An toàn và bảo mật trong điện toán đám mây
- 1. AN TOÀN VÀ BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY CHƯƠNG 6 Ảo hóa và điện toán đám mây 1
- 2. Chuyện gì xảy ra trên đó? Ảo hóa và điện toán đám mây 2
- 3. Trust? Ảo hóa và điện toán đám mây 3
- 4. Trust? Ảo hóa và điện toán đám mây 4
- 5. NỘI DUNG • Các vấn đề an toàn và bảo mật (ATBM) trong điện toán đám mây • Một số phương pháp đảm bảo an toàn cho dịch vụ đám mây Ảo hóa và điện toán đám mây 5
- 6. Các vấn đề an toàn và bảo mật (ATBM) trong điện toán đám mây 1. Một số lỗ hổng ATBM trong các hệ thống đám mây 2. Nguy cơ ATBM trong các hệ thống đám mây 3. ATBM trên các tầng dịch vụ đám mây 4. ATBM trên các mô hình triển khai điện toán đám mây Ảo hóa và điện toán đám mây 6
- 7. Một số lỗ hổng ATBM trong các hệ thống đám mây Ảo hóa và điện toán đám mây 7
- 8. Một số lỗ hổng ATBM trong các hệ thống đám mây Ảo hóa và điện toán đám mây 8 • SQL injection: là một kỹ thuật chèn mã được sử dụng để tấn công các ứng dụng hướng dữ liệu, trong đó các câu lệnh SQL độc hại được chèn vào một trường nhập để thực thi. • Cross-Site Scripting (XSS): là một đoạn mã độc được hacker chèn vào web để thực thi chúng ở phía Client. • Cross-Site Request Forgery (CSRF): là một loại tấn công buộc người dùng cuối thực hiện các hành động không mong muốn trên ứng dụng web mà họ hiện đang được xác thực.
- 9. Một số lỗ hổng ATBM trong các hệ thống đám mây Ảo hóa và điện toán đám mây 9 • Time of Check To Time of Use (TOCTTOU): là một loại lỗi phần mềm do tranh đoạt điều khiển liên quan đến việc kiểm tra trạng thái của một phần hệ thống và việc sử dụng kết quả của việc kiểm tra đó. • Rootkit: là một tập hợp các phần mềm máy tính độc hại, được thiết kế để cho phép truy cập vào một máy tính. • Buffer overflow: tràn bộ đệm • Hypervisor vulnerabilities: lỗ hổng hypervisor, nhược điểm, yếu điểm • Trojans: là phần mềm độc hại đánh lừa người dùng về mục đích thực sự của nó. (Thuật ngữ này có nguồn gốc từ câu chuyện Hy Lạp cổ đại về Con ngựa thành Troy lừa đảo dẫn đến sự sụp đổ của thành phố Troy.)
- 10. Nguy cơ ATBM trong các hệ thống đám mây Ảo hóa và điện toán đám mây 10 • Rò rỉ dữ liệu • Mất mát dữ liệu • Bị đánh cắp tài khoản hoặc thất thoát dịch vụ • Giao diện và API không an toàn • Từ chối dịch vụ • Nguy cơ từ bên trong • Sự lạm dụng dịch vụ đám mây • Khảo sát không đầy đủ • Lỗ hổng trong các công nghệ sử dụng chung
- 11. ATBM trên các tầng dịch vụ đám mây Ảo hóa và điện toán đám mây 11
- 12. ATBM trên các tầng dịch vụ đám mây Càng sử dụng mức dịch vụ bên dưới từ nhà cung cấp, thì người dùng càng chịu trách nhiệm về mặt chiến thuật trong việc triển khai và quản lý. Ảo hóa và điện toán đám mây 12
- 13. ATBM trên các tầng dịch vụ đám mây • IaaS Ảo hóa và điện toán đám mây 13
- 14. ATBM trên các tầng dịch vụ đám mây • PaaS Ảo hóa và điện toán đám mây 14
- 15. ATBM trên các tầng dịch vụ đám mây • SaaS Ảo hóa và điện toán đám mây 15
- 16. ATBM trên các mô hình triển khai điện toán đám mây Ảo hóa và điện toán đám mây 16 • On-Premise defined: a solution hosted in-house and usually supported by a third-party. • Off-Premise defined: a solution hosted by a third-party and usually supported by a different third-party.
- 17. Một số phương pháp đảm bảo an toàn cho dịch vụ đám mây Ảo hóa và điện toán đám mây 17 • Payment Card Industry Data Security Standard (PCI DSS): yêu cầu đảm bảo xủ lý về thanh toán • HIPAA: tập tiêu chuẩn bảo vệ dữ liệu nhạy cảm • Gramm-Leach-Bliley Act (GLB Act or GLBA): tiêu chuẩn bảo vệ thông tin khách hàng • SOX (Sarbanes-Oxley Act): cung cấp bằng chứng về báo cáo tài chính chính xác
- 18. Một số phương pháp đảm bảo an toàn cho dịch vụ đám mây Ảo hóa và điện toán đám mây 18 • The Cloud Security Alliance’s 13 Critical Areas Of Focus for Cloud: www.cloudsecurityalliance.org 1. Architecture & Framework Governing the Cloud Operating the Cloud 2. Governance & Risk Mgmt 8. Traditional BCM, DR 3. Legal Issues: Contracts and Electronic Discovery 9. Datacenter Operations 5. Compliance & Audit 10. Incident Response 6. Information Management & Data Security 11. Application Security 7. Portability & Interoperability 12. Encryption & Key Mgmt 13. Identity & Access Mgmt Các lĩnh vực được chia thành hai loại lớn: quản trị đám mây và hoạt động đám mây. • Governing the Cloud: giải quyết các vấn đề chiến lược và chính sách trong môi trường điện toán đám mây • Operating the Cloud: tập trung vào chiến lược bảo mật hơn và triển khai kiến trúc.
- 19. Hoạt động • Tìm hiểu các dịch vụ cung cấp bảo mật điện toán đám mây: • https://www.mcafee.com/ • https://www.ciphercloud.com/ • https://www.zscaler.com/ • https://www.netskope.com/ • https://www.okta.com/ • https://www.centrify.com/ • Yêu cầu: • Chọn 1 nhà cung cấp bảo mật trong danh sách trên • Tìm hiểu các chức năng chính và sản phẩm của họ, ghi lại trong Googles Docs được chia sẻ bởi GV • Đăng ký và sử dụng thử dịch vụ (nếu cho dùng thử hoặc free). Sau đó ghi lại kết quả sử dụng vào Googles Docs Ảo hóa và điện toán đám mây 19
- 20. HỎI ĐÁP Ảo hóa và điện toán đám mây 20