Thật thú vị khi chúng ta nhìn lại chặng đường phát triển của “điện toán đám mây” trong hai thập kỷ qua. Có thể nhận thấy rất nhiều sự đổi mới tạo lên làn sóng công nghệ mới – từ sự bùng nổ của công nghệ không máy chủ (cho phép các công ty mở rộng quy mô và xây dựng nền tảng với tốc độ nhanh chưa từng thấy trước đó) đến sự phát triển của bảo mật tự động hóa đám mây.
Những đổi mới này đã cho phép các tổ chức cải thiện sự nhanh nhạy trong kinh doanh và giảm chi phí; nhưng họ cũng đã tăng cường khả năng bị tấn công theo như một báo cáo IDC gần đây, trong đó nhấn mạnh rằng 98% tổ chức đã bị ít nhất một lần vi phạm bảo mật đám mây trong 18 tháng trước đó.
Dựa trên những điều này, dưới đây là các xu hướng bảo mật đám mây hàng đầu dự kiến sẽ xuất hiện vào năm 2022.
1. Sự phát triển của serverless
Chúng ta đang chứng kiến ngày càng nhiều tổ chức áp dụng kiến trúc không máy chủ trong nền tảng của họ. Điều này có nghĩa là không chỉ sử dụng các dịch vụ FaaS (Function as a Service) của các nhà cung cấp dịch vụ đám mây, mà còn đào sâu vào nhiều loại dịch vụ không máy chủ có sẵn. Với các dịch vụ không máy chủ mới được giới thiệu hàng quý, điều quan trọng là phải hiểu những rủi ro tiềm ẩn có thể phát sinh.
Ví dụ: AWS Pinpoint là một dịch vụ AWS cung cấp công cụ tiếp thị và email, nhắn tin SMS, dễ dàng thiết lập và bắt đầu tích hợp Lambda, cổng API, v.v. Với vô số tùy chọn và tính năng tích hợp, điều quan trọng đối với các nhà phát triển ứng dụng và nhóm CNTT đám mây để hiểu cấu hình bảo mật trông như thế nào và những rủi ro tiềm ẩn liên quan đến các công cụ này.
Chúng tôi cũng thấy những thứ như kiến trúc “distroless” đang được sử dụng để có nhiều quyền kiểm soát hơn đối với kiến trúc FaaS trên nhiều CSP. Với việc tăng cường kiểm soát các loại quyết định kiến trúc này sẽ tạo ra một cách suy nghĩ mới về bảo mật. Chúng tôi tập trung vào các mô hình mới này và đang xem xét cách nghĩ về bảo mật khi nhiều dịch vụ không máy chủ đang được sử dụng. Trong năm tới, chúng tôi đang theo dõi sát sao về serverless và cách tốt nhất để bảo mật nó, đồng thời nâng cao hiệu quả và giảm thiểu rủi ro.
2. DevSecOps
Nhiều tổ chức đang bắt đầu áp dụng đầy đủ Cơ sở hạ tầng dưới dạng mã (Infrastructure-as-Code – IaC) để tạo ra các môi trường dựa trên đám mây hoàn toàn tự trị. Từ góc độ bảo mật, đảm bảo rằng chuỗi cung ứng từ mã đến sản xuất được bảo vệ và giám sát đang trở thành mối quan tâm ngày càng tăng của các tổ chức. Chúng tôi đang thấy các công cụ trong không gian này bắt đầu hoàn thiện và các chiến lược mới đang được triển khai. Ví dụ: bạn có thể làm những việc như xác thực trước cấu hình và kiến trúc, đảm bảo kiến trúc và mã của bạn tuân thủ và bảo mật trước khi chuyển sang sản xuất. Trong năm tới, chúng tôi hy vọng sẽ thấy nhiều công cụ của bên thứ ba được giới thiệu và các dịch vụ dựa trên đám mây gốc để hỗ trợ tốt hơn cho chuỗi cung ứng tổng thể.
3. More multi-cloud
Các chiến lược đa đám mây luôn tồn tại – và nhiều doanh nghiệp đang chọn công nghệ phù hợp nhất cho nền tảng của họ đồng thời tạo ra các kiến trúc linh hoạt sử dụng nhiều hơn một nhà cung cấp dịch vụ đám mây. Chúng ta sẽ sớm thấy mô hình áp dụng này hoàn thiện cùng với các công cụ và thực tiễn bảo mật đa đám mây. Ngoài ra, chúng tôi thấy điện toán cạnh (edge computing) bao trùm “đa đám mây”, sẽ tiếp tục mở rộng đến các nhà máy, cũng như các văn phòng chi nhánh và trung tâm dữ liệu tư nhân.
4. Cơ sở hạ tầng
Ranh giới giữa nhà phát triển ứng dụng và kỹ sư cơ sở hạ tầng đã trở nên rất mờ nhạt. Các nhà phát triển đang tạo kiến trúc đám mây dựa trên các dịch vụ mà họ đang cố gắng sử dụng hoặc tạo cơ sở hạ tầng mới từ cơ sở mã của họ. Các nhóm chức năng chéo (Cross-functional) đang bắt đầu làm việc cùng nhau để suy nghĩ về vai trò của bảo mật trong cách suy nghĩ mới hơn này. Chúng tôi đã phát hiện ra các vectors tấn công mới tiềm năng và cấu hình bảo mật đã giúp khách hàng hiểu được tác động của nó. Chúng tôi nhận thấy rằng xu hướng này sẽ vẫn tiếp tục phát triển hơn trong năm tới.
5. Bảo mật SaaS
Năm ngoái, chúng tôi đã chứng kiến sự gia tăng đột biến về các vụ vi phạm khi sử dụng các nền tảng SaaS. Với sự gia tăng này, chúng tôi cũng đã thấy sự tăng trưởng của các công cụ và dịch vụ bảo mật SaaS như một phản ứng. Một trong những lĩnh vực đó là các công cụ SaaS Security Posture Management (SSPM).
SSPM đang giúp các tổ chức đi sâu vào danh mục SaaS tổng thể của họ để đảm bảo rằng họ đang theo dõi hoạt động trong khi vẫn tuân thủ. Vào năm 2021, chúng tôi đã thấy các SSPM này áp dụng khoảng hơn chục nền tảng, nhưng vào năm 2022, chúng tôi sẽ thấy số lượng nền tảng SaaS được hỗ trợ bởi các công cụ này tăng lên đáng kể. Các tổ chức đang bắt đầu tạo ra một chương trình bảo mật SaaS mạnh mẽ hơn có thể bao gồm toàn bộ danh mục đầu tư của họ, từ việc giới thiệu và xác nhận các nhà cung cấp dựa trên đám mây đến việc giám sát và cảnh báo các nhà cung cấp SaaS trong hệ sinh thái của họ.
Đọc thêm: SaaS là gì?
6. Chính sách truy cập động với kiểm soát truy cập dựa trên thuộc tính (ABAC)
ABAC (attribute-based access control) tận dụng các thẻ để xác định động các quyền truy cập. Ví dụ: nếu tôi có thẻ “dự án”, tôi có thể xây dựng chính sách cấp quyền nếu giá trị của thẻ “dự án” trên thẻ chính khớp với giá trị của cùng một thẻ “dự án” trên tài nguyên hoặc môi trường mục tiêu. Điều này cho phép các chính sách có thể mở rộng và tái sử dụng nhiều hơn, đơn giản hóa việc quản lý và cải thiện khả năng phân tách quyền. Mặc dù nhiều nhà cung cấp dịch vụ đám mây vẫn chưa triển khai cách tiếp cận mới này trên tất cả các dịch vụ (giảm thiểu tiện ích của nó), chúng tôi rất vui khi thấy cách tiếp cận mới này phát triển trong việc áp dụng và hỗ trợ trong năm tới.
Với việc nhiều tổ chức hơn sử dụng môi trường làm việc tại nhà và kết hợp, đồng thời di chuyển khối lượng công việc và dữ liệu lên đám mây, việc đảm bảo cơ sở hạ tầng hỗ trợ đám mây cần phải được xây dựng ngay từ đầu. Đám mây là một yếu tố thúc đẩy năng suất kinh doanh, nhưng nó phải được sử dụng với cách tiếp cận ưu tiên bảo mật để giảm thiểu rủi ro trong khi đồng thời nâng cao năng suất.