- Hoàng Anh Đức Tìm hiểu và triển khai thử nghiệm bảo vệ giao dịch trong điện toán đám mây Chuyên ngành: Truyền thông và mạng máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS Nguyễn Linh Giang Hà Nội, 09/2017 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ và tên tác giả luận văn : HOÀNG ANH ĐỨC Đề tài luận văn: Tìm hiểu và triển khai thử nghiệm bảo vệ giao dịch trong Điện toán đám mây. - Chuyên ngành: Kỹ thuật máy tính Mã số SV: CA150101 Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày với các nội dung sau. - Thay các hình vẽ minh họa bị mờ gồm các hình 3.2, hình 3.3, hình 4.4 Ngày 30 tháng 10 năm 2017 Giáo viên hướng dẫn Tác giả luận văn PGS. - Đặng Văn Chuyết 1 LỜI CAM ĐOAN Tôi xin cam đoan luận văn này là công trình nghiên cứu thực sự của cá nhân tôi, được thực hiện dưới sự hướng dẫn khoa học của PGS.TS. - Nguyễn Linh Giang Các số liệu, kết quả nghiên cứu trong luận văn này là trung thực. - Tôi xin chịu trách nhiệm về nghiên cứu của mình. - 11 CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY. - 14 1.1 Khái niệm về điện toán đám mây. - 14 1.2 Các mô hình dịch vụ của điện toán đám mây. - 16 1.2.1 Cơ sở hạ tầng như một dịch vụ (IaaS - Infrastructure as a Service. - 16 1.2.2 Nền tảng như một dịch vụ (PaaS - Platform as a Service. - 17 1.2.3 Phần mềm như một dịch vụ (SaaS - Software as a Service. - 18 1.3 Các mô hình triển khai điện toán đám mây. - 18 1.3.1 Đám mây riêng (Private cloud. - 19 1.3.2 Đám mây công cộng (Public cloud. - 20 1.3.3 Đám mây lai (Hybrid cloud. - 21 1.4 Đánh giá các mặt tích cực và hạn chế của Điện toán đám mây. - 22 1.4.1 Những lợi ích của điện toán đám mây. - 22 1.4.2 Những mặt hạn chế của điện toán đám mây. - 23 1.5 Xu thế phát triển của điện toán đám mây. - 24 CHƯƠNG II: MỘT SỐ VẤN ĐỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY. - 26 2.1 Vấn đề liên quan đến chính sách an ninh hệ thống. - 26 2.1.1 Bảo mật hệ thống đám mây bằng các điều khoản áp dụng. - 26 2.1.2 Bảo mật hệ thống đám mây bằng quy trình điều khiển vận hành hệ thống. - 28 2.2 Vấn đề an toàn liên quan đến kiến trúc của điện toán đám mây. - 30 2.2.2 An ninh ở mức dịch vụ nền tảng (PaaS. - 31 2.2.3 An ninh ở mức dịch vụ phần mềm (SaaS. - 32 CHƯƠNG III: BẢO VỆ GIAO DỊCH TRONG ĐIỆN TOÁN ĐÁM MÂY OPENSTACK. - 51 3.3 Nghiên cứu các vấn đề bảo mật trong Openstack. - 51 3.3.1 Chính sách quản lý bảo mật. - 52 3.3.1.1 Quản lý hệ thống liên tục. - 56 3.2.2 Bảo mật truyền thông mạng. - 60 3.3.2.2 TLS proxy và dịch vụ HTTP. - 61 3.3.2.3 Tham khảo các mô hình bảo mật. - 76 3.3.5.3 Làm vững chắc trong Tính toán triển khai. - 78 3.3.6.1 Cấu hình dịch vụ mạng OpenStack Networking. - 78 3.3.6.2 Bảo mật các dịch vụ mạng OpenStack. - 83 3.3.7.1 Bảo mật truyền tải tin nhắn thông điệp. - 87 3.4 Dịch vụ truyền thông điệp RabbitMQ trong điện toán đám mây Openstack. - 92 3.4.3 Mã hóa RabbitMQ để bảo vệ các giao dịch trong Openstack. - 96 Bảo mật truyền tải tin nhắn. - 96 CHƯƠNG IV: THỬ NGHIỆM MÔ PHỎNG HỆ THỐNG ĐÁM MÂY RIÊNG VÀ GIẢI PHÁP BẢO VỆ GIAO DỊCH DỮ LIỆU TRÊN NỀN TẢNG OPENSTACK. - 97 4.1 Mô hình thử nghiệm hệ thống điện toán đám mây riêng với nền tảng Openstack. - 97 4.2 Cài đặt hệ thống điện toán đám mây Openstack. - 99 4.2.3 Cấu hình Mã hóa RabbitMQ trong hệ thống Openstack. - 101 4.2.4 Kết quả thử nghiệm. - 1: Minh họa dịch vụ điện toán đám mây. - 2: Hình minh điện toán đám mây riêng (Private cloud. - 3: Hình minh họa điện toán đám mây công cộng (Public Cloud. - 4: Đám mây lai (Hybrid Cloud. - 1: Mô hình các lớp dịch vụ cloud. - 1: Mô hình Openstack. - 2: Mô hình các thành phần Openstack. - 3: Mô hình Keystone. - 9: Mô hình thiết lập SSL tại Proxy phía trước dịch vụ. - 10: Mô hình thiết lập proxy tại node. - 11: Mô hình thiết lập SSL tại cân bằng tải. - 12: Mô hình thiết lập SSL bên trong và bên ngoài. - 1: Mô hình triển khai thử nghiệm hệ thống điện toán đám mây Openstack. - 107 7 DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT STT Từ viết tắt Tiếng Anh Tiếng Việt 1 ARP Address Resolution Protocol Giao thức phân giải địa chỉ 2 API Application Program Interface Giao diện lập trình ứng dụng 3 AWS Amazon Web Service Dịch vụ Cloud Computing của Amazon 4 AMQP Advanced Message Queuing Protocol Giao thức truyền tải tin nhắn nâng cao 5 BMC Baseboard Management Controller Bộ xử lý theo dõi giám sát hệ thống 6 BEAST Browser Exploit Against SSL/TLS Kỹ thuật khai thác điểm yếu trên trình duyệt sử dụng https 7 CA Certificate Authority Tổ chức phát hành chứng chỉ 8 CSRF Cross Site Request Forgery Hình thức tấn công giả mạo 9 CSP Cloud Service Provider Nhà cung cấp dịch vụ đám mây 10 CRIME Compression Ratio Info-Leak Made Easy Kỹ thuật tấn công lên bộ giao thức SSL/TLS 11 DNS Domain Name System Hệ thống tên miền 12 DNSSEC Domain Name System Security Extensions Công nghệ bảo mật cho hệ thống DNS 13 FQDN Fully Qualified Domain Name Địa chỉ tên miền đầy đủ để xác định một máy tính 8 14 HTTPS Hypertext Transfer Protocol Secure Giao thức HTTP được bảo mật SSL hay TLS 15 HSTS HTTP Strict Transport Security Một chính sách bảo mật trang web 16 HTTP Hyper Text Transfer Protocol Giao thức truyền siêu dữ liệu văn bản 17 Heartbeat Heartbeat Tên một lỗ hổng của bộ thư viện OpenSSL 18 IaaS Infrastructure as a Service Cơ sở hạ tầng như dịch vụ 19 IT Information Technology Công nghệ thông 20 IP Internet Protocol Giao thức internet 21 IPMI Intelligent Platform Management Interface Giao diện quản lý và giám sát hệ thống thông minh 22 IEEE Institute of Electrical and Electronics Engineers Viện các kỹ sư điện và điện tử 23 iSCSI Internet Small Computer System Interface Giao thức kết nối Storage bằng LAN/WAN 24 LAN Lan Area Network Mạng cục bộ 25 ML2 Modular Layer 2 26 NTP Network Time Protocol Giao thức thời gian 27 RPC Remote Procedure Call Một thủ tục giao tiếp trong nội bộ Compute 28 RFC Request For Comment Là những tiêu chuẩn công nghệ 29 PaaS Platform as a Service Nền tảng như dịch vụ 30 SaaS Software as a Service Phần mềm như dịch vụ 9 31 SSL Secure Sockets Layer Một tiêu chuẩn an ninh 32 SSHFP Secure Shell Key Fingerprints Một bản ghi DNS chứng thực máy chủ qua DNSSEC 33 SLA Service Level Agreement Cam kết chất lượng dịch vụ 34 SOA Service Oriented Architecture Xây dựng hệ thống theo một quy trình chuẩn hướng dịch vụ 35 VNC Virtual Network Computing Mạng máy tính ảo 36 VM Virtual Machine Máy tính ảo 37 WAN Wide Area Network Mạng diện rộng 38 X.509 X.509 Chứng chỉ khoá công khai X.509 10 LỜI CẢM ƠN Luận văn thạc sĩ kỹ thuật chuyên ngành Truyền thông và mạng máy tính với đề tài “Tìm hiểu và triển khai thử nghiệm bảo vệ giao dịch trong điện toán đám mây” là kết quả của quá trình cố gắng không ngừng của bản thân và được sự giúp đỡ, động viên khích lệ của các thầy, bạn bè đồng nghiệp và người thân. - Qua trang viết này tác giả xin gửi lời cảm ơn tới những người đã giúp đỡ tôi trong thời gian học tập - nghiên cứu khoa học vừa qua. - Tôi xin tỏ lòng kính trọng và biết ơn sâu sắc đối với thầy giáo PGS.TS Nguyễn Linh Giang đã trực tiếp tận tình hướng dẫn cũng như cung cấp tài liệu thông tin khoa học cần thiết cho luận văn này. - Xin chân thành cảm ơn lãnh đạo trường Đại học bách khoa Hà Nội, Viện Công nghệ Thông tin và Truyền thông, Viện đào tạo sau đại học đã tạo điều kiện cho tôi hoàn thành tốt công việc nghiên cứu khoa học của mình. - Cuối cùng tôi xin chân thành cảm ơn đồng nghiệp, đơn vị công tác đã giúp đỡ tôi trong quá trình học tập và thực hiện Luận văn. - Giới thiệu Ngày nay, thuật ngữ “điện toán đám mây” không phải là mới nhưng những vấn đề bảo mật trong điện toán đám mây luôn mới. - Khi mọi người, mọi nhà, mọi thiết bị đều kết nối với intenet thì các vấn đề về an ninh dữ liệu, bảo mật thông tin riêng tư lại càng trở thành mối quan tâm hàng đầu của người dùng, của nhà cung cấp dịch vụ hạ tầng v.v. - Kỷ nguyên của công nghệ số, cuộc cách mạng công nghiệp lần thứ 4 đang diễn ra, từ khóa CLOUD vẫn luôn nóng bên cạnh các từ khóa Big Data, Internet của vạn vật (IoT), trí tuệ nhân tạo (AI), thực tế ảo (VR), tương tác thực tại ảo (AR) và người dùng được hưởng lợi từ đó nhưng có phải mọi người dùng đều đã cảm thấy an tâm khi sử dụng các dịch vụ đó? Một anh công nhân sử dụng Smartphone thắc mắc dữ liệu của tôi lưu ở đâu trên thế giới này? Liệu người ta có xem được những thông tin riêng tư của tôi? Và liệu một ngày nào đó tôi không thể sử dụng được những dữ liệu của tôi nữa? Một bạn kỹ sư muốn tìm hiểu và triển khai thử nghiệm hệ thống điện toán đám mây cũng luôn có những câu hỏi xung quanh vấn đề bảo mật, các vấn đề bảo mật trên đó là gì? Các cách thức triển khai như nào? Do tôi là một kỹ sư công nghệ nên luôn nhận được những câu hỏi xoay quanh về vấn đề này. - Vì thế, tôi chọn thực hiện luận văn này với đề tài: Tìm hiểu và triển khai thử nghiệm bảo vệ giao dịch trong điện toán đám mây. - Với mong muốn rằng, đây được coi như là một nguồn tham khảo để người dùng có thể hình dung được các vấn đề bảo mật trong Cloud computing và cung cấp như một tài liệu về bảo mật nói riêng trong công nghệ Cloud Openstack đang được nhiều người nghiên cứu triển khai. - Mục đích nghiên cứu Mục đích của tài liệu này là cung cấp một cái nhìn khái quát cho việc triển khai một đám mây OpenStack an toàn, cung cấp hướng dẫn để bảo đảm triển khai hệ 12 thống OpenStack và cung cấp như một tài liệu để người dùng nắm bắt – tham khảo khi có ý định triển khai hoặc sử dụng dịch vụ điện toán đám mây. - Đối tượng và phạm vi nghiên cứu Đối tượng nghiên cứu bao gồm: Mô hình điện toán đám mây, các tài liệu/bài báo gần đây viết về các giải pháp nâng cao bảo mật trong điện toán đám mây, hệ thống điện toán đám mây mã nguồn mở OpenStack, công nghệ truyền thông điệp trong Openstack. - Phương pháp nghiên cứu Phương pháp chính là nghiên cứu qua các nguồn tư liệu đã xuất bản, các bài báo, các báo cáo khoa học về điện toán đám mây và bảo mật trong điện toán đám mây. - Xây dựng mô phỏng điện toán đám mây và giải pháp bảo vệ giao dịch dữ liệu trong điện toán đám mây, kiểm thử và đánh giá kết quả hệ thống trong môi trường điện toán đám mây Openstack. - Ý nghĩa khoa học và thực tiễn của luận văn Việc nghiên cứu và mô phỏng trong luận văn sẽ đáp ứng nhu cầu tìm hiểu giải pháp bảo mật trong điện toán đám mây cho các cá nhân, doanh nghiệp trước khi quyết định đăng ký sử dụng các dịch vụ của điện toán đám mây hoặc trước khi nghiên cứu xây dựng một hệ thống điện toán đám mây. - Các giải pháp nâng cao tính bảo mật trong Openstack giúp người đọc có một tư liệu tham khảo khi triển khai hạ tầng điện toán đám mây Openstack của mình. - Bố cục của luận văn Bố cục của luận văn “Tìm hiểu và triển khai thử nghiệm bảo vệ giao dịch trong điện toán đám mây” được tổ chức thành 4 (bốn) chương với nội dung cụ thể như sau: CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 13 Trình bày các vấn đề chung về Cloud như khái niệm, kiến trúc mô hình của Cloud Computing, đặc điểm, xu thế phát triển của Cloud. - CHƯƠNG II: MỘT SỐ VẤN ĐỀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY Phần này sẽ phân tích và đánh giá về hạ tầng bảo mật trong điện toán đám mây, các vấn đề cần bảo mật trong triển khai và sử dụng điện toán đám mây. - CHƯƠNG III: BẢO VỆ GIAO DỊCH TRONG ĐIỆN TOÁN ĐÁM MÂY OPENSTACK Phần này giới thiệu về công nghệ điện toán đám mây Openstack, nghiên cứu các thành phần chức năng của openstack. - Phân tích các vấn đề cần bảo mật trong Openstack. - Nghiên cứu giải pháp bảo vệ giao dịch truyền thông điệp với RabbitMQ trong Openstack. - CHƯƠNG IV: THỬ NGHIỆM MÔ PHỎNG HỆ THỐNG ĐÁM MÂY RIÊNG VÀ GIẢI PHÁP BẢO VỆ GIAO DỊCH DỮ LIỆU TRÊN NỀN TẢNG OPENSTACK Phần này giới thiệu các bước cài đặt hệ thống OpenStack, thử nghiệm cấu hình mã hóa cho giao thức truyền thông điệp RabbitMQ trong Openstack, đưa ra đánh giá và kiến nghị hướng nghiên cứu tiếp theo trong vấn để bảo mật trong hệ thống Điện toán đám mây Openstack. - 14 CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY Trình bày các vấn đề chung về Cloud như khái niệm, kiến trúc mô hình của Cloud Computing, đặc điểm, xu thế phát triển của Cloud. - 1.1 Khái niệm về điện toán đám mây Thuật ngữ “Điện toán đám mây” (tên tiếng anh: Cloud Computing) ra đời vào khoảng giữa năm 2007. - Có rất nhiều khái niệm về điện toán đám mây. - Một số người đề xuất rằng điện toán đám mây chỉ đơn giản là các nguồn điện toán khổng lồ như phần mềm, dịch vụ… sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình và văn phòng để mọi người kết nối và sử dụng mỗi khi họ cần. - Họ chỉ cần tập trung sản xuất bởi đã có người khác lo cơ sở hạ tầng và công nghệ thay họ. - Bạn có thể truy cập đến bất kỳ tài nguyên nào tồn tại trong “đám mây (cloud)” tại bất kỳ thời điểm nào và từ bất kỳ đâu thông qua hệ thống Internet. - Chẳng hạn, họ đăng ký dịch vụ hosting cho website công ty, thuê công cụ quản lý doanh thu từ Salesforce.com, lấy dữ liệu khảo sát thị trường từ tổ chức Survey Monkey… Và tất nhiên, họ dùng Google để tìm kiếm, phân tích, chia sẻ và lưu trữ tài liệu. - Suy nghĩ này làm giảm thực tế là Cloud Computing có một phạm vi rộng hơn bất kỳ trong các công nghệ đặc biệt này, các giải pháp đám mây thường bao gồm các công nghệ này (và những công nghệ khác), và đó là chiến lược toàn diện đặt Cloud Computing tách khỏi các công nghệ trước đây. - Theo bách khoa toàn thư Wikipedia: “Điện toán đám mây (tên tiếng Anh: cloud computing), còn gọi là điện toán máy chủ ảo, là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet. - Ở mô hình điện toán này, mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các "dịch vụ", cho phép người sử dụng truy cập các dịch vụ công nghệ từ một
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt