CTIN News

05 THÁCH THỨC AN TOÀN THÔNG TIN TRÊN MÔI TRƯỜNG ĐIỆN TOÁN ĐÁM MÂY

08 Jul

Bài viết được chia sẻ từ ThS. Nguyễn Văn Nhân – CISM | CCSP

TÓM TẮT— Bài viết này trình bày 05 thách thức lớn  đối với các tổ chức và doanh nghiệp khi thực hiện việc chuyển dịch hạ tầng CNTT để hoạt động trên nền tảng điện toán đám mây trong ký nguyên chuyển đổi số.

Từ khóa—  Cybersecurity, Cloud, Top 5, Threat and Chanllegence.

   I.      GIỚI THIỆU

Điện toán đám mây là một trong những công nghệ tiên phong được chính phủ nước ta chọn để xây dựng chính phủ số, xã hội số và kinh tế số. Với những ưu thế của công nghệ, điện toán đám mây đang dần trở thành xu thế cho các tổ chức áp dụng triển khai, chuyển đổi hạ tầng công nghệ thông tin của các tổ chức từ môi trường truyền thống sang môi trường điện toán đám mây. Tuy nhiên trong quá trình chuyển đổi cũng như làm việc trên môi trường điện toán đám mây sau khi chuyển đổi, an toàn thông tin luôn là một vấn đề được ưu tiên hàng đầu.

Ở môi trường truyền thống, hệ thống mạng của một tổ chức được xác định ranh giới rõ ràng với mô hình Mạng trong (Internal) – Khu vự biên (DMZ) – Mạng ngoài (External). Tuy nhiên khi sử dụng dịch vụ Cloud, vai trò các ranh giới này mờ dần và trở nên không còn nữa. Người dùng có thể làm việc bất cứ nơi đâu tại công ty, ở nhà hay đang đi công tác, du lịch…

Các mối đe họa về an toàn an ninh mạng trước giờ vẫn vậy nhưng ở môi trường điện toán đám mây, có thể được biểu hiện theo cách mới hoặc gây ra mức độ rủi ro cao hơn. Vì vậy việc xác định các nguy cơ an toàn thông tin mới ở môi trường điện toán đám mây là rất quan trọng để chúng ta có các giải pháp đảm bảo việc đưa dữ liệu của tổ chức mình khi chuyển đổi lên môi trường điện toán đám mây. Với các tiếp cận của bài tham luận này từ góc độ của người dùng tại Việt Nam, chúng ta sẽ xem xét 05 thách thức về an toàn thông tin của điện toán đám mây và các giải pháp có thể được áp dụng để hạn chế các nguy cơ mất ATTT cho tổ chức khi chuyển đổi lên môi trường điện toán đám mây. Các thách thức, rủi ro được đề cập trong bài viết là:

Môi trường chia sẻ, nhiều người dùng

Mối nguy từ ứng dụng và API.

Quản lý dữ liệu

Kiểm soát truy cập

Tuân thủ luật và các quy định

II.     05 THÁCH THỨC ATTT VỚI ĐIỆN TOÁN ĐÁM MÂY

A.   Môi trường chia sẻ nhiều người dùng (Multitenacy and Resource Pooling)

Thách thức đầu tiên và có thể coi là lớn nhất của điện toán đám mây đến từ đặt tính rất quan trọng của công nghệ này đó là phục vụ rất nhiều đối tượng trên một nguồn tài nguyên được chia sẻ. Đây là đặt điểm mang lại lợi ích to lớn khi ứng dụng điện toán đám mây nhưng nó cũng mang lại cho những người làm về an toàn thông tin những thách thức không hề nhỏ.

 

Đối với mô hình IaaS, Chúng ta biết rằng rất nhiều máy ảo tạo ra chia sẻ cùng một hoặc một cụm máy chủ vật lý, vì vậy việc virus có thể lan truyền từ máy ảo này sang máy ảo khác hoặc từ máy ảo sang máy vật lý và ngượi lại là nguy cơ thấy rõ, với điện toán đám mây không gian tấn công được mở rộng ra rất lớn cho các tin tặc khai thác. Đồng thời lại tạo ra những điểm SPOF (Single Point of Failure) khi nhiều máy ảo chia sẻ cùng một máy chủ, cùng một giao tiếp mạng vật lý. Điều này dẫn đến khi một máy chủ ( hoặc card mạng) bị DoS thì ảnh hưởng rất nhiều đến các máy ảo có liên quan.

Trên môi trường điện toán đám mây (đặt biệt là đối với các dịch vụ điện toán đám mây công cộng), người dùng không biết dữ liệu của mình đang thật sự được lưu trữ ở đâu. Với việc tạo và xóa máy ảo, cũng như tăng giảm dung lượng lưu trữ tùy theo nhu cầu sử dụng và các tài nguyên được giải phóng có thể được sử dụng cho đối tượng người dùng khác. Điều này khiến cho việc đảm bảo an toàn thông tin cho dữ liệu trở thành một bài toán nan giải, vì khả năng bị rò rỉ dữ liệu là rất lớn khi người dùng A có thể được sử dụng lại chính tài nguyên của người dùng B trước đó.

 

Còn với mô hình SaaS, PaaS thì các nguy cơ càng cao hơn khi chúng ta dùng chung một ứng dụng, nền tảng với nhiều đối tượng người dùng khác, dữ liệu chúng ta được lưu trữ thông qua ứng dụng của nhà cung cấp dịch vụ SaaS. Việc chúng ta có bảo mật an toàn như thế nào chịu tác động nhiều từ nhà cung cấp ứng dụng cũng như các đối tượng sử dụng chung ứng dụng đó. Việc dữ liệu lưu trữ như thế nào, ở đâu, có nguy cơ bị rò rỉ hay đánh cắp hay không chúng ta cũng không thể kiểm soát được mà phụ thuộc nhiều vào các nhà cung cấp dịch vụ. Với mô hình này thì khi có một lỗ hổng bảo mật nào tin tặc khai thác thành công thì sẽ ảnh hưởng rất nghiêm trọng đến cả nhà cũng cấp dịch vụ cũng như các đối tượng sử dụng dịch vụ đó.

 

Có thể coi đây là thách thức về an toàn thông tin cơ bản nhất của môi trường điện toán đám mây. Chúng ta sẽ thấy đối với các thách thức được đề cập tiếp sau đây, ít hay nhiều, trực tiếp hay gián tiếp đều có liên quan đến thách thức cơ bản này.

 

B.   Lối bảo mật của Ứng dụng và API (Application Vulnerability and Unsecurred API)

Khi chúng ta đưa các ứng dụng lên môi trường điện toán đám mây, việc để các ứng dụng có các lỗ hổng là rất nguy hiểm khi đối diện với không gian tấn công rất lớn. Xác suất các lỗ hổng bảo mật bị tin tặc khai thác để khai thác là rất cao và khả năng lây lan sẽ ảnh hưởng rất lớn đến hệ thống nhà cung cấp dịch vụ cũng như các đối tượng sử dụng dịch vụ điện toán đám mây.

 

Đặc biệt việc sử dụng dịch vụ SaaS, chúng ta hoàn toàn không thể kiểm soát được an toàn thông tin của ứng dụng được cung cấp mà hoàn toàn tin tưởng vào nhà cung cấp dịch vụ. Nếu ứng dụng SaaS bị lỗ hổng bảo mật thì tin tặc hoàn toàn có thể khai thác để tấn công rất nhiều hệ thống của các tổ chức, cá nhân sử dụng dịch vụ trên ứng dụng đấy. Theo báo cáo của ông Bob West, CSO Prisma Cloud, Palo Alto; vào 11/2022  có đến 96% các ứng dụng được xây dựng trên môi trường đám mây tồn tại các lỗ hổng bảo mật có thể được khai thác.

 

Thực tế khi phát triển các ứng dụng, hiện nay, các lập trình viên thường tập trung đến chức năng ứng dụng hơn là tính bảo mật của ứng dụng, bởi rất hợp lý là họ được đào tạo để lập trình tính năng ứng dụng chứ ít được trang bị kiến thực về an toàn thông tin. Và khi phát triển một ứng dụng cho một tổ chức, nếu như tổ chức đó không có phương án đưa an toàn thông tin vào trong chu kỳ phát triển sản phẩm, không đào tạo đội ngũ phát triển về an toàn bảo mật thì việc tạo ra các lỗ hổng bảo mật tồn tại trong ứng dụng là điều hoàn toán có thể xảy ra, mà nếu không quá lạc quan thì xác suất đó rất cao. Đồng thời với sự phát triển của cộng đồng lập trình viên trên thế giới, việc sử dụng các module lập trình sẵn hoặc các đoạn code, API… có sẵn vào việc phát triển sản phẩm ứng dụng đang rất phổ biến. Tuy nhiên việc kiểm tra xem các module và đoạn code đó có đảm bảo tính bào mật trong tổng thể mã nguồn của ứng dụng có đáp ứng hay không vẫn còn là câu chuyện chưa được quan tâm cao.

Một điểm nữa khi vận hành hệ thống trên nền tảng đám mây, người dùng có xu hướng mong muốn tự động hóa các tác vụ của mình bằng cách phát triển các công cụ phục vụ nghiệp vụ của mình thông qua các API sẵn có mà chưa được đánh giá về mức độ an toàn thông tin đối với các API này. Thực tế này mang đến một thách thức về an toàn thông tin đối với tổ chức khi chuyển đổi lên môi trường điện toán đám mây là không hề nhỏ.

C.   Quản lý dữ liệu (Data Management)

Mục tiêu của an toàn thông tin chính là bảo vệ thông tin, dữ liệu – một tài sản quý giá của các tổ chức, cá nhân- được an toàn trong suốt vòng đời của dữ liệu ở các trạng thái khác nhau (lưu trữ – in rest, di chuyển – in transit và được sử dụng – in used). Như đã phân tích ở phần trên, với điều kiện môi trường điện toán đám mây, có rất nhiều nguy cơ cho việc dữ liệu bị rò rỉ, đánh cắp… Và thực tế theo nghiên cứu thống kê bảo mật của ông Holger Schulze, CEO and Founder Cybersecurity Insiders, được công bố trên các báo cáo của công ty bảo mật Checkpoint, Fortinet và tổ chức (ISC)2 năm 2023 thì nguy cơ rò rỉ các thông tin nhạy cảm nằm trong top 2 các nguy cơ an toàn thông tin trên môi trường đám mây.

Điều này đặt ra cho người làm về an toàn thông tin làm sao hạn chế được rủi ro này ở mức thấp nhất, phải quyết định dữ liệu nào được phép đưa lên hệ thống đám mây công cộng, được lưu trữ bao lâu, ở định dạng như thế nào. Nếu như ở môi trường truyền thống, việc dữ liệu được lưu trữ trong hệ thống lưu trữ ở tại mỗi tổ chức thì chúng ta chỉ cần  tâp trung bảo vệ các hệ thống lưu trữ dữ liệu đảm bảo an toàn là có thể giải quyết được bài toán an toàn khi dữ liệu được lưu trữ. Tuy nhiên, với môi trường điện toán đám mây, công việc không đơn giản như vậy vì chúng ta không biết rõ được dữ liệu của chúng ta được lưu trữ ở đâu, như thế nào? Việc phần cứng có thể được sử dụng lại với rất nhiều người dùng là một nguy cơ rất rõ ràng cho việc dữ liệu có thể bị rò rỉ ngoài tầm kiểm soát.

Một ví dụ đơn giản, thông thường khi ổ lưu trữ không còn được sử dụng nữa ở tổ chức, chúng ta thường dùng biện pháp vật lý như khoan, đục… làm hỏng phần cứng hoàn toàn ở mức vật lý đảm bảo thiết bị không thể được sử dụng lại để khai thác các dữ liệu đã từng được lưu trữ trong đó. Còn ở môi trường đám mây, chúng ta không thể phá hủy phần cứng như mong muốn, cả khi chúng ta xóa dữ liệu trước khi không còn dùng tài nguyên nữa thì thật ra dữ liệu hoàn toàn có thể khôi phục lại được, chúng ta – những người làm về an toàn thông tin- đều biết như vậy.

Ngoài ra việc đảm bảo dữ liệu được hiểu đúng và sẵn sàng cho khai thác sử dụng khi chuyển từ môi trường truyền thống lên môi trường đám mây, cũng như chuyển từ nhà cung cấp dịch vụ đám mây này sang nhà cung cấp dịch vụ đám mây khác cũng và một vấn đề đáng lưu tâm cho người làm về bảo mật và an toàn thông tin. Vì khả năng không tương thích giữa các nền tảng cơ sở dữ liệu khác nhau là hoàn toàn có thể xảy ra, đặt biệt là đối với các hệ thống được xây dựng đã lâu trong môi trường truyền thống, hay dịch vụ PaaS mà chúng ta muốn sử dụng.

Vì vậy việc quản lý dữ liệu là một thách thức rất lớn trên môi trường điện toán đám mây, từ việc phải xác định mức độ quan trọng của dữ liệu, gán nhãn dữ liệu,xây dựng các chính sách quản trị dữ liệu đến việc áp dụng các giải pháp bảo vệ dữ liệu luôn là những vấn đề đau đầu cho những người làm về an toàn thông tin trong tổ chức, kể cả những chuyên gia nhiều năm kinh nghiệm trong ngành.

D.   Kiểm soát truy nhập (Access Control)

Đây là thách thức không mới ở môi trường truyền thống, nhưng khi xét ở môi trường điện toán đám mây chúng ta cần nâng cao hơn mức độ quan trọng của nó. Chúng ta đều biết rằng, với điện toán đám mây chúng ta có thể làm việc ở bất cứ nơi đâu điều đó dẫn đến các biện pháp kiểm soát quyền truy cập vào hệ thống, dữ liệu dựa trên không gian và thời gian kém  hiệu quả, vì chúng ta có thể ở châu Âu sử dụng dịch vụ tại Việt Nam với múi giờ hoàn toàn khác biệt. Việc định danh, kiểm soát truy nhập cần được đưa lên là một trong những thách thức an toàn thông tin hàng đầu cần được quan tâm đúng mức. Cũng theo thống kê trong báo cáo nghiên cứu của Holger Schulze, CEO and Founder Cybersecurity Insiders, nguy cơ truy nhập trái phép đứng vị trí thứ tư trong danh sách các mối nguy về bảo mật lớn nhất đối với môi trường điện toán đám mây.

Khi sử dụng các dịch vụ điện toán đám mây như IaaS, PaaS hay SaaS chúng ta thường phụ thuộc vào các công cụ kiểm soát truy nhập của các nhà cung cấp dịch vụ. Tuy nhiên trách nhiệm cuối cùng khi có sự cố an toàn thông tin thất thoát dữ liệu là của các tổ chức cá nhân sử dụng dịch vụ, những người sở hữu dữ liệu, chứ không phải là của nhà cung cấp dịch vụ. Vì vậy việc xây dựng chính sách, chương trình cũng như triển khai, cấu hình các giải pháp để quản lý và kiểm soát quyền truy cập  trên môi trường đám mây làm nhiệm vụ rất phức tạp và có mức độ quan trọng cao đòi hỏi đội ngũ phải được đào tạo huấn luyện có nhiều kỹ năng và kinh nghiệm để không gây ra các lỗi bảo mật khi cấu hình hệ thống. Việc thiếu nhân lực có kỹ năng cũng như nguy cơ cấu hình gây mất an toàn thông tin là hai yếu tố đứng hàng đầu về các khó khăn và thách thức cho môi trường an toàn thông tin theo các báo cáo bảo mật trên thế giới.

Việc sử dụng các công cụ của nhà cung cấp dịch vụ hay của một đơn vị thứ ba cung cấp giải pháp hoặc tự phát triển công cụ để quản lý và kiểm soát quyền truy cập đòi hỏi phải có sự xem xét kỹ để đảm bảo việc tích hợp, cấu hình ko gây ra nguy cơ mất an toàn thông tin. Đồng thời xây dựng chương trình, chính sách để quản lý việc này cũng là một nhiệm vụ cần đặt ở mức độ quan trong cao đối với các tổ chức quyết định chuyển dịch hệ thống CNTT lên môi trường điện toán đám mây để tận dụng những ưu thế vượt trội của công nghệ này cho việc phát triển đạt được mục tiêu hoạt động của tổ chức.

E.   Tuân thủ luật và các quy định (Compliance)

Thách thức cuối cùng khi tổ chức muốn dịch chuyển hoạt động của mình lên môi trường đám mây tôi muốn đề cập đến trong bài tham luận này là việc tuân thủ các quy định và luật pháp. Với môi trường đám mây, việc dữ liệu được lưu trữ, lưu chuyển qua các địa phương nào quốc gia nào là một vấn đề phụ thuộc vào hạ tầng và cách thức vận hành của nhà cung cấp dịch vụ đám mây. Điều này đặt ra cho tổ chức chúng ta sự quan tâm: liệu ở các khu vực, quốc gia đó có đảm bảo các quy định mà tổ chức chúng ta đang phải tuân thủ cho hoạt động của mình?

Với nhiều ngành nghề việc đáp ứng các quy định để được phép hoạt động trong lĩnh vực đó là bắt buộc như PCI-DSS, HIPPA, GDRP…., nếu như chúng ta có sự vi phạm dù vô tình hay cố ý thì hậu quả cũng rất nặng. Hoặc với cùng một đối tượng quy định nhưng ở mỗi quốc gia, mỗi vùng lãnh thổ có những điều luật, quy định khác biệt. Ví dụ như đối với quy định về đảm bảo thông tin cá nhân (privacy), các quy định và luật định biến đổi rất nhiều ở các vùng lãnh thổ. Nếu như chúng ta sử dụng dịch vụ đám mây cho việc lưu chuyển và lưu trữ dữ liệu có liên quan đến các vùng lãnh thổ khác nhau cần đảm bảo chúng ta hoàn toàn tuân thủ các quy định ở nơi ta hoạt động, cũng như những nước sở tại, nơi dữ liệu chúng ta đi qua hoặc lưu trữ.

 

Ở Việt Nam chúng ta, với luật ATTT, nghị định 53/2022/NĐ-CP,  cũng như nghị định về dữ liệu cá nhân 13/2023/NĐ-CP vừa ban hành vào năm nay, thì việc sử dụng dịch vụ điện toán đám mây của các nhà cung cấp dịch vụ trên thế giới cần phải cân nhắc và đánh giá đầy đủ các yếu tố để đảm bảo hoạt động của tổ chức, công ty chúng ta tuân thủ đầy đủ các quy định của pháp luật. Vấn đề này sẽ phức tạp hơn nữa khi chúng ta sử dụng dịch vụ của nhiều nhà cung cấp điện toán đám mây trong nước cũng như các nhà cung cấp dịch vụ toàn cầu.

   III.      MỘT SỐ ĐỀ XUẤT

Với những rủi ro và thách thức trên môi trường điện toán đám mây, đặt biệt là 05 thách thức rất lớn như đề cập trong bài viết này, chúng ta nhận thấy người dùng dịch vụ điện toán đám mây sẽ phải phụ thuộc rất nhiều vào nhà cung cấp dịch vụ đám mây (CSP) cho vấn đề an toàn thông tin cho tổ chức mình. Vì vậy khi quyết định chuyển đổi hoạt động của mình lên môi trường đám mây, việc đánh giá chọn lựa nhà cung cấp dịch vụ CSP phải được cân nhắc kỹ càng, đánh giá đúng và đầy đủ để đảm bảo mình có được dịch vụ tốt và an toàn nhất. Thông thường các nhà cung cấp dịch vụ CSP sẽ không cho chúng ta biết được chi tiết hệ thống của họ, vì vậy các tài liệu như tài liệu đánh giá của bên thứ 3 (như ISO/IEC, SOC1, SOC2,SOC3…), các văn bản SLA (Service Level Agreement) … cần được xem xét đánh giá một cách kỹ lưỡng. Hợp đồng cung cấp dịch vụ được ký kết với nhà cung cấp dịch vụ cần phải nêu các SLA rõ ràng, đảm bảo được yêu cầu an toàn thông tin của tổ chức chúng ta.

 

Thứ hai việc chuẩn bị lực lượng nhân sự có kỹ năng về an toàn thông tin trên môi trường đám mây cũng cần được đặt trọng số ưu tiên cao. Hiện nay nhiều công ty cung cấp dịch vụ nhân sự có kỹ thuật cao đáp ứng cũng nên được xem xét như là một lựa chọn thay vì bài toán đầu tư nhân lực. Điều này sẽ giúp tổ chức xây dựng được chiến lượt chuyển đổi lên môi trường đám mây được chặc chẽ, đầy đủ và an toàn. Một trong những thách thức lớn nhất của doanh nghiệp khi chuyển đổi lên môi trường đám mây chính là thiếu lực lượng nhân sự có kỹ năng và đào tạo đầy đủ, dễ gây ra các lỗi bảo mật – đây là thách thức dẫn đầu của các báo cáo về hiện trạng an toàn thông tin trong môi trường đám mây. Tuy nhiên đây là bài toán về con người nên tôi không đưa vào danh sách 05 thách thức mà chính bản thân của công nghệ điện toán đám mây mang lại trong bài viết này.

Thứ ba, việc xây dựng một chương trình quản lý, giám sát an toàn thông tin từ chiến lược đến những chính sách, quy trình và thủ tục áp dụng một cách chi tiết… là một vấn đề hết sức quan trọng đối với các tổ chức và doanh nghiệp. Cần có bộ phận chuyên trách để luôn luôn theo dõi, đánh giá và thay đổi cập nhật các chính sách an toàn thông tin đối với tổ chức doanh nghiệp một cách kịp thời trước sự bùng nổ và thay đổi nhanh chóng của các rủi ro và mối đe dọa về an toàn thông tin cũng biến đổi nhanh chóng trên môi trường điện toán đám mây cũng như các công nghệ khác mang lại.

 

Thứ tư, việc đưa các ứng dụng vào sử dụng cần trải quan giai đoạn kiểm thử sản phẩm để giảm thiểu tối đa các lỗi của ứng dụng trong môi trường vận hành. Với chính sách của nhà nước khi khuyến khích các tổ chức và doanh nghiệp thuê dịch vụ đánh giá và kiểm định an toàn thông tin của sản phẩm, rất nhiều công ty trên thị trường có năng lực mà chúng ta có thể thuê để kiểm định, đánh giá an toàn thông tin trước khi đưa vào sử dụng chính thức. Đồng thời với các đội ngũ DevOps, chúng ta chuyển dịch thành xu thế DevSecOps đưa việc quản lý an toàn thông tin vào từng khâu trong quá trình sản xuất phần mềm, khuyến khích sử dụng các công cụ cho phép kiểm tra liên tục an toàn thông tin trong chu trình sản xuất phần mềm từ khi thiết kế, phát triển đến lúc kiểm định và đưa vào sử dụng ở môi trường vận hành.

 

Thứ năm, các giải pháp về mã hóa bảo mật về dữ liệu, đường truyền, thông tin… phát huy tác dụng rất lớn để đảm bảo an toàn toàn thông tin trong môi trường điện toán đám mây. Bên cạnh đảm bảo bí mật của thông tin, sự toàn vẹn của dữ liệu, đáp ứng các tuân thủ khi tham gia vào thị trường toàn cầu, mã hóa là phương thức hữu hiệu nhất để xóa bỏ dữ liệu không dùng nữa trong môi trường điện toán đám mây mà các tài nguyên vật lý được sử dụng bởi nhiều đối tượng khác nhau. Tuy nhiên việc áp dụng mã hóa sẽ ảnh hưởng lớn đến tốc độ xử lý, hiệu quả tính toán, hiển thị và trải nghiệm đối với người sử dụng. Việc áp dụng các giải pháp mã hóa như thế nào để cân bằng giữ lợi ích và bất lợi mang lại hiệu quả cao nhất phụ thuộc vào tính chất và yêu cầu của mỗi tổ chức và doanh nghiệp.

 

Và cuối cùng, áp dụng triệt để các giải pháp quản lý dữ liệu và kiểm soát truy nhập của tổ chức. Khi môi trường làm việc không còn biên giới, việc tin tưởng hoặc sơ suất trong khâu kiểm soát và phân quyền truy nhập sẽ dẫn đến hậu quả to lớn về mất an toàn thông tin. Khái niệm đúng người – đúng việc – đúng thời điểm vẫn còn nguyên giá trị khi xây dựng các chính sách về quản lý dữ liệu và kiểm soát truy nhập của tổ chức. Một mô hình mới về kiểm soát truy nhập được đề xuất trong những năm gần đây – Zero Trust – là một mô hình đáng để tham khảo khi chúng ta quyết định dịch chuyển hoạt động của mình lên môi trường điện toán đám mây.

   IV.      KẾT LUẬN

ATTT trong môi trường điện toán đám mây còn nhiều vấn đề chưa được đề cập đến trong bài viết này. Trong khuôn khổ của bài viết, tôi chỉ chọn ra 05 thách thức theo tôi là lớn nhất mà các tổ chức và doanh nghiệp phải đối mặt để có những giải pháp phù hợp đảm bảo an toàn thông tin khi quyết định chuyển hoạt động lên môi trường điện toán đám mây.

Trong bài viết tôi đã nêu lên các rủi ro về môi trường chia sẻ và nhiều người dùng, mối nguy hiểm của các ứng dụng và API cần phải lưu ý, các thách thức được nâng cấp lên mức độ rủi ro cao hơn rất nhiều so với môi trường truyền thống như: quản lý dữ liệu và kiểm soát truy nhập cũng như các vấn đề về tuân thủ các chính sách và luật pháp. Trong phần ba của bài viết này, tôi cũng đề xuất một số giải pháp được xem là hiệu quả đối với môi trường điện toán đám mây để chúng ta có thể đánh giá và áp dụng vào trong tổ chức và doanh nghiệp của mình, từ việc xây dựng chương trình và chính sách an toàn thông tin, nguồn lực nhân sự đến các giải pháp công nghệ như an toàn cho ứng dụng, mã hóa, kiểm soát truy nhập với mô hình Zero Trust…

Việc đánh giá thách thức nào là rủi ro đối với mỗi tổ chức là một bài toán mang tính đặc thù riêng đối với tổ chức đó, và các giải pháp để giải các bài toán về an toàn thông tin của mỗi tổ chức và doanh nghiệp cũng mang tính đặt thù và riêng biệt. Sứ mệnh, mục tiêu hoạt động cũng như mức độ chấp nhận rủi ro của mỗi tổ chức doanh nghiệp đóng vai trò hết sức quan trọng trong việc đưa ra lời giải cho các bàn toán an toàn thông tin cho từng tổ chức và doanh nghiệp. Chúc cho mỗi tổ chức và doanh nghiệp luôn luôn đảm bảo được an toàn thông tin trong quá trình tồn tại và hoạt động của mình.

    V.     TÀI LIỆU THAM KHẢO

  • isc2.org
  • isaca.org
  • Holger Schulze CEO and Founder Cybersecurity Insiders, ISC2 2023 Cloud Security Report, 2023
  • THE STATE OF CLOUD-NATIVE SECURITY 2023 REPORT, Palo Alto Network, 2023

Leave a Reply

Your email address will not be published. Required fields are marked *