Bảo mật điện toán đám mây
Securitytrong điện toán đám mây là một mối quan tâm lớn. Dữ liệu trên đám mây nên được lưu trữ ở dạng mã hóa. Để hạn chế khách hàng truy cập trực tiếp vào dữ liệu được chia sẻ, nên sử dụng các dịch vụ proxy và môi giới.
Lập kế hoạch bảo mật
Trước khi triển khai một tài nguyên cụ thể lên đám mây, người ta cần phân tích một số khía cạnh của tài nguyên đó như:
Chọn tài nguyên cần chuyển sang đám mây và phân tích độ nhạy của nó với rủi ro.
Xem xét các mô hình dịch vụ đám mây như IaaS, PaaS, và SaaS. Các mô hình này yêu cầu khách hàng chịu trách nhiệm về bảo mật ở các cấp độ dịch vụ khác nhau.
Xem xét loại đám mây sẽ được sử dụng, chẳng hạn như public, private, community hoặc là hybrid.
Hiểu hệ thống của nhà cung cấp dịch vụ đám mây về lưu trữ dữ liệu và truyền dữ liệu vào và ra khỏi đám mây.
Rủi ro trong triển khai đám mây chủ yếu phụ thuộc vào các mô hình dịch vụ và loại đám mây.
Hiểu về bảo mật của đám mây
Ranh giới an ninh
Một mô hình dịch vụ cụ thể xác định ranh giới giữa trách nhiệm của nhà cung cấp dịch vụ và khách hàng. Cloud Security Alliance (CSA) mô hình ngăn xếp xác định ranh giới giữa mỗi mô hình dịch vụ và cho thấy các đơn vị chức năng khác nhau liên quan với nhau như thế nào. Sơ đồ sau đây cho thấyCSA stack model:
Các điểm chính đối với mô hình CSA
IaaS là cấp dịch vụ cơ bản nhất với PaaS và SaaS là hai cấp dịch vụ tiếp theo ở trên.
Tiến lên trên, mỗi dịch vụ kế thừa các khả năng và mối quan tâm bảo mật của mô hình bên dưới.
IaaS cung cấp cơ sở hạ tầng, PaaS cung cấp môi trường phát triển nền tảng và SaaS cung cấp môi trường hoạt động.
IaaS có ít chức năng tích hợp nhất và bảo mật tích hợp trong khi SaaS có nhiều nhất.
Mô hình này mô tả các ranh giới bảo mật mà tại đó trách nhiệm của nhà cung cấp dịch vụ đám mây kết thúc và trách nhiệm của khách hàng bắt đầu.
Bất kỳ cơ chế bảo mật nào dưới ranh giới bảo mật phải được xây dựng trong hệ thống và phải được khách hàng duy trì.
Mặc dù mỗi mô hình dịch vụ có cơ chế bảo mật, nhu cầu bảo mật cũng phụ thuộc vào vị trí đặt các dịch vụ này, trong đám mây riêng, công cộng, hỗn hợp hoặc cộng đồng.
Hiểu về bảo mật dữ liệu
Vì tất cả dữ liệu được truyền bằng Internet, nên vấn đề bảo mật dữ liệu là mối quan tâm chính trên đám mây. Dưới đây là các cơ chế chính để bảo vệ dữ liệu.
- Kiểm soát truy cập
- Auditing
- Authentication
- Authorization
Tất cả các mô hình dịch vụ nên kết hợp cơ chế bảo mật hoạt động trong tất cả các lĩnh vực nêu trên.
Quyền truy cập dữ liệu biệt lập
Vì dữ liệu được lưu trữ trên đám mây có thể được truy cập từ mọi nơi, chúng tôi phải có cơ chế để cô lập dữ liệu và bảo vệ dữ liệu khỏi sự truy cập trực tiếp của khách hàng.
Brokered Cloud Storage Access là một cách tiếp cận để cách ly lưu trữ trên đám mây. Trong cách tiếp cận này, hai dịch vụ được tạo ra:
Một nhà môi giới có toàn quyền truy cập vào bộ nhớ nhưng không có quyền truy cập vào khách hàng.
Một proxy không có quyền truy cập vào bộ nhớ nhưng có quyền truy cập vào cả máy khách và nhà môi giới.
Hoạt động của hệ thống truy cập lưu trữ đám mây bị phá vỡ
Khi khách hàng đưa ra yêu cầu truy cập dữ liệu:
Yêu cầu dữ liệu máy khách chuyển đến giao diện dịch vụ bên ngoài của proxy.
Người ủy quyền chuyển tiếp yêu cầu đến người môi giới.
Nhà môi giới yêu cầu dữ liệu từ hệ thống lưu trữ đám mây.
Hệ thống lưu trữ đám mây trả lại dữ liệu cho nhà môi giới.
Người môi giới trả lại dữ liệu cho proxy.
Cuối cùng proxy sẽ gửi dữ liệu đến máy khách.
Tất cả các bước trên được thể hiện trong sơ đồ sau:
Mã hóa
Mã hóa giúp bảo vệ dữ liệu khỏi bị xâm phạm. Nó bảo vệ dữ liệu đang được chuyển cũng như dữ liệu được lưu trữ trên đám mây. Mặc dù mã hóa giúp bảo vệ dữ liệu khỏi mọi truy cập trái phép, nhưng nó không ngăn được việc mất dữ liệu.