Blog

Xin chào các bạn. Cloudbase mong muốn được chia sẻ cùng các bạn những kiến thức liên quan đến hạ tầng công nghệ thông tin (Infrastructure), an toàn-bảo mật (Security), lưu trữ dữ liệu và dịch vụ liên quan (Cloud Storage Services). Chúng tôi hy vọng bạn sẽ tìm thấy những thông tin hữu ích qua mục chia sẻ kiến thức này. Cảm ơn các bạn đã quan tâm.

05 CÁCH ĐỂ BẢO MẬT DỮ LIỆU CỦA DOANH NGHIỆP TRÊN CLOUD

Có ngộ nhận cho rằng nhà cung cấp dịch vụ lưu trữ cloud phải chịu trách nhiệm hoàn toàn về bảo mật dữ liệu của khách hàng dẫn đến việc lơ là trong bảo vệ an toàn cho dữ liệu của chính mình. Theo báo cáo của công ty nghiên cứu Mỹ Gartner, năm 2020 các trường hợp rò rỉ thông tin trên cloud sẽ tăng lên đến 80% do doanh nghiệp cấu trúc không đúng và không tối ưu hóa được quy trình kinh doanh của mình. Vì vậy, các doanh nghiệp sử dụng dịch vụ đám mây cần phải nghĩ đến việc tăng cường bảo mật dữ liệu ngay từ bây giờ và xem nó như là một nhiệm vụ quan trọng của chính doanh nghiệp.

Dưới đây là một số các thống kê liên quan đến vấn đề bảo mật trên cloud của các doanh nghiệp:

– 64% công ty coi hệ thống đám mây an toàn hơn hệ thống tại chỗ của mình
– 75% thực hiện các biện pháp bổ sung để đảm bảo an toàn

– 61% mã hóa dữ liệu của mình

 

– 52% đã đưa ra chính sách kiểm soát truy cập vào hệ thống thông tin

 

– 48% tiến hành kiểm tra hệ thống thông tin thường xuyên về việc tuân thủ các yêu cầu bảo mật.

Sau đây, chúng ta sẽ xem xét năm cách phổ biến nhất để bảo vệ dữ liệu trên đám mây, đó là: mã hóa dữ liệu, giám sát hạ tầng thông tin, kiểm soát truy cập, sao lưu dữ liệu và kế hoạch khôi phục dữ liệu sau thảm họa.

1. Mã hóa dữ liệu:

Để đảm bảo an toàn cho dữ liệu, doanh nghiệp cần thực hiện một chính sách mã hóa cụ thể. Tuy nhiên, chúng ta không nhất thiết phải mã hóa tất cả dữ liệu của mình vì điều này có thể dẫn đến nhiều bất lợi hơn so với lợi ích mà doanh nghiệp có thể đạt được. Bạn cần phải nắm rõ dữ liệu nào lưu trữ trên cloud, lưu lượng truy cập đến từ đâu để xác định dữ liệu nào cần phải được mã hóa. Để biết việc mã hóa có hiệu quả hay không, doanh nghiệp cần so sánh chi phí giữa việc áp dụng các biện pháp mã hóa và những tổn thất xảy ra khi bị rò rỉ thông tin. Doanh nghiệp cũng cần phân tích xem việc mã hóa sẽ anh hưởng như thế nào đế hiệu suất của hệ thống thông tin của mình.

Bảo vệ dữ liệu có thể được thực hiện ở các cấp độ khác nhau. Ví dụ: tất cả dữ liệu mà người dùng gửi lên đám mây được mã hóa bằng các thuật toán mã hóa khối. Cấp độ tiếp theo là mã hóa dữ liệu trên hệ thống lưu trữ đám mây.

Đầu tiên, chúng ta nên tự mã hóa dữ liệu trên máy tính, sau đó gửi chúng lên đám mây. Bạn có thể tạo bản sao lưu của bất kỳ dự án nào. Bên cạnh đó, chúng ta nên tải xuống các tập tin được mã hóa có giá trị hoặc vùng chứa tiền điện tử vào ổ cứng ngoài, vì có thể có những trường hợp dữ liệu từ bộ nhớ đám mây không đáng tin cậy sẽ bị xóa vĩnh viễn mà không có sự đồng ý của chủ sở hữu.

Nếu bạn có rất nhiều tập tin cần mã hóa, bạn có thể sử dụng các dịch vụ mã hóa để mã hóa dữ liệu trước khi đưa lên đám mây. Thậm chí bạn có thể mã hóa cả tiêu đề của tập tin để nếu tin tặc có thể truy cập vào tập tin thì chúng sẽ không biết được tiêu đề lẫn nội dung của tập tin.

Chẳng hạn như Boxcryptor là một trong số những ứng dụng để mã hóa dữ liệu, ứng dụng này hỗ trợ mã hóa hầu hết các dịch lưu trữ đám mấy phổ biến như Dropbox, Google Drive, OneDrive, Amazon,… Ứng dụng này cũng chạy trên các hệ điều hành phổ biến, thậm chí ngay cả trên hệ điều hành của thiết bị di động là iOS và Android. Ứng dụng có phiên bản tính phí lẫn miễn phí.

2. Giám sát hệ thống:

Những kẻ tấn công hầu như luôn tìm được cách để xâm nhập vào hệ thống. Để ngăn chặn các mối đe dọa, cần đảm bảo không để các tấn công lây lan sang các hệ thống dễ bị tấn công khác bằng cách chặn những kết nối trái phép giữa quy trình làm việc với các yêu cầu kết nối nguy hiểm.

Có rất nhiều sản phẩm giám sát hệ thống trên thị trường cho phép thấy được toàn bộ các hoạt động của mạng kết nối như: biết được tất cả những ai kết nối vào hệ thống và thiết lập các quy tắc cho người dùng (thiết lập quyền cụ thể cho từng đối tượng, quyền truy cập được phép).

Hệ thống giám sát cũng cho phép thống kê được các sự kiện và các mối đe dọa liên quan đến từng người dùng.

Ví dụ như Zscaler cho phép gửi nhật ký (log) đến hệ thống SIEM (Security Information and Event Management) của khách hàng để nhận được các báo cáo từ nhiều nguồn dữ liệu khác nhau. Zsaler cung cấp cho người dùng một tập hợp các bản ghi (logs) được tùy chỉnh và xác định trước. Bao gồm các loại báo cáo như dưới đây:

Báo cáo điều hành – Executive Reports: Một báo cáo bảo mật ngắn gọn cho người quản lý gồm các mối đe dọa được phát hiện hoặc các vi phạm trong một khoảng thời gian nhất định

Báo cáo tương tác – Interactive Reports

Báo cáo theo lịch trình – Scheduled Reports: cung cấp thường xuyên các báo cáo tiêu chuẩn hay các báo cáo tùy chỉnh

Báo cáo mức rủi ro của Công ty – Company Risk Score Report: Tính toán các rủi ro cho hoạt động ở phạm vi Công ty

Industry Peer Comparison – So sánh theo ngành: So sánh hiệu năng của Công ty bạn với các Công ty khác trong nghành

Báo cáo kiểm tra hệ thống – System Audit Report: Báo cáo trạng thái về GRE tunnels, các tập tin PAC… Nếu có vấn đề sẽ đưa ra các khuyến nghị và cách khắc phục

Báo cáo kiểm tra chính sách bảo mật – Security Policy Audit Report.

3. Kiểm soát quyền truy cập vào hệ thống:

Hầu như người dùng đã quen với việc đăng nhập vào hệ thống bằng tên – user name và mật khẩu – password của họ. Dữ liệu về mật khẩu thường được lưu trữ ở dạng hàm băm (hash) trong cơ sở dữ liệu đóng. Đế tránh bị đánh cắp phiên (session) của người dùng đã được xác thực quyền truy cập, thông tin đăng nhập và mật khẩu sẽ được kiểm tra mỗi lần khi tải trang đăng nhập vào hệ thống. Hệ thống sẽ tự động đăng xuất – log out khi xảy ra lỗi xác thực. Ngoài cách bảo vệ đăng nhập truyền thống này, các dịch vụ lưu trữ đám mây còn cung cấp một số các biện pháp bảo vệ khác.

Như mô hình bảo mật dựa trên vai trò của người dùng (kiểm soát truy cập dựa trên vai trò người dùng):  người dùng được nhận dạng qua thông tin đăng nhập, khi nhận dạng đăng nhập được xác thực thì vài trò và các quyết định sẽ tự động được gắn vào cho người dùng đó. Có rất nhiều các tổ chức khác nhau áp dụng mô hình này và nó cho phép các tổ chức phân cấp vai trò người dùng dựa trên nhiệm vụ hoạt động của họ.

Kiểm soát truy cập dựa trên vai trò – Role Based Access Control (RBAC) coi tất cả các thông tin là thuộc về tổ chức của mình. Trong hệ thống này, người dùng không thể chuyển quyền truy cập của mình cho một người dùng khác. Hệ thống này quyết định quyền truy cập dựa vào vai trò và chức năng của người dùng được tổ chức phân công cho người đó.

Việc xác định quyền hạn và tư cách thành viên không phụ thuộc vào người quản trị hệ thống mà phụ thuộc vào chính sách bảo mật được áp dụng trong hệ thống. Vai trò có thể được hiểu là các hành động mà người dùng hoặc một nhóm người dùng được thực hiện. Vai trò được xác định theo trách nhiệm và quyền hạn của người dùng. Các chức năng và quyền truy cập vào vai trò sẽ do người quản trị của hệ thống xác định.

Chính sách quản trị vai trò cho phép phân chia quyền giữa các vai trò theo nhiệm vụ chính thức của người dùng. Vai trò của người quản trị hệ thống sẽ được bổ sung thêm những quyền đặc biệt để có thể kiểm soát hoạt động của hệ thống và quản lý được các cấu hình trong hệ thống. Quyền của người dùng thông thường sẽ bị giới hạn mức cần thiết tối thiểu để chạy các chương trình cụ thể.

Amazon EC2 sử dụng RBAC để tinh chỉnh quyền truy cập của người dùng cuối vào tài nguyên. Microsoft Azure cũng dùng RBAC để kiểm soát truy cập vào tài nguyên đám mây.

Một số hành động có thể thực hiện được bằng RBAC như:

– Cấp cho một người dùng quyền quản lý các máy ảo trong việc đăng ký và một quyền khác – để quản lý các mạng ảo;

– Cấp quyền cho nhóm quản trị hệ thống cơ sở dữ liệu – DBA (Database Administrator) để quản lý cơ sở dữ liệu SQL trong việc đăng ký;

– Cấp cho người dùng quyền quản lý tất cả tài nguyên trong nhóm tài nguyên, bao gồm máy ảo, trang web và mạng con.

4. Sao lưu dữ liệu

Các ứng dụng chạy trên đám mây – cloud chỉ được bảo vệ ở một mức độ nhất định. Chính vì vậy mà lâu lâu bạn sẽ lại nghe về một nhà cung cấp dịch vụ đám mây nào đó xóa máy ảo hoặc dữ liệu lưu trữ của khách hàng. Để bảo vệ dữ liệu của bạn an toàn, bạn cần sao lưu lại dữ liệu vào trung tâm dữ liệu khách hàng hoặc vào một nhà cung cấp dịch vụ đám mây khác (dự phòng).

Ở quy mô nhỏ, bạn có thể sao chép lại dữ liệu sang một ổ lưu trữ cục bộ hoặc ổ lưu trữ ngoài. Tuy nhiên, đây là một quy trình thủ công không đáng tin cậy và không thể thực hiện ở quy mô lớn.

Trường hợp với các tập tin và các ứng dụng lớn, không thể thực hiện theo phương pháp thủ công. Các doanh nghiệp sử dụng dịch vụ đám mây dựa vào IaaS – Infrastructure as a Services (hạ tầng như là môt dịch vụ) có thể sử dụng các APIs được cung cấp bởi các nhà cung cấp dịch vụ đám mây để có thể phát triển các phần mềm sao lưu dữ liệu vào một máy chủ nội bộ hoặc sử dụng phần mềm do bên thứ ba cung cấp để sao lưu dữ liệu vào máy chủ nội bộ, vào thiết bị lưu trữ mạng (NAS) hay vào trung tâm dữ liệu của riêng doanh nghiệp.

Sao lưu dữ liệu từ đám mây này sang đám mây khác mang lại nhiều lợi thế so với việc sao lưu cục bộ như: chi phí đầu tư hạ tầng thấp, sao lưu và khôi phục nhanh hơn, linh hoạt hơn.

Như là một phần trong dịch vụ lưu trữ đám mây, người dùng cũng có thể sao lưu các dữ liệu quan trọng (tập tin, cơ sở dữ liệu, cấu hình hệ điều hành) lên đám mây. Để thực hiện điều này cần cài đặt các tác tử (agents) đặc biệt để sao lưu dữ liệu của các ứng dụng cần thiết. Sự hiện diện của các tác tử đảm bảo tính toàn vẹn của dữ liệu trong bản sao lưu và tự chuyển dữ liệu dự trữ (reserved data) qua các kênh VPN trên internet.

5. Kế hoạch khôi phục sau thảm họa (Disaster Recovery)

Kế hoạch khôi phục sau thảm họa giúp bảo vệ doanh nghiệp của bạn khỏi sự gián đoạn trong hạ tầng CNTT và khả năng mất dữ liệu.

Một kế hoạch khôi phục truyền thống tạo ra một địa điểm (site) sao lưu dự phòng, thường là ở một khu vực khác hoặc thậm chí tại thành phố khác. Danh nghiệp phải xây dựng tại điểm dự phòng này một hệ thống tương tự hệ thống tại địa điểm (site) chính cả phần cứng lẫn phần mềm. Có nghĩa là chi phí (chi phí đầu tư, chi phí bảo trì, vận hành…) của site dự phòng cũng giống như site chính. Chi phí cho hạ tầng CNTT có thể tăng lên gấp đôi để bảo đảm cho doanh nghiệp hoạt động liên tục. Trong khi dịch vụ sao lưu đám mây cung cấp khả năng linh hoạt trong việc tăng hoặc giảm nhanh chóng lượng tài nguyên sử dụng (cũng đồng nghĩa với tăng hoặc giảm chi phí sử dụng) mà không cần chi tiêu vốn đầu tư ban đầu.

Lựa chọn sử dụng dịch vụ lưu trữ đám mây để làm site dự phòng và khôi phục sau thảm họa có lẽ là một kế hoạch hiệu quả và khả dĩ nhất với đa số các doanh nghiệp.