Chương 6:

An toàn, bảo mật dữ liệu

Điện toán đám mây

GV: Nguyễn Mạnh Thắng

Cloud Security
CHƯƠNG 6: AN TOÀN, BẢO MẬT DỮ LIỆU ĐTĐM

6.1 Trạng thái dữ liệu

6.2 Mô hình an toàn, bảo mật dữ liệu

ĐTĐM

6.3 Một số kỹ thuật trong bảo mật dữ liệu trong ĐTĐM

6.1: TRẠNG THÁI DỮ LIỆU

CÁC GIAI ĐOẠN TRONG VÒNG ĐỜI DỮ LIỆU

THIẾT BỊ TRUY CẬP ĐIỆN TOÁN ĐÁM MÂY THÔNG QUA VÒNG ĐỜI DỮ LIỆU
6.1: TRẠNG THÁI DỮ LIỆU

a) Tạo ra dữ liệu
6.1: TRẠNG THÁI DỮ LIỆU

b) Truyền tải
6.1: TRẠNG THÁI DỮ LIỆU

c) Sử dụng
6.1: TRẠNG THÁI DỮ LIỆU

d) Chia sẻ
6.1: TRẠNG THÁI DỮ LIỆU

e) Lưu trữ
 Phân loại dữ liệu trong ĐTĐM
 Vấn đề an toàn cho dữ liệu(tam giác CIA)
6.1: TRẠNG THÁI DỮ LIỆU

f) Phá hủy dữ liệu

CHƯƠNG 6: AN TOÀN, BẢO MẬT DỮ LIỆU ĐTĐM

6.1 Trạng thái dữ liệu

6.2 Mô hình an toàn, bảo mật dữ liệu

ĐTĐM

6.3 Một số kỹ thuật trong bảo mật dữ liệu trong ĐTĐM

6.2: MÔ HÌNH AN TOÀN VÀ BẢO MÂT ĐTĐM

PHÂN MỨC AN NINH

DỮ LIỆU
6.2: MÔ HÌNH AN TOÀN VÀ BẢO MÂT ĐTĐM

BIỆN PHÁP ĐẢM BẢO

AN TOÀN CÁC GIAI ĐOẠN
TRONG VÒNG ĐỜI DỮ LIỆU
6.2: MÔ HÌNH AN TOÀN VÀ BẢO MÂT ĐTĐM

6.2.1. Bảo mật dữ liệu trong quá trình tạo dữ liệu.

6.2.2. Bảo mật dữ liệu lưu trữ
6.2.3. Bảo mật dữ liệu khi chia sẻ
6.2.4. Bảo mật dữ liệu khi sử dụng
6.2.5. Bảo mật dữ liệu trong giai đoạn bảo hành dữ liệu
6.2.6. bảo mật dữ liệu khi hủy bỏ dữ liệu
6.2.1: BẢO MẬT DỮ LIỆU TRONG QUÁ TRÌNH TẠO DỮ LIỆU

a) Phân loại dữ liệu

 Việc phân loại dữ liệu sẽ được dựa trên đánh giá r ủi ro và trên tác
động nguy hại, cũng như mất mát dữ liệu.
 Phân loại được thực hiện bởi người được uỷ quyền của tổ chức,
với một thông báo sơ bộ từ các giám đốc điều hành ph ối h ợp ho ạt
động.
6.2.1: BẢO MẬT DỮ LIỆU TRONG QUÁ TRÌNH TẠO DỮ LIỆU

 Phân loại diễn ra định kỳ, hoặc khi một điều kiện nhất định nào đó
đạt được. Phân loại lại có thể xảy ra nếu:
 Thời hạn phân loại hết hạn
 Cung cấp thông tin không còn có ích cho người / tổ chức nắm giữ
 Phân loại được phân cho một người không được phép.
6.2.1: BẢO MẬT DỮ LIỆU TRONG QUÁ TRÌNH TẠO DỮ LIỆU

b) Phân quyền
 Quy trình phân quyền cho các ứng dụng đối với dữ liệu theo phân
loại của dữ liệu.
 Các quyền có thể được gán cho cá nhân / nhóm và có th ể gi ới h ạn
truy cập đến các thiết bị khác nhau về nội dung hoặc vị trí.
 Các kỹ thuật kiểm soát có thể được áp dụng trong phân quy ền là
nhãn an ninh.
6.2.2: BẢO MẬT DỮ LIỆU LƯU TRỮ

 Lưu trữ dữ liệu diễn ra ngay lập tức sau khi dữ liệu được tạo
ra và được đưa vào các thiết bị lưu trữ.
 Dữ liệu có thể lưu trữ ở dạng ban đầu hoặc có thể được mã
hóa tùy theo mức độ bảo mật liên quan đến các quy định pháp
luật.
 Dữ liệu lưu trữ có thể ở trong nội bộ hoặc bên ngoài, trong
cùng hoặc khác địa lý khu vực hay trong các trung tâm dữ liệu
giống nhau hoặc khác nhau.
6.2.2: BẢO MẬT DỮ LIỆU LƯU TRỮ

a) Quản lý truy cập

 Truy cập tới dữ liệu chỉ được cho phép bởi những người có
thẩm quyền, tương ứng với chính sách truy cập được định
nghĩa tại từng mức của tổ chức.
 Xác thực người dùng có thể sử dụng mô hình dựa trên một hay
nhiều nhân tố.
 Việc kiểm soát các truy cập khác nhau tùy theo kiểu của chúng
(cấu trúc như hệ thống quản lý cơ sở dữ liệu truy cập và phi
cấu trúc.
6.2.2: BẢO MẬT DỮ LIỆU LƯU TRỮ

b) Mã hóa dữ liệu
 Mã hóa dữ liệu thông thường được sử dụng cho những dữ liệu
quan trọng. Dữ liệu mã hóa tại nơi lưu trữ có thể được tiến
hành bởi một hoặc nhiều mức như: đĩa cứng, tệp, ứng dụng và
cơ sở dữ liệu.
 Đối với truyền dữ liệu mạng nó có thể sử dụng các biện pháp
mã hóa hoặc sử dụng các giao thức an ninh (HTTPS, TLS
hoặc SSL).
6.2.3: BẢO MẬT DỮ LIỆU KHI CHIA SẺ

 Giai đoạn này tập trung vào dữ liệu chia sẻ giữa người dùng,
khác hàng, đối tác và hệ thống. Truyền được thực hiện thông
qua ủy quyền dựa trên quyền và sự cho phép được gán với nó.
 Tùy theo độ nhạy cảm của dữ liệu và quy định pháp lý hợp lệ,
dữ liệu có thể được mã hóa trong quá trình truyền.
6.2.4: BẢO MẬT DỮ LIỆU KHI SỬ DỤNG DỮ LIỆU

 Sử dụng dữ liệu yêu cầu đảm bảo tính sẵn sàng của dữ liệu
trong điện toán đám mây và việc sử dụng nó (ảo hóa, xử lý và
truy cập) bởi người được cấp quyền.
 Việc sử dụng và truyền dữ liệu mạng an toàn có thể được lưu
trữ cô lập, sử dụng các phương pháp khác nhau như MPLS,
mạng riêng ảo (VPNs), mạng cục bộ ảo (VLAN).
6.2.5: BẢO MẬT DỮ LIỆU TRONG GIAI ĐOẠN BẢO HÀNH DỮ LIỆU

 Bảo trì dữ liệu bao gồm việc phục hồi dữ liệu và hoạt động lưu
trữ dữ liệu cho giai đoạn thiết lập.
 Tiến trình lưu trữ này sẽ xem xét các kiểu thiết bị nơi dữ liệu
được lưu trữ, các yêu cầu vật lý liên quan đến quá trình lưu
trữ, dữ liệu phải được mã hóa, cơ chế mã hóa được sử dụng
cũng như quản lý khóa.
6.2.6: BẢO MẬT DỮ LIỆU KHI HỦY BỎ DỮ LIỆU

 Giai đoạn này phải đảm bảo việc xóa bỏ hoàn toàn dữ liệu và
đảm bảo cho dữ liệu được an toàn sau khi xóa (bao gồm việc
xóa bảo các khóa mật mã).
 Nhà cung cấp dịch vụ điện toán đám mây cũng nên đưa ra sự
khẳng định đã phá hủy dữ liệu (bao gồm cả các bản sao lưu) và
chứng minh khả năng không thể phục hồi những dữ liệu đó.
6.2.6: BẢO MẬT DỮ LIỆU KHI HỦY BỎ DỮ LIỆU
6.2.6: BẢO MẬT DỮ LIỆU KHI HỦY BỎ DỮ LIỆU

Trình bày các nguy cơ gây mất an toàn

dữ liệu trên đám mây?
CHƯƠNG 6: AN TOÀN, BẢO MẬT DỮ LIỆU ĐTĐM

6.1 Trạng thái dữ liệu

6.2 Mô hình an toàn, bảo mật dữ liệu

ĐTĐM

6.3 Một số kỹ thuật trong bảo mật dữ liệu trong ĐTĐM

6.3: MỘT SỐ KỸ THUẬT BẢO MẬT DỮ LIỆU TRONG ĐTĐM

6.3.1 Xác thực

6.3.2 Mã hóa, toàn vẹn và riêng tư

6.3.3 Phục hồi

6.3.1: XÁC THỰC

Duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng cho bảo mật dữ liệu
là một chức năng của các ứng dụng chính xác và c ấu hình c ủa m ạng,
hệ thống, và các cơ chế bảo mật ứng dụng ở các cấp độ khác nhau
trong cơ sở hạ tầng điện toán đám mây.
6.3.1: XÁC THỰC

Các yếu tố xác thực dựa trên:

 Yếu tố người dùng biết, điều này có thể là một mật kh ẩu, một mã PIN
hoặc một khóa mã riêng…
 Yếu tố thường dựa trên việc sở hữu vật chất của một sản phẩm hay
thiết bị mà là duy nhất với người sử dụng.
 Các thuộc tính vật lý tương đối riêng của một các nhân, th ường đ ược
gọi là sinh trắc học.
 Những hành động hay hành vi của một cá nhân.
 Vị trí địa lý.
6.3.1: XÁC THỰC

Một số phương pháp xác thực bao gồm:

 Dùng mật khẩu
 Dùng thẻ bài
 Dùng các đặc điểm sinh trắc học của con người
 Dùng hệ thống định vị
6.3.1: XÁC THỰC

Có 2 cơ chế cấp quyền thường được áp dụng:

Cơ chế cấp quyền DAC
Cơ chế cấp quyền MAC
6.3.2: MÃ HÓA, TOÀN VẸN VÀ RIÊNG TƯ

 Mã hóa toàn bộ ổ cứng chứa dữ liệu (Full Disk

Encryption)
 Mã hóa mức thư mục hoặc tệp hệ thống (Directory
Level or File System).
 Mã hóa mức tệp (File level).
 Mã hóa mức ứng dụng (Application Level).
6.3.2: MÃ HÓA, TOÀN VẸN VÀ RIÊNG TƯ
6.3.2: MÃ HÓA, TOÀN VẸN VÀ RIÊNG TƯ

 Mã hóa dữ liệu khi lưu trữ

 Mã hóa dữ liệu khi di chuyển
6.3.3: PHỤC HỒI

MÔ HÌNH BẢO VỆ DỮ LIỆU ĐIỆN TOÁN ĐÁM MÂY BA LỚP