BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN CHUYÊN NGÀNH

CÁC PHƯƠNG PHÁP VÀ GIẢI PHÁP BẢO MẬT
TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY

Giảng viên hướng dẫn:
Sinh viên thực hiện:
MSSV:
Chuyên ngành:
Khóa:

Tp.HCM, tháng 05 năm 2021


LỜI CẢM ƠN
.

2


LỜI MỞ ĐẦU
Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin đặc biệt là
trong thời điểm cuộc cách mạng 4.0 bắt đầu, mạng Internet ngày càng có tốc độ nhanh
hơn, cùng với đó là các dịch vụ trên mạng Internet ngày càng nở rộ, các công nghệ
mới cũng được nghiên cứu và triển khai rất nhanh trong đó phải kể đến cơng nghệ
Ðiện tốn đám mây.

Tuy nhiên sự phát triển quá mạnh mẽ của Internet cũng kéo theo nhiều hệ lụy.
Một trong số đó là nguy cơ mất an tồn thơng tin trên mạng. Hiện nay, số lượng tội
phạm công nghệ cao gia tăng với những hình thức tấn cơng ngày càng tinh vi và phức
tạp, chúng có thể ăn cắp, đánh tráo dữ liệu hay làm sập các hệ thống phục vụ người
dùng. Vấn đề an tồn thơng tin trên mạng trở thành một đề tài nóng hổi thu hút sự
quan tâm và nghiên cứu của nhiều cá nhân tổ chức trên toàn thế giới.
Điện tốn đám mây là một cơng nghệ của hiện tại và tương lai, khi ở đó người
dùng có thể đưa dữ liệu của mình lên các đám mây và truy cập chúng từ bất cứ đâu.
Tuy nhiên việc sử dụng đám mây trên Internet này tồn tại rất nhiều rủi ro bảo mật và
đó chính là vấn đề cần khắc phục để điện toán đám mây trở nên thân thiện và an toàn
hơn đối với người dùng.

3


NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................

.......................................................................................................
Điểm đồ án: ......................................................................................
.......................................................................................................
.......................................................................................................
.......................................................................................................
TPHCM, Ngày …… tháng …… năm
Giáo viên hướng dẫn
(Ký tên, đóng dấu)

4


MỤC LỤC

5


DANH MỤC HÌNH ẢNH

6


DANH MỤC TỪ VIẾT TẮT
SaaS

Software as a Service.

PaaS

Platform as a Service.


IaaS

Infrastructure as a Service.

DraaS

Data Recovery as a Service.

API

Application programming interface.

DoS

Denial-of-Service.

HTTP

HyperText Transfer Protoco.

AAA

Authentication, Authorization, Accounting.

XML

eXtensible Markup Language.

SOAP


Simple Object Access Protocol.

MITM

Man-In-The-Middle.

ARP

Address Resolution Protocol.

MAC

Media Access Control.

DHCP

Dynamic Host Configuration Protocol.

DNS

Domain Name Service.

OTP

One Time Password.

SS7

Signaling System 7.


VPN

Virtual Private Network.

SSL

Secure Sockets Layer.

TLS

Transport Layer Security.

L2TP

Layer 2 Tunneling Protocol.

PPTP

Point to Point Tunneling Protocol.

MFA

Multi-Factor Authentication.
7


BCDR

Business continuity and disaster recovery.


ASR

Azure Site Recovery.

SLA

Service Level Agreement.

8


CHƯƠNG 1 TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1. Lịch sử hình thành:
Thuật ngữ điện tốn đám mây xuất hiện bắt nguồn từ ứng dụng điện toán lưới (grid
computing) trong thập niên 1980, tiếp theo là điện toán theo nhu cầu (utility
computing) và phần mềm dịch vụ (SaaS).
Điện toán lưới đặt trọng tâm vào việc di chuyển một tải công việc (workload) đến địa
điểm của các tài nguyên điện toán cần thiết để sử dụng. Một lưới là một nhóm máy
chủ mà trên đó nhiệm vụ lớn được chia thành những tác vụ nhỏ để chạy song song,
được xem là một máy chủ ảo.
Với điện toán đám mây, các tài ngun điện tốn như máy chủ có thể được định hình
động hoặc cắt nhỏ từ cơ sở hạ tầng phần cứng nền và trở nên sẵn sàng thực hiện
nhiệm vụ, hỗ trợ những mơi trường khơng phải là điện tốn lưới như Web ba lớp chạy
các ứng dụng truyền thống hay ứng dụng Web 2.0.
1.2. Khái niệm về điện toán đám mây:
Điện tốn đám mây (Cloud Computing) là mơ hình máy tính dựa trên nền tảng phát
triển của Internet. Điện tốn đám mây là sự nâng cấp từ mơ hình máy chủ mainframe
sang mơ hình Client - Server. Cụ thể, người dùng sẽ khơng còn phải có các kiến thức
về chun mơn để điều khiển các cơng nghệ, máy móc và cơ sở hạ tầng, mà các

chuyên gia trong đám mây của các nhà cung cấp đám mây sẽ giúp thực hiện điều đó.
Thuật ngữ đám mây ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vào cách được bố trí
của nó trong sơ đồ mạng máy tính) ám chỉ độ phức tạp của các cơ sở hạ tầng chứa
trong nó. Ở mơ hình điện tốn này, mọi nguồn tài nguyên liên quan đến công nghệ
thông tin đều được cung cấp dưới dạng các dịch vụ, cho phép người sử dụng truy cập
mà khơng cần phải có các kiến thức, kinh nghiệm về cơng nghệ đó, cũng như không
cần quan tâm đến các cơ sở hạ tầng phục vụ cơng nghệ đó. Ví dụ nếu một website
được chứa trên một máy chủ, người dùng phải lựa chọn hệ điều hành để cài đặt
(Linux/Windows/Mac), tiến hành các thiết lập để máy chủ và website có thể hoạt

9


động. Tuy nhiên, nếu trang web được chứa trên đám mây, người dùng sẽ không cần
phải thực hiện thêm bất cứ điều gì khác. Điều này cũng đảm bảo yếu tải ở mức tối đa.

Hình 1.1: Mơ hình điện tốn đám mây.
Ở điện toán đám mây, các dịch vụ được cung cấp nằm bên trong đám mây và được
truy cập từ các máy tính nằm bên ngồi. Tài ngun, dữ liệu, phần mềm và các thông
tin liên quan đều được chứa trên các máy chủ trên mây. Nói một cách đơn giản nhất
ứng dụng điện tốn đám mây chính là những ứng dụng trực tuyến trên Internet. Trình
duyệt là nơi ứng dụng hiện hữu và vận hành còn dữ liệu được lưu trữ và xử lý ở máy
chủ của nhà cung cấp ứng dụng đó.
1.3. Ưu và nhược điểm của điện tốn đám mây:
1.3.1. Ưu điểm:
Triển khai nhanh chóng: So với phương pháp thông thường triển khai một ứng dụng
trên Internet, người dùng phải thực hiện một loạt các công việc như mua sắm thiết bị
(hoặc thuê thiết bị từ bên thứ ba), cài đặt và cấu hình phần mềm, đưa các ứng dụng
vào đám mây. Việc sử dụng điện tốn đám mây giúp loại bỏ phần lớn các cơng việc
trên. Lúc này người dùng chỉ việc quan tâm phát triển, triển khai các ứng dụng của

mình khi sử dụng các đám mây nền tảng. Bên cạnh đó, điện tốn đám mây có khả
10


năng co giãn nguồn tài nguyên cần thiết theo nhu cầu riêng của từng ứng dụng tại từng
thời điểm khác nhau. Đây là ưu điểm vượt trội của điện toán đám mây so với cơng
nghệ ảo hóa thơng thường.
Giảm chi phí: Việc sử dụng điện tốn đám mây giúp tiết kiệm rất nhiều chi phí cho
việc đầu tư cơ sở hạ tầng. Thay vào đó, người dùng chỉ tập trung nguồn lực, chi phí
vào việc phát triển nội dung và dịch vụ chạy trên nền đám mây. Điện toán đám mây
đặc biệt hữu ích đối với những khách hàng khơng sử dụng hạ tầng một cách thường
xuyên lâu dài.
Đa phương tiện truy cập: Sự độc lập giữa thiết bị và vị trí làm cho người dùng có thể
truy cập hệ thống từ bất cứ đâu, bất cứ nền tảng nào và bất cứ thiết bị nào có Internet.
Chia sẻ: Việc cho thuê và chia sẻ tài nguyên giữa các người dùng với nhau làm giảm
chi phí đầu tư hạ tầng. Sự chia sẻ này cũng cho phép tập trung cơ sở hạ tầng để phục
vụ các bài toán lớn với chi phí thấp hơn việc đầu tư hệ thống máy chủ từ đầu.
Khả năng chịu tải nâng cao: Về lý thuyết, nguồn tài nguyên trên đám mây là vô hạn.
Việc thêm vào năng lực tính tốn để chịu tải cao có thể được thực hiện chỉ bằng các
thao tác kích chuột hoặc đã được tự động hoá.
Độ tin cậy: Người sử dụng điện toán đám mây được ký hợp đồng sử dụng với điều
khoản chất lượng dịch vụ rất cao ghi sẵn trong hợp đồng. Chất lượng dịch vụ đám
mây được đánh giá ổn định hơn hệ thống tự triển khai do nó được thiết kế và bảo trì
bởi đội ngũ chuyên gia nhiều kinh nghiệm về hệ thống. Hơn nữa, việc luôn làm việc
với hệ thống lớn và gặp nhiều lỗi tương tự nhau nên q trình khơi phục hệ thống sau
sự cố thường nhanh chóng.
1.3.2. Nhược điểm:
Các cơng cụ giám sát và quản lý: Công cụ giám sát và bảo trì chưa hồn thiện và khả
năng giao tiếp với các đám mây là có giới hạn, mặc dù thông báo gần đây của BMC,
CA, Novell cho rằng các ứng dụng quản lý trung tâm dữ liệu đang được cải tiến để

cung cấp kiểm soát tốt hơn dữ liệu trong điện toán đám mây Amazon EC2 và các dịch
vụ đám mây.

11


Chuẩn hóa đám mây: Chuẩn hóa giao tiếp và thiết kế đám mây chưa được thông qua.
Mỗi nền tảng cung cấp các giao diện quản lý và giao tiếp ứng dụng API khác nhau.
Hiện nay, các tổ chức như Distributed Management Task Force, Cloud Security
Alliance và Open Cloud Consortium đang phát triển các tiêu chuẩn về quản lý tương
thích, di chuyển dữ liệu, an ninh và các chức năng khác của điện tốn đám mây.
Tính sẵn sàng: Tính sẵn sàng là ưu điểm của đám mây trong lý thuyết. Tuy nhiên, trên
thực tế với các đám mây hiện thời, tính sẵn sàng đôi khi không được đảm bảo và cũng
là một trở ngại hiện nay, khi chỉ có một số ít nhà cung cấp dịch vụ cam kết được về sự
sẵn sàng và liên tục của dịch vụ, về thời gian sửa chữa và phục hồi dữ liệu.
Tính riêng tư: Hầu hết các hợp đồng thể hiện quy định giữa nhà cung cấp và người
dùng điện toán đám mây hứa hẹn một viễn cảnh trong đó dữ liệu khách hàng ln an
tồn và riêng tư. Tuy nhiên, tính riêng tư trong điện toán đám mây cũng là một vấn đề
đáng quan tâm vì hạ tầng an tồn thơng tin cho đám mây hiện vẫn đang là một chủ đề
nghiên cứu trong giới khoa học.
Cấp độ dịch vụ: Điện toán đám mây cung cấp dịch vụ theo yêu cầu, tuy nhiên trong
thực tế, các gói dịch vụ thường được định nghĩa trước và người sử dụng căn cứ vào
nhu cầu và khả năng để chọn dịch vụ sẵn có. Ví dụ, việc tự cấu hình chi tiết thơng số
các máy ảo hiện tại chưa thực hiện được. Như vậy, khả năng để thích ứng yêu cầu cấp
dịch vụ cho các nhu cầu cụ thể của một doanh nghiệp là ít hơn so với các trung tâm dữ
liệu xây dựng riêng với mục đích là để tiếp tục mục tiêu nâng cao khả năng kinh
doanh của cơng ty.
Khả năng tích hợp với hạ tầng thơng tin sẵn có của tổ chức: Việc tích hợp điện tốn
đám mây vào hạ tầng sẵn có của khách hàng chưa có mơ hình và cách thức thực hiện
cụ thể. Các mơ hình kết nối đám mây riêng và đám mây thương mại vẫn đang được

nghiên cứu.
1.4. Các mơ hình triển khai điện tốn đám mây:
1.4.1. Đám mây cơng cộng (Publi c Cloud):
Mơ hình đám mây cơng cộng là mơ hình đám mây được một bên thứ 3 cung cấp rộng
rãi cho mọi người sử dụng. Các đám mây này là cơng cộng, chúng nằm ngồi tường
12


lửa, sự sở hữu của các doanh nghiệp. Chúng được quản lý, lưu trữ bởi nhà cung cấp
đám mây. Ví dụ như Google Drive, Dropbox hay OneDrive là những đám mây cơng
cộng.

Hình 1.2: Mơ hình đám mây cơng cộng.
Tại đám mây cơng cộng, tồn bộ hạ tầng, lưu trữ, máy chủ… đều thuộc sự kiểm soát
của nhà cung cấp. Do đó người dử dụng giảm thiểu gánh nặng, rủi ro và chi phí cho
việc đầu tư, vận hành quản lý hệ thống, an ninh bảo mật. Một lợi ích khác của mơ
hình này đó là cung cấp khả năng co dãn tài nguyên động tùy theo nhu cầu của người
dùng.
Tuy nhiên đám mây công cộng tồn tại một nhược điểm rất lớn đó chính là an ninh bảo
mật. Người sử dụng khơng thể kiểm sốt tồn bộ dữ liệu đã đưa lên đám mây của
mình khi việc đó còn phụ thuộc rất nhiều vào nhà cung cấp dịch vụ. Rõ ràng với
những doanh nghiệp đặt nặng vấn đề bảo mật, họ khơng thích sử dụng đám mây cơng
cộng.
1.4.2. Đám mây riêng (Private Cloud):
Mơ hình đám mây riêng là mơ hình đám mây nội bộ trong các doanh nghiệp. Tại đây,
nó được bảo vệ bởi tường lửa của doanh nghiệp và được doanh nghiệp trực tiếp quản
lý.

13



Hình 1.3: Mơ hình đám mây riêng.
Mơ hình đám mây riêng có một số lợi điểm so với mơ hình đám mây cơng cộng. Đầu
tiên đó là các doanh nghiệp có thể hồn tồn kiểm sốt hạ tầng, dữ liệu, dịch vụ của
mình. Các doanh nghiệp có thể can thiệp sâu để tối ưu hóa, chuyên biệt chất lượng
cho doanh nghiệp của mình. Vấn đề bảo mật cũng là một ưu điểm so với đám mây
công cộng. Do nằm nội bộ trong doanh nghiệp nên dữ liệu trên đám mây riêng sẽ
được bảo vệ an toàn hơn.
Tuy nhiên, trên thực tế hiện nay, các đám mây riêng đang gặp phải rất nhiều những
khó khăn khi triển khai .
Đầu tiên, xét về mặt công nghệ, đám mây riêng không tận dụng được những ưu điểm
nổi trội của điện toán đám mây. Chúng ta vẫn cần đầu tư một cơ sở hạ tầng lớn phục
vụ cho việc ảo hóa. Chi phí cho việc này là khơng hề nhỏ. Ngồi ra, chi phí bảo trì,
vận hành cũng là một vấn đề nan giải. Các doanh nghiệp ln phải duy trì và vận hành
thường xuyên một khối lượng lớn cơ sở hạ tầng, phần cứng và tất cả phần mềm đi
kèm. Việc chạy các ứng dụng cũng gặp khó khăn khi sử dụng một lượng tài nguyên
hạn hẹp duy nhất, chưa kể chi phí phát sinh từ việc phải đầu tư duy trì nhiều trung tâm
dữ liệu khác nhau ở nhiều vùng miền khác nhau, các trung tâm dữ liệu này cũng bị
giới hạn bởi kích thước và quy mơ.

14


Thứ hai, việc xây dựng và vận hành đám mây riêng thực sự khó khăn về mặt cơng
nghệ và tốn kém về mặt chi phí. Các giải pháp đám mây của những nhà cung cấp lớn
như Microsoft, Vmware thường có lincese rất đắt. Một số giải pháp Open Source thì
lại không đủ độ tin cậy. Hơn nữa việc xây dựng và vận hành cả hệ thống đám mây đòi
hỏi một đội ngũ chuyên gia am hiểu về công nghệ; đối với các doanh nghiệp vừa và
nhỏ, đây là điều không khả thi.
Thứ ba, vấn đề bảo mật cũng là một mối lo lớn với đám mây riêng. Trong hệ thống mà

doanh nghiệp tự xây dựng cho họ luôn tồn tại nhiều lỗ hổng bảo mật. Với đám mây
công cộng, các lỗ hổng được phát hiện và vá bởi một đội ngũ chuyên gia. Trong khi
đó, với đám mây riêng, doanh nghiệp sẽ phải tự làm các công việc trên. Kẻ xấu có thể
tấn cơng vào hệ thống nhân lúc các lỗ hổng chưa được vá và đánh cắp dữ liệu hay
chiếm quyền kiểm soát hệ thống.
1.4.3. Đám mây lai (Hybrid Cloud):
Mơ hình đám mây lai là mơ hình kết hợp của đám mây cơng cộng và đám mây riêng.
Trong đó doanh nghiệp sẽ “out-source” các chức năng nghiệp vụ và dữ liệu không
quan trọng, sử dụng các dịch vụ Public Cloud để giải quyết và xử lý các dữ liệu này.
Đồng thời, doanh nghiệp sẽ giữ lại các chức năng nghiệp vụ và dữ liệu tối quan trọng
trong tầm kiểm sốt (Private Cloud).
Một khó khăn khi áp dụng mơ hình Hybrid Cloud là làm sao triển khai cùng một ứng
dụng trên cả hai phía Public và Private Cloud sao cho ứng dụng đó có thể kết nối, trao
đổi dữ liệu để hoạt động một cách hiệu quả.

15


Hình 1.4: Mơ hình đám mây lai.
Doanh nghiệp có thể chọn để triển khai các ứng dụng trên Public, Private hay Hybrid
Cloud tùy theo nhu cầu cụ thể. Mỗi mô hình đều có điểm mạnh và yếu của nó. Các
doanh nghiệp phải cân nhắc đối với các mơ hình Cloud Computing mà họ chọn. Họ có
thể sử dụng nhiều mơ hình để giải quyết các vấn đề khác nhau. Nhu cầu về một ứng
dụng có tính tạm thời có thể triển khai trên Public Cloud bởi vì nó giúp tránh việc phải
mua thêm thiết bị để giải quyết một nhu cầu tạm thời. Tương tự, nhu cầu về một ứng
dụng thường trú hoặc một ứng dụng có những yêu cầu cụ thể về chất lượng dịch vụ
hay vị trí của dữ liệu thì nên triển khai trên Private hoặc Hybrid Cloud.
1.5. Các loại mơ hình dịch vụ của điện tốn đám mây:
Điện toán đám mây cung cấp các dịch vụ khác nhau theo các mơ hình dịch vụ đám
mây khác nhau. Có ba loại dịch vụ của điện tốn đám mây chính như sau:

1.5.1. Phần mềm được cung cấp dưới dạng dịch vụ (SaaS):
Software as a Service (SaaS) là tầng kiến trúc của điện toán đám mây liên quan tới
phần mềm, và thường được phân phối thông qua môi trường Web - là một môi trường
quen thuộc với hầu hết người dùng, có thể phục vụ cho hàng trăm nghìn khách hàng
cùng một lúc (dịch vụ đám mây công cộng) hoặc mơi trường mạng dùng riêng gồm
các máy tính và thiết bị mạng cài đặt các phần mềm chuyên dụng (dịch vụ đám mây
16


riêng). Về phía người sử dụng, SaaS đồng nghĩa với việc họ không cần đầu tư mua
sắm, sở hữu máy chủ và bản quyền phần mềm. Còn đối với nhà cung cấp, họ chỉ phải
duy trì một phần mềm ứng dụng có thể chia sẻ và dùng chung cho nhiều khách hàng,
nên chi phí tổng sở hữu rẻ hơn so với cách hosting truyền thống.
Những đặc trưng tiêu biểu:
Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng.
Quản lý các hoạt động từ một vị trí tập trung hơn là tại mỗi nơi của khách
hàng, cho phép khác hàng truy xuất từ xa thông qua web .
Cung cấp ứng dụng thơng thường gần gũi với mơ hình ánh xạ từ một - nhiều
hơn là mơ hình ánh xạ từ một - một bao gồm cả các đặc trưng kiến trúc, giá thành và
quản lý.

Hình 1.5: Mơ hình SaaS.
1.5.2. Nền tảng được cung cấp dưới dạng dịch vụ (PaaS):
Platform as a Service (PaaS) là một biến thể của SaaS nhưng mơ hình này là một
nhánh của điện tốn đám mây, mang đến môi trường phát triển như một dịch vụ:
người sử dụng xây dựng ứng dụng chạy trên cơ sở hạ tầng của nhà cung cấp và phân
phối tới người sử dụng thông qua máy chủ của nhà cung cấp đó. Người sử dụng sẽ
khơng hồn tồn được tự do vì bị ràng buộc về mặt thiết kế và cơng nghệ. Một số ví

17



dụ điển hình về PaaS là Force.com của Salesforce.com, Google App Engine, Yahoo
Pipes…
Dịch vụ nền tảng cung cấp giao diện lập trình ứng dụng (API - Application
Programing Interface) cho phát triển ứng dụng trên một nền tảng trừu tượng. PaaS
cung cấp nền tảng tính tốn và một tập các giải pháp nhiều lớp. Nó hỗ trợ việc triển
khai ứng dụng mà người sử dụng không cần quan tâm đến sự phức tạp của việc trang
thiết bị và quản lý các lớp phần cứng, phần mềm bên dưới. PaaS cung cấp tất cả các
tính năng cần thiết để hỗ trợ việc xây dựng, cung cấp một ứng dụng và dịch vụ sẵn
sàng trên Internet mà khơng cần bất kì thao tác tải hay cài đặt phần mềm cho những
người phát triển, người quản trị hệ thống, hay người dùng cuối. Nó còn được biết đến
với một tên khác là Cloudware.
Những đặc trung tiêu biểu:
Phục vụ cho việc phát triển, triển khai và vận hành ứng dụng giống như là môi
trường phát triển tích hợp.
Các cơng cụ khởi tạo với giao diện trên nền web.
Kiến trúc đồng nhất. Tích hợp dịch vụ web và cơ sở dữ liệu.
Hỗ trợ cộng tác nhóm phát triển.
Cơng cụ hỗ trợ tiện tích.
Thuận lợi và khó khăn:
Thuận lợi: PaaS đang ở thời kì đầu và được ưa chuộng ở những tính năng vốn
được ưa thích bởi dịch vụ phần mềm, bên cạnh đó có tích hợp các yếu tố về nền tảng
hệ thống. Ưu điểm trong những dự án tập hợp những cơng việc nhóm có sự phân tán
về địa lý. Khả năng tích hợp nhiều nguồn của dich vụ web. Giảm chi phí ngồi lề khi
tích hợp các dịch vụ về bảo mật, khả năng mở rộng, kiểm sốt lỗi… Giảm chi phí khi
trừu tượng hóa cơng việc lập trình ở mức cao để tạo dục vụ, giao diện người dùng và
các yếu tố ứng dụng khác. Tạo điều kiện dễ dàng hơn cho việc phát triển ứng dụng đa
người dùng cho những người không chỉ trong nhóm lập trình mà có thể kết hợp nhiều
nhóm cùng làm việc.

18


19


Khó khăn:
Ràng buộc bởi nhà cung cấp: nghĩa là một khách hàng phụ thuộc vào
một nhà cung cấp và không thể sử dụng nhà cung cấp khác mà không phải chịu chi
phí chuyển đổi đáng kể.
Giới hạn phát triển: độ phức tạp khiến nó khơng phù hợp với u cầu
phát triển nhanh vì những tính năng phức tạp khi hiện thực trên nền tảng web.

Hình 1.6.: Mơ hình PaaS.
1.5.3. Hạ tầng được cung cấp dưới dạng dịch vụ (Iaas):
Infrastructure as a Service (IaaS) là tầng thấp nhất của điện toán đám mây, nơi tập hợp
các tài sản vật lý như các phần cứng máy chủ, hệ thống lưu trữ và các thiết bị mạng,
được chia sẻ và cung cấp dưới dạng dịch vụ cho các tổ chức hay doanh nghiệp khác
nhau. Ảo hóa là cơng nghệ được sử dụng rộng rãi để tạo ra cơ chế chia sẻ và phân
phối các nguồn tài nguyên theo yêu cầu. Ví dụ về các dịch vụ IaaS như IBM
BlueHouse, Vmware, Amazon EC2, Microsoft Azure Platform, Sun Parascale Cloud
Storage.
Lợi ích của IaaS: Các tổ chức, cá nhân tiết kiệm được vốn đầu tư vào hệ thống, vì các
doanh nghiệp sẽ khơng cần phải đầu tư thêm các máy chủ, thường chỉ chạy vài phần
trăm công suất.
20


21



Những đặc trưng tiêu biểu:
Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bị mạng, bộ
nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ liệu.
Khả năng mở rộng linh hoạt.
Khả năng mở rộng linh hoạt.

Hình 1.7: Mơ hình IaaS.

22


CHƯƠNG 2 CÁC VẤN ĐỀ BẢO MẬT TRONG ĐIỆN TOÁN
ĐÁM MÂY

2.1. Bảo mật trong điện toán đám mây:
Điện toán đám mây đã đem lại cho doanh nghiệp phương thức quản lý tài nguyên một
cách hiệu quả, linh động và chi phí hợp lí. Với những ưu điểm của mình, ngày càng
nhiều những doanh nghiệp tham gia phát triển và sử dụng điện toán đám mây, tiêu
biểu như Microsoft, Google, Amazon… Điều đó đã và tạo ra một xu hướng cơng nghệ
của hiện tại và tương lai.
Tuy nhiên, điều ngăn cản sự phát triển của điện toán đám mây lại nằm ngay trong kiến
trúc của nó. Trong điện tốn đám mây, vấn đề bảo mật được chia sẻ giữa nhà cung cấp
dịch vụ và người dùng điện toán đám mây. Hai bên cần phải có sự tin tưởng và thỏa
thuận với nhau để từ đó nâng cao an tồn cho hệ thống đám mây. Rất nhiều mối đe
dọa bảo mật nảy sinh từ bên trong hoặc bên ngồi mơi trường nhà cung cấp/người
dùng như mất mát dữ liệu, mất quyền kiểm soát hay gián đoạn dịch vụ.
2.2. Các nguy cơ và lỗ hỏng của bảo mật:
2.2.1. Lợi dụng tài nguyên của điện tốn đám mây:
Trong các mơ hình mạng truyền thống, các kẻ tấn cơng thường sử dụng nhiều máy

tính hoặc tạo ra một mạng botnet diện rộng để tấn công vào một hệ thống mạng nào
đó. Q trình này rất phức tạp, đòi hỏi kẻ tấn công phải chuẩn bị trong một thời gian
dài và thời gian tấn công cũng kéo dài. Ngày nay, với một cơ sở hạ tầng điện toán đám
mây mạnh mẽ bao gồm cả phần cứng lẫn phần mềm, các kẻ tấn cơng có thể lợi dụng
sức mạnh này để bắn ra các cuộc tấn công trong một khoảng thời gian rất ngắn.
Ví dụ kẻ tấn cơng có thể lợi dụng điện tốn đám mây để thực hiện tấn công
brute force hoặc DoS.
Brute force là kỹ thuật tấn cơng nhằm mục đích bẻ khóa mật khẩu bằng cách thử tất cả
các chuỗi mật khẩu cho tới khi tìm ra mật khẩu chính xác. Sự thành cơng của phương
thức này phụ thuộc rất nhiều vào khả năng tính tốn của máy kẻ tấn cơng vì trong
23


trường hợp thiếu may mắn, kẻ tấn cơng có thể phải thử cả tỉ lần để có thể tìm ra khóa
truy nhập. Điện tốn đám mây vơ tình cung cấp một nền tảng hồn hảo để các kẻ tấn
cơng có thể kiểu tấn công này. Thomas Roth, một chuyên gia bảo mật đã trình diễn
cuộc tấn cơng này tại hội nghị Black Hat Security Conference năm 2013. Ông tiến
hành phá khóa mật khẩu wifi sử dụng WPA-PSK bằng cách thuê một máy chủ từ dịch
vụ đám mây EC2 của Amazon. Kết quả trong vòng 20 phút, 400.000 mật khẩu đã
được tìm ra.
DoS là kỹ thuật tấn cơng nhằm phá vỡ hoạt động của một máy chủ hoặc một hệ thống
nào đó làm cho những người sử dụng hợp pháp khơng thể truy nhập các dịch vụ trên
hệ thống đó. Có nhiều cách thức tấn công DoS khác nhau như tấn công tiêu thụ, phá
hủy các nguồn tài nguyên khan hiếm hoặc phá hoại thơng tin cấu hình… Tuy nhiên
flooding là phương thức tấn công được nhiều kẻ tấn công sử dụng nhất. Kẻ tấn công
gửi một số lượng lớn các truy vấn khơng có thật vào hệ thống của nạn nhân. Khi máy
chủ đám mây nhận được một lượng lớn các flooding request, nó sẽ cung cấp lượng tài
nguyên lớn hơn để xử lý những truy vấn này. Tới một thời điểm nào đó, khả năng xử
lý của máy chủ quá tải dẫn tới người dùng hợp pháp không thể truy nhập được. Tệ
hơn nữa, khi máy chủ này chia sẻ khối lượng cơng việc của mình cho các máy khác

nằm trong cùng đám mây, dẫn tới toàn bộ hoạt động của đám mây ngừng trệ.
Dịch vụ điện toán đám mây cũng có thể được sử dụng để flooding một lượng lớn các
gói tin tới một mạng nội bộ nào đó. Bằng cách thuê một máy chủ trên nền điện tốn
đám mây, kẻ tấn cơng có thể dễ dàng DoS hệ thống của nạn nhân.
2.2.2. Mối đe dọa về dữ liệu:
Các mối đe dọa từ bên trong:
Các mối đe dọa về bảo mật có thể đến từ cả bên trong lẫn bên ngoài tổ chức.
Các lỗ hổng đến từ bên trong có thể đến từ nhiều ngun nhân: chính sách và vai trò
khơng rõ ràng, sự thi hành chính sách diễn ra kém, nguyên tắc Need-To-Know không
được áp dụng, các lỗ hổng AAA, các lỗ hổng hệ thống và hệ điều hành, các lỗ hổng
ứng dụng…

24


Việc đưa dữ liệu và ứng dụng lên môi trường điện toán đám mây giúp các tổ
chức, doanh nghiệp mở rộng hoạt động kinh doanh. Nhưng những mối đe dọa vào các
thơng tin nhạy cảm có thể gây nguy hiểm tới hoạt động kinh doanh của tồn bộ doanh
nghiệp. Có ba loại mối đe dọa nội bộ trong điện toán đám mây: người quản trị không
tin cậy, người bên trong khai thác các lỗ hổng đám mây và người bên trong sử dụng
đám mây cho các hoạt động bất chính.
Khi hệ thống đám mây được quản trị bởi một người không tin cậy, thông tin,
dữ liệu của người dùng đặt trong một mối nguy lớn. Người quản trị có thể ăn cắp
những dữ liệu không được bảo vệ, tấn công brute force mật khẩu hoặc lấy về toàn bộ
dữ liệu khách hàng.
Những người bên trong sử dụng đám mây có thể khai thác những lỗ hổng bảo
mật bên trong đám mây nhằm chiếm quyền truy nhập trái phép vào dữ liệu của doanh
nghiệp, bán các thông tin nhạy cảm nhằm kiếm lợi cá nhân.
Những người bên trong có thể sử dụng đám mây cho các hoạt động bất chính
như lợi dụng đám mây để tấn công những hệ thống khác.

Mối đe dọa trực tuyến:
Điện toán đám mây cung cấp cho người dùng khả năng xử lý mạnh mẽ với
không gian lữu trữ lớn vô tận. Rất nhiều doanh nghiệp đã di chuyển các dữ liệu của
mình vào đám mây. Tuy nhiên, các dữ liệu nhạy cảm được lưu trữ trên các đám mây
trở thành mục tiêu hấp dẫn cho các tin tặc trên Internet. Có vơ cùng nhiều những kịch
bản tấn cơng trên Internet, nhưng khái qt lại có 3 phương thức tấn công phổ biến là:
tấn công lỗ hổng hệ thống, tấn công logic code và tấn công hành vi.
Tấn công lỗ hổng hệ thống là kiểu tấn công lợi dụng những lỗ hổng còn tồn tại
trong hệ thống nhằm chiếm quyền điều khiển hoặc tạm dừng dịch vụ hệ thống.
Nguyên nhân có thể do thiết kế của đám mây chưa an toàn về mặt bảo mật, các nền
tảng chưa kịp cập nhật các lỗ hổng của mình. Các kịch bản tấn cơng này thường rất
phức và khó đốn.
Tấn công logic code là kiểu tấn công khai thác các bug trong việc xây dựng
phần mềm của hệ thống đám mây. Kẻ tấn công là một người am hiểu về thuật toán và
25