ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA LUẬN VĂN THẠC SĨ Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA Ngành: Hệ thống thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS TRỊNH NHẬT TIẾN Hà Nội – 2016 LỜI CẢM ƠN Với lòng kính trọng biết ơn sâu sắc, xin chân thành cảm ơn Thầy PGS.TS Trịnh Nhật Tiến, ngƣời tận tình giúp đỡ hƣớng dẫn suốt trình làm luận văn Xin chân thành cảm ơn gia đình, bạn bè, đồng nghiệp có động viên, hỗ trợ đóng góp ý kiến để hoàn thành công trình nghiên cứu Dù cố gắng nhƣng với trình độ hiểu biết thời gian nghiên cứu thực tế có hạn nên không tránh khỏi thiếu sót Trân trọng cảm ơn! LỜI CAM ĐOAN Tôi xin cam đoan luận văn thạc sĩ với đề tài: “BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA” công trình nghiên cứu riêng Các kết nghiên cứu luận văn trung thực chƣa đuợc công bố công trình khác Nguyễn Việt Dũng MỤC LỤC MỤC LỤC………………………………………………………………………………… BẢNG CHỮ VIẾT TẮT, TỪ CHUYÊN MÔN BẰNG TIẾNG ANH DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ LỜI MỞ ĐẦU Chƣơng - TỔNG QUAN VỀ MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 10 1.1 KHÁI NIỆM VÀ ĐẶC TRƢNG ẢO HÓA 10 1.1.1 Định nghĩa Ảo hóa 10 1.1.2 Phân loại tảng Ảo hóa 10 1.1.3 Ảo hóa kiến trúc vi xử lý x86 12 1.2 KHÁI NIỆM ĐIỆN TOÁN ĐÁM MÂY 13 1.3 ĐẶC TRƢNG ĐIỆN TOÁN ĐÁM MÂY 14 1.4 MÔ HÌNH LỚP DỊCH VỤ CỦA ĐIỆN TOÁN ĐÁM MÂY 14 1.4.1 Hạ tầng hƣớng dịch vụ 14 1.4.2 Dịch vụ tảng .15 1.4.3 Dịch vụ Phần mềm 15 1.5 MÔ HÌNH TRIỂN KHAI ĐIỆN TOÁN ĐÁM MÂY 15 1.5.1 Đám mây công cộng 15 1.5.2 Đám mây riêng 15 1.5.3 Đám mây cộng đồng 16 1.5.4 Đám mây lai 16 Chƣơng - CÁC NGUY CƠ, THÁCH THỨC AN NINH THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 17 2.1 MỐI ĐE DỌA, RỦI RO AN NINH THÔNG TIN MÔI TRƢỜNG ẢO HÓA 17 2.1.1 Tồn lỗ hổng bảo mật phần mềm lõi tảng Ảo hóa 17 2.1.1 Tấn công chéo máy ảo 18 2.1.2 Hệ điều hành máy ảo cô lập 18 2.1.3 Thất thoát liệu thành phần Ảo hóa 19 2.1.4 Sự phức tạp công tác quản lý kiểm soát truy cập 19 2.1.5 Lây nhiễm mã độc hại 19 2.1.6 Tranh chấp tài nguyên 20 2.2 MỐI ĐE DỌA AN NINH THÔNG TIN TRONG MÔI TRƢỜNG ĐIỆN TOÁN ĐÁM MÂY 20 2.2.1 Các mối đe dọa an ninh thông tin Điện toán đám mây .21 2.2.2 Các rủi ro an ninh thông tin điện toán đám mây 25 Chƣơng - GIẢI PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 27 3.1 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG MÔI TRƢỜNG ẢO HÓA 27 3.1.1 Xây dựng kiến trúc ảo hóa an toàn 27 3.1.2 Công nghệ phòng chống mã độc chuyên biệt cho môi trƣờng ảo hóa 27 3.1.3 Thực cấu hình an toàn lớp phần mềm lõi Hypervisor .29 3.1.4 Cấu hình an toàn máy chủ Ảo hóa 29 3.1.5 Thiết kế mạng ảo đảm bảo an toàn thông tin 30 3.1.6 Giới hạn truy cập vật lý máy chủ Ảo hóa (Host) 30 3.1.7 Mã hóa liệu máy ảo 30 3.1.8 Tách biệt truy cập, cô lập liệu máy ảo 30 3.1.9 Duy trì lƣu 31 3.1.10 Tăng cƣờng tính tuân thủ 31 3.2 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG ĐIỆN TOÁN ĐÁM MÂY 31 3.2.1 Lớp phòng thủ thứ kiểm soát truy cập 32 3.2.2 Lớp phòng thủ thứ hai mã hóa 33 3.2.3 Lớp phòng thủ thứ ba khôi phục nhanh chóng 39 3.2.4 Một số biện pháp phòng thủ bổ sung nhằm bảo vệ liệu môi trƣờng điện toán đám mây 40 Chƣơng - TƢ VẤN, TRIỂN KHAI GIẢI PHÁP BẢO VỆ NỀN TẢNG ẢO HÓA CHO TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM 42 4.1 TƢ VẤN, THIẾT KẾ GIẢI PHÁP 42 4.2 TRIỂN KHAI GIẢI PHÁP 44 4.2.1 Mô hình triển khai .45 4.2.2 Thành phần giải pháp 45 4.2.3 Các tính triển khai: 46 4.2.4 Cấu hình thiết lập sách bảo vệ 47 4.2.5 Kết đạt đƣợc sau triển khai giải pháp Deep Security………… 51 KẾT LUẬN………………… …………………………………………………………… 55 TÀI LIỆU THAM KHẢO 56 BẢNG CHỮ VIẾT TẮT, TỪ CHUYÊN MÔN BẰNG TIẾNG ANH Viết tắt Diễn giải API Giao diện lập trình AMS Amazon Web Services CIA Confidentiality-Tính bí mật Integrity-tính toàn vẹn Availability- tính sẵn sàng ĐTĐM Điện toán đám mây DOS Denial-of-service attack FHE Fully Homomorphic Encryption EC2 Elastic Compute Cloud HSM Hardware Security Modules MAC Media access control address IaaS Infrastructure as a Service I/O Input/output NIST The national institute of technology PaaS Platform as a service SaaS Software as a service TLS Transport Layer Security PKI Public Key Infrastructure VM Virtual Machine VPNs Virtual Private Network Security DANH MỤC CÁC BẢNG Bảng 1: Các lỗ hổng bảo mật đƣợc phát công bố năm 2012…………………1 Bảng 2: Vấn đề an toàn thông tin môi trƣờng ảo hóa chiếu theo mô hình CIA….20 Bảng 3: Các mối đe dọa điện toán đám mây………………………………….21 Bảng 4: Các rủi ro an ninh thông tin điện toán đám mây….……………… 25 Bảng 5: So sánh giải pháp Deep Security Trendmicro số giải pháp an ninh khác…… …………………………………………………………………………….44 DANH MỤC CÁC HÌNH VẼ Hình 01: Mô hình Ảo hóa………………………….…………………… ………………… 10 Hình 02: Hypervisor kiểu 1-Hệ thống Xen…………….………………………….……… 10 Hình 03: Hypervisor kiểu 2-Hệ thống KVM……………………………………………… 11 Hình 04: Mức đặc quyền vi xử lý x86……………………………………………………….12 Hình 05: Tổng quan điện toán đám mây……………………………………………………13 Hình 06: Mô hình ba dịch vụ điện toán đám mây…………………………………………14 Hình 07: Mô hình đám mây lai.………………………………………………………… ….16 Hình 08: Các hướng khai thác công môi trường ảo………………………………….17 Hình 09: Kiến trúc An ninh ảo hóa………………………………………………… …… 26 Hình 10: Phát mã độc hại…………………………………………….………….…… 28 Hình 11: Luồng xử lý mã độc hại……………………………………………….….……… 28 Hình 12: Kiến trúc sử dụng đệm…………………………………………….………… 29 Hình 13: Mô hình bảo vệ liệu…………………………………………………………….32 Hình 14: Mô hình sử dụng mã hóa đồng cấu mã hóa liệu điện toán đám mây… 34 Hình 15: Mô hình mã hóa liệu điện toán đám mây sử dụng mã hóa đồng cấu……34 Hình 16: Thiết kế chương trình………………………………………………………………36 Hình 17: Kiến trúc chương trình………………………………………………… ……… 36 Hình 18: Thuật toán chương trình……………………………………………….………….37 Hình 20: Bản mã sau mã hóa……………………………………………………………39 Hình 21: Dữ liệu sau giải mã……………………………………………………………39 Hình 22: Giải pháp bảo vệ Ảo hóa Điện toán đám mây Trendmicro……………….43 Hình 23: Mô hình triển khai hệ thống Deep Security………….………………………….45 Hình 24: Giao diện thành phần Deep Security Manager…………………… ………….45 Hình 25: Thiết lập tính phòng chống mã độc ………… ……………………….…47 Hình 26:Cấu hình thư mục cần mã hóa…………………………………………………….48 Hình 27: Cấu hình sách tường lửa ứng dụng………………………………………48 Hình 28: Cấu hình tính Deep Packet Inspection ……………………………… ….49 Hình 30: cấu hình giám sát thay đổi cấu hình………………………………………….….50 Hình 31: cấu hình giám sát thay đổi cấu hình……………………………………… 51 Hình 32: Cấu hình tính Log Inspection………………………………………………51 Hình 33: Kết hoạt động tính Anti-Malware……………………………………52 Hình 34: Kết hoạt động tính Deep Packet Inspection……………………… 52 Hình 35: Kết hoạt động tính tường lửa…………………………………………52 LỜI MỞ ĐẦU Tính cấp thiết đề tài Trong năm gần tảng Ảo hóa Điện toán đám mây có phát triển cách nhanh chóng Ảo hóa Điện toán đám mây giúp cho tổ chức, doanh nghiệp đạt đƣợc tiết kiệm đáng kể chi phí phần cứng, chi phí hoạt động, đạt đƣợc cải thiện sức mạnh tính toán, chất lƣợng dịch vụ, thuận lợi kinh doanh Ảo hóa Điện toán đám mây có quan hệ mật thiết với Ảo hóa công nghệ quan trọng cho phát triển Điện toán đám mây đặc biệt Ảo hóa phần cứng cho phép nhà cung cấp dịch vụ hạ tầng Điện toán đám mây sử dụng hiệu nguồn tài nguyên phần cứng có sẵn để cung cấp dịch vụ điện toán cho khách hàng họ Cùng với tăng trƣởng ngày nhanh Ảo hóa Điện toán đám mây vấn đề đặt đảm bảo an toàn liệu trƣớc nguy tính bí mật, toàn vẹn tính sẵn sàng bị vi phạm trở nên cấp thiết Nền tảng Ảo hóa Điện toán đám mây có đặc trƣng riêng chúng áp dụng biện pháp an ninh thông tin vật lý truyền thống nhƣ tƣờng lửa, phòng chống xâm nhập cho môi trƣờng Ảo hóa Điện toán đám mây làm hạn chế khả sức mạnh tính toán tảng Ảo hóa Điện toán đám mây Thậm chí tệ tạo lỗ hổng bảo mật nghiêm trọng bị khai thác, quyền kiểm soát hệ thống Với mong muốn tìm hiểu rõ nguy cơ, mối đe dọa, vấn đề thách thức, rủi ro an ninh thông tin liệu môi trƣờng Ảo hóa Điện toán đám mây, từ đề xuất số giải pháp phù hợp để bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám mây Vì chọn đề tài nghiên cứu: Bảo vệ thông tin môi trƣờng Ảo hóa Các mục tiêu nghiên cứu đề tài: Hiểu rõ nguy cơ, thách thức mối đe dọa an ninh thông tin môi trƣờng Ảo hóa Điện toán đám mây tƣơng lai Trên sở đề xuất số giải pháp bảo vệ liệu, thông tin môi trƣờng Ảo hóa điện toán đám mây Triển khai giải pháp bảo vệ liệu môi trƣờng Ảo hóa cho tổ chức, doanh nghiệp dựa giải pháp đề xuất Nội dung nghiên cứu Nghiên cứu tổng quan môi trƣờng Ảo hóa Điện toán đám mây: khái niệm, đặc trƣng, kiến trúc, mô hình triển khai Ảo hóa Điện toán đám mây Tìm hiểu nguy cơ, mối đe dọa rủi ro an ninh thông tin môi trƣờng Ảo hóa Điện toán đám mây Các giải pháp bảo vệ liệu thông tin môi trƣờng Ảo hóa Điện toán đám mây Ứng dụng, triển khai giải pháp đề xuất cho tổ chức, doanh nghiệp Việt Nam để đảm bảo an ninh an toàn môi trƣờng Ảo hóa 42 Chƣơng - TƢ VẤN, TRIỂN KHAI GIẢI PHÁP BẢO VỆ NỀN TẢNG ẢO HÓA CHO TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM 4.1 TƢ VẤN, THIẾT KẾ GIẢI PHÁP Dựa tổng hợp, phân tích đánh giá nhƣ kinh nghiệm triển khai hệ thống Bảo vệ liệu cho môi trƣờng Ảo hóa, tác giả tƣ vấn tổ chức doanh nghiệp nên triển khai giải pháp hãng bảo mật Trend Micro để bảo vệ cho môi trƣờng Ảo hóa Bộ giải pháp kết hợp hai giải pháp nhƣ sau: Giải pháp Hybrid Cloud Security (Deep Security) đƣợc thiết kế đặc biệt dành cho môi trƣờng ảo hóa, giải pháp có khả bảo vệ máy chủ ảo môi trƣờng Ảo hóa trƣớc nguy lây nhiễm mã độc hại, Virus, xâm nhập trái phép, vv Giải pháp Deep Security sử dụng kiến trúc agentless giúp giải vấn đề xung đột tài nguyên bão anti-virus thƣờng thấy thực quét toàn hệ thống update mẫu nhận dạng virus mới, giúp giảm thiểu độ phức tạp vận hành bảo mật cho phép tổ chức gia tăng mật độ máy ảo, tăng tốc ảo hóa Giải pháp mã hóa liệu SecureCloud giúp mã hóa an toàn liệu môi trƣờng Ảo hóa điện toán đám mây Giải pháp SecureCloud tập trung bảo vệ an toàn tính bí mật liệu Một số đặc điểm bật giải pháp bảo mật cho môi trƣờng Ảo hóa Điện toán đám mây hãng Trendmicro: Đƣợc thành lập vào năm 1988 với 20 năm hoạt động hãng Trend Micro chuyên cung cấp giải pháp an ninh thông tin cho ngƣời dùng cá nhân tổ chức Trendmicro tổ chức dẫn đầu việc nghiên cứu cung cấp giải pháp bảo vệ môi trƣờng Ảo hóa Điện toán đám mây Giải pháp sử dụng kiến trúc Agentless, phát xử lý phần mềm độc hại, xâm nhập trái phép không cần cài máy ảo (Anti-malware Agentless) đƣợc thiết kế chuyên biệt cho môi trƣờng Ảo hóa điện toán đám mây Khả tƣơng thích với hầu hết tảng ảo hóa Điện toán đám mây phổ biến nay: VMware vCloud Air, Amazon Elastic Compute Cloud (Amazon EC2), and Microsoft Azure [10] Kết hợp chặt chẽ tận dụng API công nghệ VMware vShield Endpoint VMware vShield Endpoint Drivers Tiết kiệm chi phí: theo tính toán Trend Micro, với hạ tầng IT, chuyển sang sử dụng Deep Security Anti-mailware Agentless, tổ chức có 1.000 máy chủ ảo tiết kiệm nửa triệu đô-la khoảng thời gian năm Cung cấp giải pháp an ninh thông tin chuyên biệt cho môi trƣờng Ảo hóa điện toán đám mây 43 Hình 22: Giải pháp bảo vệ Ảo hóa Điện toán đám mây Trendmicro Giải pháp an toàn mạng ảo bao gồm phòng chống xâm nhập, truy cập trái phép qua mạng để bảo vệ hệ thống trƣớc khai thác lỗ hổng bảo mật chƣa đƣợc vá lỗi stateful tƣờng lửa kiểm soát port cần kết nối giúp cung cấp lớp bảo vệ quanh máy ảo Ngăn chặn công SQL injection and XSS ứng dụng, Che chắn lỗ hổng biết chƣa biết trang web ứng dụng nhƣ Shellshock Heartbleed Cung cấp chi tiết, báo cáo kiểm tra tài liệu ngăn chặn công tình trạng tuân thủ sách, sách mã hóa cho máy chủ Xác định hoạt động hành vi đáng ngờ từ có biện pháp phòng ngừa sớm nhƣ cảnh báo Phát ngăn chặn loạt mối đe dọa đến máy chủ, máy tính ảo, bao gồm mã độc hại, virus, mối đe dọa web, phần mềm gián điệp, rootkits, sâu mạng công nâng cao Giải pháp mã hóa SecureCloud sử dụng thuật toán mã hoá chuẩn an toàn AES 256 bit đƣợc tổ chức FIPS 140-2 cấp chứng Giúp mã hóa toàn liệu, máy ảo toàn ổ đĩa máy ảo theo thời gian thực Giải pháp mã hóa SecureCloud quản lý khóa giải mã an toàn Không lƣu trữ nhà cung cấp dịch vụ Điện toán đám mây Sử dụng chuẩn giao thức quản lý khóa an toàn Giải pháp mã hóa SecureCloud cho phép kiểm toán báo cáo cảnh báo việc sử dụng quản lý khóa truy cập liệu mã hóa Giải pháp mã hóa SecureCloud hỗ trợ mã hóa cho đa tảng hệ điều hành khác 44 Bảng 5: So sánh giải pháp Deep Security Trendmicro số giải pháp an ninh khác dựa tổng hợp, đánh giá quan điểm cá nhân tác giả Tiêu chí so sánh Deep MCafee Symantec (Yes: đáp ứng đầy đủ Security Move Data Center No: không đáp ứng đáp ứng không đầy TrendMicro Security đủ Thang điểm tính từ 1, 2, 3, 4, 5 điểm cao nhất) Tính quan trọng: Yes No (chỉ No (chỉ hỗ Agentless Antivirus – quét toàn máy ảo, hỗ trợ trợ Agentless quét virus theo thời gian thực Agentless cho Agentless phát ngăn chặn xâm nhập cho Antivirus trái phép Antivirus Giám sát toàn vẹn liệu Quản trị sách tập trung Báo cáo cảnh báo kịp thời đầy đủ thông tin Giải pháp toàn diện, hỗ trợ đa tảng: vật yes no no lý, Ảo hóa, Điện toán đám mây Dễ dàng triển khai, tích hợp 4 Hoạt động ổn định 5 Hỗ trợ kỹ thuật 4 Tiết kiệm hiệu 3 4.2 TRIỂN KHAI GIẢI PHÁP Đề tài áp dụng biện pháp đề xuất để triển khai giải pháp bảo vệ liệu cho hệ thống Ảo hóa đặt trung tâm liệu Hải Quan đặt Lô E3 - Đƣờng Dƣơng Đình Nghệ - Cầu Giấy - Hà Nội 45 4.2.1 Mô hình triển khai Hình 23: Mô hình triển khai hệ thống Deep Security 4.2.2 Thành phần giải pháp Deep Security Manager Là công cụ quản trị tập trung mạnh mẽ cho phép quản trị viên tạo sách an ninh áp dụng chúng vào máy chủ, theo dõi cảnh báo đƣa hành động phản ứng để đối phó với mối đe dọa, phân phối cập nhật bảo mật cho máy chủ, tạo báo cáo Tính Event Tagging cho phép quản lý số lƣợng lớn kiện Hình 24: Giao diện thành phần Deep Security Manager Deep Security Virtual Appliance: Là máy ảo bảo mật đƣợc xây dựng cho môi trƣờng ảo hóa cung cấp module chống mã độc , kiểm tra tính toàn vẹn 46 Virtual Appliance bảo vệ máy ảo khác hệ thống mà máy ảo khác không cần cài thành phần Smart Protection Network Deep Security đƣợc tích hợp với kiến trúc cloudclient hệ để cung cấp bảo vệ theo thời gian thực khỏi mối đe dọa xuất cách liên tục đánh giá phân tích danh tiếng websites, nguồn emails files Vcenter: thành phần quản trị tập trung server ảo hóa ESX đƣợc phát triển hãng Vmware Vshield Endpoint thành phần Antivirus Anti-Malware cho máy ảo hãng Vmware Vshield manager: Quản lý tập trung thành phần security (vShield) hãng Vmware 4.2.3 Các tính triển khai Tính phát xử lý mã độc hại máy Ảo: loại mã độc Deep Security phát xử lý bao gồm VirusTrojans,Backdoor, Worms, Network viruses, Rootkits, Spyware/grayware Chức chống mã độc hoạt động real time bảo vệ máy ảo 24/7 Tính tƣờng lửa Ảo: tính giúp giảm thiểu công vào server tất môi trƣờng vật lý, điện toán đám mây, ảo hóa; ngăn chặn công nhƣ từ chối dịch vụ phát quét thăm dò quản trị tập trung sách tƣờng lửa máy chủ Tính quản trị tập trung sách cho máy chủ firewall bao gồm mẫu cho kiểu máy chủ phổ biến Tính lọc chi tiết theo địa IP & MAC, theo dịch vụ, cổng kết nối Hỗ trợ tất giao thức TCP, UDP, ICMP, IGMP Tính lọc gói tin Deep Packet Inspection bao gồm thành phần IPS/IDS, web application Protection, Application control có khả năng: Bảo vệ chống lại nguy biết công zero-day cách chặn lỗ hổng khai thác không giới hạn Bảo vệ lỗ hổng chƣa đƣợc biết đến trƣớc khai thác điểm yếu, che chắn lỗ hổng ứng dụng web việc sửa chữa lỗi hoàn thành Chống lại công SQL injection, cross-site scripting, phát ngăn chặn phần mềm độc hại truy cập vào mạng Phát đáng ngờ luồng liệu Vào/ra chẳng hạn nhƣ giao thức đƣợc cho phép cổng tiêu chuẩn giao thức , nôi dung để tìm dấu hiệu công vi phạm sách Bảo vệ lỗ hổng trƣớc khai thác điểm yếu lần bảo trì window 47 Tính giám sát thay đổi tập tin quan trọng Tính giám sát tập tin quan trọng hệ điều hành khóa regitry để phát mã độc hại nhƣ thay đổi bất thƣờng Theo dõi tập tin quan trọng hệ điều hành ứng dụng, chẳng hạn nhƣ thƣ mục, khóa registry để phát mã độc hại thay đổi bất thƣờng Phát việc sửa đổi tạo file hệ thống thông báo lại theo thời gian thực Cho phép kiểm soát theo ý muốn, theo lịch kiểm soát theo thời gian thực, kiểm tra đặc tính tập tin theo dõi thƣ mục cụ thể Tính bảo vệ hypervisor khỏi công khai thác cách cung cấp giám sát toàn vẹn hypervisor tận dụng công nghệ TPM/TXT Tính Log Inspection: thu thập phân tích log hệ điều hành ứng dụng để tìm kiện an ninh, tối ƣu hóa việc xác định kiện an ninh quan trọng log kiện 4.2.4 Cấu hình thiết lập sách bảo vệ Cấu hình thiết lập tính Anti-Malware Chọn tính Anti-Malware chọn thẻ General cấu hình bật tính Antimalware Hình 25: thiết lập tính phòng chống mã độc Cấu hình thiết lập sách tƣờng lửa bảo vệ lớp mạng Ảo 48 Hình 26: cấu hình sách tường lửa Cấu hình sách tƣờng lửa ứng dụng Hình 27: cấu hình sách tường lửa ứng dụng Cấu hình tính Deep Packet Inspection 49 Hình 28: cấu hình tính Deep Packet Inspection Hình 29: cấu hình tính Deep Packet Inspection Cấu hình tính Integrity Monitoring 50 Hình 30: cấu hình giám sát thay đổi cấu hình Hình 31: cấu hình giám sát thay đổi cấu hình Cấu hình tính Log Inspection 51 Hình 32: Cấu hình tính Log Inspection 4.2.5 Kết đạt sau triển khai giải pháp Deep Security Trung tâm liệu Sử dụng tài nguyên hiệu so với giải pháp anti-malware truyền thống Giải pháp giúp tối ƣu hoá, tiết kiệm, loại bỏ chi phí triển khai nhiều phần mềm máy chủ ảo máy chủ ảo đa tính đƣợc quản lý tập trung Cải thiện việc quản trị bảo mật môi trƣờng VMware cách giảm phức tạp phải cấu hình thƣờng xuyên update, patch agents Phát xóa malware khỏi virtual servers thời gian thực với độ ảnh hƣởng đến hiệu nhỏ Bảo vệ điểm yếu biết chƣa biết ứng dụng hệ điều hành, phát hành vi đáng ngờ, cho phép chủ động biện pháp phòng chống Tận dụng lực việc đánh giá danh tiếng web sở liệu danh tiếng lớn giới để theo dõi độ tin cậy websites bảo vệ ngƣời sử dụng khỏi việc truy cập vào sites bị lây nhiễm Cung cấp thông tin chi tiết, báo cáo chỉnh sửa tài liệu ngăn ngừa công tình trạng tuân thủ sách An ninh thông tin tổ chức Kết quả: tính Anti-Malware phát mã độc lây nhiễm vào máy ảo 52 Hình 33: Kết hoạt động tính Anti-Malware Kết hoạt động tính Deep Packet Inspection phát công vào máy ảo Hình 34: Kết hoạt động tính Deep Packet Inspection Kết hoạt động tính Firewall ngăn chặn kết nối không đƣợc sách tổ chức Hình 35: Kết hoạt động tính tường lửa Kết tính Integrity Monitoring phát đƣợc thay đổi file cấu hình trái phép máy ảo 53 Hình 36: Tính giám sát phát thay đổi file cấu hình trái phép Triển khai giải pháp mã hóa SecureCloud mã hóa liệu lƣu trữ điện toán đám mây Amazon EC Microsoft Azure Mô hình triển khai Hình 37: Mô hình triển khai giải pháp mã hóa Trendmicro liệu điện toán đám mây Cài đặt thành phần quản trị khóa tập trung: cài đặt webserver (Microsoft IIS), cài đặt sở liệu quản lý tài khoản khóa, cài đặt thành phần mã hóa SecureCloud Agents, tích hợp Amazon EC2 Hình 38: tích hợp dịch vụ Điện toán đám mây Tiến hành cấu hình thiết bị cần mã hóa liệu 54 Hình 39: Cấu hình thiết bị mã hóa Cấu hình chi tiết thu mục cần mã hóa liệu Hình 40:Cấu hình thư mục cần mã hóa 55 KẾT LUẬN Trong kỷ nguyên công nghệ Ảo hóa điện toán đám mây dần trở nên phổ biến thành phần quan trọng tổ chức, doanh nghiệp Việc bảo vệ liệu môi trƣờng Ảo hóa trở nên cần thiết hết Đề tài thành công việc nhận dạng, tìm hiểu phân tích đầy đủ, xác số mối nguy thách thức an ninh thông tin nghiêm trọng môi trƣờng Ảo hóa Điện toán đám mây tƣơng lai: 1/ Tồn lỗ hổng phần mềm lõi tảng ảo hóa, 2/ Tấn công chéo máy ảo 3/ Thất thoát liệu thành phần ảo hóa 4/ Lây nhiễm mã độc hại, virus Bên cạnh đề tài đề xuất đƣợc giải pháp đơn giản hiệu nhằm giải tận gốc mối nguy thách thức môi trƣờng Ảo hóa Điện toán đám mây, đề xuất có khả áp dụng thực tế đơn vị doanh nghiệp: 1/ Xây dựng kiến trúc ảo hóa an toàn 2/ Sử dụng công nghệ phòng chống mã độc chuyên biệt cho môi trƣờng ảo hóa 3/ Áp dụng phƣơng thức phòng thủ nhiều lớp theo chiều sâu để bảo vệ liệu môi trƣờng Ảo hóa Điện toán đám mây: lớp kiểm soát truy cập, mã hóa liệu lớp khôi phục nhanh chóng 4/ Xây dựng sách tuân thủ tổ chức cung cấp dịch vụ điện toán đám mây Các giải pháp đề tài giúp cho tổ chức, doanh nghiệp lên kế hoạch vấn đề cần xử lý để đảm bảo tính bí mật, tính toàn vẹn tính sẵn sàng liệu môi trƣờng Ảo hóa Điện toán đám mây Trong thời gian tới tác giả tiếp tục nghiên cứu mở rộng phát triển biện pháp bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám mây, phát triển ứng dụng mã hóa liệu sử dụng thuật toán mã hóa đồng cấu đầy đủ 56 TÀI LIỆU THAM KHẢO James Michael Stewart and Mike Chapple and Darril Gibson (2015), “Certified Information Systems Security Professional Study Guide Seventh Edition”, John Wiley & Sons, Inc Dave Shackleford (2011)“Virtualization Security”, John Wiley & Sons, Inc Peter Mell and Timothy Grance (2011), “The NIST Definition of Cloud Computing”, Special Publication 800-145 Ronald L Krutz and Russell, (2011)“A Comprehensive Guide to Secure Cloud Computing”, John Wiley & Sons, Inc Wayne Jansen and Timothy Grance (December 2011) ,“Guidelines on Security and Privacy in Public Cloud Computing”, Lee Newcombe (July 2012), “Securing Cloud Services”, IT Governance Publishing Dai Yuefa, Wu Bo, Gu Yaqiang, Zhang Quan, Tang Chaojing (2009),”Data Security Model for Cloud Computing”, ISBN 978-952-5726-06-0 Craig Gentry, Fully Homomorphic Encryption Using Ideal Lattices, STOC ’09: Proceedings of the 41st annual ACM symposium on Theory of computing, DOI:10.1145/1536414.1536440 September 2009 Tebaa, M.; El Hajji, S.; El Ghazi, A., "Homomorphic encryption method applied to Cloud Computing," in Network Security and Systems (JNS2), 2012 National Days of , vol., no., pp.86-89, 20-21 April 2012 10 IDC Custom Solutions (Mar 2016), Server Security: Virtualization & Cloud Changes Everything, ... PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 3.1 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG MÔI TRƢỜNG ẢO HÓA 3.1.1 Xây dựng kiến trúc ảo hóa an toàn Môi trƣờng ảo hóa cần đƣợc bảo vệ. .. ninh thông tin môi trƣờng Ảo hóa Điện toán đám mây tƣơng lai Trên sở đề xuất số giải pháp bảo vệ liệu, thông tin môi trƣờng Ảo hóa điện toán đám mây Triển khai giải pháp bảo vệ liệu môi trƣờng Ảo. .. Chƣơng - GIẢI PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 27 3.1 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG MÔI TRƢỜNG ẢO HÓA 27 3.1.1 Xây dựng kiến trúc ảo hóa an toàn