fbpx

Bảo mật điện toán đám mây: Thách thức & tương lai

23/04/2024

03/01/2023

1425

Đến mức độ nào, thời điểm nào thì dịch vụ đám mây có thể đảm bảo dữ liệu của doanh nghiệp bạn luôn an toàn?

Mặc dù điện toán đám mây xu hướng trong nhiều năm qua, nhưng tới thời điểm hiện tại thì vẫn còn là một công nghệ mới có nhiều thay đổi từ các khái niệm cho đến các thách thức trong thực tế đối với các doanh nghiệp.

Ảnh nguồn từ papertracer.com

Điện toán đám mây phát triển dựa trên nguyên tắc tiết kiệm chi phí, trong đó có thể hiểu đơn giản là lưu trữ thông tin tại một trung tâm dữ liệu ngoại tuyến dưới sự quản lý của nhà cung cấp dịch vụ.

Từ nhu cầu đơn giản đó đến nay, điện toán đám mây đã trở thành một thị trường với các nhà cung cấp quy mô lớn và đi kèm là nhiều giải pháp từ IaaS (cơ sở hạ tầng như một dịch vụ) cho đến SaaS (phần mềm như một dịch vụ). Sự phát triển của điện toán đám mây là xu thế chung, và các doanh nghiệp bắt đầu di chuyển khối lượng dữ liệu lớn, các ứng dụng của tổ chức lên mây…

Và đi kèm với sự phát triển đó là các mối đe dọa an ninh dữ liệu khi nhiều thông tin nhạy cảm đang được trực tuyến.

Vì lý do đó, điều quan trọng không chỉ là phân loại xem dữ liệu nào phù hợp để đẩy lên mây mà còn là việc lựa chọn các dịch vụ để đảm bảo mình luôn an toàn.

Trước khi bắt đầu dịch chuyển hãy đảm bảo các giải pháp bảo mật nội bộ và chắc chắn rằng các nhà cung cấp có thể cung cấp đầy đủ các dịch vụ an toàn khác.

>> Xem thêm: An ninh mạng là gì? Những vấn đề liên quan đến an ninh mạng

Nhu cầu an ninh của doanh nghiệp

Đến thời điểm hiện tại, điện toán đám mây đã chứng tỏ được tầm vóc và vai trò đối với mọi quy mô của doanh nghiệp. Việc an toàn dữ liệu trên mây của một cửa hàng cũng giống như của một công ty đa quốc gia luôn cần đảm bảo. Ở đây không phải là vấn đề quy mô mà là vấn đề của khối lượng bảo mật.

Andras Cser, phó chủ tịch của hãng nghiên cứu thị trường Forrester, cho biết điều quan trọng là giải pháp bảo mật nội bộ đạt tiêu chuẩn nào và điện toán đám mây có thể cung cấp một dịch vụ tương tự hay không. Nhất là đối với doanh nghiệp sử dụng đám mây công cộng và đám mây lai.

Thậm chí nếu chỉ đơn giản là sử dụng đám mây như một giải pháp sao lưu và không có ý định đặt các thông tin nhạy cảm trên mây thì doanh nghiệp cũng không nên tiết kiệm chi phí cho an ninh dữ liệu. Mã hóa dữ liệu trước khi di chuyển lên mây, mã hóa quá cảnh ở khu vực trung gian, và mã hóa đầu cuối là 3 lớp cơ bản để đảm bảo dữ liệu mà các doanh nghiệp nên chắc chắn.

Eric Ahlm, giám đốc nghiên cứu của Gartner cho biết là không nên đánh giá thấp tầm quan trọng của bảo mật dữ liệu trong các môi trường điện toán đám mây, khả năng xử lý hay hệ thống phân tích không nhất thiết là mục tiêu chính của các mối đe dọa.

Do trên thực tế hầu hết doanh nghiệp xem đám mây là tạm thời và chủ yếu sử dụng để có thêm nguồn lực tính toán nên đã tạo khoảng trống để tin tặc có thể dễ dàng đột nhập và ăn cắp thông tin. Mối đe dọa trực tiếp lớn nhất đối với điện toán đám mây là thời điểm hệ thống dữ liệu quan trọng được đưa lên và người quản lý không biết rõ dữ liệu của mình đang đặt ở đâu.

Ngoài đám mây công cộng, các doanh nghiệp cũng nên xem xét đám mây nội bộ của mình. Đám mây nội bộ có khá ít rủi ro liên quan đến quản lý dữ liệu vì các doanh nghiệp đã kiểm soát được môi trường lưu trữ. Tuy nhiên cũng nên cân nhắc tới các tầng, lớp với các mức độ an ninh phù hợp.

Để quản lý hệ thống đảm bảo thì cần xem xét việc kiểm soát truy cập vật lý và hệ thống mật khẩu, quyền truy cập.

>>> Xem thêm: Lưới bảo mật không gian mạng là gì? Lợi ích và ứng dụng đối với doanh nghiệp

Lựa chọn nhà cung cấp

Khi doanh nghiệp thỏa thuận với nhà cung cấp điện toán đám mây thì phải cần chú ý tới những tình huống khắc phục hậu quả nếu có sự cố xảy ra. Ví dụ, khi hệ thống dữ liệu thông tin về khách hàng bị tấn công, và không phải tất cả các thông tin đều bị mất. Vậy việc hỗ trợ, tách rời và di chuyển vùng an toàn đến hệ thống sever khác như thế nào?

Việc tìm kiếm các nhà cung cấp còn phải chú ý đến quyền sở hữu dữ liệu và khả năng kiểm soát. Nếu trường hợp nhà cung cấp đám mây được yêu cầu cung cấp các thông tin dữ liệu của doanh nghiệp bởi nhà nước hay cơ quan thẩm quyền thì việc đảm bảo toàn vẹn dữ liệu đến mức độ nào?

Điều này rất quan trọng đối một số doanh nghiệp quốc tế, ví dụ như rất nhiều công ty đang do dự có nên hay không đặt hệ thống lưu trữ dữ liệu của họ tại các cơ sở của Mỹ vì Đạo luật Patriot và các vấn đề liên quan đến chính sách của chính phủ. Lúc này ngoài hệ thống bảo mật còn yêu cầu các vấn đề về pháp lý tại nước đặt dữ liệu.

Nhiều quy định liên quan đến việc lưu trữ và sử dụng dữ liệu, bao gồm cả thanh toán thẻ dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI DSS), các bảo hiểm trách nhiệm Act (HIPAA), đạo luật Sarbanes-Oxley. Các doanh nghiệp nên cân nhắc các dịch vụ đám mây phù hợp với các quy định trên.

Không có gì đảm bảo

Hầu hết các nhà cung cấp điện toán đám mây không cung cấp một bản sơ lược về cam kết dịch vụ dành cho an ninh dữ liệu (SLA for security) vì lý do là không có gì có thể đảm bảo 100%.

Không có gì đảm bảo ở đây có nghĩa là nếu như doanh nghiệp bị tấn công thì việc tối đa có thể làm là hoàn tiền dịch vụ, hỗ trợ pháp lý và truyền thông. Nhà cung cấp điện toán đám mây sẽ không chịu trách nhiệm bồi thường tài chính nếu có lỗ hổng an ninh hay sự cố đột nhập xảy ra và doanh nghiệp là người chịu trách nhiệm cuối cùng về dữ liệu.

Nguồn: PCWorld VN

Đến mức độ nào, thời điểm nào thì dịch vụ đám mây có thể đảm bảo dữ liệu của doanh nghiệp bạn luôn an toàn?

Mặc dù điện toán đám mây xu hướng trong nhiều năm qua, nhưng tới thời điểm hiện tại thì vẫn còn là một công nghệ mới có nhiều thay đổi từ các khái niệm cho đến các thách thức trong thực tế đối với các doanh nghiệp.

Ảnh nguồn từ papertracer.com

Điện toán đám mây phát triển dựa trên nguyên tắc tiết kiệm chi phí, trong đó có thể hiểu đơn giản là lưu trữ thông tin tại một trung tâm dữ liệu ngoại tuyến dưới sự quản lý của nhà cung cấp dịch vụ.

Từ nhu cầu đơn giản đó đến nay, điện toán đám mây đã trở thành một thị trường với các nhà cung cấp quy mô lớn và đi kèm là nhiều giải pháp từ IaaS (cơ sở hạ tầng như một dịch vụ) cho đến SaaS (phần mềm như một dịch vụ). Sự phát triển của điện toán đám mây là xu thế chung, và các doanh nghiệp bắt đầu di chuyển khối lượng dữ liệu lớn, các ứng dụng của tổ chức lên mây…

Và đi kèm với sự phát triển đó là các mối đe dọa an ninh dữ liệu khi nhiều thông tin nhạy cảm đang được trực tuyến.

Vì lý do đó, điều quan trọng không chỉ là phân loại xem dữ liệu nào phù hợp để đẩy lên mây mà còn là việc lựa chọn các dịch vụ để đảm bảo mình luôn an toàn.

Trước khi bắt đầu dịch chuyển hãy đảm bảo các giải pháp bảo mật nội bộ và chắc chắn rằng các nhà cung cấp có thể cung cấp đầy đủ các dịch vụ an toàn khác.

Nhu cầu an ninh của doanh nghiệp

Đến thời điểm hiện tại, điện toán đám mây đã chứng tỏ được tầm vóc và vai trò đối với mọi quy mô của doanh nghiệp. Việc an toàn dữ liệu trên mây của một cửa hàng cũng giống như của một công ty đa quốc gia luôn cần đảm bảo. Ở đây không phải là vấn đề quy mô mà là vấn đề của khối lượng bảo mật.

Andras Cser, phó chủ tịch của hãng nghiên cứu thị trường Forrester, cho biết điều quan trọng là giải pháp bảo mật nội bộ đạt tiêu chuẩn nào và điện toán đám mây có thể cung cấp một dịch vụ tương tự hay không. Nhất là đối với doanh nghiệp sử dụng đám mây công cộng và đám mây lai.

Thậm chí nếu chỉ đơn giản là sử dụng đám mây như một giải pháp sao lưu và không có ý định đặt các thông tin nhạy cảm trên mây thì doanh nghiệp cũng không nên tiết kiệm chi phí cho an ninh dữ liệu. Mã hóa dữ liệu trước khi di chuyển lên mây, mã hóa quá cảnh ở khu vực trung gian, và mã hóa đầu cuối là 3 lớp cơ bản để đảm bảo dữ liệu mà các doanh nghiệp nên chắc chắn.

Eric Ahlm, giám đốc nghiên cứu của Gartner cho biết là không nên đánh giá thấp tầm quan trọng của bảo mật dữ liệu trong các môi trường điện toán đám mây, khả năng xử lý hay hệ thống phân tích không nhất thiết là mục tiêu chính của các mối đe dọa.

Do trên thực tế hầu hết doanh nghiệp xem đám mây là tạm thời và chủ yếu sử dụng để có thêm nguồn lực tính toán nên đã tạo khoảng trống để tin tặc có thể dễ dàng đột nhập và ăn cắp thông tin. Mối đe dọa trực tiếp lớn nhất đối với điện toán đám mây là thời điểm hệ thống dữ liệu quan trọng được đưa lên và người quản lý không biết rõ dữ liệu của mình đang đặt ở đâu.

Ngoài đám mây công cộng, các doanh nghiệp cũng nên xem xét đám mây nội bộ của mình. Đám mây nội bộ có khá ít rủi ro liên quan đến quản lý dữ liệu vì các doanh nghiệp đã kiểm soát được môi trường lưu trữ. Tuy nhiên cũng nên cân nhắc tới các tầng, lớp với các mức độ an ninh phù hợp.

Để quản lý hệ thống đảm bảo thì cần xem xét việc kiểm soát truy cập vật lý và hệ thống mật khẩu, quyền truy cập.

Lựa chọn nhà cung cấp

Khi doanh nghiệp thỏa thuận với nhà cung cấp điện toán đám mây thì phải cần chú ý tới những tình huống khắc phục hậu quả nếu có sự cố xảy ra. Ví dụ, khi hệ thống dữ liệu thông tin về khách hàng bị tấn công, và không phải tất cả các thông tin đều bị mất. Vậy việc hỗ trợ, tách rời và di chuyển vùng an toàn đến hệ thống sever khác như thế nào?

Việc tìm kiếm các nhà cung cấp còn phải chú ý đến quyền sở hữu dữ liệu và khả năng kiểm soát. Nếu trường hợp nhà cung cấp đám mây được yêu cầu cung cấp các thông tin dữ liệu của doanh nghiệp bởi nhà nước hay cơ quan thẩm quyền thì việc đảm bảo toàn vẹn dữ liệu đến mức độ nào?

Điều này rất quan trọng đối một số doanh nghiệp quốc tế, ví dụ như rất nhiều công ty đang do dự có nên hay không đặt hệ thống lưu trữ dữ liệu của họ tại các cơ sở của Mỹ vì Đạo luật Patriot và các vấn đề liên quan đến chính sách của chính phủ. Lúc này ngoài hệ thống bảo mật còn yêu cầu các vấn đề về pháp lý tại nước đặt dữ liệu.

Nhiều quy định liên quan đến việc lưu trữ và sử dụng dữ liệu, bao gồm cả thanh toán thẻ dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI DSS), các bảo hiểm trách nhiệm Act (HIPAA), đạo luật Sarbanes-Oxley. Các doanh nghiệp nên cân nhắc các dịch vụ đám mây phù hợp với các quy định trên.

Không có gì đảm bảo

Hầu hết các nhà cung cấp điện toán đám mây không cung cấp một bản sơ lược về cam kết dịch vụ dành cho an ninh dữ liệu (SLA for security) vì lý do là không có gì có thể đảm bảo 100%.

Không có gì đảm bảo ở đây có nghĩa là nếu như doanh nghiệp bị tấn công thì việc tối đa có thể làm là hoàn tiền dịch vụ, hỗ trợ pháp lý và truyền thông. Nhà cung cấp điện toán đám mây sẽ không chịu trách nhiệm bồi thường tài chính nếu có lỗ hổng an ninh hay sự cố đột nhập xảy ra và doanh nghiệp là người chịu trách nhiệm cuối cùng về dữ liệu.

Nguồn: PCWorld VN

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *