Bảo mật điện toán đám mây

 

 

digistar

1 Giới thiệu

Bảo mật điện toán đám mây (cloud computing security hay viết tắt cloud security) là một lĩnh vực nghiên cứu bao gồm các vấn đề chính sách, công nghệ, và điều khiển để bảo vệ dữ liệu và kiến trúc của điện toán đám mây.

2 Các vấn đề bảo mật liên quan tới điện toán đám mây
Bảo mật điện toán đám mây gồm 2 mảng: các vấn đề bảo mật của nhà cung cấp điện toán đám mây (các tổ chức cung cấp phần mềm, platform hay cơ sở hạ tầng) gặp phải và các vấn đề bảo mật của khách hàng gặp phải. Các nhà cung cấp điện toán đám mây phải đảm bảo rằng cơ sở hạ tầng mà họ cung cấp phải an toàn với ý nghĩa là các dữ liệu và ứng dụng của khách hàng được bảo vệ. Trong khi đó, khách hàng phải đảm bảo rằng các nhà cung cấp đã áp dụng biện pháp an ninh phù hợp để bảo vệ thông tin của họ.
Sự mở rộng áp dụng kỹ thuật ảo hóa để xây dựng hạ tầng của điện toán đám mây làm phát sinh các vấn đề bảo mật đặc thù đối với khách hàng (đối tượng sử dụng dịch vụ điện toán đám mây). Kỹ thuật ảo hóa thay đổi liên kết giữa hệ điều hành và các kiến trúc phần cứng như là tính toán, lưu trữ và hệ thống mạng. Điều nà tạo một lớp mới – ảo hóa – cần được cấu hình, quản lý và bảo mật. Các vấn đề cần quan tâm là phần mềm ảo hóa (còn gọi là hypervisor). Ví dụ, khi một vấn đề bảo mật xảy ra ở các máy trạm quản trị có các phần mềm quản lý phần mềm ảo hóa sẽ có thể làm sụp đổ toàn bộ hệ thống.

3 Các điều khiển bảo mật điện toán đám mây
Kiến trúc bảo mật của điện toán đám mây [1] chỉ hiệu quả nếu triển khai được các phương pháp phòng thủ thích hợp. Một kiến trúc bảo mật điện toán đám mây hiệu quả nên nhận ra những vấn đề phát sinh liên quan đến việc bảo mật. Việc quản lý các vấn đề bảo mật liên quan đến việc điều khiển và kiểm soát bảo mật. Các điểu khiển này được đưa ra để bảo vệ những điểm yếu trong hệ thống và giảm tác động của một cuộc tấn công. Trong khi có rất nhiều cách để kiểm soát bảo mật điện toán mây, có các cách phổ biến sau [2]:

3.1 Ngăn chặn
Điều khiển này được thiết lập để phòng ngừa những tấn công có mục đích vào hệ thống điện toán đám mây. Tương đối giống với một dấu hiệu cảnh bảo ở hàng rào hay tài sản, những điều khiển này không làm giảm khả năng hệ thống bị tổn thương thật sự.

3.2 Phòng ngừa
Các điều khiển tăng cường sức mạnh của hệ thống bằng cách quản lý các lỗ hổng. Kiểm soát phòng ngừa sẽ bảo vệ các lổ hổng của hệ thống. Nếu một cuộc tấn công xảy ra, các điều khiển phòng ngừa được đưa ra để đảm bảo giảm thiểu thiệt hại và sự xâm phạm bảo mật của hệ thống.

3.3 Sửa chữa
Điều khiển điều chỉnh, sửa chữa được sử dụng để giảm tác động của các cuộc tấn công. Không như các điều khiển phòng ngừa,các điều khiển sửa chữa được triên khai khi các cuộc tấn công diễn ra.

3.4 Dò tìm lỗi
Điều khiển đo tìm được sử dụng để phát hiện bất kỳ cuộc tấn công có thể xảy ra với hệ thống. Trong trường hợp một cuộc tấn công, kiểm soát dò tìm sẽ báo hiệu điều khiển phòng ngừa hoặc khắc phục để giải quyết vấn đề.

4 Các khía cạnh của bảo mật điện toán đám mây
Các khía cạnh của bảo mật điện toán đám mây được tổng hợp thành 3 khía cạnh chung nhất như sau: bảo mật và bảo mật, tuân thủ, và các vấn đề pháp lý hoặc hợp đồng.

4.1 An ninh và sự riêng tư
• Quản lý định danh: Mỗi doanh nghiệp sẽ có hệ thống quản lý định danh riêng của mình để kiểm soát truy cập vào các nguồn thông tin và máy tính. Các nhà cung cấp điện toán đám mây hoặc tích hợp hệ thống quản lý danh tính của khách hàng vào cơ sở hạ tầng riêng của họ, sử dụng công nghệ liên kết thành lập liên minh (Federation) hoặc Single-Sign-On (SSO), hoặc cung cấp một giải pháp quản lý danh tính của riêng mình.
• Bảo mật cá nhân: Các nhà cung cấp đảm bảo rằng các máy vật lý dùng trong điện toán đám mây là đủ an toàn và truy cập vào các máy này cũng như tất cả các dữ liệu khách hàng có liên quan không chỉ bị giới hạn truy cập mà còn được ghi nhận lại.
• Tính hợp lý: Các nhà cung cấp điện toán đám mây đảm bảo khách hàng rằng họ sẽ có quyền truy cập thường xuyên và dự đoán được các dữ liệu và ứng dụng của họ.
• Bảo mật ứng dụng: Các nhà cung cấp điện toán đám mây đảm bảo rằng các ứng dụng có sẵn như là một dịch vụ thông qua các đám mây đảm bảo an toàn bằng cách hiện thực việc kiểm tra và chấp nhận thủ tục bên ngoài hoặc đóng gói mã ứng dụng. Nó cũng đòi hỏi các biện pháp bảo mật ứng đụng được đặt đúng chỗ trong
môi trường sản xuất.
• Tính riêng tư: Cuối cùng, các nhà cung cấp đảm bảo rằng tất cả các dữ liệu quan trọng (ví dụ, số thẻ tín dụng) được che dấu và rằng chỉ có những người dùng có đủ thẩm quyền mới có thể truy cập toàn bộ dữ liệu. Hơn nữa, các thông tin và định danh được số hóa và các thông tin phải được bảo vệ như bất kỳ dữ liệu nào mà các nhà cung cấp thu thập hoặc tạo ra về hoạt động của khách hàng trong các đám mây.
• Vấn đề pháp lý: Ngoài ra, các nhà cung cấp và khách hàng phải xem xét vấn đề pháp lý, chẳng hạn như hợp đồng và kiểm tra điện tử [3] – E-Discovery – (Electronic Discovery), và các vấn đề pháp luật có liên quan, có thể khác nhau tùy theo quốc gia.

4.2 Chính sách
Nhiều quy định liên quan đến việc lưu trữ và sử dụng dữ liệu, bao gồm cả thanh toán thẻ dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI DSS), các bảo hiểm y tế và trách nhiệm Act (HIPAA), đạo luật Sarbanes-Oxley. Nhiều trong số các quy định trên yêu cầu báo cáo thường xuyên và được kiểm toán. Các nhà cung cấp đám mây phải cho phép khách hàng của họ có thể đáp ứng phù hợp với các quy định này.
• Tính liên tục đáp ứng và khôi phục dữ liệu: Các nhà cung cấp điện toán đám mây phải có kế hoạch kinh doanh liên tục và phục hồi dữ liệu tại chỗ để đảm bảo dịch vụ có thể được duy trì trong trường hợp có thảm họa hoặc tình trạng khẩn cấp, và bất kỳ mất mát dữ liệu sẽ được phục hồi. Các kế hoạch này được chia sẻ và xem xét với khách hàng của họ.
• Ghi nhận và kiểm toán: Ngoài việc ghi nhận lại và kiểm toán, các nhà cung cấp điện toán đám mây làm việc với khách hàng của họ để đảm bảo rằng những ghi nhận và tài liệu kiểm toán được bảo vệ đúng cách, duy trì cho đến khi khách hàng yêu cầu, và có thể truy cập vào các mục đích điều tra pháp lý (ví dụ, eDiscovery) .
• Các yêu cầu chính sách riêng biệt: Ngoài các yêu cầu mà khách hàng đưa ra, các trung tâm dữ liệu duy trì bởi các nhà cung cấp điện toán đám mây cũng có thể bị yêu cầu tuân thủ các yêu cầu riêng biệt khác. Sử dụng một nhà cung cấp dịch vụ điện toán đám mây (CSP) có thể dẫn đến những vấn đề bảo mật bổ sung xung quanh thẩm quyền dữ liệu từ khách hàng hoặc người thuê dữ liệu có thể không tồn tại trên cùng một hệ thống, hoặc trong các trung tâm dữ liệu tương tự hoặc thậm chí trong điện toán đám mây của cùng nhà cung cấp.
• Các vấn đề pháp lý và hợp đồng: Bên cạnh những vấn đề bảo mật và tuân thủ liệt kê ở trên, các nhà cung cấp điện toán đám mây và khách hàng của họ sẽ đàm phán các điều khoản xung quanh trách nhiệm pháp lý (ví dụ, quy định như thế nào liên quan đến sự cố mất mát dữ liệu hoặc sự thỏa hiệp sẽ được giải quyết như thế nào), sở hữu trí tuệ, và kết thúc của dịch vụ (khi dữ liệu và ứng dụng cuối cùng được trở lại cho khách hàng).

5 Tài liệu tham khảo
[1] http://www.infoq.com/articles/cloud-…itecture-intro
[2] http://www.techopedia.com/definition…curity-control
[3] http://en.wikipedia.org/wiki/Electronic_discovery