HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

NGUYỄN HUY GIẢNG BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG
DỤNG CHO TRUNG TÂM DỮ LIỆU ĐIỀU HÀNH SẢN
XUẤT KINH DOANH CỦA VNPT Chuyên nghành: Truyền dữ liệu và Mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2011

Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

xuất kinh doanh của doanh nghiệp, thì ứng dụng điện toán đám
mây là giải pháp mang lại nhiều lợi ích. Trong mô hình điện toán
đám mây, mọi vấn đề liên quan tới công nghệ thông tin đều được
cung cấp dưới dạng các “dịch vụ”. Nhờ đó, các tổ chức, doanh
nghiệp hay cá nhân khi sử dụng dịch vụ công nghệ không cần
phải có kiến thức, kinh nghiệm chuyên sâu về công nghệ, cũng
như không cần phải quan tâm đến cơ sở hạ tầng của công nghệ
đó. Hạ tầng cơ sở của điện toán đám mây là sự kết hợp của
những dịch vụ đáng tin cậy được phân phối qua các trung tâm dữ
liệu và được xây dựng trên những máy chủ với cấp độ khác nhau
của các công nghệ ảo hóa.
Đề tài “Bảo mật trong điện toán đám mây và ứng dụng cho
trung tâm dữ liệu điều hành sản xuất kinh doanh của VNPT” tìm
hiểu những kiến thức cơ bản về bảo mật thông tin trong điện
toán đám mây và đề xuất giải pháp an toàn bảo mật cho trung
tâm dữ liệu điều hành sản xuất kinh doanh của VNPT.
Đề tài bao gồm những nội dung sau:
Chương 1 – Tổng quan về điện toán đám mây: Cung cấp một cái
nhìn tổng quan về điện toán đám mây. Quá trình phát triển của
điện toán đám mây và một số khái niệm cơ bản và lợi ích của
điện toán đám mây.
Chương 2 – An toàn bảo mật trong điện toán đám mây: Trình
bày những nét cơ bản về bảo mật thông tin trong đám mây, các
chuẩn bảo mật và những rủi ro thách thức về an toàn thông tin
mà người sử dụng cần biết trước khi quyết định sử dụng điện
toán đám mây. Tìm hiểu về kiến trúc và mục tiêu bảo mật như
thế nào và quản lý bảo mật ra sao. Từ đó, đưa ra phương pháp để
nâng cao khả năng bảo mật thông tin trong đám mây.
Chương 3 – Đề xuất giải pháp an toàn bảo mật trong ứng dụng
triển khai điện toán đám mây vào trong tâm dữ liệu điều hành

sức mạnh tính toán, kho lưu trữ, các nền tảng (platform) và các
dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được
phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua
Internet”.
1.2. Các tầng dịch vụ đám mây
Điện toán đám mây là sự kết hợp giữa các khái niệm Hạ tầng
hướng dịch vụ (IaaS), Nền tảng hướng dịch vụ (PaaS), Phần
mềm hướng dịch vụ (SaaS) và một số khái niệm công nghệ mới.
SaaS (Software-as-a-Service, phần mềm như một dịch vụ): SaaS
cho phép người dùng chạy các ứng dụng từ xa của đám mây.
Đây là một mô hình triển khai ứng dụng mà ở đó người cung cấp
cho phép người dụng sử dụng dịch vụ theo yêu cầu.
IaaS (Infrastructure-as-a-Service, hạ tầng cơ sở như một dịch vụ)
là tài nguyên tính toán được cung cấp như là một dịch vụ, bao
gồm cả máy chủ, thiết bị mạng, bộ nhớ, CPU, không gian đĩa
cứng, trang thiết bị trung tâm dữ liệu với năng lực xử lý được
đảm bảo và băng thông dự trữ đủ để lưu trữ và truy nhập
Internet.
PaaS (Platform-as-a-Service, nền tảng như một dịch vụ) tương tự
IaaS, ngoài ra còn có các hệ điều hành và dịch vụ cần thiết cho
một ứng dụng cụ thể, PaaS là IaaS cộng thêm một số phần mềm
riêng dành cho một ứng dụng cho trước.
Virtualization (tầng ảo hóa): Hệ thống hạ tầng mạng, máy chủ,
lưu trữ được ảo hóa để tăng tính linh hoạt trong việc mở rộng và
cung cấp các dịch vụ trong điện toán đám mây.
dSaaS (data-Storage-as-a-Service, lưu trữ dữ liệu như là dịch vụ)
cung cấp không gian lưu trữ mà khách hàng có thể sử dụng, bao
gồm cả băng thông cho lưu trữ.
1.3. Các mô hình điện toán đám mây
Có 3 kiểu mô hình chung: public cloud (đám mây công cộng),


Hình 2.1. Kiến trúc điện toán đám mây
Với một đám mây công cộng, một phần lớn mạng, hệ thống, ứng
dụng và dữ liệu sẽ được chuyển đến bên cung cấp thứ ba để kiểm
soát. Các đám mây dịch vụ chuyển mô hình sẽ tạo ra các đám
mây ảo cũng như một mô hình bảo mật với trách nhiệm chia sẻ
giữa khách hàng và nhà cung cấp dịch vụ đám mây (CSP).
Mặc dù khách hàng có thể chuyển giao một số trách nhiệm hoạt
động cho các nhà cung cấp, nhưng mức độ trách nhiệm khác
nhau phụ thuộc vào nhiều yếu tố, bao gồm các mô hình cung cấp
dịch vụ (SPI), nhà cung cấp các loại hợp đồng dịch vụ (SLA), và
nhà cung cấp các khả năng đặc biệt để hỗ trợ các phần mở rộng
của quy trình nội bộ quản lý bảo mật và các công cụ. Để bảo mật
cho dữ liệu, các tổ chức công nghệ thông tin sử dụng khung quản
lý bảo mật như ISO / IEC 27000 và thư viện cơ sở hạ tầng công
nghệ thông tin (ITIL).

2.1.2. Mục tiêu bảo mật thông tin trên đám mây
 Tính an toàn.
 Tính đáng tin cậy.
 Khả năng tồn tại : đó là khẳ năng kháng lại hoặc chịu
được các cuộc tấn công và có khả năng phục hồi nhanh
nhất có thể cũng như gây tổn hại ít nhất có thể.
Ngoài ra còn có bảy nguyên tắc bổ sung để đảm bảo hỗ trợ an
toàn thông tin là bảo mật, toàn vẹn, tính sẵn có, chứng thực, cấp
phép, kiểm tra và trách nhiệm.
2.1.3. Các tiêu chuẩn quản lý bảo mật
ITIL – thư viện cơ sở hạ tầng công nghệ thông tin: ITIL chia
thông tin bảo mật thành:
 Chính sách : là các mục tiêu tổng thể của một tổ chức

phần cứng và phần mềm đáng tin cậy, cung cấp một môi trường
thực thi an toàn, thiết lập bảo mật thông tin, và mở rộng phần
cứng từ những kiến trúc nhỏ nhất. Khi xem xét kiến trúc bảo mật
trong điện toán đám mây cần quan tâm tới các yếu tố:
 Tuân thủ các quy định.
 Quản lý và kiểm soát an ninh.
 Phân loại thông tin.
 Nhận thức về bảo mật, đào tạo và giáo dục.
2.3. Những biện pháp để bảo mật điện toán đám mây
Các phần mềm về bảo mật cần có 3 yêu cầu sau:
 Phải được tin cậy trong các điều kiện hoạt động như dự
kiến, và vẫn đáng tin cậy trong điều kiện hoạt động nguy
hiểm.
 Phải đáng tin cậy trong mọi hành động của mình và
không có khả năng bị xâm nhập bởi một kẻ tấn công
thông qua khai thác các lỗ hổng hoặc chèn các mã độc
hại.
 Phải linh hoạt, đủ để phục hồi nhanh chóng đến khả năng
hoạt động đầy đủ với việc hạn chế tối thiểu những thiệt
hại xảy ra, các nguồn tài nguyên và dữ liệu được xử lý và
các thành phần tương tác bên ngoài.
2.4. Phát triển bảo mật thực tiễn
Việc phát triển bảo mật thực tiễn dựa trên các yếu tố:
 Xử lý dữ liệu : một số dữ liệu nhạy cảm hơn và yêu cầu
cần xử lý đặc biệt.
 Thực hành mã: phải luôn chăm sóc dữ liệu để tránh lộ
thông tin ra ngoài để những kẻ tấn công tranh thủ sơ hở.
 Lựa chọn ngôn ngữ: xem xét những điểm mạnh và điểm
yếu của ngôn ngữ được sử dụng.
 Xác nhận đầu vào và dữ liệu nhập vào: dữ liệu được nhập

 Hệ thống máy chủ quản lý công văn AIS
 Hệ thống máy chủ quản lý báo cáo VRS.
3.1.3.2. Lớp dịch vụ
Máy chủ dịch vụ thư mục (Directory Server)
3.1.3.3. Máy chủ dịch vụ khác
 Máy chủ DHCP/DNS.
 Máy chủ File.
 Máy chủ sao lưu Backup.
3.1.3.4. Lớp bảo mật
Hệ thống máy chủ bảo mật và quét virus: nhóm máy chủ anti-
virus; nhóm máy chủ dò quét điểm yếu và vá lỗi.
3.1.3.5. Lớp quản trị
Máy chủ quản trị mạng đảm nhận các nhiệm vụ sau:
 Quản trị mạng TCP/IP.
 Hỗ trợ hiển thị Network topology dưới dạng bản đồ.
 Cung cấp tài liệu trực tuyến và dễ sử dụng (HTML).
 Khả năng phát hiện, hiển thị thay đổi của mạng trên bản
đồ.
 Quản lý lỗi (Fault management).
 Quản trị cấu hình (Configuration management).
 Quản trị thống kê (Accounting management).
 Quản trị hiệu năng (Performance management).
 Quản trị bảo mật (Security management).
 Hỗ trợ khả năng tích hợp với các hệ thống quản trị khác.
3.2. Đề xuất giải pháp an toàn bảo mật trong triển khai
điện toán đám mây cho trung tâm dữ liệu của Tập đoàn
VNPT
3.2.1. Mô hình tổng thể giải pháp an toàn bảo mật
Để đảm bảo độ an toàn dữ liệu cao nhất, tất cả các lớp đều có độ
bảo mật cao. Kết hợp với các khối chuyển mạch thông thường,

giám sát, phát hiện và ngăn chặn các nguy cơ xâm nhập trái
phép, bảo vệ tài nguyên hệ thống mạng. IPS tăng cường giám
sát, chống tấn công và xâm nhập từ Internet vào lớp ứng dụng
mà hệ thống Firewall mạng không có khả năng phát hiện.
3.2.3.4. Hệ thống phát hiện xâm nhập IDS
Hệ thống phát hiện xâm nhập sử dụng bộ công cụ mã nguồn mở
OSSIM (open sources sim). Bao gồm nhiều công cụ hỗ trợ trong
việc phát hiện các bất thường và xâm nhập.

Hình 3.7. Mô hình phân phối các cảm biến được triển khai tại
DC VNPT
Các cảm biến IDS sử dụng các dấu hiệu, rằng buộc đã được định
nghĩa về các bất thường trong mạng để đưa ra các cảnh báo.
3.2.3.5. Hệ thống Firewall tại Datacenter (FWSM)
Firewall sử dụng: Firewall services module của cisco 6509 dạng
module. Với mô hình:

Hình 3.8. Mô hình triển khai FWSM tại DC VNPT
3.2.3.6. Các hệ thống giám sát (Network Monitor)
Sử dụng Hệ thống PRTG: Hệ thống PRTG là một hệ thống
giám sát mạng thông qua giao thức smtp, giám sát băng thông,
lưu lượng, kết nối, giúp quản trị mạng cái nhìn trực quan về mức
độ sẵn sàng và khả năng đáp ứng của hệ thống, các bất thường
về băng thông, các đột biến về băng thông và lưu lượng trọng hệ
thống mạng.
Một số hệ thống khác được sử dụng: Hệ thống LMS, Hệ thống
theo dõi Solarwind, Hệ thống theo dõi phân tích syslog.
3.2.4. Bảo mật máy chủ ứng dụng
3.2.4.1. Hệ thống phát hiện điểm yếu
Giải pháp sử dụng: McAfee FoundStone là giải pháp quản lý