Cân nhắc về bảo mật khi lựa chọn Microsoft Azure

Công nghệ đám mây (Cloud) ngày càng trở nên phổ biến từ những dịch vụ miễn phí cho người dùng cá nhân cho đến các dịch vụ có thu phí cho doanh nghiệp lẫn cá nhân; tuy nhiên vấn đề mà nhiều người ngần ngại và lo lắng nhiều nhất vẫn là việc bảo mật và tuân thủ trên nền tảng đám mây tiêu biểu vẫn có thể đến việc rò rỉ thông tin liên quan đến người dùng của Linkedin, Myspace …

Khi một doanh nghiệp chọn lựa công nghệ đám mây (Cloud) chắc hẳn vấn đề bảo mật cũng sẽ được cân nhắc và cũng là một trong các tiêu chí quan trọng nhưng có lẽ không phải là yếu tố then chốt. Họ (doanh nghiệp) tìm kiếm cơ hội đầu tư mới với một chi phí hợp lý hơn và cũng có thể giúp họ tối ưu được kinh phí cho việc vận hành. Không hẳn là tất cả nhưng có lẽ đa phần đều mong muốn tối ưu được kinh phí vận hành để tạo lợi thế cạnh tranh.

cloud_move_reasonLý do chuyển dịch lên Cloud – nguồn edtechmagazine.com

Việc cân nhắc và chọn lựa Cloud đối với doanh nghiệp lớn thực sự có sự khác biệt rất lớn đối với các doanh nghiệp nhỏ nhất là với các công ty Start-up; bởi vì các ứng dụng (cũ) vẫn đang vận hành và có thể nói là tốt. Một sự thay đổi ở doanh nghiệp lớn cần rất nhiều công sức và sự chuẩn bị, do đó một số việc chuẩn bị cần nhắc đến đó là:

  1. Giá trị của việc chọn lựa Cloud: đây là một trong những yếu tố quan trọng nhất để chọn lựa. Những kỳ vọng đối với những giá trị đem lại cho doanh nghiệp từ Cloud – có thể nhắm vào sự đổi mới (Innovation), cải thiện dịch vụ qua (Customer services) hoặc các quy trình chuẩn trong nội bộ (Internal Process).
  2. Sau khi xác định được những kỳ vọng ở bước trên sẽ là động lực cho việc lên kế hoạch chuyển dịch từng phần hoạt động doanh nghiệp lên trên dịch vụ Cloud. Ở đây một có thể xác định được việc đưa lên Cloud sẽ phải đầu tư những gì cho cả công nghệ, con người và thời gian. Phần này sẽ có những phần tính toán rủi ro cho việc chuyển đổi và vấn đề an ninh cũng được đề cập đến nhưng hãy chú ý rằng Security chỉ là một phần trong đó thôi; vấn đề then chốt là giá trị đem lại cho doanh nghiệp.
  3. Chọn lựa nhà cung cấp và thỏa thuận về chất lượng dịch vụ sẽ là công việc của rất nhiều bên, từ các yêu cầu của Business cho đến vấn đề về bảo mật. Các tiêu chí chọn lựa sẽ được đề cập nhiều ở phần này, chẳng hạn: nhà cung cấp đáp ứng tiêu chuẩn ISO 27001, PCI-DSS hoặc là các điều kiện từ các gói dịch vụ (mua thêm gói hỗ trợ dịch vụ) hoặc là xem xét khả năng tương tác của hãng thứ khác vào nền tảng dịch vụ đang sử dụng (thêm Firewall hãng thứ 3, mua thêm tính năng mã hóa dữ liệu…). Chú ý: xem xét vấn đề quan trọng nhất là quy định của pháp luật cho việc lưu trữ dữ liệu à một số khu vực không được áp dụng hoặc là phải điều chỉnh cho phù hợp. Các điều kiện trong thỏa thuận chất lượng dịch vụ (SLA) nên xem kỹ và có phương cách giám sát, đặc biệt hãy hỏi thật kỹ quy trình giải quyết những sự cố, thắc mắc trong hoạt động …
  4. Thanh toán: cách thức thanh toán cho việc sử dụng các tài nguyên đặc biệt trong những tình huống phải bổ úng thêm tài nguyên trong một khoảng thời gian ngắn. Việc này đối với IT sẽ rất đơn giản nhưng với kế toán sẽ là cực hình nếu không có sự chuẩn bị trước. Ví dụ: các dịch vụ thanh toán trên Cloud nên chốt vào 1 ngày duy nhất của tháng/quý/năm và những thay đổi sẽ được tính vào tháng/quý/năm tiếp theo
  5. Cập nhật các thông tin về dịch vụ Cloud và các sản phẩm, dịch vụ tương ứng đặc biệt là các Road-map, hãy chắc chắn rằng các giá trị ở bước 1 và bước 2 vẫn được duy trì và tốt nhất là tận dụng các dịch vụ mới để nâng cao giá trị ở bước 1 và bước 2.
  6. Dự phòng trong tình huống xấu nhất nhất là khi dịch vụ Internet gặp vấn đề. Hãy luôn đảm bảo phương án dự phòng được chuẩn bị kỹ lưỡng 😉 (tôi ghét phải lôi con cá mập ra nguyền rủa).

Về mặt Security thông thường các dịch vụ Cloud có uy tín đều cung cấp cho doanh nghiệp (người sử dụng) các thủ tục, phương thức cần thiết để có thể tự kiểm tra, đánh giá mức độ an ninh được thiết lập cho doanh nghiệp. Một số dịch vụ có thể không cần thông báo cho nhà cung cấp dịch vụ, một số phải thông báo trước như dịch vụ PenetrationTesting. Các Report về compliance theo các tiêu chuẩn quốc tế như ISO 27001, PCI-DSS, HIPPA … thường được các hãng cung cấp định kỳ.

Ghi chú quan trọng: cân nhắc thật kỹ về việc tuân thủ các quy định bảo mật đặc biệt là Privacy và Legal, nếu doanh nghiệp (thường ở VN) sử dụng phần mềm không bản quyền chuyển lên Cloud sẽ gặp khá nhiều vấn đề về chi phí. Hãy nhớ một điều rằng SLA – cam kết về dịch vụ – là thỏa thuận 2 chiều.

Các hướng dẫn bảo mật, các vấn đề chung về Security, Audit sẽ được đề cập trong các bài tiếp theo, để tiện theo dõi có thể tham khảo hướng dẫn bảo mật của CSA (Cloud Security Alliance https://cloudsecurityalliance.org/ ), tài liệu CCSP (Certified Cloud Security Professional của ISC2)

Luong Thanh

Anh Lương Trung Thành là chuyên gia bảo mật với hơn 15 năm kinh nghiệm trong lĩnh vực CNTT. Anh đã từng tư vấn các giải pháp CNTT và bảo mật cho các công ty và tập đoàn lớn tại Việt Nam. Hiện tại anh Thành là một trong số rất ít những người tại Việt Nam sở hữu các chứng chỉ bảo mật cao cấp được thế giới công nhận như CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor). Đến với AzureVN.NET, anh Thành mong muốn được chia sẻ về các rủi ro về bảo mật khi làm việc trên Microsoft Azure cũng như kiện toàn bảo mật khi làm việc trên cloud.

thanh has 4 posts and counting.See all posts by thanh

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *