Professional Documents
Culture Documents
Tất cả các nguy hại và hình thức tấn công được áp dụng đối với mạng máy tính và dữ liệu
đều có ảnh hưởng lên các hệ thống dựa trên dịch vụ điện toán đám mây, một số mối đe dọa
thường gặp như: tấn công MITM, phishing, nghe trộm, sniffing... Ngoài ra các cuộc tấn công
DDoS (Distributed Denial of Service) cũng là nguy cơ ảnh hưởng cho cơ sở hạ tầng điện toán
đám mây, mặc dù không có bất kỳ ngoại lệ nào để giảm thiểu này. Do đó, sự an toàn của máy
1
ảo sẽ xác định tính toàn vẹn và mức độ an ninh của hệ thống dựa trên điện toán đám mây.
Dựa trên các nghiên cứu, Cloud Security Alliance (CSA) đã đưa ra những vấn đề có mức độ
nguy hại cao nhất trong điện toán đám mây gồm:
- Sử dụng bất hợp pháp dịch vụ: Kẻ tấn công sẽ khai thác lỗ hổng trên các dịch vụ public
cloud để phát tán mã độc tới người dùng và lây lan ra hệ thống máy tính, từ đó khai thác sức
mạnh của dịch vụ đám mây để tấn công các máy tính khác.
- API (Application Programming Interfaces) không bảo mật: Đây là giao diện lập trình phần
mềm để tương tác với các dịch vụ cloud. Khi các hãng thứ 3 sử dụng các API thiếu bảo mật
này để tạo các phần mềm, tài khoản và dữ liệu của người dùng có thể bị ảnh hưởng thông qua
các ứng dụng đó.
- Các lỗ hổng trong chia sẻ dữ liệu: Do sử dụng cùng một nền tảng dịch vụ trên cloud, nên
việc rò rỉ thông tin có thể phát sinh khi chia 24 sẻ thông tin từ một khách hàng cho những
người khác.
- Mất dữ liệu: Mất dữ liệu là một vấn đề phổ biến trong điện toán đám mây. Nếu nhà cung
cấp dịch vụ điện toán đám mây buộc phải đóng dịch vụ của mình do một số vấn đề tài chính
hay pháp lý, khi đó tất cả dữ liệu của ngƣời dùng sẽ bị mất.
-Tấn công luồng dữ liệu: Đây là vấn đề mà những người sử dụng dịch vụ lưu trữ cloud cần
lưu ý tới, chủ yếu là các thao tác mà hacker sử dụng để tấn công nhƣ MITM, spam, tấn công
từ chối dịch vụ, virus, malware…
- Những nguy hại từ bên trong: Các mối đe dọa này bao gồm gian lận, phá hỏng dữ liệu, đánh
cắp hoặc mất thông tin bí mật do chính người trong cuộc được tin tưởng gây ra. Những người
này có thể có khả năng xâm nhập vào bên trong tổ chức và truy cập dữ liệu bất hợp pháp
nhằm phá hoại, gây tổn thất tài chính, hiệu suất công việc, thiệt hại thương hiệu.
2. Các biện pháp bảo mật cloud computing
2.1 Mã hóa dữ liệu
Mã hóa dữ liệu là công nghệ chuyển hóa dữ liệu này thành 1 dạng dữ liệu mới mà người dùng
không thể đọc được hoặc hiểu được nó. Bằng cách sử dụng các thuật toán lồng vào nhau,
thường dựa trên 1 khóa (key) để mã hóa dữ liệu. Hầu hết các hình thức mã hóa đều yêu cầu
bạn thiết lập mật khẩu, cho phép bạn mã hóa tập tin và sau đó giải mã nó khi bạn muốn xem
lại. Nếu bạn sử dụng mật khẩu yếu, tin tặc có thể phá mã hóa và truy cập tập tin, làm thất bại
mục đích của mã hóa. Một mật khẩu mạnh nên có từ 10-12 ký tự, nên là sự kết hợp của chữ
hoa và chữ thường, số và ký hiệu. Nếu bạn thấy mật khẩu chỉ chứa chữ cái sẽ dễ nhớ 25 hơn
thì một mật khẩu vẫn có thể an toàn nếu nó dài hơn đáng kể, ví dụ như gồm 20 ký tự hoặc
nhiều hơn.
Mã hóa nhằm đảm bảo các yêu cầu sau:
- Tính bí mật (Confidentiality): Dữ liệu không bị xem bởi bên thứ ba.
- Tính toàn vẹn (Integrity): Dữ liệu không bị thay đổi trong quá trình truyền
2
- Tính không khước từ (Non-repudiation): Là cơ chế người thực hiện hành động không thể
chối bỏ việc mình đã làm. Có thể kiểm chứng được nguồn gốc hoặc người đưa tin
Cùng một thông tin được mã hóa với các khóa khác nhau sẽ cho ra kết quả mã hóa khác
nhau. Tính an toàn của thông tin phụ thuộc vào độ khó của giải thuật và độ bí mật của khóa.
Hệ thống mã hóa (crytosytem) = Giải thuật + khóa + quy trình.
Thuật toán mã hóa có thể phân theo 2 cách là theo phương pháp và theo khóa.
Thứ nhất, phân theo phương pháp bao gồm: Mã hóa cổ điển, đối xứng, bất đối xứng và mã
hóa băm.
Trong đó:
- Mã hóa cổ điển thuật toán sử dụng khóa đơn giản dễ hiểu. Là phương pháp mà từng ký tự
hay nhóm ký tự được thay bằng một ký tự hay 26 nhóm ký tự khác. Bên nhận chỉ cần đảo lại
trình tự thay thế trên thì sẽ nhận được bản ban đầu. Mã hóa cổ điển có hai phương pháp nổi
bật là: Mã thay thế và mã hóa hoán vị. Các hệ mã hóa thường được sử dụng là hệ mã hóa
Ceasar, Vigenere, Hill...
3
- Mã hóa bất đối xứng là mô hình mã hóa hai chiều sử dụng một cặp khóa là khóa chung
(Public Key) và khóa riêng (Prtvate key). Trong đó khóa chung được công bố rông rãi. Người
nhận thông tin sẽ dùng khóa Private Key để giải mã. Khóa Private Key chỉ do một người dữ
nên do đó các phương pháp mã hóa bất đối xứng đảm bảo tính bí mật hơn. Thuật toàn mã hóa
bất đối xứng nổi tiếng và được sử dụng nhiều nhất ở RSA. Ngoài ra còn có một số thuật khác
như: Hellman, Elgamal...
4
- Khóa bí mật: là thuật toán mà tại đó khóa giải mã có thể được tính toán từ khóa mã hóa.
Trong rất nhiều trường hợp khóa mã hóa và khóa giải mã giống nhau. Thuật toán này yêu cầu
người gửi và nhận thỏa thuận một khóa trước khi thông tin được gửi đi và khóa này được giữ
bí mật. Độ an toàn của thuật toán này phụ thuộc nhiều vào độ bí mật của khóa, nếu để lộ khóa
thì bất kỳ người nào cũng có thể dễ dàng mã hóa và giải mã thông tin.
Dữ liệu có thể được mã hóa cả khi ở trạng thái nghỉ (khi nó được lưu trữ) hoặc đang chuyển
tiếp (khi nó được gửi từ nơi này đến nơi khác). Dữ liệu đám mây phải được mã hóa cả ở trạng
thái nghỉ và khi truyền để những kẻ tấn công không thể chặn và đọc được. Mã hóa dữ liệu khi
truyền dữ liệu phải giải quyết cả dữ liệu di chuyển giữa đám mây và người dùng và dữ liệu
truyền từ đám mây này sang đám mây khác, như trong môi trường đa đám mây hoặc đám
mây lai. Ngoài ra, dữ liệu phải được mã hóa khi được lưu trữ trong cơ sở dữ liệu hoặc qua
dịch vụ lưu trữ đám mây . Nếu các đám mây trong môi trường nhiều đám mây hoặc đám mây
lai được kết nối ở lớp mạng, thì VPN có thể mã hóa lưu lượng giữa chúng. Nếu chúng được
kết nối ở lớp ứng dụng, mã hóa SSL / TLS nên được sử dụng. SSL / TLS cũng phải mã hóa
lưu lượng truy cập giữa người dùng và đám mây.
2.2 Quản lý danh tính và truy cập (IAM)
Các sản phẩm quản lý danh tính và truy cập (IAM) theo dõi người dùng là ai và họ được
phép làm gì, đồng thời ủy quyền cho người dùng và từ chối quyền truy cập của người dùng
trái phép nếu cần. IAM cực kỳ quan trọng trong điện toán đám mây vì danh tính và đặc quyền
truy cập của người dùng quyết định liệu họ có thể truy cập dữ liệu, chứ không phải thiết bị
hoặc vị trí của người dùng. IAM giúp giảm thiểu các mối đe dọa từ những người dùng trái
phép giành quyền truy cập vào tài sản nội bộ và những người dùng được ủy quyền vượt quá
đặc quyền của họ. Giải pháp IAM phù hợp sẽ giúp giảm thiểu một số loại tấn công, bao gồm
cả việc chiếm đoạt tài khoản và tấn công nội gián (khi người dùng hoặc nhân viên lạm dụng
quyền truy cập của họ để tiết lộ dữ liệu).
5
IAM có thể bao gồm một số dịch vụ khác nhau hoặc nó có thể là một dịch vụ duy nhất kết
hợp tất cả các khả năng sau:
- Nhà cung cấp danh tính (IdP) xác thực danh tính người dùng
- Dịch vụ đăng nhập một lần (SSO) giúp xác thực danh tính người dùng cho nhiều ứng dụng,
để người dùng chỉ phải đăng nhập một lần để truy cập tất cả các dịch vụ đám mây của họ
- Dịch vụ xác thực đa yếu tố (MFA) tăng cường quy trình xác thực người dùng
- Dịch vụ kiểm soát truy cập cho phép và hạn chế quyền truy cập của người dùng
2.3 Firewall
Một đám mây tường lửa cung cấp một lớp bảo vệ xung quanh tài sản đám mây bằng cách
ngăn chặn truy cập web độc hại. Không giống như tường lửa truyền thống, được lưu trữ tại
chỗ và bảo vệ chu vi mạng, tường lửa đám mây được lưu trữ trên đám mây và tạo thành hàng
rào bảo mật ảo xung quanh cơ sở hạ tầng đám mây. Hầu hết các tường lửa ứng dụng web đều
thuộc loại này. Tường lửa đám mây chặn các cuộc tấn công DDoS, hoạt động của bot độc hại
và khai thác lỗ hổng. Điều này làm giảm nguy cơ bị tấn công mạng làm tê liệt cơ sở hạ tầng
đám mây của tổ chức.
6
Hình 7: Mô hình bảo vệ 3 lớp
Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, với giải pháp thường
được áp dụng là dùng mật khẩu một lần (One Time Password - OTP). Các hệ thống đòi hỏi
tính an toàn cao sẽ yêu cầu xác thực từ hai phía là người dùng và nhà cung cấp, nhưng với
các nhà cung cấp điện toán đám mây miễn phí, thì chỉ xác thực một chiều
- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toàn vẹn dữ liệu
(Data Integrity) và bảo vệ tính riêng tư người dùng (Private User Protection) thông qua một
thuật toán mã hóa đối xứng.
- Lớp 3 (Layer 3): Lớp dữ liệu người dùng phục vụ cho việc phục hồi nhanh dữ liệu theo tốc
độ giải mã. Mô hình bảo mật dựa trên Encryption Proxy
7
Quá trình mã hóa/giải mã và xác thực được thông qua Encryption Proxy. Mô hình này đảm
bảo dữ liệu an toàn và bí mật trong quá trình truyền (transmission) và lưu trữ (storage) giữa
người dùng và đám mây. Để các bản mã vẫn được xử lý và quản lý lưu trữ mà không cần giải
mã thì thuật toán mã hóa dữ liệu đồng phôi (homomorphic encryption algorithm) và đồng
phôi đầy đủ (fully hommomorphic) đang được quan tâm nghiên cứu ứng dụng trong mô hình
này. Thông tin bí mật của người dùng phục vụ quá trình mã hóa/giải mã được lưu tại Secure
Storage.
8
toán đám mây lớn sẽ đòi hỏi mô hình thiết lập VPN phù hợp tương ứng. Có hai mô hình VPN
thường được quan tâm là Hub - and - Spoke và Full- Mesh
Điện toán đám mây đang phát triển và mở rộng với tốc độ nhanh chóng. Việc ứng dụng điện
toán đám mây không chỉ cho các doanh nghiệp vừa và nhỏ, hay người dùng đơn lẻ mà nó đã
được triển khai cho các doanh nghiệp lớn, các cơ quan nhà nước. Vấn đề đặt ra là sử dụng
điện toán đám mây có thực sự an toàn cho tính riêng tư của người sử dụng; tính toàn vẹn dữ
liệu; tính bảo mật.... Đây còn là vấn đề cần được đầu tư nghiên cứu trong thời gian tới