Điện toán đám mây phát triển dựa trên nguyên tắc tiết kiệm chi phí, trong đó có thể hiểu đơn giản là lưu trữ thông tin tại một trung tâm dữ liệu ngoại tuyến dưới sự quản lý của nhà cung cấp dịch vụ. Từ nhu cầu đơn giản đó đến nay điện toán đám mây đã trở thành một thị trường với các nhà cung cấp quy mô lớn và đi kèm là nhiều giải pháp từ IaaS (cơ sở hạ tầng như một dịch vụ) cho đến SaaS (phần mềm như một dịch vụ). Sự phát triển của điện toán đám mây là xu thế chung, và các doanh nghiệp bắt đầu di chuyển khối lượng dữ liệu lớn, các ứng dụng của tổ chức lên mây… Đi kèm với sự phát triển đó là các mối đe dọa an ninh dữ liệu khi nhiều thông tin nhạy cảm đang được trực tuyến.

 

Vì lý do đó, điều quan trọng không chỉ là phân loại xem dữ liệu nào phù hợp để đẩy lên mây mà còn là việc lựa chọn các dịch vụ để đảm bảo mình luôn an toàn. Trước khi bắt đầu di chuyển hãy đảm bảo các giải pháp bảo mật nội bộ và chắc chắn rằng các nhà cung cấp có thể cung cấp đầy đủ các dịch vụ an toàn khác.

 

Nhu cầu an ninh của doanh nghiệp
 

Đến thời điểm hiện tại, điện toán đám mây đã chứng tỏ được tầm vóc và vai trò đối với mọi quy mô của doanh nghiệp. Và việc an toàn dữ liệu trên mây của một cửa hàng cũng giống như của một công ty đa quốc gia luôn cần đảm bảo. Ở đây không phải là vấn đề quy mô mà là vấn đề của khối lượng bảo mật.

 

Andras Cser, phó chủ tịchcủa hãng nghiên cứu thị trường Forrester, cho biết điều quan trọng là giải pháp bảo mật nội bộ đạt tiêu chuẩn nào và điện toán đám mây có thể cung cấp một dịch vụ tương tự hay không. Nhất là đối với doanh nghiệp sử dụng đám mây công cộng và đám mây lai (xem bài “Điện toán đám mây lai” trong số này). 

 

Thậm chí nếu chỉ đơn giản là sử dụng đám mây như một giải pháp sao lưu và không có ý định đặt các thông tin nhạy cảm trên mây thì doanh nghiệp cũng không nên tiết kiệm chi phí cho an ninh dữ liệu. Mã hóa dữ liệu trước khi di chuyển lên mây, mã hóa quá cảnh ở khu vực trung gian, và mã hóa đầu cuối là 3 lớp cơ bản để đảm bảo dữ liệu mà các doanh nghiệp nên chắc chắn.

 

Eric Ahlm, giám đốc nghiên cứu của Gartner cho biết làkhông nên đánh giá thấp tầm quan trọng của bảo mật dữ liệu trong các môi trường điện toán đám mây, khả năng xử lý hay hệ thông phân tích  không nhất thiết là mục tiêu chính của các mối đe dọa. Do trên thực tế hầu hết doanh nghiệp xem đám mây là tạm thời và chủ yếu sử dụng để có thêm nguồn lực tính toán nên đã tạo khoảng trông để tin tặc có thể dễ dàng đột nhập và ăn cắp thông tin. Mối đe dọc trực tiếp lớn nhất đối với điện toán đám mây là thời điểm hệ thống dữ liệu quan trọng được đưa lên và người quản lý không biết rõ dữ liệu của mình đang đặt ở đâu.

 

Ngoài đám mây công cộng, các doanh nghiệp cũng nên xem xét đám mây nội bộ của mình. Đám mây nội bộ có khá ít rủi ro liên quan đến quản lý dữ liệu vì các doanh nghiệp đã kiểm soát được môi trường lưu trữ. Tuy nhiên cũng nên cân nhắc tới các tầng, lớp với các mức độ an ninh phù hợp. Để quản lý hệ thống đảm bảo thì cần xem xét việc kiểm soát truy cập vật lý và hệ thống mật khẩu, quyền truy cập.

 

Lựa chọn nhà cung cấp 

 

Khi  doanh nghiệp thỏa thuận với nhà cung cấp điện toán đám mây thì phải cần chú ý tới những tính huống khắc phục hậu quả nếu có sự cố xảy ra. Ví dụ, khi hệ thống dữ liệu thông tin về khách hàng bị tấn công, và không phải tất cả các thông tin đều bị mất. Vậy việc hỗ trợ, tách rời và di chuyển vùng an toàn đến hệ thống sever khác như thế nào? 

 

Việc tìm kiếm các nhà cung cấp còn phải chú ý đến quyền sở hữu dữ liệu và khả năng kiểm soát.  Nếu trường hợp nhà cung cấp đám mây được yêu cầu cung cấp các thông tin dữ liệu của doanh nghiệp bởi nhà nước hay cơ quan thẩm quyền thì việc đảm bảo toàn vẹn dữ liệu đến mức độ nào? Điều này rất quan trọng đối một số doanh nghiệp quốc tế, ví dụ như rất nhiều công ty đang do dự có nên hay không đặt hệ thống lưu trữ dữ liệu của họ tại các cơ sở của Mỹ vì Đạo luật Patriot và các vấn đề liên quan đến chính sách của chính phủ. Lúc này ngoài hệ thông bảo mật còn yêu cầu các vấn đề về pháp lý tại nước đặt dữ liệu.

 

Nhiều quy định liên quan đến việc lưu trữ và sử dụng dữ liệu, bao gồm cả thanh toán thẻ dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI DSS), các bảo hiểm trách nhiệm Act (HIPAA), đạo luật Sarbanes-Oxley. Các doanh nghiệp nên cân nhắc các dịch vụ đám mây phù hợp với các quy định trên.

 

Không có gì đảm bảo
 

Hầu hết các nhà cung cấp điện toán đám mây không cung cấp một bản sơ lược về cam kết dịch vụ dành cho an ninh dữ liệu (SLA for security) vì lý do là không có gì có thể đảm bảo 100%. Không có gì đảm bảo ở đây có nghĩa là nếu như doanh nghiệp bị tấn công thì việc tối đa có thể làm là hoàn tiền dịch vụ, hỗ trợ pháp lý và truyền thông. Nhà cung cấp điện toán đám mây sẽ không chịu trách nhiệm bồi thường tài chính nếu có lỗ hổng an ninh hay sự cố đột nhập xảy ra và doanh nghiệp là người chịu trách nhiệm cuối cùng về dữ liệu.

 

-- Ban biên tập ASOFT --