VNG Cloud Logo
  1. Tech Blog
  2. Bảo mật điện toán đám mây là gì? Những thách thức hàng đầu và phương thức tiếp cận
Bảo mật điện toán đám mây là gì? Những thách thức hàng đầu và phương thức tiếp cận

2024/03/12 22:00

Khi các doanh nghiệp bắt đầu hành trình chuyển đổi số và ứng dụng điện toán đám mây, việc đảm bảo an ninh đám mây mạnh mẽ trở nên tối quan trọng. Bảo mật điện toán đám mây bao gồm một tập hợp các quy trình và công nghệ nhằm giảm thiểu các mối đe dọa bảo mật từ bên ngoài và bên trong doanh nghiệp. Điều này đặc biệt thiết yếu khi các doanh nghiệp kết hợp giữa các công cụ và dịch vụ điện toán đám mây vào cơ sở hạ tầng của họ.

Các thuật ngữ như "chuyển đổi số" và "điện toán đám mây" đã trở nên phổ biến trong các cuộc thảo luận của doanh nghiệp, mỗi thuật ngữ đều hướng đến mục tiêu chung là thúc đẩy sự đổi mới. Tuy nhiên, khi các tổ chức ứng dụng những công nghệ này để tối ưu hóa quy trình vận hành của mình thì họ cần phải duy trì sự cân bằng giữa năng suất và bảo mật hạ tầng. Mặc dù các công nghệ hiện đại cho phép mở rộng hơn cơ sở hạ tầng on-premises, việc chuyển đổi sang hạ tầng điện toán đám mây thành môi trường chính sẽ mang lại những tác động tiềm ẩn nếu nó không được thực hiện một cách an toàn.

Để đạt đạt được sự cân bằng, doanh nghiệp cần có sự hiểu biết toàn diện về cách kết hợp giữa điện toán đám mây và các công nghệ bảo mật tốt nhất cho hạ tầng.

Tại sao bảo mật điện toán đám mây có vai trò quan trọng?

Bảo mật điện toán đám mây là trách nhiệm chia sẻ giữa nhà cung cấp dịch vụ và khách hàng, với các hạng mục riêng biệt được quy định trong Mô hình chia sẻ trách nhiệm. Chúng bao gồm các trách nhiệm cụ thể của nhà cung cấp, khách hàng theo các mô hình dịch vụ khác nhau (IaaS, PaaS, SaaS). Khi các tổ chức gặp khó khăn với việc quản lý cơ sở hạ tầng phức tạp, các mô hình dịch vụ này sẽ giúp các tổ chức giảm bớt trách nhiệm trong việc quản lý hạ tầng CNTT.

Trong quá trình chuyển dịch sang hạ tầng điện toán đám mây, sự hiểu biết về các yêu cầu bảo mật để bảo vệ dữ liệu là điều thiết yếu. Trong khi các nhà cung cấp đám mây ưu tiên tính toàn vẹn dữ liệu máy chủ thì bảo mật dữ liệu vẫn là trách nhiệm của các tổ chức. Khi các mối đe dọa bảo mật ngày càng gia tăng, nhắm đến vào các nhà cung cấp dịch vụ điện toán đám mây, đòi hỏi họ phải có các biện pháp chủ động để giảm thiểu rủi ro quản trị và tuân thủ gắn liền với thông tin khách hàng.

Bất kể quy mô doanh nghiệp, bảo mật điện toán đám mây là một chủ đề quan trọng. Hạ tầng điện toán đám mây đang mang lại lợi ích trong nhiều ngành nghề, việc áp dụng nó một cách hiệu quả sẽ phụ thuộc vào các biện pháp bảo mật mạnh mẽ. Dù đó là môi trường public cloud, private hay hybrid cloud, việc triển khai các giải pháp bảo mật điện toán đám mây tốt nhất là điều bắt buộc để đảm bảo tính liên tục của hoạt động kinh doanh.    

hinh 2.png
Các công nghệ hiện đại cần có hạ tầng điện toán đám mây, để thực hiện thành công thì doanh nghiệp cần có biện pháp bảo mật mạnh mẽ

Những thách thức hàng đầu về bảo mật điện toán đám mây

Việc thiếu sót các hành lang bảo mật trong public cloud, đặc biệt là khi áp dụng các phương pháp hiện đại như CI/CD, kiến trúc serverless và tài sản tạm thời. Những thách thức chính về bảo mật điện toán đám mây mà các tổ chức ngày nay phải đối mặt bao gồm:

  1. Bề mặt tấn công gia tăng: Môi trường public cloud với bảo mật Ingress port yếu kém trở thành bề mặt tấn công hấp dẫn cho các hacker, dẫn đến các mối đe dọa như malware, tấn công Zero-Day và ATO (tấn công chiếm tài khoản).    
  2. Thiếu khả năng hiển thị và theo dõi: Trong mô hình IaaS, các nhà cung cấp dịch vụ điện toán đám mây duy trì toàn quyền kiểm soát lớp Infrastructure, hạn chế khả năng hiển thị của khách hàng. Sự hạn chế này có cả ở các mô hình đám mây PaaS và SaaS, cản trở việc xác định và định lượng hiệu quả tài sản đám mây.     
  3. Khối lượng tác vụ luôn thay đổi: Việc cung cấp và ngừng hoạt động tài sản điện toán đám mây linh hoạt ở quy mô và tốc độ lớn đặt ra thách thức cho các công cụ bảo mật truyền thống, khiến chúng không có khả năng thực hiện các chính sách bảo vệ trong một môi trường phức tạp với khối lượng công việc thay đổi liên tục.
  4. DevOps, DevSecOps, và Tự động hóa: Các tổ chức áp dụng quy trình DevOps CI/CD tự động hóa cao phải nhanh chóng tích hợp các biện pháp kiểm soát bảo mật thích hợp vào code và template khi lập trình. Việc thực hiện các thay đổi liên quan đến bảo mật sau khi triển khai có thể làm suy giảm bảo mật của tổ chức và kéo dài thời gian ra mắt sản phẩm.    
  5. Quản lý đặc quyền và khóa bảo mật: Người dùng dịch vụ điện toán đám mây, nếu quản lý lỏng lẻo, thường được cấp nhiều đặc quyền không cần thiết, sẽ gây rủi ro cho bảo mật. Các khóa bảo mật và đặc quyền được cấu hình không đúng ở ứng dụng sẽ khiến các phiên đăng nhập gặp rủi ro bảo mật.    
  6. Môi trường phức tạp: Việc quản lý bảo mật đám mây nhất quán trong môi trường hybrid và multi-cloud đòi hỏi các phương pháp và công cụ kết hợp liền mạch giữa các nhà cung cấp public, private cloud, và cả cho hạ tầng on-premises, bao gồm bảo mật biên cho các chi nhánh trong tổ chức.    
  7. Tuân thủ và quản trị: Trong khi các nhà cung cấp dịch vụ điện toán đám mây phải tuân thủ các tiêu chuẩn quốc tế (PCI-DSS, ISO 27001/27017/27018) và trong nước (Nghị định 53/2022/NĐ-CP, Nghị định 13/2023/NĐ-CP), khách hàng cũng cần có trách nhiệm tuân thủ quy định. Những thách thức về khả năng quản lý và môi trường đám mây phức tạp khiến quá trình kiểm tra tuân thủ trở nên khó khăn hơn, đòi hỏi phải có các công cụ để kiểm tra liên tục và cảnh báo sai cấu hình theo thời gian thực.    
  8. Quản lý truy cập và Shadow IT: Việc quản lý các điểm truy cập trong môi trường điện toán đám mây là một thách thức, đặc biệt là khi không có chính sách BYOD (Bring Your Own Device) nghiêm ngặt, gây ra rủi ro truy cập không kiểm soát từ các thiết bị cá nhân và địa điểm truy cập.    
  9. Sai cấu hình: Các mối đe dọa vô tình trong nội bộ ở môi trường điện toán đám mây xuất phát từ các tài sản cài đặt sai cấu hình chiếm một tỷ lệ đáng kể trong các vụ rò rỉ. Cấu hình sai bao gồm việc không thay đổi mật khẩu mặc định hoặc bỏ qua các cài đặt quyền riêng tư thích hợp.    

Yếu tố chính cho giải pháp bảo mật điện toán đám mây mạnh mẽ    

Mặc dù các nhà cung cấp dịch vụ điện toán đám mây hàng đầu như AWS, Google Cloud, VNG Cloud thường cung cấp nhiều tính năng bảo mật, nhưng các giải pháp bảo mật của bên thứ ba cũng đóng vai trò quan trò quan trọng để bảo vệ doanh nghiệp trước các vi phạm, rò rỉ dữ liệu và các cuộc tấn công có chủ đích. Giải pháp bảo mật tích hợp trên nền tảng đám mây/bên thứ ba là thiết yếu để cung cấp khả năng quản lý tập trung và kiểm soát chi tiết theo các chính sách, phù hợp với các tiêu chuẩn của ngành.

  1. Quản lý xác thực và IAM chi tiết: Triển khai các biện pháp kiểm soát Quản lý quyền truy cập và danh tính (IAM) chi tiết trên các môi trường phức tạp. Các nhóm và vai trò, hỗ trợ cập nhật IAM dễ dàng hơn theo các yêu cầu kinh doanh. Thực hiện chính sách đặc quyền truy cập tối thiểu, sử dụng tính năng IAM mạnh mẽ bằng các giải pháp như tăng độ mạnh mật khẩu và triển khai thời gian chờ cấp phép.    
  2. Mô hình bảo mật mạng Zero-Trust: Triển khai các tài nguyên quan trọng trong các môi trường riêng biệt, chẳng hạn như sử dụng VPC. Sử dụng subnet để phân đoạn vi mô, áp dụng các chính sách bảo mật chi tiết cho các cổng subnet. Sử dụng các liên kết WAN chuyên dụng trong các kiến trúc kết hợp và cấu hình UDR (User-defined Routing) tĩnh để tùy chỉnh truy cập.    
  3. Chính sách và quy trình bảo vệ VM: Tận dụng tính năng CSPM (Cloud Security Posture Management) để quản trị nhất quán và áp dụng quy tắc trong quá trình provisioning VM. Kiểm tra độ lệch cấu hình và tự động khắc phục nếu có thể, kết hợp các quy trình như quản lý thay đổi và cập nhật phần mềm.    
  4. Công nghệ tường lửa WAF mới: Bảo vệ tất cả các ứng dụng, đặc biệt là các ứng dụng phân tán trên nền tảng đám mây, bằng công cụ WAF đời mới. Kiểm tra và kiểm soát chi tiết lưu lượng truy cập đến và đi từ các máy chủ ứng dụng web, tự động cập nhật các quy tắc WAF theo lưu lượng truy cập và triển khai gần hơn với các ứng dụng microservices.    
  5. Bảo vệ dữ liệu nâng cao: Triển khai các biện pháp bảo vệ dữ liệu nâng cao, bao gồm mã hóa ở tất cả các lớp truyền tải, chia sẻ file an toàn, quản lý rủi ro pháp lý liên tục và bảo trì lưu trữ dữ liệu. Phát hiện và chấm dứt các nhóm và tài nguyên cô lập bị cấu hình sai.    
  6. Phát hiện mối đe dọa theo thời gian thực: Sử dụng các giải pháp bảo mật điện toán đám mây của bên thứ ba để thu thập thông tin nhằm phát hiện và khắc phục các mối đe dọa đã biết và chưa biết theo thời gian thực. Tổng hợp log từ đám mây và đối chiếu với các nguồn dữ liệu bên trong và bên ngoài. Tận dụng khả năng phát hiện sự bất thường của AI để phát hiện các mối đe dọa chưa xác định, sau đó là phân tích điều tra và cảnh báo theo thời gian thực về các hành vi xâm nhập và vi phạm chính sách để có thể khắc phục nhanh chóng.    
hinh 3 VIE.png
6 yếu tố chính trong bảo mật điện toán đám mây

4 loại hình bảo mật điện toán đám mây phổ biến

  1. Quản lý danh tính và truy cập (IAM): Các công cụ và dịch vụ IAM cho phép doanh nghiệp thực  hiện các giao thức bảo mật theo chính sách để người dùng truy cập, bao gồm cả dịch vụ on-premises và dịch vụ điện toán đám mây. Chức năng cốt lõi của IAM là tạo danh tính số cho người dùng, kiểm soát nó chặt chẽ và áp đặt các hạn chế trong quá trình tương tác dữ liệu.
  2. Ngăn chặn mất mát dữ liệu (DLP): Dịch vụ DLP cung cấp các công cụ bảo mật dữ liệu đám mây. Bằng cách sử dụng các cảnh báo khắc phục, mã hóa dữ liệu và các biện pháp phòng tránh khác, DLP bảo vệ dữ liệu được lưu trữ, dù ở trạng thái không sử dụng hay đang truyền tải.    
  3. Giải pháp SIEM: SIEM (Security information and event management) cung cấp giải pháp điều phối bảo mật toàn diện, tự động hóa giám sát, phát hiện và phản hồi mối đe dọa trong môi trường điện toán đám mây. Sử dụng công nghệ AI để kiểm soát dữ liệu log trên đa nền tảng, SIEM hỗ trợ đội ngũ CNTT áp dụng các giao thức bảo mật mạng và ứng phó nhanh chóng với các mối đe dọa tiềm ẩn.    
  4. Hoạt động liên tục và khắc phục thảm họa: Bất chấp các biện pháp phòng tránh, vi phạm dữ liệu và downtime vẫn có thể xảy ra. Các giải pháp dự phòng và khắc phục thảm họa rất quan trọng trong bảo mật điện toán đám mây, cung cấp cho các tổ chức các công cụ, dịch vụ và giao thức để đẩy nhanh quá trình khôi phục dữ liệu và tiếp tục hoạt động kinh doanh bình thường trong trường hợp có lỗ hổng hoặc gián đoạn hệ thống.

Làm thế nào để tiếp cận giải pháp bảo mật điện toán đám mây?

Việc bảo mật đám mây sẽ khác nhau đối với mỗi tổ chức và phụ thuộc vào nhiều yếu tố. Tuy nhiên, Viện Tiêu chuẩn và Công nghệ Quốc gia NIST - Hoa Kỳ đã phác thảo một tập hợp các biện pháp tốt nhất để thiết lập mô hình điện toán đám mây an toàn và bền vững.

Các bước được NIST đề xuất cho phép các tổ chức tự đánh giá mức độ sẵn sàng bảo mật của họ và triển khai các biện pháp và phục hồi thích hợp. Những nguyên tắc này phù hợp với 5 yếu tố chính trong an ninh mạng của NIST: Xác định (Identify), Bảo vệ (Protect), Phát hiện (Detect), Phản hồi (Respond) và Phục hồi (Recover).

Công nghệ tiên tiến hỗ trợ triển khai mô hình an ninh mạng của NIST là CSPM. Các giải pháp CSPM giải quyết một vấn đề phổ biến trong môi trường điện toán đám mây - Sai cấu hình. Cơ sở hạ tầng đám mây khi bị cấu hình sai, dù là của doanh nghiệp hay nhà cung cấp đám mây, đều có thể tạo ra các lỗ hổng cho kẻ tấn công. CSPM giải quyết những thách thức này bằng cách hỗ trợ tổ chức và triển khai các thành phần bảo mật đám mây quan trọng, bao gồm IAM, quản lý tuân thủ quy định, giám sát lưu lượng, ứng phó với mối đe dọa, giảm thiểu rủi ro và quản lý tài sản số.    

hinh 4 vie.png
5 yếu tố của mô hình an ninh mạng NIST: Xác định, Bảo vệ, Phát hiện, Phản hồi và Phục hồi

Mô hình Zero-Trust trong bảo mật điện toán đám mây

Khái niệm Zero Trust, được John Kindervag giới thiệu vào năm 2010, đã cách mạng hóa lĩnh vực bảo mật điện toán đám mây, thách thức cách tiếp cận truyền thống khi tự động tin tưởng vào các đối tượng trong hoặc ngoài mạng. Thay vào đó, Zero Trust khuyến khích quy trình xác minh - ủy quyền, kiểm tra liên tục và bảo mật mọi thứ có thể.

Zero Trust nhấn mạnh chiến lược quản trị Đặc quyền tối thiểu, hạn chế quyền truy cập của người dùng, chỉ cho phép họ vào các tài nguyên cần thiết cho công việc. Nó cũng khuyến khích các developer nên thường xuyên bảo mật các ứng dụng chạy trên web. Ví dụ: việc không triển khai port blocking nhất quán hoặc cho phép các quyền không cần thiết có thể khiến ứng dụng dễ bị hacker tấn công, truy cập trái phép vào cơ sở dữ liệu.

Hơn nữa, mạng Zero Trust sử dụng phân đoạn vi mô để nâng cao mức độ chi tiết của bảo mật mạng đám mây. Bằng cách tạo ra các vùng an toàn trong trung tâm dữ liệu và triển khai nó trên hạ tầng điện toán đám mây, phân đoạn vi mô sẽ cô lập workload, bảo mật nội dung trong từng vùng và áp dụng các chính sách để bảo vệ lưu lượng giữa các vùng.

VNG Cloud cam kết bảo mật đạt tiêu chuẩn trong ngành, mang đến nhiều giải pháp để đương đầu với nhiều thách thức đa dạng. Cho dù đó là khả năng phát hiện mối đe dọa nâng cao, triển khai các nguyên tắc zero-trust hay đảm bảo tuân thủ các quy định, VNG Cloud luôn là đối tác đồng hành đáng tin cậy trong tăng cường bảo mật cơ sở hạ tầng đám mây của bạn.

Tag:
Tech Blogiamcloud computing

article.read_more