Về việc an toàn và bảo mật trên Cloud

Một trong những câu hỏi được nhắc đến nhiều nhất và cũng thể hiện tính quan ngại hết sức sâu sắc đó chính là việc điện toán đám mây có an toàn không? Hoặc câu hỏi điện toán đám mây ít bảo mật hơn so kiểu truyền thống hay không?

Với quan điểm cá nhân của mình tôi sẽ cố gắng trả lời 2 câu hỏi này theo một cách dễ hình dung nhất và theo tôi thì 2 câu hỏi này thực sự rất ít liên quan đến nhau.

Đầu tiên, điện toán đám mây (Cloud) được ra đời để cung cấp dịch vụ (ở dạng chia sẻ) cũng như chia sẻ cả trách nhiệm giữa bên cung cấp điện toán đám mây và người sử dụng (doanh nghiệp, người dùng cuối…). Như vậy câu hỏi điện toán đám mây có an toàn không? Câu trả lời chính là tùy thuộc vào bạn sử dụng, lưu trữ, và làm gì trên điện toán đám mây đó. Nếu bạn không có gì để mất thì có thể điện toán đám mây thực sự án toàn, còn nếu bạn cảm thấy lo lắng vì những thông tin bí mật mình lưu, những gì thuộc về riêng tư thì … uhm xem lại lần nữa nhé.

Ví dụ vui về việc này: ở Việt Nam, nếu bạn sở hữu một chiếc xe  mô-tô (như Harley chẳng hạn – thực sự tôi không rành về xe lắm nên ví dụ thế), xe có giá trị rất cao và nếu bạn để xe đâu đó ngoài đường thì bạn vẫn có thể yên tâm đơn giản vì, ở VN người biết chạy xe mô-tô Harley không nhiều, chưa kể là xe của bạn được giới chơi xe biết rõ nên cho dù có lấy chắc người kia cũng chạy không xa J. Đó là có thể xem là việc bạn (cảm thấy) an toàn khi để xe ngoài đường. Tuy  nhiên, cũng thế, nếu bạn để chiếc xe đạp trên đường có thể nó biến mất ngay tức thì nếu bạn không để ý. Ghi chú nhỏ: tôi chỉ có thể ví dụ nguyên cái xe mô-tô không bị mất, chứ không đảm bảo từng bộ phận bị mất nhá.

Ví dụ trên của tôi dùng để chỉ ra vấn đề an toàn (nó thuộc về cảm giác) và vấn đề bảo mật khi sử dụng, chỉ khi bạn cảm thấy không an toàn và muốn nó an toàn hơn bạn sẽ dùng đến việc bảo mật (các biện pháp bảo mật). Hy vọng các bạn đọc hiểu đến đây, chuyển tải cái vấn đề từ kỹ thuật sang vấn đề non-kỹ thuật thật chẳng dễ dàng gì.

Rồi quay lại vấn đề Cloud, nhà cung cấp dịch vụ dĩ nhiên họ cũng muốn mình an toàn, chỉ khi có an toàn họ mới có thể có nhiều khách hàng (nghĩ đơn giản xíu) và do đó để đảm bảo an toàn họ – nhà cung cấp – sẽ đưa ra cho bạn các tiêu chuẩn, các quy định buộc phải tuân thủ áp dụng cho hầu hết người sử dụng. Những cái đó gọi là Compliance (tuân thủ); nếu bạn đáp ứng các tiêu chuẩn này thì tạm xem là an toàn với những người xung quanh (người thuê dịch vụ giống bạn và nhà cung cấp dịch vụ) và nhà cung cấp sẽ hoan nghênh bạn tham gia dịch vụ của họ; còn ngược lại, ờ thì … một cách xử lý đó là nhà cung cấp dịch vụ sẽ buộc bạn dừng dịch vụ/hoặc yêu cầu điều chỉnh cần thiết để tránh các ảnh hưởng với xung quanh, ngoài ra còn một cách nữa đó là bạn trả giá cao hơn thông thường để có đặc quyền cao hơn (cái này không phải 100% đâu nhé, tùy chỗ thôi) và dĩ nhiên bạn trả cao hơn cũng có lý do chính đáng đó là họ sẽ phải triển khai các biện pháp bảo mật cho riêng bạn để có thể an toàn (ờ tạm gọi là kiểm soát đặc biệt á, vì là riêng biệt nên giá phải cao hơn hén).

Về vấn đề bảo mật cũng tương tự như thế thôi, nhà cung cấp họ chỉ cung cấp cho bạn một môi trường vừa đủ an toàn, phần còn lại là công việc của bạn đấy, bạn có thể thiết kế bảo mật ở mức nào là tùy bạn, tùy thuộc vào nhu cầu bạn mong muốn. Đó là lý do vì sao ở phần trước, phần check-list tôi có nhắc bạn xem lại dịch vụ Cloud có thể cung cấp gì cho bạn, mở tới đâu và bạn yêu cầu gì thêm ở đó.

Ví dụ cho phần này thì cũng đơn giản, nhà cung cấp dịch vụ Cloud cung cấp nền tảng vừa đủ an toàn chung chung giống như khu công nghiệp (ví dụ thế đi), còn các bạn mỗi người đều có thể xây riêng, thiết kế bảo mật cho khu vực của mình, bạn muốn bảo mật tận răng như NASA hay phòng nghiên cứu của Apple hoặc đơn giản như yêu cầu của khu công nghiệp thì tùy bạn. Hãy nhớ, không phải bạn để nhà lá trong khu công nghiệp là được đâu nhá, nếu có nhà lá chắc bạn phải trả tiền cho dịch vụ phòng cháy chữa cháy, dịch vụ bảo vệ, giám sát dành riêng cho nhà bạn á.

Như vậy ở câu thứ 2 tôi có thể trả lời với bạn rằng, các nền tảng trên điện toán đám mây sẽ có một số thứ an toàn hơn và cũng có một số thứ chưa đáp ứng được với nhu cầu của bạn. Nhưng tôi chắc một điều rằng, nếu so sánh với đa phần các doanh nghiệp ở Việt Nam thì các dịch vụ Cloud cung cấp cho bạn các phương tiện bảo mật tương đối đầy đủ rồi đó (như WAF, Load-balancing, các dịch vụ chuẩn …) – còn việc tận dụng tối đa hay không là do bạn (ờ bạn có quyền thuê thêm thêm mà).

Tóm tắt một chút thì nó sẽ như thế này:

cloud

Theo cách nhìn nhận của tôi chỉ đơn giản như thế, nhưng trên thực tế do việc tuân thủ ở các doanh nghiệp cũng khác phức tạp, cũng có những yêu cầu riêng và những quy định thực hiện bảo mật nên sẽ có một số tồn đọng trong việc kết nối dữ liệu, chương trình cũ (legacy system/app) với những ứng dụng mới trên Cloud hoặc là yêu cầu nghiêm ngặt trong việc truy cập dữ liệu của công ty. Đó mới là thách thức thực sự cho việc bảo mật cũng như cảm giác an toàn cho người sử dụng (ờ, chủ doanh nghiệp á). Cần xem lại nhiều thứ về kiến trúc của ứng dụng, phương thức truy cập, công tác bảo vệ dữ liệu … bạn xem thử trong file CCM (Cloud Control Matrix) xem có thể hỗ trợ bạn gì không nhé J đâu đó 133 kiểm soát chia thành 16 mục thì phải. Link: https://downloads.cloudsecurityalliance.org/assets/research/cloud-controls-matrix/CSA_CCM_v.3.0.1-06-06-2016.xlsx


Các bài viết khác của cùng tác giả:

Luong Thanh

Anh Lương Trung Thành là chuyên gia bảo mật với hơn 15 năm kinh nghiệm trong lĩnh vực CNTT. Anh đã từng tư vấn các giải pháp CNTT và bảo mật cho các công ty và tập đoàn lớn tại Việt Nam. Hiện tại anh Thành là một trong số rất ít những người tại Việt Nam sở hữu các chứng chỉ bảo mật cao cấp được thế giới công nhận như CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor). Đến với AzureVN.NET, anh Thành mong muốn được chia sẻ về các rủi ro về bảo mật khi làm việc trên Microsoft Azure cũng như kiện toàn bảo mật khi làm việc trên cloud.

thanh has 4 posts and counting.See all posts by thanh

Leave a Reply

Your email address will not be published. Required fields are marked *