vớiVmware

Với dịch vụ phần mềm (SaaS): tiêu biểu là Salesforce.com và

Insightly

- Salesforce.com:Salesforce.com đã chứng minh rằng thế giới

muốn mua phần mềm-như-một-dịch vụ Trong năm 2012, công ty đã

mở rộng một loạt các lĩnh vực mới Salesforce.com đã chi hơn 1 tỷ đô

la Mỹ để mua lại Radian6 và Buddy Media Cloud Marketing Bên cạnh

đó, Salesforce.com cũng được biết đến như là một trong những đámmây PaaS phổ biến nhất để chạy các ứng dụng của riêng bạn.Salesforce.com được biết đến như là một trong những đám mây PaaSphổ biến nhất

- Insightly: cung cấp phần mềm CRM (Customer Relationship

Management) như một dịch vụ được tích hợp với Gmail, Google Apps,Outlook 2013 và Office 365 Insightly phù hợp với các doanh nghiệpvừa và nhỏ, giúp khách hàng theo dõi các giao dịch của họ

Với dịch vụ nền tảng (PaaS): tiêu biểu là Red Hat OpenShift và

Heroku

- Red Hat OpenShift: cung cấp dịch vụ nền tảng dựa trên nguồn

mở, cho phép các nhà phát triển tùy chỉnh theo ý mình và có thể đượcdùng thử miễn phí (1 GB lưu trữ)

- Heroku: Nền tảng này hỗ trợ nhiều ngôn ngữ lập trình, từ Java

tới Ruby Python Heroku là một trong những nhà cung cấp PaaS sớmnhất, nó cung cấp các ứng dụng của bên thứ ba cũng như của riêngmình

Ngoài ra, còn một số nhà cung cấp dịch vụ đám mây nổi tiếngnhư IBM, Rackspace (OpenStack)

1.6.2 Tại Việt Nam

Với trung tâm điện toán đám mây đầu tiên được ra mắt từ nửacuối năm 2008, Việt Nam trở thành một trong những nước đầu tiên củaAsian đưa vào sử dụng công nghệ này Cho đến nay, Việt Nam đã xuấthiện thêm nhiều công ty cung cấp dịch vụ điện toán đám mây, song chủyếu tập trung vào thị trường nhỏ như QTSC, VNTT, Prism, Exa,HostVN, MOS, BiakiCRM Một số nhà cung cấp như Bkav, FPT, VDC,CMC Telecom NEO,… thì chỉ cung cấp những dịch vụ riêng lẻ quản lývăn phòng, nhân sự, quan hệ khách hàng

Nhìn chung, các nhà cung cấp dịch vụ đám mây công cộng tạiViệt Nam vẫn còn ở quy mô nhỏ Một số công ty tích hợp hệ thống (SI)

và nhà cung cấp phần mềm độc lập (ISV) đã có chiến lược đầu tư vàođiện toán đám mây, kết hợp xây dựng đám mây công cộng với triển

khai đám mây riêng cho khách hàng Trong số này, FIS, SBD, HiPTđang chiếm thị phần lớn ở mảng IaaS; còn Lạc Việt, MISA, NEO, CT-

IN giữ vai trò chủ chốt ở mảng SaaS

Năm 2014, VTC Digicom sau hai năm nghiên cứu và phát triển

đã chính thức ra mắt dịch vụ điện toán đám mây gồm: Cloud Server(máy chủ ảo), Cloud Storage (không gian lưu trữ) và CloudStreaming/CDN

Năm 2017, Viện Công nghiệp phần mềm và nội dung số ViệtNam triển khai đề án cung cấp hạ tầng, dịch vụ dùng chung cho cơquan nhà nước tại địa chỉ số 115 Trần Duy Hưng [1]

Kết luận Chương 1

Trong chương 1 của luận văn đã phân tích, tìm hiểu những nộidung cơ bản về điện toán đám mây, bao gồm khái niệm, lịch sử hìnhthành và phát triển, vai trò, kiến trúc mô hình dịch vụ, mô hình triểnkhai điện toán đám mây, những nhà cung cấp dịch vụ điện toán đámmây lớn trên thế giới và tại Việt Nam

Nội dung chương 1 cũng đi sâu nghiên cứu phân tích những ưuđiểm, giá trị to lớn của điện toán đám mây trong việc cung cấp cácnhóm dịch vụ hạ tầng, dịch vụ lưu trữ, desktop, dịch vụ phần mềm vànền tảng [1], [3] Trên cơ sở nghiên cứu những hạn chế của điện toánđám mây, nội dung chương 1 phân tích làm rõ nguy cơ mất an toànthông tin, cho thấy vị trí tầm quan trọng của việc nghiên cứu giải phápbảo mật dữ liệu trong quá trình lưu trữ và truyền nhận qua đám mây.Đây là cơ sở tiền đề, nền tảng cho triển khai nghiên cứu chuyên sâu vềbảo vệ thông tin trong điện toán đám mây được trình bày tại chương 2

CHƯƠNG 2: BẢO VỆ THÔNG TIN TRONG ĐIỆN TOÁN ĐÁM MÂY

2.1 Khái niệm an ninh thông tin

Ngày càng có nhiều các công ty cung cấp dịch vụ điện toán đám mây,nhưng bước tiến mới này tiềm ẩn những nguy cơ về an ninh

Theo NIST định nghĩa [10]: An ninh thông tin là sự tiến hành việc duy

trì tính toàn vẹn, bảo mật và sẵn sàng của dữ liệu khi gặp vấn đề từ truy cậpđộc hại, lỗi hệ thống…

- Tính toàn vẹn: Thông tin là thực, đầy đủ, đáng tin cậy Dữ liệu khôngđược thay đổi không phù hợp cho dù gặp sự cố hoặc các hoạt động độc hại cóchủ đích

- Bảo mật: Thông tin có thể chỉ được truy cập bởi người được uỷ quyềnhoặc chia sẻ giữa các nhóm được ủy quyền Phương pháp xác thực, bao gồm cảxác minh, có thể được áp dụng để bảo vệ dữ liệu tránh khỏi xâm nhập độc hại

- Sẵn sàng: dữ liệu luôn sẵn sàng và sẵn có sử dụng khi cần theo quyềnthao tác cho đối tượng đã được ủy quyền

Theo ISO/IEC 27000, 2009 định nghĩa [6]: An ninh thông tin là sự giữ

gìn tính bảo mật, toàn vẹn và sẵn sàng của thông tin và các thuộc tính khácnhư tính xác thực, trách nhiệm, không chối bỏ và tin cậy

Theo CNSS, 2010 định nghĩa [3]: An ninh thông tin là sự bảo vệ thông

tin và hệ thống thông tin khỏi việc truy cập trái phép, sử dụng, tiết lộ, gián đoạn,biến đổi, hoặc phá hủy để cung cấp bảo mật, tính toàn vẹn và tính sẵn sàng

Theo Venter và Eloff, 2003 [3]: An ninh thông tin là sự bảo vệ thông tin

và giảm thiểu những nguy cơ lộ thông tin cho các bên trái phép

2.2 Một số tiêu chuẩn về an ninh thông tin

Ban kỹ thuật tiêu chuẩn quốc tế JTC1/SC 27 “IT Security Techniques” do hai tổ chức là Cơ qua tiêu chuẩn hóa quốc tế ISO

(International Organization for Standardization) và Ủy bản kỹ thuậtđiện quốc tế IEC (International Electrotechnical Commission) cộng tácthành lập

Ban kỹ thuật này đã công bố hơn 130 tiêu chuẩn quốc tế về lĩnhvực an ninh thông tin Những tiêu chuẩn quốc tế được sự trợ giúp xâydựng, đóng góp ý kiến của nhiều chuyên gia, các hãng bảo mật và các

tổ chức tiêu chuẩn hóa trên thế giới

2.2.1 Tiêu chuẩn về hệ thống quản lý an ninh

Hiện nay, trên thế giới đang tồn tại một họ các tiêu chuẩn hệ thốngquản lý an ninh thuộc bộ ISO 27000 Bộ tiêu chuẩn ISO 27000 về hệthống quản lý an ninh thông tin ISMS (Information Security ManagementSystem) được xây dựng để có thể áp dụng cho mọi tổ chức, bất kể loạihình, kích cỡ hay môi trường kinh doanh của tổ chức đó Người sử dụng

là những chuyên gia, quản lý kinh doanh có liên quan đến các hoạt độngquản lý hệ thống an ninh

Để có thể đạt được các chỉ tiêu an ninh có trong bộ ISO 27000 làkhá khó khăn và rất tốn kém Số lượng chứng chỉ chứng nhận đạt sựphù hợp với ISO/IEC 27001 trên toàn thế giới mới chỉ lên đến con số7940

Một bộ tiêu chuẩn về lĩnh vực quản lý an ninh cũng đáng đượcnhắc tới đó là bộ ISO/IEC 31000 về quản lý rủi ro

2.2.2 Tiêu chuẩn an ninh thông tin về điện toán đám mây

Tổ chức ISO công bố 04 tiêu chuẩn liên quan đến điện toán đámmây là: ISO/IEC 17203:2011 quy định về định dạng mã hóa mở OVF,ISO/IEC 17826:2012 về giao diện quản lý dữ liệu đám mây CDMI,ISO/IEC 17963:2013 về quản lý dịch vụ web, cuối cùng là ISO/IEC TR

30102:2012 về thủ tục kỹ thuật cho DAPS (Nền tảng và dịch vụ ứngdụng phân tán) Ngoài ra tiêu chuẩn ISO/IEC 27017 đưa ra các nguyêntắc kiểm soát an ninh thông tin cho dịch vụ điện toán đám mây.

Tuy nhiên, các tiêu chuẩn điện toán đám mây “riêng” vẫn đangphát triển mạnh mẽ, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ(NIST) đã đưa ra nguyên tắc phân loại chuẩn điện toán đám mây, đồngthời theo đó là hàng loạt tiêu chuẩn điện toán đám mây ra đời (công bốbởi NIST, IETF, ITU-T…), được thế giới công nhận và áp dụng Cụthể:

- Về xác thực và ủy quyền: RFC 5246, RFC 3820, RFC 5280,X.509 (ISO/IEC 9594-8), RFC 5849, OpenID, XACML (eXtensibleAccess Control Markup Language), SAML (Security Assertion MarkupLanguage), FIPS 181, FIPS 190, FIPS 196…

- Về tính bí mật: RFC 5246, KMIP (Key ManagementInteroperability Protocol), XML, FIPS 140-2, FIPS 185, FIPS 197,FIPS 188…

- Về tính toàn vẹn: XML, FIPS 180-3, FIPS 186-3, FIPS 198-1,

- Về quản lý chính sách: XACML, FIPS 199, FIPS 200,…

- Về tính tương hợp: OCCI (Open Cloud Computing Interface),CDMI, IEEE P2301, IEEE P2302…

- Về tính khả chuyển: CDMI, OVF (Open Virtualization Format),IEEE P2301…

2.2.3 Tiêu chuẩn an ninh thông tin về dữ liệu

Điểm mấu chốt trong an ninh thông tin chính là dữ liệu, có nhiều

bộ tiêu chuẩn về an ninh dữ liệu, đầu tiên cần kể đến là bộ tiêu chuẩn

ISO 8000 về Chất lượng dữ liệu Bộ tiêu chuẩn này đưa ra các thủ tục

về chất lượng dữ liệu, các đặc tính cần kiểm tra chất lượng, đồng thờiđưa ra hàng loạt các yêu cầu về thu nhận, biểu diễn, phương pháp đo vàkiểm tra chất lượng dữ liệu

Hiện nay bộ tiêu chuẩn ISO 8000 được chia thành 04 mảng:Phần 1 đến phần 99: Chất lượng dữ liệu chung;

- Phương pháp mã hóa không đối xứng RSA, mã hóa đối xứngAES, thuật toán hàm băm SHA 256, quản lý khóa XML V2

- Các bộ tiêu chuẩn ISO 7811, ISO 7816 về thẻ nhận dạng, thẻthông minh tiếp xúc và không tiếp xúc, thẻ từ và thẻ mạch tích hợp,…

2.2.4 Tiêu chuẩn về đánh giá an ninh thông tin

Tiêu chuẩn đánh giá an ninh thông tin chung là CC (CommonCriteria) đưa ra những tiêu chí đánh giá an ninh chung cho sản phẩmhoặc hệ thống thông tin Hiện nay, CC đã được chuyển thành các tiêuchuẩn quốc tế là bộ tiêu chuẩn ISO/IEC 15408 và tiêu chuẩn ISO/IEC

18045 Trong đó, ISO/IEC 18045:2008 quy định các hành động tốithiểu được thực hiện bởi chuyên gia đánh giá khi thực hiện đánh giá

theo ISO/IEC 15408, sử dụng các chỉ tiêu và bằng chứng để đánh giánhư quy định trong ISO/IEC 15408 Tiêu chuẩn này không quy địnhcác hành động đảm bảo đánh giá từng thành phần mà chưa có chấpthuận đánh giá chung.

Đây được xem là bộ các tiêu chí đánh giá chung nhất cho các sảnphẩm, thiết bị và hệ thống công nghệ thông tin

Hình 2.1: Quá trình hình thành cộng đồng CC (Common Criteria)

Ngoài ra đối với hệ thống ISMS, chúng ta có ISO/IEC27007:2011 đưa ra các nguyên tắc đánh giá hệ thống an ninh thông tin,cũng là tiêu chuẩn được sử dụng để đánh giá an ninh thông tin cho các

hệ thống thông tin thông thường, kể cả các hệ thống không phải ISMS

2.3 Phân loại về an ninh thông tin trong điện toán đám mây

2.3.1 Theo nhóm vấn đề

Các vấn đề an ninh liên quan đến điện toán đám mây được chiathành 5 loại chính: các tiêu chuẩn an ninh, mạng, kiểm soát truy cập, hạtầng đám mây và dữ liệu [13]

2.3.1.1 Nhóm vấn đề về các tiêu chuẩn an ninh

Các tiêu chuẩn cần thiết để có biện pháp phòng ngừa, ngăn chặncác cuộc tấn công bao gồm các thỏa thuận mức dịch vụ, kiểm tra quản

lý và các thỏa thuận khác giữa người sử dụng, nhà cung cấp dịch vụ vàcác bên liên quan khác

Các vấn đề an ninh thuộc nhóm này gồm vấn đề thiếu tiêu chuẩn

an ninh, thiếu kiểm tra quản lý, thiếu khía cạnh pháp lý, vấn đề về sựtin cậy

2.3.1.2 Nhóm vấn đề về mạng

Liên quan đến các cuộc tấn công mạng như kết nối sẵn sàng(Connection Availability), từ chối dịch vụ (DoS), tấn công lũ lụt(flooding attack), các lỗ hổng giao thức Internet.v.v

Các vấn đề an ninh của nhóm mạng gồm việc cài đặt các tườnglửa cho mạng, các cấu hình an ninh mạng, các lỗ hổng giao thứcInternet và tính phụ thuộc vào Internet

2.3.1.3 Nhóm vấn đề về kiểm soát truy cập

Là một nhóm hướng người dùng, bao gồm các vấn đề nhận diện,xác thực và cấp phép Các vấn đề an ninh của kiểm soát truy cập gồmcướp tài khoản và dịch vụ, vấn đề độc hại từ nội bộ, cơ chế xác thực,quyền truy cập và an ninh trình duyệt

2.3.1.4 Nhóm vấn đề về hạ tầng đám mây

Gồm các vấn đề an ninh, các cuộc tấn công tới SaaS, PaaS, IaaS

và liên quan đến môi trường ảo hóa Một số vấn đề an ninh của nhómnày gồm giao diện API thiếu an toàn, chất lượng dịch vụ, lỗi công nghệchia sẻ, độ bền của nhà cung cấp, cấu hình an ninh sai, kiến trúc đathuê, vị trí máy chủ và sao lưu

2.3.1.5 Nhóm vấn đề về dữ liệu

Gồm các vấn đề liên quan đến an ninh dữ liệu như dự phòng dữliệu, mất và rò rỉ dữ liệu, vị trí dữ liệu, phục hồi dữ liệu, sự riêng biệtcủa dữ liệu, tính sẵn sàng của dữ liệu, bảo vệ dữ liệu…

2.3.2 Các nguy cơ hàng đầu về an ninh

Các nguy cơ an ninh có thể thay đổi tùy theo các mô hình dịch vụ haycác mô hình triển khai đám mây Dưới đây là một số nguy cơ hàng đầu về anninh trong điện toán đám mây được khảo sát vào cuối năm 2013 bởi CSA, xéttheo các mô hình dịch vụ của đám mây

2.3.2.1 Nguy cơ vi phạm dữ liệu

Việc lấy cắp dữ liệu bí mật của một công ty, tổ chức luôn là một nguy

cơ đối với bất kỳ cơ sở hạ tầng công nghệ thông tin nào, nhưng với điện toánđám mây thì nguy cơ này cao hơn Người dùng có thể sử dụng biện pháp mãhóa để giảm thiểu nguy cơ vi phạm dữ liệu, tuy nhiên khóa mã hóa cần phảiđược giữ cẩn thận Người dùng cũng có thể chọn giải pháp sao lưu (sao lưuoffline) phòng trường hợp mất dữ liệu, nhưng vấn đề này đồng thời cũng làmtăng nguy cơ tiếp xúc với việc vi phạm dữ liệu

2.3.2.2 Nguy cơ mất dữ liệu

Với cả người tiêu dùng và doanh nghiệp thì mất những dữ liệuquan trọng là nguy cơ nghiêm trọng Dữ liệu lưu trữ trên đám mây cóthể bị mất do kẻ tấn công lấy cắp hoặc một vài nguyên nhân khác (bịxóa tình cờ, mất chìa khóa mã hóa dữ liệu hoặc thảm họa động đất, hỏahoạn…)

2.3.2.3 Cướp tài khoản hoặc dịch vụ vận chuyển

Cướp tài khoản và dịch vụ cũng không phải là nguy cơ mới.Phương pháp tấn công như lừa đảo, gian lận, các phần mềm khaithác… Việc sử dụng lại mật khẩu có thể làm tăng nguy cơ này, nếu kẻtấn công được quyền truy cập vào thông tin của người dùng, họ có thểcan thiệp vào các hoạt động, thao tác dữ liệu, giao dịch, trả về cácthông tin giả mạo, chuyển hướng truy cập đến các trang độc hại Vớicác thông tin bị đánh cắp, kẻ tấn công có thể thường xuyên truy cập vàocác khu vực quan trọng của dịch vụ điện toán đám mây, đe dọa tính bảomật, toàn vẹn và tính sẵn sàng của các dịch vụ này Các tổ chức cầnphải nhận thức được các kỹ thuật đó cũng như thực hiện các chiến lượcbảo vệ theo chiều sâu để hạn chế thiệt hại Các tổ chức cũng nên hạnchế việc chia sẻ thông tin tài khoản giữa các người dùng và sử dụng các

kỹ thuật xác thực mạnh mẽ nếu có thể

Nhà cung cấp dịch vụ điện toán đám mây cung cấp một tập hợpcác giao diện hay các API để người dùng quản lý, tương tác với dịch vụđám mây của họ (dự phòng, quản lý tài nguyên…) trong khi tính bảomật, tính sẵn dùng của điện toán đám mây nói chung lại phụ thuộc vào

sự an toàn của các API cơ bản Nếu cơ chế kiểm soát truy cập và chứngthực không được thiết kế tốt thì rất dễ gặp các truy cập trái phép, độchại Ví dụ như các truy cập nặc danh, sử dụng lại mật khẩu…Nguy cơnày tồn tại trên cả ba mô hình dịch vụ của điện toán đám mây Để giảmthiểu nguy cơ này, cần phân tích mô hình an ninh của các giao diện nhàcung cấp dịch vụ, đảm bảo cơ chế xác thực và điều khiển truy cậpmạnh mẽ kết hợp với mã hóa trong quá trình truyền và cần hiểu đượcliên kết phụ thuộc với các API

2.3.2.5 Tấn công từ chối dịch vụ (DoS)

Tấn công từ chối dịch vụ gây ra tình trạng quá tải của cơ sở hạtầng, chúng sử dụng lượng lớn tài nguyên hệ thống và không cho phépkhách hàng sử dụng dịch vụ Có nhiều dạng của tấn công DoS có thểngăn cản việc sử dụng điện toán đám mây Ví dụ, kẻ tấn công có thểkhởi động cuộc tấn công DoS trên lớp ứng dụng bằng cách khai thác lỗhổng bảo mật trong các máy chủ web, cơ sở dữ liệu hoặc các nguồn tàinguyên điện toán đám mây khác để lấp đầy các ứng dụng khác với tảitrọng rất nhỏ Trải qua một cuộc tấn công từ chối dịch vụ cũng giốngnhư tắc nghẽn giao thông trong giờ cao điểm: không có cách nào đểđến được đích và không thể làm gì khác ngoại trừ ngồi và chờ đợi Vớingười dùng, ngừng dịch vụ không chỉ chống lại bạn, mà còn buộc bạnphải cân nhắc lại việc chuyển dữ liệu quan trọng lên đám mây để giảmchi phí cơ sở hạ tầng

2.2.2.6 Nguy cơ từ chính người dùng nội bộ

Hầu hết các tổ chức đã quen với các mối đe dọa từ bên trong (nộibộ), có thể là nhà cung cấp đám mây, khách hàng sử dụng đám mây haybên thứ ba Nguy cơ từ người dùng nội bộ thường gây ra thiệt hại lớnhơn so với các cuộc tấn công khác Theo CSA, ngay cả khi đã thực hiện

mã hóa, nếu không giữ bí mật khóa thì vẫn dễ bị tấn công từ ngườidùng nội bộ

2.2.2.7 Nguy cơ lạm dụng dịch vụ điện toán đám mây

Một trong những lợi ích lớn nhất của điện toán đám mây là chophép cả các tổ chức dù nhỏ vẫn có thể sử dụng nguồn điện toán lớn.Bên cạnh đó là quá trình đăng ký thuận lợi (chỉ cần có thẻ tín dụng hợp

lệ có thể đăng ký và sử dụng ngay) Một số nhà cung cấp dịch vụ điệntoán đám mây còn cho phép dùng thử dịch vụ miễn phí Nếu kẻ tấncông lợi dụng được thông tin ẩn sau quá trình đăng ký và sử dụng,người dùng có thể gặp các vấn đề về thư rác, botnet, trojan, phần mềmkhai thác… Nguy cơ này thường tồn tại ở mô hình PaaS và IaaS củađiện toán đám mây Vấn đề này đòi hỏi phải chặt chẽ trong việc xử lýđăng ký ban đầu và quá trình xác nhận; tăng cường phối hợp giám sátgian lận thẻ tín dụng; xem xét toàn bộ giao thông mạng của kháchhàng; giám sát danh sách đen trong mạng của mình

2.2.2.8 Nguy cơ do thiếu hiểu biết về an ninh thông tin

Để tiết kiệm chi phí và hưởng những lợi ích khác của điện toánđám mây, một số tổ chức vội vàng sử dụng dịch vụ này mà chưa cóhiểu biết đầy đủ về các vấn đề an ninh khi sử dụng trong mô hình này.Các tổ chức cần phải đánh giá một cách toàn diện, xem xét các hệthống nội bộ của mình, chọn nhà cung cấp đám mây đủ tiềm năng, đàotạo nhóm người dùng quen với đám mây để hiểu đầy đủ các rủi ro trướckhi chuyển sang mô hình mới này

2.2.2.9 Nguy cơ từ việc chia sẻ công nghệ

Nhà cung cấp IaaS cung cấp dịch vụ theo khả năng mở rộng bằngcách chia sẻ cơ sở hạ tầng mặc dù các thành phần như CPU, GPUkhông được thiết kế để cung cấp các kiến trúc đa thuê và cơ chế cô lậpmạnh mẽ Vấn đề chia sẻ công nghệ này tiềm ẩn nhiều nguy cơ an ninh.

Tổ chức CSA khuyến cáo sử dụng các biện pháp bảo mật sâu cho cácứng dụng, mạng, tính toán, lưu trữ, giám sát và thực thi bảo mật củangười dùng

Phần tiếp theo của luận văn tập trung đi sâu về vấn đề bảo vệ dữliệu trong điện toán đám mây

2.4 An ninh dữ liệu trong điện toán đám mây

Ngoại trừ đám mây riêng, với đám mây công cộng, đám mây lai… thìviệc giao quyền kiểm soát cho một nhà cung cấp dịch vụ đám mây bên ngoài

rõ ràng là một nguy cơ đối với an ninh dữ liệu Người dùng đám mây phảidựa trên các nhà cung cấp dịch vụ đám mây để thực hiện các tính năng bảo vệ

dữ liệu cá nhân trên đám mây

Một trong các đặc tính của điện toán đám mây là tài nguyên được chia

sẻ, nghĩa là các tài nguyên bao gồm khả năng tính toán, lưu trữ, băng thôngđược ảo hóa và chia sẻ với nhiều người dùng khác Vì thế, việc bảo vệ dữ liệu

bị giới hạn trên đám mây sẽ dẫn đến lo ngại vấn đề bảo mật so với công nghệthông tin truyền thống

Những vấn đề đe dọa đến bảo vệ dữ liệu cũng có thể thay đổi tùy theocác mức dịch vụ đám mây Các tổ chức và cá nhân có thể có nhiều quyềnkiểm soát an ninh với dữ liệu của mình ở mức IaaS nhiều hơn so với các mứcPaaS và SaaS Với người sử dụng IaaS, họ sẽ được quyền sử dụng các máy ảo

và có thể thiết lập chính sách điều kiển bảo mật cho chính dữ liệu của họ,nghĩa là dữ liệu trong máy ảo có thể được bảo vệ bởi chính người sử dụngđám mây Ở mức SaaS, người sử dụng có ít hoặc không có quyền kiểm soát

cơ sở hạ tầng đám mây, mạng, hệ điều hành và lưu trữ, họ chỉ dựa vào chínhsách bảo mật mà nhà cung cấp dịch vụ thiết lập

2.4.1 Một số vấn đề bảo vệ dữ liệu trong điện toán đám mây

Bảo vệ dữ liệu [7], [12] là vấn đề đứng đầu trong danh sách các tháchthức của điện toán đám mây hiện nay Khả năng bảo mật của nhà cung cấp làchìa khóa để thiết lập giá trị chiến lược, là xu hướng của điện toán đám mây

Theo Derek Tumulak, phó chủ tịch quản lý sản phẩm tại Vormetri: Mọingười đều muốn sử dụng điện toán đám mây do tiết kiệm chi phí và mô hìnhkinh doanh mới linh hoạt Nhưng khi nói đến an ninh đám mây, điều quantrọng là phải hiểu được mối đe dọa trong trường hợp khác nhau để vận dụng

Sau đây là một số thách thức phức tạp của an ninh dữ liệu trong điệntoán đám mây:

2.4.1.1 Vấn đề bảo mật dữ liệu (data confidentiality)

Phương pháp chung để bảo mật dữ liệu là mã hóa, tuy nhiên cần xemxét chọn chuỗi khóa và thuật toán mã hóa Khi mã hóa lượng lớn thông tin,cần lưu ý đến tốc độ xử lý dữ liệu và hiệu suất tính toán

2.4.1.2 Vị trí dữ liệu (data locatity)

Với mô hình SaaS, người dùng sử dụng phần mềm và công cụ của nhàcung cấp để xử lý dữ liệu của họ Khi đó, người sử dụng không biết dữ liệucủa mình được lưu trữ và xử lý ở đâu Đôi khi đây không phải là vấn đềnghiêm trọng Nhưng với một số tổ chức kinh doanh thì vị trí của dữ liệu làrất quan trọng

Trong một số trường hợp, nhà cung cấp dịch vụ điện toán đám mâyphải thực hiện yêu cầu phải tiết lộ dữ liệu của người dùng hoặc bàn giao thiết

bị vật lý cho bên thứ ba hoặc cơ quan pháp luật Hoặc ở một số khu vực, việc

xử lý, giao dịch dữ liệu cần phải trả phí Bên cạnh đó, một số khu vực địa lýcũng thường xuyên phải chịu các hiểm họa từ môi trường như động đất, lũlụt…ảnh hưởng đến sự an toàn dữ liệu Ví dụ như ở nhiều nước châu Âu, dữliệu bí mật không được lưu trữ ở nước khác