0
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẶNG THỊ THÙY TRANG
NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội – 2014
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẶNG THỊ THÙY TRANG
NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC
Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:
LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ......................................................................8
MỞ ĐẦU ......................................................................................................................... 9
Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU
TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM .................... 11
1.1.Trọng tâm ứng dụng CNTT 2011-2015 ............................................................... 11
1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam ....................................................................................................................... 11
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay ....11
1.2.1.1.Mạng LAN kết nối Internet ................................................................................11
1.2.1.2.Các loại người sử dụng và phân quyền truy cập...............................................12
1.2.2.Yêu cầu thực tế ....................................................................................................13
1.2.3.Vấn đề thực tiễn ...................................................................................................13
1.2.4.Các quy định của các cơ quan nhà nước ........................................................... 14
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam ..................................................................................................14
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu ......................................14
1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng ....................................................... 15
1.3.2.1.Thất thốt thơng tin: Wikileak ...........................................................................15
1.3.2.2.Mã độc lây lan như bom nổ chậm .....................................................................15
1.3.3.Tình hình tại Việt Nam ....................................................................................... 15
1.3.4.Nguyên nhân........................................................................................................16
1.3.4.1.Năng lực kỹ thuật............................................................................................... 16
1.3.4.2.Đầu tư thiếu đồng bộ ......................................................................................... 16
1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế...........................................16
1.3.4.4.Thiếu cơng nghệ phù hợp với hồn cảnh Việt Nam ..........................................17
Chƣơng 2: NGHIÊN CỨU CƠNG NGHỆ ẢO HĨA ĐỂ ĐẢM BẢO AN TỒN
THƠNG TIN ..............................................................................................................18
2.1. Giới thiệu về ảo hóa .............................................................................................. 18
2.1.1. Ảo hóa và những vấn đề liên quan ....................................................................18
2.1.1.1. Ảo hóa là gì? ....................................................................................................18
3.1.1. Khái niệm thin clients......................................................................................... 40
3.1.2. Đặc điểm của thin client ..................................................................................... 40
3.1.3. Tiêu chuẩn cho các kiến trúc thin client ........................................................... 40
3.1.3.1. Tổng quan về kiến trúc thin client ....................................................................42
3.1.3.2. Ứng dụng kiến trúc thin client ..........................................................................43
3.1.3.3. Thin client .........................................................................................................44
3.1.3.4. Fat server ..........................................................................................................45
3.2. Các công nghệ thin client ..................................................................................... 46
3.2.1. Các cơng nghệ trình diễn phân tán ...................................................................47
3.2.1.1. Kiến trúc tính tốn độc lập (ICA) .....................................................................47
3.2.1.2. Giao thức RDP (Remote Desktop Protocol) .................................................... 49
3.2.1.3. X Windows ........................................................................................................50
3.2.1.4. Tổng kết các cơng nghệ trình diễn phân tán .................................................... 51
3.2.2. Các cơng nghệ trình diễn từ xa..........................................................................53
3.2.2.1. Các cơng nghệ dựa trên trình duyệt (browser) ................................................53
3.2.2.2. Khung làm việc thin-client của IBM (TCF-Thin-Client Framework) ..............54
3.2.2.3. Tổng kết các cơng nghệ trình diễn từ xa .......................................................... 56
5
3.3. Giao thức hiển thị từ xa Remote Desktop Protocol (RDP) ............................... 57
3.3.1. Giới thiệu Remote Desktop Protocol (RDP) ...................................................... 57
3.3.2. Cơ chế làm việc của giao thức RDP ..................................................................57
3.3.2.1. Connection Initiation ........................................................................................ 57
3.3.2.2. Basic Settings Exchange ...................................................................................58
3.3.2.3. Channel Connection ......................................................................................... 59
3.3.2.4. RDP Sercurity Commencement ........................................................................59
3.3.2.5. Secury Settings Exchange .................................................................................59
3.3.2.6. Licensing ...........................................................................................................59
3.3.2.7. Capabilities Negotiation ...................................................................................60
6
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
Từ viết tắt
AD
GUI
ICA
IP
LAN
LDAP
MPLs
NAS
OSI
RAID
RDP
SAN
TCF
TCO
TCP
VDI
VMM
VPN
VRF
VT
Từ gốc
Active Directory
Graphical User Interface
Thin- Client Framework
Khung làm việc thin-client
Total Cost of Ownership
Tổng chi phí sở hữu
Transsmission Control Protocol
Giao thức điều khiển truyền vận
Virtual Desktop Infrastructure
Ảo hóa hạ tầng máy tính
Virtual Machine Monitor
Lớp nền tảng ảo hóa
Virtual Private Network
Mạng riêng ảo
Virtual Routing and Forwarding
Bảng định tuyến ảo
Virtualization Technology
Cơng nghệ ảo hóa
7
DANH MỤC CÁC BẢNG
Bảng 3.1: Các phạm trù ứng dụng .................................................................................44
Bảng 3.2: Các cấu hình phần cứng của thin client ........................................................ 44
Bảng 3.3: Operating System Footprint ..........................................................................45
Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch bản ................................................45
Bảng 3.5: Tổng kết các cơng nghệ trình diễn phân tán .................................................51
Bảng 3.6: Browser clients footprints .............................................................................54
Bảng 3.7: Tổng kết cơng nghệ trình diễn từ xa ............................................................. 56
Hình 3.6: Giao thức ICA và tầng giao vận ....................................................................49
Hình 3.7: Sơ đồ kiến trúc X Window ............................................................................51
Hình 3.8: Kiến trúc TCF ................................................................................................ 55
Hình 3.9: Giao thức Remote Desktop ...........................................................................57
Hình 4.1: Mơ hình phân chia mạng nội bộ ....................................................................61
Hình 4.2: Tổ chức mạng LAN trong giải pháp V-Azur ................................................63
Hình 4.3: Giải pháp VCM12 được bố trí trong mạng LAN ..........................................65
Hình 4.4: Triển khai chức năng Truy cập Internet an tồn ...........................................65
Hình 4.5: Mơ hình giải hệ thống giải pháp VPN........................................................... 67
Hình 4.6: Mơ hình bảo vệ nhiều lớp ..............................................................................71
9
MỞ ĐẦU
Hiện nay, các vấn đề an ninh mạng hay chống tin tặc là những vấn đề đang
được sự quan tâm chú ý của nhiều cơ quan, tổ chức và cả cộng đồng, đặc biệt với các
đơn vị yêu cầu bảo mật tuyệt đối. Theo một đánh giá gần đây, các Website và mạng
nội bộ Việt Nam đang có mức độ mất an toàn cao. Việt Nam đang là một trong 3 quốc
gia dễ bị tổn thương nhất về an ninh mạng. Theo báo cáo năm 2011 của Bộ Công an,
tình hình an ninh mạng của Việt Nam đã trở nên rất nghiêm trọng, đặc biệt tại các cơ
quan trong hệ thống chính trị, các ngân hàng và các tổng công ty lớn.
Từ năm 2004, Bộ trưởng Bộ Công an, đã có Quyết định số 71/2004/QĐ-BCA
[1], quy định về bảo đảm an toàn an ninh mạng liên quan đến sử dụng và quản lý
Internet có giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin,
tài liệu, số liệu thuộc bí mật nhà nước”. Biện pháp này được giải thích theo nhiều cách
sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang
bị 2 máy tính” hoặc “máy tính có tài liệu bí mật khơng được nối mạng”,…
Có hai nhu cầu ngày càng tăng trong các cơ quan nhà nước và trong các doanh
nghiệp là truy cập Internet và làm việc từ xa. Việc cấm tuyệt đối sử dụng Internet là đi
pháp này với bộ giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập
Internet và làm việc từ xa qua Internet. Ý tưởng của sản phẩm V-Azur dựa trên nền
giải pháp VCM12 [12] xuất phát từ mục đích có được giải pháp đơn giản, ít tốn kém
đồng thời giải quyết được hầu hết vấn đề đã nêu, vừa đem lại tiện lợi tối đa cho người
dùng. Sản phẩm sẽ là giải pháp hữu hiệu để giảm thiểu rủi ro về an ninh mạng và sẽ
tiếp tục được nâng cấp và giải quyết các thách thức mới do thực tế đề ra.
Luận văn gồm 4 chương và phần kết luận, hướng phát triển của đề tài:
Chương 1: Tổng quan về vấn đề bảo vệ an toàn an ninh trong mạng LAN và
truy cập Internet tại Việt Nam (1.1.Trọng tâm ứng dụng CNTT 2011-2015; 1.2.Yêu
cầu thực tiễn về bảo vệ an toàn an ninh trong mạng LAN và truy cập Internet tại Việt
Nam; 1.3.Xác định vấn đề về bảo vệ an toàn an ninh dữ liệu trong mạng LAN và truy
cập Internet tại Việt Nam)
Chương 2: Nghiên cứu công nghệ ảo hóa để đảm bảo an tồn thơng tin
(2.1.Giới thiệu về ảo hóa; 2.2.Các cơng nghệ hỗ trợ ảo hóa ; 2.3.Cơng nghệ ảo hóa
ứng dụng đảm bảo sử dụng an tồn thơng tin và tiện lợi trong mạng LAN)
Chương 3: Tìm hiểu cơng nghệ Thin client và giao thức Remote Desktop
Protocol (3.1.Giới thiệu về thin clients; 3.2.Các công nghệ thin clients; 3.3. Giao thức
làm việc từ xa an tồn Remote Desktop Protocol (RDP))
Chương 4: Mơ hình mạng LAN trong giải phảp V-Azur bảo vệ an ninh dữ liệu
cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet (4.1. Phân chia
mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn; 4.2. Nhược điểm và
các vấn đề của các giải pháp hiện có; 4.3. Giải pháp V-Azur bảo vệ an toàn an ninh
dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet; 4.4.
Đánh giá cơng nghệ VCM12; 4.5. Đề xuất giải pháp chính sách và khuyến nghị)
Luận văn trình bày những nội dung cơ bản, những nội dung được đề cập sâu
hơn là cơ sở cho giải pháp ứng dụng V-AZUR. Giải pháp có ý nghĩa thiết thực trong
việc đảm bảo an tồn an ninh cho hệ thống mạng cơ quan, doanh nghiệp.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong Thầy, Cơ và đồng nghiệp đóng góp ý kiến xây
dựng.
1.2.u cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay
1.2.1.1.Mạng LAN kết nối Internet
Ngày nay, các thành phần chủ yếu của một mạng LAN có kết nối Internet có
thể mơ tả sơ bộ như theo sơ đồ Hình 1.1. Các máy trạm, máy chủ, cơ sở dữ liệu, máy
in thường được đặt sau tường lửa (giải pháp mềm như ISA hoặc giải pháp cứng như
Cisco ASA hoặc cả hai).
Để an toàn, điểm truy cập Wifi phải đặt trước tường lửa ngay sau modem.
Mạng lớn có nhiều máy có thể phải dùng thiết bị switch.
12
`
Modem
ADSL hoặc Cáp quang
FIREWALL
ISA
Switch
Windows Server
Wifi
Access Point
Application Server
Ứng dụng chủ yếu hiện nay cần bảo mật là các ứng dụng hỗ trợ tác nghiệp (theo
mơ hình Client-Server chạy trên nền Desktop hoặc theo mơ hình Web-based). Trong
cả hai trường hợp, các tài liệu được lưu trữ trên “Máy chủ ứng dụng”. Các lỗ hổng an
ninh cần xử lý của mơ hình này là:
- Cần phải ngăn chặn kết nối trực tiếp của P1 vào Internet để đảm bảo các
máy tính chứa tài liệu mật khơng thể kết nối được với Internet. Người dùng
hiện nay thường gửi tài liệu qua các hệ thống Email miễn phí khó kiểm
sốt, qua các chương trình chat, qua các chương trình chia sẻ file ngang
hàng (P2P),… hoặc tải về P1 các mã độc do vơ tình hay hữu ý.
- Với nhận thức và kiến thức hiện nay của người dùng, việc truy cập từ P2
vào P1 để lấy tài nguyên hoặc cài mã độc hết sức dễ dàng. Nhóm người sử
dụng P2 thường có nhận thức trách nhiệm thấp hơn về bảo mật và dễ dàng
để thất thốt, ngồi ra tin tặc có thể lợi dụng sơ hở này để truy cập P1 từ
máy P2. Như vậy, về mặt kỹ thuật, không có sự khác biệt giữa P1 và P2.
- Hiện nay việc phân quyền hoàn toàn dựa vào quyền truy cập được quy định
trên máy chủ ứng dụng. Tuy nhiên, người sử dụng có thể giả mạo các máy
con để hợp thức hóa việc truy cập tài nguyên trên máy chủ; các tài nguyên
và tài liệu trên máy chủ ứng dụng có thể truy cập trực tiếp được cũng khá
nhiều và ở dạng chưa mã hóa. Bên cạnh đó quyền truy cập cũng khơng có
chính sách phân quyền cẩn thận và không được theo dõi ghi nhật ký thường
xuyên để truy vết.
Có thể thấy, sơ đồ này hiện nay khá phổ biến và đã bộc lộ nhiểu điểm yếu cần
cấp tốc khắc phục.
1.2.2.Yêu cầu thực tế
Với sự phát triển ngày càng rộng khắp của CNTT, mạng LAN đang ngày càng
phổ biến ở các cơ quan thuộc hệ thống chính trị và các doanh nghiệp ở Việt Nam.
Trong lúc đó:
(i) Sử dụng Internet đã trở thành một thói quen, u cầu cơng việc không thể
thiếu đối với cơ quan nhà nước và doanh nghiệp.
(ii) Làm việc từ xa sẽ trở nên quan trọng đối với lãnh đạo, nhân viên đi công tác
dụng như HTTP, TELNET, FTP, SMNP,…
Trước tình hình đó, nhà nước ta đã có một số quy định nhằm đảm bảo an tồn
an ninh thơng tin cho mạng nội bộ của các cơ quan nhà nước cụ thể như sau:
a. Quy định về sử dụng Internet của Bộ Công An (QĐ 71/2004/QĐ-BCA)
nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối Internet.
b. Quyết định của Bộ trưởng Bộ Tài chính (2615/QĐ-BTC) các máy tính trong
ngành tài chính có các tài liệu quan trọng không được mở trang tin và ứng dụng
Internet ngay trên máy.
c. Vấn đề: Bảo mật là vấn đề của con người. Nếu khơng có nhận thức phù hợp,
cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ
ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vơ ích, gây cản trở tiến bộ và
gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó
kiểm sốt. Do đó, cần có cơng nghệ phù hợp.
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của tồn cầu
Cuộc cách mạng cơng nghệ thơng tin (CNTT) nói chung và Internet nói riêng
đã tác động mạnh mẽ, tạo ra bước đột phá trong tiến trình phát triển kinh tế, văn hóa,
xã hội, mở ra một kỷ nguyên mới cho xã hội loại người.
Đồng thời, CNTT cũng đã trở thành phương tiện nguy hiểm để các thế lực thù
địch và bọn tội phạm lợi dụng vào mục đích phá hoại, gây thiệt hại lớn về kinh tế - xã
hội và an ninh của nhiều quốc gia, tổ chức quốc tế. Theo thống kê của các cơ quan an
15
ninh mạng quốc tế, trong năm 2012, thiệt hại về kinh tế do tội phạm mạng gây ra đã
lên đến 388 tỷ USD, cao hơn nhiều so với năm 2011 là 114 tỷ USD. Đặc biệt số vụ tấn
công mạng vào các hệ thống cơ sở hạ tầng trọng yếu của nhiều quốc gia ngày càng gia
tăng và các thiết bị kết nối Internet truyền thống, các thiết bị dân dụng, như tivi thông
minh, máy in, hệ thống phần mềm điều khiển trên xe ôtô… cũng trở thành mục tiêu
1.3.3.Tình hình tại Việt Nam
Đối với Việt Nam, hệ thống mạng thông tin quốc gia, nhất là hệ thống mạng
thông tin của các cơ quan, tổ chức quan trọng vẫn sẽ là mục tiêu tấn cơng xâm nhập
của tin tặc nước ngồi; nguy cơ mất an ninh, an tồn thơng tin, lộ, lọt bí mật nhà nước
sẽ ngày càng nghiêm trọng nếu khơng có giải pháp phòng, chống hữu hiệu:
16
Báo cáo về tính an tồn của các mạng LAN và website của Việt Nam của
một tổ chức quốc tế Việt Nam đang là một trong 3 nước yếu nhất.
Báo cáo của Bộ Công An: Hơn 90% các mạng nội bộ của các cơ quan Đảng,
Chính phủ và các ngân hàng bị xâm nhập, lấy dữ liệu
Trước tình hình đó, Cơng tác đảm bảo an ninh, an tồn mạng thơng tin quốc gia,
phịng, chống vi phạm và tội phạm mạng là cuộc đấu tranh của toàn dân dưới sự lãnh
đạo của Đảng, là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia,
giữ gìn trật tự, an tồn xã hội; là trách nhiệm của cả hệ thống chính trị và tồn dân, của
các cấp, các ngành, trong đó lực lượng Cơng an giữ vai trò lòng cốt.
1.3.4.Nguyên nhân
1.3.4.1.Năng lực kỹ thuật
Thực trạng an tồn thơng tin tại Việt Nam đang tiềm ẩn nhiều nguy cơ. An ninh
mạng vẫn chưa thực sự được quan tâm tại các cơ quan, doanh nghiệp. Theo nhận định
của các chuyên gia Công ty Bkav, hầu hết cơ quan doanh nghiệp của Việt Nam chưa
bố trí được nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ
này chưa tương xứng với tình hình thực tế. Đó là ngun nhân chính.
1.3.4.2.Đầu tư thiếu đồng bộ
Việt Nam hiện nay gặp rất nhiều thách thức, trước tiên là các cuộc tấn cơng sẽ
gia tăng và tính chất ngày càng tinh vi. Đối với các tổ chức, hiện nay các hệ thống của
họ gần như chưa được quan tâm đầy đủ dưới khía cạnh bảo mật. Kinh phí để đầu tư
trong các cơ quan nhà nước bị hạn chế. Đây là một mâu thuẫn, khi họ vẫn muốn bảo
vệ hệ thống của mình nhưng chưa đầu tư được.
thất tài chính khi bị tấn cơng.
Trong khi đó, nguy cơ tấn công xuất phát rất đa dạng, qua các website, hệ thống
thư điện tử, tấn công DDOS và qua thiết bị USB. Trước tình trạng đó, Ban Cơ yếu
Chính phủ đã nghiên cứu và triển khai các sản phẩm bảo mật như: thiết bị nhớ an toàn
(USB an toàn), hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính
phủ, mơ hình hệ thống CA quốc gia, hệ thống giám sát an ninh mạng (GSANM)…
Tuy nhiên, với một hạ tầng rộng lớn, việc triển khai các sản phẩm trên chưa đủ và cịn
khá nhiều khó khăn.
Thêm vào đó, một số chuyên gia an ninh mạng cho rằng: tất cả các vụ tấn cơng
do cố tình hay hữu ý đều nhằm vào hệ điều hành Microsoft Window (đặc biệt chú ý tới
việc tấn công mạng từ Trung Quốc và bê bối từ vụ PRISM của cơ quan NSA-Hoa Kỳ),
trong khi đó Việt Nam chưa có khả năng chế ngự các mối đe dọa không gian mạng do
nhà nước, quốc gia đứng đằng sau. Windows là phần mềm nguồn đóng, sở hữu độc
quyền là mối đe dọa của an ninh quốc gia. Cần loại bỏ và thay vào đó là sử dụng phần
mềm nguồn mở (PMNM) nhằm đảm bảo an tồn, an ninh thơng tin mạng cho quốc
gia. Và câu hỏi đặt ra: Phần mềm nguồn mở sẽ đảm bảo an tồn, an ninh thơng tin
mạng?
Tóm lại, an tồn an ninh thông tin là một thách thức không chỉ đối với nước ta
mà cịn là bài học tồn cầu. Hơn nữa, Việt Nam là một trong những điểm ưa thích của
hacker quốc tế. Ở nước ta tình hình mất an tồn thơng tin xuất phát từ sự yếu kém của
nguồn nhân lực, các giải pháp đầu tư cơ sở hạ tầng thiếu đồng bộ, thiếu cơng nghệ phù
hợp với hồn cảnh trong nước. Các giải pháp đảm bảo an ninh, an tồn thơng tin chỉ
mang tính đối phó, gây lãng phí ngân sách. Vì thế, giải pháp tối ưu trước hết là đào tạo
nguồn nhân lực có trình độ và tập trung đầu tư nghiên cứu phát triển sản phẩm ứng
dụng phù hợp, kiến trúc an ninh, an tồn thơng tin cần chuẩn công nghiệp mặc định tại
Việt Nam. Cần có những chính sách, hành lang pháp lý minh bạch, khuyến khích
doanh nghiệp, cơ quan nghiên cứu phát triển cơng nghệ và sản phẩm; tránh trao độc
quyền cho một số cơ quan khơng có năng lực. Đồng thời, khơng nên có quan điểm bài
xích các sản phẩm nước ngồi một cách cực đoan.
19
nghiên cứu và đánh giá một sản phẩm hệ điều hành hay một phần mềm tiện ích nào
đó. Nhưng khơng ngừng lại ở đó, những khả năng và lợi ích của ảo hóa cịn hơn thế và
nơi gặt hái được nhiều thành công và tạo nên thương hiệu của công nghệ ảo hóa đó
chính là mơi trường hệ thống máy chủ ứng dụng và hệ thống mạng.
Ảo hóa máy chủ thực sự không được quan tâm cho đến những năm gần đây. Do
cịn nhiều vấn đề về cơng nghệ và người dùng chưa thực sự quan tâm tới lợi ích và cịn
thiếu đội ngũ am hiểu về cơng nghệ này nên việc áp dụng nó vào hệ thống là rất dè
dặt. Nhưng khi đối mặt với thực trạng khủng hoảng của nền kinh tế tồn cầu thì bất kỳ
một doanh nghiệp nào cũng chủ tâm để tìm một giải pháp tiết kiệm hơn. Đây cũng là
lúc cơng nghệ ảo hóa tìm được chỗ đứng vững chắc cho mình trong lĩnh vực cơng
nghệ thơng tin trên thế giới.
Hiện nay có nhiều nhà cung cấp các sản phẩm máy chủ và phần mềm đều chú
tâm đầu tư nghiên cứu và phát triển công nghệ này như là HP, IBM, Microsoft và
Vmware. Nhiều dạng ảo hóa được đưa ra và có thể chia thành hai dạng chính là ảo hóa
cứng và ảo hóa mềm. Từ hai dạng này sau này mới phát triển thành nhiều loại ảo hóa
có chức năng và cấu trúc khác nhau như VMM-Hypervisor, VMM, Hybrid…
Ảo hóa cứng được gọi là phân thân máy chủ. Dạng ảo hóa này cho phéo tạo
nhiều máy ảo trên một máy chủ vật lý. Mỗi máy ảo chạy hệ điều hành riêng và được
cấp phát tài nguyên phần cứng như số xung nhịp CPU, ổ cứng và bộ nhớ… Các tài
nguyên của máy chủ có thể được cấp phát động một cách linh động tùy theo nhu cầu
của từng máy ảo. Giải pháp này cho phép hợp nhất các hệ thống máy chủ cồng kềnh
thành một máy chủ duy nhất và các máy chủ trước đây bây giờ đóng vai trị là máy ảo
ứng dụng chạy trên nó.
Ảo hóa mềm cịn gọi là phân thân hệ điều hành. Nó thực ra chỉ là sao chép bản
sao của một hệ điều hành chính làm nhiều hệ điều hành con và cho phép các máy ảo
ứng dụng có thể chạy trên nó. Như vậy, nếu hệ điều hành chủ là Linux thì các ảo hóa
này sẽ cho phép tạo thêm nhiều bản Linux làm việc trên cùng máy. Cách này có ưu
điểm là chỉ cần một bản quyền cho một hệ điều hành và có thể sử dụng cho các máy ảo
còn lại. Nhược điểm của nó là khơng thể sử dụng nhiều hệ điều hành khác nhau trên
gặp sự cố và hỏng hóc do một lỗi hệ điều hành nào đó thì việc phục hồi đơn giản là
chép đè tập tin đã được sao chép lên tập tin cũ và hệ thống có thể hoạt động bình
thường lại ngay như lúc chưa bị lỗi. Thời gian để phục hồi hệ thống là rất ít. Nếu được
đầu tư thêm một số máy chủ khác thì ta có thể cấu hình tính năng High Availability
cho các máy chủ ảo hóa này. Khi đó một máy ảo hay một máy chủ bị sự cố thì tất cả
các máy ảo sẽ được di chuyển nóng đến máy chủ khác và có thể hoạt động lại ngay tức
thì.
Cân bằng tải và phân phối tài nguyên linh hoạt: Với các công cụ quản lý từ xa
các máy chủ và máy ảo ta sẽ thấy được tình trạng của tồn bộ hệ thống từ đó có chính
sách nâng cấp CPU, RAM, ổ cứng cho máy chủ hoặc máy ảo đó hoặc di chuyển máy
ảo đang quá tải đó sang máy chủ vật lý có cấu hình mạnh hơn, có nhiều tài ngun cịn
trống hơn để hoạt động.
Tiết kiệm: cơng nghệ ảo hóa giúp các doanh nghiệp có thể tiết kiệm được một
chi phí lớn đó là điện năng chiếu sáng và hệ thống làm mát. Ảo hóa cho phép gom
nhiều máy chủ vào một máy chủ vật lý nên chỉ tốn kém chi phí điện tiêu thụ, làm mát
và chiếu sáng cho một vài máy chủ thơi. Bên cạnh đó thì diện tích sử dụng để đặt máy
chủ cũng được thu hẹp lại, hệ thống dây cáp nối cũng ít đi.
2.1.1.3. Q trình phát triển và các xu thế hiện nay trên thế giới
Ảo hóa có nguồn gốc từ việc phân chia ổ đĩa, chúng phân chia một máy chủ
thực thành nhiều máy chủ con. Một khi máy chủ thực chia, mỗi máy chủ con có thể
chạy một hệ điều hành và các ứng dụng độc lập.
Tiên phong cho cơng nghệ ảo hóa này là từ hãng IBM với hệ thống máy ảo
VM/370 nổi tiếng được công bố vào năm 1972. Đến năm 1999 Vmware giới thiệu sản
phẩm vmware workstation. Sản phẩm này ban đầu được thiết kế để hỗ trợ việc phát
21
triển và kiểm tra phần mềm và đã trở nên phổ biến nhờ khả năng tạo những máy tính
ảo chạy đồng thời nhiều hệ điều hành khác nhau trên cùng một máy tính thực. Khác
với chế độ khởi động kép là những máy tính được nhiều hệ điều hành và có thể chọn
Có nhiều phương pháp để thực hiện việc ảo hóa hệ thống mạng. Các phương
pháp này tùy thuộc vào các thiết bị hỗ trợ, tức là các nhà sản xuất thiết bị đó, ngồi ra
cịn phụ thuộc vào hạ tầng mạng sẵn có, cũng như nhà cung cấp dịch vụ mạng (ISP).
Dưới đây là mơ hình hoạt động của một vài phương pháp vẫn đang được nghiên cứu
cũng như đã được triển khai bởi Cisco.
Ảo hóa lớp mạng (Virtualized overlay network)
22
Trong mơ hình này, nhiều hệ thống mạng ảo sẽ cùng tồn tại trên một lớp nền tài
nguyên dùng chung. Các tài nguyên đó bao gồm các thiết bị mạng như Router, Switch,
các dây truyền dẫn, NIC (network interface card). Việc thiết lập nhiều hệ thống mạng
ảo này sẽ cho phép sự trao đổi thông suốt giữa các hệ thống mạng khác nhau, sử dụng
các giao thức và phương tiện truyền tải khác nhau, ví dụ như mạng Internet, hệ thống
PSTN, hệ thống Voip. Điều này làm tăng tính linh động trong hệ thống mạng, giúp
doanh nghiệp – người dùng thốt khỏi sự trói buộc của thiết bị - hạ tầng vật lý.
Hình 2.2: Ảo hóa lớp mạng
Chú thích:
Substrate link: Các liên kết vật lý nền tảng.
Sustrate router: Các router vật lý
Virtual link và Substrate router là các thiết bị và liên kết được ảo hóa.
Mơ hình ảo hóa của Cisco
Một giải pháp về ảo hóa hệ thống mạng được Cisco đưa ra, đó là phân mơ hình
ảo hóa ra làm 3 khu vực, với các chức năng chuyên biệt. Mỗi khu vực sẽ có các liên
kết với các khu vực khác để cung cấp các giải pháp đến tay người dùng 1 cách thông
suốt. Cụ thể như sau:
- Khu vực quản lý truy nhập (Access Control): Có nhiệm vụ chứng thực người
dùng muốn đăng nhập để sử dụng tài nguyên hệ thống, qua đó sẽ ngăn chặn
các truy xuất không hợp lệ của người dùng; ngồi ra khu vực này cịn kiểm
24
Do đó, khái niệm ảo hóa hệ thống lưu trữ (Storage virtualization) ra đời. Ảo hóa
hệ thống lưu trữ, về cơ bản là sự mô phỏng, giả lập việc lưu trữ từ các thiết bị lưu trữ
vật lý. Các thiết bị này có thể là băng từ, ổ cứng hay kết hợp cả 2 loại.
Hình 2.4: Áo hóa hệ thống lƣu trữ
Ảo hóa hệ thống lưu trữ mang lại các ích lợi như việc tăng tốc khả năng truy
xuất dữ liệu, do việc trải rộng và phân chia các tác vụ đọc/viết trong mạng lưu trữ.
Ngồi ra, việc mơ phỏng các thiết bị lưu trữ vật lý cho phép tiết kiệm thời gian hơn
thay vì phải định vị xem máy chủ nào hoạt động trên ổ cứng nào để truy xuất.
2.1.2.2.2. Mơ hình hoạt động
Ảo hóa hệ thống lưu trữ có thể được tổ chức theo ba dạng sau đây:
Host-based
Server
Lớp ảo hóa
Driver của
thiết bị
Ổ đĩa vật lý
Hình 2.5: Host-based Storage Virtualization
Trong mơ hình này, ngăn cách giữa lớp ảo hóa và ổ đĩa vật lý là driver điều
khiển của các ổ đĩa. Phần mềm ảo hóa sẽ truy xuất tài nguyên (các ổ cứng vật lý)
thông qua sự điều khiển và truy xuất của lớp Driver này.
Storage-device-based
Copyright: Tài liệu đại học ©