• Thứ Sáu, 24/09/2010 14:13 (GMT+7)

    Điện toán đám mây: Cơ hội hay tai họa?

    PHT
    Điện toán đám mây cũng tạo ra những rủi ro, nhưng những lợi ích an ninh tiềm tàng của nó không nên bị bỏ qua.

    Điện toán đám mây như là đã cuốn thế giới CNTT theo một cơn bão, làm thay đổi về cơ bản cách thức các tổ chức tiếp cận CNTT. Đám mây mang lại những hứa hẹn lợi ích về tài chính và kinh doanh, bao gồm giảm chi phí đầu tư và vận hành hệ thống CNTT. Tuy nhiên, như với mọi công nghệ mới, điện toán đám mây cũng kèm theo một số rủi ro về an ninh bảo mật.

    Trong khi đám mây tiếp tục phát triển và giải quyết những đòi hỏi về an ninh và tính tuân thủ, các tổ chức vẫn tự hỏi, vậy thì điện toán đám mây là cơ hội để tối ưu hóa năng suất hệ thống CNTT hay là tai họa đối với quản trị rủi ro doanh nghiệp. Tuy nhiên, giữa những rủi ro an ninh bảo mật hiện hành, còn có một số lợi ích an ninh và quản trị rủi ro mà các đám mây có thể mang lại.

    Cơ hội đối mặt rủi ro

    Nhiều rủi ro an ninh liên quan đến điện toán đám mây do bản chất của hạ tầng cơ sở. Đám mây có thể phơi bày những rủi ro từ các chính sách được xây dựng và thực hiện lỏng lẻo, những lỗ hổng trong an ninh hạ tầng cơ sở, an ninh vật lý và môi trường, khắc phục thảm họa, an ninh cá nhân và an ninh vận hành hệ thống CNTT. Đám mây có thể mang lại qui mô mới cho một số mối đe dọa hiện hữu này, trong khi còn mở ra những rủi ro mới.

    Một số rủi ro cố hữu liên quan đến hành vi trộm cắp, rò rỉ hoặc phá hủy dữ liệu do cùng chung địa điểm chứa dữ liệu. Hay sự phát tán các hoạt động ác ý và lây nhiễm phần mềm độc hại tới những môi trường nhiều khách hàng. Bên cạnh đó còn có nguy cơ từ việc lựa chọn một dịch vụ cấp thấp do kinh phí hạn hẹp. Bởi đám mây là một mô hình tiện dụng, khách hàng đám mây có lẽ có xu hướng hy sinh những tính năng an ninh và chấp nhận giảm chi phí hơn nữa, tự đặt mình vào nguy hiểm.

    Một thách thức lớn khác thường thấy là nhận thức về an ninh từ những nhân viên của một nhà cung cấp đám mây đã hiện diện ở nhiều quốc gia. Trong những trường hợp này, người dùng có thể thấy rằng văn hóa của nhà cung cấp, nhận thức về rủi ro và nhu cầu đối với an ninh và sự riêng tư thay đổi cùng những qui tắc địa phương. Đám mây cần hoạt động 24/7 để phục vụ khách hàng trên toàn cầu, và phải cung cấp giá trị tối ưu cho khách hàng của mình bằng cách huy động và phân bổ nguồn lực một cách linh hoạt, phụ thuộc vào mức độ sử dụng cùng lưu lượng truyền thông và thời điểm trong ngày.

    Trong một tình huống thuê ngoài điển hình, để dữ liệu trên mạng của một nhà cung cấp đã chọn và giới hạn truy cập tới dữ liệu là một việc làm dễ. Với môi trường đám mây, thật khó để hạn chế chuyển dữ liệu của một ai đó.

    Lợi ích của an ninh đám mây

    Để dữ liệu ở nhà là cách an toàn nhất khi ra ngoài. Tuy nhiên, thời nay, việc chuyển dữ liệu ra ngoài đã tạo nhiều cơ hội cho sự tăng trưởng, việc kinh doanh các sản phẩm và dịch vụ mới trở nên linh hoạt hơn trong nền kinh tế thị trường. Ngoài ra, các đám mây tạo điều kiện thuận lợi cho quản trị an ninh hoạt động như tự động tải về các bản vá, quản lý người dùng, quản lý thiết bị, sao lưu… Các đám mây cũng giúp giảm nhân lực vận hành, an ninh, quản trị hệ thống… Nhìn chung, đám mây rất hấp dẫn đối với những người chịu trách nhiệm về hệ thống CNTT của tổ chức.

    Sự hiểu biết về những lợi ích an ninh tiềm tàng từ đám mây giúp giảm bớt phần nào âu lo cho các chuyên gia bảo mật, nhân viên chuyên trách và chắc chắn là cả với điều hành viên cấp cao trong các tổ chức coi trọng ứng dụng CNTT và quản trị rủi ro.

    1. Đám mây có thể mang lại những nguồn nhân lực lành nghề nhất, cùng với dịch vụ cung cấp có chất lượng như mong đợi.
    2. Đám mây có thể cung cấp các biện pháp an ninh bảo vệ tốt nhất trong kiểm soát truy cập, bảo mật dữ liệu truyền đi bằng cách sử dụng giao thức SSL/TLS, mã hóa dữ liệu lưu trữ…
    3. Trong một thời đại mà các ứng dụng đang ngày càng trở thành mục tiêu cho các cuộc tấn công và vi phạm an ninh, đám mây là một giải pháp vì nó cung cấp các ứng dụng an ninh như một phần của dịch vụ.
    4. Các đám mây có thể cung cấp một số khả năng khắc phục thảm họa mặc định, bởi các biện pháp bảo vệ vật lý và môi trường được áp dụng.
    5. Kiểm soát an ninh mạnh hơn trong khi giá cả có xu hướng phải chăng hơn, đặc biệt cho các doanh nghiệp nhỏ hơn. Các đám mây, do áp lực bên ngoài sẽ bị buộc phải lựa chọn các nhà cung cấp an ninh và những sản phẩm tốt nhất, và do đó tiềm năng đối với các giải pháp phát sinh được đóng gói tốt nhất cùng với các dịch vụ của họ là rất cao.
    6. Các biện pháp bảo vệ an ninh có thể hiệu quả hơn nhờ giám sát định kỳ bởi nhiều khách hàng, cũng như các kiểm soát viên độc lập và nội bộ.
    7. Với việc ngày càng tăng sự chấp nhận đám mây, các mạng riêng hội tụ vào trong các trung tâm dữ liệu của các nhà cung cấp đám mây, gây khó khăn hơn cho những kẻ tìm cách xâm nhập vào các mạng và hệ thống dễ bị tổn thương.
    8. Đám mây có xu hướng cung cấp giám sát liên tục các mạng, hệ thống của nó và các hoạt động của người dùng. Hoạt động 24/7 này có thể rất quan trọng trong củng cố phòng ngừa cũng như các biện pháp dò tìm đối với vi phạm an ninh.
    9. Các đám mây có thể cô lập và ngăn chặn bất kỳ hoạt động độc hại khởi nguồn từ bên ngoài và tiêm nhiễm phần mềm độc hại vào một môi trường ảo duy nhất. Nhờ đó có thể ngăn ngừa một cách hiệu quả sự xâm nhập lây lan sang các mạng riêng cũ khác là một phần của đám mây bây giờ.
    10. Khi nói đến việc tuân thủ các quy định như SOX, PCI-DSS…, các công ty thường cảm thấy rườm rà phức tạp, cho là lãng phí đáng kể các nguồn lực. Ngay cả các phạm vi hoạt động và cơ sở hạ tầng cho phù hợp có thể là một nhiệm vụ khó khăn cho nhiều công ty. Đám mây có thể giúp việc tuân thủ trở nên tiêu chuẩn hóa cho một quy định và cũng làm cho nó hiệu quả và năng suất hơn.

    Khi nói đến quản trị rủi ro, an ninh thông tin, và các chương trình liên tục kinh doanh (đảm bảo cho doanh nghiệp phục hồi hoạt động lại ngay sau khi bất ngờ có tai họa xảy ra), chúng ta thường hình dung không thể có một phương pháp tiếp cận hay giải pháp phù hợp cho tất cả. Tuy nhiên, đám mây lại khiến điều đó trở thành hiện thực. Hãy suy nghĩ về tuân thủ PCI, rất nhiều khách hàng chọn một nhà cung cấp giao dịch dựa trên đám mây xử lý, giải quyết, và báo cáo. Vì sao?

    PCI-DSS (Tiêu chuẩn an ninh dữ liệu trong ngành công nghiệp thẻ thanh toán) là một trong rất ít các tiêu chuẩn toàn cầu mà giải quyết không chỉ "những gì cần phải được thực hiện" mà còn "nó phải được thực hiện thế nào", giảm nhiều chi tiết vụn vặt cho dù có liên quan đến các ứng dụng hoặc mật khẩu. Trong khi các nhà cung cấp dịch vụ thanh toán vẫn còn trách nhiệm tuân thủ và bất kỳ vi phạm đối với mọi giao dịch hoặc thu giữ dữ liệu và xử lý nhân danh họ, một phần của phạm vi được chuyển đến nhà cung cấp dịch vụ. Điều này mang lại tiêu chuẩn hóa trong việc cung cấp các dịch vụ thẻ.

    Tinh chỉnh an ninh và tuân thủ thông qua phân loại dữ liệu

    Khi bạn chuyển một phần doanh nghiệp của bạn lên đám mây, các ranh giới của cơ sở hạ tầng CNTT của bạn được vẽ lại nhưng bạn vẫn còn giữ lại quyền sở hữu dữ liệu và an ninh của nó. Một chính sách phân loại dữ liệu rõ ràng và được thực hiện đầy đủ, mà xác định yêu cầu an ninh trong suốt vòng đời, không chỉ giúp giảm thiểu rủi ro đáng kể mà còn giảm chi phí, tạo nên sự duy trì hiệu quả và các biện pháp xử lý cần thiết cho dữ liệu của bạn trong đám mây.

    Dữ liệu trong đám mây là một mục tiêu không cố định và do đó có thể làm cho một chương trình nào đó phụ thuộc vào dữ liệu, một mục tiêu không cố định này. Một chương trình quản trị rủi ro cơ động yêu cầu tập trung vào kiểm soát cụ thể phát sinh rủi ro. Do vậy, đám mây cung cấp khả năng đầu tư vào hoạt động quản trị rủi ro tốt hơn.

    Nguồn: CSO, 22/9/2010