LỜI MỞ ĐẦU Tính cấp thiết của đề tài Trong những năm gần đây nền tảng Ảo hóa và Điện toán đám mây đã có sự phát triển một cách nhanh chóng. Ảo hóa và Điện toán đám mây giúp cho tổ chức, doanh nghiệp đạt đƣợc sự tiết kiệm đáng kể về chi phí phần cứng, chi phí hoạt động, đạt đƣợc sự cải thiện về sức mạnh tính toán, chất lƣợng dịch vụ, và sự thuận lợi trong kinh doanh. Ảo hóa và Điện toán đám mây có quan hệ mật thiết với nhau. Ảo hóa là một công nghệ quan trọng cho sự phát triển của Điện toán đám mây đặc biệt Ảo hóa phần cứng cho phép các nhà cung cấp dịch vụ hạ tầng Điện toán đám mây sử dụng hiệu quả các nguồn tài nguyên phần cứng có sẵn để cung cấp dịch vụ điện toán cho các khách hàng của họ.
Cùng với sự tăng trƣởng ngày càng nhanh của Ảo hóa và Điện toán đám mây thì vấn đề đặt ra là đảm bảo an toàn dữ liệu trƣớc nguy cơ tính bí mật, toàn vẹn và tính sẵn sàng bị vi phạm càng trở nên cấp thiết hơn. Nền tảng Ảo hóa và Điện toán đám mây có những đặc trƣng riêng của chúng vì vậy khi áp dụng các biện pháp an ninh thông tin vật lý truyền thống nhƣ tƣờng lửa, phòng chống xâm nhập cho môi trƣờng Ảo hóa và Điện toán đám mây sẽ làm hạn chế khả năng sức mạnh tính toán của nền tảng Ảo hóa và Điện toán đám mây. Thậm chí tệ hơn nó còn tạo ra các lỗ hổng bảo mật nghiêm trọng có thể bị khai thác, mất quyền kiểm soát hệ thống. Với mong muốn tìm ra và hiểu rõ những nguy cơ, mối đe dọa, vấn đề thách thức, rủi ro an ninh thông tin đối với dữ liệu trong môi trƣờng Ảo hóa và Điện toán đám mây, từ đó đề xuất một số giải pháp phù hợp để bảo vệ thông tin trong môi trƣờng Ảo hóa và Điện toán đám mây.
Vì thế tôi chọn đề tài nghiên cứu: Bảo vệ thông tin trong môi trƣờng Ảo hóa. Các mục tiêu nghiên cứu của đề tài: Hiểu rõ các nguy cơ, thách thức và mối đe dọa an ninh thông tin trong môi trƣờng Ảo hóa và Điện toán đám mây hiện tại và tƣơng lai. Trên cơ sở đó đề xuất một số giải pháp bảo vệ dữ liệu, thông tin trong môi trƣờng Ảo hóa và điện toán đám mây. Triển khai giải pháp bảo vệ dữ liệu trong môi trƣờng Ảo hóa cho một tổ chức, doanh nghiệp dựa trên giải pháp đề xuất.
Nội dung nghiên cứu Nghiên cứu tổng quan về môi trƣờng Ảo hóa và Điện toán đám mây: khái niệm, đặc trƣng, kiến trúc, mô hình triển khai Ảo hóa và Điện toán đám mây Tìm hiểu các nguy cơ, mối đe dọa và rủi ro an ninh thông tin trong môi trƣờng Ảo hóa và Điện toán đám mây Các giải pháp bảo vệ dữ liệu thông tin trong môi trƣờng Ảo hóa và Điện toán đám mây Ứng dụng, triển khai giải pháp đề xuất cho một tổ chức, doanh nghiệp tại Việt Nam để đảm bảo an ninh an toàn môi trƣờng Ảo hóa. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 9 Đối tượng và phạm vi nghiên cứu Đặc trƣng và kiến trúc của Môi trƣờng Ảo hóa và Điện toán đám mây là đối tƣợng nghiên cứu của đề tài nhằm tìm hiểu các nguy cơ và rủi ro an toàn thông tin và đề xuất các giải pháp bảo vệ thông tin trong môi trƣờng Ảo hóa và Điện toán đám mây Phạm vi nghiên cứu: Luận văn nghiên cứu giải pháp bảo vệ thông tin trong môi trƣờng Ảo hóa và Điện toán đám mây đang sử dụng tại một số tổ chức và doanh nghiệp Phương pháp nghiên cứu Tổng hợp và phân tích các tài liệu về ảo hóa, an ninh thông tin để từ đó đƣa ra đƣợc cái nhìn tổng quan nhất cũng nhƣ phƣơng pháp hỗ trợ bảo vệ thông tin cho môi trƣờng ảo hóa và điện toán đám mây đƣợc an toàn hơn. Tìm hiều thuật toán mã hóa đồng cấu. Từ đó đƣa ra giải pháp xây dựng ứng dụng đảm bảo tính bí mật dữ liệu.
Tìm hiểu các sản phẩm ứng dụng thuật toán mã hóa đồng cấu hiện đang đƣợc sử dụng. Tham khảo, vận dụng và kế thừa các thuật toán, mã nguồn mở, v.v… Cơ sở lý thuyết của đề tài dựa trên ba thành phần cơ bản, cốt lỗi của an toàn thông tin là: tính bí mật, tính toàn vẹn, tính sẵn sàng [1]. Đây là cơ sở lý thuyết xuyên suốt đề tài nhằm đánh giá và giải quyết các nguy cơ và thách thức an toàn thông tin môi trƣờng ảo hóa và điện toán đám mây. Đảm bảo tính bí mật là đảm bảo thông tin, dữ liệu chỉ đƣợc phép truy cập bởi những cá nhân, tổ chức và các bên liên quan đƣợc cấp phép.
Nhiều cuộc tấn công tập trung vào vi phạm tính bí mật: nghe lén dữ liệu trên đƣờng truyền, lừa đảo đánh cắp tài khoản, mật khẩu hoặc lây nhiễm virus, mã độc hại. Tính toàn vẹn dữ liệu là đảm bảo tính toàn vẹn dữ liệu là đảm bảo chắc chắn dữ liệu không bị sửa đổi hoặc phá hủy bởi những cá nhân, đối tƣợng không đƣợc phép trong quá trình dữ liệu truyền trên mạng, lƣu trữ trong các tài liệu hoặc trong cơ sở dữ liệu hoặc trong các thiết bị lƣu trữ. Bảo vệ tính toàn vẹn dữ liệu xem xét ba khía cạnh sau: ngăn chặn các cá nhân, đối tƣợng không đƣợc cấp phép sửa đổi dữ liệu trái phép. Ngăn chặn các đối tƣợng đƣợc cấp quyền sửa đổi dữ liệu, ví dụ nhƣ dữ liệu bị sửa đổi do thao tác sai.
Duy trì tính nhất quán giữa nội bộ và bên ngoài để các dữ liệu chính xác và phản ánh đúng thế giới thực và có thể kiểm chứng. Tính sẵn sàng là đảm bảo sự kịp thời, không bị gián đoạn khi cần truy cập dữ liệu, hệ thống thông tin. Các hệ thống có tính sẵn sàng cao là các hệ thống có đầy đủ các biện pháp dự phòng, duy trì các bản sao lƣu đáng tin cậy, có đầy đủ quy trình và thƣờng xuyên diễn tập phản ứng sự cố. Một số nguy cơ đối với tính sẵn sàng dữ liệu nhƣ lỗi phần cứng, lỗi phần mềm, môi trƣờng gặp vấn đề (lũ lụt, mất điện, cháy nổ và vv), nó bao gồm một số loại tấn công tập trung vào tính sẵn sàng của hệ thống nhƣtấn công từ chối dịch vụ, đối tƣợng phá hoại và gián đoạn kết nối mạng.
LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 10 Chƣơng 1 - TỔNG QUAN VỀ MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 1. KHÁI NIỆM VÀ ĐẶC TRƢNG ẢO HÓA 1. Định nghĩa Ảo hóa Định nghĩa Ảo hóa: Ảo hóa là công nghệ đƣợc thiết kế tạo ra tầng trung gian giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó. Từ một máy vật lý có thể tạo ra nhiều máy ảo độc lập.
Mỗi máy ảo đều đƣợc thiết lập một hệ thống riêng rẽ với hệ điều hành, ảo hóa mạng, ảo hóa hóa lƣu trữ và các ứng dụng riêng. Ảo hóa có liên quan tới việc tạo ra các máy ảo (Virtual Machine) độc lập về hệ điều hành và các ứng dụng. Hơn nữa, Ảo hóa cho phép nhiều hệ điều hành và các ứng dụng khác nhau chia sẻ cùng một phần cứng. Hình 01 cho thấy ban đầu hệ điều hành và các ứng dụng đƣợc chạy trên phần cứng chuyên dụng, có thể đƣợc đặt trong một máy ảo và chia sẻ cùng một tài nguyên vật lý với các máy ảo khác.
Hình 01: Mô hình Ảo hóa Điểm khác biệt cốt lõi giữa bên trái và bên phải trong hình 4 chính là tầng Hypervisor. Hypervisor là phần mềm lõi của nền tảng ảo hóa, là tầng phần mềm thấp nhất có trách nhiệm tạo mới và duy trì các máy ảo. Hypervisor là một phần mềm nằm ngay trên phần cứng và bên dƣới một hoặc nhiều hệ điều hành nó có nhiệm vụ quản lý các tiến trình, bộ nhớ, thiết bị vào ra (I/O), mạng và vv. Phân loại nền tảng Ảo hóa 1.
Kiểu 1: Bare Metal Hypervisor Hình 02: hypervisor kiểu 1-Hệ thống Xen LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 11 Kiểu 1: Lớp phần mềm lõi Hypervisor tƣơng tác trực tiếp với phần cứng của máy chủ để quản lý, phân phối và cấp phát tài nguyên. Mục đích chính của nó là cung cấp các môi trƣờng thực thi tách biệt đƣợc gọi là các partition (phân vùng) trong đó các máy ảo chứa các hệ điều hành (OS guest) có thể chạy. Mỗi phân vùng đƣợc cung cấp tập hợp các tài nguyên phần cứng riêng của nó chẳng hạn nhƣ bộ nhớ, các bộ vi xử lý CPU và thiết bị mạng. Hypervisor có trách nhiệm điều khiển và phân kênh truy cập đến các nền tảng phần cứng.
Những hypervisor thuộc kiểu 1 là: VMware vSphere, Microsoft Hyper-V, Citrix Xen Server…v. Quá trình máy ảo thuộc kiểu 1 liên lạc với tài nguyên phần cứng: Hypervisor mô phỏng phần cứng, điều này làm cho máy ảo tƣởng rằng nó đang truy cập vào phần cứng thật. Hypervisor liên lạc với trình điều khiển thiết bị phần cứng (hay còn gọi là Drivers). Trình điều khiển thiết bị phần cứng liên lạc trực tiếp đến phần cứng vật lý.
Kiểu 2: Hosted Hypervisor Hình 03: hypervisor kiểu 2-Hệ thống KVM Loại nền tảng Ảo hóa số hai này chạy trên hệ điều hành nhƣ một ứng dụng đƣợc cài đặt trên máy chủ. Trên môi trƣờng hypervisor kiểu 2, các máy ảo khách (những máy ảo đƣợc cài đặt trên máy thật thì gọi là máy ảo khách-guest virtual machine) chạy trên lớp Hypervisor. Điển hình của Hypervisor loại 2 là: Microsoft Virtual PC, Vmware Workstation, VMware Server. Quá trình máy ảo liên lạc với tài nguyên phần cứng nhƣ sau: mô phỏng phần cứng Hypervisor sẽ tạo ra một phân vùng trên ổ đĩa cho các máy ảo.
Hypervisor xây dựng mối liên lạc giữa hệ điều hành máy chủ Host và lớp ảo hóa bên trên. Khi một máy ảo truy xuất tài nguyên thì Hypervisor sẽ thay thế máy ảo đó gửi yêu cầu tới Hệ điều hành Host để thực hiện yêu cầu. Hệ điều hành liên lạc với trình điều khiển thiết bị phần cứng. Các trình điều khiển thiết bị phần cứng liên lạc đến các phần cứng trên LUAN VAN CHAT LUONG download : add luanvanchat@agmail.
Quá trình này sẽ xảy ra ngƣợc lại khi có trả lời từ phần cứng vật lý đến hệ điều hành máy chủ Host. Ảo hóa kiến trúc vi xử lý x86 Hình 04: mức đặc quyền vi xử lý x86 Chìa khóa để hiểu biết rõ lớp hypervisor và các vấn đề an ninh thông tin chính là hiểu rõ mức đặc quyền trong kiến trúc vi xử lý x86.