chương 1 bao gồm như sau: 1.1 Tổng quan về công nghệ Ảo hóa và các vấn đề liên quan 1.1 Giới thiệu tổng quang về các công nghệ ảo hóa 1.1 Giới thiệu chung Ảo hóa có tên tiếng anh thƣờng gọi là “Virtualization”: ra đời vào khoảng 1960s trong các máy tính Mainframe. Trong lĩnh vực điện toán, thuật ngữ “Virtualization” đề cập đến hành động tạo ra phiên bản “Ảo” của phần mềm, phần cứng hay một cái gì đó, bao gồm cả một tập tài nguyên về mạng máy tính… nhƣng không hề bị hạn chế. Công nghệ tạo ra lớp trung gian giữa hệ thống phần mềm và phần cứng chạy trên nó đƣợc gọi là Ảo hóa. Công nghệ ảo hóa cho phép gộp nhiều máy chủ vật lý ở dạng đơn lẻ thành nhiều máy chủ Logic, đồng thời các máy chủ Logic này có thể chạy các ứng dụng trên các hệ điều hành độc lập.1: Giới thiệu mô hình hệ thống ảo hóa phổ biến [8] 6 Tại sao cần ảo hóa: Giảm thiểu chi phí bảo dƣỡng, tƣơng thích với nhiều ứng dụng, hệ điều hành đồng thời, tập trung cho kiểm soát và quản trị, dễ dàng trong sao lƣu và khôi phục, khai thác nhiều hơn về công suất hoạt động phần cứng, chuyển đổi các máy ảo kể cả khi đang hoạt động, nâng cao độ sẵn sàng cho hệ thống và là bƣớc đệm để thực hiện “Điện toán đám mây”.2 Giới thiệu một số dạng ảo hóa máy chủ Ảo hóa máy chủ thƣờng đƣợc xây dựng theo 3 dạng: ảo hóa toàn phần, ảo hóa một phần và ảo hóa hệ điều hành.
- Full Virtualization: tiếng việt gọi là Ảo hóa toàn phần, công nghệ ảo hóa này tạo ra một máy chủ thật với đầy đủ tất cả các tính năng bao gồm input/output, operations, interrupts, memory access … Các máy chủ ảo sẽ đƣợc chạy những hệ điều hành riêng và đƣợc cấp riêng CPU, RAM, dung lƣợng lƣu trữ và băng thông mạng. Các máy ảo hoàn toàn nằm độc lập với lớp Hardware và sẽ giao tiếp với Hypervisor, nên tốc độ sẽ bị chậm hơn vì phải qua Binary translation. Các bản nguồn mở hỗ trợ nhƣ: KVM, KQEMU, VIRTUABOX. Bản thƣơng mại: VMware, Microsoft (Hyper-V).2: Cấu trúc liên kết các tầng của ảo hóa toàn phần [8] - Para – Virtualization: tiếng việt gọi là ảo hóa một phần, kỹ thuật này vẫn đƣợc điều khiển bằng một Hypervisor, các máy chủ ảo khi làm việc sẽ tƣơng tác 7 trực tiếp xuống hạ tầng phần cứng mà không phải tƣơng qua qua môi trƣờng Hypervisor, qua đó sẽ tạo ra tốc độ xử lý nhanh hơn.
Nhƣng nhƣợc điểm sẽ là các máy chủ ảo sẽ khó cài đặt và cấu hình hơn. Một số hệ điều hành xây dựng theo kiểu Para – Virtualization Xen Server, VMWare Server và Hyper–V của Microsoft. Trình điều khiển hypervisor sử dụng một kernel đơn để quản lý các máy chủ ảo và cho phép chúng chạy đồng thời trên máy chủ vật lý ban đầu.3: Cấu trúc liên kết các tầng của ảo hóa một phần [8] - OS level Virtualization: Tiếng việt gọi là Ảo hóa hệ điều hành, là phƣơng pháp ảo hóa mới cho phép nhân của hệ điều hành hỗ trợ nhiều instances đƣợc cách ly dựa trên hệ điều hành có sẵn cho nhiều ngƣời dung khác nhau. Việc bảo trì nhanh nên mọi ngƣời hay dùng, nhất là trong lĩnh vực Hosting.
OpenVZ, Virtuozzo, Linux – VServer, Solaris Zones, và FreeBSD Jails hỗ trợ loại ảo hóa này. Loại ảo hóa này chỉ tồn tại trên hệ điều hành Linux, ảo hóa hệ điều hành rất hữu ích cho các công ty máy chủ Web.3 Môi trường ảo hóa Môi trƣờng ảo hóa trên nền tảng Window: công nghệ ảo hóa thế hệ mới của 8 Microsoft tạo ra có tên là Hyper – V, phục vụ khai thác phần cứng máy chủ 64 bit thế hệ mới, linh hoạt, mạnh mẽ và có thể triển khai đƣợc nhiều cấp độ khác nhau. Các máy ảo do Hyper-V tạo ra sẽ rất thuận tiện trong điều chỉnh cấu hình, có thể mở rộng dung lƣợng lớn, tùy chỉnh CPU đa nhân. Môi trƣờng Hypervisor hỗ trợ thân thiện bằng giao diện đồ họa giúp quản trị viên có thể tùy chỉnh và cấu hình thuận tiện các tính năng khác.
Các máy ảo sẽ tƣơng tác với phần cứng qua môi trƣờng Hypervisor và áp dụng theo Full Virtualization. Môi trƣờng ảo hóa trên Linux: Kernel – based Virtual Machine (KVM) là một trình quản lý ảo hóa phần cứng đƣợc xây dựng trên nền nhân Linux. KVM là giải pháp ảo hóa toàn phần dành cho những phần cứng trên nền tảng 32 bit và 64 bit của VT –X hay AMD. Sử dụng KVM, một máy chủ vật lý có thể chạy nhiều máy ảo trên đó với những hệ điều hành khác nhau nhƣ GNU/Linux, Window hay bất kỳ một hệ điều hành nào.
Mỗi máy ảo có những phần cứng ảo riêng nhƣ thẻ mạng, đĩa cứng, hay thẻ đồ họa. Phần cứng hỗ trợ KVM nguyên bản hỗ trợ các bộ xử lý 32 bit nhƣ S/390, PowerPC, IA – 64. KVM yêu cầu bộ xử lý máy chủ ảo hỗ trợ ảo hóa VT – x cho bộ xử lý của Intel và AMD – V cho bộ xử lý AMD. Môi trƣờng ảo hóa trên nền tảng VMware vSphere: VMWare tạo ra 2 phiên bản cho môi trƣờng Server và môi trƣờng Client.
Trong phần này chỉ xét tới môi trƣờng Server gọi là VMware vSphere. Khi triển khai hệ thống nó sẽ tạo ra một môi trƣờng Hypervisor để quản lý và phân chia tài nguyên cho các máy ảo. Các máy ảo chỉ bị môi trƣờng Hypervisor quản lý còn khi hoạt động sẽ tƣơng tác thẳng xuống tài nguyên vật lý của máy chủ mà không phải đƣa qua môi trƣờng Hypervisor, giúp tận dụng tối đa hiệu suất hoạt động của máy chủ vật lý và các máy ảo, đồng thời cũng thuận tiện quản lý hơn. Môi trƣờng ảo hóa trên nền tảng OpenStack: OpenStack là phần mềm mã nguồn mở, dùng để triển khai điện toán đám mây, bao gồm đám mây công cộng và đám mây riêng.
OpenStack đƣợc thiết kế theo lối module, mỗi phần đảm nhận 9 những công việc khác nhau của hệ thống quản lý ảo hóa. OpenStack không phải là một dự án đơn lẻ mà là một nhóm các dự án nguồn mở tập hợp nhiều công nghệ ảo hóa, hỗ trợ cho việc xây dựng hạ tầng đám mây công cộng và đám mây riêng hoàn chỉnh. OpenStack bao gồm một số thành phần chính: Dashboard, Compute, Object storage, Image storage, Block storage, Network, Identity. Mỗi thành phần có nhiều plugin bên trong thực hiện những tác vụ chuyên biệt, tất cả các thành phần đều có một plugin cung cấp API để giao tiếp với nhau và giao tiếp với ngƣời dùng.
OpenStack Glance quản lý các ảnh đĩa ảo. Glance hỗ trợ các ảnh Raw, VirtualBox (VDI), Qemu (qcow2) và VMWare (vmdk, ovf). Ngƣời dùng có thể thực hiện: cập nhật thêm các ảnh đĩa ảo, cấu hình và điều khiển việc truy cập vào chúng.2 Các mối đe dọa và phương thức tấn công hệ thống ảo hóa 1.1 Những mối đe dọa tới an toàn thông tin Giới thiệu về kiểu đe dọa không có cấu trúc: thƣờng là những hành vi xâm nhập hệ thống ảo hóa trái phép một cách đơn lẻ, không có tổ chức. Trên Internet có rất nhiều công cụ có thể hack và rất nhiều script có sẵn.
Chỉ cần ai muốn tìm hiểu có thể tải chúng về và sử dụng thử để nghiên cứu trên mạng nội bộ của công ty. Rất nhiều ngƣời lại thích với việc tấn công và xâm nhập vào hệ thống ảo hóa và thử thách các hành động vƣợt tƣờng lửa đi ra khỏi tầm bảo vệ. Đa phần tấn công không có cấu trúc đều đƣợc gây ra bởi Script Kiddies hay những ngƣời có trình độ thấp hoặc vừa phải vừa phải. Những cuộc tấn công đó thƣờng vì sở thích cá nhân, nhƣng cũng có nhiều cuộc tấn công có ý đồ xấu để lấy cắp thông tin.
Các trƣờng hợp đó sẽ có ảnh hƣởng nghiêm trọng đến hệ thống ảo hóa và các chủ thể sở hữu mạng. Nhiều lúc, chỉ cần có một đoạn mã độc là có thể phá hủy chức năng của mạng nội bộ và hệ thống máy chủ đang chạy trên các nền tảng ảo hóa. Giới thiệu về kiểu đe dọa có cấu trúc: là những cách thức tấn công hoặc xâm nhập hệ thống mạng trái phép hoặc hệ thống máy chủ ảo, có động cơ và kỹ thuật cao. Hacker tấn công theo kiểu này hoạt động độc lập hoặc theo từng nhóm.
Những 10 kẻ tấn công này thƣờng có kỹ năng phát triển ứng dụng và sử dụng các kỹ thuật phức tạp nhằm xâm nhập vào mục tiêu có chủ đích. Những động cơ của các hình thức tấn công này thì có rất nhiều mục đích. Chẳng hạn nhƣ có thể vì tiền hoặc hoạt động chính trị đôi khi là tức giận hay báo thù. Các nhóm tội phạm, các đối tác, đối thủ cạnh tranh hay các tổ chức sắc tộc thuê các hacker để thực hiện các cuộc tấn công, kiểm soát dạng structured threat.
Những cuộc tấn công vào hệ thống thƣờng có nhiều mục đích từ trƣớc, qua đó có thể lấy đƣợc mã nguồn của những đối thủ cạnh tranh với nhau. Những động cơ đó có là gì, thì các cuộc tấn công nhƣ vậy rất có thể gây hậu quả nghiêm trọng, có thể gây nên sự phá hủy cho toàn hệ thống mạng và hệ thống ảo hóa của doanh nghiệp hoặc các tổ chức. Những mối đe dọa từ bên ngoài: là những cuộc tấn công đƣợc tạo ra khi Hacker không có một quyền nào kiểm soát trong hệ thống. Ngƣời dùng có thể bị tấn công trên toàn thế giới thông qua mạng Internet.
Những mối đe dọa từ bên ngoài này thƣờng là mối đe dọa nguy hiểm, các chủ doan nghiệp sở hữu mạng LAN và hệ thống ảo hóa thƣờng phải bỏ rất nhiều tiền và thời gian để bảo vệ hệ thống. Những mối đe dọa từ bên trong hệ thống: là kiểu tấn công đƣợc thực hiện từ một cá nhân hoặc một tổ chức có một số quyền truy cập vào hệ thống mạng nội bộ của công ty, hệ thống ảo hóa. Những cách tấn công này thƣờng từ bên trong, đƣợc thực hiện từ một vị trí tin cậy trong mạng nội bộ, rất khó phòng chống bởi đôi khi chính là các nhân viên truy cập mạng rồi tấn công. Nhƣng nếu có hệ thống giám sát và phân tích sẽ rất dễ bắt đƣợc các đối tƣợng này.2 Những cách thức tấn công hệ thống ảo hóa Cách thức lấy cắp thông tin bằng kiểu tấn công Packet Sniffers Chƣơng trình ứng dụng này tạo ra dùng để bắt giữ các các gói tin lƣu chuyển trên hệ thống mạng, hệ thống mạng ảo hóa hoặc trên một miền mạng riêng.
Kiểu Sniffer thƣờng đƣợc dùng phân tích lƣu lƣợng (traffic). Nếu một số ứng dụng không mã hóa mà gửi dữ liệu dƣới dạng clear text (telnet, POP3, FTP, SMTP,.