Tải bản đầy đủ (.pdf) (83 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên Cứu Xây Dựng Cloud Storage Và Vpn Trong Điện Toán Đám Mây Sử Dụng Devstack (Luận Văn Thạc Sĩ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.6 MB, 83 trang )

Viện Công Nghệ Thông Tin Và Truyền Thông
ĐẠI HỌC BÁCH KHOA HÀ NỘI

Luận Văn Thạc Sĩ
NGHIÊN CỨU XÂY DỰNG CLOUD
STORAGE VÀ VPN TRONG ĐIỆN
TOÁN ĐÁM MÂY SỬ DỤNG DEVSTACK
Nguyen Thanh Long

Ha Noi, 2023


1

MỤC LỤC
MỤC LỤC ..................................................................................................................................... 1
LỜI MỞ ĐẦU ................................................................................................................................ 4
Chương 1: Tổng quan về điện toán đám mây và vấn đề an ninh an toàn. ..................................... 4
Chương 3: Triển khai cài đặt hệ thống Cloud Storage và VPN trong điện toán đám mây sử dụng
Devstack. .................................................................................................................................... 5
CHƯƠNG 1 ................................................................................................................................... 6
TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ AN NINH AN TỒN. ...................... 6
Hình 1.2. Tình hình phát triển của điện toán đám mây từ năm 2010 đến năm 2020 ..................... 9
• Thuận lợi:............................................................................................................................... 10
• Khó khăn:............................................................................................................................... 11
Hình 1.4. Mơ hình SPI .............................................................................................................. 12
Hình 1.6. Đám mây cơng cộng. ................................................................................................. 17
Hình 1.7. Đám mây lai. ............................................................................................................. 18
1.2.

Các nguy cơ mất an tồn thơng tin trong điện tốn đám mây ........................................... 18



Hình 1.8. Mơ hình ba lớp bảo vệ dữ liệu. .................................................................................. 23
Hình 1.9. Mơ hình bảo mật dựa trên Encryption Proxy. ............................................................ 24
Hình 1.10. Mơ hình Bảo vệ dữ liệu sử dụng VPN Cloud. .......................................................... 25
Hình 1.11. Các tầng trong kiến trúc điện toán đám mây. ........................................................... 26
CHƯƠNG 2 ................................................................................................................................. 29
XÂY DỰNG ĐÁM MÂY DỰA TRÊN MÃ NGUỒN MỞ DEVSTACK. .................................... 29
2.1.

Giới thiệu phần mềm mã nguồn mở Devstack ................................................................. 30

Hình 2.3. Tổ chức dữ liệu của Swift.......................................................................................... 44
Hình 2.4. Dịch vụ điện tốn đám mây thơng qua IPSecVPN. .................................................... 47
Hình 2.5. Mơ hình Full-Mesh IPSecVPN .................................................................................. 48
Hình 2.7. Mơ hình Full-Mesh ................................................................................................... 51
Hình 2.8. Mơ hình Hub-and-Spoke ........................................................................................... 51
CHƯƠNG 3 ................................................................................................................................. 53
TRIỂN KHAI CÀI ĐẶT HỆ THỐNG CLOUD STORAGE VÀ VPN TRONG ĐIỆN TOÁN ĐÁM
MÂY SỬ DỤNG DEVSTACK. ................................................................................................... 53
Bước 1: ..................................................................................................................................... 54
Bước 4: Thực thi script ............................................................................................................. 57


2

Hình 3.2. Cài đặt thành cơng Devstack. .................................................................................... 58
Hình 3.3. Đăng nhập vào giao diện tương thích với người dùng. ............................................... 59
Hình 3.5. Tạo Container mới. ................................................................................................... 61
> Cấu hình file /opt/stack/neutron- vpnaas/neutron_vpnaas/services/vpn/device_drivers/ipsec.py:
................................................................................................................................................. 67

> Khởi động lại dịch vụ Neutron .............................................................................................. 70
Virtual Private Network.................................................................................................................... 75
3.3.

Đề xuất mơ hình tích hợp thuật tốn mật mã mới trong OPENSWAN. ............................ 78

Hình 3.9. Mơ hình tích hợp thuật tốn mật mã mới bên trong thuật tốn ................................... 79
đã có. ........................................................................................................................................ 79
KẾT LUẬN .................................................................................................................................. 81
TÀI LIỆU THAM KHẢO ............................................................................................................ 82

1.3.1.
CHƯƠNG 2
XÂY DỰNG ĐÁM MÂY DựA TRÊN MÃ NGUỒN MỞ DEVSTACK

1.1.

Giới thiệu phần mềm mã nguồn mở

2.2

Kiến trúc, thành phần của Devstack ................................................................. 30

2.3

Dịch vụ luu trữ trong Devstack .................................................................... 33

Devstack ........................................... 28

2.3.1.


Giới thiệu dịch vụ luu trữ đám mây.................................................................. 33

2.3.2.

Dịch vụ luu trữ đám mây trong Devstack ......................................................... 41

2.3.3.

Một số tấn công lên dịch vụ luu trữ đám mây trong

2.4.

Dịch vụ VPN trong Devstack ........................................................................... 44

2.4.1.

Kiến trúc IP VPN an toàn động trong Devstack ............................................... 44

2.4.2.

Một số yêu cầu của IPSec VPN cho các dịch vụ điện

2.4.3.

Một số vấn đề với các kiến trúc IPSecVPN hiện nay ........................................ 49

Devstack ........... 43

toánđám mây. ..48


CHƯƠNG 3
TRIỂN KHAI CÀI ĐẶT HỆ THỐNG CLOUD STORAGE VÀ VPN
TRONG ĐIỆN TOÁN ĐÁM MÂY SỬ DỤNG DEVSTACK

3.1.

Triển khai Cloud Storage sử dụng Devstack..................................................... 51

3.1.1.

Cài đặt Cloud Storage sử dụng Devstack ......................................................... 51

3.1.2.

Khai thác sử dụng Cloud Storage ..................................................................... 56


3

Một số giải pháp bảo vệ dữ liệu trên dịch vụ luu trữ đám mây trong
Devstack ......................................................................................................................... 59

3.1.3.
3.2.

Triển khai VPNaaS trong đám mây sử dụng Devstack ..................................... 61

3.2.1.


Cài đặt VPNaaS ............................................................................................... 61

3.2.2.

Thử nghiệm VPNaaS trong Devstack ............................................................... 68

Đề xuất mô hình tích hợp thuật tốn mật mã mới trong
OPENSWAN ..................................... ' ........................................................................... 74

3.3.

KẾT LUẬN ................................................................................................................... 77
TÀI LIỆU THAM KHẢO ............................................................................................ 79


4

LỜI MỞ ĐẦU
Ngày nay, cùng với sự phát triển vũ bão của công nghệ thông tin, hệ thống phần
mềm ứng dụng, hệ thống máy chủ của các tổ chức doanh nghiệp ngày càng tăng nhanh.
Điều đó dẫn tới chi phí đầu tu cho hạ tầng công nghệ thông tin ngày càng lớn, chi phí
cho việc quản lý hệ thống cũng tăng lên. Để giảm thiểu đuợc các chi phí đó và tăng khả
năng ứng dụng công nghệ thông tin trong sản xuất kinh doanh của doanh nghiệp, điện
toán đám mây là giải pháp đang đuợc rất nhiều doanh nghiệp lựa chọn. Với điện toán
đám mây việc tiết kiệm thời gian, chi phí là khơng phải bàn cãi cùng với việc cung cấp
rất nhiều dịch vụ, điện toán đám mây hiện nay rất bùng nổ. Một trong những dịch vụ mà
điện tốn đám mây đem lại có nhu cầu sử dụng rất cao và cực kỳ phổ biến đó là dịch vụ
luu trữ cùng với đó là dịch vụ VPN - một giải pháp phù hợp và phổ biến để giải quyết
vấn đề bảo mật thông tin ở mức cao khi thông tin đuợc trao đổi qua Internet.
Đồ án “Nghiên cứu xây dựng Cloud Storage và VPN trong điện toán đám mây

sử dụng Devstack" nhằm mục đích nghiên cứu, xây dựng, đề xuất một số mơ hình an
ninh cho hệ thống điện toán đám mây. Đồng thời triển khai thử nghiệm hệ thống Cloud
Storage để luu trữ thông tin và dịch vụ VPN trên điện toán đám mây sử dụng Devstack.
Nội dung đồ án gồm có 3 chuơng:
Chương 1: Tổng quan về điện toán đám mây và vấn đề an ninh an tồn.
Chuơng này sẽ trình bày một cách khái qt về điện tốn đám mây (Cloud
Computing). Bên cạnh đó, chuơng này cũng đua ra các nguy cơ mất an toàn trong điện
tốn đám mây nói chung đồng thời cũng nêu ra đuợc một số hướng nghiên cứu bảo mật
nhằm đảm bảo an tồn cho các hệ thống điện tốn đám mây.
Chương 2: Xây dựng đám mây dựa trên mã nguồn mở Devstack.
Trong chương 2, sẽ giới thiệu về phần mềm xây dựng đám mây laaS dựa trên mã
nguồn mở Devstack. Qua phần này sẽ có cái nhìn tổng quan nhất về đám mây Devstack


5

về các vấn đề như: Kiến trúc thành phần, cách cài đặt triển khai một đám mây dựa trên
mã nguồn mở, đồng thời có cái nhìn tổng qt nhất về dịch vụ lưu trữ và dịch vụ VPN
trong đám mây sử dụng Devstack.
Chương 3: Triển khai cài đặt hệ thống Cloud Storage và VPN trong điện
toán đám mây sử dụng Devstack.
Chương cuối cùng này sẽ tiến hành cài đặt triển khai thử nghiệm dịch vụ Cloud
Storage và dịch vụ VPN trong điện toán đám mây sử dụng Devstack.


6

CHƯƠNG 1
TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ AN
NINH AN TOÀN.

Trong những năm trở lại đây, điện toán đám mây (cloud-computing) đang trở
thành một trong những thuật ngữ mà ngành cơng nghệ thơng tin trên tồn thế giới quan
tâm nhất. Nhiều tổ chức lớn bắt đầu quan tâm đến việc khai thác và nghiên cứu triển khai
công nghệ này để giảm thiểu chi phí trong việc quản lý và cơ sở hạ tầng như Google,
IBM, và Amazon. Sự phát triển của điện toán đám mây sẽ là bước ngoặt của ngành công
nghệ thông tin, tương tự như sự ra đời của World Wide Web hay là thương mại điện tử
(e-commerce). Trong tương lai, sẽ có sự thay đổi lớn trong lĩnh vực công nghệ thông tin,
nơi mà các cơ sở hạ tầng công nghệ thông tin, các ứng dụng, các tài nguyên, các công
việc hỗ trợ được duy trì và hoạt động bởi các nhà cung cấp công nghệ thông tin lớn và
triển khai trên đám mây. Trong chương này của đồ án sẽ trình bày cái nhìn tổng quan
nhất về cơng nghệ điện tốn đám mây ở các khía cạnh như lịch sử ra đời, mơ hình kiến
trúc, các vấn đề an ninh an tồn trong điện tốn đám mây nói chung.
1.1. Tổng quan về điện tốn đám mây.
1.1.1 Lịch sử và tình hình phát triển.
Khái niệm về điện toán đám mây xuất hiện từ những năm 1960 trở lại đây, khi
John McCarthy phát biểu rằng “một ngày nào đó tính tốn được tổ chức như một tiện ích
cơng cộng”. Các đặc điểm của điện tốn đám mây tạo ra như khả năng co giãn, cung cấp
như một tiện ích trực tuyến, với khả năng xem như vơ hạn.
Hiện nay, điện tốn đám mây được rất nhiều tổ chức và cá nhân định nghĩa khác
nhau. Dưới đây là một số khái niệm điện toán đám mây:
Theo Rajkumar Buyya: “Điện toán đám mây là một loại hệ thống phân bố và xử
lý song song gồm các máy tính ảo kết nối với nhau và được cung cấp động cho người
dùng như một hoặc nhiều tài nguyên đồng nhất dựa trên sự thỏa thuận dịch vụ giữa nhà


7

cung cấp và người sử dụng”.
Theo Ian Foster “Điện toán đám mây là một mơ hình điện tốn phân tán có tính
co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán,

kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ
được phân phối theo nhu cầu cho các khách hàng bên ngồi thơng qua Internet”.
Theo Viện Tiêu chuẩn và Cơng nghệ Quốc gia Hoa Kỳ (NIST): “Điện toán đám
mây là một mơ hình cho phép truy cập mạng thuận tiện, theo nhu cầu đến một kho tài
nguyên điện toán dùng chung, có thể định cấu hình: mạng, máy chủ, lưu trữ, ứng
dụng,...có thể được cung cấp và thu hồi một cách nhanh chóng với yêu cầu tối thiểu về
quản lý hoặc can thiệp của nhà cung cấp dịch vụ.”
Thuật ngữ Cloud Computing ra đời giữa năm 2007 không phải để nói về một trào
lưu mới, mà để khái quát lại các hướng đi của cơ sở hạ tầng thông tin vốn đã và đang
diễn ra từ mấy năm qua. Quan niệm này có thể được diễn giải một cách đơn giản: các
nguồn điện toán khổng lồ như phần mềm, dịch vụ và các dịch vụ sẽ nằm tại các máy chủ
ảo (đám mây) trên Internet thay vì trong máy tính gia đình và văn phịng (trên mặt đất)
để mọi người kết nối và sử dụng mỗi khi họ cần. Với các dịch vụ sẵn có trên Internet,
doanh nghiệp khơng phải mua và duy trì hàng trăm, thậm chí hàng nghìn máy tính cũng
như phần mềm. Họ chỉ cần tập trung vào kinh doanh lĩnh vực riêng của mình bởi đã có
người khác lo cơ sở hạ tầng và cơng nghệ thông tin thay họ. Google, theo lẽ tự nhiên,
nằm trong số những hãng ủng hộ điện toán máy


8

chủ ảo tích cực nhất bởi hoạt động kinh doanh của họ dựa trên việc phân phối các cloud
(virtual server). Đa số nguời dùng Internet đã tiếp cận những dịch vụ đám mây phổ thông
nhu e-mail, album ảnh và bản đồ số.

Hình 1.1 Mơ hình điện tốn đám mây.
Hiện nay với sự tham gia của các công ty lớn nhu Microsoft, Google, IBM hay
Amazon... đã thúc đẩy Cloud Computing phát triển ngày càng mạnh mẽ. Nếu nhu trong
năm 2010, ngành cơng nghiệp điện tốn đám mây có giá trị vào khoảng 24.63 tỷ USD
thì con số này uớc đạt là trên 156 tỷ USD năm 2020 (Theo Statista - Một cơng ty thống

kê có trụ sở ở Đức).
1 75


9

Hình 1.2. Tình hình phát triển của điện tốn đám mây từ năm 2010 đến năm
2020
Bên cạnh đó, theo Forbes, ba phần tư số người được hỏi cho biết có sử dụng ít
nhất một dạng nền tảng điện tốn đám mây nào đó, đó có thể là các dịch vụ email, lưu
trữ ảnh, stream nhạc trực tuyến hay thậm chí là cả danh bạ và lịch. Và ba nền tảng được
sử dụng nhiều nhất là Google, Microsoft và
Amazon.
Ở khía cạnh doanh nghiệp, có 86% số cơng ty có sử dụng nhiều hơn một dịch vụ
điện toán đám mây và thường con số này là bốn dịch vụ. Các nghiên cứu cũng dự đốn
rằng sẽ có trên 50% lượng dữ liệu được chuyển lên đám mây trong 5 đến 10 năm tới. Và
cho đến năm 2017, lượng dữ liệu đám mây của khu vực Châu Á - Thái Bình Dương đạt
1.5 Zb (1 Zettabyte = 1 triệu Terabyte), theo sau đó là khu vực Bắc Mỹ với 1.1 Zb.
Dưới đây là bảng số liệu thống kê từ tổ chức Endurance về tỷ lệ các dạng dữ liệu
được lưu trữ trên đám mây:


10

Hình 1.3. Bảng thống kê các dạng dữ liệu được lưu trữ trên đám mây.
1.1.2

Đặc điểm của điện toán đám mây.
• Thuận lợi:


- Chi phí đầu tư thấp: Theo mơ hình truyền thống, để có được sơ sở hạ tầng, máy
móc và nguồn nhân lực thì người sử dụng cần thời gian và kinh phí để xây dựng kế
hoạch, đầu tư cơ sơ hạ tầng, đầu tư máy móc và người quản trị... Chi phí này là khơng
nhỏ và đơi khi lại khơng được sử dụng hiệu quả, ví dụ như không đáp ứng được đủ hoặc
không sử dụng hết cơng suất sau khi đưa vào sử dụng. Các khó khăn này sẽ được giải
quyết trong mơ hình điện tốn đám mây, với phương châm “pay as you use” (người dùng
chỉ phải trả tiền cho những gì mình đã sử dụng).
- Tốc độ xử lý nhanh, khơng cịn phụ thuộc vào thiết bị và vị trí địa lý: cho phép
người dùng truy cập và sử dụng hệ thống thông qua trình duyệt web ở bất kỳ đâu và trên
bất kỳ thiết bị nào mà họ sử dụng (như là PC hoặc là thiết bị di động.)
- Dễ dàng mở rộng, nâng cấp: Thay vì phải đầu tư mới hoặc nâng cấp phần cứng,
phần mềm, đội ngũ quản trị... Để mở rộng hay nâng cấp hệ thống thì với điện tốn đám
mây người sử dụng chỉ việc gửi yêu cầu cho nhà cung cấp dịch vụ.


11

• Khó khăn:
- Tính riêng tư: Các thơng tin về người dùng và dữ liệu được chứa trên đám mây
không chắc chắn được đảm bảo tính riêng tư và các thơng tin đó cũng có thể bị sử dụng
vì một mục đích khác.
- Tính sẵn sàng: Các trung tâm điện tốn đám mây hay hạ tầng mạng có thể gặp
sự cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng không thể truy cập
các dịch vụ và dữ liệu của mình trong những khoảng thời gian nào đó.
- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây
bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài trường
hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phục hồi được.
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách thức
hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng chính là mối lo của người sử dụng
dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn cơng hoặc đột nhập, tồn

bộ dữ liệu sẽ bị chiếm dụng.
1.1.3 Mơ hình kiến trúc điện toán đám mây.
1.1.3.1 Phân lớp dịch vụ điện toán đám mây.
Các mơ hình kiến trúc dịch vụ điện tốn đám mây đều có ba loại dịch vụ cơ bản
là: Dịch vụ cơ sở hạ tầng (Infrastructure as a Service - IaaS), dịch vụ nền tảng (Platform
as a Service - PaaS) và dịch vụ phần mềm (Software as a Service - SaaS). Cách phân loại
này được gọi là mơ hình SPI (Software - Platform - Infrastructure).


12

Packaged
Software

Infrastructure

Platform

(as a Service)

(as a Service)

Applications

Applications

Runtime

Runtime


Middleware

Middleware

Virtualization

Virtualization

Servers

Servers

Storage

Storage

Networking

Networking

Software
(as a Service)

Hình 1.4. Mơ hình SPI

• Infrastructure as a service (laaS)
Cung cấp cho nguời dùng hạ tầng nhu một dịch vụ (thuờng là duới các hình thức
máy ảo). Dịch vụ IaaS cung cấp các dịch vụ cơ bản nhu các máy chủ ảo, luu trữ dữ liệu,
cơ sở dữ liệu trên một nền tảng để triển khai và chạy các ứng dụng của nguời sử dụng.
Những đặc trung tiêu biểu của dịch vụ hạ tầng:

J Cung cấp tài nguyên nhu là dịch vụ: bao gồm cả máy chủ, thiết bị mạng, bộ
nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ liệu.
J Khả năng mở rộng linh hoạt, chi phí thay đổi tùy theo thực tế.
J Nhiều nguời có thể dùng chung trên một tài nguyên.
J Cấp độ doanh nghiệp: đem lại lợi ích cho cơng ty bởi một nguồn tài ngun
tính tốn tổng hợp.
Lợi ích của laas: Các tổ chức, cá nhân tiết kiệm được vốn đầu tư vào hệ thống là
rất lớn, vì các doanh nghiệp sẽ khơng cần phải đầu tư thêm các máy chủ, thường chỉ chạy
70% công suất hai hoặc ba lần trong năm, thời gian còn lại chỉ chạy 7-10%.

• Platform as a Service (PaaS)


13

Dịch vụ nền tảng cung cấp giao diện lập trình ứng dụng (API_Application
Programing Interface) cho phát triển ứng dụng trên một nền tảng trừu tượng. PaaS cung
cấp nền tảng tính tốn và một tập các giải pháp nhiều lớp. Nó hỗ trợ việc triển khai ứng
dụng mà người sử dụng không cần quan tâm đến sự phức tạp của việc trang bị và quản
lý các lớp phần cứng và phần mềm bên dưới. PaaS cung cấp tất cả các tính năng cần thiết
để hỗ trợ chu trình sống của việc xây dựng, cung cấp một ứng dụng và dịch vụ web sẵn
sàng trên Internet mà khơng cần bất kì thao tác tải hay cài đặt phần mềm cho những
người phát triển, quản lý tin học, hay người dùng cuối. Nó còn được biết đến với một tên
khác là cloudware.
Những đặc trưng tiêu biểu:
J Phục vụ cho việc phát triển, triển khai và vận hành ứng dụng giống như là
môi trường phát triển tích hợp.
J Các cơng cụ khởi tạo với giao diện trên nền web.
J Kiến trúc đồng nhất.
J Tích hợp dịch vụ web và cơ sở dữ liệu.

J Hỗ trợ cộng tác nhóm phát triển.
Một số thuận lợi:
J Dịch vụ nền tảng đang ở thời kì đầu và được ưa chuộng ở những tính năng
vốn được ưa thích bởi dịch vụ phần mềm, bên cạnh đó có tích hợp các yếu
tố về nền tảng hệ thống.
J Ưu điểm trong những dự án tập hợp những cơng việc nhóm có sự phân tán
về địa lý.
J Khả năng tích hợp nhiều nguồn của dịch vụ web. Giảm chi phí ngồi lề khi
tích hợp các dịch vụ về bảo mật, khả năng mở rộng, kiểm sốt lỗi...
J Giảm chi phí khi trừu tượng hóa cơng việc lập trình ở mức cao để tạo dịch


14

vụ, giao diện người dùng và các yếu tố ứng dụng khác.
J Tạo điều kiện dễ dàng hơn cho việc phát triển ứng dụng đa người dùng, cho
những người không chỉ trong nhóm lập trình mà có thể kết hợp nhiều nhóm
cùng làm việc.
Một số khó khăn:
J Ràng buộc bởi nhà cung cấp: nghĩa là một khách hàng phụ thuộc vào một nhà
cung cấp và không thể sử dụng nhà cung cấp khác mà khơng phải chịu chi
phí chuyển đổi đáng kể.
J Giới hạn phát triển: độ phức tạp khiến nó khơng phù hợp với u cầu phát
triển nhanh vì những tính năng phức tạp khi hiện thực trên nền tảng web.

• Software as a Service (SaaS)
Dịch vụ phần mềm là một mơ hình triển khai mà ở đó ứng dụng được cung cấp
cho người sử dụng như là dịch vụ theo yêu cầu. Những nhà cung cấp SaaS có thể lưu trữ
ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị khách hàng, vô hiệu hóa
nó sau khi kết thúc thời hạn.

Những đặc trưng tiêu biểu:
J Quản lý các hoạt động từ một vị trí tập trung hơn là tại mỗi nơi của khách
hàng, cho phép khách hàng truy xuất từ xa thông qua web.
J Phần mềm sẵn có địi hỏi việc truy xuất, quản lý qua mạng.
J Cung cấp ứng dụng thông thường gần gũi với mơ hình ánh xạ từ một đến
nhiều hơn là mơ hình ánh xạ từ một đến một bao gồm cả các đặc trưng kiến
trúc, giá cả và quản lý.
J Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việc tải các
bản vá lỗi và cập nhật.


15

J Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diện rộng.
1.1.3.2 Các mơ hình triển khai đám mây.

• Đám mây riêng (Private Cloud).
Trong mơ hình Private Cloud, cơ sở hạ tầng và các dịch vụ được xây dựng để phục
vụ cho một tổ chức (doanh nghiệp) duy nhất. Điều này giúp cho doanh nghiệp có thể
kiểm sốt tối đa đối với dữ liệu, bảo mật và chất lượng dịch vụ. Doanh nghiệp sở hữu cơ
sở hạ tầng và quản lý các ứng dụng được triển khai trên đó. Private Cloud có thể được
xây dựng và quản lý bởi chính đội ngũ IT của doanh nghiệp hoặc có thể thuê một nhà
cung cấp dịch vụ đảm nhiệm công việc này.


16

Như vậy, mặc dù tốn chi phí đầu tư nhưng Private Cloud lại cung cấp cho doanh
nghiệp khả năng kiểm soát và quản lý chặt chẽ những dữ liệu quan trọng.


Hình 1.5. Đám mây riêng.

• Đám mây cơng cộng (Public Cloud).
Các dịch vụ Cloud được nhà cung cấp dịch vụ cung cấp cho mọi người sử dụng
rộng rãi. Các dịch vụ được cung cấp và quản lý bởi một nhà cung cấp dịch vụ và các ứng
dụng của người dùng đều nằm trên hệ thống Cloud.
Người sử dụng dịch vụ sẽ được lợi là chi phí đầu tư thấp, giảm thiểu rủi ro, do nhà
cung cấp dịch vụ đã gánh vác nhiệm vụ quản lý hệ thống, cơ sở hạ tầng, bảo mật... Một
lợi ích khác của mơ hình này là cung cấp khả năng co giãn (mở rộng hoặc thu nhỏ) theo
yêu cầu của người sử dụng.


17

Hình 1.6. Đám mây cơng cộng.
Tuy nhiên Public Cloud có một trở ngại, đó là vấn đề mất kiểm sốt về dữ liệu và
vấn đề an toàn dữ liệu. Trong mơ hình này mọi dữ liệu đều nằm trên dịch vụ Cloud, do
nhà cung cấp dịch vụ Cloud đó bảo vệ và quản lý. Chính điều này khiến cho khách hàng,
nhất là các công ty lớn cảm thấy không an tồn đối với những dữ liệu quan trọng của
mình khi sử dụng dịch vụ Cloud.

• Đám mây lai (Hybrid Cloud).
Nhu đã phân tích ở trên, Public Cloud dễ áp dụng, chi phí thấp nhung khơng an
tồn. Nguợc lại, Private Cloud an tồn hơn nhung tốn chi phí và khó áp dụng. Do đó nếu
kết hợp đuợc hai mơ hình này lại với nhau thì sẽ khai thác uu điểm của từng mơ hình.
Đó là ý tuởng hình thành mơ hình Hybrid Cloud.
Hybrid Cloud là sự kết hợp của Public Cloud và Private Cloud. Trong đó, doanh
nghiệp sẽ “out-source” các chức năng nghiệp vụ và dữ liệu không quan trọng, sử dụng
các dịch vụ Public Cloud để giải quyết và xử lý các dữ liệu này. Đồng thời, doanh nghiệp
sẽ giữ lại các chức năng nghiệp vụ và dữ liệu tối quan trọng trong tầm kiểm soát (Private



18

Cloud).

Hình 1.7. Đám mây lai.
Một khó khăn khi áp dụng mơ hình Hybrid Cloud là làm sao triển khai cùng một
ứng dụng trên cả hai phía Public và Private Cloud sao cho ứng dụng đó có thể kết nối,
trao đổi dữ liệu để hoạt động một cách hiệu quả.
1.2. Các nguy cơ mất an tồn thơng tin trong điện tốn đám mây
Cùng với những lợi ích to lớn của mình, điện tốn đám mây cũng đã đuợc chỉ ra
rằng nó hồn tồn có thể bị lợi dụng bởi tin tặc và khơng hồn tồn an tồn. Trong điện
tốn đám mây, vấn đề bảo mật đuợc chia sẻ giữa nhà cung cấp dịch vụ và nguời dùng
điện toán đám mây. Hai bên cần phải có sự tin tuởng và thỏa thuận với nhau để từ đó
nâng cao tính bảo mật. Rất nhiều mối đe dọa bảo mật nảy sinh từ bên trong hoặc bên
ngồi mơi truờng nhà cung cấp, nguời dùng và đuợc phân loại thành các dạng đe dọa từ
bên trong, tấn cơng nguy hại từ bên ngồi, mất mát dữ liệu, các vấn đề liên quan đến đa
chức năng, mất quyền kiểm soát và gián đoạn dịch vụ.
1.2.1. Các mối đe dọa từ bên trong.
Khảo sát cho thấy hầu hết các đe dọa bảo mật nảy sinh từ bản thân bên trong doanh
nghiệp và ẩn khuất trong các dịch vụ điện toán đám mây của người dùng do đám mây là


19

một mơ hình đa nhiệm và chịu quyền quản lý đơn của nhà cung cấp. Ở trên nền tảng đó,
các doanh nghiệp sử dụng dịch vụ đám mây khó can thiệp vào các tiến trình của nhà
cung cấp để phân bổ nhân viên quản trị đám mây thích hợp, hay việc quản lý lưu trữ dữ
liệu tại các vùng khác nhau và mối quan hệ với các hãng thứ ba. Thực tế khơng có các

chuẩn và thực nghiệm rõ ràng để cho nhân viên quản trị đám mây sử dụng, cùng với các
vấn đề khác có thể gây ra các lỗ hổng tạo điều kiện cho các hoạt động phá hoại của gián
điệp kinh doanh, tin tặc hoặc mối đe dọa nguy hại từ bên trong.
Đây vẫn đang là thách thức với các doanh nghiệp trong việc làm sao có thể hạn
chế nhân viên, nhà thầu, nhà cung cấp và các đối tượng tin cậy khác các quyền truy cập
tới tài nguyên quan trọng từ trong mạng. Thách thức này nếu muốn được giải quyết thì
cần phải có một quy trình quản lý chặt chẽ áp dụng với cả nhà thầu và nhà cung cấp cũng
như nhân viên của chính doanh nghiệp đó, việc chỉ định các yêu cầu tài nguyên về con
người như một phần hợp pháp của hợp đồng. Hệ thống IDS/IPS phải được cài đặt và
hoạt động hiệu quả để phát hiện nhanh nhất có thể các mối nguy hại.
1.2.2. Các tấn công nguy hại từ bên ngoài.
Các đe dọa từ bên ngoài là một trong những vấn đề được quan tâm nhất đối với
bất cứ doanh nghiệp nào, do trực tiếp tác động tới việc thất thốt các thơng tin mật ra
bên ngồi hoặc thậm chí có thể làm mất uy tín của doanh nghiệp và lợi thế kinh doanh
của doanh nghiệp đó. Đây là một trong những vấn đề muôn thuở của hạ tầng đám mây
từ trước tới nay. Các đám mây có xu thế mang tính tích hợp hơn là các mạng riêng và hỗ
trợ nhiều giao diện để giúp hợp pháp thông tin truy cập người dùng. Thực tế các tin tặc
thường tận dụng ưu thế vào việc khai thác điểm yếu API hay đường kết nối hay trực tiếp
xâm nhập vào trong hệ thống. Hiện nay giới tội phạm công nghệ cao có 4 phương thức
tấn cơng mạng sau:
- Tấn cơng chủ động: Tấn cơng chủ động như tên gọi của nó là các cuộc tấn cơng
mà người tấn cơng hồn tồn công khai và chủ động trong tổ chức và thực hiện cuộc tấn


20

cơng với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính
hoặc hệ thống.
- Tấn công bị động : Bao gồm quét, bắt trộm và nghe trộm các gói tin có thể được
xem là một phương pháp tấn công đơn giản nhất nhưng vẫn rất hiệu quả.

- Tấn công mật khẩu: Bao gồm việc dự đốn, so sánh và tra mật khẩu thơng qua
một bộ từ điển mật khẩu.
- Tấn công mã nguồn và mã mật: Bao gồm các phương pháp cửa sau (BackDoor),
Virus, Trojans, Worms, các khóa mật mã yếu và thuật tốn.
Mối nguy hại này có thể được giảm nhẹ bằng cách làm tương tự giống như trong
các trung tâm dữ liệu mạng truyền thống, tuy nhiên đám mây không tương đồng với các
trung tâm dữ liệu đó mà nó cịn có các máy ảo với rất nhiều người dùng. Do đó, vòng
bảo vệ gồm sử dụng tường lửa, ACL và hệ thống IDS/IPS là bắt buộc. Bên trong vịng
bảo vệ đó, các điểm nóng cần được triển khai cùng với các hệ thống xác thực mạnh mẽ
gây khó khăn lớn cho tin tặc khi tấn công. Để tăng cường thêm khả năng bảo mật, cần
có một hệ thống điều khiển truy cập hoạt động hiệu quả. Các máy ảo nên được cách li
và một tường lửa được cấu hình đúng mức nên được thực thi để khi một máy ảo bị tấn
công và khai thác, tin tặc không thể dễ dàng từ đó tấn cơng các máy ảo khác.
Hơn nữa, các mối nguy hại bảo mật mới nảy sinh hằng ngày, càng lúc càng tinh
vi và nguy hiểm hơn và không thể đốn trước. Có thể cải tiến việc giám sát các thành
phần và hoạt động khác nhau của đám mây cũng như các quy trình làm việc của đám
mây một cách bí mật để đánh lạc hướng cũng như dụ tin tặc vào bẫy do mục tiêu tấn
công bị thay đổi và không rõ ràng.
1.2.3. Mất mát dữ liệu.
Khi doanh nghiệp di trú dữ liệu của họ lên đám mây, họ luôn kỳ vọng vào mức độ
tin cậy và an toàn của dữ liệu, tuy nhiên rõ ràng rằng sự an tồn của dữ liệu trên đám
mây khơng thể tốt bằng khi đặt trong hệ thống đóng của doanh nghiệp, do môi trường


21

đám mây là một môi trường đa nhiệm và việc điều khiển truy cập không cùng một cấp
độ giống như môi trường truyền thống. Việc thực hiện điều này là khơng dễ dàng và việc
mất mát dữ liệu có thể gây ra các tổn hại về tài chính, danh tiếng và tin cậy của khách
hàng và doanh nghiệp. Việc mất mát dữ liệu có thể phát sinh do rất nhiều yếu tố ví dụ

như khi xóa hay thay đổi các bản ghi mà khơng có bản sao lưu dự phịng, xác thực khơng
đầy đủ, phân quyền và kiểm sốt tài khoản, các mã khóa xác thực khơng đảm bảo, các
lỗi điều hành, các vấn đề chính trị và độ ổn định của trung tâm dữ liệu...
1.2.4. Gián đoạn dịch vụ.
Gián đoạn dịch vụ có thể đẩy doanh nghiệp vào tình trạng khó khăn, tài ngun
khơng sẵn sàng cho người dùng hợp pháp sử dụng và không chỉ làm khách hàng khơng
thỏa mãn, việc này cịn làm giảm tinh thần làm việc của nhân viên. Trong trường hợp tin
tặc đạt được quyền điều khiển tới hệ thống xác thực truy cập của doanh nghiệp, họ có
thể giám sát truyền tải và thay đổi dữ liệu.Trong trường hợp xấu nhất, tin tặc cịn có thể
tái sử dụng các phiên làm việc và gián tiếp chuyển hướng khách hàng truy cập tới các
trang web phi pháp hay thực hiện các cuộc tấn công DOS/DDOS nhắm tới yếu tố sẵn
sàng phục vụ của hệ thống.
Mối nguy hại này có thể đuợc giảm nhẹ bởi nhiều tiến trình ẩn. Truớc hết, nhà
cung cấp phải ngăn việc chia sẻ xác thực tài khoản giữa những nguời dùng theo nhiều
cách thức và phuơng tiện đối với mỗi máy ảo hoặc mỗi phiên. Tiếp theo, nhà cung cấp
phải thực thi các kỹ thuật xác thực đa nhân tố mạnh mẽ đủ đảm bảo nguời dùng chỉ đuợc
truy cập sau khi vuợt qua các tiến trình xác thực. Thêm vào đó, nên sử dụng các cơng cụ
nhu iptable để có danh sách các kết nối đến từ dải IP hoặc tên DNS đã biết. Đồng thời
vẫn cần hệ thống IDS/IPS hoạt động hiệu quả. Bảo mật trong điện toán đám mây là trách
nhiệm của cả nhà cung cấp và nguời dùng, và do đó nguời dùng phải sẵn sàng sử dụng
các kỹ thuật để đảm bảo dữ liệu và thơng tin đuợc an tồn. Nếu có thể, nhà cung cấp nên
linh động chấp nhận các chính sách bảo mật cụ thể của nguời dùng.


22

Ngoài ra, việc cấp phép nguời dùng khi khởi tạo và các tiến trình đánh giá có thể
giúp làm giảm thiểu bất cứ tấn cơng nào thậm chí truớc khi chúng có thể phát tán ví dụ
đơn giản nhu việc đăng ký một tài khoản google hiện nay đã kèm theo việc kích hoạt
bằng số điện thoại...Việc giám sát tồn diện luu luợng mạng của khách hàng đuợc thực

thi sử dụng hệ thống ngăn chặn xâm nhập và thậm chí là hệ thống ngăn chặn xâm nhập
máy chủ tại các điểm cuối của khách hàng. Các cố gắng tấn công gây gián đoạn dịch vụ
có thể tránh nhờ giám sát danh sách đen công cộng và danh sách đen của nhà cung cấp
dịch vụ.
1.2.5. Mất quyền kiểm soát.
Khi doanh nghiệp chuyển cổng dữ liệu hoặc dịch vụ lên đám mây, họ khơng cần
quan tâm vị trí dữ liệu và dịch vụ của họ đặt ở đâu, và do đó nhà cung cấp có thể chứa
dữ liệu hoặc dịch vụ ở bất cứ đâu trong đám mây. Tuy nhiên nó cũng gây ra mối quan
tâm của nguời dùng về việc doanh nghiệp mất quyền kiểm sốt dữ liệu quan trọng và
khơng nắm rõ các thuật toán bảo mật mà nhà cung cấp đua vào.
Hạ tầng ảo hóa của đám mây rất phức tạp và mang tính động do việc đa xử lý, luu
trữ ảo, có nhiều nguời quản lý, nhiều ứng dụng chạy tại cùng một thời điểm. Ngồi ra có
một số luợng lớn nguồn luu luợng vào và ra khỏi mỗi máy chủ vật lý hay máy chủ ảo.
Do đó, hạ tầng ảo hóa của đám mây xóa nhịa biên giới vật lý truyền thống sử dụng trong
việc định nghĩa, quản lý và bảo vệ tài sản của doanh nghiệp trong trung tâm dữ liệu
truyền thống. Tuy vậy nó dẫn đến việc hạ tầng ảo hóa sẽ trở nên phức tạp và bản thân nó
sẽ đuợc bảo vệ khỏi các mối đe dọa bất kể từ bên trong hay bên ngồi. Các giải pháp bảo
mật tuơng thích trong mơi truờng đám mây sử dụng để bảo vệ hạ tầng ảo hóa đám mây
là một thách thức lớn địi hỏi việc nghiên cứu sâu về nhiều huớng tấn công và các đặc
tính riêng biệt.
1.3. Một số hướng nghiên cứu bảo mật cho điện tốn đám mây.
1.3.1. Giới thiệu một số mơ hình an tồn


23

> Mơ hình bảo vệ 3 lớp
Mơ hình ba lớp bảo vệ dữ liệu trên điện tốn đám mây.

Hình 1.8. Mơ hình ba lớp bảo vệ dữ liệu.

- Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, với giải
pháp thường được áp dụng là dùng mật khẩu một lần (One Time Password - OTP). Các
hệ thống địi hỏi tính an tồn cao sẽ u cầu xác thực từ hai phía là người dùng và nhà
cung cấp, nhưng với các nhà cung cấp điện toán đám mây miễn phí, thì chỉ xác thực một
chiều.
- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toàn vẹn
dữ liệu (Data Integrity) và bảo vệ tính riêng tư người dùng (Private User Protection)
thơng qua một thuật tốn mã hóa đối xứng.
- Lớp 3 (Layer 3): Lớp dữ liệu người dùng phục vụ cho việc phục hồi nhanh dữ
liệu theo tốc độ giải mã.
> Mô hình bảo mật dựa vào Encryption Proxy
Hệ thống được thiết kế để mã hóa tồn bộ dữ liệu của người dùng trước khi đưa lên
đám mây (Hình 1.9).


24

Hình 1.9. Mơ hình bảo mật dựa trên Encryption Proxy.
Q trình mã hóa/giải mã và xác thực được thơng qua Encryption Proxy. Mơ hình
này đảm bảo dữ liệu an tồn và bí mật trong q trình truyền (transmission) và lưu trữ
(storage) giữa người dùng và đám mây. Để các bản mã vẫn được xử lý và quản lý lưu
trữ mà khơng cần giải mã thì thuật tốn mã hóa dữ liệu đồng phôi (homomorphic
encryption algorithm) và đồng phôi đầy đủ (fully hommomorphic) đang được quan tâm
nghiên cứu ứng dụng trong mơ hình này. Thơng tin bí mật của người dùng phục vụ q
trình mã hóa/giải mã được lưu tại Secure Storage.
> Mơ hình bảo vệ dữ liệu sử dụng VPN Cloud.
Trong mơ hình này (Hình 1.10), để đảm bảo dữ liệu trên kênh truyền được an toàn,
người ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đường truyền giữa các đám
mây riêng với nhau và giữa người sử dụng với đám mây. Với các tổ chức có nhu cầu an
tồn dữ liệu cao thì khi triển khai thuờng lựa chọn mơ hình điện tốn đám mây riêng



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×