Tóm tắt Luận văn Thạc sĩ Hệ thống thông tin: Bảo vệ thông tin trong môi trường ảo hóa.pdf (luận văn thạc sĩ)

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA Chuyên ngành: Hệ thống thông tin Mã số: 60480104 TÓM TẮT LUẬN VĂN THẠC SĨ Hà Nội – 2016 2 MỤC LỤC MỤC LỤC……………………………………………………………………………………...2 BẢNG CHỮ VIẾT TẮT, TỪ CHUYÊN MÔN BẰNG TIẾNG ANH .................................... 4 LỜI MỞ ĐẦU ....................................................................................................................... 5 Chương 1 - TỔNG QUAN VỀ MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY ... 7 1.1. KHÁI NIỆM VÀ ĐẶC TRƯNG ẢO HÓA .............................................................. 7 1.1.1. Định nghĩa Ảo hóa ...........................................................................................................7 1.1.2. Phân loại nền tảng Ảo hóa................................................................................................7 1.1.3. Ảo hóa kiến trúc vi xử lý x86 ...........................................................................................8 1.2. 1.3. 1.4. KHÁI NIỆM ĐIỆN TOÁN ĐÁM MÂY .................................................................. 8 ĐẶC TRƯNG ĐIỆN TOÁN ĐÁM MÂY ................................................................ 9 MÔ HÌNH LỚP DỊCH VỤ CỦA ĐIỆN TOÁN ĐÁM MÂY ................................... 9 1.4.1. Hạ tầng hướng dịch vụ .....................................................................................................9 1.4.2. Dịch vụ nền tảng ..............................................................................................................9 1.4.3. Dịch vụ Phần mềm ...........................................................................................................9 1.5. MÔ HÌNH TRIỂN KHAI ĐIỆN TOÁN ĐÁM MÂY ............................................... 9 1.5.1. Đám mây “công cộng” .....................................................................................................9 1.5.2. Đám mây “riêng” ...........................................................................................................10 1.5.3. Đám mây “cộng đồng” ...................................................................................................10 1.5.4. Đám mây “lai” ................................................................................................................10 Chương 2 - CÁC NGUY CƠ, THÁCH THỨC AN NINH THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY ............................................................ 11 2.1. MỐI ĐE DỌA, RỦI RO AN NINH THÔNG TIN MÔI TRƯỜNG ẢO HÓA ........ 11 2.1.1. Tồn tại lỗ hổng bảo mật trong phần mềm lõi của nền tảng Ảo hóa (hypervisor) ...........11 2.1.1. Tấn công chéo giữa các máy ảo .....................................................................................11 2.1.2. Hệ điều hành máy ảo cô lập. ..........................................................................................11 2.1.3. Thất thoát dữ liệu giữa các thành phần Ảo hóa ..............................................................11 2.1.4. Sự phức tạp trong công tác quản lý kiểm soát truy cập..................................................11 2.1.5. Lây nhiễm mã độc hại. ...................................................................................................12 2.1.6. Tranh chấp tài nguyên. ...................................................................................................12 2.1.7. Thiếu tính tuân thủ-thiếu công cụ kiểm soát, đánh giá...................................................12 2.2. MỐI ĐE DỌA AN NINH THÔNG TIN TRONG MÔI TRƯỜNG ĐIỆN TOÁN ĐÁM MÂY ...................................................................................................................... 12 2.2.1. Các mối đe dọa An ninh thông tin đối với Điện toán đám mây .....................................12 2.2.2. Các rủi ro An ninh thông tin đối với điện toán đám mây ...............................................14 Chương 3 - GIẢI PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY.................................................................................................... 15 3.1. GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG MÔI TRƯỜNG ẢO HÓA .................... 15 3 3.1.1. Xây dựng kiến trúc ảo hóa an toàn .................................................................................15 3.1.2. Công nghệ phòng chống mã độc chuyên biệt cho môi trường ảo hóa ...........................15 3.1.3. Thực hiện cấu hình an toàn lớp phần mềm lõi Hypervisor ............................................16 3.1.4. Cấu hình an toàn máy chủ Ảo hóa .................................................................................16 3.1.5. Thiết kế mạng ảo đảm bảo An toàn thông tin ................................................................16 3.1.6. Giới hạn truy cập vật lý các máy chủ Ảo hóa (Host) .....................................................17 3.1.7. Mã hóa dữ liệu máy ảo ...................................................................................................17 3.1.8. Tách biệt truy cập, cô lập dữ liệu giữa các máy ảo ........................................................17 3.1.9. Duy trì sao lưu ................................................................................................................17 3.1.10. Tăng cường tính tuân thủ ...............................................................................................17 3.2. GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG ĐIỆN TOÁN ĐÁM MÂY .................... 18 4.1.1. Lớp phòng thủ thứ nhất “Kiểm soát truy cập” ...............................................................18 4.1.2. Lớp phòng thủ thứ hai “mã hóa” ....................................................................................18 4.1.3. Lớp phòng thủ thức ba “khôi phục nhanh chóng”..........................................................21 4.1.4. Một số biện pháp phòng thủ bổ sung nhằm bảo vệ dữ liệu trong môi trường điện toán đám mây 21 Chương 4 - TƯ VẤN, TRIỂN KHAI GIẢI PHÁP BẢO VỆ NỀN TẢNG ẢO HÓA CHO TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM ................................................................. 22 4.1. TƯ VẤN, THIẾT KẾ GIẢI PHÁP......................................................................... 22 4.2. TRIỂN KHAI GIẢI PHÁP .................................................................................... 23 4.2.1. Mô hình triển khai ..........................................................................................................23 4.2.2. Thành phần giải pháp .....................................................................................................23 4.2.3. Các tính năng chính triển khai........................................................................................23 4 BẢNG CHỮ VIẾT TẮT, TỪ CHUYÊN MÔN BẰNG TIẾNG ANH Viết tắt Diễn giải API Giao diện lập trình AMS Amazon Web Services CIA Confidentiality-Tính bí mật Integrity-tính toàn vẹn Availability- tính sẵn sàng ĐTĐM Điện toán đám mây DOS Denial-of-service attack FHE Fully Homomorphic Encryption EC2 Elastic Compute Cloud HSM Hardware Security Modules MAC Media access control address IaaS Infrastructure as a Service I/O Input/output NIST The national institute of technology PaaS Platform as a service SaaS Software as a service TLS Transport Layer Security PKI Public Key Infrastructure VM Virtual Machine VPNs Virtual Private Network Security 5 LỜI MỞ ĐẦU Tính cấp thiết của đề tài Trong những năm gần đây nền tảng Ảo hóa và Điện toán đám mây đã có sự phát triển một cách nhanh chóng. Ảo hóa và Điện toán đám mây giúp cho tổ chức, doanh nghiệp đạt được sự tiết kiệm đáng kể về chi phí phần cứng, chi phí hoạt động, đạt được sự cải thiện về sức mạnh tính toán, chất lượng dịch vụ, và sự thuận lợi trong kinh doanh. Ảo hóa và Điện toán đám mây có quan hệ mật thiết với nhau. Ảo hóa là một công nghệ quan trọng cho sự phát triển của Điện toán đám mây đặc biệt Ảo hóa phần cứng cho phép các nhà cung cấp dịch vụ hạ tầng Điện toán đám mây sử dụng hiệu quả các nguồn tài nguyên phần cứng có sẵn để cung cấp dịch vụ điện toán cho các khách hàng của họ. Cùng với sự tăng trưởng ngày càng nhanh của Ảo hóa và Điện toán đám mây thì vấn đề đặt ra là đảm bảo an toàn dữ liệu trước nguy cơ tính bí mật, toàn vẹn và tính sẵn sàng bị vi phạm càng trở nên cấp thiết hơn. Nền tảng Ảo hóa và Điện toán đám mây có những đặc trưng riêng của chúng vì vậy khi áp dụng các biện pháp an ninh thông tin vật lý truyền thống như tường lửa, phòng chống xâm nhập cho môi trường Ảo hóa và Điện toán đám mây sẽ làm hạn chế khả năng sức mạnh tính toán của nền tảng Ảo hóa và Điện toán đám mây. Thậm chí tệ hơn nó còn tạo ra các lỗ hổng bảo mật nghiêm trọng có thể bị khai thác, mất quyền kiểm soát hệ thống. Với mong muốn tìm ra và hiểu rõ những nguy cơ, mối đe dọa, vấn đề thách thức, rủi ro an ninh thông tin đối với dữ liệu trong môi trường Ảo hóa và Điện toán đám mây, từ đó đề xuất một số giải pháp phù hợp để bảo vệ thông tin trong môi trường Ảo hóa và Điện toán đám mây. Vì thế tôi chọn đề tài nghiên cứu: Bảo vệ thông tin trong môi trường Ảo hóa. Các mục tiêu nghiên cứu của đề tài: Hiểu rõ các nguy cơ, thách thức và mối đe dọa an ninh thông tin trong môi trường Ảo hóa và Điện toán đám mây hiện tại và tương lai. Trên cơ sở đó đề xuất một số giải pháp bảo vệ dữ liệu, thông tin trong môi trường Ảo hóa và điện toán đám mây. Triển khai giải pháp bảo vệ dữ liệu trong môi trường Ảo hóa cho một tổ chức, doanh nghiệp dựa trên giải pháp đề xuất. Nội dung nghiên cứu Nghiên cứu tổng quan về môi trường Ảo hóa và Điện toán đám mây: khái niệm, đặc trưng, kiến trúc, mô hình triển khai Ảo hóa và Điện toán đám mây Tìm hiểu các nguy cơ, mối đe dọa và rủi ro an ninh thông tin trong môi trường Ảo hóa và Điện toán đám mây Các giải pháp bảo vệ dữ liệu thông tin trong môi trường Ảo hóa và Điện toán đám mây Ứng dụng, triển khai giải pháp đề xuất cho một tổ chức, doanh nghiệp tại Việt Nam để đảm bảo an ninh an toàn môi trường Ảo hóa. Commented [t1]: Phần note vàng theo em nên Remove đi Commented [t2]: Gồm 3 Mục tiêu chính -Hiểu rõ các nguy cơ, mối đe dọa an ninh thông tin trong môi trường áo hóa và điện toán đám mây -Tăng cường an ninh cho môi trường ảo hóa và điện toàn đám mây - ứng dụng giải pháp an ninh ảo hóa cho doanh nghiệp thực tế Commented [t3]: -Nghiên cứu tổng quan về môi trường Ảo hóa và Điện toán đám mây: khái niệm, đặc trưng, kiến trúc, mô hình triển khai Ảo hóa và Điện toán đám mây -Làm rõ các mối đe dọa an ninh đối với môi trường ảo hóa - Đi sâu cơ chế, giải pháp kỹ thuật để bảo vệ thông tin trong môi trường ảo hóa và điện toán đám mây - Thực hiện triển khai giải pháp an ninh đề xuất cho một tổ chức, doanh nghiệp tại việt nam để bảo vệ môi trường ảo hóa và điện toán đám mây 6 Đối tượng và phạm vi nghiên cứu Đặc trưng và kiến trúc của Môi trường Ảo hóa và Điện toán đám mây là đối tượng nghiên cứu của đề tài nhằm tìm hiểu các nguy cơ và rủi ro an toàn thông tin và đề xuất các giải pháp bảo vệ thông tin trong môi trường Ảo hóa và Điện toán đám mây Phạm vi nghiên cứu: Luận văn nghiên cứu giải pháp bảo vệ thông tin trong môi trường Ảo hóa và Điện toán đám mây đang sử dụng tại một số tổ chức và doanh nghiệp Phương pháp nghiên cứu Tổng hợp và phân tích các tài liệu về ảo hóa, an ninh thông tin để từ đó đưa ra được cái nhìn tổng quan nhất cũng như phương pháp hỗ trợ bảo vệ thông tin cho môi trường ảo hóa và điện toán đám mây được an toàn hơn. Tìm hiều thuật toán mã hóa đồng cấu. Từ đó đưa ra giải pháp xây dựng ứng dụng đảm bảo tính bí mật dữ liệu. Tìm hiểu các sản phẩm ứng dụng thuật toán mã hóa đồng cấu hiện đang được sử dụng. Tham khảo, vận dụng và kế thừa các thuật toán, mã nguồn mở, v.v…. Bố cục luận văn bao gồm 4 chương: Chương 1- TỔNG QUAN VỀ MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY Tìm hiểu, làm rõ các khái niệm, đặc trưng, mô hình triển khai, kiến trúc của môi trường Ảo hóa và Điện toán đám mây Chương 2- CÁC NGUY CƠ, THÁCH THỨC AN NINH THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY Tìm hiểu phân tích các nguy cơ và thách thức anh ninh thông tin trong môi trường Ảo hóa và Điện toán đám mây Chương 3- GIẢI PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY Đề xuất các giải pháp bảo vệ thông tin trong môi trường Ảo hóa và Điện toán đám mây Chương 4 - TƯ VẤN, TRIỂN KHAI GIẢI PHÁP BẢO VỆ NỀN TẢNG ẢO HÓA CHO TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM 7 Chương 1 - TỔNG QUAN VỀ MÔI TRƯỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 1.1. KHÁI NIỆM VÀ ĐẶC TRƯNG ẢO HÓA 1.1.1. Định nghĩa Ảo hóa Định nghĩa Ảo hóa: Ảo hóa là công nghệ được thiết kế tạo ra tầng trung gian giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó. Từ một máy vật lý có thể tạo ra nhiều máy ảo độc lập. Mỗi máy ảo đều được thiết lập một hệ thống riêng rẽ với hệ điều hành, ảo hóa mạng, ảo hóa hóa lưu trữ và các ứng dụng riêng. Ảo hóa có liên quan tới việc tạo ra các máy ảo (Virtual Machine) độc lập về hệ điều hành và các ứng dụng. Hơn nữa, Ảo hóa cho phép nhiều hệ điều hành và các ứng dụng khác nhau chia sẻ cùng một phần cứng. Hình 01: Hệ điều hành và ứng dụng một máy ảo 1.1.2. Phân loại nền tảng Ảo hóa 1.1.2.1. Kiểu 1: “Bare Metal Hypervisor” Hình 02: hypervisor kiểu 1-Hệ thống Xen Kiểu 1: Lớp phần mềm lõi Hypervisor tương tác trực tiếp với phần cứng của máy chủ để quản lý, phân phối và cấp phát tài nguyên. Mục đích chính của nó là cung cấp các môi trường thực thi tách biệt được gọi là các partition (phân vùng) trong đó các máy ảo chứa các hệ điều hành (OS guest) có thể chạy. Mỗi phân vùng được cung cấp tập hợp các tài nguyên phần cứng riêng của nó chẳng hạn như bộ nhớ, các bộ vi xử lý CPU và thiết bị mạng. Hypervisor có trách nhiệm điều khiển và phân kênh truy cập 8 đến các nền tảng phần cứng. Những hypervisor thuộc kiểu 1 là: VMware vSphere, Microsoft Hyper-V, Citrix Xen Server v.v. 1.1.2.2. Kiểu 2: “Hosted Hypervisor” Hình 03: hypervisor kiểu 2-Hệ thống KVM Loại nền tảng Ảo hóa số hai này chạy trên hệ điều hành như 1 ứng dụng được cài đặt trên máy chủ. Trên môi trường hypervisor kiểu 2, các máy ảo khách (những máy ảo được cài đặt trên máy thật thì gọi là máy ảo khách-guest virtual machine) chạy trên lớp Hypervisor. Điển hình của Hypervisor loại 2 là: Microsoft Virtual PC, Vmware Workstation, VMware Server. 1.1.3. Ảo hóa kiến trúc vi xử lý x86 Hình 04: mức đặc quyền vi xử lý x86 1.2. KHÁI NIỆM ĐIỆN TOÁN ĐÁM MÂY Điện toán đám mây là mô hình điện toán sử dụng tài nguyên tính toán có khả năng thay đổi theo nhu cầu để lựa chọn và chia sẻ các tài nguyên tính toán (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) cung cấp dịch vụ một cách nhanh 9 chóng, thuận tiện. Có thể truy cập đến bất kỳ tài nguyên nào tồn tại trong "điện toán đám mây” tại bất kỳ thời điểm nào và từ bất kỳ đâu thông qua hệ thống Internet. Đồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, quản trị đơn giản, giảm thiểu các giao tiếp với nhà cung cấp”. 1.3. ĐẶC TRƯNG ĐIỆN TOÁN ĐÁM MÂY Điện toán đám mây có các đặc trưng chính như sau: đặc trưng thứ nhất là cho phép sử dụng dịch vụ theo yêu cầu. Đặc trưng thứ hai là cung cấp khả năng truy cập dịch vụ qua mạng rộng rãi từ máy tính để bàn, máy tính xách tay tới thiết bị di động. Đặc trưng thứ ba là tài nguyên tính toán động, phục vụ nhiều người cùng lúc. Đặc trưng tiếp theo là năng lực tính toán mềm dẻo, đáp ứng nhanh với mọi nhu cầu từ thấp tới cao. Đặc trưng thứ năm là đảm bảo việc sử dụng các tài nguyên luôn được “cân đo” để nhà cung cấp dịch vụ quản trị và tối ưu hóa được tài nguyên, đồng thời người dùng chỉ phải trả chi phí cho phần tài nguyên sử dụng thực sự. 1.4. MÔ HÌNH LỚP DỊCH VỤ CỦA ĐIỆN TOÁN ĐÁM MÂY Mô hình dịch vụ điện toán đám mây được chia thành ba dịch vụ chính: Dịch vụ Phần mềm Dịch vụ Nền tảng Dịch vụ Hạ Tầng Hình 05: Mô hình ba dịch vụ điện toán đám mây 1.4.1. Hạ tầng hướng dịch vụ 1.4.2. Dịch vụ nền tảng 1.4.3. Dịch vụ Phần mềm 1.5. MÔ HÌNH TRIỂN KHAI ĐIỆN TOÁN ĐÁM MÂY 1.5.1. Đám mây “công cộng” Mô hình đám mây công cộng là mô hình Điện toán đám mây (dịch vụ hạ tầng, dịch vụ nền tảng, phần mềm hoặc hạ tầng ứng dụng) được một tổ chức cung cấp dưới dạng dịch vụ rộng rãi cho tất cả các khách hàng thông qua hạ tầng mạng Internet. Nhà cung cấp điện toán đám mây công cộng có trách nhiệm cài đặt, quản lý, cung cấp và bảo trì. Khách hàng chỉ phải trả chi phí cho các tài nguyên mà họ sử dụng. Các ứng 10 dụng khác nhau chia sẻ chung tài nguyên tính toán, mạng và lưu trữ. Do vậy, hạ tầng Điện toán đám mây công cộng được thiết kế để đảm bảo cô lập về dữ liệu giữa các khách hàng và tách biệt về truy cập. Các dịch vụ đám mây công cộng hướng tới số lượng khách hàng lớn nên có năng lực về hạ tầng cao, đáp ứng nhu cầu tính toán linh hoạt, chi phí thấp. 1.5.2. Đám mây “riêng” Đám mây riêng là mô hình trong đó hạ tầng đám mây được sở hữu bởi một tổ chức, doanh nghiệp và chỉ phục vụ cho người dùng của tổ chức, doanh nghiệp đó. Tổ chức, doanh nghiệp có trách nhiệm tự thiết lập và bảo trì đám mây riêng của mình hoặc có thể thuê vận hành bởi một bên thứ ba. Hạ tầng đám mây có thể được đặt bên trong hoặc bên ngoài tổ chức ví dụ có thể đặt tại một bên thứ ba như các trung tâm dữ liệu. Đám mây riêng được các tổ chức, doanh nghiệp lớn xây dựng cho mình nhằm khai thác ưu điểm về công nghệ và khả năng quản trị của điện toán đám mây mà vẫn giữ được sự an tâm về vấn đề an ninh dữ liệu và chủ động trong công tác quản lý. 1.5.3. Đám mây “cộng đồng” Đám mây cộng đồng là mô hình trong đó hạ tầng đám mây được chia sẻ bởi một số tổ chức cho cộng đồng người dùng trong các tổ chức đó. Các tổ chức này do đặc thù không tiếp cận tới các dịch vụ đám mây công cộng và chia sẻ chung một hạ tầng công cộng để nâng cao hiệu quả đầu tư và sử dụng. 1.5.4. Đám mây “lai” Mô hình đám mây lai là mô hình kết hợp của các đám mây công cộng và đám mây riêng. Đám mây này thường do các doanh nghiệp tạo ra và trách nhiệm quản lý bảo trì sẽ được phân chia rõ giữa doanh nghiệp và nhà cung cấp đám mây công cộng.