5. NỘI DUNG
• Các vấn đề an toàn và bảo mật (ATBM) trong điện toán đám
mây
• Một số phương pháp đảm bảo an toàn cho dịch vụ đám mây
Ảo hóa và điện toán đám mây 5
6. Các vấn đề an toàn và bảo mật (ATBM) trong
điện toán đám mây
1. Một số lỗ hổng ATBM trong các hệ thống đám mây
2. Nguy cơ ATBM trong các hệ thống đám mây
3. ATBM trên các tầng dịch vụ đám mây
4. ATBM trên các mô hình triển khai điện toán đám mây
Ảo hóa và điện toán đám mây 6
7. Một số lỗ hổng ATBM trong các hệ thống
đám mây
Ảo hóa và điện toán đám mây 7
8. Một số lỗ hổng ATBM trong các hệ thống đám mây
Ảo hóa và điện toán đám mây 8
• SQL injection: là một kỹ thuật chèn mã được sử
dụng để tấn công các ứng dụng hướng dữ liệu,
trong đó các câu lệnh SQL độc hại được chèn vào
một trường nhập để thực thi.
• Cross-Site Scripting (XSS): là một đoạn mã độc
được hacker chèn vào web để thực thi chúng ở phía
Client.
• Cross-Site Request Forgery (CSRF): là một loại
tấn công buộc người dùng cuối thực hiện các hành
động không mong muốn trên ứng dụng web mà họ
hiện đang được xác thực.
9. Một số lỗ hổng ATBM trong các hệ thống đám mây
Ảo hóa và điện toán đám mây 9
• Time of Check To Time of Use (TOCTTOU): là
một loại lỗi phần mềm do tranh đoạt điều khiển liên
quan đến việc kiểm tra trạng thái của một phần hệ
thống và việc sử dụng kết quả của việc kiểm tra đó.
• Rootkit: là một tập hợp các phần mềm máy tính
độc hại, được thiết kế để cho phép truy cập vào một
máy tính.
• Buffer overflow: tràn bộ đệm
• Hypervisor vulnerabilities: lỗ hổng hypervisor,
nhược điểm, yếu điểm
• Trojans: là phần mềm độc hại đánh lừa người dùng
về mục đích thực sự của nó. (Thuật ngữ này có
nguồn gốc từ câu chuyện Hy Lạp cổ đại về Con
ngựa thành Troy lừa đảo dẫn đến sự sụp đổ của
thành phố Troy.)
10. Nguy cơ ATBM trong các
hệ thống đám mây
Ảo hóa và điện toán đám mây 10
• Rò rỉ dữ liệu
• Mất mát dữ liệu
• Bị đánh cắp tài khoản hoặc thất
thoát dịch vụ
• Giao diện và API không an toàn
• Từ chối dịch vụ
• Nguy cơ từ bên trong
• Sự lạm dụng dịch vụ đám mây
• Khảo sát không đầy đủ
• Lỗ hổng trong các công nghệ sử
dụng chung
11. ATBM trên các tầng dịch vụ đám mây
Ảo hóa và điện toán đám mây 11
12. ATBM trên các tầng dịch vụ đám mây
Càng sử dụng mức
dịch vụ bên dưới
từ nhà cung cấp,
thì người dùng
càng chịu trách
nhiệm về mặt
chiến thuật trong
việc triển khai và
quản lý.
Ảo hóa và điện toán đám mây 12
13. ATBM trên các tầng dịch vụ đám mây
• IaaS
Ảo hóa và điện toán đám mây 13
14. ATBM trên các tầng dịch vụ đám mây
• PaaS
Ảo hóa và điện toán đám mây 14
15. ATBM trên các tầng dịch vụ đám mây
• SaaS
Ảo hóa và điện toán đám mây 15
16. ATBM trên các mô hình triển khai điện toán đám mây
Ảo hóa và điện toán đám mây 16
• On-Premise defined: a solution hosted in-house and usually supported by a third-party.
• Off-Premise defined: a solution hosted by a third-party and usually supported by a different
third-party.
17. Một số phương pháp đảm bảo an toàn cho dịch vụ đám mây
Ảo hóa và điện toán đám mây 17
• Payment Card
Industry Data Security
Standard (PCI DSS):
yêu cầu đảm bảo xủ lý
về thanh toán
• HIPAA: tập tiêu chuẩn
bảo vệ dữ liệu nhạy
cảm
• Gramm-Leach-Bliley
Act (GLB Act or
GLBA): tiêu chuẩn bảo
vệ thông tin khách
hàng
• SOX (Sarbanes-Oxley
Act): cung cấp bằng
chứng về báo cáo tài
chính chính xác
18. Một số phương pháp đảm bảo an toàn cho dịch vụ đám mây
Ảo hóa và điện toán đám mây 18
• The Cloud Security Alliance’s
13 Critical Areas Of Focus
for Cloud:
www.cloudsecurityalliance.org
1. Architecture & Framework
Governing the Cloud Operating the Cloud
2. Governance & Risk Mgmt 8. Traditional BCM, DR
3. Legal Issues: Contracts and
Electronic Discovery
9. Datacenter Operations
5. Compliance & Audit 10. Incident Response
6. Information Management &
Data Security
11. Application Security
7. Portability & Interoperability 12. Encryption & Key Mgmt
13. Identity & Access Mgmt
Các lĩnh vực được chia thành hai
loại lớn: quản trị đám mây và hoạt
động đám mây.
• Governing the Cloud: giải quyết
các vấn đề chiến lược và chính
sách trong môi trường điện toán
đám mây
• Operating the Cloud: tập trung
vào chiến lược bảo mật hơn và
triển khai kiến trúc.
19. Hoạt động
• Tìm hiểu các dịch vụ cung cấp bảo mật điện toán
đám mây:
• https://www.mcafee.com/
• https://www.ciphercloud.com/
• https://www.zscaler.com/
• https://www.netskope.com/
• https://www.okta.com/
• https://www.centrify.com/
• Yêu cầu:
• Chọn 1 nhà cung cấp bảo mật trong danh sách trên
• Tìm hiểu các chức năng chính và sản phẩm của họ, ghi
lại trong Googles Docs được chia sẻ bởi GV
• Đăng ký và sử dụng thử dịch vụ (nếu cho dùng thử
hoặc free). Sau đó ghi lại kết quả sử dụng vào Googles
Docs
Ảo hóa và điện toán đám mây 19