3 thách thức bảo mật multicloud hàng đầu và cách xây dựng chiến lược

Theo các chuyên gia bảo mật, một số thực tiễn bảo mật tốt nhất đã xuất hiện cùng với sự phát triển của môi trường multicloud và có một số bước quan trọng mà tất cả các tổ chức nên thực hiện khi họ phát triển các chiến lược bảo mật của riêng mình.

Việc vi phạm dữ liệu hoặc cảnh báo kẻ xâm nhập sẽ khiến các nhóm bảo mật tích cực hơn trong việc ngăn chặn thiệt hại và xác định nguyên nhân.

Nhiệm vụ đó lúc nào cũng mang tính thách thức ngay cả khi một dân IT thứ thiệt điều hành tất cả các hoạt động trên cơ sở hạ tầng của riêng mình. Nhiệm vụ này đang ngày càng trở nên phức tạp vì các tổ chức đã chuyển nhiều khối lượng công việc của họ sang đám mây và sau đó là tới nhiều nhà cung cấp đám mây.

Báo cáo về hoạt động đám mây năm 2018 từ RightScale, một nhà cung cấp dịch vụ đám mây, nhận thấy 77% các chuyên gia công nghệ (tương đương với 997 người trả lời) nói rằng bảo mật đám mây là một thách thức, và 29% trong số này cho rằng đó là một thách thức rất lớn.

Các chuyên gia bảo mật cho biết họ không ngạc nhiên, đặc biệt khi biết rằng tới 81% số người được hỏi trong khảo sát của RightScale đang sử dụng chiến lược multicloud.

“Các môi trường multicloud sẽ khiến cách bạn thực hiện và quản lý các biện pháp kiểm soát an ninh trở nên phức tạp hơn” - Theo ông Ron Lefferts, giám đốc quản lý và trưởng nhóm tư vấn công nghệ của công ty tư vấn quản lý Protiviti.

Ông và các nhà lãnh đạo an ninh khác nói rằng các tổ chức đang rất tích cực trong việc duy trì tính bảo mật cao khi họ di chuyển nhiều khối lượng công việc lên đám mây.

Multicloud

Thách thức bảo mật multicloud

Nhưng họ cũng nên thừa nhận rằng môi trường multicloud đi kèm với những thách thức phát sinh cần được giải quyết. Đây là một phần của chiến lược an ninh toàn diện.

Christos K. Dimitriadis, giám đốc và cựu chủ tịch hội đồng quản trị của ISACA, một hiệp hội chuyên nghiệp, tập trung vào lĩnh vực quản trị CNTT, nói: “Trong thế giới multicloud này, điều kiện tiên quyết là sự phối hợp giữa công nghệ và trí thông minh của con người. Bây giờ nếu có sự cố xảy ra, bạn cần phải đảm bảo rằng tất cả các thực thể được phối hợp để xác định vi phạm, phân tích và phát triển các kế hoạch cải tiến để kiểm soát hiệu quả hơn".

Dưới đây là ba yếu tố mà các chuyên gia cho rằng là các chiến lược bảo mật phức tạp đối với môi trường multicloud.

  • Mức độ phức tạp tăng dần: Việc phối hợp các chính sách bảo mật, các quy trình và sự phản hồi từ nhiều nhà cung cấp đám mây cũng như mạng lưới các điểm kết nối được mở rộng nhiều sẽ làm tăng thêm sự phức tạp.

Juan Perez-Etchegoyen, một nhà nghiên cứu, đồng chủ tịch của ERP Security Working Group tại tổ chức thương mại phi lợi nhuận Cloud Security Alliance (CSA) cho biết: “Bạn có phần mở rộng trung tâm dữ liệu ở nhiều nơi trên thế giới. Và sau đó bạn phải tuân thủ các quy định của tất cả các quốc gia hoặc khu vực bạn đang đặt trung tâm dữ liệu. Số lượng các quy định rất lớn và ngày càng tăng lên. Các quy định này đang thúc đẩy kiểm soát và cơ chế mà các công ty cần triển khai. Tất cả những điều đó làm tăng tính phức tạp cho cách mà chúng ta bảo vệ dữ liệu”.

  • Thiếu khả năng hiển thị: Các tổ chức CNTT thường không biết tất cả các dịch vụ đám mây đang được nhân viên sử dụng, những người có thể dễ dàng bỏ qua các chiến lược IT của doanh nghiệp và mua các dịch vụ phần mềm dưới dạng dịch vụ hoặc các dịch vụ dựa trên đám mây khác.

"Vì vậy, chúng tôi đang cố gắng bảo vệ dữ liệu, dịch vụ và bản thân doanh nghiệp mà không cần phải hiểu rõ về vị trí của dữ liệu", ông Dimitriadis nói.

  • Các mối đe dọa mới: Theo ông Jeff Spivey, người sáng lập và giám đốc điều hành của công ty tư vấn Security Risk Management Inc, các nhà lãnh đạo an ninh doanh nghiệp cũng nên nhận ra rằng sự phát triển nhanh chóng của môi trường multicloud có thể làm nảy sinh các mối đe dọa mới.

"Chúng ta đang tạo ra một cái thứ mới mẻ mà tại đó, chúng ta chưa hề biết gì về tất cả các lỗ hổng bảo mật. Nhưng chúng ta có thể phát hiện ra những lỗ hổng đó khi chúng ta tiếp tục tiến lên", ông nói.

Xây dựng chiến lược multicloud

Chiến lược multicloud

Theo các chuyên gia bảo mật, một số thực tiễn bảo mật tốt nhất đã xuất hiện cùng với sự phát triển của môi trường multicloud và có một số bước quan trọng mà tất cả các tổ chức nên thực hiện khi họ phát triển các chiến lược bảo mật của riêng mình.

Việc đầu tiên cần bắt tay thực hiện là xác định tất cả các đám mây nơi dữ liệu “cư trú” và đảm bảo tổ chức có một chương trình quản trị dữ liệu mạnh mẽ - “một bức tranh đầy đủ về dữ liệu và các dịch vụ, cũng như tài sản CNTT có liên quan đến các loại thông tin” (theo ông Dimitriadis).

Ông Dimitriadis cũng là người đứng đầu bộ phận bảo mật thông tin, tuân thủ thông tin và bảo vệ quyền sở hữu trí tuệ tại INTRALOT Group, đơn vị cung cấp giải pháp và điều hành game, thừa nhận rằng các đề xuất bảo mật này không chỉ được cung cấp cho môi trường multicloud.

Tuy nhiên, ông nói rằng việc có những biện pháp cơ bản tại chỗ như vậy đang ngày càng trở nên quan trọng hơn bao giờ hết, khi dữ liệu đang dần “di chuyển” lên đám mây và trải rộng trên nhiều nền tảng đám mây khác nhau.

Các thống kê cho biết lý do tại sao có một cơ sở bảo mật mạnh là rất quan trọng. Báo cáo về các mối đe dọa từ đám mây năm 2018 của KPMG và Oracle, đã thực hiện khảo sát trên 450 chuyên gia về bảo mật và CNTT, báo cáo rằng 90% doanh nghiệp phân loại một nửa dữ liệu dựa trên đám mây của họ là nhạy cảm.

Báo cáo cũng cho thấy 82% người được hỏi lo ngại rằng nhân viên không tuân thủ chính sách bảo mật đám mây và 38% có vấn đề về phát hiện và ứng phó với sự cố bảo mật trên đám mây.

Để chống lại các tình huống như vậy, các doanh nghiệp nên phân loại thông tin để tạo ra nhiều tầng lớp bảo mật - Theo lời ông Ramsés Gallego, một nhà lãnh đạo tại ISACA và nhà truyền giáo ở văn phòng CTO tại Symantec. Điều này cho ta biết rằng không phải tất cả dữ liệu đều yêu cầu cùng một mức độ tin cậy và xác minh để truy cập hoặc khóa.

Các chuyên gia bảo mật cũng khuyên các doanh nghiệp thực hiện các biện pháp bảo mật thông thường khác trên các lớp nền tảng cần thiết để bảo vệ môi trường multicloud. Ngoài chính sách phân loại dữ liệu, Gallego đề xuất sử dụng các giải pháp quản lý mã hóa, nhận dạng và quản lý truy cập (IAM) như tính năng xác thực hai yếu tố.

Các doanh nghiệp cần chuẩn hóa các chính sách và cấu ​​trúc để đảm bảo áp dụng nhất quán và tự động hóa càng nhiều càng tốt, nhằm giúp hạn chế sai lệch so với các tiêu chuẩn bảo mật đó.

“Mức độ nỗ lực mà một công ty đặt ra sẽ phụ thuộc vào rủi ro và độ nhạy cảm của dữ liệu. Vì vậy, nếu bạn đang sử dụng đám mây để lưu trữ hoặc xử lý dữ liệu không bí mật, thì bạn không cần phương pháp bảo mật như đối với một đám mây đang nắm giữ các thông tin quan trọng”, ông Gadia nói.

Ông cũng lưu ý rằng việc chuẩn hóa và tự động hóa rất hiệu quả. Các biện pháp này không chỉ làm giảm tổng chi phí, mà còn cho phép các nhà lãnh đạo an ninh chỉ đạo nhiều nguồn lực hơn cho các nhiệm vụ có giá trị cao hơn.

Theo các chuyên gia, các yếu tố nền tảng như vậy nên là một phần của một chiến lược lớn và mang tính gắn kết hơn. Lưu ý rằng các doanh nghiệp sẽ thực hiện tốt mọi việc, khi họ áp dụng một khuôn khổ để quản lý các công việc liên quan đến bảo mật. Các khuôn khổ chung bao gồm NIST của Viện tiêu chuẩn và công nghệ quốc gia; mục tiêu kiểm soát của ISACA về công nghệ thông tin (COBIT); ISO 27000 Series; và Ma trận điều khiển đám mây của Cloud Security Alliance (CCM).

Đặt ra kỳ vọng cho nhà cung cấp

Kỳ vọng cho nhà cung cấp

Theo ông Dimitriadis, framework được lựa chọn không chỉ định hướng cho doanh nghiệp mà còn cả các nhà cung cấp nữa.

“Những gì chúng ta cần làm là kết hợp những framework đó với các nhà cung cấp dịch vụ đám mây. Sau đó, bạn sẽ có thể xây dựng các biện pháp kiểm soát xung quanh dữ liệu và dịch vụ mà bạn đang cố gắng bảo vệ”, ông giải thích thêm.

Các chuyên gia bảo mật nói rằng các cuộc đàm phán với các nhà cung cấp dịch vụ đám mây và các thỏa thuận tiếp theo về dịch vụ sẽ giải quyết vấn đề việc cách ly dữ liệu và cách dữ liệu được lưu trữ. Họ sẽ hợp tác và phối hợp với các nhà cung cấp đám mây khác, sau đó cung cấp dịch vụ cho doanh nghiệp.

Cần phải nắm rõ về những dịch vụ bạn đang nhận được từ mỗi nhà cung cấp và liệu họ có khả năng quản lý và điều hành dịch vụ đó hay không.

"Hãy cụ thể về những gì bạn mong đợi và làm thế nào để đạt được điều đó", ông Spivey cho biết thêm. “Phải có sự hiểu biết rõ ràng về những dịch vụ mà bạn nhận được từ mỗi nhà cung cấp và liệu họ có khả năng quản lý và điều hành nó hay không”.

Nhưng cũng theo ông Gallego, đừng phó mặc vấn đề bảo mật cho các nhà cung cấp dịch vụ điện toán đám mây.

Các nhà cung cấp dịch vụ đám mây thường bán dịch vụ của họ bằng cách nhấn mạnh những việc họ có thể làm thay mặt cho các khách hàng doanh nghiệp và thường bao gồm cả các dịch vụ bảo mật. Nhưng điều đó là không đủ. Nên nhớ rằng các công ty này đang trong kinh doanh dịch vụ điện toán đám mây, chứ không chuyên về lĩnh vực bảo mật.

Do đó, ông cho rằng các nhà lãnh đạo an ninh doanh nghiệp phải xây dựng kế hoạch an ninh của họ ở mức độ chi tiết, như việc ai có quyền truy cập vào những gì, khi nào và như thế nào. Sau đó đưa nó cho từng nhà cung cấp đám mây để hỗ trợ thực thi các kế hoạch đó.

Ông cũng nói thêm: “Các nhà cung cấp dịch vụ đám mây cần phải chiếm được lòng tin của khách hàng”.

Sử dụng các công nghệ mới hiện hành

Các chính sách, việc quản trị và thậm chí cả các biện pháp bảo mật thông thường như xác thực hai yếu tố là những điều cần thiết, nhưng không đủ để xử lý những vấn đề phức tạp phát sinh khi phân tán khối lượng công việc trên nhiều đám mây.

Các doanh nghiệp phải áp dụng các công nghệ mới nổi, được thiết kế nhằm cho phép các nhóm bảo mật doanh nghiệp quản lý và thực thi tốt hơn các chiến lược bảo mật multicloud của mình.

Ông Gallego và những nhà nghiên cứu khác chỉ rõ các giải pháp như Cloud Access Security Brokers - CASB, một công cụ hoặc dịch vụ phần mềm nằm giữa cơ sở hạ tầng tại chỗ của tổ chức và cơ sở hạ tầng của nhà cung cấp đám mây để củng cố và thực thi các biện pháp bảo mật như xác thực, ánh xạ thông tin xác thực, lưu thông tin thiết bị, phát hiện mã hóa và phần mềm độc hại.

Công cụ này cũng liệt kê các công nghệ thông minh nhân tạo và sau đó phân tích lưu lượng mạng để phát hiện chính xác các hiện tượng bất thường cần con người chú ý, do đó hạn chế số lượng sự cố phải xác minh, thay vào đó chuyển hướng các tài nguyên đó đến các sự cố có khả năng gây ra hậu quả nghiêm trọng.

Và các chuyên gia viện dẫn việc tiếp tục sử dụng tự động hóa như một công nghệ quan trọng để tối ưu hóa bảo mật trong một môi trường multicloud. Như ông Spivey cũng lưu ý: “Những tổ chức thành công là những tổ chức tự động hóa nhiều phần và tập trung vào quản trị và quản lý.”

Ngoài ra, Spivey và những nhà nghiên cứu khác cũng cho rằng mặc dù các công nghệ chính xác được sử dụng để bảo mật dữ liệu thông qua nhiều dịch vụ đám mây, chẳng hạn như CASB, có thể là duy nhất đối với môi trường multicloud. Các chuyên gia nhấn mạnh rằng nguyên tắc bảo mật tổng thể tuân mục tiêu tiếp cận lâu dài về cả con người và công nghệ nhằm xây dựng chiến lược tốt nhất.

“Chúng tôi đang nói về các công nghệ và các kịch bản khác nhau, tập trung nhiều hơn vào dữ liệu, nhưng nó cũng giống như các khái niệm mà bạn phải thực hiện”, ông Perez-Etchegoyen, cũng là CTO của Onapsis cho biết. "Cách tiếp cận kỹ thuật sẽ khác nhau đối với mỗi môi trường multicloud, nhưng chiến lược tổng thể sẽ giống nhau".

Xem thêm:

Thứ Sáu, 07/12/2018 10:34
31 👨 46