Tìm Hiểu OpenStack và Các Vấn Đề An Ninh Thông Tin Trong Điện Toán Đám Mây

Tìm hiểu về OpenStack: kiến trúc, thành phần và các vấn đề an ninh thông tin quan trọng cần lưu ý. Đảm bảo an toàn cho hạ tầng cloud của bạn.

Chuyên ngành

Kỹ thuật Máy tính

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ kỹ thuật

2016

67
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

MỤC LỤC

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH ẢNH

1. Chương 1: CÁC VẤN ĐỀ AN NINH ĐIỆN TOÁN ĐÁM MÂY

1.1. Những vấn đề an ninh được đưa ra bởi CSA

1.2. Các các vấn đề được đưa ra bởi ENISA

1.3. Các vấn đề an ninh được đưa ra bởi NIST

1.4. So sánh các vấn đề an ninh của CSA, ENISA, NIST

1.4.1. So sánh vấn đề chính sách, tổ chức và hợp pháp

1.4.2. Sự so sánh vấn đề kỹ thuật của CSA, ENISA, và NIST

2. Chương 2: QUẢN LÝ ĐỊNH DANH, TRUY CẬP VÀ DỮ LIỆU TRONG OPENSTACK

2.1. Quản lý định danh và truy cập

2.1.1. Identity Provisioning/Deprovisioning

2.1.2. Điều khiển truy cập và ủy quyền

2.1.2.1. Quyền của Reseller Admin
2.1.2.2. Tính di động của dữ liệu ủy quyền

2.2. Dữ liệu trong Openstack

2.2.1. Vị trí dữ liệu

2.2.2. Sao lưu và phục hồi

3. Chương 3: Triển khai Openstack, phân tích các vấn đề an ninh

3.1. Triển khai Openstack

3.1.1. Thông tin Lab

3.1.2. Các bước thực hiện

3.1.3. Cài đặt các thành phần Openstack

3.1.4. Sử dụng Openstack và chạy các dịch vụ

3.2. Phân tích các vấn đề an ninh trong Openstack và đưa ra giải pháp, khuyến nghị

3.2.1. Tấn công Injection

3.2.2. Lưu trữ mật khẩu và yêu cầu độ mạnh yếu

3.2.3. Vấn đề an ninh Token

3.2.4. Cô lập dữ liệu

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tìm Hiểu OpenStack Nền Tảng Đám Mây Mở Bảo Mật Thiết Yếu

Điện toán đám mây đã trở thành xu hướng công nghệ nổi bật, định hình lại cách các tổ chức triển khai và quản lý hạ tầng công nghệ thông tin. Trong bối cảnh đó, OpenStack nổi lên như một nền tảng mã nguồn mở mạnh mẽ, cho phép xây dựng các đám mây riêng và công cộng linh hoạt. Được phát triển bởi NASA và Rackspace, OpenStack cung cấp một bộ công cụ toàn diện để điều khiển các tài nguyên tính toán, lưu trữ và mạng, tạo ra một môi trường điện toán đám mây theo yêu cầu. Sự phát triển rộng rãi và mức độ chú ý từ các tập đoàn lớn trên thế giới đã khẳng định vai trò không thể thiếu của OpenStack trong hệ sinh thái đám mây hiện đại.

Tuy nhiên, với sự phức tạp và khả năng mở rộng của OpenStack, nhu cầu về an ninh thông tin trở nên cấp thiết hơn bao giờ hết. Bảo mật đám mây không chỉ là một vấn đề kỹ thuật mà còn là một yếu tố chiến lược, quyết định sự thành công và bền vững của mọi triển khai. Các rào cản lớn trong việc ứng dụng và triển khai OpenStack thường xuyên liên quan đến khả năng đảm bảo an toàn thông tin. Việc nghiên cứu và tìm hiểu OpenStack cùng các vấn đề an ninh thông tin mà nền tảng này xử lý đóng vai trò quan trọng. Nó giúp củng cố niềm tin vào OpenStack và đưa ra các khuyến nghị cần thiết cho các công ty đang sử dụng nền tảng này. Luận văn của Nguyễn Trọng Điệp (2016) nhấn mạnh rằng, việc phân tích các vấn đề an ninh trên OpenStack cần được thực hiện nhằm cảnh báo và hướng dẫn các doanh nghiệp hoạt động hiệu quả hơn. Các tiêu chuẩn an ninh thông tin cho các dịch vụ điện toán đám mây vẫn đang trong quá trình phát triển, đòi hỏi sự chủ động trong việc tìm hiểu và áp dụng các giải pháp an ninh OpenStack tiên tiến.

Việc đánh giá các rủi ro bảo mật OpenStack và đưa ra phương pháp xử lý các nguy cơ an ninh là mục tiêu cốt lõi. Điều này bao gồm việc phân tích các tài liệu về an ninh đám mây, tổng hợp các vấn đề cần kiểm tra, triển khai OpenStack thực tế và đánh giá sự vận hành của nó dựa trên các danh sách vấn đề an ninh đã được xác định. Thông qua đó, các tổ chức có thể xây dựng một kiến trúc bảo mật OpenStack vững chắc, đáp ứng các yêu cầu về Cloud security OpenStack trong kỷ nguyên số.

1.1. OpenStack Là Gì Kiến Trúc Và Vai Trò Trong IaaS Cloud Security

OpenStack là một bộ sưu tập các dự án phần mềm mã nguồn mở được thiết kế để tạo ra các tài nguyên điện toán, lưu trữ và mạng trên một trung tâm dữ liệu. Đây là một nền tảng IaaS (Infrastructure as a Service), cho phép người dùng tự phục vụ việc triển khai và quản lý các máy chủ ảo, bộ nhớ và các dịch vụ mạng. Các thành phần chính của OpenStack bao gồm Nova (tính toán), Neutron (mạng), Cinder (lưu trữ khối), Swift (lưu trữ đối tượng), Glance (dịch vụ hình ảnh) và Keystone (quản lý danh tính). Mỗi thành phần OpenStack này đều đóng vai trò quan trọng trong việc xây dựng một đám mây linh hoạt. Trong bối cảnh Cloud security OpenStack, việc hiểu rõ kiến trúc và cách các thành phần này tương tác là nền tảng để triển khai các giải pháp an ninh OpenStack hiệu quả. Vai trò của OpenStack không chỉ dừng lại ở việc cung cấp hạ tầng mà còn là một yếu tố thúc đẩy sự đổi mới, cho phép các doanh nghiệp tùy chỉnh và kiểm soát môi trường đám mây của mình một cách sâu sắc, đồng thời đặt ra yêu cầu cao về an ninh thông tin.

1.2. Tầm Quan Trọng Của An Ninh Thông Tin Khi Triển Khai OpenStack An Toàn

Tầm quan trọng của an ninh thông tin khi triển khai OpenStack an toàn không thể bị xem nhẹ. Do tính chất mã nguồn mở và sự phân tán của các dịch vụ, OpenStack đối mặt với nhiều rủi ro bảo mật OpenStack tiềm ẩn. Bất kỳ lỗ hổng OpenStack nào cũng có thể bị khai thác, dẫn đến mất dữ liệu, gián đoạn dịch vụ hoặc truy cập trái phép. Luận văn của Nguyễn Trọng Điệp (2016) đã chỉ ra rằng, việc nghiên cứu các tài liệu về an ninh điện toán đám mây và tổng hợp các vấn đề chung là bước đầu tiên để nhận diện các mối đe dọa. Các tổ chức như CSA, ENISA, NIST đều nhấn mạnh sự cần thiết của việc bảo vệ toàn diện, từ quản lý rủi ro doanh nghiệp đến bảo mật vận hành. Để bảo mật OpenStack hiệu quả, các tổ chức cần áp dụng các chính sách bảo mật chặt chẽ, kiểm soát truy cập nghiêm ngặt, và thường xuyên giám sát bảo mật OpenStack. Điều này không chỉ bảo vệ tài sản số mà còn duy trì uy tín và sự tin cậy của doanh nghiệp trong môi trường đám mây.

II. Thách Thức An Ninh Thông Tin Rủi Ro Tiềm Ẩn Trong OpenStack

Trong hành trình tìm hiểu OpenStack và an ninh thông tin, việc nhận diện các mối đe dọa và rủi ro bảo mật OpenStack là bước không thể thiếu. Nền tảng đám mây mở này, mặc dù mang lại nhiều lợi ích về linh hoạt và chi phí, cũng tồn tại những thách thức bảo mật OpenStack đặc thù. Các tổ chức uy tín như Cloud Security Alliance (CSA), European Network and Information Security Agency (ENISA), và National Institute of Standards and Technology (NIST) đã đưa ra nhiều tài liệu phân tích chi tiết về lỗ hổng OpenStack trong môi trường điện toán đám mây. Luận văn của Nguyễn Trọng Điệp (2016) đã tổng hợp và so sánh các vấn đề này, chỉ ra những điểm chung và riêng trong quan điểm của các tổ chức về Cloud security OpenStack. Sự phức tạp trong kiến trúc đa thành phần của OpenStack cùng với bản chất mã nguồn mở có thể tạo ra các điểm yếu nếu không được cấu hình và quản lý đúng cách. Đây là những rào cản lớn mà các nhà quản trị cần đặc biệt chú ý để đảm bảo triển khai OpenStack an toàn.

Một trong những vấn đề cốt lõi là sự khác biệt trong cách các tổ chức nhìn nhận và phân loại thách thức bảo mật OpenStack. Trong khi CSA tập trung vào các vấn đề quản lý và vận hành, ENISA chia thành các vấn đề tổ chức, chính sách và kỹ thuật, còn NIST chủ yếu hướng đến an ninh đám mây công cộng với các khía cạnh như quản trị, tin cậy và kiến trúc. Các thành phần OpenStack như Keystone, Nova, Neutron, Cinder, Swift đều có thể trở thành mục tiêu tấn công nếu không được bảo vệ đúng mức. Ví dụ, việc quản lý danh tính không hiệu quả trong Keystone, lỗ hổng OpenStack trong lớp ảo hóa của Nova, hoặc các vấn đề liên quan đến bảo mật mạng OpenStack (Neutron) có thể dẫn đến các cuộc tấn công nghiêm trọng. Sự thiếu sót trong các tiêu chuẩn tương tác cũng là một thách thức, khiến việc chuyển đổi giữa các nhà cung cấp dịch vụ trở nên khó khăn, ảnh hưởng đến tính di động của dữ liệu và ứng dụng. Việc hiểu rõ những rủi ro bảo mật OpenStack này là nền tảng để xây dựng các giải pháp an ninh OpenStack toàn diện và hiệu quả.

2.1. Phân Tích Mối Đe Dọa Lỗ Hổng OpenStack Theo Tiêu Chuẩn Quốc Tế

Phân tích các lỗ hổng OpenStack theo tiêu chuẩn quốc tế là bước quan trọng để đánh giá rủi ro bảo mật OpenStack. Luận văn của Nguyễn Trọng Điệp (2016) đã khảo sát các tài liệu từ CSA, ENISA và NIST, chỉ ra các mối đe dọa chung và đặc thù. CSA nhấn mạnh các vấn đề như quản lý rủi ro doanh nghiệp, tuân thủ, vòng đời thông tin, và ảo hóa. ENISA liệt kê chi tiết các rủi ro từ khóa (lock-in) dữ liệu, vấn đề sẵn sàng, đến các mối đe dọa bên trong. NIST lại tập trung vào các vấn đề tin cậy, kiến trúc hệ thống (như Hypervisor), và cô lập phần mềm. Các lỗ hổng OpenStack thường xuất phát từ cấu hình sai, quản lý kém hiệu quả, hoặc sự thiếu nhận thức về bảo mật. Việc không có khả năng kiểm soát truy cập chi tiết đến từng đối tượng lưu trữ, hoặc việc lưu trữ mật khẩu ở dạng văn bản thuần trong các tệp cấu hình, là những ví dụ về các điểm yếu đã được chỉ ra trong nghiên cứu. Hiểu rõ những lỗ hổng OpenStack này là điều kiện tiên quyết để xây dựng các chính sách bảo mật OpenStack hiệu quả và áp dụng các giải pháp an ninh OpenStack phòng ngừa.

2.2. Rủi Ro Bảo Mật Đám Mây Đặc Thù Của Các Thành Phần OpenStack

Mỗi thành phần OpenStack mang trong mình những rủi ro bảo mật đám mây đặc thù. Keystone, dịch vụ quản lý danh tính, dễ bị tổn thương bởi các cuộc tấn công injection hoặc quản lý mật khẩu yếu. Nova, dịch vụ tính toán, có thể đối mặt với các vấn đề liên quan đến cô lập máy ảo, bảo mật hypervisor, hoặc lỗ hổng trong API. Bảo mật mạng OpenStack (Neutron) đòi hỏi sự chú ý đặc biệt đến việc phân đoạn mạng, cấu hình tường lửa (Security Groups, FWaaS) và chống tấn công từ chối dịch vụ (DDoS). Cinder và Swift, các dịch vụ lưu trữ, cần được bảo vệ chống lại truy cập trái phép, mất dữ liệu và đảm bảo mã hóa dữ liệu OpenStack hiệu quả. Luận văn của Nguyễn Trọng Điệp (2016) đã phân tích chi tiết các vấn đề này, đặc biệt trong OpenStack Object Storage. Ví dụ, thiếu khả năng kiểm soát truy cập cấp đối tượng trong Swift là một hạn chế, yêu cầu các giải pháp thay thế phức tạp. Các mối đe dọa bên trong từ các quản trị viên hoặc người dùng có quyền hạn cao cũng là một thách thức bảo mật OpenStack đáng kể. Nắm vững những rủi ro này là chìa khóa để triển khai các giải pháp an ninh OpenStack phù hợp cho từng thành phần.

2.3. Vấn Đề Tuân Thủ Và Chính Sách Bảo Mật OpenStack Trong Thực Tiễn

Các vấn đề tuân thủ bảo mật OpenStackchính sách bảo mật OpenStack đóng vai trò thiết yếu trong việc đảm bảo an ninh thông tin toàn diện. Với sự gia tăng của các quy định như GDPR, HIPAA, PCI DSS, các tổ chức triển khai OpenStack phải đối mặt với áp lực lớn trong việc đáp ứng các yêu cầu pháp lý này. Luận văn của Nguyễn Trọng Điệp (2016) đã so sánh quan điểm của CSA, ENISA và NIST về các vấn đề chính sách, tổ chức và hợp pháp. Các vấn đề như quản trị, quản lý rủi ro, kiểm toán, và xử lý dữ liệu của khách hàng đều được nhấn mạnh. Đặc biệt, vị trí dữ liệu (data locality) là một mối quan ngại lớn khi thông tin nhạy cảm có thể được lưu trữ và sao chép qua biên giới quốc gia, vi phạm các yêu cầu tuân thủ bảo mật OpenStack. Hơn nữa, việc thiếu các chuẩn tương tác và các giải pháp độc quyền cho quản lý định danh (như trong trường hợp OpenStack Object Storage) có thể dẫn đến tình trạng khóa (lock-in) khách hàng, gây khó khăn cho việc kiểm toán và di chuyển dữ liệu. Do đó, việc xây dựng và thực thi một chính sách bảo mật OpenStack rõ ràng, cùng với quy trình kiểm toán bảo mật OpenStack định kỳ, là cần thiết để giảm thiểu rủi ro và đảm bảo sự tin cậy.

III. Giải Pháp Tối Ưu Cách Tăng Cường Bảo Mật Cho Kiến Trúc OpenStack

Để đối phó với những thách thức bảo mật OpenStack đã được phân tích, việc áp dụng các giải pháp an ninh OpenStack tối ưu là bắt buộc. Mục tiêu là xây dựng một kiến trúc bảo mật OpenStack vững chắc, có khả năng chống lại các cuộc tấn công và bảo vệ dữ liệu nhạy cảm. Luận văn của Nguyễn Trọng Điệp (2016) không chỉ tìm hiểu OpenStack và an ninh thông tin mà còn đưa ra các khuyến nghị cụ thể để tăng cường bảo mật OpenStack (Hardening). Các giải pháp này cần được triển khai trên tất cả các lớp của hạ tầng đám mây, từ lớp vật lý, hệ điều hành cơ sở, đến các thành phần OpenStack và ứng dụng chạy trên đó. Một cách tiếp cận toàn diện đòi hỏi sự kết hợp giữa các biện pháp kỹ thuật, chính sách quản lý và quy trình vận hành an toàn. Việc này bao gồm việc cấu hình an toàn cho từng dịch vụ, áp dụng các cơ chế kiểm soát truy cập mạnh mẽ, và thiết lập hệ thống giám sát bảo mật OpenStack liên tục.

Ngoài ra, việc tích hợp các công cụ Cloud security OpenStack của bên thứ ba cũng có thể nâng cao khả năng phòng thủ. Các giải pháp như tường lửa, hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), và các công cụ quản lý thông tin và sự kiện bảo mật (SIEM) đóng vai trò quan trọng trong việc bảo vệ môi trường OpenStack. Việc thường xuyên cập nhật và vá lỗi cho các thành phần OpenStack và hệ điều hành là một thực hành tốt nhất không thể bỏ qua. Kế hoạch ứng phó sự cố (Incident Response Plan) cần được xây dựng và kiểm thử định kỳ để đảm bảo khả năng phục hồi nhanh chóng sau các sự cố an ninh thông tin. Bằng cách áp dụng đồng bộ các giải pháp an ninh OpenStack này, các tổ chức có thể xây dựng một môi trường đám mây không chỉ mạnh mẽ và linh hoạt mà còn được bảo vệ toàn diện trước các rủi ro bảo mật OpenStack ngày càng tinh vi.

3.1. Hướng Dẫn Tăng Cường Bảo Mật OpenStack Hardening Các Thành Phần Cốt Lõi

Để tăng cường bảo mật OpenStack (Hardening), cần có một chiến lược tập trung vào từng thành phần OpenStack cốt lõi. Đầu tiên, hệ điều hành cơ sở của các máy chủ OpenStack phải được cấu hình an toàn, loại bỏ các dịch vụ không cần thiết, và áp dụng các bản vá bảo mật định kỳ. Đối với Keystone, quản lý danh tính OpenStack, cần triển khai xác thực đa yếu tố (MFA), kiểm soát truy cập dựa trên vai trò (RBAC) chặt chẽ và quản lý chứng chỉ hiệu quả. Đối với Nova, dịch vụ tính toán, cần đảm bảo bảo mật Hypervisor và host, cùng với việc cô lập máy ảo (VM) mạnh mẽ. Neutron, dịch vụ mạng, yêu cầu cấu hình tường lửa OpenStack và các nhóm bảo mật (Security Groups) để phân đoạn mạng và kiểm soát luồng giao thông. Cinder và Swift, các dịch vụ lưu trữ, cần áp dụng mã hóa dữ liệu OpenStack cả khi lưu trữ và truyền tải, cùng với chính sách quản lý sao lưu và phục hồi an toàn. Luận văn của Nguyễn Trọng Điệp (2016) đã chỉ ra tầm quan trọng của việc kiểm tra mật khẩu yếu và các vấn đề injection trong Horizon, đòi hỏi cấu hình bảo mật ứng dụng web mạnh mẽ.

3.2. Bảo Mật Mạng OpenStack Neutron Với Tường Lửa Và IDS IPS OpenStack

Bảo mật mạng OpenStack (Neutron) là yếu tố then chốt để bảo vệ hạ tầng đám mây. Neutron cung cấp các tính năng mạng ảo hóa, cho phép người dùng định nghĩa cấu trúc mạng riêng cho các máy ảo. Để tăng cường an ninh thông tin, việc triển khai tường lửa OpenStack thông qua Security Groups và Firewall as a Service (FWaaS) là cần thiết. Các nhóm bảo mật cho phép kiểm soát lưu lượng ra vào các máy ảo một cách chi tiết, trong khi FWaaS cung cấp khả năng cấu hình tường lửa cấp mạng ảo. Ngoài ra, việc tích hợp các hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) vào môi trường OpenStack có thể giúp nhận diện và phản ứng kịp thời với các mối đe dọa. Mặc dù luận văn của Nguyễn Trọng Điệp (2016) không đi sâu vào IDS/IPS, nhưng nó nhấn mạnh các vấn đề an ninh mạng chung của điện toán đám mây. Sự phân đoạn mạng (network segmentation) và cô lập tenant là các biện pháp quan trọng để ngăn chặn sự lây lan của các cuộc tấn công. Cấu hình đúng đắn cho các tác nhân mạng như DHCP agent và L3 agent cũng góp phần đảm bảo triển khai OpenStack an toàn.

3.3. Giám Sát Bảo Mật OpenStack Ghi Nhật Ký Và Phản Ứng Sự Cố Hiệu Quả

Giám sát bảo mật OpenStack liên tục là yếu tố sống còn để phát hiện sớm các hoạt động đáng ngờ và ứng phó hiệu quả với các sự cố. Việc thu thập và ghi nhật ký OpenStack từ tất cả các thành phần OpenStack, bao gồm Keystone, Nova, Neutron, Cinder, Swift, và Horizon, là bước đầu tiên. Các nhật ký này cần được tập trung hóa và phân tích bằng các công cụ SIEM để phát hiện các mẫu tấn công hoặc hành vi bất thường. Luận văn của Nguyễn Trọng Điệp (2016) đã đề cập đến tầm quan trọng của việc có thể truy cập các tệp log và lấy các bản snapshot của môi trường giả lập khách hàng để phân tích sự cố. Kế hoạch phản ứng sự cố OpenStack phải được xây dựng kỹ lưỡng, bao gồm các bước từ nhận diện, khoanh vùng, khắc phục, đến phục hồi và bài học kinh nghiệm. Việc kiểm toán định kỳ các nhật ký và cảnh báo bảo mật giúp xác định các điểm yếu trong hệ thống. Một hệ thống giám sát bảo mật OpenStack hiệu quả không chỉ giúp ngăn chặn các cuộc tấn công mà còn đảm bảo tuân thủ bảo mật OpenStack với các quy định ngành, củng cố niềm tin vào an ninh thông tin của toàn bộ hạ tầng đám mây.

IV. Bảo Mật Dữ Liệu Danh Tính Phương Pháp Quản Lý Hiệu Quả OpenStack

Quản lý dữ liệu và danh tính là hai trụ cột không thể thiếu trong chiến lược bảo mật OpenStack toàn diện. Với sự phát triển của điện toán đám mây và đặc biệt là nền tảng OpenStack, việc bảo vệ tài nguyên thông tin khỏi truy cập trái phép, mất mát hoặc sửa đổi là ưu tiên hàng đầu. Luận văn của Nguyễn Trọng Điệp (2016) đã dành một chương riêng để phân tích sâu về quản lý định danh, truy cập và dữ liệu trong OpenStack Object Storage (Swift), làm nổi bật những điểm yếu và cơ hội để tăng cường bảo mật OpenStack. Các giải pháp cần tập trung vào việc đảm bảo tính toàn vẹn, bí mật và sẵn sàng của dữ liệu cũng như kiểm soát chặt chẽ quyền truy cập của người dùng và các dịch vụ. OpenStack và an ninh thông tin luôn đi đôi với nhau, đòi hỏi một cách tiếp cận đa chiều, từ mã hóa dữ liệu đến cơ chế xác thực và ủy quyền mạnh mẽ.

Việc áp dụng các phương pháp Cloud security OpenStack tiên tiến cho quản lý danh tính và dữ liệu không chỉ giúp ngăn chặn các mối đe dọa hiện hữu mà còn chuẩn bị cho các thách thức bảo mật OpenStack trong tương lai. Các tổ chức cần xây dựng chính sách bảo mật OpenStack rõ ràng, quy định cụ thể về việc tạo, lưu trữ, sử dụng và xóa dữ liệu. Đồng thời, việc lựa chọn các giải pháp xác thực và ủy quyền tiêu chuẩn công nghiệp thay vì các giải pháp độc quyền sẽ giúp tăng cường tính tương thích và dễ dàng kiểm toán bảo mật OpenStack. Các thành phần OpenStack như Keystone (quản lý danh tính) và Swift/Cinder (lưu trữ) là những điểm nóng cần được bảo vệ đặc biệt. Việc triển khai mã hóa dữ liệu OpenStack ở nhiều cấp độ, cùng với các quy trình sao lưu và phục hồi dữ liệu chặt chẽ, là những biện pháp thiết yếu để đảm bảo an ninh thông tin cho toàn bộ hệ thống. Nắm vững những nguyên tắc này sẽ giúp các tổ chức đạt được mục tiêu triển khai OpenStack an toàn và bền vững.

4.1. Quản Lý Danh Tính OpenStack Keystone Xác Thực Ủy Quyền An Toàn

Quản lý danh tính OpenStack (Keystone) đóng vai trò trung tâm trong kiến trúc bảo mật OpenStack, cung cấp dịch vụ xác thực và ủy quyền cho tất cả các thành phần OpenStack. Luận văn của Nguyễn Trọng Điệp (2016) đã phân tích các hệ thống xác thực như Tempauth, Swauth và Keystone, nêu bật ưu nhược điểm của từng loại. Mặc dù Keystone là hệ thống mới nhất và linh hoạt nhất, hỗ trợ nhiều loại cơ sở dữ liệu, nhưng các vấn đề như quản lý mật khẩu yếu (cho phép tạo mật khẩu chỉ 1 ký tự) và thiếu cơ chế xác thực đa yếu tố mặc định vẫn là lỗ hổng OpenStack tiềm ẩn. Để tăng cường bảo mật OpenStack, cần triển khai xác thực mạnh mẽ hơn, ví dụ như tích hợp xác thực đa yếu tố (MFA) và sử dụng các tiêu chuẩn như SAML hoặc OATH cho ủy quyền. Việc tự động hóa quy trình Identity Provisioning/Deprovisioning (đăng ký/xóa người dùng) cũng rất quan trọng, đặc biệt đối với việc thu hồi quyền truy cập kịp thời khi có thay đổi về nhân sự, nhằm giảm thiểu rủi ro bảo mật OpenStack từ các mối đe dọa nội bộ. Việc kiểm soát truy cập dựa trên vai trò (RBAC) chặt chẽ cũng giúp giới hạn quyền hạn của người dùng chỉ ở mức cần thiết.

4.2. Bảo Mật Lưu Trữ OpenStack Cinder Swift Mã Hóa Dữ Liệu Sao Lưu Phục Hồi

Bảo mật lưu trữ OpenStack (Cinder, Swift) là một khía cạnh quan trọng của an ninh thông tin trong môi trường đám mây. Cinder cung cấp lưu trữ khối cho các máy ảo, trong khi Swift cung cấp lưu trữ đối tượng có khả năng mở rộng cao. Luận văn của Nguyễn Trọng Điệp (2016) đã phân tích chi tiết cách Swift quản lý dữ liệu, bao gồm vị trí dữ liệu, sao lưu và xóa. Một điểm đáng lưu ý là mặc dù Swift thực hiện nhân bản dữ liệu để chống mất mát, nó không cung cấp tính năng sao lưu và phục hồi truyền thống, tức là không bảo vệ khỏi việc ghi đè dữ liệu ngoài ý muốn. Để giải quyết vấn đề này, cần triển khai mã hóa dữ liệu OpenStack ở cả trạng thái nghỉ (data at rest) và khi truyền tải (data in transit). Việc mã hóa dữ liệu trước khi tải lên Swift được khuyến nghị để bảo vệ khỏi các quản trị viên có quyền truy cập cao. Đối với Cinder, việc mã hóa các volume lưu trữ cũng rất quan trọng. Ngoài ra, cần phát triển các quy trình sao lưu và phục hồi dữ liệu độc lập, có khả năng lưu giữ các phiên bản cũ của tệp để chống lại việc ghi đè hoặc xóa nhầm, đồng thời cải thiện quy trình xóa dữ liệu an toàn để đảm bảo không còn bản sao nào tồn tại trong cluster sau khi xóa.

4.3. Bảo Mật Ảo Hóa OpenStack Nova Cô Lập Máy Ảo Và Host

Bảo mật ảo hóa OpenStack (Nova) tập trung vào việc bảo vệ dịch vụ tính toán, nơi các máy ảo (VM) được tạo và quản lý. Nova chịu trách nhiệm phân bổ tài nguyên và khởi tạo các instance. Mối quan tâm chính là đảm bảo cô lập máy ảo hiệu quả giữa các tenant khác nhau để ngăn chặn 'láng giềng ồn ào' (noisy neighbor) hoặc các cuộc tấn công leo thang đặc quyền từ một VM bị tổn thương sang VM khác hoặc sang host. Luận văn của Nguyễn Trọng Điệp (2016) đã chỉ ra rằng Hypervisor, lớp phần mềm quản lý các VM, là một bề mặt tấn công quan trọng. Do đó, việc bảo mật Hypervisor và host là cực kỳ cần thiết. Cần triển khai các biện pháp hardening cho hệ điều hành của host, đảm bảo các bản vá bảo mật mới nhất được áp dụng, và cấu hình chặt chẽ các quyền truy cập vào hypervisor. Các tính năng bảo mật của phần cứng ảo hóa như Intel VT-x hoặc AMD-V cũng cần được kích hoạt. Ngoài ra, việc sử dụng các hình ảnh máy ảo (VM images) đã được kiểm tra bảo mật và loại bỏ các phần mềm không cần thiết sẽ giúp giảm thiểu lỗ hổng OpenStack tiềm ẩn. Một chiến lược bảo mật OpenStack toàn diện phải bao gồm cả việc bảo vệ lớp ảo hóa để đảm bảo an ninh thông tin cho các ứng dụng và dữ liệu chạy trên đó.

V. Kiểm Định An Ninh OpenStack Kết Quả Khuyến Nghị Thực Tiễn

Việc kiểm định an ninh OpenStack thông qua các thử nghiệm thực tế là cách hiệu quả nhất để xác định các lỗ hổng OpenStack và đưa ra các giải pháp an ninh OpenStack phù hợp. Luận văn của Nguyễn Trọng Điệp (2016) đã trình bày một nghiên cứu thực nghiệm chi tiết, bao gồm triển khai OpenStack an toàn trong môi trường lab và phân tích các vấn đề an ninh thông tin cụ thể. Kết quả từ nghiên cứu này cung cấp cái nhìn sâu sắc về những rủi ro bảo mật OpenStack phổ biến và cách chúng có thể được khắc phục. Đây là một phần quan trọng để chuyển đổi kiến thức lý thuyết về Cloud security OpenStack thành các hành động thực tiễn, giúp các tổ chức vận hành nền tảng này một cách an toàn và hiệu quả hơn. Mục tiêu của việc kiểm định là không chỉ phát hiện ra các điểm yếu mà còn đưa ra các khuyến nghị tăng cường bảo mật OpenStack có tính khả thi và ứng dụng cao.

Thông qua các thử nghiệm black-box và white-box, nghiên cứu đã kiểm tra các khía cạnh quan trọng của bảo mật OpenStack, từ giao diện người dùng đến các tệp cấu hình hệ thống. Các phát hiện về tấn công injection và cách lưu trữ mật khẩu đã cung cấp bằng chứng cụ thể về các lĩnh vực cần cải thiện. Điều này nhấn mạnh rằng dù OpenStack là một nền tảng mạnh mẽ, việc an ninh thông tin của nó vẫn phụ thuộc rất nhiều vào cấu hình, quản lý và sự tuân thủ các thực hành tốt nhất. Các khuyến nghị tăng cường bảo mật OpenStack từ luận văn không chỉ dừng lại ở việc vá lỗi mà còn đề xuất các thay đổi về quy trình, công cụ và nhận thức của người dùng. Áp dụng những kết quả và khuyến nghị này sẽ giúp các nhà quản trị có cái nhìn toàn diện hơn về việc bảo vệ hệ thống OpenStack của mình khỏi các mối đe dọa ngày càng phức tạp.

5.1. Triển Khai OpenStack An Toàn Thông Tin Lab Và Cấu Hình Thực Nghiệm

Phần triển khai OpenStack an toàn trong môi trường lab là nền tảng cho việc kiểm định an ninh OpenStack. Luận văn của Nguyễn Trọng Điệp (2016) đã sử dụng OpenStack Liberty trên Ubuntu Server 14.04 trong môi trường giả lập VMware Player. Các thành phần OpenStack chính được cài đặt bao gồm Keystone, Glance, Nova (sử dụng KVM), Neutron (với plugin ML2, GRE), Horizon và Swift. Cấu hình mạng được thiết lập với hai NICs: một cho External/API/Management và một cho Internal VM. Việc thiết lập lab này giúp tạo ra một môi trường thực tế để mô phỏng các vấn đề an ninh thông tin và thử nghiệm các giải pháp an ninh OpenStack. Các bước cài đặt chi tiết từ cấu hình Ubuntu Server, thiết lập MySQL, tạo người dùng và cơ sở dữ liệu cho từng project con (Keystone, Glance, Nova, Neutron, Swift) đã được trình bày. Việc sử dụng Horizon để quản lý và khởi chạy các dịch vụ web server trên instance Centos 7 cũng được thực hiện. Môi trường này cho phép phân tích các rủi ro bảo mật OpenStack trong từng thành phần và cách chúng tương tác, cung cấp dữ liệu quan trọng cho các phân tích và khuyến nghị sau này về bảo mật OpenStack.

5.2. Phân Tích Lỗ Hổng Tấn Công Injection Rủi Ro Lưu Trữ Mật Khẩu OpenStack

Nghiên cứu của Nguyễn Trọng Điệp (2016) đã tập trung vào phân tích hai lỗ hổng OpenStack quan trọng: tấn công Injectionrủi ro lưu trữ mật khẩu OpenStack. Đối với tấn công Injection, luận văn đã kiểm tra Horizon (Dashboard web của OpenStack, dựa trên Django), tương tác với Keystone để xác thực. Mặc dù Django mặc định sử dụng Queryset để mã hóa dữ liệu đầu vào và chống SQL Injection, việc sử dụng RawQuery hoặc custom SQL có thể tạo ra lỗ hổng. Thử nghiệm với công cụ SQLmap không phát hiện lỗ hổng injection trong cấu hình mặc định của Horizon. Tuy nhiên, khuyến nghị đặt ra là các nhà quản trị cần cẩn trọng khi tùy chỉnh, tránh sử dụng các truy vấn không an toàn. Về rủi ro lưu trữ mật khẩu OpenStack, luận văn chỉ ra rằng mật khẩu của các tài khoản admin dịch vụ (như Swift) thường được lưu trữ dưới dạng văn bản thuần trong các tệp cấu hình. Điều này tạo ra thách thức bảo mật OpenStack nghiêm trọng nếu tệp bị đánh cắp. Ngoài ra, Horizon không yêu cầu độ mạnh tối thiểu cho mật khẩu người dùng, cho phép tạo mật khẩu rất yếu. Các phát hiện này nhấn mạnh sự cần thiết của việc thay đổi mật khẩu sau cài đặt, đặt quyền truy cập nghiêm ngặt cho tệp cấu hình, sử dụng hash mật khẩu và triển khai chính sách mật khẩu mạnh cho người dùng.

5.3. Khuyến Nghị Giúp Tăng Cường An Ninh Thông Tin Trong Môi Trường OpenStack

Dựa trên các phân tích và kết quả kiểm định, luận văn của Nguyễn Trọng Điệp (2016) đã đưa ra nhiều khuyến nghị giúp tăng cường an ninh thông tin trong môi trường OpenStack. Đầu tiên, cần thay đổi ngay mật khẩu mặc định của các tài khoản admin sau khi cài đặt và áp dụng các chính sách mật khẩu mạnh, bao gồm cả việc hash mật khẩu trước khi lưu trữ. Đối với người dùng Horizon, cần triển khai các kiểm tra độ mạnh mật khẩu (ví dụ: sử dụng Regex hoặc module Python-crack) để ngăn chặn việc sử dụng mật khẩu yếu. Thứ hai, việc cấu hình quyền đọc/ghi nghiêm ngặt cho các tệp cấu hình chứa thông tin nhạy cảm là bắt buộc, chỉ cho phép các user có thẩm quyền truy cập. Thứ ba, đối với vấn đề tấn công injection, mặc dù Horizon có biện pháp phòng ngừa tốt, các nhà quản trị cần tránh sử dụng các truy vấn SQL thô hoặc custom SQL không được kiểm soát. Cuối cùng, một khuyến nghị quan trọng là việc nghiên cứu và áp dụng các giải pháp xác thực và ủy quyền theo chuẩn công nghiệp (như SPML, OATH) thay vì các giải pháp độc quyền để tránh khóa khách hàng và tăng cường bảo mật OpenStack tổng thể. Những biện pháp này giúp giảm thiểu rủi ro bảo mật OpenStack và hướng tới triển khai OpenStack an toàn hơn.

VI. Tương Lai An Toàn Định Hướng Phát Triển An Ninh Đám Mây OpenStack

Tổng kết những phân tích về OpenStack và an ninh thông tin cho thấy rằng, mặc dù nền tảng này mang lại nhiều lợi ích, nhưng cũng đặt ra những yêu cầu nghiêm ngặt về bảo mật đám mây. Các thách thức bảo mật OpenStack được xác định qua các tài liệu của CSA, ENISA, NIST và nghiên cứu thực nghiệm đã cung cấp cái nhìn toàn diện về những điểm yếu cần được khắc phục. Từ quản lý danh tính yếu, lỗ hổng OpenStack trong cấu hình, đến các rủi ro bảo mật OpenStack liên quan đến việc lưu trữ và xử lý dữ liệu, mỗi khía cạnh đều cần được chú trọng. Việc áp dụng một chiến lược Cloud security OpenStack đa lớp, bao gồm cả kỹ thuật và chính sách, là chìa khóa để đảm bảo một môi trường đám mây mở thực sự an toàn và đáng tin cậy. Các giải pháp an ninh OpenStack cần được cập nhật liên tục để đối phó với sự phát triển không ngừng của các mối đe dọa mạng. Luận văn của Nguyễn Trọng Điệp (2016) đã đặt nền móng cho việc hiểu rõ hơn về an ninh thông tin trong OpenStack, đồng thời đề xuất các hướng đi cụ thể để tăng cường bảo mật OpenStack trong thực tiễn.

Nhìn về tương lai, an ninh thông tin cho OpenStack sẽ tiếp tục phát triển cùng với các xu hướng công nghệ mới. Sự tích hợp của Trí tuệ nhân tạo (AI) và Học máy (ML) vào các hệ thống giám sát bảo mật OpenStack sẽ giúp tự động hóa việc phát hiện và phản ứng với các mối đe dọa. Công nghệ blockchain cũng có thể được khám phá để tăng cường tính toàn vẹn và minh bạch trong quản lý truy cập và dữ liệu. Việc phát triển các tiêu chuẩn chung và khả năng tương tác giữa các nhà cung cấp dịch vụ đám mây sẽ giúp giảm thiểu rủi ro khóa khách hàng và cải thiện tính di động của dữ liệu. Các cộng đồng mã nguồn mở như OpenStack sẽ tiếp tục đóng vai trò quan trọng trong việc phát hiện và khắc phục các lỗ hổng OpenStack, đồng thời thúc đẩy đổi mới trong lĩnh vực bảo mật đám mây. Bằng cách liên tục tìm hiểu OpenStack và an ninh thông tin, cộng đồng có thể xây dựng một tương lai nơi điện toán đám mây không chỉ mạnh mẽ và linh hoạt mà còn được bảo vệ vững chắc trước mọi thách thức về an ninh.

6.1. Tổng Kết Các Thách Thức Và Giải Pháp An Ninh OpenStack Đã Phân Tích

Qua quá trình tìm hiểu OpenStack và an ninh thông tin, bài viết đã tổng kết các thách thức bảo mật OpenStack chính và các giải pháp an ninh OpenStack tương ứng. Các mối đe dọa bao gồm lỗ hổng OpenStack từ quản lý danh tính yếu, rủi ro bảo mật OpenStack trong lưu trữ dữ liệu, đến các vấn đề liên quan đến bảo mật mạng OpenStack (Neutron) và ảo hóa (Nova). Luận văn của Nguyễn Trọng Điệp (2016) đã phân tích kỹ lưỡng các vấn đề này, nhấn mạnh sự cần thiết của việc tăng cường bảo mật OpenStack (Hardening) cho từng thành phần. Các giải pháp được đề xuất tập trung vào việc áp dụng xác thực mạnh mẽ (Keystone), mã hóa dữ liệu OpenStack (Cinder, Swift), cấu hình tường lửa OpenStack và phân đoạn mạng (Neutron), cùng với việc bảo mật ảo hóa OpenStack (Nova). Việc giám sát bảo mật OpenStack liên tục thông qua ghi nhật ký OpenStack và quy trình phản ứng sự cố OpenStack cũng là yếu tố then chốt. Tổng thể, một chiến lược bảo mật OpenStack hiệu quả đòi hỏi sự kết hợp chặt chẽ giữa các biện pháp kỹ thuật, chính sách quản lý và đào tạo người dùng để đảm bảo triển khai OpenStack an toàn.

6.2. Xu Hướng Cloud Security OpenStack Phát Triển Và Ứng Dụng Công Nghệ Mới

Tương lai của Cloud security OpenStack sẽ được định hình bởi sự phát triển không ngừng của công nghệ và sự gia tăng của các mối đe dọa. Một trong những xu hướng chính là việc áp dụng Trí tuệ nhân tạo (AI) và Học máy (ML) để nâng cao khả năng giám sát bảo mật OpenStack và phân tích dữ liệu nhật ký, giúp tự động phát hiện các hành vi bất thường và phản ứng nhanh chóng hơn. Công nghệ blockchain cũng đang được nghiên cứu để tăng cường bảo mật cho quản lý danh tính và kiểm soát truy cập trong môi trường OpenStack, mang lại tính minh bạch và bất biến. Mô hình Zero Trust Security, với nguyên tắc 'không tin tưởng, luôn xác minh', đang ngày càng được áp dụng để củng cố an ninh thông tin tổng thể. Ngoài ra, việc phát triển các tiêu chuẩn bảo mật đám mây thống nhất và các giải pháp mã nguồn mở và bảo mật hợp tác sẽ giúp cộng đồng OpenStack đối phó tốt hơn với các thách thức bảo mật OpenStack. Những xu hướng này hứa hẹn một tương lai nơi OpenStack không chỉ là một nền tảng mạnh mẽ mà còn là một môi trường điện toán đám mây với kiến trúc bảo mật OpenStack được tăng cường liên tục, đáp ứng các yêu cầu ngày càng cao của an ninh thông tin.

27/09/2025

Trích đoạn nội dung tài liệu

Chương 1 CÁC VẤN ĐỀ AN NINH ĐIỆN TOÁN ĐÁM MÂY Trong quá trình phân tích vấn đề an ninh trong phần mềm Openstack thì trước hết cần phải nhận diện các mối an ninh có liên quan đến điện toán đám mây. Để làm được điều đó phải nghiên cứu và sau đó so sánh các tài liệu được các tổ chức, viện và các công ty lớn viện công nghệ thông tin lớn đưa ra. Để cho quá trình so sánh tốt nhất, luận văn đã lựa chọn các tài liệu liên quan đến an ninh đám mây được phát hành bởi các tổ chức tiêu biểu như Cloud Security Alliance – CSA [1] và hai tổ chức có quỹ chính phủ của châu Âu và Mỹ đó là: European Network and Information Security Agency – ENISA [2] và National Institute of Standart and Technology – NIST [3] Trong phần dưới đây, luận văn sẽ trình bày nội dung cơ bản các tài liệu của CSA, ENISA và NIST. Sau đó chúng ta sẽ tiến hành đưa ra so sánh giữa các vấn đề được nêu ra trong các tài liệu đó và đưa ra kết quả của việc phân tích này.1 Những vấn đề an ninh được đưa ra bởi CSA CSA là một tổ chức phi lợi nhuận được thành lập cuối năm 2008 sau khi có một sự khởi xướng nhằm đảm bảo an ninh điện toán và được đưa ra tại hội nghị an ninh thông tin [1].

Hầu hết các công ty IT lớn có liên quan đến điện toán đám mây đều hợp tác và làm việc với các thành viên của CSA bao gồm Google, Microsoft, IBM, Salesfore. Tài liệu hướng dẫn này đầu tiên được viếtđưa ra các bước cần thiết cho việc một công ty đã sẵn sàng cho việc chuyển đổi sang dịch vụ Cloud hay chưa. Bao gồm: Xác định và đánh giá các tài nguyên cho việc triển khai vào Cloud, ánh xạ các tài nguyên đến các mô hình triển khai sẵn có, định ước tiềm năng các nhà cung cấp Cloud và phác họa dòng dữ liệu [4]. Vấn đề an ninh sẽ được mô tả sau đây.

Sau mỗi miêu tả về các vấn đề an ninh, các khuyến nghị làm giảm bớt sẽ được đưa ra. Các vấn đề an ninh được chia thành hai loại sau: 10  Quản lý: Mục 1 - 5  Vận hành: Mục 6 - 12 Bảng 1 Các vấn đề an ninh được đưa ra bởi CSA[1] Dưới đây mà các mô tả ngắn về các vấn đề an ninh được đưa ra trong bảng 1. Mục 1 Governance and enterprise risk management - Quản lý rủi ro doanh nghiệp, làm việc với các tổ chức chính phủ về vấn đề an ninh thông tin. Service Level Agreeements - SLA được đưa ra để đánh giá các thành phần an ninh được liệt ra trong SLA và sẽ được thực thi.

Với quản lý rủi ro, không chỉ đánh giá nhà cung cấp dịch vụ Cloud mà còn phụ thuộc vào độ tin cậy của nhà cung cấp đó. Bên cạnh đó, nó cũng khuyến cáo rằng một phần của chi phí sử dụng điện toán đám mây được đầu tư vào việc đánh giá an ninh của các nhà cung cấp dịch vụ Cloud (CSP) [4] Mục 2 và 3 mô tả sự tuân thủ với các điều khoản và các vấn đề hợp pháp. Mục 4 - Quản lý vòng vòng đời thông tin (Information Lifecycle Management) miêu tả nhiều vấn đề liên quan đến thao tác dữ liệu (tạo, lưu trữ, sử dụng, chia sẻ, 11 lưu trữ và xóa). Phân chia và cô lập dữ liệu trong các mô trường Cloud sẽ được thảo luận tại đây.

Mục 5 - Thảo luận về việc việc di trú và tương tác (Portability and Interoperability) sẽ được đưa ra với những lý do rõ ràng cho việc thay đổi giữa các nhà cung cấp dịch vụ Cloud. Nó cũng được trình bày rằng hiện nay điện toán đám mây rất thiếu các chuẩn tương tác, đó chính là tại sao việc chuyển đổi giữa các nhà cung cấp điện toán là không hề dễ dàng. Trong mục 6, các nhà nghiên cứu CSA thảo luận bên trong các vấn đề đe dọa, tính liên tục trong doanh nghiệp và phục hồi rủi ro. Mục 7 - Hoạt động trung tâm dữ liệu - Data Center Operations thảo luận chính với các vấn đề để xem xét trong quá trính lựa chọn của nhà cung cấp dịch vụ Cloud và đề xuất chi trả cho việc thử nghiệm, phân chia, xử lý để dự đoán sự sẵn có và hiệu suất, quản lý cập nhật và bộ phận hỗ trợ.

Trong thảo luận tiếp theo ở mục 8, các nhà nghiên cứu từ CSA đề xuất sự nhận thức phải có các công cụ cho sự phát hiện sự cố, phân tích cách nhà phát triển sử dụng, liệu rằng có thể truy cập các tệp Log và lấy cái bản Snapshot của môi trường giả lập của khách hàng cho việc phân tích kèm theo đó là xác nhận khả năng phục hồi lại trạng thái cũ trước khi xảy ra sự cố. Trong mục 9 của bảng, an ninh phần mềm - Application Security nhấn mạnh vào sự thay đổi tới vòng đời phát triển phần mềm được giới thiệu khi sử dụng điện toán đám mây. Các cảnh báo khác liên quan đến độ khó gia tăng trong quản lý cấu hình. Đánh giá khả năng bị tấn công cũng được khuyến nghị.

Mục 10 - Trong thảo luận quản lý Key và mã hóa, khuyến nghị mạnh mẽ để bảo mật sự tương tác giữa các Host cho dù là trong mạng nội bộ Cloud của nhà phát hành. Giao thức hoạt động tương tác quản lý chìa khóa OASIS được nhắc đến như là một chuẩn được nổi lên cho quản lý Key trong Cloud. Vấn đề 11 được đưa ra với sự cảnh báo rằng các nhà quản lý sẽ không thể hoạt động trong Cloud hiệu quả trong 1 thời gian dài mà không có một kế hoạch quản lý truy cập và nhận dạng tốt. Cuối cùng, các vấn đề liên quan đến ảo hóa sẽ kết thúc các thảo luận các vấn đề an ninh được đưa ra bởi SCA.2 Các các vấn đề được đưa ra bởi ENISA ENISA là cơ quan an ninh thông tin và mạng châu âu là một tổ chức có chức nhiệm vụ tăng cường khả năng cung cấp của các thành viên châu âu và các hiệp hội doanh nghiệp để ngăn chặn, hướng tới và phản hồi các vấn đề an ninh thông tin và mạng Internet [2].

ENISA đã phát hành trong tháng 11-2009 tài liệu “Đánh giá rủi ro an ninh điện toán đám mây” [5], phác thảo 2 vấn đề lợi ích an ninh và rủi ro an ninh của điện toán đám mây. Tài liệu này cho thấy các lợi ích rõ ràng của điện toán đám mây. Sau đó là một mô tả về việc đánh giá rủi ro được thực hiện. Theo như các kịch bản sự cố có thể có thật và được ước lượng sự tác động tiêu cực đến doanh nghiệp, mức độ rủi ro cũng được đánh giá như là một vấn đề.

Danh sách các vấn đề được theo dõi và bao gồm các rủi ro sẽ được chỉ rõ trong điện toán đám mây. Các vấn đề sẽ dễ bị tấn công, đánh giá và một loạt các khuyến nghị sẽ được chọn để thảo luận trong tài liệu này. Rủi no an ninh liên quan đến điện toán đám mây được đưa ra trong bảng 2. Trái ngược với tài liệu được đưa ra bởi CSA [1] và NIST [3], các vấn đề an ninh được thảo luận trong tài liệu trong ENISA được nêu rõ rất chi tiết đó chính là tại sao chúng ta không chia chúng thành các vấn đề nhỏ hơn.

Như thấy trong bảng 2, tất cả các vấn đề được chia ra chính xác trong 3 mục lớn: Vấn đề tổ chức và chính sách, vấn đề kỹ thuật và các vấn đề pháp lý. Một mô tả cơ bản các vấn đề an ninh được đưa ra dưới đây. 13 Bảng 2 Các vấn đề an ninh được đưa ra bởi ENISA Khóa (Lock-in) ở mục 1 của bảng 2: Dữ liệu và vấn đề dịch vụ di động bắt đầu các vấn đề tổ chức và chính sách được đưa ra bởi ENISA. Vấn đề di động được bàn luận trong ngữ cảnh của một mô hình dịch vụ Cloud được sử dụng.

Sau đó các điểm về quản lý lý, sự tuân theo và các vấn đề gián tiếp từ các khách hàng đang sử dụng cùng nhà cung cấp sẽ được thảo luận (Mục 4). Thử thách tính sẵn sàng có thể là kết quả của các vấn đề bên trong các nhà cung cấp dịch vụ Cloud (Mục 5-6) hoặc các bên thứ 3 rằng tin cậy (Mục 7), kết thúc là rủi ro tổ chức và chính sách được đưa ra bởi ENISA. Danh sách các vấn đề kỹ thuật (Mục 8-20) trong bảng 2 được bắt đầu với các mối đe dọa tính sẵn sàng từ việc thiếu tài nguyên (Mục 8). Lỗi cơ chế cho đến cô lập các nguồn được chia sẻ giữa các khách hàng được bắt đầu nói đến ở mục 9.

Bên trong các mối đe dọa được đưa ra ở mục 10, một vài rủi ro được đưa ra rằng có thể 14 cho vào các nhóm vấn đề rộng hơn. Ví dụ: Sự thương thảo quản lý (Mục 11) và bộ máy dịch vụ thương thảo sẽ làm việc với an ninh phần mềm, các phần tổn thương trong phần mềm được sử dụng cho việc cung cấp dịch vụ Cloud. Hai mối đe dọa giống nhau nói đến sự ngăn chặn dữ liệu mạng, cả hai đều trong cơ sở hạ tầng của nhà cung cấp dịch vụ (Mục 12) và trên đường dẫn giữa khách hàng và nhà cung cấp Cloud (Mục 13). Các vấn đề liên quan đến sự an toàn khi xóa dữ liệu trên tất cả các Storage (Mục 14).

Các mối đe dọa từ chối dịch vụ cũng được nói đến với hai rủi ro, từ một cuộc tấn công đến nguyên nhân của các vấn đề tính sẵn sàng (Mục 15) được chia ra từ một trường hợp khi mà nguồn dữ liệu tăng cao từ một yêu cầu dịch vụ nguy hiểm có thể tăng giá thành của dịch vụ Cloud cho một khách hang. Như vậy có sự tác động kinh tế tiêu cực trong chính ngành của nó (Mục 16). Các vấn đề kỹ thuật khác được đối phó với các vấn đề quản lý mã hóa (Mục 17) gồm: Mạng nguy hiểm quét bên trong đến các cơ sở hạ tầng Cloud (Mục 18), nỗ lực của khách hàng không đủ để an toàn khôi trường thực thi (Mục 20), danh sách các vấn đề hợp pháp (Mục 21-24) bắt đầu với việc các phương thức cho đến phản hồi và quá trình khám phá (Mục 21). Ba vấn đề khác đối phó với việc dính líu, lôi kéo dữ liệu khác nhau như là sự tuân theo nơi lưu trữ dữ liệu (Mục 22), tuân thủ bảo vệ dữ liệu (Mục 23) và các rủi ro từ việc không có sự hiểu biết chính xác khi dữ liệu được lưu trữ trên Cloud.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ