CHECK-LIST cần chú ý khi chọn lựa nhà cung cấp dịch vụ Cloud

Các bài trước đã đề cập đến các ưu thế của công nghệ Cloud nhưng rõ ràng những ưu thế đó là chưa đủ nếu như không thể đưa ra những khuyến nghị rõ ràng hơn cho doanh nghiệp. Dưới đây, tôi cung cấp một danh sách những điều cần kiểm tra ki làm việc với các dịch vụ cung cấp Cloud, phần này chủ yếu dùng trong việc kiểm tra đề bảo mật và tuân thủ.

Các mục trong danh sách check-list được chia thành các mục như sau:

  • Những thông tin chung cần tìm hiểu
  • Bảo vệ dữ liệu
  • Định danh và xác thực
  • Quản trị các dịch vụ trên Cloud

Những thông tin chung cần tìm hiểu

Mỗi nhà cung cấp dịch vụ Cloud đều cung cấp những thông tin về các gói dịch vụ, giá của mình, tuy nhiên phần chính không phải là cái giá mà cần xem qua các điều khoản quy định của nhà cung cấp dịch vụ (Terms & condition)

Các thông tin chung này được sử dụng trong việc đánh giá mức độ ảnh hưởng và chọn lựa các dịch vụ đặc biệt đối với các điều khoản mang tính tuân thủ:

Mỗi nhà cung cấp dịch vụ Cloud đều cung cấp những thông tin về các gói dịch vụ, giá của mình, tuy nhiên phần chính không phải là cái giá mà cần xem qua các điều khoản quy định của nhà cung cấp dịch vụ (Terms & condition)

Các thông tin chung này được sử dụng trong việc đánh giá mức độ ảnh hưởng và chọn lựa các dịch vụ đặc biệt đối với các điều khoản mang tính tuân thủ:

  1. Xem kỹ điều khoản sử dụng thường có tên là Acceptance to use policy, đặc biệt chú ý đến vấn đề bản quyền các thứ
  2. Phần chú ý tiếp theo là việc nhà cung cấp dịch vụ sẽ được làm gì với dữ liệu của mình J (phân tích, chia sẻ, tiếp cận…) – hầu hết nhà cung cấp dịch vụ sẽ sử dụng một phần thông tin của doanh nghiệp cho việc phân tích gì đó của họ; do đó xem kỹ phần dữ liệu nào họ được thu thập, việc chia sẻ dữ liệu với bên thứ 3 (nếu có) như thế nào.
  3. Cách thức bảo vệ dữ liệu được nhà cung cấp sử dụng là gì, có phù hợp/đủ so với yêu cầu hay không. Thông thường mỗi nhà cung cấp sẽ vẽ ra cho bạn mô hình và cách thức bảo mật họ áp dụng.
  4. Cách thức liên hệ với nhà cung cấp khi có sự cố – đặc biệt là những sự cố liên quan đến dữ liệu (bị tấn công, mất tài khoản quản trị…) đặc biệt hơn nữa là hãy chú ý đến việc có sẵn các công cụ hỗ trợ cho việc chuyển dữ liệu đang dùng sang Cloud khác hay không nữa nhé; rồi sau đó xem qua cái thủ tục hủy dữ liệu trên Cloud mà bạn đang sử dụng, lưu trữ theo tiêu chuẩn nào đó.
  5. Những điều kiện đặc biệt chú ý việc lưu trữ dữ liệu (Storage) theo khu vực, vị trí quốc gia (một số dịch vụ sẽ có yêu cầu đặc thù như thế).
  6. Các điều khoản tuân thủ khác như ISO 27001, GPDR (General Protection Data Regular) – quy định mới của EU…

Bảo vệ dữ liệu

Việc bảo vệ dữ liệu được quan tâm bao gồm các lĩnh vực: bảo vệ cho việc truy xuất dữ liệu đến dịch vụ Cloud, bên trong nội bộ dữ liệu Cloud và cả những thông tin có giá trị đang đặt trên Cloud.

  1. Kiểm tra và đối chiếu với quy định ở mục 1 và mục 2 phần A để đảm bảo dữ quyền sử dụng dữ liệu của nhà cung cấp không ảnh hưởng đến dữ liệu quan trọng của doanh nghiệp.
  2. Các biện pháp bảo vệ dữ liệu cho việc truy cập đến hệ thống Cloud cho người dùng (nhân viên, người quản trị, đối tác…) trong đó các biện pháp tối thiểu phải có chẳng hạn như sử dụng dịch vụ SSL/TLS cho các dịch vụ Web, khả năng ngăn chặn tấn công (bên trong lẫn bên ngoài), dịch vụ phát hiện các mã độc (hạn chế mấy trường hợp ransomware trên Cloud, ví dụ thế J ) …
  3. Dịch vụ sao lưu dữ liệu an toàn bao gồm việc mã hóa dữ liệu sao lưu theo tiêu chuẩn cụ thể, có thể tiếp cận với dữ liệu sao lưu và kiểm tra cũng như việc lưu trữ an toàn. Chỗ này nhớ kiểm tra chi tiết cho dung lượng lưu trữ (Storage) tối đa, lịch trình backup định kỳ và thay thế (Backup Schedule & Retention Policy). Note quan trọng: nếu trong trường hợp hết khu vực lưu trữ thì dịch vụ Cloud sẽ xóa file backup nào trước đó? Cẩn thận chỗ này sẽ không thừa đâu.
  4. Hạn chế việc chia sẻ dữ liệu giữa Cloud (nội bộ doanh nghiệp) và các dịch vụ Cloud bên ngoài khác (cá nhân, doanh nghiệp khác).
  5. Phương thức và quy định cho phép các nhà cung cấp dịch vụ khác tương với dịch vụ Cloud đang sử dụng. Cái này sẽ cần quan tâm khi mà muốn thêm các dịch vụ bên thứ 3 độc lập. Chẳng hạn như Bitglass chẳng hạn (cũng có report báo rằng Bitglass vi phạm privacy)

Notes: Truy cập từ bên ngoài – giới hạn các phương thức truy cập như HTTPS, Remote (SSH, Remote Desktop, SCP), các cổng giao public cho các dịch vụ đặc thù.

Truy cập từ bên trong – các truy cập hạn chế từ bên trong dịch vụ Cloud như Backup, remote trong nội bộ, truy cập từ các phân vùng khác (không phải của doanh nghiệp), tốt nhất là xem xét firewall trên endpoint để chặn các dịch vụ không cần thiết. ờ, lâu lâu kiểm tra lại cái Logs của thiết bị IPS của Cloud xem có ai đó tấn công trong nội bộ Cloud không hen J

Truy cập trong doanh nghiệp: các phương thức truy cập được phép và phân quyền liên quan (thư mục, web apps, functions …)

Định danh và xác thực

Định danh và xác thực là một phần tất yếu của việc bảo mật trên Cloud (xem thêm phần AAA trong security). Phần này cũng không quá nhiều chỉ đơn thuần là các phương thức xác định người dùng và sử dụng các dịch vụ. Các chính sách mật khẩu và xác thực liên quan

  1. Cách thức, phương tiện và khu vực được phép truy cập tương ứng – các chính sách xác thực tương ứng với mức độ bảo mật chẳng hạn như: xác thực 2 bước cho người quản trị, các khu vực truy cập dữ liệu quan trọng, thiết bị truy cập tương ứng …
  2. Chính sách mật khẩu chung cho mật khẩu mạnh, tái sử dụng mật khẩu, đổi mật khẩu
  3. Kiểm soát quyền truy cập vào dịch vụ, dữ liệu, ứng dụng của người dùng (xem lại chính sách phân quyền, quyền hạn cài đặt thêm các ứng dụng có sẵn trên Cloud hoặc tích hợp với hãng thứ 3) …
  4. Chú ý quan trọng: không phải dịch vụ Cloud nào cũng cho phép tích hợp Single-Sign-On, có thể chỉ một số chức năng chính, một số ứng dụng cho phép người dùng sử dụng một định danh khác (ví dụ như Sway hay Yammer vẫn cho phép sử dụng account mail cá nhân để sử dụng) do đó, cần xác định các dạng account đặc thù như thế để gỡ bỏ quyền truy cập khi cần thiết (“chuyển sang một tòa nhà” khác tiện nghi hơn hay chuyển công tác). Uhm, nói vậy để chú ý đến mấy cái xác thực được cung cấp từ hãng thứ 3 J.

Quản trị các dịch vụ trên Cloud

Quản trị các dịch vụ trên Cloud thực sự là một vấn đề không hề dễ dàng vì nó ảnh hưởng trực tiếp đến Billing nhận được, việc này là công việc hằng ngày (day-to-day) để giám sát tình trạng hoạt động cũng như dịch vụ:

  1. Cung cấp giao diện quản trị tập trung (Dash-board, Admin Page, Request của người dùng, Report…)
  2. Ghi nhận và cảnh báo các vấn đề liên quan (Health check, Security, Audit…)
  3. Số lượng các ứng dụng đang dùng và không dùng (trong một thời gian)
  4. Hiện trạng và năng lực còn lại của gói dịch vụ Cloud đang sử dụng (số lượng người dùng cần disable, server đã không dùng, hết hạn, thêm mới …)
  5. Phương thức cho phép truy cập trực tiếp đến tài nguyên để phục vụ các công tác đặc thù (forensic, truy vấn các Logs, dò quét lỗ hổng, pentest…)
  6. Nhận và yêu cầu các Report chi tiết về việc sử dụng các dịch vụ, các yêu cầu rà soát hoặc yêu cầu điều chỉnh do nhận diện sai … (làm cái này có khi hết cả ngày).
  7. Ghi chú: luôn dự phòng phương án cho một ngày đen tối khi mà không thể truy cập ứng dụng, cá mập đói bụng hay những thứ liên quan … và có phương án chuyển dời phù hợp.

Chắc còn rất nhiều việc cần lưu ý cho danh mục check-list này, nếu được tôi cũng rất hy vọng nhận được phản hồi và bổ sung thêm cho check-list này. Uhm, cái này chỉ là phần tổng thể, đi vào chi tiết sẽ có rất nhiều J. Phần check-list này sẽ là phần tiền đề cho việc thực hiện, yêu cầu các Report và công tác tuân thủ về sau.

Các phần tham khảo thêm: NIST-800-146: Cloud Computing Synopsis and Recommendations; CSA: Cloud-Control-Matrix

Luong Thanh

Anh Lương Trung Thành là chuyên gia bảo mật với hơn 15 năm kinh nghiệm trong lĩnh vực CNTT. Anh đã từng tư vấn các giải pháp CNTT và bảo mật cho các công ty và tập đoàn lớn tại Việt Nam. Hiện tại anh Thành là một trong số rất ít những người tại Việt Nam sở hữu các chứng chỉ bảo mật cao cấp được thế giới công nhận như CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor). Đến với AzureVN.NET, anh Thành mong muốn được chia sẻ về các rủi ro về bảo mật khi làm việc trên Microsoft Azure cũng như kiện toàn bảo mật khi làm việc trên cloud.

thanh has 4 posts and counting.See all posts by thanh

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *