Những thách thức với việc tuân thủ trong Cloud
Công nghệ đám mây là một phần cốt lõi của hoạt động kinh doanh ngày nay trên tất cả các ngành nghề và đi kèm với nó là những rủi ro tiềm ẩn. Các ứng dụng chạy trên đám mây, các mã mới được khởi chạy hàng ngày cho những ứng dụng mà không có sự giám sát thích hợp đều có thể ảnh hưởng tiêu cực đến tình trạng tuân thủ. Vậy làm thế nào để các chương trình giám sát và kiểm toán tuân thủ có thể được thiết lập để giải quyết những rủi ro tiềm ẩn này?
Tuân thủ khác với Bảo mật
Mặc dù các chương trình tuân thủ có mục đích tốt nhất là tạo ra môi trường an toàn, nhưng tuân thủ không đồng nghĩa với bảo mật. Trên thực tế, nó có thể mang lại cảm giác an toàn giả khi không có gì đảm bảo, đặc biệt là với tốc độ phát triển đám mây nhanh chóng.
Tuy các chương trình tuân thủ giúp thiết lập đường cơ sở cho các biện pháp kiểm soát, nhưng các chương trình này lại dựa trên các mối đe dọa phổ biến. Ví dụ: tiêu chuẩn tuân thủ có thể yêu cầu mật khẩu mạnh để bảo vệ quyền truy cập hệ thống, nhưng điều này có thể không tính đến những kẻ tấn công sử dụng các cuộc tấn công lừa đảo hoặc Injection phức tạp để trích xuất thông tin xác thực, bỏ qua hoàn toàn các kiểm soát mật khẩu.
Các vi phạm dựa trên đám mây và các sự kiện bảo mật lớn khác được báo cáo đã giúp hình thành các phương pháp bảo mật đám mây tốt hơn và phát triển các biện pháp kiểm soát tốt hơn, với tự động hóa gắn với các chương trình tuân thủ. Tuy nhiên, đây là một cách phản ứng lại chứ không đưa ra được giải pháp cho các mối đe dọa tiềm ẩn chưa biết (zero-day). Điều này càng thêm phức tạp khi xem xét các kiến trúc phần mềm đám mây không chỉ phải đáp ứng các tiêu chuẩn tuân thủ tương tự mà còn phải được giám sát liên tục để quản lý sự tuân thủ và bảo mật.
Làm cách nào để các tổ chức, doanh nghiệp luôn tuân thủ trên nền tảng đám mây?
Các bước để duy trì bảo mật và tuân thủ trong đám mây cần thực hiện liên tục và sẽ trở nên quá tải nếu không được hỗ trợ bởi nhóm, công nghệ và quy trình phù hợp. Dưới đây là một số bước quan trọng mà các tổ chức hàng đầu đang thực hiện để đảm bảo tuân thủ trên đám mây.
Bước 1: Khả năng hiển thị của nội dung đám mây
Người dùng chỉ có thể bảo vệ những gì họ có thể nhìn thấy và biết là có tồn tại tuy nhiên điều này đặc biệt khó khăn với các kiến trúc phần mềm. Với đám mây, tài nguyên ảo hóa là tài sản của họ. Do đó, bắt buộc phải có các hệ thống được xác định rõ ràng, được thiết kế để mở rộng quy mô đồng thời liên tục giám sát việc triển khai đám mây. Đối với nhiều tổ chức, theo dõi và giám sát tài sản là một cách để tiết kiệm chi phí. Tự động hóa các hoạt động đám mây cho phép kiểm kê và cấu hình tài sản, cũng như khả năng hiển thị.
Bước 2: Sắp xếp khung tuân thủ
Chọn chương trình tuân thủ dựa trên nhu cầu của ngành nghề hoặc thị trường và đảm bảo công nghệ có thể phù hợp với các tiêu chuẩn mới nhất. Đối với các doanh nghiệp không có tiêu chuẩn quy định, nhu cầu của cơ sở khách hàng có thể dẫn đến quyết định, vì khách hàng có thể tìm kiếm các nhà cung cấp đáp ứng các tiêu chuẩn liên quan đến ngành nghề của họ. Một điểm khởi đầu tốt khác là lựa chọn các tiêu chuẩn kinh doanh chung như các tiêu chuẩn do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ thiết lập.
Bước 3: Đánh giá bao gồm các loại trừ và tùy chỉnh
Với bất kỳ chương trình tuân thủ nào, cần kiểm tra xem những người khác đã xây dựng giải pháp như thế nào để đáp ứng các khuôn khổ tuân thủ. Ví dụ, các khuôn khổ Tiêu chuẩn bảo mật dữ liệu thẻ (PCI) chỉ ra nhu cầu về các thành phần hệ thống dữ liệu chủ thẻ cụ thể (thay vì toàn bộ mạng hoặc hệ thống được kết nối với nhau) để nhận được phần lớn các biện pháp bảo vệ. Điều này dẫn đến việc phân đoạn và phân các phần tường lửa của hệ thống để cô lập từng biện pháp kiểm soát tuân thủ chỉ với những hệ thống và dữ liệu trong một phạm vi nhất định. Việc tùy chỉnh hệ thống để đáp ứng các yêu cầu tuân thủ có thể tiết kiệm chi phí và hiệu quả.
Bước 4: Giám sát, kiểm tra đánh giá liên tục, tích hợp với các công cụ quy trình làm việc
Hầu hết các chương trình tuân thủ đều tuân theo mô hình mà các biện pháp kiểm soát phải luôn hoạt động. Điều này cũng có nghĩa là chúng phải được giám sát mọi lúc mọi nơi. Để có thể quản lý được đối với các nhóm bảo mật đám mây, người dùng cần tận dụng các công cụ cung cấp tự động hóa quy trình làm việc, bao gồm việc tuân thủ liên tục và quét bảo mật, thông báo để đảm bảo hiệu quả các biện pháp kiểm soát. Các công cụ này cũng phải cung cấp một chế độ xem được sắp xếp hợp lý cho các tổ chức dẫn đến khả năng hiển thị và kiểm soát được nâng cao.
Bước 5: Tự động khắc phục
Các hệ thống hoạt động trên đám mây phức tạp hơn nhiều so với các hệ thống truyền thống. Có nhiều lĩnh vực mà tổ chức có thể tự động hóa việc khắc phục, bao gồm các nhiệm vụ bảo mật, chẳng hạn như thêm hoặc xóa người dùng của hệ thống, hay quy trình công việc phức tạp hơn, chẳng hạn như kết hợp xử lý đơn đặt hàng với xác nhận đa hệ thống để đảm bảo tính chính xác, quyền riêng tư và bảo mật. Các biện pháp kiểm soát phức tạp như nhật ký khối lượng lớn, quét và phân tích mối đe dọa, thường được thực hiện thông qua tự động hóa thay vì thủ công để tăng giá trị và hiệu quả. Tuy nhiên, điều quan trọng là phải thận trọng với việc tự động hóa các hành động giám sát, đặc biệt là trong các trường hợp có khả năng xảy ra false positive cao.
Bước 6: Báo cáo và kiểm tra
Trong trường hợp triển khai đám mây hỗ trợ khuôn khổ tuân thủ cần phải thường xuyên đi kèm với các báo cáo. Trong nhiều trường hợp, nhà cung cấp dịch vụ đám mây (CSP), người duy trì quyền kiểm soát vật lý đối với cơ sở hạ tầng đám mây sẽ là người thực hiện những báo cáo này. Tại đây, cần đảm bảo CSP cung cấp báo cáo thường xuyên, thỏa đáng rằng các biện pháp kiểm soát tuân thủ này đang đáp ứng nhu cầu của tổ chức.
Khách hàng cũng có thể yêu cầu thông tin này hoặc để doanh nghiệp thừa nhận việc sử dụng một nhà cung cấp dịch vụ đám mây cụ thể trong thỏa thuận hợp đồng và họ phải có trách nhiệm xem xét và duy trì tính xác thực của các kiểm soát của bên thứ ba đó.
Nhiều khi, báo cáo kiểm tra CSP là phương tiện duy nhất để xác minh các biện pháp kiểm soát bảo mật của nhà cung cấp. Điều này là do các nhà cung cấp không có năng lực hoạt động để cho phép từng khách hàng của họ kiểm tra chúng. Điều quan trọng là phải xem xét điều này khi đánh giá rủi ro của bất kỳ nhà cung cấp dịch vụ đám mây nào và theo dõi bất kỳ mối lo ngại nào liên quan đến báo cáo tuân thủ của họ.
Lưu ý cuối cùng khi sử dụng các báo cáo kiểm tra của nhà cung cấp dịch vụ đám mây là các báo cáo này thường nhạy cảm và bị hạn chế sử dụng, do đó, khả năng chia sẻ thông tin này với khách hàng đôi khi sẽ bị hạn chế.
Ngoài CSP và báo cáo kiểm toán viên, các tổ chức thường dựa vào khả năng báo cáo trong công cụ quản lý bảo mật đám mây của họ vì nó bao gồm tất cả các tài sản đám mây trong khuôn khổ tuân thủ.
Tuân thủ không phải là cách sửa chữa tất cả
Mặc dù tuân thủ không đảm bảo tính bảo mật trên đám mây, nhưng nó có thể hỗ trợ cả khách hàng và CSP theo một phương pháp chung, với các bước hướng tới quản lý rủi ro và áp dụng các biện pháp kiểm soát có liên quan. Giá trị của các chương trình tuân thủ là chúng nhấn mạnh tầm quan trọng của bảo mật dữ liệu đối với nhà cung cấp dịch vụ đám mây cũng như khách hàng và thường thực thi mức độ kiểm soát bảo mật tối thiểu.
Tuy nhiên, điều quan trọng là sự phức tạp do đám mây đưa vào phải được quản lý một cách thích hợp. Các cấu trúc bảo mật, chẳng hạn như mạng ảo, bộ chứa, các kiến trúc phần mềm, tường lửa ảo và các dịch vụ dựa trên đám mây khác, không được quản lý dễ dàng như môi trường truyền thống. Các yêu cầu tuân thủ không phải lúc nào cũng phản ánh được sự phức tạp của các hệ thống đám mây mới hoặc chỉ ra nơi các vấn đề với các phương pháp tiếp cận bảo mật truyền thống không hoạt động tốt trên đám mây.
Hồng Vân