LỜI CẢM ƠN
Trước tiên với tình cảm sâu sắc và chân thành nhất, cho phép em được bày tỏ lòng
biết ơn đến thầy đã hướng dẫn em trong suốt quá trình học tập và nghiên cứu đề tài
“Nghiên cứu các mơ hình và chiến lược bảo mật của điện tốn đám mây”. Trong suốt
thời gian từ khi bắt đầu học mơn Điện tốn đám mây nâng cao, em đã nhận được rất nhiều
sự quan tâm, giúp đỡ của quý Thầy.
Với lòng biết ơn sâu sắc nhất, em xin gửi lời cảm ơn đến quý Thầy đã truyền đạt
vốn kiến thức quý báu cho em trong suốt thời gian học tập. Nhờ có những lời hướng dẫn,
dạy bảo của Thầy nên đề tài nghiên cứu của em mới có thể hồn thiện tốt đẹp.
Một lần nữa, em xin chân thành cảm ơn Thầy người đã trực tiếp giúp đỡ, quan tâm,
hướng dẫn em hoàn thành tốt bài báo cáo này.
Em xin chân thành cảm ơn!

Tp HCM ngày 25 tháng 04 năm 2021

Phan Thanh Toàn

I


LỜI NĨI ĐẦU
Ngày nay, cùng với sự phát triển khơng ngừng của internet, các dịch vụ lưu trữ đám
mây như Google Drive, Dropbox, SugarSync, Amazon Cloud Drive, Box, Mimedia (m)
Drive, Skydrive, SpidekOak… cũng đang được sử dụng ngày càng rộng rãi bởi những tính
năng sao lưu, lưu trữ dữ liệu trực tuyến với khả năng đồng bộ theo thời gian thực và tự
động thực hiện sao lưu chia sẻ toàn bộ thư mục mà mình muốn, nó cịn cho phép người sử
dụng quay trở lại quá khứ để khôi phục những dữ liệu bị xóa hoặc bị thay đổi… Thêm vào
đó, nhà cung cấp thường cho người dùng một số gói miễn phí hoặc với chi phí giá rất rẻ,
thuận tiện trong việc cài đặt và sử dụng đối với các cá nhân và đơn vị nhỏ. Vì vậy số lượng
sử dụng dịch vụ ngày càng tăng. Điều này đòi hỏi các dịch vụ trên phải tạo lập được uy
tín, đảm bảo độ bảo mật và an toàn cho dữ liệu sử lưu trữ trên đó. Tuy nhiên, đây là chương

trình lưu trữ tự động trên một máy chủ, tính bảo mật dữ liệu chưa thể khẳng định được,
không thể chắc chắn thơng tin có bị đánh cắp hoặc lộ bí mật hay khơng.
Chính vì vậy đề tài Nghiên cứu các mơ hình và chiến lược bảo mật của điện tốn
đám mây được lựa chọn với mong muốn có thể là một tài liệu bổ ích để có thể giúp người
phát triển hiểu kỹ hơn về khái niệm, lợi ích và những vấn đề liên quan đến lưu trữ đám
mây.
Mục đích của đề tài
Nghiên cứu phương pháp tăng cường an ninh bảo mật cho điện tốn đám
mây. Từ đó có các khuyến nghị giúp doanh nghiệp, người sử dụng có các biện pháp phòng
ngừa nhằm hạn chế mức thấp nhất việc mất mát dữ liệu, rủi ro về rò rỉ thông tin, khi cung
cấp cung như tham gia sử dụng các dịch vụ điện toán đám mây.
Đối tượng và phạm vi nghiên cứu
Tập trung Nghiên cứu các mơ hình và chiến lược bảo mật của điện toán đám mây
cho nhà cung cấp dịch vụ cũng như người sử dụng.
Phương pháp nghiên cứu
Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật trong điện tốn
đám mây, đánh giá các nguy cơ tiềm tàng và đề xuất giải pháp tăng cường cơ chế an ninh
bảo mật trong điện toán đám mây.
II


Nội dung của đồ án được chia làm năm chương chính.
Chương 1: Tổng quan về điện tốn đám mây
Chương 2: Các mơ hình và chiến lược bảo mật của điện toán đám mây
Chương 3: Triển khai bảo mật Secure Sockets Layer (SSL)
Chương 4: Kết Luận

III



MỤC LỤC
Chương 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY ................................................. 1
1.1. Giới thiệu .................................................................................................................. 1
1.2. Khái niệm ................................................................................................................. 1
1.3. Lịch sử phát triển ...................................................................................................... 3
1.4. Các công nghệ ảo hóa ............................................................................................... 5
1.4.1. Kernel mode và User mode ................................................................................ 5
1.4.2. Hypervisor .......................................................................................................... 5
1.4.3. Full-virtualization............................................................................................... 6
1.4.4. Para-virtualization .............................................................................................. 6
1.4.5. OS-level virtualization (Isolation) ..................................................................... 6
1.5 Đặt điểm điện toán đám mây..................................................................................... 7
1.5.1. Tính tự phục vụ theo nhu cầu............................................................................. 7
1.5.2. Truy cập diện rộng ............................................................................................. 7
1.5.3. Dùng chung tài nguyên và độc lập vị trí ............................................................ 7
1.5.4. Khả năng co giãn nhanh chóng .......................................................................... 7
1.5.5. Chi trả theo thực dùng ........................................................................................ 8
1.5.6. Độ tin cậy ........................................................................................................... 8
1.5.7. Hiệu suất ............................................................................................................ 8
1.5.8. Khả năng chịu đựng ........................................................................................... 8
1.6. Mơ hình kiến trúc điện tốn đám mây...................................................................... 8
1.6.1. Thành phần ......................................................................................................... 8
1.6.2. Mơ hình kiến trúc điện toán đám mây ............................................................... 8
1.7. Những nơi cần sử dụng điện toán đám mây ............................................................. 9
1.8. Phương thức hoạt động của điện toán đám mây ...................................................... 9
1.9. Các ứng dụng điện toán đám mây .......................................................................... 10
Chương 2. CÁC MƠ HÌNH VÀ CHIẾN LƯỢC BẢO MẬT ĐIỆN TỐN ĐÁM MÂY
........................................................................................................................................... 11
2.1. Mơ hình trên nền tảng điện tốn đám mây của NIST ............................................ 11
IV



2.2. Mơ hình tích lũy rủi ro điện tốn đám mây của CSA ............................................ 12
2.3. Mơ hình khối lập phương điện tốn đám mây của Jericho Forum......................... 13
2.4. Mơ hình lập bản đồ của điện toán đám mây, bảo mật và tn thủ ......................... 16
2.5. Các mơ hình dịch vụ ............................................................................................... 17
2.5.1. Dịch vụ hạ tầng (IaaS) ..................................................................................... 18
2.5.2. Dịch vụ nền tảng (PaaS) .................................................................................. 20
2.5.3. Dịch vụ phần mềm (SaaS) ............................................................................... 21
2.6. Các mơ hình triển khai ........................................................................................... 22
2.6.1. Điện toán đám mây cộng đồng (Public Cloud) ................................................ 22
2.6.2. Điện toán đám mây riêng (Private Cloud) ....................................................... 23
2.6.3. Điện toán đám mây lai (Hybrid Cloud) ........................................................... 24
2.6.4. Điện toán đám mây cộng đồng (Community Cloud) ....................................... 25
2.7. Một số chiến lược bảo mật của điện toán đám mây ............................................... 26
2.7.1. Các chiến lược xây dựng an toàn của điện toán đám mây ............................... 26
2.7.2. Các chiến lược hoạt động an tồn của điện tốn đám mây .............................. 28
Chương 3. TRIỂN KHAI THỰC NGHIỆM BẢO MẬT SECURE SOCKETS LAYER
(SSL) ................................................................................................................................. 31
3.1. SSL là gì ................................................................................................................. 31
3.2. Chuẩn bị ................................................................................................................. 31
3.3. Thực hiện ................................................................................................................ 31
3.3.1. Máy chủ giữ domain ........................................................................................ 31
3.3.2. Máy cài vCenter ............................................................................................... 32
3.3.3. Cài đặt hai server ESXi .................................................................................... 33
3.3.4. Một máy chạy Openfiler .................................................................................. 35
3.3.5. Tạo Cluster trên vCenter .................................................................................. 35
3.3.6. Tạo một SAN trên Cluster ............................................................................... 36
3.3.7. Cài đặt Web Server (IIS) role .......................................................................... 39
3.3.8. Khảo sát Default Web Site ............................................................................... 42

3.3.9. Hosting Web Site trên IIS 7.0 .......................................................................... 42
V


3.3.10. Cấu hình Secure Socket Layer (SSL) cho Web Site ...................................... 45
3.3.11. Xin SSL certificate cho Web Server .............................................................. 47
Chương 4. KẾT LUẬN..................................................................................................... 56
4.1. Lợi ích .................................................................................................................... 56
4.2. Các vấn đề cần giải quyết ....................................................................................... 57
4.3. Xu hướng phát triển................................................................................................ 57
TÀI LIỆU THAM KHẢO ................................................................................................ 59

VI


DANH MỤC CÁC HÌNH
Hình 1. Điện tốn đám mây ................................................................................................ 2
Hình 2. Mơ hình định nghĩa của điện tốn đám mây NIST ................................................ 3
Hình 3. Mơ hình cho th nhiều lần của điện tốn đám mây ........................................... 12
Hình 4. Mơ hình khối lập phương đám mây của Jericho Forum ...................................... 14
Hình 5. Mơ hình lập bản đồ của đám mây, bảo mật và tn thủ ...................................... 17
Hình 6. Mơ hình ba dịch vụ điện tốn đám mây ............................................................. 18
Hình 7. Đám mây cơng cộng ............................................................................................ 23
Hình 8. Đám mây riêng..................................................................................................... 24
Hình 9. Đám mây lai ......................................................................................................... 25
Hình 10. Đám mây cộng đồng .......................................................................................... 26
Hình 11. Hình máy chủ ..................................................................................................... 32
Hình 12. Máy vCenter ...................................................................................................... 33
Hình 13. Máy ESXi5.1 ..................................................................................................... 34
Hình 14. Máy ESXi5.2 ..................................................................................................... 34

Hình 15. Máy cài Openfiler .............................................................................................. 35
Hình 16. Tạo Cluster ......................................................................................................... 36
Hình 17. Tạo SAN ............................................................................................................ 37
Hình 18. Thêm ổ cứng ...................................................................................................... 37
Hình 19. Kết quả ............................................................................................................... 38
Hình 20. Tạo máy ảo......................................................................................................... 38
Hình 21. Cài đặt máy ảo ................................................................................................... 39
Hình 22. Cài đặt Web Server (IIS) role ............................................................................ 40
Hình 23. Select Role Services .......................................................................................... 40
Hình 24. Cửa sổ Confirm Installation Selections chọn Install ......................................... 41
Hình 25. Installation Results ............................................................................................. 41
Hình 26. Default Web Site ................................................................................................ 42
Hình 27. Hosting Web Site trên IIS 7.0 ............................................................................ 43
Hình 28. Bung Web server ............................................................................................... 43
VII


Hình 29. Restart web Phan Thanh Toan ........................................................................... 44
Hình 30. Mở Internet Exprorer ......................................................................................... 44
Hình 31. Cài Active Directory Certificate Services role .................................................. 45
Hình 32. Cửa sổ Specify CA Type ................................................................................... 45
Hình 33. Cửa sổ Set Up Private Key ................................................................................ 46
Hình 34. Cửa sổ Configure Crytography for CA ............................................................. 46
Hình 35 Confirm Installation Selections .......................................................................... 47
Hình 36. SSL certificate cho Web Server ......................................................................... 47
Hình 37. Cửa sổ Cryptographic Service Provider Properties ........................................... 48
Hình 38. Cửa sổ File Name .............................................................................................. 48
Hình 39. Copy tất cả nội dung của file phanthanhtoan.txt ............................................... 49
Hình 40. Truy cập .......................................................... 49
Hình 41. Advanced certificater request ............................................................................ 50

Hình 42. Cửa sổ Advanced Certificate Request ............................................................... 50
Hình 43. Cửa sổ Submit a Certificate Request or Renewal Request ............................... 51
Hình 44. Mở Certification Authority từ Administrative Tools ........................................ 51
Hình 45. Cửa sổ Welcome ................................................................................................ 52
Hình 46. Lưu file certnew.cer ........................................................................................... 52
Hình 47. Mở Internet Information Services (IIS) Manager .............................................. 53
Hình 48. Server Certificate ............................................................................................... 54
Hình 49. Cửa sổ Internet Information Services (IIS) Manager ........................................ 54
Hình 50. Hộp thoại Add Site Binding .............................................................................. 55
Hình 51. Kiểm tra truy cập thành công............................................................................. 55

VIII


DANH MỤC CÁC TỪ VIẾT TẮT
STT

Ký hiệu

Chữ viết đầy đủ

chữ viết tắt

1

IEEE

Institute of Electrical and Electronics Engineers

2


NIST

National Institute of Standards and Technology

3

IaaS

Infrasructure as a service

4

PaaS

Platform as a service

5

SaaS

Software as a service

6

IBM

International Business Machines

7


MS-DOS

Microsoft Disk Operating System

8

CERN

9

API

Application Programming Interface

10

CSA

Cambridge Scientific Abstracts

11

SLA

Service Level Agreement

12

SOA


Society of Actuaries

13

CNTT

Công nghệ thông tin

14

SSL

Secure Sockets Layer

European Organisation for Nuclear Research

IX


Chương 1. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1. Giới thiệu
Ngày nay đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu quả của riêng
công ty cũng như dữ liệu khách hàng, đối tác là một trong những bài tốn được ưu tiên
hàng đầu và đang khơng ngừng gây khó khăn cho họ.
Để có thể quản lý được nguồn dữ liệu đó ban đầu các doanh nghiệp phải đầu tư,
tính tốn rất nhiều loại chi phí, như chi phí cho phần cứng, phần mềm, thiết bị mạng, chi
phí cho quản trị viên, chi phí bảo trì, sửa chữa…Ngồi ra họ cịn phải tính tốn khả năng
mở rộng nâng cấp thiết bị, phải kiểm soát việc bảo mật dữ liệu vũng như tính sẵn sàng cao
của dữ liệu.

Từ một bài tốn điển hình như vậy, chúng ta thấy được rằng nếu có một nơi tin cậy
giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các doanh nghiệp sẽ không quan tâm
nhiều đến cơ sở hạ tầng, công nghệ mà chỉ tập trung chính vào việc kinh doanh của họ thì
sẽ mang lại cho họ hiệu quả và lợi nhuận ngày càng cao hơn.
Thuật ngữ “Cloud computing” ra đời bắt nguồn từ một trong những hoàn cảnh như
vậy. “Cloud computing” còn được xuất phát từ ý tưởng đưa tất cả mọi thứ như dữ liệu,
phần mềm, tính tốn..lên trang mạng Internet.
Chúng ta sẽ khơng cịn trơng thấy các máy chủ của riêng các doanh nghiệp để lưu
trữ dữ liệu, phần mềm nữa mà chỉ có một số các “máy chủ ảo” tập trung ở trên mạng. Các
“máy chủ ảo”sẽ cung cấp các dịch vụ giúp cho doanh nghiệp có thể quản lý dữ liệu dễ
dàng hơn, họ sẽ chỉ trả chi phí có lượng sửa dụng dịch vụ của họ, mà không cần phải đầu
tư nhiều vào cơ sở hạng tầng cũng như quan tâm đến sự phát triển của cơng nghệ. Xu
hướng này đặc biệt có lợi cho các công ty, doanh nghiệp vừa và nhỏ.

1.2. Khái niệm
Điện tốn đám mây (Cloud Computing), cịn gọi là điện tốn máy chủ ảo, là mơ hình
điện tốn sử dụng các cơng nghệ máy tính và phát triển dựa vào mạng Internet.
Mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các
“dịch vụ”, cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp
1


nào đó “trong đám mây” mà khơng cần phải có các kiến thức, kinh nghiệm về cơng nghệ
đó.
IEEE định nghĩa điện tốn đám mây như sau: “Nó là hình mẫu trong đó thơng tin
được lưu trữ thường trực tại các máy chủ trên Internet và chỉ được lưu trữ tạm thời ở các
máy khách, bao gồm máy tính cá nhân, trung tâm giải trí, máy tính trong doanh nghiệp,
các phương tiện máy tính cầm tay,…”.

Hình 1. Điện tốn đám mây


Một số khái niệm khác về điện toán đám mây
“Điện toán đám mây (Cloud Computing) là một mơ hình điện tốn có khả năng co
giãn (scalable) linh động và các tài nguyên thường được ảo hóa được cung cấp như một
dịch vụ trên mạng Internet”. (Theo Wikipedia)
“Điện tốn đám mây đó là một kho tài nguyên cơ sở hạ tầng ảo hóa, có khả năng
mở rộng cao và được quản lý, có thể hỗ trợ các ứng dụng của khách hàng cuối và được
tính tiền theo mức độ sử dụng”.(Theo Forrester Research)
“Điện tốn đám mây là một mơ hình cho phép truy cập mạng thuận tiện, theo nhu
cầu đến một kho tài ngun điện tốn dùng chung, có thể định cấu hình (ví dụ như mạng,
máy chủ, lưu trữ, ứng dụng) có thể được cung cấp và thu hồi một cách nhanh chóng với
2


yêu cầu tối thiểu về quản lý hoặc can thiệp của nhà cung cấp dịch vụ” (Theo NIST). Ở
đây, năm tính năng thiết yếu bao gồm nhóm tài ngun máy tính được ảo hóa, truy cập
mạng rộng, khả năng co giãn nhanh, tự phục vụ theo yêu cầu, dịch vụ được đo lường; ba
mơ hình dịch vụ là Cơ sở hạ tầng như một Dịch vụ (IaaS), Nền tảng như một Dịch vụ
(PaaS), Phần mềm như một Dịch vụ (SaaS); bốn mơ hình triển khai là đám mây riêng,
đám mây cộng đồng, đám mây cơng cộng và đám mây lai.

Hình 2. Mơ

hình định nghĩa của điện tốn đám mây NIST

1.3. Lịch sử phát triển
Thập niên 1950: phát sinh ý tưởng “Large-scale mainframe computers”: Hệ kết hợp
những máy tính lớn với nhau để tạo máy tính mạnh hơn. Khái niệm “timesharing” (chia
sẻ thời gian): nhiều người dùng cùng chia sẻ đồng thời một tài nguyên máy tính dùng
chung.

Cho đến khi sau khái niệm “Điện toán đám mây” được giới thiệu năm 1960, trong
những năm sau đó, nhiều cơng ty cơng nghệ thông tin trên thế giới đã được thành lập, và
internet đã bắt đầu được khởi nguồn. Vào năm 1971, Intel đã giới thiệu bộ vi xử lý đầu

3


tiên, và Ray Tomlinson – một kỹ sư tin học của hãng này đã viết một ứng dụng gửi tin
nhắn từ máy tính này đến máy tính khác , tương tự như những trình email bây giờ.
Những năm 80 đã có sự bùng nổ lớn trong ngành cơng nghiệp máy tính, đến năm
1980 đã có hơn 5 triệu máy tính đã được sử dụng, chủ yếu là trong chính phủ hoặc trong
cách doanh nghiệp. Vào năm 1981. IBM đã đưa ra mẫu máy tính đầu tiên cho người dùng
cá nhân, và chỉ sau đó 1 năm, Microsoft tung ra hệ điều hành MS-DOS mà hầu hết những
máy tính ở thời điểm đó đều chạy trên nền này. Và sau đó là sự ra đời của Macintosh.
Vào năm 1990, thế giới đã chiêm ngưỡng một phương thức kết nối chưa từng có từ
trước đó, chính là phương thức Word Wide Web được phát hành bởi CERN, và được sử
dụng vào năm 1991. Vào năm 1993, trình duyệt đầu tiên đã xuất hiện và đã được cấp phép
cho các công ty tư nhân sử dụng để truy cập Internet.
Khi đã có những bước tiến công nghệ lớn mạnh như vậy, các công ty công nghệ trên
thế giới đã bắt đầu nghỉ đến khả năng áp dụng internet để làm thương mại, tiếp cận với
mọi người một cách nhanh hơn. Salesforce.com ra mắt vào năm 1999 và là trang web đầu
tiên cung cấp các ứng dụng kinh doanh từ một trang web "bình thường" - những gì bây
giờ được gọi là điện tốn đám mây.
Trong thời gian này, một số công ty chỉ mới bước đầu tư chứ không thu về lợi nhuận
trực tiếp. Chúng ta có thể thấy Amazon và Google đầu tiên hoạt động đều không thu lợi
nhuận trong những năm đầu tiên khi họ ra đời. Tuy nhiên, để tiếp tục tồn tại, họ đã phải
suy nghĩ và cải tiến rất nhiều trong mơ hình kinh doanh và khà năng đáp ứng dịch vụ của
họ cho khách hàng.
Năm 2002, Amazon đã giới thiệu Amazon Web Services. Điều này đã cho người sử
dụng có khả năng lưu trữ dữ liệu và khả năng xử lý công việc lớn hơn rất nhiều.

Năm 2004, sự ra đời chính thức của Facebook đã thực sự tao ra cuộc cách mạng hóa
giao tiếp giữa người với người, mọi người có thể chia sẻ dữ liệu riêng tư của họ cho bạn
bè, điều này đã vô tình tạo ra được một định nghĩa mà thường được gọi là đám mây dành
cho cá nhân.
Năm 2006, Amazon đã từng bước mở rộng các dịch vụ điện toán đám mây của mình,
đầu tiên là sự ra đời của Elastic Compute Cloud (EC2), ứng dụng này cho phép mọi người
4


truy cập vào các ứng dụng của họ và thao tác với chúng thơng qua đám mây. Sau đó, họ
đưa ra Simple Storage Service (S3), Amazon S3 là dịch vụ lưu trữ trên mạng Internet. Nó
được thiết kế cho bạn có thể sử dụng để lưu trữ và lấy bất kỳ số lượng dữ liệu, bất cứ lúc
nào, từ bất cứ nơi nào trên web.
Trong những năm 2010, các công ty đã phát triển điện tốn đám mây để tích cực cải
thiện dịch vụ và khả năng đáp ứng của mình để phục vụ nhu cầu cho người sử dụng một
cách tốt nhất. Kể từ đó đến nay, cùng với sự phổ biến của điện thoại thơng minh, chính
điều này đã giúp cho các dịch vụ điện toán đám mây ngày càng phát triển vượt bậc, mang
đến nhiều trải nghiệm mới cho người dùng, kết nối ở khắp mọi nơi và mọi lúc thông qua
môi trường internet.
1.4. Các công nghệ ảo hóa
1.4.1. Kernel mode và User mode
Kernel mode: đây là không gian được bảo vệ nơi mà “nhân” của hệ điều hành xử lý
và tương tác trực tiếp với phần cứng. Một ví dụ điển hình cho Kernel mode là các drivers
của thiết bị. Khi có sự cố thì hệ thống ngưng hoạt động và thông báo lỗi như ở windows
sẽ hiển thị màn hình xanh khi có lỗi giao tiếp phần cứng. User mode: đây là không gian
nơi các ứng dụng chạy, ví dụ Office, MySQL, hay Exchange server. Khi có sự cố ở các
ứng dụng thì chỉ có các ứng dụng ngưng hoạt động mà không ảnh hưởng gì đến server.
1.4.2. Hypervisor
Tất cả các loại ảo hóa được quản lý b ởi VMM (Virtual Machine Monitor). VMM về
bản chất cũng được chia làm 2 loại là: VMM đóng vai trò như một phần mềm trung gian

chạy trên HĐH để chia sẻ tài nguyên với HĐH. Ví dụ: VMware workstation, Virtual PC,
KVM. VMM đóng vai trị là một hypervisor chạy trên phần cứng. Ví dụ: VMware ESXi,
Hyper-V, Xen. Hypervisor là một phần mềm nằm ngay trên phần cứng hoặc bên dưới
HĐH nhằm mục đích cung cấp các mơi trường tách biệt gọi là các phân vùng – partition.
Mỗi phân vùng ứng với mỗi máy ảo - VM có thể chạy các HĐH độc lập. Hiện nay có 2
hướng tiếp cận hypervisor khác nhau (loại 2 – hypervisor VMM) với tên gọi: Monolithic
và Micro hypervisor.

5


1.4.3. Full-virtualization
Full- virtualization là cơng nghệ ảo hóa để cung cấp 1 loại hình máy ảo dưới dạng mơ
phỏng của 1 máy chủ thật với đầy đủ tất cả các tính năng bao gồm input/output operations,
interrupts, memory access,… Tuy nhiên mơ hình ảo hóa này khơng thể khai thác tốt hiệu
năng khi phải thơng qua một trình quản lý máy ảo (Virtual Machines monitor hay
hypervisor) để tương tác đến tài nguyên hệ thống (mode switching). Vì vậy sẽ bị hạn chế
bớt 1 số tính năng khi cần thực hiện trực tiếp từ CPU. Xen, VMWare workstation, Virtual
Box, Qemu/KVM, và Microsoft Virtual Server hỗ trợ loại ảo hóa này.
1.4.4. Para-virtualization
Para-virtualization hay cịn gọi là ảo hóa “một phần” là kỹ thuật ảo hóa được hỗ trợ
và điều khiển bởi 1 hypervisor nhưng các Oss của guest thực thi các lệnh không phải thơng
qua Hypervisor (hay bất kỳ 1 trình quản lý máy ảo nào) nên không bị hạn chế về quyền
hạn. Tuy nhiên nhược điểm của loại ảo hóa này là các OS biết đang chạy trên 1 nền tảng
phần cứng ảo và khó cấu hình cài đặt. Ảo hóa Para -Virtualization được hỗ trợ bởi Xen,
VMware, Hyper-V, và UML.
1.4.5. OS-level virtualization (Isolation)
OS level virtualization, còn gọi là containers Virtualization hay Isolation: là phương
pháp ảo hóa mới cho phép nhân của hệ điều hành hỗ trợ nhiều instances được cách ly dựa
trên một HĐH có sẵn cho nhiều users khác nhau, hay nói cách khác là tạo và chạy được

nhiều máy ảo cách ly và an toàn (secure) dùng chung 1 HĐH. Ưu điểm của ảo hóa này là
bảo trì nhanh chóng nên được ứng dụng rộng rãi trong các lĩnh vực hosting. OpenVZ,
Virtuozzo, Linux-VServer, Solaris Zones, và FreeBSD Jails hỗ trợ lo ại ảo hóa này. Một
lưu ý là loại ảo hóa Isolation này chỉ tồn tại trên HĐH Linux. Nếu ảo hóa chỉ là cơng nghệ
nền tảng của CC thì việc triển khai CC trong thực tế dựa vào 2 giải pháp cơ bản sau: sử
dụng các sản phẩm thương mại cho CC như của VMware, Microsoft (Hyper-V), hoặc các
sản phẩm nguồn mở như Eucalyptus và OpenStack. Phần kế sẽ trình bày về lợi ích của
hướng tiếp cận triển khai CC dùng nguồn mở.

6


1.5

Đặt điểm điện tốn đám mây

1.5.1. Tính tự phục vụ theo nhu cầu
Đặc tính kỹ thuật của điện tốn đám mây cho phép khách hàng đơn phương thiết
lập yêu cầu nguồn lực nhằm đáp ứng yêu cầu của hệ thống như: Thời gian sử dụng Server,
dung lượng lưu trữ , cũng như là khả năng đáp ứng các tương tác lớn hệ thống ra bên
ngồi.
1.5.2. Truy cập diện rộng
Điện tốn đám mây cung cấp các dịch vụ chạy trên môi trường Internet do vậy
khách hàng chỉ cần kết nối được với Internet là có thể sử dụng được dịch vụ.Các thiết bị
truy xuất thơng tin khơng u cầu cấu hình cao (thin or thick client platforms) như : Mobile
phone, Laptop và PDAs…
1.5.3. Dùng chung tài nguyên và độc lập vị trí
Tài nguyên của nhà cung cấp dịch vụ được dùng chung, phục vụ cho nhiều người
dùng dựa trên mơ hình “multi-tenant”. Mơ hình này cho phép tài ngun phần cứng và tài
nguyên ảo hóa sẽ được cấp pháp động dựa vào nhu cầu của người dùng. Khi nhu cầu người

dùng giảm xuống hoặc tăng nên thì tài nguyên sẽ được trưng dụng để phục vụ yêu cầu.
Người sử dụng không cần quan tâm tới việc điều khiển hoặc không cần phải biết
chính xác vị trí của các tài nguyên sẽ được cung cấp. Ví dụ : Tài nguyên sẽ được cung cấp
bao gồm : Tài nguyên lưu trữ, xử lý, bộ nhớ, băng thông mạng và máy ảo.
1.5.4. Khả năng co giãn nhanh chóng
Khả năng này cho phép tự động mở rộng hoặc thu nhỏ hệ thống tùy theo nhu cầu
của người sử dụng một cách nhanh chóng. Khi nhu cầu tăng, hệ thống sẽ tự động mở rộng
bằng cách thêm tài nguyên vào. Khi nhu cầu giảm, hệ thống sẽ tự động giảm bớt tài
nguyên.
Khả năng co giãn giúp cho nhà cung cấp sử dụng tài nguyên hiệu quả, tận dụng
triệt để tài nguyên dư thừa, phục vụ được nhiều khách hàng. Đối với người sử dụng dịch
vụ, khả năng co giãn giúp họ giảm chi phí do họ chỉ trả phí cho những tài nguyên thực sự
dùng.

7


1.5.5. Chi trả theo thực dùng
Nhiều dịch vụ điện toán đám mây sử dụng mơ hình điện tốn theo nhu cầu, mơ hình
tương tự với cách các tiện ích theo nhu cầu truyền thống như điện được tiêu thụ, trong khi
một số khác tiếp thị dựa vào tiền đóng trước. Điện toán đám mây cho phép giới hạn dung
lượng lưu trữ, băng thơng, tài ngun máy tính và số lượng người dùng kích hoạt theo
tháng.
1.5.6. Độ tin cậy
Độ tin cậy cải thiện thơng qua việc sử dụng các site có nhiều dư thừa, làm nó thích
hợp cho tính liên tục trong kinh doanh và khôi phục thất bại. Tuy nhiên, phần lớn các dịch
vụ của cloud computing có những lúc thiếu hụt và người giám đốc kinh doanh, IT phải
làm cho nó ít đi.
1.5.7. Hiệu suất
Hiệu suất hoạt động được quan sát và các kiến trúc nhất quán, kết nối lỏng lẽo được

cấu trúc dùng web service như giao tiếp hệ thống.
1.5.8. Khả năng chịu đựng
Khả năng chịu đựng xảy ra thông qua việc tận dụng tài nguyên đã được cải thiện,
các hệ thống hiệu quả hơn. Tuy nhiên, các máy tính và cơ sở hạ tầng kết hợp là những thứ
tiêu thụ năng lượng chủ yếu.
1.6. Mơ hình kiến trúc điện toán đám mây
1.6.1. Thành phần
Hai thành phần quan trọng của kiến trúc điện toán đám mây được biết đến là front
end và back end [3]. Front end là phần phía khách hàng dùng máy tính. Nó bao gồm hệ
thống mạng của khách hàng (hoặc máy tính) và các ứng dụng được sử dụng để truy cập
vào đám mây thơng qua giao diện người dùng có thể là một trình duyện web. Back end
chính là đám mây, bao gồm các máy tính khác nhau, máy chủ và các thiết bị lưu trữ dữ
liệu.
1.6.2. Mơ hình kiến trúc điện tốn đám mây
Các thành phần của mơ hình kiến trúc của điện toán đám mây:

8


Thành phần Khách hàng (Client): thành phần này của điện toán đám mây bao gồm
phần cứng và phần mềm, để dựa vào đó, khách hàng có thể truy cập và sử dụng các ứng
dụng/dịch vụ được cung cấp từ điện tốn đám mây. Chẳng hạn máy tính và đường dây kết
nối Internet (thiết bị phần cứng) và các trình duyệt web (phần mềm).
Thành phần Ứng dụng (Application): cung cấp các dịch vụ phần mềm đến các tổ
chức các nhân có nhu cầu sử dụng, ví dụ: bộ phần mềm văn phòng của Google Docs, thư
điện tử, phần mềm quản lý khách hàng của SalesForce.
Thành phần Nền tảng cung cấp các dịch vụ cơ bản: là các bộ công cụ để phát triển,
thử nghiệm và triển khai ứng dụng trên nền điện toán đám mây cho khách hàng. Các dịch
vụ Paas phổ biến hiện nay cho phép phát triển ứng dụng trên nền tảng và ngôn ngữ phát
triển ứng dụng phổ biến như .NET (Microsolf Windows Azure); Java, Python, Ruby

(Google App Engine, Amazon).
Thành phần Cơ sở hạ tầng (Infrastructure): cung cấp các dịch vụ máy chủ, lưu trữ
dữ liệu, cơ sở dữ liệu cũng như các công cụ quản trị tài nguyên đó cho các tổ chức, các
nhân có nhu cầu. Các tài nguyên thường được ảo hóa, chuẩn hóa thành một số cấu hình
trước khi cung cấp để đảm bảo khả năng linh hoạt trong quản trị cũng như hỗ trợ tự động
hóa.
Thành phần Máy chủ (Server): bao gồm các sản phẩm phần cứng và phần mềm
máy tính, được thiết kế và xây dụng đặc biệt để cung cấp các dịch vụ của đám mây. Các
server phải được xây dựng và có cấu hình đủ mạnh (thậm chí là rất mạnh) để đáp ứng nhu
cầu sử dụng của số lượng đông đảo người dùng và nhu cầu ngày càng cao của họ.
1.7. Những nơi cần sử dụng điện toán đám mây
Điện tốn đám mây có thể được sử dụng cho bất kỳ ai:
-

Cơng ty, doanh nghiệp, tổ chức có nhu cầu lưu trữ, chia sẻ dữ liệu.

-

Nhà phát triển website, ứng dụng, phần mềm.

-

Người dùng cuối (người dùng cá nhân).

1.8. Phương thức hoạt động của điện toán đám mây
Điện toán đám mây hoạt động theo cách thức hoàn toàn khác với phần cứng vật lý.
Cloud Computing cho phép người dùng quyền truy cập vào máy chủ, dữ liệu và những
9



dịch vụ bằng internet. Nhà cung cấp dịch vụ đám mây sẽ sở hữu, quản lý phần cứng và
duy trì kết nối mạng. Trong khi đó, user sẽ được cung cấp và sử dụng những gì mà họ
thơng qua nền tảng web.
1.9. Các ứng dụng điện toán đám mây
Đơn giản mà nói, điện tốn đám mây sẽ giúp bạn truy cập dữ liệu dễ dàng thơng qua
internet. Có rất nhiều ứng dụng mà cloud computing có thể thực hiện được, đơn cử như:
-

Cơ sở dữ liệu đám mây

-

Thử nghiệm và phát triển web, ứng dụng

-

Phân tích big data

-

Lưu trữ dữ liệu cho website (còn gọi là cloud server)

-

Lưu trữ, chia sẻ dữ liệu thông qua các nền tảng như: Google Drive, Dropbox,
Shutterstock,…

Ứng dụng quản lý doanh nghiệp: Có rất nhiều ứng dụng được thiết kế trên nền tảng
đám mây để giúp doanh nghiệp quản lý, duy trì quan hệ với khách hàng tốt hơn.


10


Chương 2. CÁC MƠ HÌNH VÀ CHIẾN LƯỢC BẢO MẬT ĐIỆN
TỐN ĐÁM MÂY
2.1. Mơ hình trên nền tảng điện tốn đám mây của NIST
Thuê nhiều lần là một đặc tính chức năng quan trọng của điện toán đám mây cho
phép nhiều ứng dụng của các nhà cung cấp dịch vụ đám mây hiện đang chạy trong một
máy chủ vật lý để cung cấp dịch vụ đám mây cho khách hàng.
Máy chủ vật lý này phân vùng và xử lý các nhu cầu khác nhau của khách hàng bằng
ảo hóa. Ảo hóa sở hữu khả năng chia sẻ và cơ lập tốt và là một công nghệ cốt lõi phù hợp
của điện toán đám mây. Bằng cách chạy nhiều máy ảo (VM) trong một máy vật lý, ảo hóa
cho phép chia sẻ tài nguyên điện toán như bộ xử lý, bộ nhớ, lưu trữ giữa các ứng dụng của
khách hàng khác nhau và cải thiện việc sử dụng tài nguyên đám mây. Bằng cách lưu trữ
các ứng dụng của khách hàng khác nhau vào các máy ảo khác nhau, ảo hóa cho phép cô
lập lỗi, vi rút và sự xâm nhập của một ứng dụng khỏi các máy ảo và phần cứng khác, đồng
thời giảm thiểu sự tấn công của các ứng dụng độc hại.
Những khó khăn về cơng nghệ của mơ hình cho th nhiều lần bao gồm cách ly dữ
liệu, mở rộng kiến trúc, tự định nghĩa cấu hình và tùy chỉnh hiệu suất. Cách ly dữ liệu có
nghĩa là dữ liệu kinh doanh của nhiều khách hàng không can thiệp lẫn nhau. Mở rộng kiến
trúc có nghĩa là cho thuê nhiều lần nên cung cấp một khuôn khổ cơ bản để thực hiện tính
linh hoạt và khả năng mở rộng cao. Tự xác định cấu hình có nghĩa là điện toán đám mây
phải hỗ trợ các nhu cầu tương ứng của khách hàng khác nhau về cấu hình nền tảng dịch
vụ của nó. Tùy chỉnh hiệu suất có nghĩa là điện toán đám mây phải đảm bảo nhu cầu của
các khách hàng khác nhau về hiệu suất của nền tảng cho thuê nhiều người với khối lượng
công việc khác nhau. Tác động của mơ hình cho th nhiều lần là khác nhau tương ứng
với các mơ hình triển khai đám mây khác nhau. Lấy SaaS làm ví dụ, SaaS với đặc tính
chức năng cho th nhiều lần có hai đặc điểm cơ bản. Đầu tiên, có thể dễ dàng mở rộng
quy mô và mở rộng quy mô để phục vụ cho một lượng lớn khách hàng dựa trên dịch vụ
Web. Thứ hai, nó có thể trình bày logic kinh doanh bổ sung cho phép khách hàng mở rộng

nền tảng dịch vụ i ts và đáp ứng nhu cầu của các doanh nghiệp lớn hơn. Mơ hình cho th
11


nhiều lần của điện toán đám mây được thực hiện bằng ảo hóa cung cấp một phương pháp
để đáp ứng các nhu cầu khác nhau của khách hàng về bảo mật, giao dịch, cách ly, quản
trị, SLA và thanh toán / bồi hồn, v.v.

Hình 3. Mơ

hình cho th nhiều lần của điện tốn đám mây

2.2. Mơ hình tích lũy rủi ro điện toán đám mây của CSA
Hiểu được sự phụ thuộc vào lớp của các mơ hình dịch vụ đám mây là rất quan trọng
để phân tích các rủi ro bảo mật của điện toán đám mây. IaaS là lớp nền tảng của tất cả các
dịch vụ đám mây , PaaS được xây dựng dựa trên IaaS và SaaS được xây dựng dựa trên
PaaS, do đó, có mối quan hệ kế thừa giữa khả năng dịch vụ của các lớp khác nhau trong
điện toán đám mây. Tương tự như sự kế thừa của khả năng dịch vụ đám mây, các rủi ro
bảo mật của đám mây tính tốn cũng được kế thừa giữa các lớp dịch vụ khác nhau.
IaaS không cung cấp chức năng đặc biệt tương tự như dịch vụ ứng dụng nhưng khả
năng mở rộng tối đa cho khách hàng, có nghĩa là IaaS có ít chức năng và khả năng bảo
mật ngoại trừ các chức năng và khả năng bảo mật của chính cơ sở hạ tầng. IaaS yêu cầu
khách hàng chịu trách nhiệm về bảo mật của hệ điều hành, ứng dụng phần mềm và nội
dung, v.v.
12


PaaS cung cấp khả năng phát triển các ứng dụng tùy chỉnh dựa trên nền tảng PaaS
cho khách hàng và khả năng mở rộng hơn SaaS, với chi phí giảm thiểu các chức năng đặc
biệt có sẵn của SaaS. Tương tự, chức năng bảo mật nội tại và khả năng bảo mật của PaaS

khơng hồn chỉnh, nhưng khách hàng có thể linh hoạt hơn để triển khai bảo mật bổ sung.
SaaS cung cấp ít khả năng mở rộng cho khách hàng nhất, nhưng là dịch vụ được
tích hợp nhiều nhất và bảo mật tích hợp cao nhất trong ba lớp dịch vụ. Trong SaaS, các
nhà cung cấp dịch vụ đám mây đảm nhận nhiều trách nhiệm bảo mật hơn và khách hàng
phải trả cho ít nỗ lực bảo mật trên nền tảng SaaS.
Một đặc điểm quan trọng của kiến trúc bảo mật đám mây là tầng dịch vụ thấp hơn
mà một nhà cung cấp dịch vụ đám mây nằm trong đó, càng có nhiều nhiệm vụ quản lý và
khả năng bảo mật mà khách hàng phụ trách. Trong SaaS, các nhà cung cấp dịch vụ đám
mây cần đáp ứng các nhu cầu về SLA, tính năng , giám sát, tuân thủ và kỳ vọng nhiệm vụ,
v.v. Trong PaaS và IaaS, các yêu cầu trên do khách hàng tính phí và nhà cung cấp dịch vụ
đám mây chỉ chịu trách nhiệm về tính khả dụng và bảo mật của các dịch vụ cơ bản như
thành phần cơ sở hạ tầng và nền tảng cơ bản.

2.3. Mơ hình khối lập phương điện tốn đám mây của Jericho
Forum
Mơ hình khối lập phương đám mây của Jericho Forum là một mơ tả hình tượng của
thơng tin thuộc tính bảo mật được ngụ ý trong các mơ hình dịch vụ và triển khai của điện
tốn đám mây và vị trí, người quản lý và chủ sở hữu tài ngun máy tính, v.v. như hình 3
được minh họa. Trong mơ hình khối lập phương đám mây, định nghĩa của các tham số mơ
hình như sau:

13


Hình 4. Mơ

hình khối lập phương đám mây của Jericho Forum

Internal/External: một tham số mơ hình để xác định vị trí vật lý của lưu trữ dữ liệu.
Nếu vị trí thực của nơi lưu trữ dữ liệu nằm trong ranh giới của chủ sở hữu dữ liệu thì giá

trị thơng số mơ hình là giá trị nội bộ. Ngược lại, giá trị tham số mơ hình là bên ngồi. Ví
dụ: trung tâm dữ liệu của đám mây doanh nghiệp tư nhân là bên trong và trung tâm dữ liệu
của Amazon’s SC3 là bên ngồi. Lưu ý: đám mây có lưu trữ dữ liệu nội bộ khơng an tồn
hơn đám mây có lưu trữ dữ liệu bên ngồi. Sự kết hợp giữa lưu trữ dữ liệu bên trong và
bên ngồi có thể tạo ra mơ hình sử dụng an tồn hơn.
Proprietary/Open: một tham số mơ hình để xác định quyền sở hữu công nghệ, dịch
vụ và giao diện của đám mây, v.v. Tham số mơ hình này cho biết mức độ tương tác, tức
là. tính khả chuyển của dữ liệu và ứng dụng giữa hệ thống độc quyền và các phương thức
đám mây khác, khả năng chuyển đổi dữ liệu từ phương thức đám mây sang phương thức
đám mây khác mà khơng có bất kỳ ràng buộc nào. Quyền sở hữu có nghĩa là một dịch vụ
đám mây nhà cung cấp nắm quyền sở hữu các cơ sở cung cấp dịch vụ đám mây, do đó
hoạt động của đám mây là độc quyền và khách hàng không thể chuyển các ứng dụng của
họ từ nhà cung cấp dịch vụ đám mây này sang nhà cung cấp dịch vụ đám mây khác mà
14


không cần nỗ lực hoặc đầu tư lớn. Các công nghệ được sử dụng trong đám mây cơng cộng
nói chung là mở và đồng nhất, có nghĩa là nhiều nhà cung cấp dịch vụ có sẵn hơn và ít
ràng buộc hơn về việc chia sẻ và kết hợp giữa dữ liệu với các đối tác kinh doanh. Chưa
được chứng minh nhưng hầu hết, các đám mây mở có thể phát huy tác dụng cụ thể là sự
kết hợp giữa nhiều tổ chức.
Perimeterised/De-perimeterised: một tham số mơ hình để mơ tả “tư duy kiến trúc”
về bảo vệ an ninh, tức là ứng dụng của khách hàng nằm trong hay ngoài ranh giới bảo mật
truyền thống? Trước đó có nghĩa là ứng dụng của khách hàng hoạt động trong ranh giới
bảo mật CNTT xuyên tâm được báo hiệu bởi tường lửa ngăn chặn việc kết hợp các khu
bảo mật khác nhau. Trên thực tế, khách hàng đang chạy một số ứng dụng bên trong vùng
bảo mật có thể mở rộng / thu nhỏ chu vi ứng dụng của họ đến / quay lại từ mơi trường đám
mây bên ngồi bằng VPN. De-perimeterised có nghĩa là ranh giới bảo mật CNTT truyền
thống đã lỗi mốt và sự tiếp xúc của hoạt động ứng dụng của khách hàng. Để bảo vệ an
ninh cho môi trường phụ thuộc, Diễn đàn Jerico sử dụng siêu dữ liệu và cơ học trong các

lệnh của họ và Khung kiến trúc định hướng cộng tác (COA) để đóng gói dữ liệu của khách
hàng.
Insourced/Outsourced: một tham số mơ hình để xác định chiều thứ 4 có hai trạng
thái trong mỗi dạng trong số tám dạng đám mây: Per (IP, IO, EP, EO) và D-p (IP, IO, EP,
EO). Nguồn lực có nghĩa là dịch vụ đám mây được cung cấp bởi chính nhân viên của tổ
chức và Th ngồi có nghĩa là dịch vụ đám mây được cung cấp bởi một bên thứ ba. Hai
trạng thái này trả lời câu hỏi "bạn muốn ai xây dựng hoặc quản lý dịch vụ đám mây của
mình?" Đây là một vấn đề về chính sách (tức là một doanh nghiệp nhưng không phải là
một quyết định về kỹ thuật hoặc kiến trúc).
Trong mơ hình khối lập phương đám mây, các thuộc tính khác như Ra khơi và Trên
bờ cũng có liên quan đến điện tốn đám mây, nhưng trong bài báo này, chúng tơi tập trung
vào bốn chiều được xác định trong mơ hình khối lập phương đám mây.

15


2.4. Mơ hình lập bản đồ của điện tốn đám mây, bảo mật và tn
thủ
Mơ hình ánh xạ của bản thể học đám mây, kiểm soát bảo mật và kiểm tra tuân thủ
trình bày một phương pháp tốt để phân tích khoảng cách giữa kiến trúc đám mây và khn
khổ tuân thủ và các chiến lược kiểm soát bảo mật tương ứng cần được cung cấp bởi các
nhà cung cấp dịch vụ đám mây, khách hàng hoặc bên thứ ba được hiển thị.
Để bảo vệ hiệu quả tính bảo mật của môi trường đám mây , trước tiên chúng ta nên
phân tích các rủi ro bảo mật mà mơi trường đám mây phải đối mặt, sau đó tìm ra ma trận
lỗ hổng theo kiến trúc đám mây và khuôn khổ tuân thủ của nó, và cuối cùng áp dụng một
số biện pháp kiểm sốt bảo mật có liên quan. Ở đây, khn khổ tn thủ của điện tốn
đám mây khơng tự nhiên tồn tại với mơ hình đám mây.
Tương ứng, mơ hình ánh xạ đám mây, bảo mật và tn thủ góp phần xác định xem
chấp nhận hay từ chối các rủi ro bảo mật của điện toán đám mây.
Lưu ý rằng với tư cách là một mơ hình điện tốn, điện tốn đám mây khơng ảnh

hưởng đến sự hài lòng của việc tuân thủ. Các cuộc khảo sát của Sever như tài liệu kiến
trúc bảo mật của Nhóm Kiến trúc An ninh Mở và Phiên bản NIST 800-53 Kiểm sốt An
ninh Khuyến nghị 3 dành cho Hệ thống Thơng tin Liên bang và các Tổ chức đã giải thích
rõ ràng khn khổ kiểm sốt chung trên.

16