Lượt xem: 14318 | Gửi lúc: 17/09/2013 08:49:24
Bookmark and Share

Một số vấn đề an toàn cho Điện toán đám mây

Điện toán đám mây là vấn đề đang được thế giới công nghệ rất quan tâm. Bài viết này cung cấp một số thông tin cơ bản về an ninh, an toàn, cũng như triển khai công nghệ điện toán đám mây cho các tổ chức, doanh nghiệp.

Giới thiệu chung về điện toán đám mây
Thuật ngữ Điện toán đám mây (Cloud Computing) chỉ mới xuất hiện những năm gần đây. Giữa năm 2007, Amazon đẩy mạnh nghiên cứu và triển khai Cloud Computing. Ngay sau đó, với sự tham gia của các công ty lớn như Microsoft, Google, IBM hay Amazon... đã thúc đẩy Cloud Computing phát triển ngày càng mạnh mẽ.
Sự phát triển mạnh mẽ của điện toán đám mây đã thu hút rất nhiều nhà khoa học, các trường đại học và các công ty công nghệ thông tin (IT) đầu tư nghiên cứu. Rất nhiều chuyên gia và tổ chức đã đưa ra định nghĩa của mình về điện toán đám mây. Theo thống kê của tạp chí “Cloud Magazine” thì hiện tại có hơn 200 định nghĩa khác nhau về điện toán đám mây. Mỗi nhóm nghiên cứu đưa ra định nghĩa theo cách hiểu, cách tiếp cận của riêng mình nên rất khó tìm một định nghĩa tổng quát nhất của điện toán đám mây. Dưới đây là một số định nghĩa về điện toán đám mây: 
- Điện toán đám mây là dịch vụ CNTT được cung cấp bởi các nguồn lực CNTT không phụ thuộc vào vị trí (The 451 Group).
- Điện toán đám mây cung cấp các tài nguyên CNTT có khả năng mở rộng và co giãn, các tài nguyên này được cung cấp theo dạng dịch vụ cho nhiều loại người dùng thông qua mạng Internet (Gartner).
Ngày càng có nhiều công ty tham gia vào quá trình phát triển các ứng dụng điện toán đám mây, tiêu biểu như Microsoft, Google, Intel, IBM.... Điều đó đã và đang tạo ra một thị trường rộng lớn các ứng dụng điện toán đám mây, đem lại nhiều sự lựa chọn hơn cho các cá nhân, tổ chức có mong muốn “mây hóa” các ứng dụng và dữ liệu của mình. Theo đánh giá của các chuyên gia, việc phát triển điện toán đám mây trong tương lai sẽ tập trung vào 3 vấn đề chính, bao gồm: Khả năng liên kết (Federated), tự động hóa (Automated) và nhận biết thiết bị đầu cuối (Client aware). Đây cũng là các cách tiếp cận mới với vấn đề tự động hóa công nghệ thông tin, cho phép đáp ứng những yêu cầu của người dùng bằng một phương thức mới hiệu quả hơn và tiết kiệm chi phí hơn. Các đám mây liên kết sẽ cho phép sắp xếp nhanh hơn các tài nguyên, trong khi các đám mây có khả năng nhận biết thiết bị đầu cuối sẽ tận dụng những tính năng đặc thù của mỗi thiết bị theo cách tối ưu. 
Một số mô hình dịch vụ của điện toán đám mây
Trong điện toán đám mây, mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp phổ biến dưới dạng “dịch vụ” (service), người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó “trong đám mây” mà không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó. Có 03 mô hình cơ bản nhất thường được sử dụng trong điện toán đám mây là: Phần mềm như một dịch vụ (SaaS); Hạ tầng như một dịch vụ (PaaS) và nền tảng như một dịch vụ (IaaS). Một cách đơn giản, có thể so sánh các mô hình này với mô hình truyền thống (Hình 1).


Hình 1: Các mô hình dịch vụ trong điện toán đám mây
Một số thuận lợi và trở ngại khi triển khai điện toán đám mây
Thuận lợi:
- Chi phí đầu tư thấp: Theo mô hình truyền thống, để có được cơ sở hạ tầng, máy móc và nguồn nhân lực thì người sử dụng cần thời gian và kinh phí để xây dựng kế hoạch, đầu tư hạ tầng, đầu tư máy móc và người quản trị.... Chi phí này là không nhỏ và đôi khi lại không được sử dụng hiệu quả, ví dụ như không đáp ứng đủ hoặc không sử dụng hết công suất sau khi đưa vào sử dụng.... Các khó khăn này sẽ được giải quyết trong mô hình điện toán đám mây, với phương châm “pay as you use” (người dùng chỉ phải trả tiền cho những gì mình đã sử dụng).
- Tốc độ xử lý nhanh, không còn phụ thuộc vào thiết bị và vị trí địa lý: cho phép người dùng truy cập và sử dụng hệ thống thông qua trình duyệt web ở bất kỳ đâu và trên bất kỳ thiết bị nào mà họ sử dụng (như là PC hoặc là thiết bị di động...).
- Dễ dàng mở rộng, nâng cấp: Thay vì phải đầu tư mới hoặc nâng cấp phần cứng, phần mềm, đội ngũ quản trị... để mở rộng hay nâng cấp hệ thống thì với điện toán đám mây người sử dụng chỉ việc gửi yêu cầu cho nhà cung cấp dịch vụ.
Một số trở ngại:
- Tính riêng tư: Các thông tin về người dùng và dữ liệu được chứa trên đám mây không chắc chắn được đảm bảo tính riêng tư và các thông tin đó cũng có thể bị sử dụng vì một mục đích khác.
- Tính sẵn sàng: Các trung tâm điện toán đám mây hay hạ tầng mạng có thể gặp sự cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng không thể truy cập các dịch vụ và dữ liệu của mình trong những khoảng thời gian nào đó.
- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phục hồi được.
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng chính là mối lo của người sử dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn công hoặc đột nhập, toàn bộ dữ liệu sẽ bị chiếm dụng.
Phân loại điện toán đám mây 
Về cơ bản, điện toán đám mây có thể được phân loại như sau:
- Đám mây công cộng (Public Cloud): Các ứng dụng, lưu trữ và các tài nguyên khác của đám mây công cộng được thực hiện cho công chúng bởi một nhà cung cấp dịch vụ có sẵn. Những dịch vụ này miễn phí hoặc trả phí theo mức độ sử dụng (pay - per - use). Nói chung, dữ liệu của người dùng trong đám mây công cộng sẽ được lưu trên đám mây và được ủy quyền cho nhà cung cấp dịch vụ quản lý.


Hình 2: Các loại điện toán đám mây
- Đám mây riêng (Private Cloud): là cơ sở hạ tầng điện toán đám mây chỉ hoạt động cho một tổ chức duy nhất, cho dù được quản lý, lưu trữ nội bộ (internal) hay bởi một bên thứ ba (external). Với đám mây riêng, người dùng sẽ được bảo đảm về độ an toàn dữ liệu cao hơn, nó phù hợp với những người dùng có dữ liệu nhạy cảm và đòi hỏi tính riêng tư cao.
- Đám mây lai (Hybrid Cloud): là một thành phần của hai hoặc nhiều đám mây (đám mây riêng và đám mây công cộng) vẫn giữ nguyên các thực thể duy nhất nhưng liên kết chúng với nhau, cung cấp các lợi ích của nhiều mô hình triển khai. Bằng cách sử dụng kiến trúc “đám mây lai”, các công ty và cá nhân có thể xử lý các lỗi, kết hợp với khả năng sử dụng tại chỗ ngay lập tức mà không cần phụ thuộc vào kết nối internet.
An toàn, bảo mật dữ liệu trong điện toán đám mây
Đảm bảo an toàn là vấn đề sống còn đối với sự phát triển của điện toán đám mây trong thực tế. Hiện nay, rất nhiều tổ chức và doanh nghiệp đã nghiên cứu và đưa ra nhiều giải pháp an toàn cho điện toán đám mây. Dưới đây giới thiệu sơ lược về một số mô hình an toàn và thuật toán mã hóa cơ bản đã được xuất bản gần đây.
Mô hình ba lớp bảo vệ dữ liệu trên điện toán đám mây


Hình 3: Mô hình ba lớp bảo vệ dữ liệu
- Lớp 1 (Layer 1): Lớp xác thực người dùng truy cập điện toán đám mây, với giải pháp thường được áp dụng là dùng mật khẩu một lần (One Time Password - OTP). Các hệ thống đòi hỏi tính an toàn cao sẽ yêu cầu xác thực từ hai phía là người dùng và nhà cung cấp, nhưng với các nhà cung cấp điện toán đám mây miễn phí, thì chỉ xác thực một chiều (Hình 3).
- Lớp 2 (Layer 2): Lớp này bảo đảm mã hóa dữ liệu (Data Encryption), toàn vẹn dữ liệu (Data Integrity) và bảo vệ tính riêng tư người dùng (Private User Protection) thông qua một thuật toán mã hóa đối xứng.
- Lớp 3 (Layer 3): Lớp dữ liệu người dùng phục vụ cho việc phục hồi nhanh dữ liệu theo tốc độ giải mã.
Mô hình bảo mật dựa trên Encryption Proxy
Hệ thống trên được thiết kế để mã hóa toàn bộ dữ liệu của người dùng trước khi đưa lên đám mây (Hình 4). 


Hình 4: Mô hình bảo mật dựa trên Encryption Proxy
Quá trình mã hóa/giải mã và xác thực được thông qua Encryption Proxy. Mô hình này đảm bảo dữ liệu an toàn và bí mật trong quá trình truyền (transmission) và lưu trữ (storage) giữa người dùng và đám mây. Để các bản mã vẫn được xử lý và quản lý lưu trữ mà không cần giải mã thì thuật toán mã hóa dữ liệu đồng phôi (homomorphic encryption algorithm) và đồng phôi đầy đủ (fully hommomorphic) đang được quan tâm nghiên cứu ứng dụng trong mô hình này. Thông tin bí mật của người dùng phục vụ quá trình mã hóa/giải mã được lưu tại Secure Storage.
Mô hình bảo vệ dữ liệu sử dụng VPN Cloud
Trong mô hình này (Hình 5), để đảm bảo dữ liệu trên kênh truyền được an toàn, người ta sử dụng đám mây VPN (VPN Cloud) để mã hóa đường truyền giữa các đám mây riêng với nhau và giữa người sử dụng với đám mây. Với các tổ chức có nhu cầu an toàn dữ liệu cao thì khi triển khai thường lựa chọn mô hình điện toán đám mây riêng (Private Cloud Computing). VPN Cloud sẽ giúp cho việc kết nối giữa người dùng và đám mây, cũng như kết nối giữa các đám mây riêng được an toàn và bảo mật thông qua chuẩn IPSec.

 
Hình 5: Mô hình bảo vệ dữ liệu sử dụng VPN Cloud

Công nghệ VPN trong các hệ thống mạng truyền thống đã phát huy nhiều ưu việt và được dùng khá phổ biến. Tuy nhiên, với công nghệ điện toán đám mây luôn đòi hỏi tính linh động (dynamic) và mềm dẻo (elastic) trong tổ chức cũng như quản lý hệ thống, thì các kỹ thuật dynamic VPN hay elastic VPN sẽ phù hợp. Khi số lượng kết nối VPN trong hệ thống điện toán đám mây lớn sẽ đòi hỏi mô hình thiết lập VPN phù hợp tương ứng. Có hai mô hình VPN thường được quan tâm là Hub - and - Spoke và Full- Mesh. 
Xu hướng phát triển của điện toán đám mây
Gần đây, bên cạnh việc cung cấp các mô hình và dịch vụ điện toán đám mây cho doanh nghiệp, các nhà cung cấp đang nỗ lực giới thiệu các giải pháp và dịch vụ đám mây của họ đến với các cơ quan quản lý hành chính nhà nước đối với các nước đang phát triển. Các dịch vụ đám mây phổ biến như: EC2 của Amazon, Azure của Microsoft, IBM cung cấp Smart Cloud Enterprise, Google cung cấp App Engine, Redhat cung cấp Redhat’s Openshift, Vmware có Cloud Foundry, Viện Công nghiệp Phần mềm và Nội dung số Việt Nam có iDragon Clouds... 
Trong đó Google Cloud, Redhat’s Openshift, Vmware Cloud Foundry và NISCI iDragon Clouds là những PaaS mã nguồn mở, cho phép thực thi trên một nền hạ tầng với chi phí thấp và dễ dàng thay thế.
Theo nhiều chuyên gia đánh giá, số người sử dụng đám mây công cộng sẽ lên đến 1 tỷ trước năm 2020. Người ta cho rằng, năm 2012 trên thế giới có khoảng 1 tỷ người đang sử dụng theo các truyền thống như Microsoft Office, OpenOffice or LibreOffice, Microsoft Exchange or Sharepoint, IBM Lotus Notes, thì đến năm 2020 tất cả mọi người sẽ chuyển sang đám mây công cộng.
Tập đoàn dữ liệu quốc tế IDC (International Data Corporation) công bố nghiên cứu mới cho thấy nhiều hãng lớn trong ngành công nghệ sẽ khó giữ được vị thế hiện tại, thậm chí có thể biến mất trên thị trường nếu không thích nghi được với xu hướng đám mây. Chuyên gia của IDC đã nhận định: Những công ty lớn đều đang phải đối mặt với sự chuyển dịch lớn. Hewlett - Packard là một ví dụ. Microsoft, Intel, SAP, RIM, Oracle, Cisco, Dell cũng đang phải thay đổi nếu muốn tồn tại và ít nhất 1/3 số đó sẽ lụi tàn vào khoảng năm 2020 trước sự tiến lên của Amazon, Google, Salesforce.com, hay VMware.... Điều đó buộc những công ty công nghệ vốn cung cấp các phần mềm truyền thống phải trở thành nhà cung cấp dịch vụ điện toán đám mây.
Kết luận
Điện toán đám mây đang phát triển và mở rộng với tốc độ nhanh chóng và công nghệ này sẽ thay thế dần các công nghệ truyền thống trong thời gian tới. Việc ứng dụng điện toán đám mây không chỉ cho các doanh nghiệp vừa và nhỏ, hay người dùng đơn lẻ mà nó đã được triển khai cho các doanh nghiệp lớn, các cơ quan nhà nước. Vấn đề đặt ra là sử dụng điện toán đám mây có thực sự an toàn cho tính riêng tư của người sử dụng; tính toàn vẹn dữ liệu; tính bảo mật.... Đây còn là vấn đề cần được đầu tư nghiên cứu trong thời gian tới.

ThS. Nguyễn Như Tuấn, KS. Phạm Quốc Hoàng, Học viện KTMM, Ban Cơ yếu Chính phủ