Điện toán đám mây (Cloud Computing) đang là xu thế chủ đạo của hạ tầng IT trong
doanh nghiệp hiện nay với rất nhiều ưu điểm. Trong các quy trình đánh giá hệ thống hiện tại
để xây dựng một đám mây riêng hoặc chung, bảo mật được coi là một trong những vấn đề
quan trọng được đưa ra xem xét đầu tiên. Hiểu được các nguy cơ tấn công cũng như các cơ
chế bảo mật để phòng chống các nguy cơ đối với các hệ thống điện toán đám mây sẽ giúp
người quản trị đưa ra được chiến lược phù hợp cho điện toán đám mây của doanh nghiệp
mình.
Trong số các sản phẩm cho môi trường điện toán đám mây nổi lên các giải pháp của
VMware phù hợp với nhiều mô hình khác nhau. Một trong số đó là môi trường điện toán đám
mây hướng tới người sử dụng đầu cuối (End User) – VMware View. Đây là giải pháp rất phù
hợp trong các doanh nghiệp trong thời kỳ kinh tế khó khăn nhờ đem lại nhiều lợi ích về chi
phí. Người dùng có thể truy cập vào tài nguyên làm việc tại bất cứ nơi đâu không nhất thiết
phải đến văn phòng mà vẫn đảm bảo hiệu quả công việc. Họ có thể sử dụng PC tại nhà, laptop,
điện thoại thông minh, máy tính bảng hay thậm chí là các thiết bị có tên gọi là thin client đặc
thù sử dụng cho môi trường điện toán đám mây với chi phí bảo hành thấp. Mặc dù có nhiều
lợi ích như vậy nhưng mô hình này vẫn chưa thực sự được triển khai rộng rãi nhất là ở Việt
Nam, mới chỉ dừng lại nhiều ở phòng lab và demo PoC giải pháp. Một trong số nhiều vấn đề
mà người dùng còn e ngại là vấn đề bảo mật trong môi trường đó. Đã có nhiều mô hình, đề
xuất bảo mật được đưa ra để tối ưu nhưng chúng cũng chưa thực sự hiệu quả hoàn toàn. Dựa
trên cơ sở các đề xuất đưa ra để đánh giá đưa ra một mô hình tối ưu hơn cho môi trường điện
toán đám mây, cụ thể là mô hình MeMoc. Do khuôn khổ của luận văn, phạm vi của đề tài sẽ
tập trung vào áp dụng chính trên môi trường ảo hóa của VMware. Đây là môi trường được áp
dụng rất phổ biến trong các môi trường doanh nghiệp hiện nay và có thể lấy làm chuẩn chung
cho các giải pháp.
Bố cục của luận văn như sau:
Chương I: Nghiên cứu về điện toán đám mây và việc ứng dụng tại Việt Nam
Chương II: Nghiên cứu về bảo mật trong môi trường điện toán đám mây.
Chương III: Giải pháp bảo mật an toàn an ninh trong môi trường điện toán đám
mây.
26 trang |
Chia sẻ: oanh_nt | Lượt xem: 2161 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Tóm tắt luận văn Giải pháp an ninh trong môi trường điện toán đám mây, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
Dương Phương Đông
GIẢI PHÁP AN NINH TRONG MÔI TRƯỜNG
ĐIỆN TOÁN ĐÁM MÂY
Chuyên ngành: Kĩ thuật điện tử
Mã số: 60.52.70
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2013
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: …………… TS Vũ Trường Thành …………
Phản biện 1: ……………………………………………………………………………
Phản biện 2: …………………………………………………………………………..
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công
nghệ Bưu chính Viễn thông
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
1
MỞ ĐẦU
Điện toán đám mây (Cloud Computing) đang là xu thế chủ đạo của hạ tầng IT trong
doanh nghiệp hiện nay với rất nhiều ưu điểm. Trong các quy trình đánh giá hệ thống hiện tại
để xây dựng một đám mây riêng hoặc chung, bảo mật được coi là một trong những vấn đề
quan trọng được đưa ra xem xét đầu tiên. Hiểu được các nguy cơ tấn công cũng như các cơ
chế bảo mật để phòng chống các nguy cơ đối với các hệ thống điện toán đám mây sẽ giúp
người quản trị đưa ra được chiến lược phù hợp cho điện toán đám mây của doanh nghiệp
mình.
Trong số các sản phẩm cho môi trường điện toán đám mây nổi lên các giải pháp của
VMware phù hợp với nhiều mô hình khác nhau. Một trong số đó là môi trường điện toán đám
mây hướng tới người sử dụng đầu cuối (End User) – VMware View. Đây là giải pháp rất phù
hợp trong các doanh nghiệp trong thời kỳ kinh tế khó khăn nhờ đem lại nhiều lợi ích về chi
phí. Người dùng có thể truy cập vào tài nguyên làm việc tại bất cứ nơi đâu không nhất thiết
phải đến văn phòng mà vẫn đảm bảo hiệu quả công việc. Họ có thể sử dụng PC tại nhà, laptop,
điện thoại thông minh, máy tính bảng hay thậm chí là các thiết bị có tên gọi là thin client đặc
thù sử dụng cho môi trường điện toán đám mây với chi phí bảo hành thấp. Mặc dù có nhiều
lợi ích như vậy nhưng mô hình này vẫn chưa thực sự được triển khai rộng rãi nhất là ở Việt
Nam, mới chỉ dừng lại nhiều ở phòng lab và demo PoC giải pháp. Một trong số nhiều vấn đề
mà người dùng còn e ngại là vấn đề bảo mật trong môi trường đó. Đã có nhiều mô hình, đề
xuất bảo mật được đưa ra để tối ưu nhưng chúng cũng chưa thực sự hiệu quả hoàn toàn. Dựa
trên cơ sở các đề xuất đưa ra để đánh giá đưa ra một mô hình tối ưu hơn cho môi trường điện
toán đám mây, cụ thể là mô hình MeMoc. Do khuôn khổ của luận văn, phạm vi của đề tài sẽ
tập trung vào áp dụng chính trên môi trường ảo hóa của VMware. Đây là môi trường được áp
dụng rất phổ biến trong các môi trường doanh nghiệp hiện nay và có thể lấy làm chuẩn chung
cho các giải pháp.
Bố cục của luận văn như sau:
Chương I: Nghiên cứu về điện toán đám mây và việc ứng dụng tại Việt Nam
Chương II: Nghiên cứu về bảo mật trong môi trường điện toán đám mây.
Chương III: Giải pháp bảo mật an toàn an ninh trong môi trường điện toán đám
mây.
2
CHƯƠNG I: NGHIÊN CỨU VỀ ĐIỆN TOÁN ĐÁM MÂY VÀ VIỆC
ỨNG DỤNG TẠI VIỆT NAM
1.1 Một số khái niệm trong điện toán đám mây
Điện toán đám mây là một mô hình cho phép truy cập tài nguyên dễ dàng ở bất cứ nơi
đâu tùy theo yêu cầu tới các tài nguyên máy tính gom lại thành một khối (pool) chia sẻ chung.
Khối tài nguyên này có đặc điểm là có thể nhanh chóng cung cấp và cũng như giải phóng
trong khi giảm thiểu tối đa công sức quản lý hoặc can thiệp từ nhà cung cấp dịch vụ. Các khái
niệm cơ bản dưới được trích ra từ [1].
Các mô hình triển khai bao gồm:
Public Cloud: đám mây công cộng.
Private Cloud: đám mây riêng.
Community Cloud: Đám mây cộng đồng.
Hybrid Cloud: Đám mây lai ghép.
Các dịch vụ mô hình bao gồm:
Software as a Service (SaaS): cung cấp phần mềm như một dịch vụ.
Platform as a Service (PaaS): cung cấp nền tảng phát triển như một dịch vụ.
Infrastructure as a Service (IaaS): cung cấp hạ tầng như một dịch vụ.
Các đặc tính của điện toán đám mây bao gồm:
Tính mềm dẻo (Rapid Elasticity): được định nghĩa là khả năng mở rộng tài
nguyên theo chiều lên và xuống theo yêu cầu. Đối với người dùng, cloud như
một thực thể vô tận và họ có thể mua và sử dụng tài nguyên máy tính nhiều hay
ít tùy ý.
Khả năng đo đếm (Measured Service): tất cả các khía cạnh của dịch vụ cloud
được điều khiển và giám sát bởi nhà cung cấp cloud. Đây là một đặc điểm cần
thiết để tính toán hóa đơn điều khiển truy cập, tối ưu tài nguyên, kế hoạch lưu
trữ và các tác vụ khác.
Khả năng tự phục vụ theo yêu cầu (On-Demand Self-Service): người dùng có
thể sử dụng các dịch vụ cloud theo yêu cầu mà không cần thêm tác động nào
của con người với nhà cung cấp cloud.
3
Khả năng truy cập từ bất cứ nơi đâu (Ubiquitous Network Access): các đặc tính
của nhà cung cấp cloud sẵn sàng trên mạng và có thể được truy cập thông qua
các giải thuật chuẩn từ các thiết bị đầu cuối người dùng (thick and thin client).
Khả năng gom tài nguyên (Resource Pooling): cho phép nhà cung cấp dịch vụ
phục vụ người dùng thông qua nhiều mô hình. Các tài nguyên vật lý và ảo được
phân bổ và tái phân bổ theo yêu cầu người dùng. Người dùng không có quyền
can thiệp hay được biết về vị trí chính xác của các tài nguyên được cung cấp
nhưng có thể chỉ định vị trí tại các mức cao hơn (ví dụ đất nước, bang, trung
tâm dữ liệu)
1.2. Tình hình ứng dụng của điện toán đám mây
1.2.1 Tình hình chung trên toàn thế giới
Tổ chức IDC là một tổ chức khá uy tín trên thế thời chuyên về khảo sát thị trường,
phân tích và tư vấn đặc biệt là trong công nghệ thông tin, viễn thông và công nghệ tiêu dùng.
Họ có một số khảo sát cho thấy sức mạnh của điện toán đám mây thực thi trong ngành công
nghiệp IT và góp phần truyền cảm hứng cho các nhà CSP. Các khảo sát bao gồm tăng trưởng
của đám mây, khía cạnh bảo mật, đám mây là ưu tiên số một với nhà cung cấp, báo cáo lợi
nhuận, mức độ sử dụng hiện tại và tương lai, vị thế của đám mấy với người dùng IT và tính
phổ biến của điện toán đám mây [2]. Khả năng tăng trưởng của đám mây. Bảng sau cho thấy
khả năng tăng trưởng của đám mây từ năm 2008-2012.
Year 2008 2012 Growth
Cloud IT Spending $ 16 B $42 B 27%
Total IT spending $383 B $ 494 B 7%
Total-cloud spend $367 B $ 452 B 4%
Cloud Total spend 4% 9%
Tổ chức cũng có những khảo sát về các mặt khác nhau của điện toán đám mây bao
gồm: bảo mật, mức độ phổ biến,..
1.2.2 Tình hình ứng dụng tại Việt Nam
Sử dụng các dịch vụ trên nền tảng điện toán đám mây đang là xu thế trên thế giới và
Việt Nam cũng không nằm ngoài xu thế ấy.
4
Hình 1.8 Một số nhà cung cấp dịch vụ điện toán đám mây [3]
Có thể thấy rõ rệt nhất là các dịch vụ điện toán đám mây công cộng mà rất nhiều người
đang sử dụng như Google Apps (điển hình là Google doc, thư điện tử gmail), các dịch vụ
Window Azure, các dịch vụ Google App engine cho các dịch vụ mức PaaS. Dịch vụ cho thuê
máy chủ của Amazon (Amazon web services) cũng là một dạng điện toán đám mây mà nhiều
người đã khá quen thuộc. Các dịch vụ điện toán đám mây kể trên rất nổi tiếng và quen thuộc
với người dùng cá nhân và doanh nghiệp nhỏ do chi phí sử dụng không cao lại đem lại hiệu
quả công việc đáng kể. Tuy nhiên với các doanh nghiệp lớn hơn thì xu thế sử dụng lại là tự
xây dựng các hạ tầng điện toán đám mây nội bộ, sau quá trình phát triển lâu dài sẽ dần tiến ra
thành điện toán đám mây công cộng (Public cloud) hoặc đám mây lai (Hybrid Cloud). Đây là
cách thức để giảm thiểu phụ thuộc vào các nhà cung cấp dịch vụ điện toán đám mây lớn và
hiện tại đang rất phù hợp với môi trường IT đang trong quá trình phát triển mạnh mẽ ở Việt
Nam.
Triển khai đám mây nội bộ sẽ làm gia tăng đáng kể hiệu năng làm việc của doanh
nghiệp do vòng đời của dịch vụ đám mây là rất dễ dàng quản lý, ngoài ra nó còn giảm bớt
gánh nặng quản trị, nhân sự. Các hãng lớn trong làng công nghệ như VMware, IBM, HP,
Oracle,… đều cung cấp các tùy chọn sản phẩm điện toán đám mây nội bộ đến các doanh
nghiệp. Tất cả những sản phẩm của các hãng này cũng được các doanh nghiệp tại Việt Nam
sử dụng với số lượng ở mức tương đối. Triển khai các dịch vụ này cũng chỉ nhằm mục đích
cụ thể nào đó chứ vẫn chưa được các doanh nghiệp chú trọng đưa vào áp dụng cho toàn bộ
hạ tầng IT của mình. Ngân sách cũng là một vấn đề ảnh hưởng đến quyết định triển khai dịch
vụ nhưng vấn đề cơ bản và to lớn hơn đó là điện toán đám mây vẫn có những đặc tính khiến
5
người dùng chưa an tâm, hoặc do công nghệ chưa hoàn thiện, hoặc do người dùng chưa làm
chủ được công nghệ nên còn rụt rè trong việc lựa chọn.
1.3. Các vấn đề trong điện toán đám mây
Trong vài năm qua, điện toán đám mây đã phát triển từ là một khái niệm kinh doanh
hứa hẹn một trong những phân đoạn phát triển nhanh nhất của ngành công nghiệp CNTT.
Hiện tại, các công ty chịu ảnh hưởng suy thoái kinh tế đang ngày càng nhận ra rằng chỉ đơn
giản khai thác vào các đám mây, họ có thể truy cập nhanh chóng vào các ứng dụng kinh doanh
quan trọng cũng như phát triển tài nguyên hạ tầng với giá cả phải chăng. Nhưng khi có ngày
càng nhiều thông tin cá nhân và doanh nghiệp được đặt trên đám mây, ngày càng có nhiều
mối lo đến việc môi trường đó an toàn đến mức nào [1].
1.3.1 Bảo mật
Dữ liệu ở đâu sẽ được bảo mật hơn, trên ổ đĩa cứng nội bộ hay trên các máy chủ với
khả năng bảo mật cao trên đám mây? Một số cho rằng dữ liệu người dùng sẽ bảo mật hơn nếu
được quản lý nội bộ, trong khi luồng ý kiến cho rằng nhà cung cấp dịch vụ đám mây sẽ có
trách nhiệm khi phải duy trì mức độ tin cậy và thực thi các mức độ bảo mật cao hơn. Tuy
nhiên, trong đám mây, dữ liệu sẽ được phân phối trên các máy tính tính đơn lẻ mà không quan
tâm đến việc kho chứa dữ liệu thực sự được lưu trữ ở đâu. Các tin tặc có thể tấn công gần như
tất cả các máy chủ, và đã có các thống kê cho thấy 1/3 các hậu quả bị mất mát dữ liệu từ việc
bị trộm hoặc mất laptop và các thiết bị khác và từ việc vô ý để dữ liệu bị phát tán trên mạng,
trong đó có đến 16% là do các tin tặc từ bên trong.
1.3.2 Khả năng riêng tư (Privacy)
Khác với mô hình điện toán đám mây truyền thống, điện toán đám mây tận dụng các
công nghệ máy tính ảo hóa, dữ liệu người dùng có thể trải đều trên các trung tâm dữ liệu ảo
hơn là trên cùng một vị trí vật lý, thậm chí vượt qua các biên giới quốc gia, và ở đó, việc bảo
vệ khả năng riêng tư của dữ liệu sẽ phải đối mặt với xung đột từ các hệ thống pháp lý khác
nhau. Mặt khác, người dùng có thể bị rò rỉ thông tin bị ẩn khi họ truy cập dịch vụ điện toán
đám mây. Tin tặc có thể phân tích các tác vụ quan trọng của người sử dụng.
6
1.3.3 Độ tin cậy (Reliability)
Các máy chủ trên đám mây có cùng các vấn đề giống như các máy chủ nội bộ thông
thường. Các máy chủ đám mây cũng phải có các thời gian tạm ngưng và tạm dừng, và điều
khác biệt chỉ là người dùng có sự phụ thuộc lớn hơn vào nhà cung cấp dịch vụ điện toán đám
mây (Cloud Service Provide - CSP). Có một khác biệt lớn trong mô hình dịch vụ của CSP,
đó là khi đã chọn một CSP cụ thể, người dùng sẽ bị bó hẹp quyền lại, dẫn đến các rủi ro bảo
mật phát sinh.
1.3.4 Các vấn đề pháp lý (Legal Issues)
Bỏ ngoài tai các nỗ lực đem áp dụng các vấn đề pháp lý, năm 2009 nhà cung cấp như
Amazon Web Services cung cấp một thị trường chủ chốt bằng cách phát triển một mạng hạn
chế và để người dùng lựa chọn các vùng khả dụng (availability zones). Mặt khác, các mối lo
gắn liền với các thước đo an toàn và tính cẩn mật theo tất cả các cách thức thông qua các cấp
độ lập pháp.
1.3.5 Chuẩn mở
Các chuẩn mở rất quan trọng tới việc phát triển của điện toán đám mây. Hầu hết các
nhà cung cấp đám mây đều đưa ra các giao diện lập trình ứng dụng (API) dưới dạng các tài
liệu mang tính đặc trưng với phương thức triển khai của họ và không mang tính mở. Một số
nhà cung cấp đã phát triển khả năng tương thích với các API khác và có một số lượng các
chuẩn mở đang được phát triển, bao gồm OGF’s Open Cloud Computing Interface. Tập đoàn
Open Cloud Consortium (OCC) đang làm việc để thúc đẩy sự thống nhất trên các chuẩn và
thực tế triển khai đám mây.
1.3.6 Tính thực thi
Một số các quy định liên quan đến lưu trữ và việc sử dụng các dữ liệu đòi hỏi các báo
cáo định kỳ và giám sát vết, nhà cung cấp đám mây phải cho phép người dùng thực thi một
cách tương thích với các quy định này. Quản lý tính thực thi và bảo mật cho điện toán đám
mây, CSP tập trung vào cách nhìn tổng thể top-down trên tất cả tài nguyên IT trong một khu
vực đám mây có thể mang đến khả năng quản lý mạnh hơn và thắt chặt các chính sách thực
thi. Cùng với các yêu cầu với đối tượng khách hàng, các trung tâm dữ liệu duy trì bởi CSP
cũng có thể là đối tượng với các yêu cầu thực thi.
7
1.3.7 Tính tự do (Freedom)
Điện toán đám mây không cho phép người dùng kiểm soát trực tiếp hạ tầng lưu trữ dữ
liệu mà công việc đó được chuyển cho CSP. Người dùng sẽ tranh luận rằng quyền cơ bản là
họ phải có khả năng lưu trữ bản sao dữ liệu dưới dạng tùy theo khả năng lựa chọn của họ sao
cho nó bảo vệ được các yếu tố tấn công ngoài tầm kiểm soát của họ trong khi nhìn nhần các
lợi ích mà điện toán đám mây mang đến.
1.3.8 Khả năng tồn tại dài hạn
Người dùng có thể chắc chắn rằng dữ liệu đặt trên đám mây sẽ không bao giờ bị vô
hiệu hóa ngày cả khi CSP bị phá sản hoặc thâu tóm bởi các công ty lớn hơn. Gartner nói rằng
“Hãy hỏi các nhà cung cấp tiềm năng về việc làm sao để lấy lại dữ liệu và câu trả lời sẽ là bạn
có thể nhập dữ liệu vào một ứng dụng thay thế khác”.
1.4. Kết luận chương
Chương này đã tìm hiểu một số khái niệm cơ bản về điện toán đám mây bao gồm mô
hình triển khai và các loại hình cung cấp dịch vụ. Các lợi ích có được từ mô hình điện toán
đám mây là không thể phủ nhận được và điều này được thể hiện trong các khảo sát về thị
trường trên thế giới cũng như Việt Nam. Tuy nhiên để có thể hoàn thiện được các đặc tính
của điện toán đám mây thì cần một bài toán lâu dài. Vẫn có rất nhiều mối lo của người dùng
về các vấn đề của môi trường điện toán đám mây, và điển hình trong đó là vấn đề bảo mật.
Chương 2 sẽ đi sâu vào phân tích hơn vấn đề bảo mật trong điện toán đám mây.
CHƯƠNG 2: NGHIÊN CỨU VỀ BẢO MẬT TRONG MÔI TRƯỜNG
ĐIỆN TOÁN ĐÁM MÂY
2.1. Bảo mật trong điện toán đám mây
Điện toán đám mây đã đem lại cho doanh nghiệp phương thức quản lý tài nguyên máy
tính một cách hiệu quả, linh động và hợp lí chi phí. Tuy nhiên, các tin tặc cũng như các nhà
nghiên cứu bảo mật đã chỉ ra rằng mô hình này có thể bị lợi dụng bởi tin tặc và không hoàn
toàn 100% an toàn. Trong điện toán đám mây, vấn đề bảo mật được chia sẻ giữa nhà cung
cấp dịch vụ và người dùng điện toán đám mây. Hai bên cần phải có sự tin tưởng và thỏa thuận
với nhau để từ đó nâng cao tính bảo mật. Rất nhiều mối đe dọa bảo mật nảy sinh từ bên trong
8
hoặc bên ngoài môi trường nhà cung cấp/người dùng và được phân loại thành các dạng đe
dọa từ bên trong, tấn công nguy hại từ bên ngoài, mất mát dữ liệu, các vấn đề liên quan đến
đa chức năng, mất quyền kiểm soát và gián đoạn dịch vụ.
Wikipedia định nghĩa bảo mật trong điện toán đám mây như sau “Bảo mật điện toán
đám mây (gọi tắt là bảo mật đám mây) là một lĩnh vực đang phát triển thuộc bảo mật máy
tính, bảo mật mạng và rộng hơn cả là bảo mật thông tin. Nó đề cập đến một tập rộng các chính
sách, công nghệ và các quyền điều khiển được triển khai để bảo vệ dữ liệu, ứng dụng và hạ
tầng tích hợp của điện toán đám mây. Bảo mật điện toán đám mây ở đây không chỉ để cập
đến các sản phẩm phần mềm bảo mật cho đám mây như các phần mềm antivirus, antispam,
anti-DDOS,… mà còn bao hàm rộng hơn thế. Các vấn đề bảo mật được tổng hợp khá chi tiết
trong [4].
2.1.1 Các vấn đề bảo mật
Các mối đe dọa từ bên trong
Các tấn công nguy hại từ bên ngoài
Mất mát dữ liệu
Gián đoạn dịch vụ
Các vấn đề đa nhiệm
Mất quyền kiểm soát
Hạ tầng ảo hóa của đám mây rất phức tạp và mang tính động do việc đa xử lý, lưu trữ
ảo, và nhiều người quản lý, nhiều ứng dụng chạy tại cùng thời điểm. Ngoài ra có một số lượng
lớn nguồn lưu lượng vào và ra khỏi mỗi máy chủ vật lý hay máy ảo. Do đó, hạ tầng ảo hóa
của đám mây xóa nhòa biên giới vật lý truyền thống sử dụng trong việc định nghĩa, quản lý
và bảo vệ tài sản của doanh nghiệp trong trung tâm dữ liệu truyền thống. Tuy vậy nó dẫn đến
việc hạ tầng ảo hóa sẽ trở nên phức tạp và bản thân nó sẽ được bảo vệ khỏi các mối đe dọa
bất kể từ bên trong hay bên ngoài.
Các giải pháp bảo mật tương thích trong môi trường đám mây sử dụng để bảo vệ hạ
tầng ảo hóa đám mây là một thách thức lớn đòi hỏi việc nghiên cứu sâu về nhiều hướng tấn
công và các đặc tính riêng biệt, để đem lại bảo vệ chính xác và kịp thời. Các đặc tính chính
bao gồm:
9
Tính sẵn sàng và hiệu năng
Nguy hại từ bên trong
Tấn công từ bên ngoài
Gián đoạn dịch vụ
Đa nhiệm
Mất quyền điều khiển
2.1.2 Các hướng nghiên cứu bảo mật cho điện toán đám mây
Có khá nhiều thách thức trong đám mây được mô tả và có thể thấy một đám mây được
bảo mật là bất khả thi trừ khi môi trường ảo hóa gồm hạ tầng, máy ảo, các giao diện, các
nguồn phát lưu lượng mạng được bảo mật. Nhu cầu môi trường ảo hóa đòi hỏi nhiều hơn so
với các giải pháp bảo mật truyền thống, vốn không phù hợp với môi trường ảo hóa do đặc
tính phức tạp và động của điện toán đám mây. Để tiến lên một bước cao hơn, các nhà cung
cấp và khách hàng phải hợp tác cung nhau định nghĩa các yêu cầu và các chỉ định. Rất hiển
nhiên rằng các giải pháp bảo mật mới tính đến ảo hóa nên được thực thi để đảm bảo bảo mật
ưu tiên trên hệ thống tổng thể. Các giải pháp bảo mật đám mây phải có cơ chế thông minh để
tự phòng thủ và có khả năng cung cấp giám sát, phát hiện thời gian thực và ngăn chặn các đe
dọa đã biết cũng như chưa biết.
Nhiều doanh nghiệp không hiểu rõ việc họ đang đặt các thông tin hay dịch vụ quan
trọng của họ theo cách bất lợi nhằm muốn tận dụng lợi ích của điện toán đám mây mà không
quan tâm đến việc chi phí đầu tư theo cách nào là phù hợp nhất. Nếu không có cái nhìn nghiêm
túc về triển khai bảo mật thì sẽ trở nên vô nghĩa khi đưa các thông tin lên đám mây. Để thiết
lập các vùng tin cậy trên đám mây, các máy ảo phải được tự bảo vệ, chuyển đổi một cách hiệu
quả vùng bảo vệ tới máy ảo. Vành đai bảo mật của doanh nghiệp sẽ bao gồm tường lửa, các
phân đoạn mạng, các hệ thống phát hiện và phòng tránh thâm nhập, các thuật toán giám sát
và cảnh báo cùng các chính sách bảo mật kết hợp khác.
Nghiên cứu tập trung vào việc phát triển chiến lược bảo mật cho đám mây một cách
toàn diện và có khả năng bảo vệ hạ tầng đám mây và các lớp khác nhau (gồm kết nối mang,
dữ liệu lưu, dữ liệu chuyển phát, các ứng dụng và máy ảo) chống lại các đe dọa phát sinh từ
bên trong cũng như bên ngoài mạng nhà cung cấp. Chiên lược dự định tận dụng các công
10
nghệ bảo mật sẵn có (adhoc) và sử dụng vào trong môi trường đám mây động và hay biến
đổi.
Chiến lược bảo mật được thực thi đáp ứng điện toán đám mây là một tiến trình nhiều
bước và liên quan đến:
Đảm bảo các ứng dụng được xây dựng trên các thuật toán bảo mật tránh bất cứ
tràn bộ đêm, thâm nhập SQL và tấn công nào.
Sử dụng tiếp cận bảo mật đa lớp giám sát các đe dọa và đảm bảo khi một lớp
ngoài/trong bị tấn công, vẫn có lớp khác dự phòng.
Với các tấn công bên trong, cần đảm bảo nhân viên được đào tạo, tuân thủ các
quy định và có công cụ để ngăn các đe dọa phát sinh (như Antivirus, IPS, HIPS, tường lửa
nội bộ, tách mạng, giám sát)
Với các tấn công tức thời hay gián đoạn dịch vụ, phải có các giải pháp bảo mật
như các mạng tự bảo vệ, các yếu tố bảo mật liên quan đến đám mây (NAC, dot1x, ..) tại chỗ.
Hơn thế nữa, các kỹ thuật bảo mật trung tâm dữ liệu thông thường như các vành đai tường
lửa, IPS, ACL cũng cần phải được tận dụng.
Đảm bảo rằng các hệ thống được