ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA LUẬN VĂN THẠC SĨ Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG BẢO VỆ THÔNG TIN TRONG MÔI TRƯỜNG ẢO HÓA Ngành: Hệ thống thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS TRỊNH NHẬT TIẾN Hà Nội – 2016 LỜI CẢM ƠN Với lòng kính trọng biết ơn sâu sắc, xin chân thành cảm ơn Thầy PGS.TS Trịnh Nhật Tiến, ngƣời tận tình giúp đỡ hƣớng dẫn suốt trình làm luận văn Xin chân thành cảm ơn gia đình, bạn bè, đồng nghiệp có động viên, hỗ trợ đóng góp ý kiến để hoàn thành công trình nghiên cứu Dù cố gắng nhƣng với trình độ hiểu biết thời gian nghiên cứu thực tế có hạn nên không tránh khỏi thiếu sót Trân trọng cảm ơn! LỜI CAM ĐOAN Tôi xin cam đoan luận văn thạc sĩ với đề tài: “BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA” công trình nghiên cứu riêng Các kết nghiên cứu luận văn trung thực chƣa đuợc công bố công trình khác Nguyễn Việt Dũng MỤC LỤC MỤC LỤC………………………………………………………………………………… BẢNG CHỮ VIẾT TẮT, TỪ CHUYÊN MÔN BẰNG TIẾNG ANH DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ LỜI MỞ ĐẦU Chƣơng - TỔNG QUAN VỀ MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 10 1.1 KHÁI NIỆM VÀ ĐẶC TRƢNG ẢO HÓA 10 1.1.1 Định nghĩa Ảo hóa 10 1.1.2 Phân loại tảng Ảo hóa 10 1.1.3 Ảo hóa kiến trúc vi xử lý x86 12 1.2 KHÁI NIỆM ĐIỆN TOÁN ĐÁM MÂY 13 1.3 ĐẶC TRƢNG ĐIỆN TOÁN ĐÁM MÂY 14 1.4 MÔ HÌNH LỚP DỊCH VỤ CỦA ĐIỆN TOÁN ĐÁM MÂY 14 1.4.1 Hạ tầng hƣớng dịch vụ 14 1.4.2 Dịch vụ tảng .15 1.4.3 Dịch vụ Phần mềm 15 1.5 MÔ HÌNH TRIỂN KHAI ĐIỆN TOÁN ĐÁM MÂY 15 1.5.1 Đám mây công cộng 15 1.5.2 Đám mây riêng 15 1.5.3 Đám mây cộng đồng 16 1.5.4 Đám mây lai 16 Chƣơng - CÁC NGUY CƠ, THÁCH THỨC AN NINH THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 17 2.1 MỐI ĐE DỌA, RỦI RO AN NINH THÔNG TIN MÔI TRƢỜNG ẢO HÓA 17 2.1.1 Tồn lỗ hổng bảo mật phần mềm lõi tảng Ảo hóa 17 2.1.1 Tấn công chéo máy ảo 18 2.1.2 Hệ điều hành máy ảo cô lập 18 2.1.3 Thất thoát liệu thành phần Ảo hóa 19 2.1.4 Sự phức tạp công tác quản lý kiểm soát truy cập 19 2.1.5 Lây nhiễm mã độc hại 19 2.1.6 Tranh chấp tài nguyên 20 2.2 MỐI ĐE DỌA AN NINH THÔNG TIN TRONG MÔI TRƢỜNG ĐIỆN TOÁN ĐÁM MÂY 20 2.2.1 Các mối đe dọa an ninh thông tin Điện toán đám mây .21 2.2.2 Các rủi ro an ninh thông tin điện toán đám mây 25 Chƣơng - GIẢI PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 27 3.1 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG MÔI TRƢỜNG ẢO HÓA 27 3.1.1 Xây dựng kiến trúc ảo hóa an toàn 27 3.1.2 Công nghệ phòng chống mã độc chuyên biệt cho môi trƣờng ảo hóa 27 3.1.3 Thực cấu hình an toàn lớp phần mềm lõi Hypervisor .29 3.1.4 Cấu hình an toàn máy chủ Ảo hóa 29 3.1.5 Thiết kế mạng ảo đảm bảo an toàn thông tin 30 3.1.6 Giới hạn truy cập vật lý máy chủ Ảo hóa (Host) 30 3.1.7 Mã hóa liệu máy ảo 30 3.1.8 Tách biệt truy cập, cô lập liệu máy ảo 30 3.1.9 Duy trì lƣu 31 3.1.10 Tăng cƣờng tính tuân thủ 31 3.2 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG ĐIỆN TOÁN ĐÁM MÂY 31 3.2.1 Lớp phòng thủ thứ kiểm soát truy cập 32 3.2.2 Lớp phòng thủ thứ hai mã hóa 33 3.2.3 Lớp phòng thủ thứ ba khôi phục nhanh chóng 39 3.2.4 Một số biện pháp phòng thủ bổ sung nhằm bảo vệ liệu môi trƣờng điện toán đám mây 40 Chƣơng - TƢ VẤN, TRIỂN KHAI GIẢI PHÁP BẢO VỆ NỀN TẢNG ẢO HÓA CHO TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM 42 4.1 TƢ VẤN, THIẾT KẾ GIẢI PHÁP 42 4.2 TRIỂN KHAI GIẢI PHÁP 44 4.2.1 Mô hình triển khai .45 4.2.2 Thành phần giải pháp 45 4.2.3 Các tính triển khai: 46 4.2.4 Cấu hình thiết lập sách bảo vệ 47 4.2.5 Kết đạt đƣợc sau triển khai giải pháp Deep Security………… 51 KẾT LUẬN………………… …………………………………………………………… 55 TÀI LIỆU THAM KHẢO 56 BẢNG CHỮ VIẾT TẮT, TỪ CHUYÊN MÔN BẰNG TIẾNG ANH Viết tắt Diễn giải API Giao diện lập trình AMS Amazon Web Services CIA Confidentiality-Tính bí mật Integrity-tính toàn vẹn Availability- tính sẵn sàng ĐTĐM Điện toán đám mây DOS Denial-of-service attack FHE Fully Homomorphic Encryption EC2 Elastic Compute Cloud HSM Hardware Security Modules MAC Media access control address IaaS Infrastructure as a Service I/O Input/output NIST The national institute of technology PaaS Platform as a service SaaS Software as a service TLS Transport Layer Security PKI Public Key Infrastructure VM Virtual Machine VPNs Virtual Private Network Security DANH MỤC CÁC BẢNG Bảng 1: Các lỗ hổng bảo mật đƣợc phát công bố năm 2012…………………1 Bảng 2: Vấn đề an toàn thông tin môi trƣờng ảo hóa chiếu theo mô hình CIA….20 Bảng 3: Các mối đe dọa điện toán đám mây………………………………….21 Bảng 4: Các rủi ro an ninh thông tin điện toán đám mây….……………… 25 Bảng 5: So sánh giải pháp Deep Security Trendmicro số giải pháp an ninh khác…… …………………………………………………………………………….44 DANH MỤC CÁC HÌNH VẼ Hình 01: Mô hình Ảo hóa………………………….…………………… ………………… 10 Hình 02: Hypervisor kiểu 1-Hệ thống Xen…………….………………………….……… 10 Hình 03: Hypervisor kiểu 2-Hệ thống KVM……………………………………………… 11 Hình 04: Mức đặc quyền vi xử lý x86……………………………………………………….12 Hình 05: Tổng quan điện toán đám mây……………………………………………………13 Hình 06: Mô hình ba dịch vụ điện toán đám mây…………………………………………14 Hình 07: Mô hình đám mây lai.………………………………………………………… ….16 Hình 08: Các hướng khai thác công môi trường ảo………………………………….17 Hình 09: Kiến trúc An ninh ảo hóa………………………………………………… …… 26 Hình 10: Phát mã độc hại…………………………………………….………….…… 28 Hình 11: Luồng xử lý mã độc hại……………………………………………….….……… 28 Hình 12: Kiến trúc sử dụng đệm…………………………………………….………… 29 Hình 13: Mô hình bảo vệ liệu…………………………………………………………….32 Hình 14: Mô hình sử dụng mã hóa đồng cấu mã hóa liệu điện toán đám mây… 34 Hình 15: Mô hình mã hóa liệu điện toán đám mây sử dụng mã hóa đồng cấu……34 Hình 16: Thiết kế chương trình………………………………………………………………36 Hình 17: Kiến trúc chương trình………………………………………………… ……… 36 Hình 18: Thuật toán chương trình……………………………………………….………….37 Hình 20: Bản mã sau mã hóa……………………………………………………………39 Hình 21: Dữ liệu sau giải mã……………………………………………………………39 Hình 22: Giải pháp bảo vệ Ảo hóa Điện toán đám mây Trendmicro……………….43 Hình 23: Mô hình triển khai hệ thống Deep Security………….………………………….45 Hình 24: Giao diện thành phần Deep Security Manager…………………… ………….45 Hình 25: Thiết lập tính phòng chống mã độc ………… ……………………….…47 Hình 26:Cấu hình thư mục cần mã hóa…………………………………………………….48 Hình 27: Cấu hình sách tường lửa ứng dụng………………………………………48 Hình 28: Cấu hình tính Deep Packet Inspection ……………………………… ….49 Hình 30: cấu hình giám sát thay đổi cấu hình………………………………………….….50 Hình 31: cấu hình giám sát thay đổi cấu hình……………………………………… 51 Hình 32: Cấu hình tính Log Inspection………………………………………………51 Hình 33: Kết hoạt động tính Anti-Malware……………………………………52 Hình 34: Kết hoạt động tính Deep Packet Inspection……………………… 52 Hình 35: Kết hoạt động tính tường lửa…………………………………………52 LỜI MỞ ĐẦU Tính cấp thiết đề tài Trong năm gần tảng Ảo hóa Điện toán đám mây có phát triển cách nhanh chóng Ảo hóa Điện toán đám mây giúp cho tổ chức, doanh nghiệp đạt đƣợc tiết kiệm đáng kể chi phí phần cứng, chi phí hoạt động, đạt đƣợc cải thiện sức mạnh tính toán, chất lƣợng dịch vụ, thuận lợi kinh doanh Ảo hóa Điện toán đám mây có quan hệ mật thiết với Ảo hóa công nghệ quan trọng cho phát triển Điện toán đám mây đặc biệt Ảo hóa phần cứng cho phép nhà cung cấp dịch vụ hạ tầng Điện toán đám mây sử dụng hiệu nguồn tài nguyên phần cứng có sẵn để cung cấp dịch vụ điện toán cho khách hàng họ Cùng với tăng trƣởng ngày nhanh Ảo hóa Điện toán đám mây vấn đề đặt đảm bảo an toàn liệu trƣớc nguy tính bí mật, toàn vẹn tính sẵn sàng bị vi phạm trở nên cấp thiết Nền tảng Ảo hóa Điện toán đám mây có đặc trƣng riêng chúng áp dụng biện pháp an ninh thông tin vật lý truyền thống nhƣ tƣờng lửa, phòng chống xâm nhập cho môi trƣờng Ảo hóa Điện toán đám mây làm hạn chế khả sức mạnh tính toán tảng Ảo hóa Điện toán đám mây Thậm chí tệ tạo lỗ hổng bảo mật nghiêm trọng bị khai thác, quyền kiểm soát hệ thống Với mong muốn tìm hiểu rõ nguy cơ, mối đe dọa, vấn đề thách thức, rủi ro an ninh thông tin liệu môi trƣờng Ảo hóa Điện toán đám mây, từ đề xuất số giải pháp phù hợp để bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám mây Vì chọn đề tài nghiên cứu: Bảo vệ thông tin môi trƣờng Ảo hóa Các mục tiêu nghiên cứu đề tài: Hiểu rõ nguy cơ, thách thức mối đe dọa an ninh thông tin môi trƣờng Ảo hóa Điện toán đám mây tƣơng lai Trên sở đề xuất số giải pháp bảo vệ liệu, thông tin môi trƣờng Ảo hóa điện toán đám mây Triển khai giải pháp bảo vệ liệu môi trƣờng Ảo hóa cho tổ chức, doanh nghiệp dựa giải pháp đề xuất Nội dung nghiên cứu Nghiên cứu tổng quan môi trƣờng Ảo hóa Điện toán đám mây: khái niệm, đặc trƣng, kiến trúc, mô hình triển khai Ảo hóa Điện toán đám mây Tìm hiểu nguy cơ, mối đe dọa rủi ro an ninh thông tin môi trƣờng Ảo hóa Điện toán đám mây Các giải pháp bảo vệ liệu thông tin môi trƣờng Ảo hóa Điện toán đám mây Ứng dụng, triển khai giải pháp đề xuất cho tổ chức, doanh nghiệp Việt Nam để đảm bảo an ninh an toàn môi trƣờng Ảo hóa 9 Đối tượng phạm vi nghiên cứu Đặc trƣng kiến trúc Môi trƣờng Ảo hóa Điện toán đám mây đối tƣợng nghiên cứu đề tài nhằm tìm hiểu nguy rủi ro an toàn thông tin đề xuất giải pháp bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám mây Phạm vi nghiên cứu: Luận văn nghiên cứu giải pháp bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám mây sử dụng số tổ chức doanh nghiệp Phương pháp nghiên cứu Tổng hợp phân tích tài liệu ảo hóa, an ninh thông tin để từ đƣa đƣợc nhìn tổng quan nhƣ phƣơng pháp hỗ trợ bảo vệ thông tin cho môi trƣờng ảo hóa điện toán đám mây đƣợc an toàn Tìm hiều thuật toán mã hóa đồng cấu Từ đƣa giải pháp xây dựng ứng dụng đảm bảo tính bí mật liệu Tìm hiểu sản phẩm ứng dụng thuật toán mã hóa đồng cấu đƣợc sử dụng Tham khảo, vận dụng kế thừa thuật toán, mã nguồn mở, v.v… Cơ sở lý thuyết đề tài dựa ba thành phần bản, cốt lỗi an toàn thông tin là: tính bí mật, tính toàn vẹn, tính sẵn sàng [1] Đây sở lý thuyết xuyên suốt đề tài nhằm đánh giá giải nguy thách thức an toàn thông tin môi trƣờng ảo hóa điện toán đám mây Đảm bảo tính bí mật đảm bảo thông tin, liệu đƣợc phép truy cập cá nhân, tổ chức bên liên quan đƣợc cấp phép Nhiều công tập trung vào vi phạm tính bí mật: nghe liệu đƣờng truyền, lừa đảo đánh cắp tài khoản, mật lây nhiễm virus, mã độc hại Tính toàn vẹn liệu đảm bảo tính toàn vẹn liệu đảm bảo chắn liệu không bị sửa đổi phá hủy cá nhân, đối tƣợng không đƣợc phép trình liệu truyền mạng, lƣu trữ tài liệu sở liệu thiết bị lƣu trữ Bảo vệ tính toàn vẹn liệu xem xét ba khía cạnh sau: ngăn chặn cá nhân, đối tƣợng không đƣợc cấp phép sửa đổi liệu trái phép Ngăn chặn đối tƣợng đƣợc cấp quyền sửa đổi liệu, ví dụ nhƣ liệu bị sửa đổi thao tác sai Duy trì tính quán nội bên để liệu xác phản ánh giới thực kiểm chứng Tính sẵn sàng đảm bảo kịp thời, không bị gián đoạn cần truy cập liệu, hệ thống thông tin Các hệ thống có tính sẵn sàng cao hệ thống có đầy đủ biện pháp dự phòng, trì lƣu đáng tin cậy, có đầy đủ quy trình thƣờng xuyên diễn tập phản ứng cố Một số nguy tính sẵn sàng liệu nhƣ lỗi phần cứng, lỗi phần mềm, môi trƣờng gặp vấn đề (lũ lụt, điện, cháy nổ vv), bao gồm số loại công tập trung vào tính sẵn sàng hệ thống nhƣtấn công từ chối dịch vụ, đối tƣợng phá hoại gián đoạn kết nối mạng 56 TÀI LIỆU THAM KHẢO James Michael Stewart and Mike Chapple and Darril Gibson (2015), “Certified Information Systems Security Professional Study Guide Seventh Edition”, John Wiley & Sons, Inc Dave Shackleford (2011)“Virtualization Security”, John Wiley & Sons, Inc Peter Mell and Timothy Grance (2011), “The NIST Definition of Cloud Computing”, Special Publication 800-145 Ronald L Krutz and Russell, (2011)“A Comprehensive Guide to Secure Cloud Computing”, John Wiley & Sons, Inc Wayne Jansen and Timothy Grance (December 2011) ,“Guidelines on Security and Privacy in Public Cloud Computing”, Lee Newcombe (July 2012), “Securing Cloud Services”, IT Governance Publishing Dai Yuefa, Wu Bo, Gu Yaqiang, Zhang Quan, Tang Chaojing (2009),”Data Security Model for Cloud Computing”, ISBN 978-952-5726-06-0 Craig Gentry, Fully Homomorphic Encryption Using Ideal Lattices, STOC ’09: Proceedings of the 41st annual ACM symposium on Theory of computing, DOI:10.1145/1536414.1536440 September 2009 Tebaa, M.; El Hajji, S.; El Ghazi, A., "Homomorphic encryption method applied to Cloud Computing," in Network Security and Systems (JNS2), 2012 National Days of , vol., no., pp.86-89, 20-21 April 2012 10 IDC Custom Solutions (Mar 2016), Server Security: Virtualization & Cloud Changes Everything, ... Chƣơng - GIẢI PHÁP BẢO VỆ THÔNG TIN TRONG MÔI TRƢỜNG ẢO HÓA VÀ ĐIỆN TOÁN ĐÁM MÂY 27 3.1 GIẢI PHÁP BẢO VỆ DỮ LIỆU TRONG MÔI TRƢỜNG ẢO HÓA 27 3.1.1 Xây dựng kiến trúc ảo hóa an toàn ... ninh thông tin môi trƣờng Ảo hóa Điện toán đám mây tƣơng lai Trên sở đề xuất số giải pháp bảo vệ liệu, thông tin môi trƣờng Ảo hóa điện toán đám mây Triển khai giải pháp bảo vệ liệu môi trƣờng Ảo. .. ro an toàn thông tin đề xuất giải pháp bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám mây Phạm vi nghiên cứu: Luận văn nghiên cứu giải pháp bảo vệ thông tin môi trƣờng Ảo hóa Điện toán đám