Ngay từ đầu kỷ nguyên điện toán đám mây, bảo mật đã là mối quan tâm lớn nhất giữa các doanh nghiệp nhất là các doanh nghiệp cân nhắc sử dụng public cloud. Đối với nhiều tổ chức, ý tưởng lưu trữ dữ liệu hoặc chạy các ứng dụng trên cơ sở hạ tầng mà họ không quản lý trực tiếp dường như không an toàn.
Báo cáo bảo mật đám mây AWS của CloudPassage nhận thấy rằng cấu hình sai của các nền tảng đám mây (71%), exfiltration của dữ liệu nhạy cảm (59%) và API không an toàn (54%) là các mối đe dọa bảo mật đám mây hàng đầu phải đối mặt với các chuyên gia an ninh mạng. Ngoài ra, 95% những người được hỏi khảo sát xác nhận rằng họ cực kỳ quan tâm đến an ninh đám mây công cộng (public cloud security).
Những mối quan tâm đó chắc chắn là hợp lý. Theo báo cáo bảo mật Cloud 2021 của IDC, 79% các công ty được khảo sát đã báo cáo vi phạm dữ liệu đám mây trong 18 tháng qua. Cơ sở hạ tầng đám mây công cộng như một dịch vụ – infrastructure as a service (IaaS) có thể ít bị ảnh hưởng hơn các trung tâm dữ liệu truyền thống, nhưng điều đó không có nghĩa là nó không có những rủi ro riêng. Các doanh nghiệp không muốn trở thành một phần của thống kê đó nên hiểu và thực hiện các thực tiễn tốt nhất về CyberSecure khi nói đến cơ sở hạ tầng đám mây của họ.
Bảo mật đám mây là gì?
Bảo mật đám mây bao gồm tất cả các công nghệ và quy trình đảm bảo cơ sở hạ tầng đám mây của tổ chức được bảo vệ chống lại các mối đe dọa an ninh mạng nội bộ và bên ngoài. Khi nhiều doanh nghiệp tìm đến đám mây như tương lai của doanh nghiệp, bảo mật đám mây là một điều cần thiết tuyệt đối để duy trì tính liên tục.
Top 12 phương án bảo mật đám mây tốt nhất
Bảo mật đám mây vẫn liên tục phát triển qua từng năm, nhưng có một số thực hành tốt nhất vẫn được duy trì và không đổi để đảm bảo an toàn cho môi trường đám mây. Các tổ chức có các giải pháp đám mây hiện tại tại chỗ hoặc đang tìm cách triển khai chúng nên xem xét các mẹo và công cụ này để đảm bảo rằng các ứng dụng và dữ liệu nhạy cảm không rơi vào tay kẻ xấu.
NỘI DUNG:
Hiểu shared responsibility model của bạn
Hỏi nhà cung cấp đám mây của bạn “detailed security questions”
Triển khai một giải pháp quản lý danh tính và truy cập
Đào tạo nhân viên của bạn
Thiết lập và thực thi các chính sách bảo mật đám mây
Bảo mật endpoints của bạn
Mã hóa dữ liệu trong motion and at rest
Sử dụng công nghệ phát hiện và ngăn chặn xâm nhập
Kiểm tra kỹ các yêu cầu tuân thủ của bạn
Xem xét một nhà cung cấp CASB
Tiến hành audits và penetration testing
Kích hoạt nhật ký bảo mật
1. Hiểu shared responsibility model của bạn
Trong một trung tâm dữ liệu riêng tư (private data center), doanh nghiệp hoàn toàn chịu trách nhiệm cho tất cả các vấn đề bảo mật. Nhưng trong đám mây công cộng, mọi thứ phức tạp hơn nhiều. Trong khi buck cuối cùng dừng lại với khách hàng của đám mây, nhà cung cấp đám mây giả định trách nhiệm đối với một số khía cạnh của bảo mật CNTT. Các chuyên gia đám mây và bảo mật gọi đây là mô hình trách nhiệm chung.
IAAs và nền tảng hàng đầu với tư cách là các nhà cung cấp dịch vụ (PAAs) như Amazon Web Services (AWS) và Microsoft Azure cung cấp tài liệu cho khách hàng của họ để tất cả các bên đều hiểu các trách nhiệm cụ thể nằm theo các loại triển khai khác nhau. Ví dụ, sơ đồ bên dưới, cho thấy các điều khiển cấp độ ứng dụng là trách nhiệm của Microsoft với phần mềm như các mô hình dịch vụ software as a service (SaaS), nhưng đó là trách nhiệm của khách hàng trong việc triển khai IAAS. Đối với các mô hình PaaS, Microsoft và khách hàng của nó có thể chia sẻ trách nhiệm.
Các doanh nghiệp đang xem xét một nhà cung cấp đám mây cụ thể nên xem xét các chính sách của mình về các trách nhiệm bảo mật được chia sẻ và hiểu ai đang xử lý các khía cạnh khác nhau của an ninh đám mây. Điều đó có thể giúp ngăn chặn sự truyền thông và hiểu lầm (miscommunication and misunderstanding). Điều quan trọng hơn, mặc dù, sự rõ ràng về trách nhiệm có thể ngăn chặn các sự cố bảo mật xảy ra do một nhu cầu bảo mật cụ thể falling through the cracks.
2. Hỏi nhà cung cấp đám mây của bạn “detailed security questions”
Ngoài việc làm rõ các trách nhiệm chung, các tổ chức nên hỏi các nhà cung cấp đám mây công cộng của họ các câu hỏi chi tiết về các biện pháp và quy trình bảo mật mà họ có tại chỗ. Thật dễ dàng để cho rằng các nhà cung cấp hàng đầu có bảo mật xử lý, nhưng các phương thức và quy trình bảo mật có thể thay đổi đáng kể từ nhà cung cấp này sang nhà cung cấp tiếp theo.
Để hiểu cách một nhà cung cấp đám mây cụ thể so sánh, các tổ chức nên yêu cầu nhiều câu hỏi, bao gồm:
Các máy chủ của nhà cung cấp tập trung ở đâu về mặt địa lý?
Protocol của nhà cung cấp đối với các sự cố an ninh bị nghi ngờ là gì?
Kế hoạch phục hồi thảm họa của nhà cung cấp là gì?
Các biện pháp nào mà nhà cung cấp có sẵn để bảo vệ các thành phần truy cập khác nhau?
Cấp độ hỗ trợ kỹ thuật nào là nhà cung cấp sẵn sàng cung cấp?
Kết quả của các bài test bảo mật gần đây nhất của nhà cung cấp là gì?
Nhà cung cấp có mã hóa dữ liệu trong khi transit and at rest không?
Những vai trò hoặc cá nhân nào từ nhà cung cấp có quyền truy cập vào dữ liệu được lưu trữ trong đám mây?
Nhà cung cấp hỗ trợ phương thức xác thực nào?
Nhà cung cấp hỗ trợ yêu cầu tuân thủ (compliance requirements) nào?
3. Triển khai một giải pháp quản lý danh tính và truy cập
Mối đe dọa lớn thứ tư đối với bảo mật đám mây công cộng được xác định trong báo cáo của CloudPassage là truy cập trái phép (và tăng trưởng đến 53%, tăng từ 42% vào năm 2020). Trong khi các phương thức của tin tặc có quyền truy cập vào dữ liệu nhạy cảm đang trở nên tinh vi hơn với mỗi cuộc tấn công mới, một giải pháp quản lý và quản lý truy cập chất lượng cao (IAM) có thể giúp giảm thiểu các mối đe dọa này.
Các chuyên gia khuyên rằng các tổ chức tìm kiếm một giải pháp IAM cho phép họ xác định và thực thi các chính sách truy cập dựa trên đặc quyền tối thiểu. Những chính sách này cũng nên dựa trên khả năng cho phép theo vai trò. Ngoài ra, xác thực nhiều yếu tố (MFA) có thể làm giảm thêm nguy cơ các hacker có được quyền truy cập vào thông tin nhạy cảm, ngay cả khi họ quản lý để đánh cắp tên người dùng và mật khẩu.
Các tổ chức cũng có thể muốn tìm kiếm một giải pháp IAM hoạt động trong môi trường hybrid bao gồm các trung tâm dữ liệu riêng tư cũng như triển khai đám mây. Điều này có thể đơn giản hóa xác thực cho người dùng cuối và giúp nhân viên bảo mật dễ dàng hơn để đảm bảo rằng họ đang thực thi các chính sách phù hợp trên tất cả các môi trường CNTT.
4. Đào tạo nhân viên của bạn
Để ngăn chặn hacker nhúng tay vào thông tin đăng nhập truy cập cho các công cụ điện toán đám mây, các tổ chức nên đào tạo tất cả các nhân viên về cách phát hiện các mối đe dọa an ninh mạng và xử lý chúng. Đào tạo toàn diện nên bao gồm kiến thức bảo mật cơ bản như cách tạo mật khẩu mạnh và xác định các social engineering attacks có thể cũng như các chủ đề nâng cao hơn như quản lý rủi ro.
Có lẽ quan trọng nhất, đào tạo bảo mật đám mây sẽ giúp nhân viên hiểu rủi ro vốn có của Shadow. Tại hầu hết các tổ chức, tất cả đều quá dễ dàng để nhân viên thực hiện các công cụ và hệ thống của riêng họ mà không có kiến thức hoặc hỗ trợ của bộ phận CNTT. Nếu không có tầm nhìn từ trên xuống dưới của tất cả các hệ thống tương tác với dữ liệu của công ty, không có cách nào để lấy stock của tất cả các lỗ hổng. Doanh nghiệp cần giải thích rủi ro này và hậu quả tiềm tàng của chúng cho nhân viên.
Các tổ chức cũng cần đầu tư vào đào tạo chuyên ngành cho nhân viên an ninh của họ. Cảnh quan mối đe dọa thay đổi hàng ngày, và các chuyên gia bảo mật CNTT chỉ có thể theo kịp nếu họ không ngừng tìm hiểu về các mối đe dọa mới nhất và các biện pháp đối phó tiềm năng.
5. Thiết lập và thực thi các chính sách bảo mật đám mây
Tất cả các tổ chức nên có các hướng dẫn bằng văn bản chỉ định người có thể sử dụng các dịch vụ đám mây, cách họ có thể sử dụng chúng và dữ liệu nào có thể được lưu trữ trong đám mây. Họ cũng cần đặt ra các công nghệ bảo mật cụ thể mà nhân viên phải sử dụng để bảo vệ dữ liệu và ứng dụng trong đám mây.
Lý tưởng nhất, nhân viên an ninh nên có các giải pháp tự động tại chỗ để đảm bảo rằng mọi người đều tuân theo các chính sách này. Trong một số trường hợp, nhà cung cấp đám mây có thể có một tính năng thực thi chính sách đủ để đáp ứng nhu cầu của tổ chức. Ở những người khác, tổ chức có thể cần phải mua một giải pháp của bên thứ ba cung cấp khả năng thực thi chính sách.
6. Bảo mật Endpoints của bạn
Sử dụng dịch vụ đám mây không loại trừ sự cần thiết đối với bảo mật điểm cuối (endpoint) mạnh mẽ mà nó đã tăng cường. Các dự án điện toán đám mây mới mang đến cơ hội để xem lại các chiến lược hiện có và đảm bảo các biện pháp bảo vệ tại chỗ là đủ để giải quyết các mối đe dọa phát triển.
Chiến lược chuyên sâu bao gồm tường lửa, chống phần mềm độc hại, phát hiện xâm nhập và kiểm soát truy cập từ lâu đã là tiêu chuẩn cho bảo mật endpoint. Tuy nhiên, mảng các mối quan tâm bảo mật điểm cuối đã trở nên phức tạp đến mức các công cụ tự động hóa được yêu cầu để theo kịp. Endpoint detection and response (EDR) tools and/or endpoint protection platforms (EPP) có thể giúp ích trong khu vực này.
Các giải pháp EDR và EPP kết hợp các khả năng bảo mật điểm cuối truyền thống với việc theo dõi liên tục và đáp ứng tự động. Cụ thể, các công cụ này giải quyết một số yêu cầu bảo mật, bao gồm patch management, endpoint encryption, VPN và phòng chống đe dọa nội bộ trong số các yêu cầu khác.
7. Mã hóa dữ liệu trong motion and at rest
Mã hóa là một phần quan trọng của bất kỳ chiến lược bảo mật đám mây nào. Các tổ chức không chỉ nên mã hóa bất kỳ dữ liệu nào trong dịch vụ lưu trữ đám mây công cộng, mà chúng cũng nên đảm bảo rằng dữ liệu được mã hóa trong quá trình di chuyển – quá trình có thể dễ bị tấn công nhất.
Một số nhà cung cấp điện toán đám mây cung cấp dịch vụ mã hóa và quản lý khóa. Một số công ty phần mềm truyền thống và đám mây của bên thứ ba cũng cung cấp các tùy chọn mã hóa. Các chuyên gia khuyên bạn nên tìm một sản phẩm mã hóa hoạt động liền mạch với các quy trình làm việc hiện có, loại bỏ nhu cầu về người dùng cuối để thực hiện bất kỳ hành động bổ sung nào để tuân thủ các chính sách mã hóa công ty.
8. Sử dụng công nghệ phát hiện và ngăn chặn xâm nhập
Các hệ thống phòng ngừa và phát hiện xâm nhập (IDPS) là một trong những công cụ bảo mật đám mây hiệu quả nhất trên thị trường. Họ theo dõi, phân tích và đáp ứng lưu lượng mạng trên cả môi trường trên cơ sở và đám mây công cộng. Khi họ gặp các mối đe dọa dựa trên giao thức, dựa trên giao thức, hoặc các giải pháp IDPS sẽ thêm chúng vào nhật ký, thông báo cho các quản trị viên thông báo cho hoạt động bất thường và chặn các mối đe dọa để quản trị viên có đủ thời gian để hành động.
Những công cụ này rất quan trọng đối với việc theo dõi vòng tròn và cảnh báo thời gian thực. Không có IDPS, gần như không thể phân tích lưu lượng mạng cho các dấu hiệu Telltale của một cuộc tấn công tinh vi.
9. Kiểm tra kỹ các yêu cầu tuân thủ của bạn
Các tổ chức thu thập thông tin nhận dạng cá nhân (PII) như những người bán lẻ, chăm sóc sức khỏe và dịch vụ tài chính phải đối mặt với các quy định nghiêm ngặt khi nói đến quyền riêng tư của khách hàng và bảo mật dữ liệu. Một số doanh nghiệp ở một số địa điểm địa lý nhất định hoặc các doanh nghiệp lưu trữ dữ liệu ở các khu vực cụ thể, có thể có các yêu cầu tuân thủ đặc biệt từ chính quyền địa phương hoặc nhà nước.
Trước khi thiết lập một dịch vụ điện toán đám mây mới, các tổ chức nên xem xét các yêu cầu tuân thủ cụ thể của họ và đảm bảo rằng nhà cung cấp dịch vụ của họ sẽ đáp ứng nhu cầu bảo mật dữ liệu của họ.
10. Xem xét một nhà cung cấp CASB
Hàng chục công ty cung cấp các giải pháp hoặc dịch vụ được thiết kế đặc biệt để tăng cường bảo mật đám mây. Nếu nhân viên bảo mật nội bộ của một tổ chức không có chuyên môn về đám mây hoặc nếu các giải pháp bảo mật hiện tại không hỗ trợ môi trường đám mây, doanh nghiệp có thể nghĩ đến việc tìm kiếm các bên thứ ba.
Môi giới bảo mật Truy cập đám mây (Casbs) là các công cụ được xây dựng mục đích để thực thi các chính sách bảo mật đám mây. Họ ngày càng trở nên phổ biến vì nhiều tổ chức đã bắt đầu sử dụng các dịch vụ đám mây. Các chuyên gia nói rằng một giải pháp CASB có thể có ý nghĩa nhất đối với các tổ chức sử dụng nhiều dịch vụ điện toán đám mây từ một số nhà cung cấp khác nhau. Những giải pháp này cũng có thể giám sát các ứng dụng và quyền truy cập trái phép.
11. Tiến hành audits và penetration testing
Cho dù một tổ chức chọn hợp tác với một công ty bảo mật bên ngoài hoặc giữ các đội an ninh của công ty, các chuyên gia cho biết tất cả các doanh nghiệp nên chạy thử nghiệm thâm nhập (penetration testing) để xác định xem các nỗ lực bảo mật đám mây hiện tại có đủ để bảo vệ dữ liệu và ứng dụng hay không.
Ngoài ra, các tổ chức nên tiến hành security audits thường xuyên bao gồm phân tích tất cả các khả năng của các nhà cung cấp bảo mật. Điều này sẽ xác nhận rằng họ đang đáp ứng các điều khoản bảo mật đã thỏa thuận. Nhật ký truy cập cũng nên được kiểm toán để đảm bảo chỉ nhân viên phù hợp và được ủy quyền đang truy cập dữ liệu và ứng dụng nhạy cảm trong đám mây.
12. Kích hoạt nhật ký bảo mật
Ngoài việc tiến hành kiểm toán, các tổ chức nên cho phép các tính năng ghi nhật ký cho các giải pháp đám mây của họ. Ghi nhật ký giúp quản trị viên hệ thống theo dõi người dùng đang thực hiện các thay đổi đối với môi trường, một cái gì đó gần như không thể thực hiện thủ công. Nếu hacker đạt được quyền truy cập và thực hiện các thay đổi, các bản ghi sẽ làm rõ tất cả các hoạt động của họ để chúng có thể được khắc phục.
Các cấu hình sai là một trong những thách thức đáng kể nhất về bảo mật đám mây và các khả năng ghi nhật ký hiệu quả sẽ giúp kết nối các thay đổi dẫn đến một lỗ hổng cụ thể để chúng có thể được sửa chữa và tránh trong tương lai. Đăng nhập cũng giúp xác định người dùng cá nhân có thể có nhiều quyền truy cập hơn họ thực sự cần phải thực hiện công việc của họ, vì vậy quản trị viên có thể điều chỉnh các quyền của các quyền đối với mức tối thiểu.
Bảo mật đám mây yêu cầu các công cụ phù hợp
Các chuyên gia nhấn mạnh rằng, trong hầu hết các trường hợp, mối quan tâm về bảo mật không nên hạn chế các tổ chức sử dụng các dịch vụ đám mây công cộng. Thông thường, các tổ chức thực sự có ít vấn đề bảo mật hơn với khối lượng công việc dựa trên đám mây so với các tổ chức chạy trong các trung tâm dữ liệu truyền thống.
Một điều mà chúng tôi nhận thấy có khả năng đúng đắn trong mọi trường hợp, đó là an ninh đám mây mạnh mẽ dựa vào việc có các công cụ phù hợp. Bằng cách thực hiện thực hành tốt nhất về bảo mật đám mây và triển khai các công cụ bảo mật phù hợp, các doanh nghiệp có thể giảm thiểu rủi ro và tận dụng tối đa lợi ích của các ưu đãi điện toán đám mây.