LỜI CAM ĐOAN
Tôi xin cam đoan Luận văn tốt nghiệp thạc sĩ kỹ thuật: “Nghiên cứu, thử
nghiệm các giải pháp an toàn, an ninh điện toán đám mây” là công trình nghiên
cứu của bản thân tôi dưới sự hướng dẫn của PGS.TS. Nguyễn Linh Giang. Các kết
quả nêu trong luận văn là trung thực, không sao chép toàn văn của bất kỳ công trình
nào khác.
1
LỜI CẢM ƠN
Xin chân thành cảm ơn PGS.TS. Nguyễn Linh Giang đã tận tình hướng dẫn
và quý thầy cô trong viện công nghệ thông tin và truyền thông, viện đào tạo sau đại
học đã truyền dạy những kiến thức quý báu trong chương trình sau đại học và giúp
đỡ kinh nghiệm cho luận văn được hoàn thành thuận lợi .
Xin chân thành cảm ơn các học viên cùng khóa 2012 đã cung cấp tài liệu, gợi
ý công nghệ cũng như giải pháp giúp tôi hoàn thành luận văn.
2
MỤC LỤC
LỜI CAM ĐOAN ......................................................................................................1
LỜI CẢM ƠN ............................................................................................................2
THUẬT NGỮ VIẾT TẮT ..................................................................... 6
MỞ ĐẦU ....................................................................................................................9
CHƢƠNG I: GIỚI THIỆU ĐIỆN TOÁN ĐÁM MÂY........................................11
1.1 Định nghĩa cloud computing – điện toán đám mây ............................................11
1.2. Nền tảng hình thành Điện Toán Đám Mây ........................................................14
1.3. Đặc trưng của Điện Toán Đám Mây ...............................................................15
1.7.3 Dịch vụ phần mềm SaaS (Software as a Service) ............................................26
1.8. Các mô hình triển khai của điện toán đám mây .................................................28
1.8.1. Đám mây công cộng - Public cloud ................................................................29
1.8.2 Đám mây riêng - Private cloud ........................................................................29
1.8.3 Đám mây lai- Hybrid cloud..............................................................................30
1.8.4 Đám mây cộng đồng- Community Cloud ........................................................30
1.9. Điện toán đám mây – xu hướng phát triển .........................................................31
CHƢƠNG II: GIẢI PHÁP AN TOÀN, AN NINH & BẢO MẬT TRONG
ĐIỆN TOÁN ĐÁM MÂY .......................................................................................33
2.1. Tổng quan về vấn đề an ninh bảo mật trong điện toán đám mây ......................33
2.2 Quản lý bảo mật trong điện toán đám mây .........................................................35
2.2.1 Mô hình chung .................................................................................................35
2.2.2 Mục tiêu bảo mật thông tin trên đám mây .......................................................38
3.2.3 Các tiêu chuẩn quản lý bảo mật .......................................................................39
2.3. Kiến trúc bảo mật trong điện toán đám mây ......................................................41
2.3.1. Các quy định cần tuân thủ ...............................................................................41
2.3.2. Quản lý và kiểm soát an ninh ..........................................................................42
2.3.3. Phân loại thông tin ..........................................................................................43
2.3.3.1. Mục tiêu phân loại thông tin ........................................................................43
2.3.3.2. Lợi ích của phân loại thông tin ................................................................................ 43
2.3.3.3. Khái niệm phân loại thông tin .................................................................................. 43
2.3.3.4 Tiêu chí phân loại ......................................................................................................... 45
2.3.3.5 Thủ tục phân loại .......................................................................................................... 45
2.3.4 Nhận thức về bảo mật, đào tạo và giáo dục .....................................................46
4
2.3.4.1 Nhận thức bảo mật........................................................................................................ 47
2.3.4.2 Nhận thức đào tạo và giáo dục .................................................................................. 48
THUẬT NGỮ VIẾT TẮT
DoS
Denial of Service
Từ chối dịch vụ
IaaS
Infrastucture as a Service
Dịch vụ cơ sở hạ tầng
NIST
National Institute of Standards and Viện tiêu chuẩn và công
Technology
nghệ quốc gia Mỹ
PaaS
Platform as a Service
Dịch vụ nền tảng
SaaS
Software as a Service
Hình 3.1: x86 Virtuallization ....................................................................................64
Hình 3.2: Giới thiệu về ảo hóa ..................................................................................65
Hình 3.3: Build a Cloud Infrastructure .....................................................................67
Hình 3.4: Lưu lương bảo mật vShield Edge giữa trung tâm dữ liệu ảo với bảo mật
trong phạm vi xây dựng ............................................................................................73
Hình 3.5: Cải thiện hiệu suất và củng cố khả năng chống virus và chống phần mềm
độc hại trong môi trường ảo hóa của vShield Endpoint..........................................776
Hình 3.6: Mô hình giả lập. ........................................................................................79
Hình 3.7: Giao diện chính của VMware ESXi khi bước vào cài đặt. .......................81
Hình 3.8: Đồng ý với các thông tin giấy phép. .........................................................81
Hình 3.9: Yêu cầu khởi động lại sau khi cài đặt thành công. ...................................82
Hình 3.10: Giao diện quản lý các chức năng của VMware ESXi. ............................82
Hình3.11: Giao diện chính khi cài đặt VMware vCenter Server. .............................83
Hình3.12: Giao diện đang nhập của VMware vSphere Client. .................................84
Hình3.13: Giao diện quản lý chính của vCenter Server. ..........................................85
8
MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, mạng
Internet ngày càng có tốc độ nhanh hơn, cùng với đó là các dịch vụ trên mạng
Internet ngày càng nở rộ, các công nghệ mới cũng được nghiên cứu và triển khai rất
nhanh trong đó phải kể đến công nghệ “Điện toán đám mây”.
Cùng với sự phát triển của công nghệ thông tin, tội phạm công nghệ cao ngày
càng diễn biến hết sức phức tạp, chúng ăn cắp các thông tin quan trọng làm ảnh
hưởng rất lớn đến các doanh nghiệp cũng như các cá nhân. Vấn đề an ninh bảo mật
thông tin nói chung và trong điện toán đám mây nói riêng, cần được các nhà cung
cấp các dịch vụ cũng như người sử dụng quan tâm thích đáng. Với lý do trên học
1.1 Định nghĩa cloud computing – điện toán đám mây
Ngày nay, đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu quả dữ liệu
của riêng công ty cũng như dữ liệu khách hàng, đối tác là một trong những bài toán
được ưu tiên hàng đầu và đang không ngừng gây khó khăn cho họ. Để có thể quản
lý được nguồn dữ liệu đó, ban đầu các doanh nghiệp phải đầu tư, tính toán rất nhiều
loại chi phí như chi phí cho phần cứng, phần mềm, mạng, chi phí cho quản trị viên,
chi phí bảo trì, sửa chữa,… Ngoài ra họ còn phải tính toán khả năng mở rộng, nâng
cấp thiết bị, phải kiểm soát việc bảo mật dữ liệu cũng như tính sẵn sàng cao của dữ
liệu.
Từ một bài toán điển hình như vậy, chúng ta thấy được rằng nếu có một nơi
tin cậy giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các doanh nghiệp sẽ
không còn quan tâm đến cơ sở hạ tầng, công nghệ mà chỉ tập trung chính vào công
việc kinh doanh của họ thì sẽ mang lại cho họ hiệu quả và lợi nhuận ngày càng cao
hơn.
Thuật ngữ “cloud computing” còn được bắt nguồn từ ý tưởng đưa tất cả mọi
thứ như dữ liệu, phần mềm, tính toán, … lên trên mạng Internet. Chúng ta sẽ không
còn trông thấy các máy PC, máy chủ của riêng các doanh nghiệp để lưu trữ dữ liệu,
phần mềm nữa mà chỉ còn một số các “máy chủ ảo” tập trung ở trên mạng. Các
“máy chủ ảo” sẽ cung cấp các dịch vụ giúp cho doanh nghiệp có thể quản lý dữ liệu
dễ dàng hơn, họ sẽ chỉ trả chi phí cho lượng sử dụng dịch vụ của họ, mà không cần
phải đầu tư nhiều vào cơ sở hạ tầng cũng như quan tâm nhiều đến công nghệ. Xu
hướng này sẽ giúp nhiều cho các công ty, doanh nghiệp vừa và nhỏ mà không có cơ
sở hạ tầng mạng, máy chủ để lưu trữ, quản lý dữ liệu tốt. Vậy “cloud computing” là
gì?
11
Định nghĩa:
- Theo Cisco System: “Điện toán đám mây là một khái niệm rộng, nhưng theo
“Điện toán đám mây là một dạng hình thức điện toán cung cấp các tài nguyên ảo
hóa có quy mô dưới dạng dịch vụ mạng Internet. Người dùng không cần tới những
kiến thức chuyên môn để quản lý hạ tầng công nghệ này bởi công việc đó dành cho
các nhà cung cấp “.
- Theo Rajkumar Buyya: Đám mây là một loại hệ thống phân bố và xử lý
song song gồm các máy tính ảo kết nối với nhau và được cung cấp động cho người
dùng như một hoặc nhiều tài nguyên đồng nhất dựa trên sự thỏa thuận dịch vụ giữa
nhà cung cấp và người sử dụng. (“A Cloud a type of parallel and distributed system
consisting of a collection of interconnected and presented as one or more unified
computing
resources based
on service-level agreements established through
negotiation between the service provider anh consumers”).
- Theo Forrester Reseach: Điện toán đám mây là một hồ chứa trừu tượng, có
khả năng quản lý mở rộng cao, quản lý cơ sở hạ tầng có khả năng lưu trữ các ứng
dụng của người dùng cuối cùng bằng việc lập hóa đơn cho việc tiêu thụ tài nguyên .
(“A pool of abstracted, highly scalable, and managed infrastructure capable of
hosting end-custommer applications and billed by consumption”).
- “Điện toán đám mây là sự kết hợp giữa các khái niệm hạ tầng hướng dịch vụ
(IaaS), Nền tảng hướng dịch vụ (PaaS), Phần mềm hướng dịch vụ (SaaS) và một số
khái niệm mới. Dịch vụ Điện toán đám mây thường cung cấp các trực tuyến ứng
dụng doanh nghiệp thông dụng, có thể truy xuất qua trình duyệt Web trong khi phần
mềm và dữ liệu được lưa trữ trên máy chủ của nhà cung cấp. Mọi thứ đều tập trung
vào đám mây.
13
tâm lưu trữ đều có các máy chủ để mạnh, thiết bị lưu trữ, mạng lưu trữ để đáp ứng
cho khối lượng công việc lúc cao điểm, tăng đột biến và tăng trưởng dự kiến. Điện
toán tiện ích giới thiệu mô hình “bạn chỉ trả tiền cho những gì bạn sử dụng”. Cho
phép các tổ chức thuê các nguồn tài nguyên khi cần thiết.
- Điện Toán Đám Mây đã vay mượn nhiều khái niệm của điện toán lưới, tài
nguyên máy tính có thể được cấp phát động hoặc nâng cấp ngay cả ở mức chi tiết
của yêu cầu công việc. Ngoài ra Điện Toán Đám Mây có thể được phát triển ở các
môi trường không phải dạng lưới như kiến trúc Web 3 lớp truyền thống hoặc các
ứng dụng Web 2.
- Xương sống của Điện Toán Đám Mây là điện toán tiện ích, tuy nhiên nó
cung cấp một bức tranh rộng lớn hơn. Có thể áp dụng nội bộ để tổ chức xây dựng
cơ sở hạ tầng Điện Toán Đám Mây riêng cho mình ngoài điện toán tiện ích. Điện
Toán Đám Mây cung cấp cơ hội cho khả năng mở rộng không giới hạn, tiết kiệm
chi phí truy cập dựa trên Internet, cân bằng khối lượng công việc, cung cấp năng
động và tự phục vụ yêu cầu. Nó là một công nghệ mới khác, máy tính cá nhân, điện
toán khách- chủ và Web.
1.3. Đặc trƣng của Điện Toán Đám Mây
1.3.1. Phục vụ theo yêu cầu và tự phục vụ (On-Deman/Self Service)
- Nhà cung cấp CC cung cấp tài nguyên máy tính cho khách hàng một cách
đơn phương mà khách hàng không cần tương tác trực tiếp với nhà cung cấp CC,
dịch vụ CC được truy cập và cung cấp qua Internet. Khách hàng tùy chọn các dịch
vụ mang tính “sẵn sàng sử dụng “và lựa chọn các tham số để tối ưu hóa dịch vụ
phục vụ yêu cầu của mình như tăng thời gian sử dụng server, tăng dung lượng lưu
15
trữ …Chi tiết của việc sử lý thực hiện “trong suốt” với khách hàng và khách hàng
nhận được hồi đáp một cách đầy đủ từ cơ sở hạ tầng đám mây thông qua Internet.
1.3.2. Truy xuất thông qua Internet(Access Via The Internet)
cập nên chỉ cần 5 CPU là đủ, khi đó hệ thống quản lý của nhà cung cấp dịch vụ sẽ
tự ngắt bớt 5 CPU dư thừa, khách hàng không phải trả phí cho những CPU dư thừa
này (những CPU này sẽ được cấp phát cho các khách hàng khác có nhu cầu). Khi
lượng truy cập tăng cao, nhu cầu tăng lên thì hệ thống quản lý của nhà cung cấp
dịch vụ sẽ tự “gắn” thêm CPU vào, nếu nhu cầu tăng vượt quá 10 CPU thì khách
hàng phải trả phí cho phần vượt mức theo thỏa thuận với nhà cung cấp.
-Khả năng co giãn giúp cho nhà cung cấp sử dụng tài nguyên hiệu quả, tận
dụng triệt để tài nguyên dư thừa, phục vụ được nhiều khách hàng. Đối với người
được sử dụng dịch vụ, khả năng co giãn giúp họ giảm chi phí cho nhứng tài nguyên
thực sự dùng.
1.3.5. Điều tiết dịch vụ (Measured Service)
- Hệ thống điện toán đám mây tự động kiểm soát và tối ưu hóa việc sử dụng
tài nguyên (dung lượng lưu trữ, đơn vị xử lý, băng thông …). Lượng tài nguyên sử
dụng có thể được theo dõi, kiểm soát và báo cáo một cách minh bạch cho cả hai
phía nhà cung cấp dịch vụ và người sử dụng.
1.4. Điện toán đám mây giải quyết vấn đề sau :
- Vấn đề về lưa trữ dữ liệu: Dữ liệu được lưu trữ tập trung ở các kho dữ liệu
khổng lồ. Các công ty lớn như Microsoft, Google có hàng chục kho dữ liệu trung
tâm nằm rải rác khắp nơi trên thế giới .Các công ty lớn này sẽ cung cấp các dịch vụ
cho phép doanh nghiệp có thể lưu trữ và quản lý dữ liệu của họ trên các kho dữ liệu
trung tâm.
- Vấn đề sức mạnh tính toán có 2 giải pháp chính:
Sử dụng các siêu máy tính (super-computer) để xử lý tính toán.
Sử dụng các hệ thống tính toán song song, phân tán.
17
- Vấn đề về cung cấp tài nguyên, phần mềm: Cung cấp các dịch vụ như IaaS
(infrastructure as a service), PaaS (platform as service) , aaS (software as a service).
hướng từ sử dụng tầng lưu trữ 1 sang tầng lưu trữ 2.
- Nguồn tài nguyên đám mây có thể được chia sẽ giữa các người sử dụng hoặc
các người đi thuê mặc dù cơ chế được xây dựng trong các đám mây ngăn cản họ
biết về sự tồn tại của người khác, chia sẽ nguồn tài nguyên sẽ làm giảm tiền thuê
làm dịch vụ đám mây.
- Khi chạy các ứng dụng trên đám mây, có nghĩa là bạn đã trả tiền cho nhân
viên của họ để phục vụ nhu cầu kinh doanh của bạn .Điều này cho phép bạn triển
khai nhân viên của bạn vào trong dự án gắn liền với việc kinh doanh của bạn hơn là
chỉ để cung cấp dịch vụ tiện ích ví dụ như e-mail, tích kiệm thời gian trong kinh
doanh.
1.5.4.Tính sẵn sàng (High Availability)
- Điện Toán Đấm Mây có khả năng đảm bảo ứng dụng sẵn sàng với nhiều
mức độ khác nhau phụ thuộc vào chính sách và độ ưu tiên của ứng dụng. Dự phòng
máy chủ, các tài nguyên mạng, thiết bị lưu trữ cùng với các phần mềm được tạo
nhóm cho phép khả năng chịu lỗi. Kỹ thuật này bao gồm các trung tâm dữ liệu
trong khu vực địa lý khác nhau có cấu hình tài nguyên giống nhau và các ứng dụng
có cùng trường hợp để ngăn chặn việc mất dữ liệu trong các khu vực bị lỗi. Những
tài nguyên đã phân cụm được đồng bộ hóa và sao chép lại dữ liệu của người sử
dụng để người dùng dịch vụ đám mây an tâm khi chuyển sang chế độ chờ và chỉ là
cái nhìn ảo của các nguồn tài nguyên máy tính phân tán được cung cấp cho khách
hàng. Ảo hóa việc lập bản đồ các nguồn tài nguyên vật lý ẩn đối với người sử dụng,
trong suốt đối đối với người sử dụng.
1.5.5 Giảm nguy cơ (Reduced risk)
- Một lợi thế cơ bản của Điện Toán Đám Mây là không có phát sinh nguy cơ
từ việc đầu tư số lượng lớn hay hợp đồng dài hạn. Nếu dự án không khả thi bạn
dừng trả tiền và thay đổi dịch vụ đám mây khác ngay lập tức. Điện Toán Đám mây
là một ý tưởng kiểm tra và thử nghiệm phần mềm mới.
19
20
1.6.2. Sự tấn công qua mạng
- Do hoạt động dựa trên môi trường internet nên dễ dàng bị tấn công qua mạng
bằng nhiều hình thức như tấn công DDOS làm cho các nhà cung cấp dịch vụ tốn
một khoản tiền lớn cho vấn đề an toàn Điện Toán Đám Mây như tường lửa …
1.6.3 Data lock-in
- Hiện nay các phần mềm đã được cải thiện khả năng tương tác giữa các nền
tảng khác nhau, nhưng các hàm API của Điện Toán Đám Mây vẫn còn mang tính
độc quyền, chưa được chuẩn hóa. Do đó khi một khách hàng viết một ứng dụng trên
một nền tảng do một nhà cung cấp dịch vụ của mình để phục vụ nhu cầu người sử
dụng tốt hơn.
- Ngoài ra việc sử dụng các dịch vụ Điện Toán Đám Mây cũng gây ra một vấn
đề, khi dữ liệu của người sử dụng dịch vụ lưu trữ trên hệ thống của nhà cung cấp
dịch vụ thì có điều gì đảm bảo cho người sử dụng là dữ liệu sẽ an toàn, không bị rò
rỉ ra bên ngoài. Hiện nay, về mặt kỹ thuật thì vẫn chưa có cách nào hiệu quả để giải
quyết vấn đề trên. Điều này dẫn đến việc thực hiện hay sử dụng thường xảy ra đối
với nhà cung cấp dịch vụ có tiếng, uy tín.
1.6.Bảo mật và kiểm tra dữ liệu
- Khi đưa dữ liệu lên đám mây thì một câu hỏi đặt ra là: dữ liệu của mình có
an toàn không? Do đó các dữ liệu nhạy cảm của các công ty thường không để lên
đám mây lưu trữ. Việc để dữ liệu đó lên đó sẽ làm cho khả năng bị nhiều người
khác truy xuất hơn. Và vấn đề này đang là một thách thức thực hiện đối với công
nghệ hiện đại trong việc bảo mật dữ liệu. Hiện nay có một giải pháp là những người
dùng dịch vụ đám mây phải mã hóa dữ liệu trước khi đưa lên hệ thống Đám Mây,
và khi muốn sử dụng dữ liệu này thì phải thực hiện công việc giải mã này ở máy
local
- Ngoài ra, còn có thể thêm vào việc ghi nhận lại các thông tin mà hệ thống đã
làm, và sử dụng hệ điều hành ảo khi cung cấp dịch vụ IaaS sẽ làm cho ứng dụng của
22
1.6.8. Khả năng co giãn của hệ thống
- Hiện nay, Google triển khai platform App Engine giúp đỡ các developer phát
triển Web application. Khi người sử dụng dùng dịch vụ này của google nếu mình
chọn ở mức mua dữ liệu thì khi đó google tự động cung cấp thêm tài nguyên cho
ứng dụng ta chạy đồng thời tính thêm tiền cần. Đây cũng là một cách thức trong
việc nhận ra khi nào tài nguyên người sử dụng đã dùng ở mức quá hạn và cung cấp
thêm tài nguyên người dùng.
- Ngoài ra nếu giải quyết được bài toán tự co giãn tài nguyên của người sử
dụng thuê thì nhà cung cấp dịch vụ cũng sẽ tiết kiệm được một khoản tiền.
1.6.9. Bản quyền phần mềm
1.7. Các mô hình điện toán đám mây
- 3 loại hình dịch vụ cơ bản mà cloud computing đang được triển khai là
Infrastucture as a Service (IaaS), Platform as a Service (PaaS) và Software as a
Service (SaaS).
Hình 1.2: Các loại hình dịch vụ đối với Cloud computing
23
- On-Premises: Các ứng dụng/dịch vụ On-premises được hiểu như các ứng
dụng và dịch vụ chạy trên nền tảng cơ sở hạ tầng của doanh nghiệp, chứ không phải
trên cloud. Đây là kiểu dịch vụ phổ biến hiện nay. Doanh nghiệp quản lý hoàn toàn
về hạ tầng mạng, hệ thống lưu trữ, máy chủ, ảo hoá, hệ điều hành, phần mềm tầng
giữa, các lớp runtime, dữ liệu và ứng dụng.
1.7.1 Dịch vụ cơ sở hạ tầng IaaS (Infrastucture as a Service)
dụng
Thu nhập cao hơn trên tài nguyên
Sự hoàn thiện của các công cụ quản lý
Giảm chi phí do:
hệ thống
- Ít phần cứng hơn
Tích hợp qua giới hạn của Cloud
- Giảm bớt chi phí không gian
Các vấn đề về bảo mật bên trong
- Tăng tính tự động hoá và giảm bớt sự
can thiệp của các nhà quản trị
- Giảm bớt tiêu thụ năng lượng
Khả năng đạt được tiêu thụ theo yêu
cầu – consumption on demand.
1.7.2 Dịch vụ nền tảng PaaS (Platform as a Service)
Cung cấp nền tảng tính toán và một tập các giải pháp nhiều lớp. Nó hỗ trợ việc
triển khai ứng dụng mà không quan tâm đến chi phí hay sự phức tạp của việc trang
bị và quản lý các lớp phần cứng và phần mềm bên dưới, cung cấp tất cả các tính
năng cần thiết để hỗ trợ chu trình sống đầy đủ của việc xây dựng và cung cấp một
ứng dụng và dịch vụ Web sẵn sàng trên Internet mà không cần bất kì thao tác tải
Copyright: Tài liệu đại học ©