• Thứ Ba, 13/03/2012 09:32 (GMT+7)

    Ba điểm "khác thường" của bảo mật đám mây

    Vũ Nga
    Những cách thức làm việc với hệ thống công nghệ thông tin thường dùng có thể áp dụng trên môi trường điện toán đám mây không?

    Theo Oscar Chang, Phó Chủ tịch Trend Micro châu Á, nguy cơ về mất an toàn thông tin trên môi trường đám mây lớn hơn rất nhiều so với môi trường điện toán truyền thống bởi những ảnh hưởng chung trong cùng một hệ sinh thái. Dưới đây là những khác biệt cơ bản giữa bảo mật truyền thống và bảo mật đám mây mà Oscar Chang đã chỉ ra.

    "Hàng xóm bất cẩn", người dùng vạ lây

    Ông Oscar Chang, Phó Chủ tịch Trend Micro châu Á: "Không nên bảo mật theo từng thiết bị...".
    Theo Oscar Chang, sự khác biệt giữa bảo mật truyền thống và trên đám mây là trước đây, dữ liệu được lưu trữ trên các máy tính và người ta phải lo bảo vệ từng chiếc máy tính thì nay, mọi dữ liệu đều được tập trung một chỗ như trên Yahoo, Google, Facebook... Vì vậy, nếu một nhà cung cấp bị tấn công thì sẽ có nhiều đối tượng bị ảnh hưởng. Thậm chí, “mặc dù bạn rất cẩn thận nhưng nếu người hàng xóm của bạn bất cẩn thì bạn cũng bị vạ lây”, Oscar ví von, bởi chúng ta cùng chung một hệ sinh thái.

    Thời gian qua, rất nhiều tổ chức lớn bị tấn công trong đó có cả các công ty về an ninh bảo mật. Theo Oscar, một phần do các tổ chức này chưa có sự thay đổi chiến lược bảo mật cho phù hợp với môi trường đám mây. Doanh nghiệp không thể vẫn giữ quan điểm bảo mật từng thiết bị, từng desktop mà phải bảo mật toàn bộ. “Có thể nhiều doanh nghiệp vẫn ngại thay đổi nhưng thay đổi là cần thiết”, Oscar nhấn mạnh.

    Cân nhắc kỹ thông tin trước khi đưa lên mây 

    Quan điểm về bảo mật đám mây của Trend Micro là đảm bảo an toàn cho thông tin lưu trữ trên "đám mây", tập trung vào dữ liệu. Theo Oscar, đối với các tổ chức, doanh nghiệp, chiến lược bảo mật đám mây nên hướng vào hai đối tượng là các trung tâm dữ liệu và nhân viên (người dùng). Đặc biệt, đối với các nhân viên, họ sử dụng các thiết bị cá nhân vào công việc rất phổ biến, chẳng hạn gửi email công việc bằng điện thoại cá nhân… Điều này có thể ảnh hưởng đến sự an toàn dữ liệu của công ty. Vì vậy, doanh nghiệp cần nhận thức đúng đắn về bảo mật đám mây để có chính sách và chi phí phù hợp, nhất là việc cân nhắc xem dữ liệu nào sẽ được đưa lên “mây”.

    Theo chia sẻ của Oscar, phần lớn các tổ chức trên thế giới đều dè dặt với việc đưa dữ liệu lên mây. Thông thường họ chỉ chia sẻ khoảng 20%. Mức cao nhất mà một tổ chức chia sẻ vào khoảng 50% - 60%.

    Ý nghĩa của thỏa thuận cung cấp dịch vụ (SLA)

    Từ năm 2010, một số doanh nghiệp trong nước bắt đầu triển khai dịch vụ điện toán đám mây. Cơ quan chức năng cũng đã có khuyến nghị các doanh nghiệp khi thuê dịch vụ điện toán đám mây cần chú ý đến bảo mật thông tin do quy trình kinh doanh của doanh nghiệp sẽ lệ thuộc vào nhà cung cấp dịch vụ. Doanh nghiệp cần nắm bắt quy trình triển khai dịch vụ lưu trữ - truy cập vào dữ liệu kinh doanh thông qua môi trường điện toán đám mây; nhà cung cấp dịch vụ điện toán đám mây cần cam kết bảo mật, đảm bảo thời gian vận hành liên tục…

    Vậy, phải chăng trong môi trường điện toán đám mây, người tiêu dùng nói chung bao gồm cả tổ chức/doanh nghiệp hoàn toàn bị thụ động trong vấn đề an ninh bảo mật bởi mọi vấn đề đều phụ thuộc vào hợp đồng cung cấp dịch vụ? Vấn đề này, theo Oscar, vai trò của Chính phủ là rất lớn trong việc đưa ra các tiêu chuẩn mang tính bắt buộc dành cho nhà cung cấp dịch vụ. Ở một số quốc gia như Mỹ còn có các đạo luật riêng cho từng lĩnh vực như HIPPA trong lĩnh vực y tế quy định về lưu trữ thông tin sức khỏe cá nhân; PCIDSS trong lĩnh vực thẻ tín dụng hay châu Âu có đạo luật European Privacy Acts quy định thông tin của châu Âu chỉ được lưu trữ ở trên lãnh thổ châu Âu…

    Lưu ý khi sử dụng dịch vụ "đám mây"

    * Các doanh nghiệp cần quan tâm đến 3 yếu tố: Cấp độ an ninh – Sự riêng tư – Sự tuân thủ pháp lý theo hợp đồng.

    * Các nhà cung cấp dịch vụ cần công khai chính sách bảo mật; quyền truy cập hệ thống lưu trữ đối với nhân viên quản trị dịch vụ điện toán đám mây. 

    Những mối lo về bảo mật khi sử dụng "đám mây công cộng" (public cloud) sẽ được giải quyết phần nào khi doanh nghiệp chuyển sang dùng "đám mây riêng" (private cloud). Họ sẽ toàn quyền kiểm soát dữ liệu; có công cụ giám sát thường xuyên đối với khối "tài sản CNTT" lưu trữ trên "mây"… Tuy nhiên, chiến lược bảo mật phải được tiến hành song song với việc chuyển đổi sang hạ tầng đám mây, "nếu xây xong hạ tầng mới nghĩ đến bảo mật là quá muộn", Oscar nhấn mạnh.

    Việc đánh giá đúng mức các giải pháp bảo mật chẳng những giúp cho doanh nghiệp yên tâm hơn về dữ liệu và an toàn hệ thống mà còn trực tiếp tối ưu hóa cấu trúc của hệ thống ảo hóa và/hoặc đám mây mà họ sẽ phải đầu tư, giảm đáng kể chi phí đầu tư cơ bản (CAPEX), chi phí vận hành quản lý (OPEX) và nâng cao hệ số đầu tư (ROI). Cách đặt vấn đề thông thường: “xây hệ thống trước – đảm bảo an ninh sau” hoặc áp dụng cách đặt vấn đề khi bảo vệ môi trường vật lý cho môi trường ảo hóa/đám mây thường dẫn đến CAPEX lớn và OPEX cao hoặc không hợp lý, ROI thấp.

    Với các doanh nghiệp không có điều kiện triển khai đám mây riêng có thể áp dụng các giải pháp mã hóa dữ liệu. Ngoài ra, thị trường hiện cũng có một số giải pháp bảo mật dành cho môi trường đám mây để người dùng chủ động bảo vệ dữ liệu, đảm bảo dữ liệu chỉ được truy xuất sử dụng chỉ khi người dùng (được phân quyền) sử dụng đúng các công cụ xác thực hợp lệ.