Hiểm họa tiềm ẩn
Tại Việt Nam, nhiều công ty vẫn còn xem nhẹ tầm quan trọng của an ninh trong hệ thống đám mây. Không ít lãnh đạo doanh nghiệp vẫn quan niệm, sử dụng dịch vụ đám mây là giải pháp tối ưu nhất để đảm bảo an ninh dữ liệu. Điều này không hoàn toàn chính xác.
Các sự cố bảo mật gần đây của một số doanh nghiệp, tập đoàn lớn trên thế giới có điểm chung là đều diễn ra trên một hệ thống đám mây công cộng (public cloud), nơi mà các cấu hình bảo mật thường phức tạp, thiếu sự đồng bộ hơn so với các chuẩn mực của hệ thống cục bộ (on-premise).
Ông Robert Trọng Trần. |
Nếu có một thiết kế được tinh chỉnh tốt và triển khai đầy đủ hệ thống cơ sở hạ tầng đám mây, quy trình kinh doanh và chính sách bảo mật, những sự cố này có thể được giảm thiểu. Ngược lại, doanh nghiệp có thể chịu tổn thất lớn nếu hệ thống đám mây bị xây dựng từ một mô hình chia sẻ trách nhiệm không rõ ràng, thiếu nhất quán, có thể tạo ra những lỗ hổng bảo mật dễ bị khai thác.
Theo Báo cáo “Giải mã chi phí an ninh mạng” của đội kinh doanh Tập đoàn Lloyd, một gián đoạn nghiêm trọng của dịch vụ đám mây gây ra tổn thất lớn cho kinh tế toàn cầu, trung bình lên đến 121,4 tỷ USD/vụ.
Tuy nhiên, với kiến trúc, quản trị, theo dõi và rà soát an ninh mạng phù hợp, các tổ chức có thể ngăn chặn những rò rỉ dữ liệu trên đám mây tốt hơn, tạo ra lợi thế cạnh tranh riêng trên thị trường và nâng cao sự tin tưởng từ các đối tác.
Sáu “cạm bẫy” thường gặp
Theo các nghiên cứu của PwC, sáu “cạm bẫy” doanh nghiệp thường gặp phải khi chuyển dịch từ hệ thống cục bộ sang hệ thống đám mây bao gồm:
Không phân quyền dữ liệu và đối tượng truy cập. Do hệ thống đám mây thường được xây dựng bởi nhiều nhà cung cấp, các công ty rất khó kiểm soát dữ liệu trong hệ thống cũng như đối tượng đang truy cập vào hệ thống.
Hiện có nhiều giải pháp kỹ thuật giúp doanh nghiệp tăng tính minh bạch trong hoạt động tại hệ thống đám mây, ví dụ Chương trình Bảo mật truy cập đám mây (Cloud Access Security Broker - CASB). Doanh nghiệp cũng cần cân nhắc để tìm hiểu rõ hơn môi trường đám mây bằng cách sử dụng công cụ khám phá đám mây; hoặc ứng dụng công cụ giám sát liên tục và tự động hóa để tìm hiểu phương thức cung cấp và phân bổ tài nguyên trên đám mây.
Thiếu chính sách và quy chuẩn cụ thể để cấu hình cơ sở hạ tầng đám mây có thể mở đường cho các hacker khai thác lỗ hổng để xâm nhập trái phép. Ngoài việc xác định những chuẩn mực để cấu hình cho các dịch vụ đám mây hiện tại và tương lai, các doanh nghiệp cần theo dõi những thông lệ hàng đầu cũng như các xu hướng mới nhất và cập nhật cấu hình mẫu nếu cần thiết.
Chậm trễ trong áp dụng quy trình, chính sách và chuẩn mực để hỗ trợ cho những yêu cầu mới trong bảo mật đám mây có thể gây tổn thất lớn cho doanh nghiệp, ví dụ, quy định phải thông báo vi phạm trong vòng 72 giờ theo Quy chế Bảo vệ dữ liệu của Liên minh châu Âu (GDFR). Một chiến lược bảo mật toàn diện, áp dụng xuyên suốt trong tổ chức, phát triển theo tốc độ phát triển kinh doanh của công ty là điều cần thực hiện.
Mô hình chia sẻ trách nhiệm không rõ ràng giữa doanh nghiệp và đối tác khi hoạt động chung trong một hệ sinh thái đám mây có thể tạo ra lỗ hổng trong quy trình kinh doanh, dẫn đến những sự cố bảo mật trên đám mây. Lời khuyên từ PwC là các công ty nên phát triển một mô hình chia sẻ trách nhiệm cho các nhà cung cấp và xác định rõ yêu cầu bảo mật là nỗ lực hợp tác từ cả 2 phía.
Một môi trường lai giữa đám mây và hệ thống cục bộ khó hoàn hảo do khả năng bảo mật của đám mây thường kém hơn so với hệ thống cục bộ truyền thống. Do đó, các công ty nên áp dụng khả năng bảo mật và đồng bộ hóa các hoạt động của hệ thống cục bộ sang hệ thống đám mây. Ngoài ra, điều này giúp đảm bảo các sự cố bảo mật, nếu có, cũng không lây lan từ môi trường này sang môi trường khác.
Các sự cố trên đám mây thường bắt nguồn từ sai sót của con người. Các công ty nên áp dụng máy móc để tự động hóa trong triển khai, vận hành hệ thống đám mây cũng như bộ phận phát triển và vận hành (DevOps), đảm nhận những công việc bảo mật chính, như: vá lỗi, quản lý lỗ hổng, tích hợp và triển khai liên tục, tạo dựng bộ phận hỗ trợ bảo mật…
Giải pháp chiến lược
Các doanh nghiệp cần có một kiến trúc đám mây được thiết kế bằng tư duy của người làm bảo mật; đồng thời, quy trình nhanh và tập trung để bảo vệ nguy cơ mất dữ liệu cũng rất cần thiết.
Bên cạnh đó, các doanh nghiệp cần liên tục đánh giá kiến trúc đám mây ở thời điểm hiện tại, hỗ trợ các chương trình và giao thức an ninh mạng và “chẩn đoán” những vấn đề có khả năng xảy ra. Ngoài ra, cần chủ động thiết lập, thực hiện các nguyên tắc và tiêu chuẩn kiến trúc tiên tiến, chọn các quy trình hoạt động phù hợp.
Quản trị dữ liệu và truy cập là yếu tố cần thiết để phát triển trong một nền kinh tế số. Doanh nghiệp cần phân bổ thời gian và nguồn lực phù hợp để giải quyết vấn đề của bảo mật đám mây, đảm bảo rằng đây là ưu tiên hàng đầu khi bắt đầu chuyển dịch sang kiến trúc đám mây.
Hệ thống đám mây cần tính đồng nhất và sự phân bố dữ liệu cần được diễn giải dưới góc nhìn mới về bảo mật. Tăng cường tính minh bạch để nắm bắt, kiểm soát và xác định được dữ liệu và quyền truy cập là điều tối quan trọng.
Khi kết hợp với các nguyên tắc kể trên, tự động hóa có thể giúp giảm bớt rủi ro từ sai sót của con người, trong khi vẫn giữ được tốc độ và tính mềm dẻo của cấu trúc đám mây. Thực hiện những bước này, các tổ chức không chỉ nâng cao tính bảo mật của hệ thống đám mây mà còn giúp tạo ra hệ thống dữ liệu linh hoạt, có thể tạo ra những lợi thế cạnh tranh riêng trong bối cảnh thế giới đang dần được số hóa.