Đảm bảo tính toán an toàn
Đảm bảo tính toán an toàn dựa trên Mô-đun nền tảng tin cậy (Trusted platform module - TPM), một thiết bị phần cứng hoạt động như một bộ đồng xử lý mã hóa để hỗ trợ tăng tốc thuật toán mã hóa, niêm phong dữ liệu, khởi động an toàn và chứng thực. Từ góc độ đám mây, Mô-đun nền tảng tin cậy ảo (Virtualizing the trusted platform module - vTPM) được phát triển bởi Wang và cộng sự [1]. Nhóm này đã phát triển mô hình vTPM đảm bảo an toàn trong điện toán đám mây, cung cấp các chức năng lưu trữ an toàn và mật mã của TPM cho các hệ điều hành và ứng dụng chạy trên máy ảo. Trong vTPM, có các phiên bản vTPM được liên kết với các máy ảo riêng lẻ và trình quản lý vTPM để khởi tạo các vTPM và ghép các yêu cầu đến từ các máy ảo. Kiến trúc vTPM được trình bày như trong Hình 1.
Hình 1. Kiến trúc vTPM
Hiện nay, IntelX Software Guard eXtensions (SGX) cung cấp giải pháp mã hóa bộ nhớ dựa trên phần cứng, để cung cấp bảo mật và tính toàn vẹn của các ứng dụng đám mây (Hình 2). SGX cho phép cách ly mã ứng dụng và dữ liệu cụ thể trong bộ nhớ, được gọi là bao vây.
Hình 2. Luồng thực thi trong SGX
Giải pháp an toàn máy ảo và phần mềm giám sát máy ảo
Hình 3. Mô hình kiến trúc giải pháp của Christodorescu và cộng sự:
a) Lab environment: One-Time Reference Measurements; b) Cloud Environment: Run-time Checking of Guest VMs.
Cách tiếp cận đơn giản nhất để bảo vệ máy ảo khách là cho phép phần mềm giám sát máy ảo biết hệ điều hành của máy ảo khách để nó có thể giám sát và phân tích các hoạt động trên máy ảo khách. Tuy nhiên, điều này có thể không khả thi luôn vì nhà cung cấp có thể không nhận được các chi tiết máy ảo khách từ người dùng. Christodorescu và cộng sự [2] đề xuất một kiến trúc trong Hình 3. Theo cách tiếp cận này, máy ảo khách nằm trên phần mềm giám sát máy ảo đáng tin cậy thu thập dữ liệu cho sự tương tác giữa máy ảo và trình giám sát máy ảo. Trình giám sát máy ảo gửi dữ liệu được thu thập đến máy ảo an toàn được thiết kế đặc biệt khác để theo dõi và phân tích.
Giải pháp an toàn cho hình ảnh máy ảo
Hình 4. Hệ thống quản lý hình ảnh máy ảo Mirage
Mirage [3], một hệ thống quản lý hình ảnh máy ảo, đề xuất bốn biện pháp bảo vệ hình ảnh máy ảo:
Khung kiểm soát truy cập: quản lý việc chia sẻ hình ảnh máy ảo. Điều này làm giảm rủi ro của nhà cung cấp truy cập trái phép vào hình ảnh.
Bộ lọc hình ảnh máy ảo: áp dụng cho hình ảnh máy ảo tại thời điểm cung cấp và truy xuất thời gian để loại bỏ thông tin không mong muốn trong hình ảnh máy ảo. Thông tin không mong muốn có thể là thông tin riêng tư cho người dùng, chẳng hạn như mật khẩu, mã độc, phần mềm độc hại, phần mềm bất hợp pháp và phần mềm lậu. Bộ lọc giải quyết các rủi ro bảo mật của cả ba bên tham gia. Các bộ lọc làm giảm rủi ro của nhà cung cấp khi vô tình tiết lộ thông tin cá nhân, nguy cơ người truy nhập sử dụng nội dung bất hợp pháp, giảm thiểu rủi ro của quản trị viên về việc chịu trách nhiệm lưu trữ nội dung đó.
Cơ chế theo dõi xuất xứ: theo dõi lịch sử phái sinh của một hình ảnh và các hoạt động liên quan đã được thực hiện trên hình ảnh (thông qua API kho lưu trữ hình ảnh). Chức năng bảo mật như kiểm toán được xây dựng trên lớp theo dõi xuất xứ. Đồng thời cung cấp bằng chứng, quy trách nhiệm và hạn chế nội dung độc hại hoặc bất hợp pháp, do đó làm giảm rủi ro của quản trị viên về việc lưu trữ hình ảnh có chứa nội dung đó.
Dịch vụ bảo trì kho lưu trữ: như quét virus định kỳ của toàn bộ kho lưu trữ, phát hiện và khắc phục các lỗ hổng được phát hiện sau khi hình ảnh được công bố. Dịch vụ này làm giảm rủi ro của người truy xuất khi chạy phần mềm độc hại hoặc bất hợp pháp và giảm rủi ro của người quản trị khi lưu trữ chúng.
Hình 4 cho thấy kiến trúc tổng thể của hệ thống quản lý hình ảnh Mirage, bao gồm bốn thành phần chính thực hiện bốn tính năng được trình bày ở trên:
(1) Khung kiểm soát truy cập hoạt động để điều chỉnh việc chia sẻ hình ảnh máy ảo;
(2) Bộ lọc hình ảnh máy ảo loại bỏ thông tin không mong muốn khỏi hình ảnh tại thời điểm công bố và khi truy xuất;
(3) Cơ chế theo dõi lịch sử phái sinh của hình ảnh;
(4) Dịch vụ bảo trì kho lưu trữ, chẳng hạn như quét virus định kỳ, phát hiện và vá lỗ hổng được phát hiện sau khi hình ảnh được công bố.
Giải pháp an toàn khi di chuyển máy ảo
Hình 5. Di chuyển máy ảo giữa các máy trong đám mây
Di chuyển máy ảo qua các máy chủ trong một trung tâm dữ liệu ảo hóa giúp quản trị viên quản lý trung tâm dữ liệu hiệu quả, giảm sự gián đoạn dịch vụ. Tuy nhiên, vận chuyển số lượng lớn bộ nhớ chứa máy ảo dẫn đến làm tăng thời gian di chuyển cũng như thời gian chờ, điều này ảnh hưởng đến hiệu suất toàn bộ hệ thống. Tình trạng này trở nên tệ hơn khi di chuyển diễn ra trên mạng chậm hoặc di chuyển trong một đám mây, ảnh hưởng tới tính sẵn sàng của hệ thống. Giải quyết những vấn đề này, Sharma [4] đề xuất phương pháp tối ưu hóa ba pha (Three-pharse Optimization - TPO). Phương pháp này hoạt động theo ba giai đoạn như sau:
(i) Giảm chuyển trang bộ nhớ trong giai đoạn đầu;
(ii) Giảm chuyển trang trùng lặp bằng cách phân loại trang thường xuyên và không cập nhật thường xuyên;
(iii) Giảm dữ liệu được gửi sau cùng lặp lại di chuyển bằng cách áp dụng kỹ thuật nén RLE đơn giản.
Do đó, mỗi giai đoạn làm giảm đáng kể tổng số trang bộ nhớ được chuyển, giảm tổng thời gian di chuyển và thời gian chết tương ứng. Phương pháp TPO được đề xuất được đánh giá bằng cách sử dụng các khối lượng công việc đại diện khác nhau trên môi trường ảo hóa Xen. Kết quả thử nghiệm cho thấy phương pháp TPO giúp giảm tổng số trang được chuyển khoảng 71%, tổng thời gian di chuyển khoảng 70%, thời gian ngừng hoạt động khoảng 3%, cho khối lượng công việc cao hơn và nó không tăng chi phí đáng kể so với phương pháp phân tích truyền thống.
Giải pháp an toàn, bảo mật mạng truyền thông ảo
Hình 6. Tài nguyên vật lý được tổ hợp trong một miền TVD
Việc sử dụng chung các bộ định tuyến và các thiết bị mạng khác cùng với các kênh liên lạc được chia sẻ dẫn đến vấn đề an toàn, bảo mật truyền thông ảo và cộng đồng nghiên cứu đã đề xuất các biện pháp để giải quyết vấn đề. Wu và cộng sự [5] đề xuất một khung mạng ảo bao gồm ba lớp: lớp định tuyến, tường lửa và mạng chia sẻ để ngăn máy ảo dò tìm và giả mạo. Họ đã thử nghiệm khung này cho Xen trong hai cấu hình chế độ bridging và routing. Họ sử dụng mạng con (subnet) để cung cấp bảo mật chống lại việc tiết lộ thông tin trái phép. Trong khi đó, Klymash và cộng sự [6] đề xuất ảo hóa mạng tăng cường bảo mật trong trung tâm dữ liệu dựa trên khái niệm các miền ảo đáng tin cậy (Trusted Virtual Domains - TVDs). TVD cho phép các nhóm máy ảo có liên quan trên các máy chủ riêng biệt được kết nối như thể chúng ở trên cùng một mạng lưới và đảm bảo các yêu cầu bảo mật nhóm chéo như bảo mật, tính toàn vẹn, cô lập và kiểm soát luồng thông tin. Thực hiện TVD bằng cách kết hợp các công nghệ hiện có như gắn thẻ Vlan, đóng gói Ethernet và mạng riêng ảo (VPN).
Kết luận
Điện toán đám mây được coi là một hệ thống dựa trên tiện ích để cung cấp động các tài nguyên và dịch vụ CNTT. Thông qua ảo hóa, điện toán đám mây đáp ứng nhu cầu về tài nguyên và dịch vụ cho nhiều người dùng cùng một lúc. Để cung cấp theo yêu cầu và cung cấp linh hoạt các tài nguyên và dịch vụ, ảo hóa cần sử dụng hiệu quả các tài nguyên và giải quyết được vấn đề đảm bảo an toàn, bảo mật trong điện toán đám mây bao gồm: đảm bảo tính toán an toàn, an toàn máy ảo và trình giám sát máy ảo, an toàn hình ảnh máy ảo, an toàn di chuyển máy ảo và an toàn, bảo mật truyền thông ảo.
TÀI LIỆU THAM KHẢO 1. Wang, Juan, Chengyang Fan, Jie Wang, Yueqiang Cheng, Yinqian Zhang, Wenhui Zhang, Peng Liu, and Hongxin Hu. “SvTPM: A Secure and Efficient vTPM in the Cloud.” arXiv preprint arXiv:1905.08493 (2019). 2. M. Christodorescu, R. Sailer, D.L. Schales, D. Sgandurra, D. Zamboni, Cloud security is not (just) virtualization security: A short paper, Proceedings of the 2009 ACM Workshop on Cloud Computing Security, in: CCSW ’09, ACM, New York, NY, USA, ISBN: 978-1-60558-784-4, 2009, pp. 97–102. 3. J. Wei, X. Zhang, G. Ammons, V. Bala, P. Ning, Managing security of virtual machine images in a cloud environment, Proceedings of the 2009 ACM Workshop on Cloud Computing Security, in: CCSW ’09, New York, NY, USA, ISBN: 978-1-60558-784-4, 2009, pp. 91–96. 4. S. Sharma, M. Chawla, A three phase optimization method for precopy based VM live migration, Springer Plus (ISSN: 2193-1801) 5 (1) (2016) 1–24. 5. H. Wu, Y. Ding, C. Winer, L. Yao, Network security for virtual machine in cloud computing, 5th International Conference on Computer Sciences and Convergence Information Technology, 2010, pp. 18–21. 6. Klymash, Mykhailo, Olga Shpur, Orest Lavriv, and Nazar Peleh. “Information Security in Virtualized Data Center Network.” In 2019 3rd International Conference on Advanced Information and Communications Technologies (AICT), pp. 419-422. IEEE, 2019. |
Phạm Duy Trung, Phạm Minh Thuấn
09:00 | 01/03/2018
16:00 | 03/05/2021
13:00 | 17/02/2021
10:00 | 25/05/2020
10:00 | 22/02/2021
16:00 | 19/06/2020
13:00 | 02/11/2020
09:00 | 14/04/2020
14:00 | 17/05/2023
07:00 | 17/11/2020
15:52 | 27/04/2017
09:00 | 03/06/2021
17:00 | 29/12/2022
13:25 | 07/04/2015
08:00 | 01/06/2020
08:00 | 01/06/2020
13:00 | 28/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024