Công nghệ đám mây là một phần cốt lõi của hoạt động kinh doanh ngày nay trên tất cả các ngành nghề và đi kèm với nó là những rủi ro tiềm ẩn. Các ứng dụng chạy trên đám mây, các mã mới được khởi chạy hàng ngày cho những ứng dụng mà không có sự giám sát thích hợp đều có thể ảnh hưởng tiêu cực đến tình trạng tuân thủ. Vậy làm thế nào để các chương trình giám sát và kiểm toán tuân thủ có thể được thiết lập để giải quyết những rủi ro tiềm ẩn này?
Mặc dù các chương trình tuân thủ có mục đích tốt nhất là tạo ra môi trường an toàn, nhưng tuân thủ không đồng nghĩa với bảo mật. Trên thực tế, nó có thể mang lại cảm giác an toàn giả khi không có gì đảm bảo, đặc biệt là với tốc độ phát triển đám mây nhanh chóng.
Tuy các chương trình tuân thủ giúp thiết lập đường cơ sở cho các biện pháp kiểm soát, nhưng các chương trình này lại dựa trên các mối đe dọa phổ biến. Ví dụ: tiêu chuẩn tuân thủ có thể yêu cầu mật khẩu mạnh để bảo vệ quyền truy cập hệ thống, nhưng điều này có thể không tính đến những kẻ tấn công sử dụng các cuộc tấn công lừa đảo hoặc Injection phức tạp để trích xuất thông tin xác thực, bỏ qua hoàn toàn các kiểm soát mật khẩu.
Các vi phạm dựa trên đám mây và các sự kiện bảo mật lớn khác được báo cáo đã giúp hình thành các phương pháp bảo mật đám mây tốt hơn và phát triển các biện pháp kiểm soát tốt hơn, với tự động hóa gắn với các chương trình tuân thủ. Tuy nhiên, đây là một cách phản ứng lại chứ không đưa ra được giải pháp cho các mối đe dọa tiềm ẩn chưa biết (zero-day). Điều này càng thêm phức tạp khi xem xét các kiến trúc phần mềm đám mây không chỉ phải đáp ứng các tiêu chuẩn tuân thủ tương tự mà còn phải được giám sát liên tục để quản lý sự tuân thủ và bảo mật.
Các bước để duy trì bảo mật và tuân thủ trong đám mây cần thực hiện liên tục và sẽ trở nên quá tải nếu không được hỗ trợ bởi nhóm, công nghệ và quy trình phù hợp. Dưới đây là một số bước quan trọng mà các tổ chức hàng đầu đang thực hiện để đảm bảo tuân thủ trên đám mây.
Bước 1: Khả năng hiển thị của nội dung đám mây
Người dùng chỉ có thể bảo vệ những gì họ có thể nhìn thấy và biết là có tồn tại tuy nhiên điều này đặc biệt khó khăn với các kiến trúc phần mềm. Với đám mây, tài nguyên ảo hóa là tài sản của họ. Do đó, bắt buộc phải có các hệ thống được xác định rõ ràng, được thiết kế để mở rộng quy mô đồng thời liên tục giám sát việc triển khai đám mây. Đối với nhiều tổ chức, theo dõi và giám sát tài sản là một cách để tiết kiệm chi phí. Tự động hóa các hoạt động đám mây cho phép kiểm kê và cấu hình tài sản, cũng như khả năng hiển thị.
Bước 2: Sắp xếp khung tuân thủ
Chọn chương trình tuân thủ dựa trên nhu cầu của ngành nghề hoặc thị trường và đảm bảo công nghệ có thể phù hợp với các tiêu chuẩn mới nhất. Đối với các doanh nghiệp không có tiêu chuẩn quy định, nhu cầu của cơ sở khách hàng có thể dẫn đến quyết định, vì khách hàng có thể tìm kiếm các nhà cung cấp đáp ứng các tiêu chuẩn liên quan đến ngành nghề của họ. Một điểm khởi đầu tốt khác là lựa chọn các tiêu chuẩn kinh doanh chung như các tiêu chuẩn do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ thiết lập.
Bước 3: Đánh giá bao gồm các loại trừ và tùy chỉnh
Với bất kỳ chương trình tuân thủ nào, cần kiểm tra xem những người khác đã xây dựng giải pháp như thế nào để đáp ứng các khuôn khổ tuân thủ. Ví dụ, các khuôn khổ Tiêu chuẩn bảo mật dữ liệu thẻ (PCI) chỉ ra nhu cầu về các thành phần hệ thống dữ liệu chủ thẻ cụ thể (thay vì toàn bộ mạng hoặc hệ thống được kết nối với nhau) để nhận được phần lớn các biện pháp bảo vệ. Điều này dẫn đến việc phân đoạn và phân các phần tường lửa của hệ thống để cô lập từng biện pháp kiểm soát tuân thủ chỉ với những hệ thống và dữ liệu trong một phạm vi nhất định. Việc tùy chỉnh hệ thống để đáp ứng các yêu cầu tuân thủ có thể tiết kiệm chi phí và hiệu quả.
Bước 4: Giám sát, kiểm tra đánh giá liên tục, tích hợp với các công cụ quy trình làm việc
Hầu hết các chương trình tuân thủ đều tuân theo mô hình mà các biện pháp kiểm soát phải luôn hoạt động. Điều này cũng có nghĩa là chúng phải được giám sát mọi lúc mọi nơi. Để có thể quản lý được đối với các nhóm bảo mật đám mây, người dùng cần tận dụng các công cụ cung cấp tự động hóa quy trình làm việc, bao gồm việc tuân thủ liên tục và quét bảo mật, thông báo để đảm bảo hiệu quả các biện pháp kiểm soát. Các công cụ này cũng phải cung cấp một chế độ xem được sắp xếp hợp lý cho các tổ chức dẫn đến khả năng hiển thị và kiểm soát được nâng cao.
Bước 5: Tự động khắc phục
Các hệ thống hoạt động trên đám mây phức tạp hơn nhiều so với các hệ thống truyền thống. Có nhiều lĩnh vực mà tổ chức có thể tự động hóa việc khắc phục, bao gồm các nhiệm vụ bảo mật, chẳng hạn như thêm hoặc xóa người dùng của hệ thống, hay quy trình công việc phức tạp hơn, chẳng hạn như kết hợp xử lý đơn đặt hàng với xác nhận đa hệ thống để đảm bảo tính chính xác, quyền riêng tư và bảo mật. Các biện pháp kiểm soát phức tạp như nhật ký khối lượng lớn, quét và phân tích mối đe dọa, thường được thực hiện thông qua tự động hóa thay vì thủ công để tăng giá trị và hiệu quả. Tuy nhiên, điều quan trọng là phải thận trọng với việc tự động hóa các hành động giám sát, đặc biệt là trong các trường hợp có khả năng xảy ra false positive cao.
Bước 6: Báo cáo và kiểm tra
Trong trường hợp triển khai đám mây hỗ trợ khuôn khổ tuân thủ cần phải thường xuyên đi kèm với các báo cáo. Trong nhiều trường hợp, nhà cung cấp dịch vụ đám mây (CSP), người duy trì quyền kiểm soát vật lý đối với cơ sở hạ tầng đám mây sẽ là người thực hiện những báo cáo này. Tại đây, cần đảm bảo CSP cung cấp báo cáo thường xuyên, thỏa đáng rằng các biện pháp kiểm soát tuân thủ này đang đáp ứng nhu cầu của tổ chức.
Khách hàng cũng có thể yêu cầu thông tin này hoặc để doanh nghiệp thừa nhận việc sử dụng một nhà cung cấp dịch vụ đám mây cụ thể trong thỏa thuận hợp đồng và họ phải có trách nhiệm xem xét và duy trì tính xác thực của các kiểm soát của bên thứ ba đó.
Nhiều khi, báo cáo kiểm tra CSP là phương tiện duy nhất để xác minh các biện pháp kiểm soát bảo mật của nhà cung cấp. Điều này là do các nhà cung cấp không có năng lực hoạt động để cho phép từng khách hàng của họ kiểm tra chúng. Điều quan trọng là phải xem xét điều này khi đánh giá rủi ro của bất kỳ nhà cung cấp dịch vụ đám mây nào và theo dõi bất kỳ mối lo ngại nào liên quan đến báo cáo tuân thủ của họ.
Lưu ý cuối cùng khi sử dụng các báo cáo kiểm tra của nhà cung cấp dịch vụ đám mây là các báo cáo này thường nhạy cảm và bị hạn chế sử dụng, do đó, khả năng chia sẻ thông tin này với khách hàng đôi khi sẽ bị hạn chế.
Ngoài CSP và báo cáo kiểm toán viên, các tổ chức thường dựa vào khả năng báo cáo trong công cụ quản lý bảo mật đám mây của họ vì nó bao gồm tất cả các tài sản đám mây trong khuôn khổ tuân thủ.
Mặc dù tuân thủ không đảm bảo tính bảo mật trên đám mây, nhưng nó có thể hỗ trợ cả khách hàng và CSP theo một phương pháp chung, với các bước hướng tới quản lý rủi ro và áp dụng các biện pháp kiểm soát có liên quan. Giá trị của các chương trình tuân thủ là chúng nhấn mạnh tầm quan trọng của bảo mật dữ liệu đối với nhà cung cấp dịch vụ đám mây cũng như khách hàng và thường thực thi mức độ kiểm soát bảo mật tối thiểu.
Tuy nhiên, điều quan trọng là sự phức tạp do đám mây đưa vào phải được quản lý một cách thích hợp. Các cấu trúc bảo mật, chẳng hạn như mạng ảo, bộ chứa, các kiến trúc phần mềm, tường lửa ảo và các dịch vụ dựa trên đám mây khác, không được quản lý dễ dàng như môi trường truyền thống. Các yêu cầu tuân thủ không phải lúc nào cũng phản ánh được sự phức tạp của các hệ thống đám mây mới hoặc chỉ ra nơi các vấn đề với các phương pháp tiếp cận bảo mật truyền thống không hoạt động tốt trên đám mây.
Hồng Vân
17:00 | 02/12/2020
13:00 | 11/06/2021
21:00 | 07/12/2021
13:00 | 01/06/2021
10:00 | 16/05/2021
08:00 | 19/03/2021
08:00 | 23/09/2024
Ngày 19/9, cơ quan cảnh sát quốc gia Hàn Quốc cho biết sẽ đầu tư 9,1 tỷ won (6,8 triệu USD) trong 3 năm tới để phát triển công nghệ phát hiện các loại hình tội phạm Deepfake, sao chép giọng nói và các nội dung bịa đặt khác.
14:00 | 25/03/2024
Bài báo giới thiệu một phương pháp dựa trên đặc tính hỗn loạn của ánh xạ 2D MCCM và 2D logistic để thiết kế hộp S (S-box) động phụ thuộc khóa. Đánh giá một số tính chất mật mã của một số hộp thế được tạo ra.
10:00 | 11/10/2023
Việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật hay không. Để tạo ra kết quả chuẩn xác của một cuộc đánh giá cũng phụ thuộc nhiều vào yếu tố con người. Bài viết sau sẽ giới thiệu về tiêu chuẩn ISO/IEC 19896-2:2018 cung cấp các yêu cầu về chuyên ngành để chứng minh cho các yêu cầu về kiến thức, kỹ năng và hiệu quả của các cá nhân trong việc thực hiện các dự án kiểm tra an toàn phù hợp với các tiêu chuẩn TCVN 12211:2018 (ISO /IEC 24759) và TCVN 11295:2016 (ISO/IEC 19790) cung cấp chi tiết các yêu cầu an toàn đối với mô-đun mật mã.
15:00 | 20/09/2023
Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó và/hoặc với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ. Các cơ chế xác thực thực thể ẩn danh được thiết kế để hỗ trợ các truyền thông ẩn danh đó. Các cơ chế này được định nghĩa là sự trao đổi thông tin giữa các thực thể và khi cần là sự trao đổi với bên thứ ba đáng tin cậy. Nội dung bài báo sẽ giới thiệu tổng quan về kỹ thuật xác thực thực thể ẩn danh và các nội dung chính của Tiêu chuẩn TCVN 13178-1:2020 Công nghệ thông tin – Các kỹ thuật an toàn – Xác thực thực thể ẩn danh.