Bảo mật trong đám mây: Có nên tin tưởng vào nhà cung cấp?

Quản Trị Mạng - Ông John Pescatore, nhà phân tích bảo mật đồng thời là phó chủ tịch hãng Gardner, nói rằng bảo mật trong đám mây có thể được hiểu như sau: Người dùng không nên tin tưởng vào những tính năng bảo mật của nhà cung cấp dịch vụ đám mây để bảo vệ những dữ liệu tối quan trọng của mình.

Thông tin nhạy cảm cần được bảo vệ như dữ liệu khách hàng, các ứng dụng công việc quan trọng, thông tin đánh giá sản phẩm, trong nhiều trường hợp cần những kiểm soát an ninh riêng để được bảo vệ đầy đủ. “Khi chuyển sang những mô hình dựa trên đám mây, có một số thứ bạn có thể tin tưởng vào nhà cung cấp đám mây, nhưng đối với dữ liệu doanh nghiệp quan trọng và thông tin điều khiển định kỳ thì hạ tầng sẽ khó mà đủ được”, ông Pescatore nói trong một hội thảo trên web được tài trợ bởi Gardner tuần trước.

Bảo mật vẫn là mối quan tâm hàng đầu của những công ty muốn triển khai đám mây. Nhưng ông Pescatore nói có nhiều cách giúp giảm bớt nỗi lo âu. Vấn đề mấu chốt là phải có những dịch vụ cung cấp bảo mật được thiết kế để bảo vệ riêng cho các ứng dụng đám mây, dữ liệu hoặc tải công việc. Một ví dụ tiêu biểu là thông tin thẻ tín dụng. Chuẩn PCI (Payment Card Industry) đòi hỏi dữ liệu về thẻ tín dụng của bất cứ khách hàng nào được lưu điện tử thì phải được mã hóa bảo mật. Một số nhà cung cấp dịch vụ đám mây sẽ cung cấp những dịch vụ mã hóa bảo mật trong lưu trữ đám mây. Nhưng, có nhiều ứng dụng bên thứ ba mà khách hàng có thể mua để được cung cấp bảo mật, chống lại tấn công từ chối dịch vụ phân tán DDoS và những thông số điều khiển truy cập chuyên dụng cho triển khai đám mây.

Có rất nhiều sản phẩm bảo mật đám mây trên thị trường với nhiều chức năng khác nhau. Các nhà cung cấp như Zscaler, Websense hoặc ScanSafe từ Cisco là những sản phẩm “cổng nối” (gateway) nằm giữa người dùng và nhà cung cấp đám mây để giám sát dữ liệu nào đang được đẩy vào đám mây và để đảm bảo các dữ liệu hay ứng dụng độc hại không xâm nhập vào hệ thống của người dùng. Nếu đám mây đang được dùng để quản trị một website thì có những dịch vụ bảo vệ website như Imperva, CloudFlare và thậm chí một số dịch vụ từ Akamai trong lĩnh vực này.

Phó chủ tịch Gardner cho rằng an ninh đám mây mới bắt đầu ở mức sơ khai. Hều hết các doanh nghiệp khởi động hành trình đi lên đám mây bằng một đám mây nội bộ riêng và đó cũng là một bãi đáp tốt để bắt đầu làm quen với khái niệm kiểm soát bảo mật đám mây. “Nhận quyền bảo mật trong đám mây trước sau đó mới mở rộng thành đám mây lai hoặc công cộng”, ông đề xuất. Có những bước xử lý đúng lúc để bảo vệ các môi trường ảo hóa từ những tấn công bên ngoài là rất quan trọng. “Hãy hiểu thấu hệ thống, các điều khiển thay đổi và các lỗ hổng an ninh”, ông nói. Điều này củng cố cho sự hài hòa của kiến trúc và cung cấp những tài khoản, miền (domain) và máy ảo mới.

Sự chuyển dịch ra ngoài đám mây riêng thường sau đó hướng tới kết hợp một số dịch vụ đám mây công. Rất nhiều lần các công ty mở rộng dịch vụ đám mây cho những ứng dụng không phải là quá quan trọng, như kiểm thử, phát triển… Vì vậy, không phải tất cả mọi thứ có thể phải được đặt ở mức bảo mật cao nhất. “Hãy bảo vệ thông tin nhạy cảm và chỉ đẩy ít thông tin nhạy cảm nhất vào đám mây dưới dạng thông thường”.

Ông Pescatore cho rằng sự tập trung cho bảo mật trong đám mây phải nằm trong tiến trình bảo vệ đám mây. Phải tạo ra những chính sách cho bảo mật đám mây, sau đó đảm bảo rằng chúng được triển khai trong khi xây dựng đám mây. Các lỗ hổng được tạo ra khi có những chính sách không nhất quán hoặc những điều khiển bảo mật không được thi hành, ông nói. “Chúng ta chưa thực sự thấy thêm những cuộc tấn công nghiêm trọng nào cố gắng gây hại hạ tầng đám mây hoặc lớp ảo hóa”. “Thực tế hiện tại là tính dễ xâm nhập vào đám mây (đối với hacker) đang đe dọa các công ty sử dụng dịch vụ đám mây”.

Tin tốt là khách hàng có một rất nhiều lựa chọn. Đối với các yêu cầu bảo mật mức thấp, nhà cung cấp dịch vụ đám mây dù là phần hạ tầng hay dịch vụ phần mềm, thường có những tính năng bảo mật riêng. Với Amazon Web Services là FISMA. FireHost, một nhà cung cấp dịch vụ đám mây khác có tính năng PCI. Ít nhất thì, theo ông Pescatore, người dùng nên tìm kiếm những nhà cung cấp đạt chuẩn ISO 27001, SOC 2 hoặc SOC 3. Đặc biệt đối với những thông tin nhạy cảm, có thể sử dụng các dịch vụ từ bên thứ ba.