Home / Thiết Bị Điện Tử / Thiết kế kiến trúc điện toán đám mây an toàn bảo mật

Thiết kế kiến trúc điện toán đám mây an toàn bảo mật

/

Thiết kế kiến trúc điện toán đám mây là bước quan trọng trong quy trình xây dựng một hệ thống phức tạp. Mục tiêu chính của bước này là xác định được một (hoặc nhiều) cấu trúc tổng thể của hệ thống với những thành phần và mối quan hệ giữa chúng. 

kiến trúc điện toán đám mây

Bài viết tập trung vào giải thích những thông tin về cấu trúc vật lý (trung tâm dữ liệu, mạng kết nối) và cấu trúc thành phần phần mềm (các phân hệ) của hệ thống đám mây trong mục tiêu đáp ứng tính an toàn và bảo mật. Đầu tiên, sẽ nhận định một số yêu cầu kiến trúc điện toán đám mây liên quan tới an toàn và bảo mật. Sau đó giới thiệu một số mẫu kiến trúc điển hình cho an toàn và bảo mật đám mây. 

1. Những yêu cầu an toàn và bảo mật khi thiết kế kiến trúc điện toán đám mây

Một trong những mục tiêu cho việc thiết kế kiến trúc là việc đảm bảo sự đáp ứng của hệ thống với những yêu cầu đặt ra, trong đó bao hàm cả các yêu cầu về an toàn và bảo mật. Các yêu cầu này thường xuất phát từ một số yếu tố cần cân nhắc như chi phí, độ tin cậy, hiệu năng, các ràng buộc pháp lý. Nội dung tiếp sau đây tóm tắt một số yêu cầu bảo mật cho các hệ thống đám mây.

1.1. Yêu cầu bảo mật mức vật lý

Hệ thống đám mây được xây dựng từ một hoặc một vài trung tâm dữ liệu. Việc đảm bảo an toàn bảo mật cho các trung tâm dữ liệu này cũng chính là một yêu cầu quan trọng cho hệ thống điện toán đám mây.

Công việc này chủ yếu liên quan tới hai nhóm yêu cầu:

– Phát hiện và phòng chống sự thâm nhập trái phép vào trung tâm dữ liệu, các thiết bị phần cứng.

– Bảo vệ hệ thống khỏi các thảm họa tự nhiên.

1.2. Yêu cầu bảo mật với các thành phần hệ thống

1.2.1. Quản lý định danh

Quản lý định danh là chìa khóa của việc đảm bảo ATBM của hệ thống. Thông tin về định danh phải chính xác và sẵn sàng cho các thành phần khác của hệ thống. Những yêu cầu cho thành phần này bao gồm:

– Phải có cơ chế kiểm soát để đảm bảo tính bí mật, tính toàn vẹn và tính sẵn dùng của thông tin định danh.

– Phân hệ quản lý định danh cũng phải được sử dụng cho mục đích chứng thực người dùng của hệ thống đám mây (thường với tải yêu cầu cao).

– Cân nhắc cơ chế sử dụng hoặc tương tác với các hệ thống quản lý định danh của bên thứ ba.

– Kiểm tra định danh của người sử dụng khi đăng ký khớp các yêu cầu của pháp luật.

– Lưu thông tin định danh của người sử dụng, kể cả khi họ rút khỏi hệ thống, phục vụ cho công tác kiểm tra, báo cáo (với các cơ quan pháp luật).

– Khi một định danh được xóa bỏ, sau đó tái sử dụng cần đảm bảo người sử dụng mới không thể truy cập vào các thông tin của định danh trước đó.

1.2.2. Quản lý truy cập

Quản lý truy cập là thành phần sử dụng thông tin định danh để cho phép và đặt ràng buộc với các truy cập dịch vụ đám mây. Các yêu cầu liên quan tới quản lý truy cập bao gồm:

– Quản trị viên của đám mây chỉ có quyền truy cập hạn chế tới dữ liệu của khách hàng. Quyền truy cập này phải được ràng buộc chặt chẽ và được công bố rõ ràng trong hợp đồng sử dụng dịch vụ (SLA).

– Cần có cơ chế chứng thực nhiều bước cho những thao tác yêu cầu mức ưu tiên cao. Cần có cơ chế xác quyền đủ mạnh để đảm bảo các thao tác này không ảnh hưởng trên toàn đám mây.

– Không cho phép chia sẻ một số tài khoản đặc biệt (ví dụ tài khoản root), thay vì vậy, sử dụng các cơ chế khác như sudo.

– Cài đặt các cơ chế như LPP (least privilege principal) khi gán quyền truy nhập hay RBAC (role-based access control) để thiết lập các ràng buộc truy nhập.

– Thiết lập danh sách trắng (whitelist) về IP cho các quản trị viên.

1.2.3. Quản lý khóa

Trong đám mây, việc mã hóa dữ liệu là phương tiện chính để đảm bảo an toàn thông tin. Quản lý khóa là phân hệ phục vụ công tác lưu trữ và quản lý khóa cho việc mã hóa và giải mã dữ liệu của người sử dụng. Yêu cầu chính cho phân hệ này là:

– Có cơ chế kiểm soát và giới hạn các truy cập vào khóa.

– Với mô hình đám mây có cơ sở hạ tầng trên nhiều trung tâm dữ liệu, cần đảm bảo việc hủy bỏ khóa phải có hiệu lực tức thì trên các trạm.

– Đảm bảo việc khôi phục cho các khóa khi có lỗi.

– Mã hóa dữ liệu và máy ảo khi cần thiết.

1.2.4. Ghi nhận sự kiện và thống kê

Các sự kiện liên quan tới an toàn bảo mật của mạng và hệ thống cần được ghi nhận (logs) và thống kê cho nhu cầu kiểm tra, đánh giá. Những yêu cầu chính cho phân hệ này là:

– Ghi nhận sự kiện ở nhiều mức: từ các thành phần hạ tầng vật lý như máy chủ vật lý, mạng vật lý, tới những thành phần ảo hóa như máy ảo, mạng ảo.

– Các sự kiện được ghi nhận với đầy đủ thông tin để phân tích: thời gian, hệ thống, người dùng truy cập,…

– Các sự kiện cần được ghi nhận gần tức thời.

– Thông tin ghi nhận cần liên tục và tập trung.

– Thông tin ghi nhận cần được duy trì cho tới khi chúng không còn cần thiết.

– Thông tin ghi nhận được có thể được cung cấp tới khách hàng như một dạng dịch vụ.

– Tất cả các thao tác ghi nhận đều phải đảm bảo tính bí mật, nhất quán và sẵn sàng của thông tin ghi nhận được.

1.2.5. Giám sát bảo mật

Giám sát bảo mật là phân hệ liên quan tới việc khai thác các thông tin ghi nhận (logs), thông tin giám sát mạng hay thông tin bảo mật từ hệ thống giám sát vật lý. Yêu cầu cho phân hệ này bao gồm:

– Là dạng dịch vụ có tính sẵn sàng cao, có thể truy cập cục bộ hoặc từ xa trên một kênh bảo mật.

Bao gồm một số chức năng chính:

+ Cảnh báo sự cố bảo mật dựa trên phân tích tự động các thông tin thu thập được.

+ Gửi cảnh báo bằng nhiều phương tiện như email, sms.

+ Cho phép người quản trị khai thác và phát hiện nguyên nhân của các sự cố.

+ Có cơ chế phát hiện xâm nhập hoặc bất thường của hệ thống.

+ Cho phép khách hàng có thể tự xây dựng cơ chế cảnh báo khi sử dụng PaaS hoặc IaaS.

1.2.6. Quản lý sự cố

Quản lý sự cố và phản ứng khi có sự cố là công tác quan trọng với bảo mật hệ thống. Các yêu cầu cho công tác này bao gồm:

– Có quy trình đầy đủ cho việc phát hiện, ghi nhận và xử lý sự cố.

– Có các cơ chế hỗ trợ người sử dụng thông báo về sự cố.

– Việc kiểm tra sự cố cần được thực hiện thường xuyên.

1.2.7. Kiểm tra an toàn và vá lỗi

Đây là công tác được thực hiện mỗi khi triển khai hoặc nâng cấp một dịch vụ mới. Các yêu cầu cho công việc này bao gồm:

– Có môi trường cô lập để phát triển, kiểm tra và điều chỉnh trước khi đưa dịch vụ vào sử dụng.

– Có quy trình vá lỗi cho các thành phần của hệ thống.

– Theo dõi thường xuyên các lỗ hổng bảo mật.

1.2.8. Kiểm soát mạng và hệ thống

Hệ thống kiểm soát mạng và các máy chủ được áp dụng cho cả các hạ tầng vật lý và hạ tầng ảo. Các yêu cầu cho hệ thống này bao gồm:

– Đảm bảo khả năng cô lập, khả năng cấu hình và tính bảo mật cho các thành phần bảo mật.

– Đảm bảo khả năng cô lập về mạng cho các vùng chức năng của hệ thống điện toán đám mây.

– Phân tách truy nhập thiết bị vật lý với thiết bị ảo.

– Phân tách vùng thiết bị ảo của các khách hàng khác nhau.

– Đảm bảo tính nhất quán của máy ảo, hệ điều hành,… cho ứng dụng của khách hàng.

1.2.9. Quản lý cấu hình

Trong một hệ thống đám mây với hạ tầng linh động, việc duy trì một danh sách thông tin về các tài nguyên của hệ thống và cấu hình của chúng là cần thiết. Các yêu cầu cho công tác này bao gồm:

– Sử dụng một hệ thống cơ sở dữ liệu cấu hình CMDB.

– Phân loại các tài nguyên theo chức năng tính nhạy cảm, độ quan trọng.

2. Các yếu tố kiến trúc điện toán đám mây

2.1. Phòng ngự chiều sâu (defence in-depth)

Thuật ngữ phòng ngự chiều sâu lần đầu tiên được đề cập đến trong lĩnh vực an ninh mạng và máy tính là trong bài báo “Information warfare and dynamic information defence” vào năm 1996. Tiếp cận này trước đó được gọi bằng nhiều tên trong đó có “phòng ngự theo lớp” (layered defence). Tư tưởng chung của tiếp cận này là sử dụng nhiều tầng kiểm soát bảo mật để tạo nên một giải pháp đầy đủ, hoàn chỉnh hơn.

Trên quan điểm kiến trúc, kỹ thuật phòng ngự theo chiều sâu có thể được xem như một mẫu thiết kế hiệu quả cho vấn đề bảo mật. Ứng dụng của mẫu này có thể thấy ở nhiều hệ thống thực tiễn. Ví dụ như phòng ngự chiều sâu cho phân hệ kiểm soát truy nhập bao gồm nhiều lớp: lớp 1 – mạng riêng ảo (VPN); lớp 2 – bộ định tuyến vào với cơ chế lọc IP; lớp 3 – token bảo mật.

2.2. Hũ mật ong (honeypots)

“Hũ mật ong” là một kỹ thuật bẫy nổi tiếng. Trong một hệ thống mạng doanh nghiệp, “hũ mật ong” tạo nên một hệ thống không tồn tại hoặc không có giá trị nhằm thu hút sự tấn công. Khi đã thu hút thành công “hũ mật ong” lại được sử dụng để quan sát, phân tích và cảnh báo. Dù thế nào thì kỹ thuật này cũng khiến cho bên tấn công tiêu phí thời gian và sức lực.

2.3. Hộp cát (sandbox)

Hộp cát (sandbox) là một lớp trừu tượng nằm giữa phần mềm với hệ điều hành nhằm tạo môi trường độc lập cho việc thực thi ứng dụng. Tác dụng của hộp cát cũng giống như hypervisor trong việc cung cấp các máy ảo. Với hộp cát, hệ thống có thêm một tầng bảo vệ theo mô hình phòng ngự chiều sâu.

2.4. Cô lập máy ảo

Hạ tầng chuyển mạch trong một hệ thống đám mây không thể cô lập được các gói tin truyền thông giữa các máy ảo nằm trên cùng một môi trường phần cứng. Do vậy, nếu các gói tin không được mã hóa, máy ảo có thể theo dõi, quan sát các gói tin gửi đến/gửi đi từ máy ảo khác trong cùng một mạng. Cô lập máy ảo là kỹ thuật:

– Ứng dụng công nghệ ảo hóa để cô lập các máy ảo trong cùng một mạng vật lý.

– Mã hóa các gói tin gửi đến/gửi đi từ máy ảo.

– Kiểm soát truy cập đến máy ảo, đặc biệt là các cổng dịch vụ.

– Lọc gói tin đến máy ảo qua các cơ chế tường lửa.

2.5. Tạo dư thừa và đảm bảo tính sẵn sàng

Một trong những mẫu thiết kế thường được ứng dụng rộng rãi trong việc đảm bảo tính sẵn sàng cao của dịch vụ, trong đó bao gồm cả các dịch vụ bảo mật như quản lý định danh, quản lý truy cập là tạo dư thừa cho những thành phần hệ thống, bao gồm máy chủ, thiết bị mạng… Tùy thuộc vào mức độ đảm bảo tính sẵn sàng mà kiến trúc có thể thiết lập dư thừa tương ứng. Tuy nhiên, cần lưu ý rằng sự dư thừa bao giờ cũng kéo theo những hệ quả như: tăng chi phí, tăng độ phức tạp của hệ thống.

3. Các kiến trúc hệ thống đám mây điển hình

3.1. Kiến trúc đám mây cung cấp dịch vụ PaaS (dịch vụ định danh, dịch vụ cơ sở dữ liệu)

Trong kiến trúc này, người sử dụng thông thường truy nhập vào dịch vụ của hệ thống thông qua mạng công cộng. Bên cạnh đó, hệ thống cũng cung cấp một mạng riêng biệt – mạng 00B (out-of-band) nhằm phục vụ công tác quản trị. Việc kiểm soát truy nhập vào mạng OOB này có thể được thực hiện thông qua một danh sách IP trắng – IP của các quản trị viên hệ thống. Thêm vào đó, quản trị viên cần thực hiện xác thực mỗi khi thao tác. Cơ chế xác thực hai bước (token và pin) có thể giúp hệ thống trở nên an toàn. Đây cũng là ví dụ về việc áp dụng cơ chế phòng ngự chiều sâu.

Hệ thống mạng cục bộ chia làm ba mạng chính:

Mạng OOB: sử dụng để quản trị các thành phần khác trong hệ thống.

Mạng lõi: sử dụng để cung cấp dịch vụ.

Mạng kết nối với cơ sở dữ liệu: bao gồm nhiều kết nối đảm bảo tính sẵn sàng.

Các thành phần của hệ thống cũng được thiết kế để cô lập các dịch vụ khác nhau của hệ thống như dịch vụ cơ sở dữ liệu và dịch vụ định danh. Một thành phần quản trị cấu hình (CMDB) cũng được đưa vào trong kiến trúc nhằm quản lý cấu hình các tài nguyên cung cấp bởi hệ thống.

Kiến trúc đám mây cung cấp dịch vụ định danh và dịch vụ cơ sở dữ liệu
Kiến trúc đám mây cung cấp dịch vụ định danh và dịch vụ cơ sở dữ liệu

3.2. Kiến trúc đám mây cung cấp kho lưu trữ và dịch vụ tính toán

Trong kiến trúc này, hệ thống đám mây cung cấp một số lượng lớn tài nguyên tính toán được ảo hóa trên các máy chủ, cũng như các kho lưu trữ trên các thiết bị SAN. Hơn nữa, kiến trúc này hỗ trợ tính sẵn sàng cao cho người sử dụng thông qua việc tạo lập dư thừa cho mạng kết nối công cộng và mạng 00B. 

– Để đảm bảo tính sẵn sàng cho việc truy nhập vào kho lưu trữ SAN, mạng SAN được thiết lập với các kết nối giữa kho lưu trữ SAN và các máy chủ tính toán.

– Để đảm bảo tính sẵn sàng cao, bản thân các máy chủ và kho lưu trữ SAN cũng được thiết kế dư thừa. Ở đây chúng ta có thể áp dụng một số chiến lược khác nhau để cân đối giữa chi phí đầu tư và tính sẵn sàng của hệ thống.

3.3. Kiến trúc đám mây cung cấp dịch vụ tính toán và lưu trữ

Với các tài nguyên tính toán, để đảm bảo khả năng đáp ứng tốt cho dịch vụ, hệ thống cần có những thiết kế cho việc dành sẵn tài nguyên (provision). Các máy chủ phục vụ cho việc này được thiết kế độc lập. Việc dành sẵn tài nguyên này cũng đòi hỏi sự kiểm soát và quản lý của một phân hệ quản lý cấu hình tài nguyên CMDB. Kết nối trên sơ đồ đã thể hiện điều này.

Kiến trúc đám mây cung cấp dịch vụ tính toán và lưu trữ
Kiến trúc đám mây cung cấp dịch vụ tính toán và lưu trữ

Một điểm đặc biệt khác trong sơ đồ kiến trúc của hình là hai phân hệ bảo mật được thiết kế theo mẫu dư thừa. Các phân hệ này cung cấp những dịch vụ bảo mật như:

Jumphost và VPN: cho phép tạo lập các mạng riêng ảo và cho phép các quản trị viên có thể truy nhập trực tiếp vào các máy chủ cần quản lý.

Trung tâm điều hành bảo mật: cho phép giám sát các vấn đề liên quan tới an toàn bảo mật, quét các lỗi bảo mật của hệ thống, phân tích nguyên nhân và báo cáo.

– Ghi nhật ký về các sự kiện của hệ thống và cảnh báo nếu có.

– Giám sát thông tin mạng (quét lỗ hổng, giám sát băng thông mạng).

Có thể nói thành phần bảo mật này là công cụ giám sát bảo mật chính của các quản trị viên trong hệ thống đám mây.

This div height required for enabling the sticky sidebar
error: Content is protected !!
Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views :