Đảm bảo tính toán an toàn
Đảm bảo tính toán an toàn dựa trên Mô-đun nền tảng tin cậy (Trusted platform module - TPM), một thiết bị phần cứng hoạt động như một bộ đồng xử lý mã hóa để hỗ trợ tăng tốc thuật toán mã hóa, niêm phong dữ liệu, khởi động an toàn và chứng thực. Từ góc độ đám mây, Mô-đun nền tảng tin cậy ảo (Virtualizing the trusted platform module - vTPM) được phát triển bởi Wang và cộng sự [1]. Nhóm này đã phát triển mô hình vTPM đảm bảo an toàn trong điện toán đám mây, cung cấp các chức năng lưu trữ an toàn và mật mã của TPM cho các hệ điều hành và ứng dụng chạy trên máy ảo. Trong vTPM, có các phiên bản vTPM được liên kết với các máy ảo riêng lẻ và trình quản lý vTPM để khởi tạo các vTPM và ghép các yêu cầu đến từ các máy ảo. Kiến trúc vTPM được trình bày như trong Hình 1.
Hình 1. Kiến trúc vTPM
Hiện nay, IntelX Software Guard eXtensions (SGX) cung cấp giải pháp mã hóa bộ nhớ dựa trên phần cứng, để cung cấp bảo mật và tính toàn vẹn của các ứng dụng đám mây (Hình 2). SGX cho phép cách ly mã ứng dụng và dữ liệu cụ thể trong bộ nhớ, được gọi là bao vây.
Hình 2. Luồng thực thi trong SGX
Giải pháp an toàn máy ảo và phần mềm giám sát máy ảo
Hình 3. Mô hình kiến trúc giải pháp của Christodorescu và cộng sự:
a) Lab environment: One-Time Reference Measurements; b) Cloud Environment: Run-time Checking of Guest VMs.
Cách tiếp cận đơn giản nhất để bảo vệ máy ảo khách là cho phép phần mềm giám sát máy ảo biết hệ điều hành của máy ảo khách để nó có thể giám sát và phân tích các hoạt động trên máy ảo khách. Tuy nhiên, điều này có thể không khả thi luôn vì nhà cung cấp có thể không nhận được các chi tiết máy ảo khách từ người dùng. Christodorescu và cộng sự [2] đề xuất một kiến trúc trong Hình 3. Theo cách tiếp cận này, máy ảo khách nằm trên phần mềm giám sát máy ảo đáng tin cậy thu thập dữ liệu cho sự tương tác giữa máy ảo và trình giám sát máy ảo. Trình giám sát máy ảo gửi dữ liệu được thu thập đến máy ảo an toàn được thiết kế đặc biệt khác để theo dõi và phân tích.
Giải pháp an toàn cho hình ảnh máy ảo
Hình 4. Hệ thống quản lý hình ảnh máy ảo Mirage
Mirage [3], một hệ thống quản lý hình ảnh máy ảo, đề xuất bốn biện pháp bảo vệ hình ảnh máy ảo:
Khung kiểm soát truy cập: quản lý việc chia sẻ hình ảnh máy ảo. Điều này làm giảm rủi ro của nhà cung cấp truy cập trái phép vào hình ảnh.
Bộ lọc hình ảnh máy ảo: áp dụng cho hình ảnh máy ảo tại thời điểm cung cấp và truy xuất thời gian để loại bỏ thông tin không mong muốn trong hình ảnh máy ảo. Thông tin không mong muốn có thể là thông tin riêng tư cho người dùng, chẳng hạn như mật khẩu, mã độc, phần mềm độc hại, phần mềm bất hợp pháp và phần mềm lậu. Bộ lọc giải quyết các rủi ro bảo mật của cả ba bên tham gia. Các bộ lọc làm giảm rủi ro của nhà cung cấp khi vô tình tiết lộ thông tin cá nhân, nguy cơ người truy nhập sử dụng nội dung bất hợp pháp, giảm thiểu rủi ro của quản trị viên về việc chịu trách nhiệm lưu trữ nội dung đó.
Cơ chế theo dõi xuất xứ: theo dõi lịch sử phái sinh của một hình ảnh và các hoạt động liên quan đã được thực hiện trên hình ảnh (thông qua API kho lưu trữ hình ảnh). Chức năng bảo mật như kiểm toán được xây dựng trên lớp theo dõi xuất xứ. Đồng thời cung cấp bằng chứng, quy trách nhiệm và hạn chế nội dung độc hại hoặc bất hợp pháp, do đó làm giảm rủi ro của quản trị viên về việc lưu trữ hình ảnh có chứa nội dung đó.
Dịch vụ bảo trì kho lưu trữ: như quét virus định kỳ của toàn bộ kho lưu trữ, phát hiện và khắc phục các lỗ hổng được phát hiện sau khi hình ảnh được công bố. Dịch vụ này làm giảm rủi ro của người truy xuất khi chạy phần mềm độc hại hoặc bất hợp pháp và giảm rủi ro của người quản trị khi lưu trữ chúng.
Hình 4 cho thấy kiến trúc tổng thể của hệ thống quản lý hình ảnh Mirage, bao gồm bốn thành phần chính thực hiện bốn tính năng được trình bày ở trên:
(1) Khung kiểm soát truy cập hoạt động để điều chỉnh việc chia sẻ hình ảnh máy ảo;
(2) Bộ lọc hình ảnh máy ảo loại bỏ thông tin không mong muốn khỏi hình ảnh tại thời điểm công bố và khi truy xuất;
(3) Cơ chế theo dõi lịch sử phái sinh của hình ảnh;
(4) Dịch vụ bảo trì kho lưu trữ, chẳng hạn như quét virus định kỳ, phát hiện và vá lỗ hổng được phát hiện sau khi hình ảnh được công bố.
Giải pháp an toàn khi di chuyển máy ảo
Hình 5. Di chuyển máy ảo giữa các máy trong đám mây
Di chuyển máy ảo qua các máy chủ trong một trung tâm dữ liệu ảo hóa giúp quản trị viên quản lý trung tâm dữ liệu hiệu quả, giảm sự gián đoạn dịch vụ. Tuy nhiên, vận chuyển số lượng lớn bộ nhớ chứa máy ảo dẫn đến làm tăng thời gian di chuyển cũng như thời gian chờ, điều này ảnh hưởng đến hiệu suất toàn bộ hệ thống. Tình trạng này trở nên tệ hơn khi di chuyển diễn ra trên mạng chậm hoặc di chuyển trong một đám mây, ảnh hưởng tới tính sẵn sàng của hệ thống. Giải quyết những vấn đề này, Sharma [4] đề xuất phương pháp tối ưu hóa ba pha (Three-pharse Optimization - TPO). Phương pháp này hoạt động theo ba giai đoạn như sau:
(i) Giảm chuyển trang bộ nhớ trong giai đoạn đầu;
(ii) Giảm chuyển trang trùng lặp bằng cách phân loại trang thường xuyên và không cập nhật thường xuyên;
(iii) Giảm dữ liệu được gửi sau cùng lặp lại di chuyển bằng cách áp dụng kỹ thuật nén RLE đơn giản.
Do đó, mỗi giai đoạn làm giảm đáng kể tổng số trang bộ nhớ được chuyển, giảm tổng thời gian di chuyển và thời gian chết tương ứng. Phương pháp TPO được đề xuất được đánh giá bằng cách sử dụng các khối lượng công việc đại diện khác nhau trên môi trường ảo hóa Xen. Kết quả thử nghiệm cho thấy phương pháp TPO giúp giảm tổng số trang được chuyển khoảng 71%, tổng thời gian di chuyển khoảng 70%, thời gian ngừng hoạt động khoảng 3%, cho khối lượng công việc cao hơn và nó không tăng chi phí đáng kể so với phương pháp phân tích truyền thống.
Giải pháp an toàn, bảo mật mạng truyền thông ảo
Hình 6. Tài nguyên vật lý được tổ hợp trong một miền TVD
Việc sử dụng chung các bộ định tuyến và các thiết bị mạng khác cùng với các kênh liên lạc được chia sẻ dẫn đến vấn đề an toàn, bảo mật truyền thông ảo và cộng đồng nghiên cứu đã đề xuất các biện pháp để giải quyết vấn đề. Wu và cộng sự [5] đề xuất một khung mạng ảo bao gồm ba lớp: lớp định tuyến, tường lửa và mạng chia sẻ để ngăn máy ảo dò tìm và giả mạo. Họ đã thử nghiệm khung này cho Xen trong hai cấu hình chế độ bridging và routing. Họ sử dụng mạng con (subnet) để cung cấp bảo mật chống lại việc tiết lộ thông tin trái phép. Trong khi đó, Klymash và cộng sự [6] đề xuất ảo hóa mạng tăng cường bảo mật trong trung tâm dữ liệu dựa trên khái niệm các miền ảo đáng tin cậy (Trusted Virtual Domains - TVDs). TVD cho phép các nhóm máy ảo có liên quan trên các máy chủ riêng biệt được kết nối như thể chúng ở trên cùng một mạng lưới và đảm bảo các yêu cầu bảo mật nhóm chéo như bảo mật, tính toàn vẹn, cô lập và kiểm soát luồng thông tin. Thực hiện TVD bằng cách kết hợp các công nghệ hiện có như gắn thẻ Vlan, đóng gói Ethernet và mạng riêng ảo (VPN).
Kết luận
Điện toán đám mây được coi là một hệ thống dựa trên tiện ích để cung cấp động các tài nguyên và dịch vụ CNTT. Thông qua ảo hóa, điện toán đám mây đáp ứng nhu cầu về tài nguyên và dịch vụ cho nhiều người dùng cùng một lúc. Để cung cấp theo yêu cầu và cung cấp linh hoạt các tài nguyên và dịch vụ, ảo hóa cần sử dụng hiệu quả các tài nguyên và giải quyết được vấn đề đảm bảo an toàn, bảo mật trong điện toán đám mây bao gồm: đảm bảo tính toán an toàn, an toàn máy ảo và trình giám sát máy ảo, an toàn hình ảnh máy ảo, an toàn di chuyển máy ảo và an toàn, bảo mật truyền thông ảo.
|
TÀI LIỆU THAM KHẢO 1. Wang, Juan, Chengyang Fan, Jie Wang, Yueqiang Cheng, Yinqian Zhang, Wenhui Zhang, Peng Liu, and Hongxin Hu. “SvTPM: A Secure and Efficient vTPM in the Cloud.” arXiv preprint arXiv:1905.08493 (2019). 2. M. Christodorescu, R. Sailer, D.L. Schales, D. Sgandurra, D. Zamboni, Cloud security is not (just) virtualization security: A short paper, Proceedings of the 2009 ACM Workshop on Cloud Computing Security, in: CCSW ’09, ACM, New York, NY, USA, ISBN: 978-1-60558-784-4, 2009, pp. 97–102. 3. J. Wei, X. Zhang, G. Ammons, V. Bala, P. Ning, Managing security of virtual machine images in a cloud environment, Proceedings of the 2009 ACM Workshop on Cloud Computing Security, in: CCSW ’09, New York, NY, USA, ISBN: 978-1-60558-784-4, 2009, pp. 91–96. 4. S. Sharma, M. Chawla, A three phase optimization method for precopy based VM live migration, Springer Plus (ISSN: 2193-1801) 5 (1) (2016) 1–24. 5. H. Wu, Y. Ding, C. Winer, L. Yao, Network security for virtual machine in cloud computing, 5th International Conference on Computer Sciences and Convergence Information Technology, 2010, pp. 18–21. 6. Klymash, Mykhailo, Olga Shpur, Orest Lavriv, and Nazar Peleh. “Information Security in Virtualized Data Center Network.” In 2019 3rd International Conference on Advanced Information and Communications Technologies (AICT), pp. 419-422. IEEE, 2019. |
Phạm Duy Trung, Phạm Minh Thuấn
09:00 | 01/03/2018
16:00 | 03/05/2021
13:00 | 17/02/2021
10:00 | 25/05/2020
10:00 | 22/02/2021
16:00 | 19/06/2020
13:00 | 02/11/2020
09:00 | 14/04/2020
14:00 | 17/05/2023
07:00 | 17/11/2020
15:52 | 27/04/2017
09:00 | 03/06/2021
17:00 | 29/12/2022
13:25 | 07/04/2015
08:00 | 01/06/2020
08:00 | 01/06/2020
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
09:00 | 13/04/2023
Đám mây lai (Hybird - cloud) là sự kết hợp giữa các nền tảng điện toán đám mây, bao gồm một hay nhiều nhà cung cấp dịch vụ đám mây công cộng (ví dụ như Amazon hay Google) với một nền tảng đám mây nội bộ được thiết kế riêng cho một tổ chức hoặc một cơ sở hạ tầng IT của tư nhân. Đám mây công cộng và đám mây nội bộ hoạt động độc lập với nhau và giao tiếp thông qua kết nối được mã hóa để truyền tải dữ liệu và ứng dụng.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024
