HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

TIỂU LUẬN
MÔN HỌC: AN TOÀN ĐIỆN TOÁN ĐÁM MÂY

Đề tài:

CÁC GIẢI PHÁP BẢO MẬT CHO CLOUD TRÊN

NỀN TẢNG VMWARE

Nhóm sinh viên thực hiện:

Nguyễn Thị Thúy Kiều
Võ Văn Thông
Cao Quang Trường
Lê Trùng Dương
Nguyễn Hà Thiên Phong

Giáo viên hướng dẫn: Dương Trọng Khang

Tp.Hồ Chí Minh, tháng 12 năm 2021

1
PHỤ LỤC HÌNH ẢNH
Hình 1: Những ứng dụng điển hình trong lĩnh vực điện toán đám mây...................3
Hình 2: Bare-metal Hypervisor................................................................................4
Hình 3: Hosted Hypervisor......................................................................................5
Hình 4: Private Cloud..............................................................................................7
Hình 5: Hybrid Cloud..............................................................................................8
Hình 6: Phương pháp phát hiện mã độc.................................................................18
Hình 7: Quy trình xử lý mã độc.............................................................................18

MỤC LỤC
I. Tìm hiểu Điện toán đám mây trên nền tảng VMWare..................................................3
1. Điện toán đám mây là gì ?........................................................................................3
2. Các nền tảng điện toán đám mây trên VMWare.......................................................3
2.1 Bare-metal hypervisor........................................................................................3
2.2 Hosted Hypervisor.............................................................................................4
3. Mô hình trên VMWare............................................................................................5
3.1. Public Cloud (Đám mây “công cộng”)..................................................................5
3.2. Private Cloud (Đám mây “doanh nghiệp”)............................................................6
3.3. Hybrid Cloud (Đám mây “lai”).............................................................................7
3.4. Community Cloud.................................................................................................9
4. Những lợi thế và thách thức mà điện toán đám mây trên VMWare mang lại...........9
4.1 Lợi thế.................................................................................................................... 9
4.2 Thách thức............................................................................................................ 10
II. Các giải pháp bảo mật cho Cloud trên nền tảng VMWare.........................................15
1. Xây dựng kiến trúc ảo hóa bảo mật nhất quán........................................................15
2. Nâng cao tính bảo mật với giải pháp Private Cloud của VMWare..........................16
3. Công nghệ phòng chống mã độc chuyên biệt cho môi trường ảo hóa.....................17
4. Thực hiện cấu hình an toàn lớp phần mềm lõi Hypervisor......................................18
5. Cấu hình an toàn máy chủ Ảo hóa..........................................................................19
6. Thiết kế mạng ảo đảm bảo an toàn thông tin..........................................................19
7. Thiết lập các biện pháp sau nhằm giới hạn truy cập vật lý các máy chủ Ảo hóa.....20
8. Mã hóa dữ liệu máy ảo............................................................................................20
9. Tách biệt truy cập, cô lập dữ liệu giữa các máy ảo.................................................20
10. Duy trì sao lưu.....................................................................................................20

2
I. Tìm hiểu Điện toán đám mây trên nền tảng VMWare
1. Điện toán đám mây là gì ?
Theo Viện Tiêu chuẩn và Công nghệ Mỹ (NIST), điện toán đám mây được định
nghĩa như sau: "Cloud Computing là mô hình dịch vụ cho phép người truy cập tài
nguyên điện toán dùng chung (mạng, server, lưu trữ, ứng dụng, dịch vụ) thông qua
kết nối mạng một cách dễ dàng, mọi lúc, mọi nơi, theo yêu cầu. Tài nguyên điện
toán đám mây có thể được thiết lập hoặc hủy bỏ nhanh chóng bởi người dùng mà
không cần sự can thiệp của Nhà cung cấp dịch vụ".
Sự ra đời của mạng xã hội Facebook năm 2004, sàn thương mại điện tử
Amazon,... càng chứng tỏ được tầm quan trọng của ĐTĐM đối hầu hết các lĩnh
vực liên quan tới mạng Internet.
Google Drive, Dropbox, OneDrive, iCloud,... là những ví dụ điển hình của dịch vụ
ĐTĐM. Người dùng chỉ cần đăng ký tài khoản và sử dụng dịch vụ miễn phí và trả
phí theo nhu cầu của bản thân. Họ lưu trữ các tài liệu lên tài khoản “đám mây” của
mình và truy cập vào sử dụng từ bất cứ vị trí nào miễn có kết nối mạng.

Hình 1: Những ứng dụng điển hình trong lĩnh vực điện toán đám mây

3
2. Các nền tảng điện toán đám mây trên VMWare
2.1 Bare-metal hypervisor
Siêu giám sát này chạy trực tiếp trên phần cứng vật lý của máy chủ, vì vậy nó còn
được gọi là siêu giám sát kim loại trần. Nó được cài đặt trực tiếp trên phần cứng
của máy chủ vật lý, không có hệ điều hành hoặc bất kỳ lớp phần mềm nào khác ở
giữa. Nền tảng này cần:
 Một máy chủ / máy chủ vật lý
 Hypervisor được cài đặt trên phần cứng
 Máy ảo khách
Hypervisor loại 1 thực sự là một hệ điều hành rất cơ bản mà trên đó chúng ta chạy
các máy ảo. Vì vậy, máy vật lý mà hypervisor đang chạy chỉ có thể được sử dụng
cho mục đích ảo hóa và không có gì khác.

Các siêu giám sát này yêu cầu một bảng điều khiển quản lý riêng để thực hiện các
hoạt động như tạo phiên bản, di chuyển, v.v. Bảng điều khiển quản lý có thể dựa
trên web hoặc một gói riêng biệt mà bạn có thể cài đặt trên một máy khác. Sử dụng
bảng điều khiển này, bạn có thể kết nối với hypervisor để quản lý các hoạt động
trên môi trường ảo của mình.
Hypervisor loại 1 chủ yếu được tìm thấy trong môi trường doanh nghiệp.

Hình 2: Bare-metal Hypervisor

2.2 Hosted Hypervisor
Siêu giám sát này chạy trên hệ điều hành của máy chủ vật lý, do đó chúng còn
được gọi là siêu giám sát được lưu trữ. Các siêu giám sát này được lưu trữ trên hệ
điều hành và siêu giám sát chạy trên lớp đó như một phần mềm khác để cho phép
ảo hóa. Những gì chúng tôi có trong trường hợp này là

Một máy chủ vật lý

Hệ điều hành được cài đặt trên phần cứng máy chủ đó (các hệ điều hành như
Windows, Linux, macOS)
Trình siêu giám sát kiểu 2 trên hệ điều hành đó
Phiên bản máy ảo / máy ảo khách

4
 Những siêu giám sát này thường được sử dụng trong môi trường có một số lượng
nhỏ máy chủ. Họ không cần một bảng điều khiển quản lý riêng để thiết lập và quản
lý các máy ảo. Các hoạt động này thường có thể được thực hiện trên máy chủ có
lưu trữ siêu giám sát. Hypervisor này về cơ bản được coi như một ứng dụng trên hệ
thống máy chủ của bạn.

Hình 3: Hosted Hypervisor

3. Mô hình trên VMWare
3.1. Public Cloud (Đám mây “công cộng”)

Định nghĩa: Là các dịch vụ được bên thứ 3 (người bán) cung cấp. Chúng tồn tại
ngoài tường lửa của công ty và được nhà cung cấp đám mây quản lý. Nó được xây
dựng nhằm phục vụ cho mục đích sử dụng công cộng, người dùng sẽ đăng ký với
nhà cung cấp và trả phí sử dụng dựa theo chính sách giá của nhà cung cấp. Public
cloud là mô hình triển khai được sử dụng phổ biến nhất hiện nay của cloud
computing.

Hình 3: Public Cloud

5
Đối tượng sử dụng: Bao gồm người dùng bên ngoài internet. Đối tượng quản lý là
nhà cung cấp dịch vụ.
Ưu điểm:
Phục vụ được nhiều người dùng hơn, không bị giới hạn bởi không gian và
thời gian.
Tiết kiệm hệ thống máy chủ, điện năng và nhân công cho doanh nghiệp.
Nhược điểm:
Các doanh nghiệp phụ thuộc vào nhà cung cấp không có toàn quyền quản
lý.
Gặp khó khăn trong việc lưu trữ các văn bản, thông tin nội bộ.

Tuy nhiên Public Cloud có một trở ngại, đó là vấn đề mất kiểm soát về dữ liệu và
vấn đề an toàn dữ liệu. Trong mô hình này mọi dữ liệu đều nằm trên dịch vụ
Cloud, do nhà cung cấp dịch vụ Cloud đó bảo vệ và quản lý. Chính điều này khiến
cho khách hàng, nhất là các công ty lớn cảm thấy không an toàn đối với những dữ
liệu quan trọng của mình khi sử dụng dịch vụ Cloud.

3.2. Private Cloud (Đám mây “doanh nghiệp”)

Định nghĩa: Private cloud là các dịch vụ điện toán đám mây được cung cấp trong
các doanh nghiệp. Những “đám mây” này tồn tại bên trong tường lửa của công ty
và được các doanh nghiệp trực tiếp quản lý. Đây là xu hướng tất yếu cho các doanh
nghiệp nhằm tối ưu hóa hạ tầng công nghệ thông tin.

6
 Hình 4: Private Cloud
Đối tượng sử dụng: Nội bộ doanh nghiệp sử dụng và quản lý
Ưu điểm:
Chủ động sử dụng, nâng cấp, quản lý, giảm chi phí, bảo mật tốt,…
Nhược điểm:
Khó khăn về công nghệ khi triển khai và chi phí xây dựng, duy trì hệ thống.
Hạn chế sử dụng trong nội bộ doanh nghiệp, người dùng ở ngoài không thể
sử dụng.

3.3. Hybrid Cloud (Đám mây “lai”)

Định nghĩa: Là sự kết hợp của private cloud và public cloud. Cho phép ta khai thác
điểm mạnh của từng mô hình cũng như đưa ra phương thức sử dụng tối ưu cho
người sử dụng. Những “đám mây” này thường do doanh nghiệp tạo ra và việc quản
lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp điện toán đám mây công
cộng.

7
 Hình 5: Hybrid Cloud
large-diag-hybrid-cloud
Đối tượng sử dụng: Doang nghiệp và nhà cung cấp quản lý theo sự thỏa thuận.
Người sử dụng có thể sử dụng các dịch vụ của nhà cung cấp và dịch vụ riêng của
doanh nghiệp.
Ưu điểm:
Doanh nghiệp 1 lúc có thể sử dụng được nhiều dịch vụ mà không bị giới
hạn.
Nhược điểm:
Khó khăn trong việc triển khai và quản lý. Tốn nhiều chi phí.

Doanh nghiệp có thể chọn để triển khai các ứng dụng trên Public, Private hay
Hybrid Cloud tùy theo nhu cầu cụ thể. Mỗi mô hình đều có điểm mạnh và yếu của
nó. Các doanh nghiệp phải cân nhắc đối với các mô hình Cloud Computing mà họ
chọn. Và họ có thể sử dụng nhiều mô hình để giải quyết các vấn đề khác nhau.
Nhu cầu về một ứng dụng có tính tạm thời có thể triển khai trên Public Cloud bởi
vì nó giúp tránh việc phải mua thêm thiết bị để giải quyết một nhu cầu tạm thời.
Tương tự, nhu cầu về một ứng dụng thường trú hoặc một ứng dụng có những yêu
cầu cụ thể về chất lượng dịch vụ hay vị trí của dữ liệu thì nên triển khai trên
Private hoặc Hybrid Cloud.

8
 3.4. Community Cloud
Đám mây cộng đồng (là các dịch vụ trên nền tảng Cloud computing do các công ty
cùng hợp tác xây dựng và cung cấp các dịch vụ cho cộng đồng).
Mô hình triển khai Community Cloud phần lớn giống với mô hình Private Cloud;
sự khác biệt duy nhất là tập hợp người dùng. Trong khi chỉ có một công ty sở hữu
máy chủ đám mây riêng, một số tổ chức có nền tảng tương tự chia sẻ cơ sở hạ tầng
và các tài nguyên liên quan của community cloud.

Nếu tất cả các tổ chức tham gia đều có các yêu cầu về bảo mật, quyền riêng tư và
hiệu suất đồng nhất, thì kiến trúc trung tâm dữ liệu nhiều bên thuê này sẽ giúp các
công ty này nâng cao hiệu quả của họ, như trong trường hợp các dự án chung. Một
đám mây tập trung tạo điều kiện thuận lợi cho việc phát triển, quản lý và thực hiện
dự án. Các chi phí được chia sẻ bởi tất cả người dùng.
Ưu điểm:
Tiết kiệm chi phí
Cải thiện bảo mật, quyền riêng tư và độ tin cậy
Dễ dàng chia sẻ dữ liệu và cộng tác
Nhược điểm:
Chi phí cao so với mô hình public cloud
Chia sẻ dung lượng băng thông và dung lượng lưu trữ cố định
Chưa được sử dụng phổ biến
4. Những lợi thế và thách thức mà điện toán đám mây trên VMWare mang lại
4.1 Lợi thế

- Một nền tảng toàn diện, đã được chứng minh là hoàn hảo nhất, VMware vSphere
là thế hệ thứ 5 của công nghệ ảo hóa luôn dẫn đầu và chưa có sản phầm nào sánh
kịp. Nó mang đến sự ổn định cao hơn, năng suất vượt trội và hiệu suất vượt xa
những giải pháp ảo hóa khác trên thị trường. Công nghệ ảo hóa ưu việt của
VMware được công nhận là được sử dụng phổ biến nhất trên thế giới bởi các nhà
chuyên gia phân tích công nghệ.

- Khả năng sẵn sàng cao của các ứng dụng. Với mô hình truyền thống, phần cứng
và phần mềm phải mua từng phần riêng biệt, hạ tầng CNTT có tính sẵn sàng cao
vẫn còn phức tạp và tốn kém chi phí. Nhưng với công nghệ ảo hóa của VMware
tích hợp High Availability (tính sẵn sàng cao) và fault tolerance ( khả năng chịu
lỗi) vào ngay nền tảng của Doanh nghiệp để bảo vệ các ứng dụng ảo hóa của
Doanh nghiệp. Nhờ các tính năng trên nên node hoặc server không bao giờ bị lỗi,
tất cả máy ảo tự động khởi động trên một máy chủ khác mà không có thời gian
downtime (thời gian ngừng hoạt động) và không bị mất dữ liệu.

9
- Cài đặt dễ dàng theo hướng dẫn bằng wizard (hướng dẫn bằng thuật sĩ) giúp cho
việc cài đặt và cấu hình không còn phức tạp nữa. Doanh nghiệp có thể nâng cấp và
chạy thêm ứng dụng của bên thứ ba vào.

- Việc quản lý được tối giản và hợp lý hóa, giúp nâng cao năng suất và giảm cơ cấu
nhân sự phục vụ cho IT. Nhà quản trị có thể quản lý và điều khiển được cả hai môi
trường vật lý và ảo hóa thông qua giao diện website. Các đặc tính tiết kiệm thời
gian như triển khai tự động, tự động cập nhật các phiên bản và tự động di chuyển
các máy ảo chỉ trong vài phút để giảm các công việc, thủ tục rườm rà mà không
làm ảnh hưởng đến hoạt động của doanh nghiệp.

- Sự ổn định và hiệu suất cao hơn. Nền tảng kết hợp CPU và bộ nhớ được cải tiến
nhỏ gọn hơn, hypervisor (công nghệ ảo hóa phần cứng) được xây dựng có mục
đích để giảm các bản vá lỗi và những hạn chế của I/O. Do đó, đối với những công
việc phức tạp và tốn sức, những lợi thế của VMware thường gấp 2 tới 3 lần so với
đối thủ cạnh tranh gần nhất.
- Tính bảo mật ưu việt hơn. Hypervisor của VMware mỏng hơn các đối thủ cạnh
tranh, nó chỉ dùng ổ đĩa có 144 MB so với ổ đĩa từ 3 tới 10 GB của đối thủ cạnh
tranh. Với hypervisor nhỏ để lại ít footprint hơn (dấu vết những công việc đã thực
hiện), được bảo vệ tốt hơn để chống lại sự đe dọa và các cuộc tấn công từ bên
ngoài, bảo mật toàn diện và giảm các đe dọa xâm nhập vào hệ thống.

4.2 Thách thức

4.2.1 Vi phạm dữ liệu

Mối đe dọa vi phạm dữ liệu vẫn giữ thứ hạng số một trong cuộc khảo sát. Điều này
là dễ hiểu vì mối đe doạ này có thể gây ra thiệt hại lớn về danh tiếng và tài chính.
Chúng có thể dẫn đến mất quyền sở hữu trí tuệ (Intellectual Property - IP) và các
trách nhiệm pháp lý.

Những điểm chính của CSA liên quan đến mối đe dọa vi phạm dữ liệu bao gồm:

 Những kẻ tấn công muốn có dữ liệu, vì vậy các doanh nghiệp cần xác
định giá trị của dữ liệu và tác động của việc mất dữ liệu.
 Ai có quyền truy cập vào dữ liệu là một câu hỏi quan trọng cần giải
quyết để bảo vệ dữ liệu.
 Dữ liệu có thể truy cập Internet dễ ảnh hưởng do cấu hình sai hoặc bị tấn
công nhất.
 Mã hóa có thể bảo vệ dữ liệu, nhưng phải đánh đổi hiệu suất và trải
nghiệm người dùng.
 Các doanh nghiệp cần có các kế hoạch ứng phó sự cố và đã được kiểm
chứng, bao gồm liên quan đến các nhà cung cấp dịch vụ đám mây.

4.2.2 Cấu hình sai và không kiểm soát thay đổi đầy đủ

10
Đây là một mối đe dọa mới trong danh sách của CSA và không có gì đáng ngạc
nhiên khi có nhiều ví dụ về các doanh nghiệp vô tình để lộ dữ liệu qua đám mây.
Ví dụ: CSA trích dẫn sự cố Exactis, trong đó nhà cung cấp để cơ sở dữ liệu
Elasticsearch chứa dữ liệu cá nhân của 230 triệu người tiêu dùng Hoa Kỳ có thể
truy cập công khai do định cấu hình sai.

Theo CSA, các công ty không chỉ phải lo lắng về việc mất dữ liệu mà còn phải
quan tâm về việc xóa hoặc sửa đổi các tài nguyên được thực hiện với mục đích làm
gián đoạn hoạt động kinh doanh. Báo cáo cho rằng lỗi thuộc về các biện pháp kiểm
soát thay đổi kém đối với hầu hết các lỗi cấu hình sai.

Những điểm mấu chốt của CSA liên quan đến việc định cấu hình sai và không
kiểm soát thay đổi đầy đủ bao gồm: Sự phức tạp của các tài nguyên dựa trên đám
mây khiến việc cấu hình rất khó; Các biện pháp kiểm soát và quản lý thay đổi
truyền thống khó có hiệu quả trên đám mây; Sử dụng các công cụ tự động hoá để
quét liên tục để tìm các tài nguyên được định cấu hình sai.

4.2.3 Thiếu chiến lược và kiến trúc bảo mật đám mây

Có một thực tế là các doanh nghiệp mong muốn giảm thiểu thời gian cần thiết để
di chuyển hệ thống và dữ liệu lên đám mây thường được ưu tiên hơn vấn đề bảo
mật. Kết quả là, công ty bắt đầu hoạt động trên đám mây bằng cách sử dụng cơ sở
hạ tầng và chiến lược bảo mật không được thiết kế cho nó. Đây là một vấn đề lớn.

Những điểm mấu chốt của CSA liên quan đến việc thiếu kiến trúc và chiến lược
bảo mật đám mây bao gồm: Kiến trúc bảo mật cần phải phù hợp với các mục đích
và mục tiêu kinh doanh; Phát triển và triển khai một khung kiến trúc bảo mật;
Luôn cập nhật các mô hình về mối đe dọa; Triển khai công cụ giám sát liên tục.

4.2.4 Quản lý danh tính, thông tin xác thực, quyền truy cập và quản lý khóa
kém

Một mối đe dọa mới trong danh sách của CSA là quản lý và kiểm soát truy cập
kém về dữ liệu, hệ thống và tài nguyên vật lý như phòng máy chủ và tòa nhà. Báo
cáo lưu ý rằng đám mây yêu cầu các tổ chức thay đổi các thông lệ liên quan đến
quản lý danh tính và truy cập (IAM). Theo báo cáo, hậu quả của việc không làm
như vậy có thể dẫn đến các sự cố và vi phạm an ninh do: Thông tin đăng nhập
không được bảo vệ cẩn mật; Không thay đổi các khóa mật mã, mật khẩu và chứng
chỉ định kỳ; Thiếu khả năng mở rộng; Không sử dụng xác thực đa yếu tố; Không
sử dụng mật khẩu mạnh.

Những điểm mấu chốt của CSA liên quan đến việc không đủ danh tính, thông tin
xác thực, quyền truy cập và quản lý khóa bao gồm:

 Bảo mật tài khoản, bao gồm cả việc sử dụng xác thực hai yếu tố.
11
  Sử dụng các biện pháp kiểm soát danh tính và truy cập nghiêm ngặt cho
người dùng đám mây, đặc biệt, hạn chế việc sử dụng tài khoản gốc.
 Tách biệt và phân đoạn tài khoản, đám mây riêng ảo và nhóm xác thực dựa
trên nhu cầu kinh doanh và nguyên tắc đặc quyền tối thiểu.
 Thực hiện lưu trữ thông tin khoá, mật khẩu… tập trung và có thể thay đổi
định kỳ.
 Xóa thông tin đăng nhập và đặc quyền truy cập không sử dụng.

4.2.5 Chiếm đoạt tài khoản

Chiếm đoạt tài khoản vẫn là một mối đe dọa với đám mây. Khi các nỗ lực lừa đảo
ngày càng tinh vi, hiệu quả hơn và có mục tiêu cụ thể, nguy cơ kẻ tấn công giành
được quyền truy cập vào các tài khoản có đặc quyền cao là rất lớn. Lừa đảo không
phải là cách duy nhất mà kẻ tấn công có thể lấy được thông tin đăng nhập. Họ cũng
có thể có được chúng bằng cách xâm nhập vào chính dịch vụ đám mây để đánh cắp
chúng thông qua các phương tiện khác.

Một khi kẻ tấn công có thể xâm nhập vào hệ thống bằng tài khoản hợp pháp, chúng
có thể gây ra rất nhiều gián đoạn, bao gồm đánh cắp hoặc phá hủy dữ liệu quan
trọng, ngừng cung cấp dịch vụ hoặc gian lận tài chính. CSA khuyến nghị giáo dục
người dùng về các mối nguy hiểm và các dấu hiệu của việc chiếm đoạt tài khoản
để giảm thiểu rủi ro.

Những điểm chính của CSA liên quan đến việc chiếm đoạt tài khoản bao gồm:
Đừng chỉ đặt lại mật khẩu khi thông tin đăng nhập tài khoản bị đánh cắp. Phải giải
quyết các nguyên nhân gốc rễ; Cách tiếp cận chuyên sâu về phòng thủ và kiểm soát
IAM mạnh mẽ là cách phòng thủ tốt nhất.

4.2.6 Mối đe dọa từ nội bộ

Các mối đe dọa từ những người nội bộ đáng tin cậy cũng là một vấn đề nghiêm
trọng trên đám mây, cũng như đối với các hệ thống tại chỗ. Người nội bộ có thể là
nhân viên hiện tại hoặc cũ, nhà thầu hoặc đối tác kinh doanh đáng tin cậy, bất kỳ ai
không phải vượt qua hàng rào phòng thủ của công ty để truy cập vào hệ thống của
công ty.

Người trong nội bộ không cần phải có ác ý để gây thiệt hại. Họ có thể vô tình
khiến dữ liệu và hệ thống gặp rủi ro. CSA trích dẫn nghiên cứu Chi phí cho các
mối đe dọa nội gián năm 2018 của Viện Ponemon, trong đó nói rằng 64% tất cả
các sự cố nội gián được báo cáo là do sơ suất của nhân viên hoặc nhà thầu. Sơ suất
đó có thể bao gồm các máy chủ đám mây bị cấu hình sai, lưu trữ dữ liệu nhạy cảm
trên thiết bị cá nhân hoặc trở thành nạn nhân của email lừa đảo.

Các điểm rút ra chính của CSA liên quan đến các mối đe dọa từ nội gián bao gồm:

12
- Tiến hành đào tạo và giáo dục nhân viên về các phương pháp thích hợp để
bảo vệ dữ liệu và hệ thống, làm cho giáo dục trở thành một quá trình liên tục.

- Thường xuyên kiểm tra và sửa chữa các máy chủ đám mây bị cấu hình sai.

- Hạn chế quyền truy cập vào các hệ thống quan trọng.

4.2.7 Các giao diện và API không an toàn

Giảm xuống vị trí thứ bảy từ vị trí thứ ba vào năm 2018 theo OWASP, các giao
diện và API không an toàn là một phương thức tấn công phổ biến. Vào năm 2018,
Facebook đã trải qua một vụ vi phạm ảnh hưởng đến hơn 50 triệu tài khoản do lỗ
hổng được giới thiệu trong tính năng View As của họ. Đặc biệt khi được liên kết
với giao diện người dùng, các lỗ hổng API có thể cung cấp cho những kẻ tấn công
một con đường để đánh cắp thông tin đăng nhập của người dùng hoặc nhân viên.

Báo cáo của CSA cho biết các tổ chức cần hiểu rằng API và giao diện người dùng
là những phần tiếp xúc nhiều nhất của hệ thống và họ khuyến khích viêc bảo mật
cho các thành phần này nên thực hiện từ thiết kế khi xây dựng chúng.

Các điểm rút ra chính của CSA liên quan đến các giao diện và API không an toàn
bao gồm:

 Nghiêm ngặt thực hiện các hạng mục như kiểm kê, thử nghiệm, kiểm
toán và bảo vệ hoạt động bất thường.
 Bảo vệ các khóa để xác thực API và tránh sử dụng lại.
 Xem xét mã nguồn mở framework cho API như Giao diện điện toán
đám mây mở (Open Cloud Computing Interface - OCCI) hoặc Giao diện
quản lý cơ sở hạ tầng đám mây (Cloud Infrastructure Management
Interface - CIMI).

4.2.8 Nền tảng điều khiển yếu

Một nền tảng điều khiển bao gồm các quá trình sao chép dữ liệu, di chuyển và lưu
trữ. Nền tảng kiểm soát sẽ yếu nếu người phụ trách các quy trình này không có
toàn quyền kiểm soát logic, bảo mật và xác minh của cơ sở hạ tầng dữ liệu, theo
CSA. Các bên liên quan đến kiểm soát cần phải hiểu cấu hình bảo mật, cách dữ
liệu lưu chuyển và các điểm yếu hoặc điểm mù của kiến trúc. Nếu không làm như
vậy có thể dẫn đến rò rỉ dữ liệu, không có dữ liệu hoặc hỏng dữ liệu.

Những điểm chính của CSA liên quan đến nền tảng điều khiển yếu bao gồm: Đảm
bảo rằng nhà cung cấp dịch vụ đám mây cung cấp các biện pháp kiểm soát bảo mật
cần thiết để thực hiện các nghĩa vụ pháp lý và theo luật định; Thực hiện thẩm định
để đảm bảo nhà cung cấp dịch vụ đám mây sở hữu một nền tảng điều khiển thích
hợp.
13
4.2.9 Các lỗi cấu trúc cơ sở và cấu trúc thiết bị

Cấu trúc cơ sở hạ tầng của nhà cung cấp dịch vụ đám mây nắm giữ thông tin bảo
mật về cách nó bảo vệ hệ thống của mình và nó cung cấp thông tin đó qua các lệnh
gọi API. Các API giúp khách hàng phát hiện truy cập trái phép, nhưng cũng chứa
thông tin nhạy cảm cao như nhật ký hoặc dữ liệu hệ thống kiểm tra.

Các API cũng là một điểm không an toàn tiềm ẩn có thể cung cấp cho những kẻ
tấn công quyền truy cập vào dữ liệu hoặc khả năng làm gián đoạn các khách hàng
trên đám mây. Việc triển khai API kém thường là nguyên nhân gây ra lỗ hổng. Mặt
khác, khách hàng có thể không hiểu cách triển khai các ứng dụng đám mây đúng
cách. Điều này đặc biệt đúng khi chúng kết nối các ứng dụng không được thiết kế
cho môi trường đám mây.

Những điểm mấu chốt của CSA liên quan đến các lỗi cấu trúc cơ sở và cấu trúc
thiết bị bao gồm:

 Đảm bảo rằng nhà cung cấp dịch vụ đám mây cung cấp khả năng
hiển thị và chỉ ra các biện pháp giảm nhẹ các lỗi.
 Triển khai các tính năng và điều khiển thích hợp trong các thiết kế
gốc đám mây.
 Đảm bảo rằng nhà cung cấp dịch vụ đám mây tiến hành thử nghiệm
thâm nhập và cung cấp các phát hiện cho khách hàng.

4.2.10 Khả năng sử dụng đám mây hạn chế

Một phàn nàn phổ biến giữa các chuyên gia bảo mật là môi trường đám mây khiến
họ "mù" nhiều dữ liệu mà họ cần để phát hiện và ngăn chặn hoạt động độc hại.
CSA chia thách thức về hạn chế này thành hai loại: Sử dụng ứng dụng chưa được
cấp phép và sử dụng sai những ứng dụng được cấp phép.

Các ứng dụng của nhân viên sử dụng mà chưa được cấp phép hoặc hỗ trợ của IT và
nhóm bảo mật là một nguy cơ tiềm ẩn về mất an toàn thông tin. Bất kỳ ứng dụng
nào không đáp ứng các nguyên tắc của công ty về bảo mật đều có nguy cơ mà
nhóm bảo mật có thể không biết.

Việc sử dụng sai ứng dụng được cấp phép có thể là người được ủy quyền sử dụng
ứng dụng đã được phê duyệt hoặc tác nhân đe dọa bên ngoài sử dụng thông tin
đăng nhập bị đánh cắp. Báo cáo của CSA cho biết, các nhóm bảo mật cần có khả
năng phân biệt được sự khác nhau giữa người dùng hợp lệ và không hợp lệ bằng
cách phát hiện các hành vi ngoài quy chuẩn.

Những điểm chính của CSA liên quan đến khả năng hiển thị sử dụng đám mây hạn
chế bao gồm:

14
  Phát triển khả năng hiển thị trên cloud theo mô hình từ trên xuống
liên quan đến con người, quy trình và công nghệ.
 Tiến hành đào tạo bắt buộc trong toàn công ty về các chính sách sử
dụng đám mây được chấp nhận và việc thực thi.
 Yêu cầu kiến trúc sư bảo mật đám mây hoặc nhân viên quản lý rủi ro
của bên thứ ba xem xét tất cả các dịch vụ đám mây không được phê
duyệt.
 Đầu tư vào một nhà môi giới bảo mật truy cập đám mây (Cloud
Access Security Broker - CASB) hoặc các cổng do phần mềm xác
định (Software-defined Gateways - SDG) để phân tích các hoạt động
bên ngoài.
 Đầu tư vào một tường lửa ứng dụng web để phân tích các kết nối
đến.
 Triển khai mô hình không tin cậy trong toàn tổ chức.

4.2.11 Lạm dụng và sử dụng bất chính các dịch vụ đám mây

Những kẻ tấn công đang sử dụng các dịch vụ đám mây hợp pháp để hỗ trợ các hoạt
động của chúng. Ví dụ, chúng có thể sử dụng dịch vụ đám mây để lưu trữ phần
mềm độc hại ngụy trang trên các trang web như GitHub, khởi chạy các cuộc tấn
công DDoS, phân phối email lừa đảo, khai thác tiền kỹ thuật số, thực hiện gian lận
nhấp chuột tự động hoặc thực hiện một cuộc tấn công vét cạn để lấy cắp thông tin
đăng nhập.

CSA nói rằng các nhà cung cấp dịch vụ đám mây nên có các biện pháp giảm thiểu
để ngăn chặn và phát hiện các hành vi lạm dụng như gian lận công cụ thanh toán
hoặc sử dụng sai các dịch vụ đám mây. Điều quan trọng đối với các nhà cung cấp
dịch vụ đám mây là phải có sẵn một khuôn khổ ứng phó sự cố để ứng phó với việc
sử dụng sai và cho phép khách hàng báo cáo việc sử dụng sai.

Các điểm rút ra chính của CSA liên quan đến việc lạm dụng và sử dụng sai các
dịch vụ đám mây bao gồm:

 Theo dõi việc sử dụng đám mây của nhân viên để xem có hành vi
lạm dụng hay không.
 Sử dụng các giải pháp ngăn chặn mất mát dữ liệu đám mây để theo
dõi và ngăn chặn việc xâm nhập dữ liệu.
II. Các giải pháp bảo mật cho Cloud trên nền tảng VMWare

1. Xây dựng kiến trúc ảo hóa bảo mật nhất quán

VMWare sử dụng kiến trúc Zero Trust toàn diện để cung cấp sự bảo mật nhất quán
cho các thiết bị đầu cuối, máy ảo và các containers.

15
 Zero Trust là mô hình tập trung vào bảo mật dựa trên ý tưởng rằng doanh nghiệp
không nên có tùy chọn tin cậy mặc định cho bất kỳ thứ gì bên ngoài hoặc bên trong
ranh giới của họ. Thay vào đó, họ phải xác thực mọi thứ cố gắng giành quyền truy
cập và kết nối với hệ thống trước khi quyền truy cập được cấp.

Mô hình Zero Trust dựa vào trước tiên tạo ra một môi trường an toàn bằng cách sử
dụng chuyển đổi cơ sở hạ tầng liên tục. Nó đòi hỏi suy nghĩ khác biệt và là một
bước đi trước hacker để cung cấp một môi trường an toàn.

Mô hình này yêu cầu nhóm bảo mật triển khai xác thực đa yếu tố để truy cập các
phân đoạn vi mô khác nhau của mạng để bảo mật cao, khiến cho tin tặc khó có
được tất cả thông tin mà họ cần để truy cập vào tài khoản của ai đó.

Mô hình này cũng bao gồm một triết lý quản lý rủi ro cấp cao, dựa trên sự phát
hiện và phân tích dữ liệu bất thường. Điều này giúp hạn chế các mối đe dọa bảo
mật và hỗ trợ phát hiện và ứng phó nhanh hơn với vi phạm an ninh.

2. Nâng cao tính bảo mật với giải pháp Private Cloud của VMWare

Các doanh nghiệp trên toàn thế giới sử dụng giải pháp Private Cloud trong các data
center để khuếch đại các lợi ích của ảo hóa và gia tăng tính linh động mà vẫn duy trì
khả năng kiểm soát tính bảo mật của data center.
16
Giải pháp Private Cloud của VMWware được xem là giải pháp ưu việt nhất, giúp
trung tâm dữ liệu hoạt động hiệu quả, an toàn và bảo mật.

Giải pháp VMware private cloud tập hợp các tài nguyên hạ tầng giữa nhiều cụm
server (cluster) thành các Datacenter. Một Datacenter ảo hoá là một kho chứa tài
nguyên được xác định trước gồm một bộ các tài nguyên vật lý ảo hóa có thể cung cấp
các mức dịch vụ riêng hoặc đáp ứng theo nhu cầu của người dùng.

Bằng cách gói gọn nhiều dịch vụ máy ảo (VM) và các chính sách hạ tầng mạng liên
quan vào vApp, Các đơn vị này có thể được lưu trữ trong catalog và triển khai linh
hoạt vào bất kỳ virtual datacenter nào.

3. Công nghệ phòng chống mã độc chuyên biệt cho môi trường ảo hóa

Công nghệ phát hiện và phòng chống mã độc cũng là một trong những yếu tố cực kì
quan trọng trong việc bảo đảm an toàn điện toán đám mây, công nghệ này chịu trách
nhiệm phát hiện và xử lý mã độc trên các máy chủ ảo theo thời gian thực (realtime) và
tiêu tốn hiệu năng nhỏ nhất nhằm giải quyết bài toán xung đột và tranh chấp tài
nguyên. Với công nghệ EPSec thì không cần phải cài phần mềm anti-virus trên từng
máy chủ, máy trạm ảo như phương pháp truyền thống, mà nó sẽ lấy các tập tin hoặc
phát hiện tập tin vào/ra trong các sự kiện trên máy ảo và chuyển chúng sang các thành
phần quét mã độc tập trung trong máy ảo an ninh. Điều này sẽ giúp tiết kiệm đáng kể
hiệu năng và giảm thiểu xung đột tài nguyên không đáng có.

17
 Hình 6: Phương pháp phát hiện mã độc

Hình 7: Quy trình xử lý mã độc

4. Thực hiện cấu hình an toàn lớp phần mềm lõi Hypervisor

 Thường xuyên, kịp thời vá các lỗ hổng bảo mật phần mềm lõi Hypervisor và các
 phần mềm của hệ thống ảo hóa.
 Kết nối bằng giao thức an toàn Secure Socket Layer (SSL).
 Thay đổi cấu hình mặc định của nhà cung cấp.
 Bật các an ninh vận hành: SNMP, Network Time Protocol (NTP).
 Bảo vệ và giám sát các thư mục file cấu hình quan trọng.
 Bảo vệ tài khoản người dùng và nhóm tài khoản quản trị hệ thống máy chủ ảo
hóa.
 Giới hạn truy cập các truy cập nền tảng nhân ảo hóa. Bảo vệ toàn bộ kênh kết
nối
18
  quản trị sử dụng mạng quản trị riêng hoặc mạng quản trị có xác thực mạnh và
được mã hóa kênh truyền.
 Khóa các dịch vụ không sử dụng như sao chép clipboard hoặc chia sẻ file giữa
các
 máy ảo khách.
 Tháo/rút các thiết bị vật lý không còn sử dụng ra khỏi máy chủ ảo hóa. Ví dụ
tháo ổ đĩa cứng sử dụng cho mục đích sao lưu và dự phòng. Rút các card mạng
không sử dụng.
 Tắt các máy ảo khi không sử dụng đến nó.
 Bảo đảm rằng các driver điều khiển của máy chủ Ảo hóa host được nâng cấp và
cập nhật đầy đủ bản vá lỗi mới.

5. Cấu hình an toàn máy chủ Ảo hóa

 Sử dụng mật khẩu mạnh.

 Đóng các dịch vụ và các chương trình không cần thiết.
 Yêu cầu xác thực đầy đủ để kiểm soát truy cập.
 Thiết lập tường lửa cá nhân trên máy chủ giới hạn truy cập.
 Cập nhật kịp thời bản vá lỗi lỗ hổng bảo mật nghiêm trọng

6. Thiết kế mạng ảo đảm bảo an toàn thông tin

Thực hiện các biện pháp sau nhằm thiết kế mạng ảo đảm bảo an toàn thông tin:

 Thiết lập tường lửa ảo giữa các lớp mạng ảo và các máy ảo với nhau. Tường lửa
ảo có thể chặn được các gói tin trước khi chúng vào máy ảo.
 Triển khai hệ thống phát hiện và chống xâm nhập trên mạng giúp phát hiện và
ngăn chặn các tấn công mạng. Nếu có điều gì bất thường trong môi trường ảo,
hệ thống phát hiện và chống xâm nhập dựa trên chữ ký số sẽ ngay lập tức cảnh
báo về các hoạt động này và tìm cách giải quyết chúng.
 Tiến hành cô lập mạng quản trị.
 Phân lập mạng ảo đối với các mạng ảo và mạng vật lý khác.
 Cô lập Switch ảo sử dụng thiết lập chính sách tường lửa ở tầng 2 và tầng 3 và
thiết lập chính sách trên các cổng mạng ảo.
 Giám sát hiệu năng hoạt động của các thiết bị mạng ảo nhằm phát hiện và xử lý
kịp thời sự cố quá tải, do tấn công hoặc hỏng hóc.
 Thiết lập chính sách lọc địa chỉ MAC, kiểm soát cấp phát địa chỉ động DHCP,
thiết lập hệ thống kiểm soát truy cập NAC cho các tổ chức lớn.
 Kiểm soát quản trị và truy cập thiết bị mạng ảo.

7. Thiết lập các biện pháp sau nhằm giới hạn truy cập vật lý các máy chủ Ảo hóa

 Đặt mật khẩu cho BiOS.

19
  Cấu hình Port security và IP source guard cho các cổng mạng để đảm bảo không
bị người lạ cắm dây mạng lạ vào hệ thống.
 Giới hạn chỉ cho phép khởi động từ ổ cứng máy chủ không cho phép khởi động
từ đĩa CD, đĩa quang và đĩa mềm, USB.
 Đóng các cổng không cần thiết trên thiết bị.
 Sử dụng các phần mềm mã hóa ổ cứng đề phòng trường hợp bị đánh cắp ổ đĩa
cứng.

8. Mã hóa dữ liệu máy ảo

9. Tách biệt truy cập, cô lập dữ liệu giữa các máy ảo

Tất cả các máy ảo cần được cô lập và có biện kiểm soát cô lập giữa các máy ảo với
máy chủ Host và giữa các máy ảo với nhau. Biện pháp cô lập cho phép nhiều máy ảo
chạy một cách an toàn trong khi chia sẻ phần cứng và đảm khả năng truy cập vào
phần cứng với hiệu suất cao một cách liên tục. Ngay cả một người dùng với quyền
quản trị viên hệ thống trên hệ điều hành của máy ảo khách không thể chọc thủng lớp
cô lập để truy cập vào một máy ảo khác. Nếu hệ điều hành trên một máy ảo đang
chạy trong một máy ảo bị lỗi, các máy ảo khác trên cùng một máy chủ sẽ vẫn hoạt
động bình thường.

10. Duy trì sao lưu

 Thực hiện sao lưu định kì dữ liệu bao gồm các cấu hình của hệ thống.
 Sử dụng mã hóa bảo vệ luồng dữ liệu khi sao lưu ngăn chặn tin tặc chặn bắt gói tin.
 Đề xuất sử dụng công nghệ sao lưu an toàn của hãng Ảo hóa VMWare
Consolidated Backed của Vmware vStoreage giúp quản trị viên dễ dàng lập lịch
sao lưu, kiểm tra sao lưu.
 Thiết lập mật khẩu bảo vệ các file sao lưu.

20