Những quy trình đánh giá chính thức cho các dịch vụ điện toán đám mây rất phổ biến nhiều lĩnh vực. Những quy trình đánh giá này đa dạng về cả độ sâu và độ rộng. Mục đích của chúng là xác định những dịch vụ điện toán đám mây phù hợp nhất cho nhu cầu của doanh nghiệp, đồng thời, đáp ứng những kỳ vọng của ngành và quản lý tốt rủi ro công nghệ. Bài Blog này sẽ cung cấp những hướng dẫn đơn giản để giúp bạn xây dựng và tối ưu hóa quy trình đánh giá hiện có của bạn cho các dịch vụ điện toán đám mây.
Chúng tôi thường xuyên gặp gỡ khách hàng để thảo luận về các quy trình quản trị và đánh giá hệ thống điện toán đám mây của họ. Và trong những cuộc đối thoại với khách hàng, chúng tôi tiếp nhận được những chủ đề chung mà rất nhiều doanh nghiệp nhận thấy. Đầu tiên, mặc dù những quy trình đánh giá là chính thức, chúng thường không được biết đến. Do đó, các nhóm sẽ làm việc theo một quy trình mà không nhất thiết phải hiểu những kết quả về mặt kinh doanh của quy trình ấy. Nếu không có quyền sở hữu mạnh mẽ, những người tham gia và phạm vi đánh giá sẽ không nhất quán. Đôi khi, chỉ dựa vào chuyên môn và nỗ lực tốt nhất của một cá nhân, thay vì một khuôn khổ sẽ cho phép sự phân biệt rõ ràng giữa các chức năng. Và chủ đề cuối cùng với ngoại lệ gần như bằng 0, khách hàng cảm thấy nâng cao chất lượng của quy trình đánh giá, đồng thời, tăng cường chia sẻ kiến thức để lặp lại và xây dựng dựa trên kết quả học tập sẽ lập tức mang lại nhiều cơ hội ý nghĩa.
Tại sao quy trình đánh đánh giá chính thức dịch vụ điện toán đám mây lại quan trọng đến vậy?
Các công ty dịch vụ tài chính chia sẻ nghĩa vụ được quy định để chứng minh việc giám sát rủi ro công nghệ. Theo truyền thống, khuôn khổ rủi ro doanh nghiệp đa nghĩa là “ba tuyến phòng thủ” viết tắt là 3loD. Tuyến phòng thủ đầu tiên là tuyến tiếp nhận rủi ro và thực hành kiểm soát; tuyến thứ hai sẽ bảo vệ, giám sát rủi ro và đánh giá các hành động kiểm soát; và tuyến phòng thủ cuối cùng sẽ kiểm toán độc lập nội bộ hoặc đảm bảo rủi ro. 3LoD này chịu trách nhiệm về rủi ro công nghệ và thường thu thập các chính sách nội bộ, các thủ tục được văn bản hóa trong nhóm của chúng với một loạt các đánh giá và kiểm toán, được ban hành và thực hiện trên các tuyến phòng thủ khác.
Việc tích hợp các quy trình đánh giá đám mây vào khuôn khổ rủi ro doanh nghiệp hiện có này cho phép tổ chức đưa ra bằng chứng thích hợp về cách các quyết định công nghệ quan trọng được đưa ra. Ngoài ra, cách rủi ro được đánh giá và giảm thiểu cũng như cách sức mạnh của môi trường kiểm soát phù hợp với khẩu vị rủi ro như thế nào, đồng thời, đưa ra hướng đi để tập trung vào các sắc thái của dịch vụ dựa vào điện toán đám mây.
Lưu ý khi tối ưu hóa quy trình đánh giá đám mây
Với mong đợi của khách hàng, chúng tôi đưa ra ba phương thức hành động mà khách hàng có thể thực hiện để xây dựng và cải thiện quy trình đánh giá đám mây của họ:
Chính thức hóa cơ cấu quản trị: Nếu chưa được chính thức hóa, bước đầu tiên các doanh nghiệp nên thực hiện là chỉ định một Giám đốc cấp cao để chịu trách nhiệm giải trình việc quản trị và kiểm soát đám mây.
Ưu tiên biện pháp kiểm soát nền tảng: Khi định hình đánh giá đám mây của bạn, hãy giới thiệu sự khác biệt trong mức độ ưu tiên và yêu cầu giữa nền tảng điện toán đám mây và chức năng ứng dụng kinh doanh. Hãy nhấn mạnh các biện pháp kiểm soát cấp nền tảng để bảo mật và đảm bảo khả năng phục hồi và đảm bảo chúng là ưu tiên hàng đầu của bạn. Khi bạn chuyển trọng tâm sang chức năng ứng dụng kinh doanh, bạn có thể điều chỉnh các đánh giá dựa trên các quy tắc kế thừa từ nền tảng điện toán đám mây của bạn.
Tích hợp tính năng cải tiến liên tục: Từ ban đầu, việc chia sẻ kiến thức và cải tiến liên tục phải là ưu tiên hàng đầu. Sự minh bạch sẽ xây dựng được lòng tin xuyên suốt cả 3 tuyến phòng thủ trong giai đoạn phát triển và đánh giá các biện pháp kiểm soát. Chủ động và có ý thức chia sẻ sẽ tạo niềm tin rằng các biện pháp kiểm soát đã được thiết kế chính xác và đang hoạt động hiệu quả cho trường hợp sử dụng ban đầu. Khi mức độ sử dụng và kiến thức chuyên môn với AWS tăng lên, nó tạo điều kiện cải thiện liên tục về cường độ kiểm soát cũng như phạm vi hoạt động.
Chính thức hóa cơ cấu quản trị
Việc xác định giám đốc cấp cao phù hợp với trách nhiệm giải trình đầy đủ với việc quản trị đám mây là bước đầu tiên và cực kỳ quan trọng. Ngay từ đầu, cá nhân này sẽ đặt ra tiêu chuẩn cho việc quản trị và kiểm soát đám mây; chịu trách nhiệm tạo ra cấu trúc và quy trình để đánh giá, sử dụng và giám sát liên tục đám mây. Điều quan trọng là phải chỉ định một lãnh đạo mạnh mẽ với vị trí tốt, người có xu hướng thiết lập một môi trường được kiểm soát tốt và nhanh nhẹn, tận dụng được chuyên môn của toàn bộ tổ chức.
Sau khi được phân công, vị lãnh đạo đó phải chính thức hóa cấu trúc chức năng chéo định hình nên quá trình đánh giá, hệ thống hóa các chính sách và các quy trình quản lý bắt buộc, đồng thời, hỗ trợ các bài đánh giá liên tục. Theo kinh nghiệm của chúng tôi, một nhóm ảo sẽ hoạt động hiệu quả nhất khi tận dụng được đa dạng các chuyên môn khác nhau và được hỗ trợ bởi một khuôn khổ quản trị chính thức.
Những lưu ý để quản trị đám mây một cách hiệu quả:
Chiến lược đám mây với quy mô toàn doanh nghiệp sẽ vạch ra các mục tiêu để quản trị đám mây hiệu quả và tiếp nhận kiến thức chuyên môn xây dựng được theo thời gian với mức độ chấp nhận và sử dụng được đo lường..
Một giám đốc điều hành được phân công, tham gia và cam kết chịu trách nhiệm về quản trị đám mây được tích hợp vào cấu trúc quản trị tổng thể, với nhiệm vụ giám sát liên tục nền tảng này.
Các bên có hiểu biết liên quan và chủ động tham gia đến quy trình kiểm soát và rủi ro (trên cả ba tuyến phòng thủ) với tư cách là những nhân viên quản trị đám mây chính thức.
Xác định nhóm hỗ trợ đám mây, có sự liên kết chính thức với các quy trình và khuôn khổ quản trị doanh nghiệp.
Quy trình xác định được thông báo cho tổ chức, với việc tự động thực thi để đảm bảo chỉ sử dụng các dịch vụ đám mây được cấp phép.
Ưu tiên Kiểm soát nền tảng
Một mô hình phổ biến mà chúng tôi đã quan sát được khi làm việc với khách hàng là tạo ra một phương pháp tiếp cận phù hợp với tất cả để đánh giá các dịch vụ đám mây. Điều này thường xuất hiện dưới dạng từng dịch vụ đơn lẻ, đi kèm với một danh sách kiểm tra chi tiết xem bạn đã hoàn thành các phương pháp chưa.
Tuy nhiên, phương pháp tiếp cận này chưa được tối ưu. Đầu tiên, nó giả định rằng các mối đe dọa đối với mỗi dịch vụ là tương đương nhau và do đó, việc sử dụng các quy trình đánh giá giống nhau nhằm xác định các biện pháp kiểm soát cần thiết sẽ là bắt buộc. Thứ hai, cách tiếp cận này không cho phép người đánh giá phân biệt theo khả năng hoặc chức năng, ví dụ, cho phép phân biệt dịch vụ sử dụng data với dịch vụ tính toán. Quan trọng nhất, phương pháp này không tính đến nền tảng kiểm soát hiện có (và do đó, nó có thể phóng đại nhu cầu bổ sung quy trình kiểm soát).
Theo chúng tôi, một khuôn khổ kiểm soát đã được kiểm nghiệm sẽ là thứ hoạt động hiệu quả nhất. Khuôn khổ này thiết lập một nền tảng không thể thương lượng và sau đó thêm các quy trình kiểm soát bắt buộc dựa trên các yếu tố khác, bao gồm môi trường, độ nhạy của dữ liệu và mức độ nghiêm trọng của doanh nghiệp. Sự khác biệt này cho phép thử nghiệm mà không đưa ra các mức rủi ro không phù hợp. Cụ thể, trong khi một số biện pháp kiểm soát phải mang tính ngăn ngừa ngay từ đầu ở trong mọi môi trường và với tất cả các loại dữ liệu, các biện pháp khác có thể bắt đầu với tư cách trinh thám, hỗ trợ trong việc giám sát. Mục tiêu cuối cùng là một môi trường đám mây được kiểm soát tốt.
Những yếu tố tạo nên nền tảng kiểm soát không thể thương lượng
Ở cấp độ cao nhất, bạn sẽ muốn tự tin rằng:
1) Tài nguyên đám mây nội bộ của bạn không thể truy cập công khai.
2) Người dùng của bạn chỉ có quyền truy cập vào chức năng phù hợp với vai trò của họ.
3) Môi trường đám mây của bạn có khả năng phục hồi.
4) Bạn có sẵn các bộ giám sát để xác định và giải quyết các điểm bất thường. Với sự tin tưởng vào nền tảng này, sự thoải mái khi thử nghiệm sẽ tăng lên.
Một nền tảng đám mây được kiểm soát tốt sẽ nhấn mạnh:
Bộ dịch vụ kiểm soát đã được xác định, chẳng hạn như AWS Organizations, AWS Identity and Access Management (IAM), và AWS Firewall Manager. Bộ dịch vụ này đóng vai trò nền tảng kiểm soát cho môi trường đám mây của bạn.
AWS Service Catalog cho phép tự phục vụ, đồng thời thực thi các biện pháp kiểm soát bắt buộc.
Những biện pháp kiểm soát môi trường và giám sát hoạt động như AWS Config, AWS CloudTrail, Amazon GuardDuty, and AWS Security Hub. Trách nhiệm giải trình rõ ràng cho những hành động đối với những bất thường đã được xác định, với tùy chọn để tự động hóa hành động khắc phục bằng cách sử dụng AWS Lambda và AWS Systems Manager Automation documents.
Với nền tảng vững chắc, việc đánh giá các dịch vụ riêng lẻ có thể được sắp xếp hợp lý
Xây dựng dựa trên nền tảng đám mây cơ bản, việc đánh giá các dịch vụ đám mây riêng lẻ có thể được cá nhân hóa cho dịch vụ và việc sử dụng đã được dự kiến.
Củng cố và mở rộng dựa trên các cân nhắc kiểm soát và vì các biện pháp đánh giá sẽ được thực hiện cho các dịch vụ riêng lẻ. Bạn nên xác nhận rằng: 1) Dữ liệu nhạy cảm của bạn đã được mã hóa, tốt nhất là sử dụng khóa chính cho khách hàng (AWS Key Management Service with a Customer Master Key). 2) Quyền truy cập công khai có thể bị hạn chế (thường đạt được nhiều nhất thông qua việc sử dụng VPC endpoints). 3) Khả năng thích ứng và phục hồi mạnh mẽ. 4) Độ sâu và chiều rộng mong muốn của giám sát cấu hình (thường đạt được bằng cách tích hợp dịch vụ với AWS Config).
That basic confirmation helps to inform whether the cloud platform provides adequate control to allow for experimentation. This also allows the organization to gain valuable experience, while preventative access policies are defined. Also, configurations are set to enforce encryption, monitoring services updated to include new services, and corrective automation engineered to address anomalies.
Những chứng nhận cơ bản đó cho biết liệu nền tảng điện toán đám mây có cung cấp đủ quyền kiểm soát để cho phép thử nghiệm hay không. Điều này cũng cho phép tổ chức thu được kinh nghiệm quý giá, đồng thời xác định các chính sách truy cập phòng ngừa. Ngoài ra, các cấu hình cũng được cài đặt để thực thi mã hóa, các dịch vụ giám sát được cập nhật để bổ sung các dịch vụ mới và tính năng tự động hóa sửa lỗi cũng được thiết kế để giải quyết các hiện tượng bất thường.
Cách tiếp cận song song này cho phép sự tham gia mang tính chất hợp tác nhằm nắm bắt được các trường hợp sử dụng phổ biến, xác định các mẫu kiến trúc và cấu hình để tích hợp vào pipelines; hiểu được các trường hợp sử dụng trong kinh doanh để xác nhận phạm vi kiểm soát trước khi đi vào sử dụng.
Tích hợp cải tiến liên tục
Yếu tố cuối cùng và quan trọng nhất là tích hợp cải tiến liên tục vào tất cả các khía cạnh trong việc quản trị đám mây của bạn. Sự hợp tác thường xuyên, đánh giá các biện pháp kiểm soát một cách nghiêm túc và phân tích nhanh chóng nguyên nhân gốc rễ cho mọi sự cố sẽ thúc đẩy sự tin tưởng. Ngược lại, niềm tin sẽ khuyến khích sự linh hoạt trong quản trị, phát triển và vận hành.
Sự cộng tác thường xuyên giữa các chức năng sẽ khuyến khích:
Kiểm thử liên tục, cùng với việc tích hợp các biện pháp kiểm soát vào quy trình phát triển. Điều này cho phép các kỹ sư giải quyết các vấn đề tiềm ẩn liên quan đến kiểm soát trong quá trình phát triển và giúp đảm bảo việc xác nhận tính bảo mật tính bảo mật và tuân thủ được hoàn thành trước khi đưa vào sử dụng.
Tăng cường tự động hóa trong quá trình hoạt động, nâng cao khả năng giám sát và thường xuyên đánh giá khả năng phục hồi và khắc phục sau thảm họa. Điều này mang lại niềm tin về khả năng chống chọi với các vấn đề không được lường trước.
Tích cực tham gia vào các chức năng kiểm toán và rủi ro nội bộ để chủ động xem xét và đánh giá môi trường kiểm soát, bao gồm cả thiết kế các biện pháp kiểm soát và hiệu quả hoạt động.
Tận dụng AWS Well-Architected Framework để hỗ trợ việc xác thực xem liệu môi trường của bạn có còn an toàn, linh hoạt, hoạt động hiệu quả và được tối ưu hóa chi phí hay không.
Kết luận
Với những hướng dẫn nêu trên, chúng tôi tin rằng bạn sẽ có thể tạo ra một môi trường hợp tác trên cả ba tuyến phòng thủ và tiếp thu văn hóa nhanh nhẹn để tận dụng tiềm năng đột phá của điện toán đám mây.
Chúng tôi khuyến nghị bạn bắt đầu với phương pháp cuối cùng và chính thức hóa thông tin liên lạc để rút ra bài học kinh nghiệm và chia sẻ thông tin. Bắt đầu với việc đánh giá trạng thái hiện tại một cách cở mở và trung thực sẽ tạo dựng niềm tin trong toàn bộ tổ chức và đặt nền tảng quan trọng cho sự cải tiến liên tục.
Chúng tôi rất muốn biết liệu những phương pháp này có hữu ích trong việc tối ưu hóa phương pháp đánh giá đám mây của bạn, tăng mức độ tương tác trên các chức năng kiểm toán và rủi ro, đồng thời tăng cường quản trị đám mây tổng thể hay không.
Chúc bạn thành công trong công cuộc quản trị đám mây của mình!