Tài liệu Kỹ thuật an toàn thông tin cho dịch vụ lưu trữ đám mây

L Ê THỊ HOÀNG LINH BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KỸ THUẬT VIỄN THÔNG LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG KỸ THUẬT AN TOÀN THÔNG TIN CHO DỊCH VỤ LƯU TRỮ ĐÁM MÂY LÊ THỊ HOÀNG LINH 2016 - 2018 HÀ NỘI – 11/2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ KỸ THUẬT AN TOÀN THÔNG TIN CHO DỊCH VỤ LƯU TRỮ ĐÁM MÂY LÊ THỊ HOÀNG LINH CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG MÃ SỐ: 8520208 TS. NGUYỄN HOÀI GIANG HÀ NỘI – 11/2018 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây LỜI CAM ĐOAN Luận văn Thạc sĩ “Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây” là công trình nghi n cứu của cá nhân tôi. Các nội dung nghiên cứu và th nghiệm trình bày trong luận văn là trung thực rõ ràng. Các tài liệu tham khảo, nội dung trích dẫn đã ghi rõ nguồn gốc. Ngày 15 tháng 11 năm 2018 Tác giả luận văn Lê Thị Hoàng Linh Học viên thực hiện: Lê Thị Hoàng Linh 1 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây LỜI CẢM ƠN Đầu tiên, em xin g i lời cảm ơn sâu sắc tới TS Nguyễn Hoài Giang, Thầy giáo trực tiếp hƣớng dẫn, định hƣớng cho luận văn cũng nhƣ tạo điều kiện về thời gian, sự gi p đ tận tình về kiến thức và các tài liệu tham khảo quý báu. Tiếp theo, em xin cảm ơn các Thầy, Cô trong Khoa Đào tạo sau đại học – Đại học Mở Hà Nội đã nhiệt t nh giảng dạy, truyền đạt kiến thức cho em trong suốt thời gian qua. Em xin cảm ơn gia đ nh, bạn b đã chia s , gi p đ t i trong học tập và thời gian thực hiện nghiên cứu đề tài này. Luận văn này chắc chắn kh ng tránh khỏi những thiếu sót, em mong nhận đƣợc những lời g p , ch bảo t các Thầy, Cô và các bạn để có thể hoàn thiện đề tài của mình tốt hơn. Hà Nội, ngày 15 tháng 11 năm 2018 Ngƣời thực hiện Lê Thị Hoàng Linh Học viên thực hiện: Lê Thị Hoàng Linh 2 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây T M TẮT LUẬN VĂN Trong thời đại b ng n th ng tin nhƣ hiện nay, nhu cầu lƣu trữ và chia s dữ liệu là r t lớn, các nguồn dữ liệu đƣợc ƣu ti n lƣu trữ trực tuyến để dễ dàng cho việc truy xu t và cập nhật, quản lý. R t nhiều dịch vụ miễn ph nhƣ ropbox, Google rive, One rive đã đƣợc cung c p cho ngƣời d ng. C r t nhiều t chức, cá nhân đã lựa chọn s dụng dịch vụ ở tr n để làm giải pháp sao lƣu, chia s dữ liệu và lƣu trữ. Tuy nhi n khi lƣu trữ dữ liệu tr n đám mây của các nhà cung c p thƣơng mại th v n đề bảo mật dữ liệu lu n làm ngƣời d ng lo ngại khi s dụng dịch vụ. Đ c biệt là những cơ quan đơn vị c các dữ liệu quan trọng, hay các b mật thƣơng mại, sở hữu tr tuệ th họ đ c biệt quan tâm đến t nh b mật của dữ liệu. Giải quyết bài toán này đồ án đã tập trung tr nh bày các nội ch nh sau:  T m hiểu cơ bản về điện toán đám mây.  T m hiểu v n đề an toàn bảo mật dữ liệu tr n đám mây.  Lựa chọn, đề xu t giải pháp mã nguồn mở Owncloud để triển khai dịch vụ lƣu trữ đám mây ri ng cho các t chức, cơ quan c những giữ liệu b mật cần bảo vệ. Học viên thực hiện: Lê Thị Hoàng Linh 3 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây MỤC LỤC LỜI CAM ĐOAN ...................................................................................................1 LỜI CẢM ƠN .........................................................................................................2 T M TẮT LUẬN V N .........................................................................................4 MỤC LỤC ...............................................................................................................6 ANH MỤC H NH V ..........................................................................................8 MỞ Đ U .................................................................................................................9 1. L do chọn đề tài .............................................................................................9 2. Mục ti u đề tài ...............................................................................................10 3. Phƣơng pháp nghi n cứu...............................................................................10 4. Kết quả ..........................................................................................................10 5. ố cục của đồ án ...........................................................................................11 CHƢƠNG I – ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG .................................1 1.1. Khái niệm và các đ c điểm cơ bản điện toán đám mây .............................12 1.2. Kiến tr c điện toán đám mây .....................................................................15 1.3. Công nghệ ảo hóa (Virtualization Technologies) ......................................18 1.4. Các m h nh dịch vụ của điện toán đám mây ............................................19 1.5. Các mô hình triển khai điện toán đám mây ...............................................23 1.6. Kết luận ......................................................................................................27 CHƢƠNG II - AN TOÀN, BẢO MẬT DỮ LIỆU TRÊN ĐÁM MÂY ...............29 2.1. Một số rủi ro và nguy cơ m t an toàn dữ liệu trong điện toán đám mây ...30 2.2. An toàn dữ liệu li n quan đến kiến tr c dịch vụ của điện toán đám mây ..32 2.3. An toàn dữ liệu trong các giai đoạn v ng đời dữ liệu ................................36 2.4. Công nghệ và kỹ thuật đảm bảo an toàn dữ liệu tr n đám mây .................38 2.5. Kết luận ......................................................................................................45 CHƢƠNG III - XÂY ỰNG CH VỤ LƢU TRỮ ĐÁM MÂY AN TOÀN S ỤNG OWNCLOU ...........................................................................................46 3.1. Giới thiệu về Owncloud .............................................................................48 3.2. Kiến trúc giải pháp của OwnCloud ............................................................51 3.3. Tr nh chủ Owncloud ..................................................................................53 Học viên thực hiện: Lê Thị Hoàng Linh 4 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây 3.4 Các đề xu t triển khai tr n thực tế ..............................................................55 3.5. Th nghiệm dịch vụ lƣu trữ đám mây s dụng Owncloud ........................61 3.6 Kết luận .......................................................................................................66 K T LUẬN ...........................................................................................................67 TÀI LIỆU THAM KHẢO .....................................................................................68 Học viên thực hiện: Lê Thị Hoàng Linh 5 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây ANH MỤC T VI T TẮT anh sách kiểm soát truy cập ACL Access Control List API Application Programming Giao diện lập tr nh ứng dụng CC Interface Cloud Computing Điện toán đám mây (ĐTĐM) CPU Central Processing Unit CSA Cloud Security Alliance Li n minh điện toán đám mây CSP Cloud Service Provider Nhà cung c p dịch vụ đám mây CIFS Common Internet File Hệ thống chia s file tr n Internet DLP Sharing Data Loss Prevention Chống th t thoát dữ liệu GFS2 Global File System 2 Hệ thống tập tin chia s HA High Availability T nh s n sàng truy cập cao HIDS Host Intrusion Detection Hệ thống phát hiện xâm nhập tại IaaS System Infrastructure as a Service ch ịch vụ hạ tầng IDS Intrustion detection system Hệ thống phát hiện xâm nhập IPS Intrustion prevention system Hệ thống ph ng chống xâm nhập NIDS Network Intrusion Detection Hệ thống phát hiện xâm nhập tr n NIST System National Institute of mạng Viện ti u chu n và c ng nghệ quốc NFS Standards and Technology Network File System gia Hệ thống tập tin mạng PaaS Platform as a Service OS Operating System Hệ điều hành - HĐH OCR Optical Character Hệ thống nhận diện k tự RAM Recognition Random Access Memory REST Representational State Kiến tr c dịch vụ Web thay thế cho SaaS Tranfer as a Service Software SOAP ịch vụ ứng dụng SLA Service Level Agreement Thỏa thuận mức dịch vụ Học viên thực hiện: Lê Thị Hoàng Linh ộ x l trung tâm đĩa ịch vụ nền tảng ộ nhớ truy cập ngẫu nhi n 6 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây SOA Service Oriented Kiến tr c hƣớng dịch vụ SOAP Architecture Simple Object Access Giao thức truy cập đối tƣợng đơn VPN Protocolprivate network Virtual giản ri ng ảo Mạng EFS Encrypting File System Hệ thống tập tin mã h a VM Virtual Machine Máy ảo VMM Virtual Machine Monitor Tr nh quản l máy ảo WebDAV Web-based Distributed Hệ thống quản lý chứng thực và Authoring and Versioning phiên bản dựa tr n m i trƣờng Web Học viên thực hiện: Lê Thị Hoàng Linh 7 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây ANH MỤC H NH V Hình 1.1 - Các đ c điểm, mô hình dịch vụ và mô hình triển khai của ĐTĐM .........12 Hình 1.2 - Kiến tr c cơ bản của điện toán đám mây.................................................15 Hình 1.3 - Kiến trúc phân lớp của điện toán đám mây .............................................16 Hình 1.5 - Mô hình dịch vụ điện toán đám mây và các ứng dụng thực tế ................20 Hình 2.1 - Biện pháp đảm bảo an toàn trong v ng đời dữ liệu .................................38 Hình 2.2 - Sơ đồ s dụng mã h a trong điện toán đám mây.....................................40 H nh 3.1 - Các user case khi s dụng dịch vụ ropbox ............................................50 H nh 3.2 - M h nh lƣu trữ đám mây s dụng OwnCloud ........................................51 Hình 3.3 - Kiến trúc giải pháp của OwnCloud .........................................................52 Hình 3.4 - Kiến trúc máy chủ OwnCloud .................................................................53 H nh 3.5 - M h nh triển khai cho t chức quy m nhỏ ............................................55 H nh 3.6 - M h nh triển khai cho t chức quy m trung b nh .................................56 H nh 3.7 - M h nh đề xu t cho một đơn vị đào tạo .................................................58 H nh 3.8 - C u h nh mã h a dữ liệu tr n server ........................................................59 H nh 3.9 - M h nh hệ thống Owncloud th nghiệm ................................................61 H nh 3.10 - Giao diện khi đăng nhập lần đầu vào Owncloud ...................................62 H nh 3.11 - Tạo ngƣời d ng của hệ thống lƣu trữ ....................................................62 H nh 3.12 - Giao diện phần mềm máy trạm Windows 7 ..........................................63 H nh 3.13 - Cảnh báo về chứng ch self-signed ........................................................63 H nh 3.14 - Thực hiện ch p các tập tin vào thƣ mục để upload l n server ...............64 H nh 3.15 - ữ liệu t máy client đã đƣợc tải l n server ..........................................64 H nh 3.16 - Chia s tập tin cho ngƣời d ng user2 ....................................................65 H nh 3.17 - Đăng nhập tài khoản tr n máy client Ubuntu ........................................65 H nh 3.18 - Tập tin đƣợc chia s bởi user1 ...............................................................66 Học viên thực hiện: Lê Thị Hoàng Linh 8 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây MỞ Đ U L o ọn t Ngày nay khi công nghệ thông tin và internet phát triển mạnh mẽ kéo theo sự gia tăng của các mối đe dọa nhƣ: tin t c, mã độc v.v.. th v n đề bảo vệ an toàn dữ liệu tại c ng sở, nơi làm việc cũng nhƣ tại nhà đang là một nhu cầu thiết yếu. ịch vụ lƣu trữ trên mây là một giải pháp để giải quyết v n đề này. Ngày càng có nhiều ngƣời lựa chọn s dụng loại hình dịch vụ này v t nh dễ s dụng đối với ngƣời d ng trong việc lƣu trữ và sao lƣu dữ liệu, đồng thời cung c p khả năng chia s dữ liệu giữa những ngƣời cùng s dụng dịch vụ với nhau cũng nhƣ đồng bộ dữ liệu trên nhiều thiết bị. Tuy nhi n, ngƣời d ng đ c biệt là các doanh nghiệp thƣờng do dự khi giao phó dữ liệu của mình cho nhà cung c p dịch vụ lƣu trữ trên mây vì họ sợ rằng mình sẽ m t quyền kiểm soát dữ liệu đ . Hơn nữa nguy cơ tin t c t n công vào nhà cung c p dịch vụ đám mây đánh cắp dữ liệu đã làm gia tăng mối lo sợ của ngƣời dùng. Để giảm thiểu mối lo sợ này thì các nhà cung c p dịch vụ kh ng ng ng t m các biện pháp để đảm bảo an toàn dữ liệu của ngƣời d ng. Điện toán đám mây c kiến tr c phức tạp gồm nhiều thành phần khác nhau, phục vụ số lƣợng lớn các ngƣời dùng với các yêu cầu khác nhau do đ sẽ tồn tại nhiều nguy cơ gây m t an toàn. Ch nh v vậy việc đảm bảo an toàn dữ liệu cho điện toán đám mây đ i hỏi cần phải xem x t một cách toàn diện t y u cầu về con ngƣời, c ng nghệ, kỹ thuật đến ch nh sách. Đây cũng ch nh là l do em đã chọn luận văn của m nh là “Kỹ thuật An toàn thông tin cho dịch vụ lưu trữ đám mây”. Học viên thực hiện: Lê Thị Hoàng Linh 9 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây Mụ t u t Đề tài tập trung nghi n cứu v n đề an toàn, bảo mật dữ liệu tr n điện toán đám mây cụ thể là đối với dịch vụ lƣu trữ đám mây. T m hiểu các nguy cơ và phƣơng pháp bảo vệ an toàn dữ liệu tr n đám mây, t đ lựa chọn s dụng giải pháp mã nguồn mở để xây dựng dịch vụ lƣu trữ đám mây đảm bảo an toàn dữ liệu cho ngƣời d ng và c thể triển khai tại các cơ quan, doanh nghiệp v a và nhỏ. Để đạt đƣợc mục ti u đ luận văn tập trung làm rõ các nội dung ch nh nhƣ sau: 1. T m hiểu t ng quan về điện toán đám mây 2. T m hiểu v n đề an toàn, bảo mật dữ liệu tr n đám mây 3. T m hiểu giải pháp mã nguồn mở Owncloud - dịch vụ lƣu trữ đám mây, th nghiệm và đƣa ra đề xu t ứng dụng. P n p pn n u 1. Phƣơng pháp nghi n cứu l thuyết T ng hợp kiến thức nghi n cứu t các nguồn tài liệu nhƣ: sách điện t , ti u chu n, bài báo khoa học. 2. Phƣơng pháp th nghiệm - Đọc các tài liệu hƣớng dẫn t website của nhà phát triển sản ph m. - Cài đ t th nghiệm tr n máy ảo. t quả Việc th nghiệm giải pháp tr n m i trƣờng máy ảo đã cho th y khả năng áp dụng triển khai dịch vụ lƣu trữ đám mây ri ng s dụng Owncloud là r t khả thi. Các chức năng, sự tiện dụng và bảo mật sẽ là những đ c điểm mà r t nhiều t chức doanh nghiệp quan tâm. Học viên thực hiện: Lê Thị Hoàng Linh 10 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây ụ luận văn: Luận văn chia làm 3 chƣơng với nội dung cụ thể nhƣ sau: Chƣơng 1 - Điện toán đám mây và ứng dụng. Chƣơng này tr nh bày kiến thức cơ bản về điện toán đám mây: - Định nghĩa điện toán đám mây. - Các đ c điểm, các m h nh dịch vụ, m h nh triển khai của điện toán đám mây và kiến tr c của điện toán đám mây. Việc t m hiểu sẽ gi p hiểu đƣợc những giải pháp đảm bảo an toàn bảo mật dữ liệu tr nh bày ở chƣơng 2. Chƣơng 2 - An toàn th ng tin dữ liệu cho điện toán đám mây. Chƣơng này sẽ tr nh bày các mối hiểm họa đối với điện toán đám mây: - Xem x t v n đề an toàn dữ liệu t g c độ kiến tr c đến các giai đoạn trong v ng đời dữ liệu. - T m hiểu các giải pháp c ng nghệ và kỹ thuật đảm bảo an toàn dữ liệu cho điện toán đám mây. Chƣơng 3 - T m hiểu giải pháp lƣu trữ đám mây s dụng phần mềm nguồn mở Owncloud. - Phân t ch các ƣu nhƣợc điểm của phần mềm - Th nghiệm tr n m i trƣờng máy ảo. - Đề xu t các m h nh triển khai tr n thực tế và các giải pháp bảo đảm, an toàn và bảo mật cho dữ liệu của t chức triển khai. Học viên thực hiện: Lê Thị Hoàng Linh 11 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây CHƯƠNG 1 – ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG Chƣơng đầu tiên này sẽ trình bày những nội dung cơ bản về điện toán đám mây: các khái niệm, kiến tr c, m h nh và những lợi ch mà điện toán đám mây mang lại. 1.1. Khái niệm v ặ ểm bản ện to n m mây  Địn n ện to n m mây Điện toán đám mây ra đời đã góp phần tạo ra những dịch vụ công nghệ thông tin đƣợc cung c p đến mọi đối tƣợng theo nhu cầu, với thời gian nhanh hơn và chi ph r hơn. Vậy điện toán đám mây là g ? Theo Peter M và Timothy G (2009) thuộc Viện tiêu chu n và công nghệ quốc gia Mỹ (NIST) đã đƣa ra định nghĩa về điện toán đám mây nhƣ sau: iệ mây là ô hì h iện toán cho phép truy cập qua mạ g ể lựa chọn và sử dụng tài nguyên tính toán (ví dụ: mạng, máy chủ, lưu rữ, ứng dụng và dịch vụ) theo nhu cầu một cách thuận tiệ và ha h chó g, ồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu các giao tiếp với nhà cung cấp. Mô hình này gồm có 5 đ c trƣng cơ bản, 3 mô hình dịch vụ và 4 mô hình triển khai. Hình 1.1 - C ặ ểm, mô hình dịch vụ và mô hình triển khai c a ĐTĐM Học viên thực hiện: Lê Thị Hoàng Linh 12 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây Nói cách khác, điện toán đám mây là loại hình điện toán trong đ tài nguyên tính toán đƣợc thu ngoài, đồng thời thỏa mãn các tiêu chí:  Tài nguyên điện toán có khả năng t y biến, thu hồi, mở rộng theo nhu cầu khách hàng một cách nhanh chóng.  S dụng th ng qua m i trƣờng Internet, c độ s n sàng cao  Tài nguy n đƣợc cung c p theo phƣơng thức dịch vụ. Ngƣời dùng ch trả tiền cho những gì s dụng, ch trả tiền khi nào s dụng, dùng bao nhiêu trả b y nhiêu.  C ặ ểm bản ện to n m mây Theo định nghĩa của NIST, điện toán đám mây c 5 đ c điểm cơ bản sau:  Tự phục vụ theo nhu cầu: M i khi có nhu cầu ngƣời dùng ch cần g i yêu cầu thông qua trang web cung c p dịch vụ, hệ thống của nhà cung c p sẽ đáp ứng nhu cầu của ngƣời dùng. Lợi ích rõ nh t của việc tự phục vụ là ngƣời s dụng có thể nhanh chóng tự cung c p nguồn tài nguyên mà không cần nhờ tới bộ phận kỹ thuật. Ngƣời dùng có thể tự phục vụ yêu cầu của m nh nhƣ tăng thời gian s dụng server, tăng dung lƣợng lƣu trữ… mà kh ng cần phải tƣơng tác trực tiếp với nhà cung c p dịch vụ, mọi nhu cầu về dịch vụ đều đƣợc x lý trên m i trƣờng Internet.  Truy cập diện rộng: Điện toán đám mây cung c p các dịch vụ thông qua m i trƣờng Internet. o đ , ngƣời dùng có kết nối Internet là có thể s dụng dịch vụ hơn nữa, điện toán đám mây ở dạng dịch vụ n n kh ng đ i hỏi khả năng x lý cao ở phía client. Vì vậy ngƣời dùng có khả năng s dụng các loại thiết bị và công nghệ với nền tảng khác nhau (ví dụ: điện thoại di động, máy tính bảng, máy tính xách tay, máy trạm) để truy cập s dụng các dịch vụ điện toán đám mây. Với điện toán đám mây ngƣời dùng không còn bị phụ thuộc vị trí nữa, họ có thể truy xu t dịch vụ t b t kỳ nơi nào, vào b t kỳ lúc nào có kết nối internet. Học viên thực hiện: Lê Thị Hoàng Linh 13 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây  Tính linh hoạt, m m dẻo: Đây là t ch ch t đ c biệt nh t, n i bật nh t và quan trọng nh t của điện toán đám mây. Khả năng điều ch nh hệ thống tùy theo nhu cầu của ngƣời dùng, để ngƣời d ng c đƣợc những tài nguy n đ ng với những gì họ cần: không nhiều hơn và kh ng t hơn cũng tức là: khi nhu cầu tăng cao, hệ thống sẽ tự mở rộng bằng cách thêm tài nguyên vào và khi nhu cầu giảm xuống, hệ thống sẽ tự giảm bớt tài nguyên. Đ c điểm này giúp cho nhà cung c p s dụng tài nguyên hiệu quả, tận dụng triệt để tài nguy n dƣ th a, phục vụ đƣợc nhiều khách hàng. Đối với ngƣời s dụng dịch vụ, đ c điểm trên giúp họ giảm chi phí do họ ch trả phí cho những tài nguyên thực sự dùng.  Ướ l ợng dịch vụ: Một nhà cung c p dịch vụ điện toán đám mây phải ƣớc tính chi phí các nguồn đầu vào của khách hàng và họ có thể s dụng dữ liệu này để xu t h a đơn cho khách hàng. Hệ thống điện toán đám mây tự động kiểm soát và tối ƣu h a việc s dụng tài nguyên (mạng, lƣu trữ, x lý …). Việc s dụng tài nguy n đƣợc theo dõi, kiểm soát và báo cáo minh bạch cho cả 2 phía - nhà cung c p và khách hàng. T n uy n ợc chia sẻ: Các nguồn tài nguyên bao gồm lƣu trữ, x lý, bộ nhớ và băng th ng mạng, t t cả tài nguy n điện toán của nhà cung c p dịch vụ điện toán đám mây đều đƣợc dùng chung, phục vụ cho nhiều khách hàng. Các tài nguyên sẽ đƣợc phân phối động tùy theo nhu cầu của ngƣời dùng. Khi nhu cầu của một khách hàng giảm xuống, thì phần tài nguy n dƣ th a sẽ đƣợc tận dụng để phục vụ cho một khách hàng khác. Tuy nhiên ngƣời dùng có cảm giác về sự độc lập trong s dụng tài nguyên và không nhận thức đƣợc chính xác về vị trí nguồn tài nguy n đang s dụng, nhƣng c thể xác định đƣợc vị trí nguồn tài nguyên ở mức tƣơng đối (ví dụ: quốc gia, trung tâm dữ liệu...). Học viên thực hiện: Lê Thị Hoàng Linh 14 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây 1.2. Ki n trú ện to n m mây Kiến tr c điện toán đám mây bao gồm nhiều thành phần khác nhau nhƣng về cơ bản kiến trúc của điện toán đám mây gồm 2 thành phần chính đƣợc kết nối với nhau thông qua mạng Internet là Front End và Back End.  Front End (phần trƣớc): Phần hạ tầng ph a ngƣời dùng của một hệ thống điện toán đám mây. Front End bao gồm các máy tính của ngƣời dùng, các giao diện, hay các ứng dụng đƣợc yêu cầu s dụng trên các nền tảng điện toán đám mây (ví dụ: các trình duyệt - browser).  Back End (phần sau): Ch nh là đám mây, bao gồm t t cả nguồn tài nguyên cần thiết để có thể cung c p dịch vụ điện toán đám mây nhƣ hạ tầng phần cứng (máy chủ, thiết bị mạng, các thiết bị lƣu trữ…) các dịch vụ và ứng dụng mà đám mây cung c p. T t cả các thành phần này sẽ đƣợc quản lý tập trung và đƣợc bảo vệ khỏi các mối đe dọa t bên ngoài bằng cách triển khai các mô hình quản lý và thực thi chính sách bảo mật. Hình 1.2 - Ki n trú Học viên thực hiện: Lê Thị Hoàng Linh bản c 15 ện to n m mây Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây Theo cách nhìn phân lớp, đám mây có kiến trúc 4 lớp nhƣ tr n h nh 1.3 bao gồm: Phần cứng và mạng, Dịch vụ, Truy cập và Ngƣời dùng Trong đ m i lớp lại có các lớp con với vai trò khác nhau. Ví dụ trong lớp phần cứng và mạng có các lớp tài nguy n con: phần cứng, ảo hóa và hƣớng dịch vụ. Trong lớp con tài nguyên phần cứng lại có các thành phần t nh toán, lƣu trữ và kết nối mạng. Hình 1.3 - Ki n trúc phân lớp c ện to n m mây Bản ch t lớp phần cứng và mạng gồm các máy chủ dữ liệu đƣợc kết nối với nhau nhƣ một hệ thống duy nh t phục vụ cho việc lƣu trữ và x lý dữ liệu và các ứng dụng tính toán trên các tài nguyên khác. Điện toán đám mây gọi một ứng dụng chạy trên máy chủ ảo nhƣ là n đang chạy tại ch trên hạ tầng phần cứng phân tán trong đám mây. Các máy chủ ảo đƣợc tạo ra theo cách mà những thỏa thuận dịch vụ (Service Level Agreements) và sự tin cậy đều đƣợc đảm bảo. Có thể có nhiều thực thể (instance) khác nhau của cùng một máy chủ ảo truy cập vào những phần s n sàng của cơ sở hạ tầng phần cứng. Điều này đảm bảo rằng có nhiều bản sao của các ứng dụng, để khi xảy ra l i chúng s n sàng khắc phục. Học viên thực hiện: Lê Thị Hoàng Linh 16 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây Máy chủ ảo phân tán quá trình x l vào cơ sở hạ tầng phần cứng và sau khi quá tr nh t nh toán đƣợc hoàn thành chúng sẽ trả về kết quả. Quá trình này cần có một phần mềm ho c hệ điều hành x lý công việc quản lý hệ thống phân tán, giống nhƣ kỹ thuật t nh toán lƣới, giúp quản lý các yêu cầu khác nhau đến máy chủ ảo. Cơ chế này sẽ đảm bảo việc tạo ra nhiều bản sao và cả việc bảo vệ sự thống nh t dữ liệu đƣợc lƣu tr n cơ sở hạ tầng. Đồng thời hệ điều hành cũng c thể tự điều ch nh khi g p quá tải. Các tiến trình phân chia x l để hoàn thành đáp ứng yêu cầu. Hệ thống quản lý công việc nhƣ vậy trong suốt với ngƣời dùng, hay nói cách khác là n với ngƣời dùng. Sự độc lập với ngƣời dùng thể hiện ở ch nó x lý và trả về kết quả đạt đƣợc, chứ không quan trọng nó x lý ở đâu và bằng cách nào. Ngƣời dùng trả tiền dựa tr n “khối lƣợng” s dụng hệ thống hay dịch vụ. Thực tế số tiền mà khách hàng phải trả thƣờng đƣợc tính dựa vào số lƣợng CPU dùng trên một giờ ho c số Gb dữ liệu di chuyển trong một giờ. Lớp dịch vụ cung c p các dịch vụ khác nhau cho ngƣời dùng có thể là những phần mềm độc lập ho c kết hợp với các dịch vụ khác để thực hiện tƣơng tác với nhau. Ngoài ra nó có thể cung c p sự kết hợp giữa các máy t nh để thực thi một chƣơng tr nh ứng dụng theo yêu cầu của ngƣời dùng. Điều quan trọng là các ứng dụng đƣợc cung c p luôn luôn s n sàng cho phép khách hàng s dụng ngay mà không cần phải cài đ t, vận hành hay duy trì ứng dụng tại máy tính cá nhân của mình. Việc này giúp loại bỏ đƣợc các chi phí bảo trì, vận hành các chƣơng tr nh ứng dụng cho ngƣời dùng. Lớp truy cập cung c p khả năng truy cập đa dạng trên các nền tảng thiết bị đầu cuối khác nhau để s dụng dịch vụ đám mây cũng nhƣ sự tƣơng tác với các dịch vụ của đám mây. Trên cùng là lớp ngƣời dùng cung c p các chức năng cho ngƣời d ng và đối tác cũng nhƣ ngƣời quản trị hệ thống đám mây. Và cuối cùng là lớp liên kết chức năng giữa các lớp tr n, đảm bảo chức năng quản lý hoạt động, vận hành cũng nhƣ bảo mật và ri ng tƣ của đám mây. Học viên thực hiện: Lê Thị Hoàng Linh 17 Kỹ thuật An toàn thông tin cho dịch vụ lƣu trữ đám mây 1.3. Công nghệ ảo hóa (Virtualization Technologies) Ảo h a là c ng nghệ nền tảng của điện toán đám mây. Ảo hóa là khái niệm d ng để ch các tài nguy n điện toán có thể đƣợc tạo ra với một mức độ uyển chuyển và linh hoạt r t cao mà kh ng đ i hỏi ngƣời dùng phải có kiến thức chuyên sâu về các tài nguyên vật lý nằm ở dƣới. Trong m i trƣờng ảo hóa, các tài nguy n điện toán có thể đƣợc tạo ra, thay đ i k ch thƣớc, ho c di chuyển một cách linh động khi nhu cầu biến đ i. Ảo hóa cung c p những lợi thế quan trọng trong việc chia s , quản lý và tách biệt tài nguy n điện toán (khả năng cho ph p nhiều ngƣời dùng và ứng dụng có thể chia s các tài nguyên vật lý mà không gây ra ảnh hƣởng lẫn nhau) của đám mây. Công nghệ ảo hóa không ch giới hạn ở máy ảo virtual machine). Ảo h a c n đƣợc áp dụng đối với lƣu trữ, kết nối mạng và ứng dụng. T t cả các tài nguy n ảo h a đƣợc quản lý bởi tr nh quản l máy ảo - VMM Virtual Machine Monitor) hay c n gọi là Hypervisor. Hypervisor là một phần mềm nằm ngay trên phần phần cứng ho c b n dƣới HĐH nhằm mục đ ch cung c p các m i trƣờng tách biệt gọi là các phân vùng – partition. M i phân vùng ứng với m i máy ảo - VM có thể chạy các HĐH độc lập. Về bản ch t VMM cũng đƣợc chia làm 2 loại nhƣ h nh 1.4 dƣới đây: H n 1.4 - H loạ tr n quản l m y ảo VMM Học viên thực hiện: Lê Thị Hoàng Linh 18