Hiện nay, công nghệ thông tin ngày càng phát triển, chúng ta ứng dụng công nghệ ở khắp mọi nơi, hầu hết các ngành nghề, công việc đều có sự tham gia của công nghệ. Trong những năm gần đây nền tảng Ảo hóa và Điện toán đám mây đã có sự phát triển với quy mô nhanh chóng. Nền tảng này giúp cho cá nhân, tổ chức hay doanh nghiệp có sự tiết kiệm đáng kể về chi phí phần cứng, chi phí hoạt động. Ngoài ra còn được cải thiện về sức mạnh tính toán, chất lượng dịch vụ và sự thuận lợi trong kinh doanh.
Trang 1MỤC LỤC
MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 2
1.1 Khái niệm chung 2
1.2 Ưu và nhược điểm 3
1.2.1 Ưu điểm 3
1.2.2 Nhược điểm 4
1.3 Các loại hình đám mây 4
1.3.1 Đám mây công cộng 4
1.3.2 Đám mây riêng 5
1.3.3 Đám mây lai 5
1.3.4 Đám mây riêng 5
1.4 Đặc điểm của điện toán đám mây 5
CHƯƠNG 2: AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ ĐÁM MÂY 7
2.1 Khái niệm chung 7
2.2 Các phương pháp tấn công trong công nghệ đám mây 7
2.2.1 Các cuộc tấn công ngang hàng 7
2.2.2 Các cuộc tấn công cấy mã 7
2.2.3 Xác thực bị phá vỡ 8
2.2.4 Cấu hình bảo mật sai 9
2.2.5 Lỗ hổng của bên thứ ba 9
2.3 Các phương pháp chủ đạo tấn công kho dữ liệu trong công nghệ đám mây 10
Trang 22.3.3 Giả mạo yêu cầu từ phía máy chủ 11
2.4 Một số phương pháp khắc phục rủi ro 11
CHƯƠNG 3: THIẾT LẬP MÃ HÓA 13
3.1 Thiết lập mã hóa 13
Trang 3MỞ ĐẦU
Hiện nay, công nghệ thông tin ngày càng phát triển, chúng ta ứng dụng công nghệ
ở khắp mọi nơi, hầu hết các ngành nghề, công việc đều có sự tham gia của công nghệ Trong những năm gần đây nền tảng Ảo hóa và Điện toán đám mây đã có sự phát triển với quy mô nhanh chóng Nền tảng này giúp cho cá nhân, tổ chức hay doanh nghiệp có sự tiết kiệm đáng kể về chi phí phần cứng, chi phí hoạt động Ngoài ra còn được cải thiện về sức mạnh tính toán, chất lượng dịch vụ và sự thuận lợi trong kinh doanh
Tuy nhiên cùng với sự phát triển và lợi ích được mang lại thì song song với đó là vấn đề an ninh, an toàn bảo mật dữ liệu trở nên cấp thiết Do sự đặc trưng riêng của nền tảng khi sử dụng các biện pháp an ninh thông tin vật lý truyền thống như tường lửa thì có thể sẽ làm hạn chế khả năng tính toán của nền tảng hay thậm chí có thể tạo ra các lỗ hổng bảo mật nghiêm trọng và dễ bị khai thác
Nhóm chúng em tìm hiểu về đề tài “An toàn bảo mật trong công nghệ đám mây”.
Với mong muốn tìm hiểu và có kiến thức rõ ràng hơn về những nguy cơ, thách thức và phương hướng bảo mật an toàn trong công nghệ đám mây Bản báo cáo này được nhóm chúng em hoàn thành qua quá trình nghiên cứu, học tập trong suốt kỳ học vừa rồi và nhận được sự chỉ dạy, hướng dẫn tận tình của thầy Mạc Văn Quang
Do trình độ kiến thức và kinh nghiệm còn hạn chế cho nên đề tài còn nhiều sự thiếu sót và chưa được hoàn thiện Nhóm chúng em kính mong nhận được sự thông cảm
và chỉ bảo thêm của thầy cô để đề tài và vốn kiến thức của chúng em có thể hoàn thiện hơn
Chúng em xin chân thành cảm ơn các thầy cô!
Trang 4CHƯƠNG 1: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 Khái niệm chung
“Điện toán đám mây (cloud computing) là một khái niệm rộng, nó tương quan với các phương thức để cung cấp cơ sở hạ tầng, dịch vụ và phần mềm thông qua mạng theo nhu cầu, phù hợp với quy mô Điện toán đám mây dựa trên một nền tảng ảo hóa, trong đó các kho tài nguyên (ảo hóa) được tổ chức một cách linh động vì lợi ích của các ứng dụng
và phần mềm Điều này sẽ làm thay đổi cách thức các ứng dụng được viết ra và cung
cấp.” – Cisco System.
“Điện toán đám mây là một mô hình để hỗ trợ truy cập qua mạng thuận tiện, theo nhu cầu vào một kho tài nguyên điện toán có thể định cấu hình được (như là tài nguyên mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) có thể được cung cấp và thu hồi nhanh chóng với công sức quản lý hoặc tương tác của nhà quản trị ở mức độ tối thiểu Mô hình điện toán đám mây đảm bảo độ sẵn sàng và được cấu thành từ năm đặc tính cần thiết, ba
mô hình cung cấp và bốn mô hình triển khai” – NIST (Viện tiêu chuẩn và Công nghệ
Quốc gia, Mỹ).
Trang 5Hình 1.1 Mô hình Điện toán đám mây
1.2 Ưu và nhược điểm
1.2.1 Ưu điểm
Những ưu điểm và thế mạnh dưới đây đã góp phần giúp “Điện toán đám mây” trở thành mô hình điện toán được áp dụng rộng rãi trên toàn thế giới
Tính linh động: Người dùng có thể thoải mái lựa chọn các dịch vụ phì hợp với nhu cầu của mình, cũng như có thể bỏ bớt những thành phần mà mình không muốn Ví dụ như thay vì phải bỏ ra hàng trăm USD cho một bộ Ms Office thì ta có thể mua riêng lẻ từng phần hoặc chỉ trả một khoản phí nhỏ hơn rất nhiều lần mỗi khi sử dụng một mảng nào đó của nó
Giảm bớt chi phí: Người dùng không chỉ giảm bớt chi phí bản quyền mà còn giảm phần lớn chi phí cho việc mua và bảo dưỡng máy chủ Việc tập hợp ứng dụng của nhiều
tổ chứ lại một chỗ sẽ giúp giảm chi phí đầu tư ban đầu, cũng như tăng hiệu năng sử dụng các thiết bị này một cách tối đa
Tạo nên sự độc lập: Người dùng sẽ không còn bị bó hẹp với một thiết bị hay một vị trí cố định nào nữa Với Điện toán đám mây, phần mềm hay dữ liệu có thể được truy cập
và sử dụng từ bất kỳ đâu, trên bất kỳ thiết bị nào mà không cần phải quan tâm đến giới hạn phần cứng cũng như địa lý
Tăng cường độ tin cậy: Dữ liệu trong mô hình Điện toán đám mây được lưu trữ một cách phân tán tại nhiều cụm máy chủ tại nhiều vị trí khác nhau Điều này giúp tăng
độ tin cậy, độ an tooàn của dữ liệu mỗi khi có sự cố hoặc thảm họa xảy ra
Bảo mật: Việc tập trung dữ liệu từ nhiều nguồn khác nhau sẽ giúp các chuyên gia bảo mật tăng cường khả năng bảo vệ dữ liệu của người dùng, cũng như giảm thiểu rủi ro
bị ăn cắp toàn bộ dữ liệu Ví dụ như dữ liệu được đặt tại sáu máy chủ khác nhau, trong trường hợp hacker tấn công, thì dữ liệu bị lộ chỉ là 1/6 Đât là một cách chia sẻ rủi ro giữa các tổ chức với nhau
Trang 6Bảo trì dễ dàng: Mọi phần mềm đều nằm trên server, người dùng sẽ không cần lo lắng cập nhật hay sửa lỗi phần mềm nữa Các lập trình viên cũng dễ dàng hơn trong việc cài đặt nâng cấp ứng dụng
1.2.2 Nhược điểm
Tính riêng tư: Không chắc chắn về việc các thông tin người dùng và dữ liệu được chứa trên điện toán đám mây có đảm bảo được riêng tư và liệu các thông tin đó có bị sử dụng vì một mục đích khác
Tính sẵn dùng: Các dịch vụ đám mây có thể bị “treo” một cách bất ngờ và khiến cho người dùng không thể truy cập các dịch vụ và dữ liệu của mình trong khoảng thời gian đó và gây ảnh hưởng đến công việc
Mất dữ liệu: Một vài dịch vụ lưu trữ trực tuyến trên đám mây bất ngờ dừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, khiến người dùng phải sao lưu dữ liệu ngược trở về máy tính cá nhân gây mất thời gian Hoặc đôi khi dữ liệu có thể bị mất và không khôi phục lại được
Vấn đề về quy định pháp luật cho các dịch vụ giữa khách hàng và nhà cung cấp cũng là một nhược điểm phải quan tâm
1.3 Các loại hình đám mây
1.3.1 Đám mây công cộng
Đám mây công cộng là các dịch vụ đám mây được một bên thứ ba (người bán) cung cấp Chúng tồn tại ngoài tường lửa công ty và chúng được lưu trữ đầy đủ và được nhà cung cấp đám mây quản lý
Các đám mây công cộng cố gắng cung cấp cho người tiêu dùng với các phần tử công nghệ thông tin tốt nhất Cho dù đó là phần mềm, cơ sở hạ tầng ứng dụng hoặc cơ sở
hạ tầng vật lý, nhà cung cấp đám mây chịu trách nhiệm về cài đặt, quản lý, cung cấp và bảo trì Khách hàng chỉ chịu phí cho các tài nguyên nào mà họ sử dụng, vì thế cái chưa sử dụng được loại bỏ
Trang 71.3.2 Đám mây riêng
Đám mây riêng là các dịch vụ đám mây được cung cấp trong doanh nghiệp Những đám mây này tồn tại bên trong tường lửa công ty và được doanh nghiệp quản lý
Các đám mây riêng đưa ra nhiều lợi ích giống như các đám mây chung thực hiện với sự khác biệt chính: doanh nghiệp có trách nhiệm thiết lập và bảo trì đám mây này Sự khó khăn và chi phí của việc thiết lập một đám mây bên trong đôi khi có thể có chiều hướng ngăn cản việc sử dụng và chi phí hoạt động liên tục của đám mây có thể vượt quá chi phí của việc sử dụng một đám mây chung
Các đám mây riêng đưa ra nhiều lợi thế hơn so với loại chung Việc kiểm soát chi tiết hơn trên các tài nguyên khác nhau đang tạo thành một đám mây mang lại cho công ty tất cả các tùy chọn cấu hình có sẵn Ngoài ra, các đám mây riêng là lý tưởng khi các kiểu công việc đang được thực hiện không thiết thực cho một đám mây chung, do đứng với các mối quan tâm về an ninh và về quản lý
1.3.3 Đám mây lai
Đám mây lai là một sự kết hợp của các đám mây công cộng và riêng Những đám mây này thường do doanh nghiệp tạo ra và các trách nhiệm quản lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp đám mây công cộng Đám mây lai sử dụng các dịch
vụ có trong cả không gian công cộng và riêng
1.3.4 Đám mây riêng
Đám mây cộng đồng là đám mây liên quan đến việc chia sẻ cở sở hạ tầng giữa các
tổ chức, các nhóm đối tượng có mục đích chia sẻ cùng một nội dung Ví dụ như các tổ chức hay một nhóm đối tượng thuê những đám mây riêng để chia sẻ chung những nội dung về âm nhạc, phim ảnh, công nghệ, quân sự,…
1.4 Đặc điểm của điện toán đám mây
Nhanh chóng cải thiện với người dùng có khả năng cung cấp sẵn các tài nguyên cơ
sở hạ tầng công nghệ một cách nhanh chóng và ít tốn kém
Trang 8Chi phí được giảm đáng kể và chi phí vốn đầu tư được chuyển sang hoạt động chi tiêu Sự độc lập giữa thiết bị và vị trí làm cho người dùng có thể truy cập hệ thống bằng cách sử dụng trình duyệt web mà không quan tâm đến vị trí của họ hay thiết bị được dùng
để truy cập Vì cơ sở hạ tầng off – site (được cung cấp bởi đối tác thứ 3) và được truy cập thông qua Internet, do đó người dùng có thể kết nối từ bất kỳ nơi nào
Việc cho thuê nhiều để có thể chia sẻ tài nguyên và chi phí giữa một phạm vi lớn người dùng, cho phép:
- Tập trung hóa cơ sở hạ tầng trong các lĩnh vực với chi phí thấp hơn (chẳng hạn như bất động sản, điện, …)
- Khả năng chịu tải nâng cao (người dùng không cần kỹ sư cho các mức tải cao nhất có thể)
- Cải thiện việc sử dụng và hiệu quả cho các hệ thống mà thường chỉ 10 – 20% được sử dụng
Độ tin cậy cải thiện thông qua việc sử dụng các site có nhiều dư thừa, làm nó thích hợp cho tính liên tục trong kinh doanh và khôi phục sau sự cố Việc bảo mật cải thiện nhờ vào tập trung hóa dữ liệu, các tài nguyên chú trọng bảo mật,… Nhưng cũng nâng cao mối quan tâm về việc mất quyền điều khiển dữ liệu nhạy cảm Bảo mật thường thì tốt hay tốt hơn các hệ thống truyền thống, một phần bởi các nhà cung cấp có thể dành nhiều nguồn lực cho việc giải quyết các vấn đề bảo mật mà nhiều khách hàng không có đủ chi phí để thực hiện
Khả năng chịu đựng xảy ra thông qua việc tận dụng tài nguyên đã được cải thiện, các hệ thống hiệu quả hơn Tuy nhiên, các máy tính và cơ sở hạ tầng kết hợp là những thứ tiêu thụ năng lượng chủ yếu
Trang 9CHƯƠNG 2: AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ ĐÁM MÂY
2.1 Khái niệm chung
An toàn bảo mật thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép Là sự bảo toàn của việc bảo mật, toàn vẹn và tính sẵn có của thông tin
An toàn thông tin là mối quan tâm hàng đầu của các tổ chức khi chuyển sang đám mây Bởi lẽ, dữ liệu được lưu trữ trong môi trường này vẫn có khả năng bị mất hay rò rỉ
do tin tặc tấn công, phần mềm độc hại giả mạo, dính mã độc,… Việc chú trọng nâng cao vấn đề bảo mật sẽ giúp những điểm yếu của hệ thống được khắc phục và có thể giảm tác động một phần khi xảy ra một cuộc tấn công hoặc một vài vấn đề khẩn cấp khác
2.2 Các phương pháp tấn công trong công nghệ đám mây
2.2.1 Các cuộc tấn công ngang hàng
Các cuộc tấn công ngang hàng liên quan đến tính năng di chuyển ngang mà không
bị phát hiện trên đám mây Để thực hiện được kiểu tấn công này đòi hỏi phải có nhiều kiến thức và kỹ thuật vì kẻ tấn công phải di chuyển sâu hơn vào mạng để lấy dữ liệu nhạy cảm và những tài sản giá trị cao
Đầu tiên kẻ tấn công sẽ chiếm quyền truy cập vào các cặp khóa và thiết lập thông tin tạm thời bằng các lệnh riêng biệt Tiếp đó, chúng sử dụng tấn công Brute Force để chiếm đoạt các đặc quyền truy cập cấp thấp vào tài khoản rồi tiến hành tìm kiếm những hoạt động có truy cập ngang hàng để thực hiện các lệnh tương tự Chúng di chuyển trong
hệ thống với mục đích nâng cao các đặc quyền và vai trò chức năng của mình Chúng lặp lại điều này cho đến khi có được quyền truy xuất các cơ sở dữ liệu và thông tin
2.2.2 Các cuộc tấn công cấy mã
Các cuộc tấn công như chèn SQL, cấy lệnh và cấy mã vào hệ điều hành vẫn là những rủi ro cho các tổ chức, cho dù các môi trường dịch vụ là truyền thống hay hiện đại
Trang 10Thách thức của việc ngăn chặn các cuộc tấn công cấy mã ngày càng gia tăng do những vùng phức tạp và các chức năng Serverless (mô hình thực thi điện toán đám mây trong đó nhà cung cấp đám mây tự động quản lý việc phân bổ và cung cấp máy chủ) được
bổ sung và một môi trường
Hệ thống phương pháp của các cuộc tấn công là như nhau, đều là một ứng dụng xử
lý dữ liệu đầu vào từ một nguồn không đáng tin cậy Tuy nhiên, với Microservices (các dịch vụ nhỏ, tách biệt) đầu vào được kích hoạt thông qua nhiều sự kiện và đây là một thách thức cho quản lý thủ công Điều này có nghĩa là chúng ta không được chỉ dựa vào các biện pháp kiểm soát bảo mật và lớp ứng dụng nguyên khối mà phải đảm bảo mã an toàn và không dễ bị tấn công Injection (cấy mã)
Với những mã có lỗ hổng, các tin tặc có thể dễ dàng lợi dụng lỗ hổng đó để khai thác môi trường Ví dụ bằng cách truy cập vào môi trường, kẻ tấn công có thể thao túng
mã hàm điều khiển sử dụng kỹ thuật Injection để thực hiện một cuộc tấn công Để giảm thiểu kiểu tấn công này, ít nhất phải có những đặc quyền đối với mã để đảm bảo không ai
có thể thực hiện được hoặc truy cập ngoài phạm vi cho phép Điều quan trọng nữa là phải tiến hành quét mã tự động để xác định các lỗ hổng trong bất kỳ vùng chứa hoặc thư viện nào mà bạn sử dụng
2.2.3 Xác thực bị phá vỡ
Với Microservices, có hàng trăm chức năng khác nhau chạy riêng biệt, mỗi chức năng có mục đích riêng và được kích hoạt từ các sự kiện khác nhau Mỗi chức này này yêu cầu giao thức xác thực riêng nên dễ xảy ra lỗi Những kẻ tấn công sẽ tìm kiếm những tài nguyên bị quên lãng hoặc mã dư thừa hay mở các API có những lỗ hổng bảo mật đã biết để chiếm quyền truy nhập vào môi trường Điều này cho phép chúng chiếm quyền truy nhập vào trang web có nội dung hoặc tính năng nhạy cảm mà không cần xác thực hợp lệ Mặc dù nhà cung cấp dịch vụ sẽ xử lý phần lớn quy trình quản lý và khôi phục mật khẩu, nhưng các khách hàng phải đảm bảo rằng những tài nguyên của họ phải được cấu hình đúng cách
Trang 11Tuy nhiên, mọi thứ trở nên phức tạp hơn khi tính năng không được kích hoạt từ yêu cầu của người dùng cuối mà lại là từ quy trình ứng dụng theo cách bỏ qua lược đồ xác thực Để xử lý vấn đề này, điều quan trọng là phải theo dõi liên tục ứng dụng của bạn, bao gồm cả luồng ứng dụng để bạn có thể xác định những sự kích hoạt ứng dụng Từ đó, bạn
sẽ muốn tạo và phân loại các cảnh báo khi những tài nguyên không có các quyền thích hợp, có các quyền dư thừa hoặc hành vi kích hoạt bất thường hay không tuân thủ
2.2.4 Cấu hình bảo mật sai
Trong các ứng dụng truyền thống, lỗi cấu hình bảo mật – Misconfiguration có thể xảy ra ở mọi cấp độ: mạng, máy chủ web, các máy chủ ứng dụng, vùng chứa… Đối với đám mây, bộ nhớ và cơ sở dữ liệu được mã hóa theo mặc định
Tuy nhiên, để tăng cường bảo mật, các khách hàng có thể cung cấp các khóa mã hóa riêng hoặc tạo sự phân chia trong kiến trúc nhiều người thuê Điều quan trọng là phải hiểu một số sắc thái Những trình kích hoạt hủy liên kết, những tệp tin không được bảo vệ
và các thư mục ảnh hưởng tới bảo mật của bạn như thế nào? Ví dụ như một kẻ tấn công
có thể xác định một vùng cấu hình sai để chiếm quyền truy nhập và gây từ chối dịch vụ hoặc rò rỉ dữ liệu nhạy cảm Để giảm thiểu điều này, hãy đảm bảo tận dụng các dịch vụ tích hợp sẵn từ nhà cung cấp đám mây của bạn cũng như các dịch vụ bên thứ ba để quét các tài khoản đám mây nhằm xác định những tài nguyên công cộng Hãy xem lại các tài nguyên này và xác minh chúng đã được kiểm soát truy nhập và tuân thủ những hướng dẫn thực hiện tối ưu Ngoài ra cũng cần tạo các cảnh báo và thiết lập các cách để giám sát liên tục môi trường đám mây để nếu phát hiện hành vi bất thường hoặc sai cấu hình thì nó có thể nhanh chóng được giải quyết Đối với Microservices, hãy tìm các trình kích hoạt không liên kết và các tài nguyên không kết nối tới các chức năng, đảm bảo cũng thiết lập thời gian chờ ở mức thấp nhất theo yêu cầu của tính năng và luôn luôn tuân thủ cấu hình tối ưu nhất
