- Lương Trần Tuấn Anh CƠ CHẾ ĐỊNH DANH VÀ QUẢN LÝ TRUY NHẬP TRÊN ĐIỆN TOÁN ĐÁM MÂY Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN TS. - 3 DANH MỤC BẢNG Tên bảng Nội dung Trang Bảng 1 Công cụ Windows Azure SDK 77 Bảng 2 Một số hạn chế của development storage 79 DANH MỤC HÌNH Tên hình Nội dung Trang Hình 1 Mô hình điện toán đám mây 9 Hình 2 Các mức dịch vụ trong “đám mây” 10 Hình 3 Mô hình dịch vụ trên điện toán đám mây 14 Hình 4 Các cuộc tấn công trong một môi trường điện toán đám mây 19 Hình 5 Quá trình identity federation 28 Hình 6 Kiến trúc Identity federation dynamic management 29 Hình 7 Kiến trúc cơ bản của một Active Bundle 35 Hình 8 Mã giả cho việc tạo ActiveBundle 38 Hình 9 Sơ đồ trình tự cho GetEncryptionKey 39 Hình 10 Cấu trúc của một active bundle với bảo mật siêu dữ liệu 40 Hình 11 Kiến trúc của IdM Wallet 44 Hình 12 Kiến trúc điều khiển truy cập trong môi trường đám mây 51 Hình 13 Quy trình của Access Control trong môi trường đám mây 56 Hình 14 Cấu trúc cơ bản của Windows Azure Platform 59 Hình 15 Ứng dụng Windows Azure chạy trên Microsoft data-center 60 Hình 16 Các thành phần của Windows Azure 60 Hình 17 Ứng dụng Windows Azure chứa Web role hoặc Worker role 61 Hình 18 Bộ lưu trữ Windows Azure gồm: Blob, Table, Queue. - 62 Hình 19 Fabric Controller 64 Hình 20 Fault Domains 65 Hình 21 Update Domain 65 Hình 22 Các dịch vụ bên trong SQL Azure 66 Hình 23 Cơ sở dữ liệu quan hệ SQL Azure Database 67 Hình 24 Đồng bộ dữ liệu giữa SQL Azure Database và CSDL khác 68 Hình 25 Tạo project azure trong Visual Studio 73 Hình 26 Thêm vào các role cho project 73 Hình 27 Role Setting 74 Hình 28 Kích thước máy ảo 74 Hình 29 Role Setting tab Settings 74 Hình 30 Thẻ Endpoint cho Web role 75 Hình 31 Thẻ Local Storage 76 Hình 32 Thẻ Certificates 76 Hình 33 Thêm một Web role hay một Worker role 77 4 Hình 34 Giao diện Development Emulator 78 Hình 35 Development Storage 79 Hình 36 Sơ đồ dữ liệu của Azure Email Service 80 Hình 37 Mailing Lists 81 Hình 38 Subscribers 81 Hình 39 Messages 82 Hình 40 Create Message 82 Hình 41 Email Message Processing 83 Hình 42 Ngăn chặn trùng lặp email 84 Hình 43 Quá trình Subscription 84 Hình 44 Mailinglist table 85 Hình 45 Message table 87 5 MỤC LỤC LỜI CAM ĐOAN. - 8 CHƯƠNG I: ĐIỆN TOÁN ĐÁM MÂY & VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY. - Điện toán đám mây. - Điện toán đám mây là gì. - Mô hình điện toán đám mây. - Đặc điểm của điện toán đám mây. - Các loại dịch vụ điện toán đám mây. - Một số nhà cung cấp dịch vụ điện toán đám mây. - Vấn đề bảo mật trên điện toán đám mây. - Rủi ro an ninh của điện toán đám mây. - Sự riêng tư và tác động của sự riêng tư trên đám mây. - 22 CHƯƠNG II: DANH TÍNH VÀ ĐIỀU KHIỂN TRUY CẬP TRONG MÔI TRƯỜNG ĐIỆN TOÁN ĐÁM MÂY. - Phương pháp đề xuất nhằm bảo vệ PII trên điện toán đám mây. - Mô hình Access Control Model cho môi trường điện toán đám mây. - Kiến trúc đề xuất cho Access Control trong môi trường điện toán đám mây 51 6. - uy trình làm việc của mô hình Access Control trong môi trường đám mây. - Triển khai ứng dụng. - Mô tả về ứng dụng. - Một số code chính của ứng dụng. - Lý do chọn đề tài Trong những năm gần đây, điện toán đám mây được nhiều người dùng, doanh nghiệp nhắc tới như một công cụ hữu hiệu trong việc ảo hóa, sử dụng tài nguyên mạng và nhận được rất nhiều sự quan tâm của các nhà khoa học máy tính. - Điện toán đám mây liên quan đến các khái niệm về công nghệ mạng, ảo hóa mạng cũng như bao gồm các khái niệm về phần mềm dịch vụ, cùng với các xu hướng công nghệ nổi bật khác. - Trong đó đề tài chủ yếu của nó là vấn đề dựa vào Internet để đáp ứng những nhu cầu điện toán cũng như đảm bảo an toàn thông tin của người dùng… Điện toán đám mây hay điện toán máy chủ ảo là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet. - Thuật ngữ "đám mây" ở đây chính là mạng Internet và các kết cấu hạ tầng bên trong. - Các vấn đề bảo mật liên quan vẫn không ngăn được sự bùng nổ công nghệ cũng như sự ưa chuộng điện toán đám mây bởi khả năng giải quyết và đáp ứng các nhu cầu trong kinh doanh. - Để đảm bảo an toàn cho đám mây điện toán, chúng ta cần nắm được vai trò của nó trong sự phát triển công nghệ. - Rất nhiều câu hỏi tồn tại xung quanh những ưu và khuyết điểm khi sử dụng điện toán đám mây trong đó tính bảo mật, hữu dụng và quản lí luôn được chú ý xem xét. - Bảo mật là đề tài được người dùng thắc mắc nhiều nhất và nhiều câu hỏi được đặt ra để quyết định liệu việc triển khai điện toán đám mây có phù hợp hay không và nếu có thì nên chọn mô hình nào cho phù hợp: cá nhân, công cộng hay cả hai. - Với những lý do trên, tôi quan tâm và lựa chọn đề tài “Cơ chế định danh và quản lý truy nhập trên điện toán đám mây.” 2. - Mục đích của đề tài Nghiên cứu phương pháp tăng cường bảo mật cho điện toán đám mây. - Từ đó đưa ra các giải pháp giúp doanh nghiệp, tổ chức, người dùng cá nhân có các biện pháp bảo mật thích hợp nhằm hạn chế thấp nhất rủi ro khi cung cấp cũng như tham gia sử dụng các dịch vụ điện toán đám mây. - Đối tượng và phạm vi nghiên cứu Tập trung nghiên cứu về các vấn đề bảo mật, cơ chế định danh và quản lý truy cập trên điện toán đám mây, tìm hiểu về Windows Azure Platform và ứng dụng trên điện toán đám mây. - Phương pháp nghiên cứu Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật trong điện toán đám mây, đánh giá các nguy cơ tiềm tàng và đề xuất giải pháp tăng cường cơ chế an ninh bảo mật trong điện toán đám mây. - Chương I: Điện toán đám mây & vấn đề bảo mật trên điện toán đám mây. - Chương II: Danh tính và điều khiển truy nhập trên điện toán đám mây. - Chương III: Windows Azure Platform – Làm việc với dự án Azure trong Visual Studio 9 CHƯƠNG I: ĐIỆN TOÁN ĐÁM MÂY & VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY I. - Điện toán đám mây 1. - Điện toán đám mây là gì ? Theo Wikipedia: “Điện toán đám mây (cloud computing) là một mô hình điện toán có khả năng co giãn (scalable) linh động và các tài nguyên thường được ảo hóa được cung cấp như một dịch vụ trên mạng Internet”. - Điện toán đám mây, còn gọi là điện toán máy chủ ảo, là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet. - Hình 1: Mô hình điện toán đám mây Điện toán đám mây là “một mô hình điện toán nơi mà khả năng mở rộng và linh hoạt về công nghệ thông tin được cung cấp như một dịch vụ cho nhiều khách hàng đang sử dụng các công nghệ trên Internet”. - Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng theo co giãn về mặt kinh tế, là nơi chứa các sức mạnh tính toán, kho lưu trữ, các nền tảng và các dịch vụ được trực quan, ảo hóa và co giãn linh động, sẽ được phân phối theo nhu cầu cho các khách hàng bên ngoài thông qua Internet”. - Theo Viện Tiêu chuẩn và Công nghệ (NIST) đã đưa ra nghĩa định nghĩa như sau: “Điện toán đám mây là một mô hình cho phép ở một vị trí thuận tiện, khách 10 hàng có thể truy cập mạng theo yêu cầu và được chia sẻ tài nguyên máy tính nhanh chóng từ nhà cung cấp. - Trong trường hợp xấu nhất thì cũng phải cung cấp dịch vụ hoạt động ở mức tương tác”. - Mô hình điện toán đám mây Theo định nghĩa, các nguồn điện toán khổng lồ như phần mềm, dịch vụ sẽ nằm tại các máy chủ ảo trên Internet thay vì trong máy tính gia đình và văn phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần. - Hiện nay, các nhà cung cấp đưa ra nhiều dịch vụ của điện toán đám mây theo nhiều hướng khác nhau, đưa ra các chuẩn riêng cũng như cách thức hoạt động khác nhau. - Do đó, việc tích hợp các đám mây để giải quyết một bài toán lớn của khách hàng vẫn còn là một vấn đề khó khăn. - Chính vì vậy, các nhà cung cấp dịch vụ đang có xu hướng tích hợp các đám mây lại với nhau và đưa ra các chuẩn chung để giải quyết các bài toán lớn của khách hàng. - Bên trong đám mây Bên trong “đám mây” không chỉ có một dịch vụ mà là một tập các dịch vụ. - Các tầng định nghĩa mức dịch vụ được cung cấp. - Hình 2: Các mức dịch vụ trong “đám mây” Ba tầng dịch vụ được định nghĩa là: tầng Hạ tầng (Infrastructure), tầng Nền tảng (Platform), tầng Ứng dụng (Application). - Thành phần và mô hình kiến trúc Thành phần: Hai thành phần quan trọng của kiến trúc điện toán đám mây được biết đến là front end và back end. - Nó bao gồm hệ thống mạng của khách hàng (hoặc máy tính) và các ứng dụng được sử dụng để truy cập vào đám mây thông qua giao diện người dùng có thể là một trình duyệt web. - Mô hình kiến trúc: Đối với mạng Internet như hiện nay thì các tổ chức đã được lập ra để quản lí và cùng thống nhất với nhau về các giao thức, các mô hình. - Các thiết bị hoạt động trong Internet được thiết kế sao cho phù hợp với mô hình điện toán đám mây. - Trong điện toán đám mây cũng hình thành nên mô hình cho chính nó. - Thành phần ứng dụng cung cấp các dịch vụ phần mềm đến các tổ chức cá nhân có nhu cầu sử dụng. - Thành phần nền tảng cung cấp các dịch vụ cơ bản là các bộ công cụ để phát triển, thử nghiệm và triển khai ứng dụng trên nền điện toán đám mây cho khách hàng. - Thành phần cơ sở hạ tầng cung cấp các dịch vụ máy chủ, lưu trữ dữ liệu, cơ sở dữ liệu cũng như các công cụ quản trị tài nguyên đó cho các tổ chức, cá nhân có nhu cầu. - Các mô hình triển khai Từ “đám mây” (cloud) xuất phát từ hình ảnh minh họa mạng Internet đã được sử dụng rộng rãi trong các hình vẽ về hệ thống mạng máy tính của giới CNTT. - Một cách nôm na, điện toán đám mây là mô hình điện toán Internet. - Tuy nhiên, khi mô hình Cloud Computing (CC) dần định hình, các ưu điểm của nó đã được vận dụng 12 để áp dụng trong các môi trường có quy mô và phạm vi riêng, hình thành các mô hình triển khai khác nhau. - Đám mây “công cộng” Mô hình đầu tiên được nói đến khi đề cập tới CC chính là mô hình Public Cloud. - Đây là mô hình mà hạ tầng CC được một tổ chức sở hữu và cung cấp dịch vụ rộng rãi cho tất cả các khách hàng thông qua hạ tầng mạng Internet hoặc các mạng công cộng diện rộng. - Các ứng dụng khác nhau chia sẻ chung tài nguyên tính toán, mạng và lưu trữ. - Đám mây “doanh nghiệp” Đám mây doanh nghiệp (Private Cloud) là mô hình trong đó hạ tầng đám mây được sở hữu bởi một tổ chức và phục vụ cho người dùng của tôt chức đó. - Private Cloud có thể được vận hành bởi một bên thứ ba và hạ tầng đám mây có thể được đặt bên trong hoặc bên ngoài tổ chức sở hữu (tại bên thứ ba kiêm vận hành hoặc thậm chí là một bên thứ tư). - Đám mây “chung” Đám mây chung (Community Cloud) là mô hình trong đó hạ tầng đám mây được chia sẻ bởi một số tổ chức cho cộng đồng người dùng trong các tổ chức đó. - Các tổ chức này do đặc thù không tiếp cận với các dịch vụ Public Cloud và chia sẻ chung một hạ tầng CC để nâng cao hiệu quả đầu tư và sử dụng. - 13 • Đám mây “lai” Mô hình đám mây lai (Hybrid Cloud) là mô hình bao gồm hai hoặc nhiều hơn các đám mây trên tích hợp với nhau. - Mô hình Hybrid Cloud cho phép chia sẻ hạ tầng hoặc đáp ứng nhu cầu trao đổi dữ liệu. - Mô hình điện toán đám mây là mô hình mới, chính xác hơn là mô hình ứng dụng và khai thác điện toán mới, được đánh giá là rất tiềm năng và mang lại hiệu quả cao. - Đặc điểm của điện toán đám mây Điện toán đám mây có các đặc điểm chính sau đây. - Phân phối theo nhu cầu sử dụng. - Các loại dịch vụ điện toán đám mây Dịch vụ CC rất đa dạng và bao gồm tất cả các lớp dịch vụ điện toán từ cung cấp năng lực tính toán trên máy chủ hiệu suất cao hay các máy chủ ảo, không gian lưu trữ dữ liệu, hay một hệ điều hành, một công cụ lập trình, hay một ứng dụng kế toán… Các dịch vụ cũng được phân loại khá da dạng, nhưng các mô hình dịch vụ CC phổ biến nhất có thể được phân thành ba nhóm: Dịch vụ hạ tầng (IaaS), Dịch vụ nền tảng (PaaS) và Dịch vụ phần mềm (SaaS). - Hình 3: Mô hình dịch vụ trên điện toán đám mây 4.1. - Dịch vụ hạ tầng IaaS (Infrastructure as a Service) Dịch vụ IaaS cung cấp dịch vụ cơ bản bao gồm năng lực tính toán, không gian lưu trữ, kết nối mạng tới khách hàng. - Khách hàng (cá nhân hoặc tổ chức) có thể sử dụng tài nguyên hạ tầng này để đáp ứng nhu cầu tính toán hoặc cài đặt ứng dụng riêng cho người sử dụng. - Với dịch vụ này khách hàng làm chủ hệ điều hành, lưu trữ và các ứng dụng do khách hàng cài đặt. - Khách hàng điển hình của dịch vụ IaaS có thể là mọi đối tượng cần tới một máy tính và tự cài đặt ứng dụng của mình. - Ví dụ điển hình về dịch vụ này là dịch vụ EC2[1] của Amazon. - Khách hàng có thể đăng ký sử dụng một máy tính ảo trên dịch vụ của Amazon và lựa chọn một hệ thống điều hành (ví dụ, Windows hoặc Linux) và tự cài đặt ứng dụng của mình. - Dịch vụ nền tảng PaaS (Platform as a Service) Dịch vụ PaaS cung cấp nền tảng điện toán cho phép khách hàng phát triển các phần mềm, phục vụ nhu cầu tính toán hoặc xây dựng thành dịch vụ trên nền tảng 15 Cloud dó. - Dịch vụ PaaS có thể được cung cấp dưới dạng các ứng dụng lớp giữa (middleware), máy chủ ứng dụng (application server) cùng các công cụ lập trình với ngôn ngữ lập trình nhất định để xây dựng ứng dụng. - Dịch vụ PaaS cũng có thể được xây dựng riêng và cung cấp cho khách hàng thông qua một giao diện lập trình ứng dụng - Application Programming Interface[2] (API) riêng. - Khách hàng xây dựng ứng dụng và tương tác với hạ tầng CC thông qua API đó. - Khách hàng điển hình của dịch vụ PaaS chính là các nhà phát triển ứng dụng (Independent software vendor - ISV). - Dịch vụ phần mềm SaaS (Software as a Service) Dịch vụ SaaS cung cấp các ưng dụng hoàn chỉnh như một dịch vụ theo yêu cầu cho nhiều khách hàng với chỉ một phiên bản cài đặt. - Dịch vụ SaaS nổi tiếng nhất phải kể đến Salesforce.com với các ứng dụng cho doanh nghiệp mà nổi bật nhất là CRM. - Một số nhà cung cấp dịch vụ điện toán đám mây Amazone Web Services (AWS): Amazon là hãng tiên phong cung cấp Cloud Computing. - Dịch vụ Cloud Computing của Amazon đi theo hướng “Hạ tầng như dịch vụ. - IaaS (Infrastructure as a service) bao gồm một tập các dịch vụ mức thấp, cho phép người sử dụng linh hoạt và mềm dẻo trong cách sử dụng tài nguyên. - Google App Engine (GAE): là giải pháp cho vấn đề điện toán đám mây của Google. - Trong khi Amazon cung cấp cho bạn môi trường máy ảo (VM) để bạn có thể cài đặt, phát triển các phần mềm dịch vụ của bạn thì Google cung cấp một môi trường hạn chế hơn, dựa trên ngôn ngữ Python, khung phát triển Django, lưu trữ và CSDL dùng GFS và Google BigTable. - Mặc dù tham gia vào lĩnh vực Cloud Computing muộn hơn so với Amazon và Google nhưng nền tảng Azure của Microsoft đang thu hút được sự chú ý lớn, Azure Platform giống như Google App Engine đều đi theo hướng “Nền tảng như một dịch vụ. - Vấn đề bảo mật trên điện toán đám mây 1. - Rủi ro an ninh của điện toán đám mây Một số người tin rằng quá dễ dàng để bắt đầu sử dụng dịch vụ đám mây mà không có một sự hiểu biết đúng đắn về những rủi ro an ninh và không có cam kết thực hiện các quy tắc đạo đức cho điện toán đám mây. - Một câu hỏi đầu tiên là: Người sử dụng phải đối mặt với nguy cơ bảo mật của điện toán đám mây như thế nào? Ngoài ra còn có khả năng rằng một đám mây có thể được sử dụng để khởi động các cuộc tấn công quy mô lớn chống lại các thành phần khác của hạ tầng mạng. - Câu hỏi tiếp theo là: Làm thế nào để có thể ngăn chặn được việc sử dụng bất hợp pháp các nguồn tài nguyên của điện toán đám mây? Có nhiều cách để xem xét các nguy cơ bảo mật cho điện toán đám mây. - Các mối đe dọa truyền thống bắt đầu từ vị trí người sử dụng, người dùng phải bảo vệ hạ tầng được sử dụng để kết nối với điện toán đám mây và tương tác với các ứng dụng chạy trên các đám mây
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt