Các hệ thống CNTT dựa trên đám mây đáp ứng các chức năng quan trọng trong hầu hết mọi ngành công nghiệp hiện đại. Các công ty, phi lợi nhuận, chính phủ và thậm chí các tổ chức giáo dục sử dụng đám mây để mở rộng phạm vi thị trường, phân tích hiệu suất, quản lý nguồn nhân lực và cung cấp các dịch vụ cải tiến. Đương nhiên, quản trị bảo mật đám mây hiệu quả là điều cần thiết cho bất kỳ thực thể nào muốn gặt hái những lợi ích của CNTT phân tán.
Giống như mọi lĩnh vực CNTT, điện toán đám mây có mối quan tâm bảo mật độc đáo. Mặc dù chính ý tưởng giữ dữ liệu an toàn trong đám mây từ lâu đã được coi là mâu thuẫn không thể, nhưng thực tiễn công nghiệp rộng rãi tiết lộ nhiều kỹ thuật mang lại bảo mật đám mây hiệu quả. Vì các nhà cung cấp đám mây thương mại như Amazon AWS đã chứng minh bằng cách duy trì tuân thủ FedRAMP, bảo mật đám mây hiệu quả là có thể đạt được và thiết thực trong thế giới thực.
$config[code] not foundBiểu đồ lộ trình bảo mật có tác động
Không có dự án bảo mật CNTT nào có thể hoạt động mà không có kế hoạch vững chắc. Thực tiễn liên quan đến đám mây phải thay đổi theo các lĩnh vực và triển khai mà họ tìm cách bảo vệ.
Ví dụ: giả sử chính sách của cơ quan chính quyền địa phương đưa ra thiết bị của riêng bạn, hoặc BYOD, chính sách. Nó có thể phải ban hành các biện pháp kiểm soát giám sát khác nhau nếu đơn giản là cấm nhân viên của mình truy cập vào mạng tổ chức bằng điện thoại thông minh cá nhân, máy tính xách tay và máy tính bảng của họ. Tương tự, một công ty muốn làm cho dữ liệu của mình dễ truy cập hơn đối với người dùng được ủy quyền bằng cách lưu trữ nó trên đám mây có thể sẽ cần phải thực hiện các bước khác nhau để giám sát truy cập so với nếu họ duy trì cơ sở dữ liệu và máy chủ vật lý của riêng mình.
Điều này có thể nói, như một số người đã đề xuất, việc giữ thành công đám mây an toàn là có thể xảy ra ít hơn so với việc duy trì bảo mật trên mạng LAN riêng. Kinh nghiệm đã chỉ ra rằng hiệu quả của các biện pháp bảo mật đám mây khác nhau phụ thuộc vào mức độ tuân thủ của chúng đối với các phương pháp đã được chứng minh. Đối với các sản phẩm và dịch vụ đám mây sử dụng dữ liệu và tài sản của chính phủ, những thực tiễn tốt nhất này được xác định là một phần của Chương trình Quản lý Rủi ro và Ủy quyền của Liên bang, hoặc FedRAMP.
Chương trình quản lý rủi ro và ủy quyền của liên bang là gì?
Chương trình Quản lý Rủi ro và Ủy quyền là một quy trình chính thức mà các cơ quan liên bang sử dụng để đánh giá hiệu quả của các sản phẩm và dịch vụ điện toán đám mây. Trung tâm của nó là các tiêu chuẩn được xác định bởi Viện Tiêu chuẩn và Công nghệ Quốc gia, hoặc NIST, trong các ấn phẩm đặc biệt khác nhau, hoặc SP, và Tiêu chuẩn xử lý thông tin liên bang, hoặc tài liệu. Các tiêu chuẩn này tập trung vào bảo vệ dựa trên đám mây hiệu quả.
Chương trình cung cấp hướng dẫn cho nhiều tác vụ bảo mật đám mây phổ biến. Chúng bao gồm xử lý đúng sự cố, sử dụng các kỹ thuật pháp y để điều tra các vi phạm, lập kế hoạch dự phòng để duy trì nguồn lực sẵn có và quản lý rủi ro. Chương trình cũng bao gồm các giao thức công nhận cho các Tổ chức Chứng nhận của Bên thứ ba, hoặc 3PAO, đánh giá việc triển khai đám mây trên cơ sở từng trường hợp cụ thể. Duy trì tuân thủ được chứng nhận 3PAO là một dấu hiệu chắc chắn rằng nhà tích hợp hoặc nhà cung cấp CNTT đã sẵn sàng để giữ thông tin an toàn trên đám mây.
Thực hành bảo mật hiệu quả
Vậy làm thế nào để các công ty giữ dữ liệu an toàn với các nhà cung cấp đám mây thương mại? Trong khi có vô số kỹ thuật quan trọng, một số ít đáng được đề cập ở đây:
Xác minh nhà cung cấp
Mối quan hệ làm việc mạnh mẽ được xây dựng trên sự tin tưởng, nhưng đức tin tốt đó phải bắt nguồn từ đâu đó. Cho dù nhà cung cấp đám mây được thiết lập tốt đến đâu, điều quan trọng là người dùng phải xác thực các quy tắc thực hành và quản trị của họ.
Các tiêu chuẩn bảo mật CNTT của chính phủ thường kết hợp các chiến lược kiểm toán và chấm điểm. Kiểm tra hiệu suất trong quá khứ của nhà cung cấp đám mây của bạn là một cách tốt để khám phá xem họ có xứng đáng với công việc kinh doanh trong tương lai của bạn hay không. Các cá nhân nắm giữ địa chỉ email.gov và.mil cũng có thể truy cập Gói bảo mật FedRAMP được liên kết với các nhà cung cấp khác nhau để chứng thực các yêu cầu tuân thủ của họ.
Đảm nhận vai trò chủ động
Mặc dù các dịch vụ như Amazon AWS và Microsoft Azure tuyên bố tuân thủ các tiêu chuẩn đã được thiết lập, an toàn đám mây toàn diện cần nhiều hơn một bên. Tùy thuộc vào gói dịch vụ đám mây bạn mua, bạn có thể phải chỉ đạo nhà cung cấp của bạn triển khai các tính năng chính nhất định hoặc khuyên họ rằng họ cần tuân theo các quy trình bảo mật cụ thể.
Chẳng hạn, nếu bạn là nhà sản xuất thiết bị y tế, các luật như Đạo luật Trách nhiệm và Khả năng Giải quyết Bảo hiểm Y tế, hoặc HIPAA, có thể bắt buộc bạn phải thực hiện các bước bổ sung để bảo vệ dữ liệu sức khỏe của người tiêu dùng. Những yêu cầu này thường tồn tại độc lập với những gì nhà cung cấp của bạn phải làm để giữ chứng nhận Chương trình Quản lý Rủi ro và Ủy quyền của Liên bang.
Ở mức tối thiểu, bạn sẽ chịu trách nhiệm duy trì các hoạt động bảo mật bao gồm sự tương tác tổ chức của bạn với các hệ thống đám mây. Chẳng hạn, bạn cần thiết lập các chính sách mật khẩu an toàn cho nhân viên và khách hàng của mình. Thả bóng vào đầu của bạn có thể thỏa hiệp ngay cả việc triển khai bảo mật đám mây hiệu quả nhất, vì vậy hãy nhận trách nhiệm ngay bây giờ.
Những gì bạn làm với các dịch vụ đám mây của bạn cuối cùng sẽ ảnh hưởng đến hiệu quả của các tính năng bảo mật của chúng. Nhân viên của bạn có thể tham gia vào các hoạt động CNTT bóng tối, chẳng hạn như chia sẻ tài liệu qua Skype hoặc Gmail, vì lý do thuận tiện, nhưng những hành động tưởng chừng như vô hại này có thể cản trở các kế hoạch bảo vệ đám mây được đặt cẩn thận của bạn. Ngoài việc đào tạo nhân viên cách sử dụng các dịch vụ được ủy quyền đúng cách, bạn cần dạy họ cách tránh những cạm bẫy liên quan đến các luồng dữ liệu không chính thức.
Hiểu Điều khoản dịch vụ đám mây của bạn để kiểm soát rủi ro
Lưu trữ dữ liệu của bạn trên đám mây không nhất thiết phải cấp cho bạn các khoản phụ cấp tương tự mà bạn đã có với việc tự lưu trữ. Một số nhà cung cấp có quyền truy tìm nội dung của bạn để họ có thể phân phát quảng cáo hoặc phân tích việc sử dụng sản phẩm của họ. Những người khác có thể cần truy cập thông tin của bạn trong quá trình cung cấp hỗ trợ kỹ thuật.
Trong một số trường hợp, phơi nhiễm dữ liệu không phải là một vấn đề lớn. Tuy nhiên, khi bạn xử lý thông tin cá nhân hoặc dữ liệu thanh toán có thể nhận dạng cá nhân, thì thật dễ dàng để xem cách truy cập của bên thứ ba có thể gây ra thảm họa.
Có thể không thể hoàn toàn ngăn chặn tất cả quyền truy cập vào một hệ thống hoặc cơ sở dữ liệu từ xa. Tuy nhiên, làm việc với các nhà cung cấp phát hành hồ sơ kiểm toán và nhật ký truy cập hệ thống giúp bạn biết được liệu dữ liệu của bạn có được duy trì an toàn hay không. Kiến thức như vậy đi một chặng đường dài hướng tới việc giúp các thực thể giảm thiểu tác động tiêu cực của bất kỳ vi phạm nào xảy ra.
Không bao giờ giả sử bảo mật là một vấn đề một lần
Hầu hết những người thông minh thay đổi mật khẩu cá nhân của họ một cách thường xuyên. Bạn có nên siêng năng về bảo mật CNTT dựa trên đám mây không?
Bất kể tần suất nhà cung cấp của bạn cung cấp chiến lược tuân thủ quy tắc mà họ tiến hành tự kiểm tra, bạn cần xác định hoặc áp dụng bộ tiêu chuẩn của riêng bạn để đánh giá thường xuyên. Nếu bạn cũng bị ràng buộc bởi các yêu cầu tuân thủ, nó sẽ cho phép bạn ban hành một chế độ nghiêm ngặt để đảm bảo bạn có thể đáp ứng các nghĩa vụ của mình ngay cả khi nhà cung cấp đám mây của bạn không thực hiện một cách nhất quán.
Tạo các triển khai bảo mật đám mây hoạt động
An ninh đám mây hiệu quả là một số thành phố huyền bí nằm mãi mãi ngoài đường chân trời. Là một quy trình được thiết lập tốt, nó cũng nằm trong tầm tay của hầu hết người dùng và nhà cung cấp dịch vụ CNTT cho dù họ tuân thủ các tiêu chuẩn nào.
Bằng cách điều chỉnh các thực tiễn được nêu trong bài viết này cho mục đích của bạn, bạn có thể đạt được và duy trì các tiêu chuẩn bảo mật giúp giữ an toàn cho dữ liệu của bạn mà không làm tăng đáng kể chi phí hoạt động.
Hình: SpinSys
1 Nhận xét
