Bảo mật đám mây có thể được chia thành 4 bước thực tế

Bài viết này, iRender sẽ thông tin tới các bạn về việc bảo mật đám mây và cách thức để có thể bảo mật đám mây được hiệu quả nhất.

Việc bảo mật đám mây (cloud security) có thể khiến bạn cảm thấy giống như mình đang ăn một con voi vậy. Làm thế nào để bạn có thể ăn một con voi? Mỗi lúc cắn một ít. Điều tương tự cũng đúng đối với bảo mật đám mây – các thách thức trở nên dễ quản lý hơn rất nhiều nếu bạn chia quy trình thành bốn bước rõ ràng và thực tế: Đánh giá (Assess), Phân tích (Analyse), Hành động (Act) và Đảm bảo (Assure).

Việc áp dụng dịch vụ đám mây đang được thúc đẩy bởi chuyển đổi kỹ thuật số và hứa hẹn về sự nhanh chóng, linh hoạt, khả năng mở rộng và hiệu quả chi phí cao hơn. Nhưng các vi phạm liên quan đến đám mây đang tăng lên song song. Bộ Kỹ thuật số, Văn hóa, Truyền thông và Thể thao đã báo cáo trong Khảo sát Vi phạm An ninh mạng 2018 của mình rằng các doanh nghiệp sử dụng điện toán đám mây có nhiều khả năng phải đối mặt với các vi phạm hơn so với những người không sử dụng (52% so với 43%).

Uber đã từng xảy ra sự cố vi phạm do công ty lưu trữ thông tin xác thực AWS trong kho lưu trữ Github, sau đó đã bị tin tặc truy xuất và sử dụng để truy cập tài khoản AWS của Uber. Một vi phạm cấu hình cao khác đã xảy ra tại Verizon, nơi một thùng S3 được định cấu hình sai do nhà cung cấp NICE Systems sở hữu và vận hành, đã tiết lộ tên, địa chỉ, chi tiết tài khoản và mã PIN của khoảng 14 triệu khách hàng Mỹ.

Đám mây vốn dĩ không an toàn hơn cơ sở hạ tầng công nghệ thông tin cục bộ. Hầu hết các vi phạm đều có lỗi trong cấu hình sai hoặc hiểu nhầm về bảo mật đám mây dự kiến. Vậy tại sao dữ liệu lại có nhiều khả năng bị lộ trong đám mây?

Nhiều đội bảo mật cảm thấy khó khăn để theo kịp tốc độ triển khai đám mây nhanh. Việc nâng cấp và thay đổi các điều khiển bảo mật cũng có thể để lại những khoảng trống. Các ứng dụng đám mây không phải lúc nào cũng phản chiếu phiên bản tại chỗ của chúng, do đó, các điều khiển có thể cần được xem xét lại để hỗ trợ các ứng dụng kinh doanh đã được cải tạo, tái lập hoặc tái cấu trúc.

Một vấn đề tiềm ẩn khác là thiếu các chính sách hoặc hướng dẫn bảo mật dành riêng cho đám mây để đảm bảo an toàn bằng cách thiết kế áp dụng đám mây. Các mô hình bảo mật được chia sẻ cũng có thể khiến dữ liệu dễ bị tổn thương, nếu không rõ ràng trong việc phân định trách nhiệm bảo vệ dữ liệu thuộc về doanh nghiệp, nhà cung cấp đám mây, người tiêu dùng hay cả ba. Mô hình đám mây – cho dù đó là IaaS, PaaS hay SaaS – có thể ảnh hưởng đến các dòng trách nhiệm.

Quy trình gồm bốn giai đoạn này sẽ giúp các tổ chức hiểu cách triển khai bảo mật đám mây, hiểu các điểm yếu và rủi ro và – quan trọng nhất – sử dụng kiến thức đó để đưa ra lộ trình cải thiện bảo mật đám mây.

Bạn không thể bảo mật những gì bạn không nhìn thấy. Đánh giá và kiểm toán các giải pháp đám mây sẽ cung cấp khả năng hiển thị trên các tài sản (assets) và khối lượng công việc được triển khai ở đó. Nó cũng sẽ làm nổi bật các mối đe dọa tiềm ẩn, lỗ hổng trong bảo mật và tư thế bảo mật tổng thể. Đây là thời điểm thích hợp để xem xét nơi bảo mật được xây dựng trong mạng bởi chính Nhà cung cấp giải pháp đám mây (Cloud Solutions Provider – CSP) và nơi cần bổ sung hoặc tăng cường. Đó là một ý tưởng tốt để tìm kiếm các công cụ và quy trình sẽ giúp bạn đánh giá nơi có thể có khoảng trống. Những phát hiện của quá trình đánh giá sau đó có thể được sử dụng làm chuẩn để nắm bắt vị trí của bạn ngày hôm nay và xây dựng lộ trình bảo mật đám mây cho tương lai.

Điều này bắt đầu bằng việc xác định cách triển khai đám mây đối phó với các thực tiễn hoặc khuôn khổ bảo mật tốt – bao gồm các yêu cầu tuân thủ quy định. Tiếp theo, kiểm tra các lỗ hổng bảo mật đáng chý ý trong quá trình phân tích này và định lượng các rủi ro và các mối đe dọa tiềm ẩn từ chúng. Từ đó, bạn có thể map các mối đe dọa đến các cách kiểm soát bảo mật phù hợp để điều hòa lại các khoảng trống và ưu tiên thứ tự mà bạn sẽ thực hiện chúng.

Kiến thức bạn có được trong giai đoạn Phân tích này sẽ giúp bạn đưa ra quyết định sáng suốt về thiết kế bảo mật đám mây của mình và kiểm soát việc thực hiện đảm bảo tính nhất quán trong suốt quá trình triển khai.

Khi bạn có một bức tranh rõ ràng hơn về hình thái bảo mật của việc triển khai đám mây và khả năng hiển thị của các asset, bạn sẽ có thể giải quyết các vấn đề bảo mật bằng cách thiết kế và thực hiện các kiểm soát bảo mật cần thiết. Điều này sẽ đảm bảo một cách tiếp cận nhất quán để triển khai lên đám mây và bảo mật đó là “theo thiết kế”.

Bạn nên bắt đầu với các cấu hình và kiểm soát bảo mật gốc CSP, sử dụng các cấu hình này làm nền tảng để tạo một mẫu bảo mật khả thi tối thiểu có thể được áp dụng để xây dựng tài nguyên đám mây trong tương lai một cách an toàn và nhất quán. Sau đó chúng có thể được bổ sung bằng các điều khiển bảo mật gốc đám mây được gắn vào.

Khi nói đến việc bảo mật triển khai đám mây, công việc không bao giờ có thể hoàn thành. Bảo mật đám mây của bạn sẽ cần phát triển khi việc triển khai tăng lên và khối lượng công việc được di chuyển lên đám mây hoặc được xây dựng trong đám mây càng nhiều lên. Để duy trì sự tuân thủ quy định và giải quyết các mối đe dọa phát triển, triển khai đám mây cần phải được theo dõi liên tục, với bất kỳ sai lệch nào so với các tiêu chuẩn bảo mật đã được thống nhất cảnh báo. Tự động hóa là rất quan trọng để đảm bảo khắc phục nhanh các vấn đề.

Để tận dụng tối đa giai đoạn này của quy trình, bạn sẽ cần sự hỗ trợ của các công cụ và nền tảng tuân thủ và giám sát bảo mật, phù hợp với yêu cầu hoạt động bảo mật của bạn.

Bằng cách chia quy trình bảo mật đám mây ra thành 4 bước này, các tổ chức có thể hưởng lợi từ việc tăng khả năng hiển thị của khối lượng công việc và các asset trên đám mây, cũng như các rủi ro và mối đe dọa cần được giải quyết. Điều này sẽ cung cấp những kiến thức sâu xa mà họ cần để xây dựng lộ trình ưu tiên khắc phục và cải thiện, đồng thời đảm bảo an ninh được nhất quán và được thực hiện trong tất cả các bản triển khai hiện tại và trong tương lai.

Nguồn: https://www.techradar.com/