An toàn thông tin dữ liệu trên điện toán đám mây

AN TOÀN THÔNG TIN DỮ LIỆU TRÊN ĐIỆN TOÁN ĐÁM MÂY LUẬN VĂN THẠC SĨ KỸ THUẬT... TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI --- Phạm Hữu Thanh AN TOÀN THÔNG TIN DỮ LIỆU TRÊN ĐIỆN TOÁN ĐÁM MÂY Chuyê

AN TOÀN THÔNG TIN DỮ LIỆU TRÊN ĐIỆN TOÁN ĐÁM MÂY

LUẬN VĂN THẠC SĨ KỸ THUẬT

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

Phạm Hữu Thanh

AN TOÀN THÔNG TIN DỮ LIỆU TRÊN ĐIỆN TOÁN ĐÁM MÂY

Chuyên ngành : Kỹ thuật máy tính

LỜI CẢM ƠN iii

LỜI CAM ĐOAN iv

AN M C T VI T TẮT v

AN M C C C ẢN vii

AN M C N V vii

M Đ U 1

o n t 1

M t u t 2

P n p p n n u 2

luận v n 2

t qu 3

C ƯƠN I – CƠ ẢN V ĐI N TO N Đ M M Y 4

1.1 Khái niệm v ặ ểm b n ện to n m mây 4

1.2 Ki n trú ện to n m mây 6

1.3 Công nghệ o hóa 9

1.4 C m n v ện to n m mây 11

1.5 Các mô hình triển k ện to n m mây 14

C u ểm ện to n m mây 17

C ƯƠN II - AN TOÀN, BẢO MẬT DỮ LI U TRÊN Đ M M Y 19

2.1 M t s r ro v n uy m t n to n l ệu tron ện to n m mây 20

An to n l ệu l n qu n n k n trú v ện to n m mây 22

2.3 An to n l ệu tron o n v n l ệu 26

2.4 Công nghệ v k t uật m b o an toàn d liệu tr n m mây 28

C ƯƠN III - X Y N C V ƯU TRỮ Đ M M Y AN TO N S N OWNC OU 36

t ệu v ownClou 37

3.2 Ki n trúc gi i pháp c a ownCloud 41

Tr n ownCloud 44

C xu t tr ển k tr n t t 46

T n ệm v l u tr m mây s n OwnClou 51

sun n n b o vệ n t n n o n mật k u tron tr n n n ập ownClou 60

T UẬN 66

T I I U T AM ẢO 67

LỜI CẢ ƠN

Đầu tiên, tôi xin g i l i m n sâu sắ t i TS Trần o n , T ầy o

tr c ti p ng dẫn và t o u kiện cho tôi v th i gian, s úp tận tình v ki n

th c, s ẫn, n ng và tài liệu tham kh o quý báu

Ti p theo, tôi xin c m n Thầy, Cô trong Viện Công nghệ thông tin và Truy n thông – Đ i h c Bách khoa Hà N ã n ệt t n gi ng d y, truy n t ki n

th c cho tôi trong su t th i gian qua

Đ n n y ắ ắn k n tr n k ỏ n n thi u sót, tôi mong nhận

n n l p , b o t Thầy, C ể có thể hoàn thiện tài c a mình t t

n

N , n y t n 9 n m 6

N t ện

P ữ T

LỜI A ĐOAN

Luận v n T sĩ “An to n t n t n l ệu tr n ện to n m mây” là công trình

n n u c a cá nhân tôi Các n i dung nghiên c u và t n ệm trình bày trong luận v n l trun t c rõ ràng Các tài liệu tham kh o, n i dung trích dẫn ã rõ ngu n g c

N y t n 9 n m 6

Tác gi luận v n

P ữ T

AN T VI T T T

ACL Access Control List Danh s k ểm so t truy ập

AES Advanced Encryption Standard C u n mã l ệu t n t n

Interface

o ện lập tr n n n

DLP Data Loss Prevention C n t t t o t l ệu

HA High Availability T n s n s n truy ập o

NFS Network File System ệ t n tập t n m n

OCR Optical Character Recognition ệ t n n ận ện k t

RAM Random Access Memory n truy ập n ẫu n n

REST Representational State Tranfer n trú v W b t y t

cho SOAP

SaaS Software as a Service v n n

VMM Virtual Machine Monitor Tr n qu n l m y o

Authoring and Versioning

Hệ th ng qu n lý ch ng th c và phiên b n d tr n m tr ng Web

AN ẢN

n So s n m t s u n ểm ownClou so v Op nSt k 41

AN N V Hình 1.1 - C ặ ểm, mô hình triển khai, mô hình d ch v c ĐTĐM 4

Hình 1.2 - Ki n trú b n c ện to n m mây 7

Hình 1.3 - Ki n trúc phân l p c ện to n m mây 8

Hình 1.5 - Mô hình d ch v ện to n m mây v ng d ng th c t 11

Hình 2.1 - Biện p p m b o n to n tron v n i d liệu 28

Hình 2.2 - S s d ng mã tron ện to n m mây 30

n - C us r s k s n v ropbox 39

n - M n l u tr m mây s d ng ownCloud 40

Hình 3.3 - Ki n trúc gi i pháp c a ownCloud 43

Hình 3.4 - Ki n trúc máy ch ownCloud 44

n - M n tr ển k o t quy m n ỏ 46

n - M n tr ển k o t quy m trun b n 47

n - M n xu t o m t n v n n u 48

n - M n ệ t n ownClou t n ệm 52

n - o ện k n n ập lần ầu v o ownClou 53

n - T o n n ệ t n l u tr 54

n - o ện p ần m m m y tr m tr n W n ows 54

n - C n b o v n s l -signed 55

n - C p tập t n v o t m ể t l n m y ownClou 56

n - l ệu t m y tr m ã t l n m y ownClou 56

n - Tập t n s o n n k 57

n - Đ n n ập t k o n tr n m y l nt Ubuntu 57

n - Tập t n s n n 58

n - C u n mã l ệu tr n s rv r 58

n - T n n n mã l ệu ownClou 59

n - Tập t n mã s o n n k 59

n - o o l n tr n tr n ownClou 60

n - Qu tr n x l k b sun t m pt r v o p ần n n ập 61

n - Tr n n n ập tr k b sun n ập pt r 64

n - Tr n n n ập k b sun n ập pt r 64

n - T n b o k n n n ập s mã pt r 64

Ở Đ U

Ngày nay khi công nghệ thông tin và internet phát triển m nh mẽ kéo theo s

t n a các m n : tin tặ , mã v v t v n b o vệ n to n liệu t n s , n l m v ệc n n t n n l m t n u ầu thi t y u D ch

v l u tr m mây x m là m t gi p p ể gi i quy t v n này Ngày càng

có nhi u n i l a ch n s d ng lo i hình d ch v n y v t n ễ s d n tron v ệ

l u tr , s o l u p n d liệu, ng th un p o n i dùng k n n

s d liệu gi a nh n n i cùng s d ng d ch v , v s truy ập t ện l k o

p p ng b d liệu trên nhi u thi t b

Tuy n n, n n ặc biệt là các doanh nghiệp t ng do d khi giao phó d liệu c a mình cho nhà cung c p d ch v l u tr trên mây vì h s rằng mình

sẽ m t quy n kiểm soát d liệu n n a n uy t n tặ t n công vào nhà cung

T m ểu t n qu n v ện to n m mây

b T m ểu v n n to n, b o mật l ệu tr n m mây

T m ểu p p mã n u n m ownCloud - v l u tr m mây, r

 T m ểu v n n to n, b o mật l ệu tr n m mây r ro v

n uy m t n to n tron ện to n m mây t tr n b y n n ệ

v p p k t uật ể m b o n to n l ệu, b o mật l ệu tr n ện

mây n s u: ì n toán cho phép truy cập qua mạng

ể lựa chọn và sử dụng tài nguyên tính toán (ví dụ: mạng, máy chủ, ư , ứng dụng và dịch vụ) theo nhu cầu một cách thuận ti v a c ó , ồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các giao tiếp với nhà cung cấp Mô hình này gồm có 5 ặc ư cơ bản, 3 mô hình dịch vụ

và 4 mô hình triển khai

Nói cách khác, iện to n m mây l lo i hình ện toán tron tài nguyên

Theo n n ĩ a NIST, ện to n m mây 5 ặc ểm b n sau:

- Tự ph c v theo nhu cầu: M i khi có nhu cầu n i dùng ch cần g i yêu cầu

thông qua trang web cung c p d ch v , hệ th ng c a nhà cung c p sẽ p ng nhu cầu c n i dùng L i ích rõ nh t c a việc t ph c v là n s n có thể

nhanh chóng t cung c p ngu n tài nguyên mà không cần nh t i b phận k thuật

N i dùng có thể t ph c v yêu cầu c m n n t n t i gian s d ng server,

t n un l n l u tr … m k n ần ph t n t tr c ti p v i nhà cung c p

d ch v , m i nhu cầu v d ch v u c x l tr n m tr ng Internet

- Truy c p diện rộng: Đ ện to n m mây un p các d ch v thông qua môi

b t k n n o, v o b t k lúc nào có k t n i internet

- Tính linh ho t, m m dẻo: Đây l t t ặc biệt nh t, n i bật nh t và quan

tr ng nh t c ện to n m mây Đ l k n n u ch nh hệ th ng tùy theo nhu cầu c n i dùng, ể n n c nh n t n uy n ún v i nh ng gì h cần: không nhi u n v k n t n Khi nhu cầu t n o, ệ th ng sẽ t m

r ng bằng cách thêm tài nguyên vào Khi nhu cầu gi m xu ng, hệ th ng sẽ t gi m

b t t n uy n Đặ ểm này giúp cho nhà cung c p s d ng tài nguyên hiệu qu , tận d ng triệt ể t n uy n t a, ph c v c nhi u k n Đ i v n i

s d ng d ch v , ặ ểm trên giúp h gi m chi phí do h ch tr phí cho nh ng tài nguyên th c s dùng

- Ướ ợng d ch v : M t nhà cung c p d ch v ện to n m mây p c tính

chi phí các ngu n ầu vào c a khách hàng và h có thể s d ng d liệu n y ể xu t

n o k n ệ t n ện to n m mây t ng kiểm soát và t u hóa việc s d ng tài nguyên (m n , l u tr , x lý … V ệ s d ng tài nguyên

c theo dõi, kiểm soát và báo cáo minh b ch cho c 2 phía - nhà cung c p và

k n

- T y ợc chia sẻ: t t c t n uy n ện toán c a nhà cung c p d ch v

ện to n m mây u c dùng chung, ph c v cho nhi u k n C tài nguyên sẽ c phân ph ng tùy theo nhu cầu c n i dùng Khi nhu cầu c a

m t khách hàng gi m xu ng, thì phần t n uy n t a sẽ c tận d n ể ph c

v cho m t khách hàng khác Tuy nhiên n i dùng có c m giác v s c lập trong s d ng tài nguyên và không nhận th c chính xác v v trí ngu n tài

n uy n n s d n , n n t ể x n c v trí ngu n tài nguyên m c

t n i (ví d : qu c gia, trung tâm d liệu) Các ngu n tài nguyên bao g m l u

 Back End: n l m mây, b o m t t c ngu n tài nguyên cần thi t ể

có thể cung c p d ch v ện to n m mây n h tầng phần c ng (máy ch , thi t b m ng, các thi t b l u tr … các d ch v và ng d ng mà m mây cung c p T t c các thành phần này sẽ c qu n lý tập trun v c b o

vệ khỏi các m a t bên ngoài bằng cách triển khai các mô hình qu n

lý và th c thi chính sách b o mật

Hình 1.2 - Ki rú b n c ệ ây

Theo cách nhìn phân l p, m mây có ki n trúc 4 l p n tr n n 1.3 bao

g m: Phần c ng và m ng, D ch v , Truy cập và N n tron m i l p l i có các l p con v i vai trò khác nhau Ví d trong l p phần c ng và m ng có các l p t nguyên con: phần c ng, o hóa v ng d ch v Trong l p con tài nguyên phần

sàng c s h tầng phần c n Đ u n y m b o rằng có nhi u b n sao c a các

ng d n , ể khi x y ra l i chúng s n sàng khắc ph c

Máy ch o phân tán quá trình x l v o s h tầng phần c ng và sau khi quá trình tính toán c hoàn thành chúng sẽ tr v k t qu Quá trình này cần có

m t phần m m hoặc hệ u hành x lý công việc qu n lý hệ th ng phân tán, gi ng

n k thuật t n to n l i, giúp qu n lý các yêu cầu k n u n máy ch o C

ch này sẽ m b o việc t o ra nhi u b n sao và c việc b o vệ s th ng nh t d liệu l u tr n s h tần Đ ng th i hệ u hành c ng có thể t u ch nh khi gặp quá t i Các ti n trình phân chia x l ể o n t n p ng yêu cầu Hệ

th ng qu n lý công việ n vậy trong su t v n i dùng, hay nói cách khác là n

v n i dùng S c lập v n i dùng thể hiện ch nó x lý và tr v k t qu

t c, ch không quan tr ng nó x lý âu v bằng cách nào N i dùng tr

ti n d a trên “k i l ng” s d ng hệ th ng hay d ch v Th c t s ti n mà khách hàng ph i tr t n c tính d a vào s l ng CPU dùng trên m t gi hoặc s

Gb d liệu di chuyển trong m t gi

Hình 1.3 - Ki n trúc phân lớp c ệ ây

L p d ch v cung c p các d ch v k n u o n i dùng có thể là nh ng phần m m c lập hoặc k t h p v i các d ch v k ể th c hiện t n t v i

nhau Ngoài ra nó có thể cung c p s k t h p gi m y t n ể th c thi m t

n tr n ng d ng theo yêu cầu c n i dùng Đ u quan tr ng là các ng

d ng c cung c p luôn luôn s n sàng cho phép k n s d ng ngay mà không cần ph ặt, vận hành hay duy trì ng d ng t i máy tính cá nhân c a mình Việc này giúp lo i bỏ c các chi phí b o trì, vận n n tr n ng

m uyển chuyển và linh ho t r t o m k n ỏ n i dùng ph i có ki n

th c chuyên sâu v các tài nguyên vật lý nằm Tron m tr ng o hóa, các

t n uy n ện toán có thể c t o r , t y k t c, hoặc di chuyển m t

l n ng khi nhu cầu bi n i Ảo hóa cung c p nh ng l i th quan tr ng trong việc chia s , qu n lý và t b ệt t n uy n ện to n (kh n n o p p nhi u n i dùng và ng d ng có thể chia s các tài nguyên vật lý mà không gây ra

n ng lẫn n u m mây Công nghệ o hóa không ch gi i h n máy o (virtual machine) Ảo n c áp d n i v l u tr , k t n i m ng và ng

d ng

T t c t n uy n o c qu n lý b tr n qu n l m y o - VMM (V rtu l M n Mon tor y n l yp rv sor Hypervisor là m t phần m m nằm ngay trên phần phần c ng hoặ b n Đ n ằm m ung c p các

m tr ng tách biệt g i là các phân vùng – partition M i phân vùng ng v i m i máy o - VM có thể ch y Đ c lập V b n ch t VMM n c chia làm

2 lo i n n ây:

1.4 - r y V

- o VMM n v tr l m t tr n s u qu n l ( yp rv sor y trên phần c ng p phần m m Hypervisor ch y tr c ti p trên n n t ng phần

c ng c a máy ch , không thông qua b t kì m t Đ hay m t n n t ng nào

k Qu , yp rv sor n y k n n u khiển, kiểm soát phần

c ng c a máy ch Đ ng th , n n k n n qu n lý các Đ ch y trên nó Nói cách khác, các Đ sẽ ch y m t l p nằm phía trên các Hypervisor M t s ví d v các hệ th ng Hyp rv sor lo n l Or l

VM, VMware ESX Server, IBM's POWER Hypervisor (PowerVM), Microsoft's Hyper-V ( / , C tr x X nS rv r…

- o VMM n v tr n m t phần m m trung gian ch y tr n Đ ể chia s tài nguyên v Đ L p Hypervisor ch y trên n n t ng Đ , s

d ng các d ch v c Đ cung c p ể phân chia tài nguyên t i các máy

o N u xem Hypervisor này là m t l p phần m m riêng biệt, thì các Đ

c a máy o (Guest OS) sẽ nằm trên l p th 3 so v i phần c ng máy ch M t

s v v ệ th n yp rv sor lo t ể kể n n VMw r S rv r, VMw r Workst t on, M roso t V rtu l S rv r…

1.4 ệ ây

Đ ện to n m mây un p d ch v theo các mô hình khác nhau Trên th c

t có khá nhi u mô hình khác nhau tuy nhiên t o n n ĩ NIST ện toán

m mây mô hình d ch v : d ch v phần m m (Software as a Service – SaaS),

d ch v n n t ng (Platform as a Service – PaaS) và d ch v s h tầng (Infrastructure as a Service – I S p ân n y n c g i là mô hình SPI

M i mô hình ph c v m t m k n u M t doanh nghiệp có thể ch n ể

s d ng ch m t, hai hoặc thậm chí t t c ba lo i mô hình d ch v m mây ng

th i n u n n u ầu

Hình 1.5 - Mô hình d ch v ệ ây và các ng d ng thực t

- SaaS: có kh n n o k n s d ng các ng d ng nhà cung c p d ch

v m mây (CSP ung c p trên m t s h tần ện to n m mây C ng

d ng có thể truy cập t các thi t b khác nhau c a khách hàng hoặc thông qua m t giao diện Thin client, chẳng h n n m t trình duyệt web, hoặc m t giao diện

n tr n D ch v ng d ng (SaaS) là m t mô hình d ch v phần m m triển

k qu Int rn t, tron , S S sẽ cung c p gi y phép m t d ch v cho khách hàng

ể s d ng m t ng d ng theo yêu cầu, hay còn g l “p ần m m theo yêu cầu”

Mô hình SaaS cho phép các nhà cung c p phát triển, l u tr và vận hành phần m m ể khách hàng s d ng Thay vì mua các phần c ng và phần m m ể

ch y m t ng d ng, khách hàng ch cần m t máy tính hoặc m t máy ch ể t i ng

d ng và truy cập nt rn t ể ch y phần m m Phần m m này có thể c c p phép cho m t n i dùng duy nh t hoặc cho m t n m n i dùng

SaaS cung c p phần m m n m t d ch v trên Internet, không cần ặt hay ch y n tr n tr n m y t n p k n N ng ng d ng cung c p

o k n ặt, c u hình trên máy ch t x Đ ng th i công việc b o

tr n n v ng dẫn t nhà cung c p

SaaS có thể c chia thành hai lo i chính:

 Cung c p cho doanh nghiệp Đây l n ng gi p p k n o n c cung

c p cho các công ty và doanh nghiệp C ún c cung c p thông qua doanh nghiệp n k ch v Các ng d n c cung c p thông qua hình th c trên bao g m các quá trình kinh do n n qu n lý dây chuy n cung c p, quan hệ khách hàng và các công c ng kinh doanh

 Cung c p cho cá nhân: Các d ch v n y c cung c p cho công chúng trên

s t u b o n k Tuy n n, c cung c p miễn phí và h tr thông qua qu ng cáo Ví d trong lo i hình này g m có d ch v web mail,

m tr c tuy n, và ngân hàng c n i tiêu dùng, và nhi u kiểu khách hàng khác

không cần ph i t i v y ặt phần m m Nó h tr việc phát triển ng d ng mà không cần qu n tâm n s ph c t p c a việc trang b và qu n lý các l p phần c ng

và phần m m b n i D ch v PaaS có thể c cung c p i d ng các ng

d ng l p gi a (middleware), các máy ch ng d ng (application server) cùng các công c lập trình v i ngôn ng lập trình nh t n ể xây d ng ng d ng D ch v PaaS n t ể c xây d ng riêng và cung c p cho khách hàng thông qua m t API riêng Khách hàng xây d ng ng d n v t n t v i h tần ện to n m mây t n qu API

Tùy ch n PaaS có ba lo i khác nhau:

 M tr ng phát triển b sung (Add-on v lopm nt l t s Đ u này cho phép các ng d n S S c l a ch n T n t ng, các nhà phát triển PaaS và k n c yêu cầu n k o ng d ng SaaS

 M tr n c lập (Stand-alone environments): Nh n m tr ng không cung c p gi y phép, k thuật

 M tr ng ch phân ph i ng d ng (Application delivery-only environments): Nh n m tr ng h tr d ch v l u tr theo c p , n

kh n n m r ng theo nhu cầu b o mật n n k n b o m nhiệm v phát triển, g l i, và kiểm tra

t n uy n C t n uy n n y t n c o hoá, chu n hoá thành m t s c u

n tr c khi cung c p ể m b o kh n n l n o t trong qu n tr n n

tr t ng hoá C n t n t n ch v n n t ng, o hóa là m t p n p p

t n c s d n ể t o ra b n phân ph i các ngu n tài nguyên theo yêu cầu tron v tần Các nhà cung c p v s h tầng l n bao g m IBM Bluehouse, VMware, Amazon EC2, Microsoft Azure Platform, Sun ParaScale Cloud Storage Nhà cung c p d ch v ch kiểm soát l p phần c n i cùng còn toàn b l p tài nguyên o hóa cung c p o k n n n ệ u hành và

ng d n l o n i dùng qu n lý

Ba mô hình d ch v IaaS, PaaS, SaaS có m i liên hệ chặt chẽ v i nhau trong

t ng thể m t h tầng ện to n m mây V i IaaS là n n t ng, PaaS c xây d ng

d a trên IaaS và SaaS l c xây d ng d a trên PaaS S khác biệt b n gi a các d ch v là kh n n khách hàng có thể u khiển hay kiểm so t i v i t

n uy n t n to n m CSP un p SaaS cung c p kh n n k ểm soát ít nh t trong khi IaaS cung c p kh n n k ểm soát nhi u nh t cho khách hàng

1.5 Các mô hình triể k ệ ây

Khi các t ch c và doanh nghiệp mu n triển khai áp d n ện to n m mây vào các ho t ng qu n lý hay kinh doanh thì tùy theo yêu cầu s d ng và kh n n tài chính h có thể xem xét, l a ch n th c hiện triển khai hệ th n ện to n m mây theo 4 mô hình m NIST ã r s u ây

 Đ ây r (Private Cloud)

Các m mây riêng là các d ch v m mây c cung c p trong doanh nghiệp Nh ng m mây này t n t i bên trong t ng l a công ty và chúng c doanh nghiệp qu n lý Các doanh nghiệp có thể s d n n k thuật c a mình

ể xây d ng hoặc có thể thuê nhà cung c p d ch v m mây ể th c hiện Các v n

k k n v p a việc thi t lập m t m mây r n k t ể có chi u

n n n n việc xây d ng và s d ng hệ th ng lo i này Ngoài ra chi phí h tr

ho t ng liên t c c m mây r n t ể v t quá nhi u lần chi phí c a việc s

 Đ ây cộng (Public Cloud)

Các m mây công c ng là các d ch v m mây c m t bên th ba (ng i bán) cung c p cho nhi u n i s d ng r ng rãi Các nhà cung c p m mây ch u trách nhiệm cài ặt, qu n lý, cung c p và b o trì Các d ch v th ng c cung c p

v i “các quy c v c u hình” n ĩ l ún c phân ph i v t ng cung c p

tr ng h p s d ng ph bi n nh t Các tùy ch n c u n t ng là m t tập h p con nhỏ n so v i nh n m ún ã n u ngu n t n uy n ã n i dùng kiểm soát tr c ti p Khách hàng c tính phí cho các tài nguyên mà h s

d ng và ch có quy n truy cập vào tài nguyên c c p phát

N i s d ng d ch v m mây n ng sẽ ng l i ích là không m t

p ầu t b n ầu n n p vận hành, b o trì do nhà cung c p d ch v

ã n v Tuy nhiên m mây n ng có r i ro l v n m t kiểm soát v

d liệu và v n an toàn d liệu c n i dùng Trong mô hình này m i d liệu

c a n i dùng d ch v m mây do nhà cung c p d ch v m mây b o vệ và

qu n l C n u này khi n cho khách hàng, nh t là các công ty l n c m th y

k n n to n i v i nh ng d liệu quan tr ng c a mình và h t ng không s

d ng d ch v m mây n ng M t u khác cần l u l k n i dùng yêu cầu có quy n kiểm so t s h tầng, hoặc ỏi nhà cung c p tuân th các quy

nh an ninh chặt chẽ thì công việc c a rõ ràng h không thích h p cho việc s d ng

m mây ông c ng

 Đ ây Hybrid Cloud)

N ún t ã p ân t trên, m mây n ng dễ áp d ng, chi phí

th p n n k n n to n N c l i, m mây r n n to n n n n t n chi phí

và khó áp d n o n u k t h p c hai mô hình này l i v i nhau thì sẽ khai

t u ểm c a t ng mô hình C m mây l l âu tr l i khi m t doanh nghiệp cần s d ng các d ch v c a c m mây r n v n ng

Nh ng m mây lai th ng do doanh nghiệp t o ra và các trách nhiệm qu n

lý sẽ c phân chia gi a doanh nghiệp và nhà cung c p m mây công c ng Đ m mây lai cung c p các d ch v có trong c không gian công c ng và riêng

T o ng này, m t doanh nghiệp có thể l a ch n phía m mây n ng hay riêng d a trên các m c tiêu và nhu cầu c a các d ch v cần triển khai M t m mây l c xây d ng t t có thể ph c v các quy trình nhiệm v quan tr ng c a doanh nghiệp có yêu cầu cao v tính n n , n to n, n n n ng ng d ng có

d liệu quan tr ng

H n ch chính v i m n m mây này là s k k n tron v ệc t o ra và

qu n lý m t ng d ng trên c hai phía công c ng và riêng sao cho ng d n thể k t n , tr o i d liệu ể ho t ng m t cách hiệu qu Mặc khác hệ th ng có thể ti p nhận c và cung c p các d ch v l y t các ngu n k n u n t ể chúng có chung ngu n g c, hay ph c t p n l tr t n t a các thành phần r n v un o ây l m t khái niệm ki n trú t n i m tron ện

to n m mây, n n ện th c và các công c h tr mô hình này vẫn n c nghiên c u

 Đ ây ộ ồng (Community Cloud)

Đ m mây c n ng l m n tron s h tần m mây c chia

s b i m t s t ch c cho c n n n i dùng trong các t ch C t ch c

có thể có m qu n tâm un n un m , y u ầu an ninh, chính sách

Nó có thể c qu n lý b i các t ch c hoặc m t bên th ba Đám mây c n ng

t ng c thi t lập b i m t s t ch c có yêu cầu t n t và tìm cách chia s

s h tần ể khai thác các l i ích c ện to n m mây

Doanh nghiệp có thể l a ch n m t m n m mây trong s ể triển khai các ng d ng trên tùy theo nhu cầu c thể M m n u ểm m nh và y u

c a nó Các doanh nghiệp ph i cân nhắ i v i các mô hình m mây mà h ch n

và h có thể s d ng nhi u m n ể gi i quy t các v n khác nhau Nhu cầu v

m t ng d ng có tính t m th i có thể triển khai trên m mây n ng b i vì nó giúp gi m chi phí mua thêm thi t b ể gi i quy t m t nhu cầu t m th i Trong khi nhu cầu v m t ng d n t ng trú hoặc m t ng d ng có nh ng yêu cầu c thể

v ch t l ng d ch v hay v trí c a d liệu thì nên triển khai trên m mây r n hoặ m mây l

 Giảm chi phí: Doanh nghiệp sẽ có kh n n ắt gi m chi phí tron v ệ mua

b n, ặt và b o trì ệ t n Rõ ràng thay vì việc ph i c m t chuyên gia

mu m y , ặt v b o trì máy ch thì nay o n n ệp chẳng cần

ph i làm gì ngoài việ x nh chính xác tài nguyên mình cần và yêu cầu

n un p v m mây Ưu ểm m v n n mang l i cho khách hàng là chi phí sẽ th p n p ần m m c p phép Các d ch v SaaS

t n n n t t kiệm chi phí l n nh t b i khi s d ng SaaS khách hàng sẽ

lo i bỏ nh ng công việc th c s không cần thi t cho các doanh nghiệp n

ặt và duy trì phần c ng, tr công cho nhân viên, và duy trì các ng d ng

Doanh nghiệp tr chi phí theo m s d ng hàng tuần, hàng tháng mà không ph i tr toàn b phí b n quy n ngay t ầu Ngân sách c a doanh nghiệp không ph i gánh m t kho n ầu t b n ầu l n mà sẽ chi tr dần dần

v t n l n k t c s có nhu cầu

 Giảm độ phức tạp trong cơ cấu của doanh nghiệp: Doanh nghiệp s n xu t

hàng hóa mà l i ph i có n IT ể vận hành, b o trì ệ t n thì sẽ t n kém N u thuê khoán bên n o c quá trình này thì doanh nghiệp sẽ ch tập trung vào việc s n xu t hàng hóa chuyên môn c a mình và gi m b t c

ph c t p tron u V ệ s n ện to n m mây o n n ệp sẽ

k n ần p t u ẳn n IT ể vận n ệ t n

 Tăng khả năng sử dụng tài nguyên tính toán: M t trong nh ng câu hỏ u

ầu c a việc ầu t t n uy n (v máy ch ) là bao lâu thì nó sẽ h t kh u

o, ầu t n t có lãi hay không, có b l c hậu v công nghệ hay không Khi s d n t n uy n tr n m mây t o n n ệp không còn ph i quan tâm t i v ệ s n v tận n t n uy n t n to n n

t luận n ầu t n n y n n t ện ã tr n b y k n

t b n ện to n m mây, ểu k n trú n u l p p t p v n

n ệ lõ ện to n m mây - o m n v m ện to n m mây un p n n m n tr ển k k t , o n n ệp mu n n

ƯƠN II - AN TOÀN, BẢO MẬT DỮ LI U TRÊN Đ Y

An toàn, b o mật d liệu là m t trong nh ng m qu n tâm n i v i t

ch c và doanh nghiệp khi xem xét di chuyển hệ th ng phần m m c a mình lên m t

s h tần m mây B o m an toàn d liệu tron ện to n m mây l n qu n

t i nhi u k thuật b o mật khác nhau ch không ch là việc mã hóa d liệu Trong

n n y, án tr c h t sẽ ch ra m t s n uy v r i ro chính gây m t an toàn d liệu s u tìm hiểu các công nghệ, các k thuật ể b o m n to n d liệu

Tron ện to n m mây t n b mật l n qu n n v n liệu c a khách

n c b o vệ n t nào? Ngoài khách hàng, d liệu t ể b xem tr m

b i chính nhà cung c p hay nh ng khách hàng khác không? Các nhà cung c p có

t các ch ng nhận c a các t ch c th b n v b o mật hay không? T n

s n s n l n qu n n v ệ ng d ng cung c p tr n ện toán mây luôn s n sàng

p v hay không? N u x y ra s c , th i gian khôi ph c d ch v m t bao lâu? Nhà cung c p d ch v t n ể cung c p lâu dài cho khách hàng? Ch

b o hiểm d liệu ra sao n u nhà cung c p ng ng d ch v vì lý do tài chính? Ngoài các v n tr n t k n n phòng ch ng t n công nhà cung c p d ch v t

n o n un p v có minh b ch cung c p hiện tr ng ph c v u tra và

t n t n n các khách hàng không?

2.1 ộ r r y ữ ệ r ệ mây

Các v n n to n v b o mật p t s n tron ện to n m mây y u là

do k n k n c quy n kiểm soát c i v s h tầng vật lý c a

m mây N i dùng không bi t d liệu c a h l u tr vật lý n n o v

ch b o mật n o r ể b o vệ d liệu Tron p ần n y sẽ tr n b y

r ro v n uy m t n to n l ệu tron ện to n m mây l m lo n

n v k n k s n v ện to n m mây C r

ro v n uy n t t t k , m n v o t n ện to n m mây (y u t bên trong) n o r n t ể bắt n u n t t n tặ t n n v o n un p

k s n v b n un p t n y u ầu k n un p t n t n

c a h sẽ l u tr cùng v i d liệu nh ng khách hàng khác m k n s

t b ệt (isolation) n n n k n u luật p p v n to n l ệu

n k n u Trong ho t n ện to n m mây việc xóa và di chuyển

d liệu m mây n t m t n r i ro, v tr n m mây p ần c n c c p phát cho khách hàng d a trên nhu cầu c a h R i ro c a d liệu k n c xóa hoàn toàn t nh n n l u tr t ể ph c h i l sẽ t n l n tron

m mây n t ể ặp r ro m t k ểm so t o n to n l ệu tron

tr n p m y v m n n un p ặp tr trặ oặ tron tr n

p n un p n n un p v

 N n n uy l n qu n n v n s h u d liệu n ần quan tâm xem xét tron ện to n m mây Tron m tr n ện to n m mây t n t n uy

n ng t i việc s h u d liệu khi di chuyển n m t tài nguyên ra b t k hệ

th ng bên ngoài nào Có m t s khác biệt b n gi a n i s h u d liệu và

s d ng d liệu V i m t m mây n ng các nhà cung c p ện to n m mây có thể ch u trách nhiệm c hai vai trò: v l n i s h u d liệu và v a là

n i s d ng d liệu Nhà cung c p ện to n m mây p m b o cho

n i ch s h u d liệu bằn v ệ r m t rõ ràng các th t c an ninh

c nêu trong các thỏa thuận m c d ch v c a h Trách nhiệm c a nhà cung

c p d ch v m mây l p tuân theo nh ng yêu cầu truy cập c n i ch s

h u d liệu d a trên s phân lo i d liệu Nh ng trách nhiệm n vậy ph i có trong h p ng và bắt tuân t o v c kiểm toán nghiêm ngặt N i ch s

h u d liệu ph i yêu cầu các nhà cung c p d ch v m mây m b o rằng d

liệu c s o l u a h không b tr n lẫn v i d liệu c a các khách hàng khác khi s d ng các d ch v m mây

 M y l u tr n un p v m mây n t ể b t n tặ t n

n v t ể b lây n ễm mã n ắp l ệu Nh ng r ro o n i dùng khi các máy o b nhiễm mã l l ệu b n ắp v r r ần ây

2.2 A ữ ệ k rú ệ mây

sách v an toàn m c này là r t ph c t p vì nhi u n s k n u p ặt lên cùng m t m tr ng phần c ng (vật lý) Nh ng m a an toàn m c này có thể liên quan t i máy ch o (V rtu l M n n l virus và các phần m m c

h i khác Nhà cung c p d ch v ch u trách nhiệm chính v gi i pháp cho v n này

V n này hiện nay khách hàng thuê bao không thể can thiệp gì vì nhi u máy ch

o chia s cùng tài nguyên vật l n CPU, b nh , ĩ … M i ánh x vật lý-máy

o, máy o-vật l u thông qua m t “b o ”, n u b này b phần m m c h i kiểm soát thì toàn b khách hàng tron m mây sẽ b cùng m t m i hiểm h n nhau

Ảo hóa, có thể gi m t phần an toàn c a các tài nguyên máy tính tr n v ệ

n t ệp tr t p v o p ần n v m n C m y o n t ể b n ễm mã

v t ể b s n l m n t n n r n o v vậy n un p

v ần x m x t t c hiện m t quá trình qu n lý máy o ể qu n lý việc t o ra,

l u tr và s d ng máy o

m c trung gian, d ch v n n t ng (PaaS) d a trên d ch v tần i (IaaS)

và cung c p d ch v c a mình cho tầng trên nó (SaaS) m c này, các d ch v hay tiện ích v an toàn có thể ặt thêm hoặc c u hình t các d ch v c cung

c p t tầng i N i dùng có thể qu n tr phần thuê bao c m n ể t o ra môi

tr ng th c thi các ng d ng Hiện nay, d ch v PaaS c m mây a trên mô hình ki n trú ng d ch v (SOA) vì vậy nh n n uy v an toàn gi ng hệt n

nh n n uy n to n a SOA n t n công t ch i d ch v và nhi u cách t n công khác Vì d ch v n n t ng là d ch v t u b o, n u n n n n xác th c, ch ng th c là r t quan tr ng Trách nhiệm b o mật và an toàn trong

tr ng h p n y l n qu n n c nhà cung c p, n t u b o v n i dùng Các

d ch v PaaS ph i cung c p m tr n ể phát triển ng d ng bao g m ch n n tác nghiệp, các ch n n n to n v qu n lí hệ th ng Nhà cung c p cần bắt bu c ch ng th ể truy cập các d ch v P S, n i thuê bao có trách nhiệm phát triển hay cung c p các ch n n b o mật cần thi t t n qu ch ng

th un v n i dùng ph i có trách nhiệm b o vệ tài kho n n n ập cá nhân

an ninh ây l n qu n n b o mật d liệu, rò r thông tin nh y c m v n uy

b t n công t ch i truy cập… Tr n ệm v n to n c chia s cho nhà cung

c p h tần m mây v n ung c p d ch v phần m m N n ầu cu i (end user) ch l n i dùng phần m m v i các l a ch n c u n k n u c cung c p b i n un p v nên không có nhi u vai trò trong an toàn hệ

th n N i dùng cu i ch bi t tin vào nhà cung c p phần m m và các cam k t c a nhà cung c p v trách nhiệm b o mật T n t ng các cam k t này có thể l u kho n trong h p ng thuê bao phần m m, n l n to n t n t n v t l ng

d ch v C ún t ng bao g m un l ng d liệu, toàn v n d liệu, chính sách

v p ân t n, s o l u v p c h i d liệu khi có s c , tin cậy, t n r n t v n toàn m ng cùng v i các cam k t khác v ch t l ng d ch v n un l n ng truy n, tính s n dùng m c này, các phần m m c cung c p trên n n web (web-

b s ppl t on C w b n y t n ặt máy ch o tr n m mây, o nên chúng ph c kiểm tra bằng cách quét các y u ểm web nh vào m t ng

d n qu t n o C t ng l a có thể n ể n n ặn các t n công vào

ểm y u ã b t c a các phần m m n n web Nh ng công việc này thu c v nhà cung c p phần m m hoặ m mây, n i dùng cu i nhi u lắm là tham gia vào l a

ch n các c u hình (option) khác nhau mà thôi Đặ ểm n y ỏ các nhà cung

c p ph i có nh ng chính sách chung bắt bu c và cách kiểm soát sao cho nh ng c u hình an toàn, b o mật ph i nh t quán, chặt chẽ và không có l h ng Trong mô hình SaaS th c thi và duy trì an ninh là trách nhiệm chung gi a các nhà cung c p ện

to n m mây v un p d ch v Mô hình SaaS k th a các v n an to n c

th o luận tron m n tr c vì nó là c xây d ng bên trên hai mô hình IaaS và PaaS bao g m c d liệu qu n lý an ninh và an ninh m ng

 An toàn truy n d liệu: ki n trúc phân tán, chia s ngu n t n uy n un

l n l n v ng b máy o dẫn t i kh l ng d liệu l n c truy n tron ện to n m mây, o y u ầu m ng riêng o (VPN) b o vệ

hệ th ng ch ng l i các t n n n ặn bắt, gi i m o, t n công k ng

gi a MITM (Man – In – The – Middle) và t n công kênh k

 T ng l T ng l a b o vệ s h tần m mây b n tron a nhà cung

c p d ch v ch ng l i k t n công t bên trong và bên ngoài Chúng có thể cho phép cô lập các máy o, l t o a ch IP và c n , n n ặn t n công

t ch i d ch v …

 C u hình an toàn: c u hình các giao th c, hệ th ng và k thuật ể m b o

m c yêu cầu an toàn mà không n ng t i hiệu n n

Đ m b o an toàn o ện lập tr n n n ần tập trung gi i pháp an toàn cho o ện qu n tr và giao diện n n M t s y u ầu ần m b o

 API: Giao diện lập trình cho việc truy cập các tài nguyên và hệ th ng o hóa cần c b o vệ ể n n ặn các k t tr p p

 Giao diện qu n tr : cho phép kiểm soát truy cập t xa trong IaaS (qu n lý máy o), phát triển cho PaaS (lập trình, triển khai, kiểm th ) và công c ng

d ng cho SaaS (kiểm soát truy cập n i dùng, c u hình) ần ặ b ệt ú

v n k ểm so t l n

 Giao diện n i dùng: giao diện n i dùng cu i ph c v cho việc s d ng tài nguyên c c p ần p tr n l b k t s n l m

n t n n

 C n un p v ần p n p p xác th c, c yêu cầu cho phép truy cập m mây v i phần l n d ch v d a trên các tài kho n

Để m b o an toàn o hóa cần m b o phân lập n uy a các máy o,

tr n qu n l - hypervisor và các v n k l n qu n n công nghệ o hóa V ệ phân lập v mặt logic song t t c các máy o u dùng chung phần c ng và cùng tài

n uy n o t n tặc có thể khai thác l m rò r d liệu và t n công qua các máy o lẫn nhau o việc phân lập ần áp d ng cho t n uy n t n to n, l u tr

2.3 A ữ ệ r ờ ữ ệ

V n i d liệu cập n toàn b quá trình t t o ra d liệu o n phá

h y d liệu M o n tron v n l ệu ỏ k t uật, quy tr n

k n u ể m b o n to n l ệu

Đ v o n t o r l ệu t ần t t p t ện p ân lo l ệu

v p ân quy n t o t v l ệu V ệ p ân lo l ệu l b r t b n

úp p n p b o vệ Phân lo i yêu cầu t o ra các l p d liệu nh t nh

có thể c truy cập tron ện to n m mây d a trên phân quy n Không ph i t t

c d liệu u giá tr n n u v k n p i t t c l ệu u yêu cầu cùng

m b o vệ Việc phân lo i d liệu sẽ c d tr n n r i ro và trên tác

ng nguy h , n n m t mát d liệu V c t ể p ân v n n ãn

l ệu ần b o vệ t n lo n y m, mật v t mật V ệ p ân lo sẽ giúp xác

nh các mô hình và k thuật b o mật theo t ng m ần b o vệ l ệu

N o v ệ p ân lo l ệu ần t n n n quy n t n n v

l ệu s u k t o r Các quy n có thể c gán cho cá nhân oặ nhóm và có thể

gi i h n truy cập n các thi t b khác nhau

o n l u tr d liệu diễn ra ngay lập t c sau khi d liệu c t o ra và

v o t t b l u tr D liệu có thể l u tr d n b n ầu hoặc có thể

c mã hóa tùy theo m phân lo tron o n t o r b n ầu o n này, có thể s d ng các gi i pháp an ninh n k ểm so t truy cập và mã hóa d liệu Truy cập t i d liệu ch c cho phép b i nh n n i có th m quy n, t n ng

ninh có thể s d ng các kiểu truy cập khác nhau n d tr n nh danh, vai trò, nhóm Mã hóa d liệu t n t n c s d ng cho nh ng d liệu quan tr ng

D liệu mã hóa t n l u tr có thể c ti n hành b i m t hoặc nhi u m n

Tron o n s l ệu ần p p n r r l ệu o

t ện ể b o m n to n l ệu

o n b o trì d liệu bao g m việc ph c h i d liệu v l u tr d liệu,

ần xem xét các kiểu thi t b n liệu l u tr , các yêu cầu vật lý liên quan

n qu tr n l u tr , mã c s d n n n qu n lý khóa M t s

b ện p p c s d n tron o n này l mã hóa d liệu và qu n lý các t

n uy n p ần n

o n p y l ệu, m b o việc xóa bỏ hoàn toàn d liệu v m

b o cho d liệu c an toàn sau khi xóa Nhà cung c p d ch v ện to n m mây

n n r s khẳn n ã p y d liệu (bao g m c các b n s o l u v ng minh kh n n k n t ể ph c h i nh ng d liệu C b ện p p t n s

n tron o n n y l k t uật x n to n s n mật mã Để gi m nguy

o v ệc phá h y không hoàn toàn d liệu, việc kiểm soát tìm ki m n i dung trên

m mây ần c áp d ng n r b ện p p m b o n to n l ệu tron o n v n l ệu

Hình 2.1 - Biệ m b o an toàn r ời dữ liệu

Tron o n v n l ệu u ần p b ện p p k t uật

n n ệ ể m b o n to n l ệu tron p ần s u ây sẽ tr n b y t t n

k n p mã l ệu qu n tr n tr k l n oặ m t s n