Điện toán đám mây(Clound Computing)

Điện toán đám mây(Clound Computing)

Rate this post

Có một xu hướng ngày càng nổi bật trong nhiều tổ chức để di chuyển một nhóm, một phần của hoặc thậm chí tất cả các hoạt động công nghệ thông tin (CNTT) có cơ sở hạ tầng trên Internet được gọi là điện toán đám mây doanh nghiệp. Phần này cung cấp tổng quan về điện toán đám mây.

Các bài viết liên quan:

Điện toán đám mây(Cloud computing) được NIST định nghĩa như sau:

Cloud Computing là mô hình dịch vụ cho phép người dùng truy cập tài nguyên điện toán dùng chung (mạng, sever, lưu trữ, ứng dụng, dịch vụ) thông qua kết nối mạng một cách dễ dàng, mọi lúc mọi nơi, theo yêu cầu. Tài nguyên điện toán đám mây này có thể được thiết lập hoặc hủy bỏ nhanh chóng bởi người dùng mà không cần sự can thiệp của Nhà cung cấp dịch vụ (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) có thể được cung cấp nhanh chóng và phát hành. Mô hình đám mây thúc đẩy tính khả dụng và bao gồm năm đặc điểm thiết yếu, ba mô hình dịch vụ và bốn mô hình triển khai.

Điện toán đám mây(Clound Computing)
  • Broad Network Access : Truy cập mạng diện rộng, khả năng sẵn sàng qua mạng Internet và được truy cập thông qua các tiêu chuẩn đảm bảo không đồng nhất
  • Rapid Elasticity : mở rộng và thu nhỏ quy mô một cách nhanh chóng
  • Measured Service : Hệ thống đám mây tự động kiểm soát và tối ưu hóa tài nguyên sử dụng bằng cách tận dụng khả năng đo lường ở một số mức trừu tượng phù hợp với loại dịch vụ (ví dụ: lưu trữ, xử lý, băng thông và người dùng đang hoạt động). Việc sử dụng tài nguyên có thể được theo dõi, kiểm soát và báo cáo, mang lại sự minh bạch cho cả nhà cung cấp và người tiêu dùng dịch vụ được sử dụng.
  • On-Demand Self-Service : Người tiêu dùng có thể đơn phương cung cấp máy tính, chẳng hạn như thời gian máy chủ và lưu trữ mạng, khi cần thiết một cách tự động mà không cần sự tương tác của con người với từng nhà cung cấp dịch vụ.
  • Resource Pooling : Tài nguyên máy tính của nhà cung cấp được tổng hợp để phục vụ nhiều người tiêu dùng sử dụng mô hình nhiều người thuê, với các tài nguyên ảo được chỉ định động và chỉ định lại theo người tiêu dùng nhu cầu. Có một mức độ độc lập về địa điểm mà khách hàng Có một mức độ độc lập về vị trí trong đó khách hàng không thể kiểm soát hoặc không biết vị trí vật lý chính xác của tài nguyên.
  • Software as a Service (SaaS): Khả năng cung cấp cho người tiêu dùng là sử dụng các ứng dụng của nhà cung cấp chạy trên cơ sở hạ tầng đám mây. Các ứng dụng có thể truy cập từ nhiều thiết bị khách khác nhau thông qua ứng dụng, chẳng hạn như một trình duyệt Web. Thay vì sử dụng máy tính để bàn và máy chủ cho phần mềm các sản phẩm mà nó sử dụng, một doanh nghiệp có được các chức năng tương tự từ dịch vụ đám mây. Sử dụng SaaS sẽ hạn chế được sự phức tạp của việc cài đặt, bảo trì, nâng cấp phần mềm và bản vá lỗi. Ví dụ về các dịch vụ ở cấp độ này là Gmail, dịch vụ email của Google, và Salesforce.com, giúp các công ty theo dõi khách hàng của họ.
  • Platform as a service (PaaS): khả năng cung cấp cho người dùng môi trường, công cụ phát triển ứng dụng, sản phẩm trên cơ sở hạ tầng đám mây. Các công cụ phát triển, ngôn ngữ lập trình được hỗ trợ bởi nhà cung cấp. PaaS thường cung cấp các dịch vụ kiểu phần mềm trung gian như cơ sở dữ liệu và các dịch vụ thành phần để ứng dụng sử dụng.
  • Infrastructure as a service (IaaS): Khả năng cung cấp cho người dùng là cung cấp xử lý, lưu trữ, mạng và các tài nguyên máy tính cơ bản khác nơi người tiêu dùng có thể triển khai và chạy phần mềm tùy ý, trong đó có thể bao gồm hệ điều hành và ứng dụng. IaaS cho phép tùy chỉnh để kết hợp các dịch vụ máy tính cơ bản, chẳng hạn như dịch vụ tính toán và lưu trữ dữ liệu để xây dựng hệ thống máy tính thích ứng cao.

NIST định nghĩa bốn mô hình triển khai:

  • Public cloud: Cơ sở hạ tầng đám mây được cung cấp công cộng(public) hoặc một tổ chức lớn và thuộc sở hữu của một tổ chức bán dịch vụ điện toán đám mây(Cloud computing). Nhà cung cấp đám mây chịu trách nhiệm về cả cơ sở hạ tầng đám mây, lưu trữ dữ liệu và hoạt động trong đám mây.
  • Private cloud: Cơ sở hạ tầng đám mây chỉ được vận hành cho một tổ chức riêng. Nó có thể được quản lý bởi tổ chức đó hoặc một bên thứ ba và có ví trí bên trong hoặc ngoài tổ chức. Nhà cung cấp đám mây (CP) chỉ chịu trách nhiệm về cơ sở hạ tầng chứ không chịu trách nhiệm kiểm soát.
  • Community cloud: Cơ sở hạ tầng đám mây được chia sẻ bởi một số tổ chức và hỗ trợ một cộng đồng cụ thể có chung mối quan tâm (ví dụ: sứ mệnh, bảo mật các yêu cầu, chính sách và xem xét tuân thủ). Nó có thể được quản lý bởi tổ chức hoặc bên thứ ba và có thể tồn tại tại cơ sở hoặc ngoài cơ sở.
  • Hybrid cloud: Cơ sở hạ tầng đám mây là một thành phần của hai hoặc nhiều đám mây(private, community, public) vẫn là các thực thể duy nhất nhưng bị ràng buộc với nhau bằng công nghệ tiêu chuẩn hóa hoặc độc quyền dữ liệu và tính di động của ứng dụng (ví dụ: đám mây bùng nổ để cân bằng tải giữa các đám mây).
Điện toán đám mây(Clound Computing)

Hình trên minh họa bối cảnh dịch vụ đám mây điển hình. Một doanh nghiệp chính- Có các máy trạm trong mạng LAN doanh nghiệp hoặc tập hợp các LAN được kết nối bởi một bộ định tuyến thông qua mạng hoặc Internet đến nhà cung cấp dịch vụ đám mây. Các nhà cung cấp dịch vụ đám mây chứa một bộ sưu tập lớn các máy chủ mà được quản lý với một loạt các công cụ quản lý mạng, dự phòng và bảo mật. bên trong hình, cơ sở hạ tầng đám mây được hiển thị dưới dạng một tập hợp các máy chủ con, đó là một kiến trúc chung.

Điện toán đám mây(Clound Computing)

NIST SP 500-292 (Kiến trúc tham khảo điện toán đám mây của NIST) thiết lập một kiến trúc tham khảo, được mô tả như sau:

Kiến trúc tham khảo điện toán đám mây NIST tập trung vào dịch vụ đám mây “là cái gì” chứ không phải “làm thế nào” giải pháp và triển khai. Kiến trúc tham khảo nhằm tạo làm dễ hơn cho việc hiểu các hoạt động phức tạp trong điện toán đám mây. Nó không đại diện cho hệ thống kiến trúc của một hệ thống điện toán đám mây cụ thể; thay vào đó, nó là một công cụ để mô tả, thảo luận và phát triển một kiến trúc hệ thống cụ thể bằng cách sử dụng khung tham chiếu.

NIST đã phát triển kiến trúc tham chiếu với các mục tiêu sau:

  • Để minh họa và hiểu các dịch vụ đám mây khác nhau trong bối cảnh mô hình khái niệm điện toán đám mây tổng thể
  • Cung cấp tài liệu tham khảo kỹ thuật để người tiêu dùng hiểu, thảo luận, phân loại và so sánh các dịch vụ đám mây
  • Để tạo điều kiện thuận lợi cho việc phân tích các tiêu chuẩn về bảo mật, khả năng tương tác, và khả năng di động và triển khai.

5 tác nhân chính về vai trò và trách nhiệm:

  • Cloud consumer: Một cá nhân hoặc tổ chức duy trì mối quan hệ kinh doanh và sử dụng dịch vụ từ các nhà cung cấp dịch vụ đám mây.
  • Cloud provider: Một cá nhân, tổ chức hoặc thực thể chịu trách nhiệm tạo dịch vụ có sẵn cho các bên quan tâm.
  • Cloud auditor: Một bên có thể tiến hành đánh giá độc lập về đám mây như dịch vụ, hoạt động của hệ thống, hiệu suất và bảo mật của triển khai đám mây.
  • Cloud broker: Một thực thể quản lý việc sử dụng, hiệu suất và phân phối dịch vụ đám mây và thương lượng mối quan hệ giữa CP và người tiêu dùng đám mây.
  • Cloud carrier: Một trung gian cung cấp kết nối và vận chuyển dịch vụ đám mây từ CP đến người tiêu dùng đám mây.

Vai trò của Cloud consumer và Cloud provider đã được đề cập. Tóm lại, một nhà cung cấp đám mây(Cp) có thể cung cấp một hoặc nhiều dịch vụ đám mây để đáp ứng công nghệ thông tin và nền tảng kinh doanh cho Cloud consumer. Đối với mỗi mô hình trong ba mô hình dịch vụ (SaaS, PaaS, IaaS), CP cung cấp các phương tiện lưu trữ và xử lý cần thiết để hỗ trợ mô hình dịch vụ đó, cùng với ứng dụng đám mây cho người sử dụng dịch vụ. Đối với SaaS, CP triển khai, định cấu hình, duy trì và cập nhật hoạt động của các ứng dụng phần mềm trên cơ sở hạ tầng đám mây để dịch vụ được cung cấp ở mức dịch vụ dự kiến cho người sử dụng đám mây. Các người sử dụng SaaS có thể là các tổ chức cung cấp cho các thành viên của họ quyền truy cập vào ứng dụng phần mềm, người dùng cuối trực tiếp sử dụng các ứng dụng phần mềm và quản trị phần mềm(administrator) định cấu hình ứng dụng cho người dùng cuối.

Điện toán đám mây(Clound Computing)

Đối với PaaS, CP quản lý cơ sở hạ tầng điện toán cho nền tảng và chạy phần mềm đám mây cung cấp các thành phần của nền tảng, chẳng hạn như runtime software execution stack, cơ sở dữ liệu, và các thành phần phần mềm trung gian khác. Đám mây người tiêu dùng PaaS có thể sử dụng các công cụ và tài nguyên thực thi do CP cung cấp để phát triển, kiểm tra, triển khai và quản lý các ứng dụng được lưu trữ trong môi trường đám mây.

Đối với IaaS, CP quản lý các tài nguyên vật lý làm cơ sở cho dịch vụ, bao gồm máy chủ, mạng, cơ sở hạ tầng lưu trữ và lưu trữ. Người sử dụng sử dụng đám mây IaaS là sử dụng các tài nguyên điện toán này, chẳng hạn như máy tính, cho nhu cầu tính toán cơ bản của họ.

Nhà cung cấp dịch vụ đám mây(Cloud carrier) là một cơ sở mạng cung cấp kết nối và chuyển đổi cổng dịch vụ đám mây giữa người tiêu dùng đám mây và CP. Thông thường, một CP sẽ thiết lập service level agreement(SLA) với nhà cung cấp dịch vụ đám mây(Cloud carrier) để cung cấp dịch vụ nhất quán với mức SLA được cung cấp cho người dùng và có thể yêu cầu nhà cung cấp dịch vụ(Cloud carrier) đám mây cung cấp kết nối chuyên dụng và an toàn giữa người sử dụng đám mây và CP.

Rủi ro về bảo mật trong điện toán đám mây:

Nói chung, các kiểm soát bảo mật trong điện toán đám mây tương tự như bảo mật

kiểm soát trong bất kỳ môi trường CNTT nào. Tuy nhiên, do các mô hình hoạt động và các công nghệ được sử dụng để kích hoạt dịch vụ đám mây, điện toán đám mây có thể gây ra rủi ro dành riêng cho môi trường đám mây. Ví dụ cơ bản về vấn đề này là doanh nghiệp mất quyền kiểm soát đối với các resource, service và application nhưng phải tuân thủ các chính sách bảo mật và quyền riêng tư.

The Cloud Security Alliance đã liệt kê những đám mây điện tử hàng đầu , các mối đe dọa bảo mật cùng với các biện pháp khắc phục được đề xuất:

Lợi dụng và sử dụng bất hợp pháp điện toán đám mây :

Đối với nhiều CP, thật tương đối dễ dàng đăng ký và bắt đầu sử dụng dịch vụ đám mây , thậm chí có thể dùng thử trong thời gian ngắn hạn. Điều này cho phép kẻ tấn công vào bên trong đám mây để tiến hành nhiều cuộc tấn công , chẳng hạn như spam , dùng mã độc và từ chối dịch vụ. PaaS các nhà cung cấp theo truyền thống luôn hứng chịu nhiều nhất từ các cuộc tấn công này; tuy nhiên các bằng chứng gần đây cho thấy tin tặc cũng đã bắt đầu nhắm mục tiêu vào các nhà cung cấp IaaS . Gánh nặng thuộc về CP để bảo vệ lại các cuộc tấn công như vậy, nhưng các khách hàng dịch vụ cũng phải giám sát các hoạt động liên quan đển dữ liệu và tài nguyên của họ để phát hiện các hành vi độc hại. 

Điện toán đám mây(Clound Computing)

Các biện pháp đối phó bao gồm: (1) quy trình đăng ký và xác nhận chặt chẽ hơn; (2) tăng cường giám sát gian lận thẻ tín dụng; (3) giám sát lưu lượng mạng của khách hàng ; và (4) theo dõi danh blacklist cho một các đường mạng blocks.

Các giao diện và API không an toàn :

Các CP đưa ra một bộ giao diện phần mềm hoặc API mà khách hàng sử dụng để quản lý và tương tác với các dịch vụ đám mây. Bảo vệ và tính khả dụng của các dịch vụ đám mây nói chung phụ thuộc vào bảo mật của các API cơ bản này. Từ xác thực và kiểm soát truy cập đến mã hóa và giám sát hoạt động, các giao diện này phải được thiết kế chống lại hành động vô tình và cố ý làm sụp đổ hệ thống.

Các biện pháp đối phó bao gồm: (1) phân tích mô hình bảo mật của giao diện CP; (2) đảm bảo rằng xác thực mạnh và điều khiển truy cập mạnh được thực hiện thông qua kênh truyền được mã hóa và (3) hiểu được chuỗi phụ thuộc liên quan đến API.

Người bên trong hệ thống không an toàn :

Theo mô hình điện toán đám mây, một tổ chức từ bỏ quyền kiểm soát trực tiếp đối với nhiều khía cạnh của an ninh và khi làm như vậy, tạo ra một mức độ tin cậy chưa từng có đối với CP. Một mối quan tâm lớn là nguy cơ hoạt động nội gián. Kiến trúc đám mây đòi hỏi một số vai trò nhất định đó là rủi ro cực kỳ cao. Ví dụ bao gồm quản trị viên hệ thống CP và quản lý nhà cung cấp dịch vụ bảo mật.


Các biện pháp đối phó bao gồm: (1) thực thi quản lý chuỗi cung ứng nghiêm ngặt và tiến hành đánh giá nhà cung cấp toàn diện; (2) chỉ định yêu cầu nguồn nhân lực như một phần của hợp đồng pháp lý; (3) yêu cầu sự minh bạch trong quản lý và bảo mật thông tin tổng thể; và (4) xác định các quy trình thông báo vi phạm an ninh.

Các vấn đề về công nghệ được chia sẻ :

Các nhà cung cấp IaaS cung cấp dịch vụ của họ theo cách có thể mở rộng bằng cách chia sẻ cơ sở hạ tầng. Thông thường, các thành phần cơ bản tạo nên điều này cơ sở hạ tầng (bộ nhớ CPU, GPU, v.v.) không được thiết kế để phù hợp cho mô hình nhiều bên thuê. Các CP thường tiếp cận điều này bằng cách sử dụng các máy ảo riêng lẻ cho các khách hàng cá nhân. Cách tiếp cận này vẫn dễ bị tấn công, bởi cả phía ngoài và nội bộ, và đây là một phần của chiến lược bảo mật tổng thể.

Các biện pháp đối phó bao gồm: (1) thực hiện bảo mật tốt nhất về cài đặt / cấu hình; (2) giám sát môi trường cho hoạt động và thay đổi trái phép; (3) kiểm soát truy cập và xác thực mạnh mẽ khi truy cập và hoạt động; (4) thực thi vá và khắc phục lỗ hổng; (5) tiến hành quét lỗ hổng và kiểm tra cấu hình.

Mất dữ liệu hoặc rò rỉ:

Đối với nhiều khách hàng, tác động mạnh nhất từ ​​một vi phạm an ninh là mất hoặc rò rỉ dữ liệu. Chúng ta sẽ giải quyết vấn đề này trong phần phụ mục tiếp theo.

Các biện pháp đối phó bao gồm: (1) triển khai kiểm soát truy cập API mạnh mẽ; (2) mã hóa và bảo vệ tính toàn vẹn của dữ liệu trong quá trình truyền thông tin; (3) phân tích bảo vệ dữ liệu ở cả mức thiết kế và thời gian thực; và (4) thực hiện việc tạo khóa, lưu trữ và quản lý, và cả tiêu hủy khóa.

Đánh cắp tài khoản hoặc dịch vụ: Thường bị đánh cắp thông tin đăng nhập, vẫn là một mối đe dọa hàng đầu. Với thông tin bị đánh cắp, kẻ tấn công thường có thể  truy cập các khu vực quan trọng của các dịch vụ điện toán đám mây được triển khai, cho phép chúng tấn công vào tính bảo mật, tính toàn vẹn và tính sẵn sàng của các dịch vụ đó.

Biện pháp đối phó bao gồm: (1) cấm chia sẻ thông tin tài khoản giữa người dùng và dịch vụ; (2) tận dụng hai yếu tố mạnh mẽ kỹ thuật xác thực nếu có thể; (3)sử dụng giám sát chủ động để phát hiện hoạt động trái phép; và (4) hiểu chính sách bảo mật của CP và SLA.

Hồ sơ không xác định :

Khi sử dụng cơ sở hạ tầng đám mây, khách hàng nhất thiết phải nhường quyền kiểm soát cho CP về một số vấn đề có thể ảnh hưởng đến an ninh. Như vậy khách hàng phải chú ý và xác định rõ vai trò và trách nhiệm liên quan đến việc quản lý rủi ro. Ví dụ, nhân viên có thể triển khai các ứng dụng và tài nguyên dữ liệu tại CP mà không cần tuân thủ các chính sách thông thường và thủ tục cho sự riêng tư, bảo mật và giám sát.

Biện pháp đối phó bao gồm: (1) Công khai log và data; (2) tiết lộ một phần hoặc toàn bộ chi tiết về cơ sở hạ tầng (ví dụ: mức độ bản vá và tường lửa); và (3) theo dõi và cảnh báo về thông tin cần thiết.

Leave a Reply