Bảo mật và khả năng kháng lỗi trong điện toán đám mây

Bảo mật và khả năng kháng lỗi trong điện toán đám mây
access_time 11/1/2015 8:07:05 PM
person Nguyễn Mạnh Hùng
Vấn đề an toàn thông tin đối với doanh nghiệp là vấn đề sống còn do vậy bảo mật chính là rào cản lớn nhất quyết định liệu điện toán đám mây có được sử dụng rộng rãi nữa hay không. Hầu hết các nhà cung cấp dịch vụ đám mây công cộng (public cloud) không đảm bảo sự an toàn về dữ liệu khi thực hiện truyền thông tin trong đám mây công cộng.
Có rất nhiều các cuộc hội thảo đề cập tới các vấn đề bảo mật điện toán đám mây. Trong khoàng thời gian từ tháng sáu đến tháng tám năm 2009, một số các mạng xã hội như Twitter,  Facebook,  Livejournal,  và Google trở thành mục tiêu của các cuộc tấn công bằng cách sử dụng DdoS [Sheehan  M  (2009)  Message  from  GoGrid  founders  regarding  denial  of  service  attack. Retrieved from, GoGrid Official Blog, http://blog.gogrid.com][ Ristenpart T  et  al  (2009) Hey, you, get off of my  cloud:  exploring  information  leakage  in third-party compute clouds. Proceeding of ACM conference on computer and communications security], tấn công bằng DDoS trở lên đơn giản hơn và mạnh mẽ hơn đối với các môi trường như EC2.
 Những thách thức chính của bảo mật đám mây đó là hiệu suất, quản lý rủi ro, thực hiện giám sát, thiết kế và các vấn đề liên quan tới triển khai. Xây dựng lòng tin giữa các bên liên quan tới điện toán đám mây như người dùng, doanh nghiệp, mạng và nhà cung cấp dịch vụ. Xây dựng các chính sách và hỗ trợ kỹ thuật về các vấn đề liên quan tới bảo mật cho người sử dụng cuối có thể là một ý tưởng tốt của nhà cung cấp dịch vụ.

1. Mã hóa và Giải mã (Encryption/Decryption)
Khách hàng lo lắng về bảo mật thông tin của họ nên thực hiện mã hóa dữ liệu trước khi chuyển dữ liệu nên mây. Các nhà cung cấp dịch vụ phải cung cấp các tiện tích để đơn giản hóa quá trình mã hóa các tập tin và chuyển chúng nên đám mây.
Các nhà cung cấp sử dụng các tiêu chuẩn mã hóa tân tiến “Advanced Encryption Standard (AES)”  như AES-128, AES-192, hoặc AES-256.
Hình số 1 : Mã hóa trước khi chuyển dữ liệu nên đám mây
1.1 Định danh cục bộ và định danh liên đoàn(Privacy and Federated Identity)
Quá trình phát triển các dịch vụ trong điện toán đám mây ngày một gia tăng, Thông tin được lưu trữ trên các máy tính cá nhân có thể được lưu trữ trong đám mây. Các tài liệu lưu trữ có thể bao gồm : Văn bản, bảng tính, âm thanh, video, hồ sơ, thông tin tài chính của mỗi cá nhân…;
Định danh cục bộ
Trong điện toán đám mây có thể được mô tả như sau “Khả năng của mỗi tổ chức/cá nhân có thể kiểm soát các thông tin của chính mình trong điện toán đám mây, ngoài ra định danh cục bộ còn cung cấp khả năng kiểm soát người dùng truy cập thông tin vào chính tổ chức/cá nhân đó .
  • Thông tin cá nhân được quản lý và giám sát như là một phần thông tin được sử dụng của một tổ chức. Nó sẽ được quản lý từ khi thông tin được hình thành cho tới khi thông tin bị hủy bỏ.  Bảo vệ thông tin cuả cá nhân trong đám mây sẽ được xem xet theo từng giai đoạn : Tạo ra dữ liệu, sử dụng dữ liệu, chuyển giao và chuyển đổi dữ liệu, lưu trữ dữ liệu, các thiết bị lưu trữ dữ liệu và hủy bỏ dữ liệu.
  • Không thể sử dụng đám mây để lưu trữ, xử lý dữ liệu và chương trình nếu như đám mây không hỗ trợ bảo mật thông tin. Vấn đề quan trọng đề cập đến tính riêng biệt trong đám mây đó là làm thế nào để bảo mật thông tin đối với người dùng không được phép truy cập thông tin? , thậm chí khi nhà cung cấp đám mây không đáng tin cậy.
Định danh liên đoàn (Federated Indentity)
Là vấn đề định danh cho các đối tượng không cùng một tổ chức, doanh nghiệp nhằm phục vụ những hoạt động chung. Nó nhắm tới các vấn đề tương tác giữa các hệ thống doanh nghiệp khác nhau mà không cần phải phân chia gianh giới giữa chúng. Đặc trưng kỹ thuật này được thực hiện một cách dáng tin cậy.
Định danh liên đoàn là chuẩn kỹ thuật cho phép các tổ chức khác nhau cùng chia xẻ định danh giữa chúng. Chuẩn kỹ thuật này còn cho phép định danh thông tin xuyên suốt giữa các mạng khách nhau.  Ứng dụng phổ biến của định danh liên hợp như thực hiện chế độ chỉ thực hiện đăng nhập một lần(single sign-on) có bảo mật trên Internet (Người sử dụng đăng nhập thành công vào một hệ thống thì họ có thể truy xuất thông tin của các mạng hội viên mà không cần phải đăng nhập lại thông tin). Mô tả quá trình thực hiện đăng nhập một lần theo hình sau :
Hình số 2 : Ví dụ thực hiện cơ chế đăng nhập một lần
Sử dụng định danh liên đoàn có thể làm gia tăng tính bảo mật cho mạng, người sử dụng chỉ cần định danh và xác thực một lần là họ có thể sử dụng được các mạng khác.
Sử dụng định danh liên đoàn trong đám mây có nghĩa người sử dụng trong các đám mây khác nhau có thể sử dụng định danh liên đoàn để định danh cho chính họ. Tất nhiên, yêu cầu đinh danh phải được mã hóa. Với cách tiếp cận này, người dùng và máy chủ đám mây phải là duy nhất (không có sự trùng lặp). Các định danh này là định danh có phân tầng. Để truy nhập vào dịch vụ đám mây, mỗi người sử dụng cần phải xác thực thông tin trên mỗi đám mây lưu trữ thông tin của họ, với các đám mây nhỏ yêu cầu xác thực thông tin là đơn giản, Tuy nhiên với đám mây lai (Hybrid cloud) vì là sự kết hợp của đám mây riêng (private cloud) và đám mây công cộng(public cloud) nên việc định danh là khó khăn hơn vì người dùng và máy chủ nằm ở các miền khác nhau .

 
Ví dụ định danh liên đoàn:
Hình số 3 : Quản lý định danh liên đoàn trong đám mây
 
Trong đó KPG (Private key generator) gốc sẽ thực hiện việc phân bổ và xác thực định danh cho tất cả các đám mây riêng và đám mây chung. Đám mây riêng và đám mây chung sử dụng miền KPG của mình để thực hiện phân bổ, xác thực thông tin của người sử dụng và máy chủ trên đám mây của mình. Mỗi người dùng và máy chủ sẽ được định danh bởi chính họ. Định danh này là định danh phân tầng (hierarchical identity). Hình dưới đây mô tả kiến trúc này.
Hình số 4 : Kiến trúc định danh phân tầng
Mô tả
  • Tại nút gốc (nút có mức 0) đó là KPG gốc.
  • Tại nút con mức 1 chính là các nhánh của KPG. Thực chất đây là một trung tâm dữ liệu (cung cấp dịch vụ lưu trữ của đám mây)
  • Tại nút là (nút con mức 2) là người sử dụng trọng điện toán đám mây.
1.2. Chứng thực và cấp phép (Authorization and Authentication).

Đối với tất cả các doanh nghiệp, quản lý tài khoản của người dùng và cấp đặc quyền truy xuất vào các tài nguyên tưng ứng với quyền được cấp phát là vô cùng quan trọng. Người sử dụng phải chấp hành nghiêm chỉnh các quy định về quyền hạn truy xuất tài nguyên trong công ty.
Trong các doanh nghiệp có thể có nhiều các hệ thống mạng khác nhau do vậy rất có thể mỗi nhân viên sẽ có nhiều tài khoản để truy cập vào các mạng này. Do vậy quản trị mạng trong doanh nghiệp có thể đối mặt với vấn đề là cần phải chứng thực người sử dụng nhiều lần khác nhau ứng với các mạng khác nhau. Mặt khác các doanh nghiệp cũng gặp khó khăn khi thực hiện hỗ trợ nhân viên chỉ cần truy nhập một lần khi truy suất thông tin. Các phần mềm hỗ trợ cho xử lý đăng nhập một lần cũng gặp nhiều các vấn đề về an toàn thông tin.
Chứng thực và cấp phép trong điện toán đám mây có hai loại cơ bản. Các hàm API của đám mây thực hiện chức năng tạo, quản lý máy ảo và truy xuất khi máy ảo đang chạy.
Với chứng thực, các đám mây thương mại dựa trên các thông tin thanh toán để định danh khách hàng. Đám mây riêng dựa trên chứng thực như giấy chứng X509 hoặc nền tảng KPI. Ví dụ Amazon E2 API là chuẩn phổ biến, Nó sử dụng SOAP API dựa trên giấy chứng thực X509 để thực hiện chứng thực người dùng. Ngoài ra Amazon E2 API có một API REST còn gọi là API truy vấn trong đó sử dụng một cặp khóa truy nhập/ khóa bảo mật để chứng thực và quản lý các máy.
Ủy quyền được thực hiện bằng cách xác định người sử dụng và cấp quyền ưu tiên cho người dùng. Người dùng sau đó sẽ được cấp một cặp giấy chứng thực X509/khóa và khóa truy nhập/khóa bảo mật. Một số đám mây có đặc điểm “nhóm bảo mật”, trong đó nhóm có thể nhìn thấy hình các hình ảnh ảo của nhau, đặc điểm này cho phép các thành viên trực thuộc nhóm chia sẻ truy nhập tới phân khúc của mạng riêng của nhóm mà các thành viên ngoài nhóm không thể truy xuất được. 

2. Khả năng kháng lỗi (Fault Tolerance)
Khả năng kháng lỗi lỗi là một trong những vấn đề được đề cập trong công nghệ điện toán đám mây. Nó đề cập tới tất cả các công nghệ cho phép hệ thống có thể chịu đựng được khi các lỗi xẩy ra. Khi có quá một phần tư triệu nhiệm vụ đang được thự thi thì chỉ cần có một nhiệm vụ bị lỗi thì nó có thể sẽ gây ra hiệu ứng dây truyền gây lỗi cho toàn bộ hệ thống.   Khả năng tự động xử lý lỗi là vô cùng quan trọng, hệ thống phải cố gắng xác định được lỗi, phải đảm bảo dịch vụ phải đáng tin cậy và có tính sẵn sàng cao. Quá trình xảy ra lỗi đều xuất phát từ quy mô dữ liệu của chương trình và từ các đặc điểm của điện toán đám mây.
Lỗi dữ liệu : Lỗi có nguyên nhân từ thiếu sót dữ liệu như nội dung dữ liệu bị sai hoặc bị cắt bớt.
Xử lý tính toán sai : Phần cứng hoặc cơ sở hạ tầng bị hỏng, như việc truy xuất dữ liệu quá chậm, trong truy xuất dữ liệu lưu trữ xảy ra lỗi ngoại lệ.
Cho dù các nguyên nhân xảy ra lỗi là khác nhau, các lỗi được phân biệt theo các loại khác nhau thì hệ thống cần phải đưa ra các chính sách về khả năng chịu lỗi tương ứng với hai loại đã được đề cập ở trên.
vertical_align_top
share
Chat...