Quản trị rủi ro trong điện toán đám mây
- Thứ sáu - 11/03/2016 17:53
- In ra
- Đóng cửa sổ này
Ngày nay, công nghệ điện toán đám mây rất phát triển, có thể đáp ứng yêu cầu của các tổ chức, doanh nghiệp về việc thuê ngoài dịch vụ CNTT nhằm giảm chi phí. Tuy nhiên, việc dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý và mọi truy cập đều phải thông qua hạ tầng công cộng khiến nhiều đơn vị còn nghi ngại.
Khi đơn vị trực tiếp quản trị hạ tầng CNTT, dữ liệu thì việc xây dựng hệ thống quản lý và quản trị rủi ro được ưu tiên hàng đầu. Trong khi đó, việc quản trị đám mây dữ liệu và các dịch vụ do nhà cung cấp thực hiện, đường truyền dữ liệu đặt trên cơ sở hạ tầng dùng chung sẽ phát sinh nhiều rủi ro. Do đó, việc nghiên cứu quản trị rủi ro trong ngữ cảnh điện toán đám mây là cần thiết, làm nền tảng xây dựng hệ thống quản lý ATTT của đơn vị khi thuê dịch vụ này.
Điện toán đám mây:
Theo định nghĩa của NIST: “Điện toán đám mây là một mô hình mạng cho phép truy cập dễ dàng vào một hệ thống mạng đồng nhất, theo nhu cầu đến một kho tài nguyên tính toán dùng chung (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ), các tài nguyên này có thể được cung cấp và thu hồi một cách nhanh chóng với yêu cầu tối thiểu về quản lý hay sự can thiệp từ phía nhà cung cấp dịch vụ”.
Có ba loại hình dịch vụ điện toán đám mây:
- Phần mềm như một dịch vụ (SaaS): là phần mềm được cung cấp bởi một nhà cung cấp thứ ba, có sẵn theo yêu cầu, thường là thông qua Internet cấu hình từ xa. Ví dụ: xử lý văn bản trực tuyến và các công cụ bảng tính, các dịch vụ CRM, các dịch vụ chuyển phát nội dung trang web (Salesforce CRM, Google Docs,…).
- Nền tảng như một dịch vụ (PaaS): cho phép khách hàng phát triển các ứng dụng riêng bằng cách sử dụng API được triển khai và cấu hình từ xa. Các nền tảng được cung cấp bao gồm các công cụ phát triển, quản lý cấu hình và các nền tảng triển khai. Ví dụ như Microsoft Azure, Force và công cụ Google App.
- Cơ sở hạ tầng như một dịch vụ (IaaS): cung cấp các máy ảo, phần cứng “trừu tượng” và các hệ điều hành có thể được kiểm soát thông qua một API dịch vụ. Ví dụ như Amazon EC2 và S3, Terremark Enterprise Cloud, Windows Live Skydrive và Rackspace Cloud.
Có bốn loại hình triển khai dịch vụ:
- Đám mây riêng là các dịch vụ điện toán đám mây được cung cấp trong nội bộ các doanh nghiệp. Những đám mây này tồn tại bên trong tường lửa và được các doanh nghiệp trực tiếp quản lý. Đây là xu hướng các doanh nghiệp lớn, có đủ lực lượng CNTT, sử dụng nhằm tối ưu hóa hạ tầng CNTT.
- Đám mây công cộng là các dịch vụ được bên thứ ba cung cấp. Chúng tồn tại ngoài tường lửa của công ty và được nhà cung cấp đám mây quản lý. Nó được xây dựng nhằm phục vụ cho mục đích sử dụng công cộng, người dùng sẽ đăng ký với nhà cung cấp và trả phí dịch vụ dựa theo chính sách giá của nhà cung cấp. Đám mây công cộng là mô hình triển khai được sử dụng phổ biến nhất hiện nay của điện toán đám mây.
- Đám mây “lai” hay kết hợp là sự kết hợp của đám mây riêng và công cộng; Cho phép khai thác điểm mạnh của từng mô hình và đưa ra phương thức tối ưu cho người sử dụng. Những đám mây này thường do doanh nghiệp tạo ra và việc quản lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp đám mây công cộng.
- Đám mây cộng đồng là một mô hình triển khai điện toán đám mây mới, bao gồm nhiều doanh nghiệp liên kết với nhau. Các doanh nghiệp sẽ cùng sử dụng các ứng dụng để phục vụ công việc. Các doanh nghiệp tham gia vào mô hình này buộc phải tin tưởng lẫn nhau.
Quản trị rủi ro
Quản trị rủi ro là quá trình tiếp cận rủi ro một cách khoa học và có hệ thống nhằm nhận dạng, kiểm soát, phòng ngừa và giảm thiểu những tổn thất, do yếu tố rủi ro đem lại.
Việc xây dựng một phương pháp có tính hệ thống đối với việc quản lý rủi ro ATTT là cần thiết để nhận biết được những nhu cầu của tổ chức về ATTT và tạo ra một hệ thống quản lý ATTT có hiệu quả. Phương pháp quản trị rủi ro ATTT phải phù hợp với môi trường của tổ chức và đặc biệt phải phù hợp với định hướng chung về quản lý rủi ro của tổ chức. Những nỗ lực đảm bảo ATTT cần phải giải quyết rủi ro theo một cách thức hiệu quả và kịp thời tại vị trí và thời điểm cần thiết. Việc quản trị rủi ro ATTT có thể áp dụng cho việc triển khai và vận hành liên tục hệ thống quản lý ATTT và là một hoạt động không thể thiếu.
Quản trị rủi ro ATTT là một quy trình liên tục. Quy trình này cần thiết phải thiết lập ngữ cảnh nội bộ và ngữ cảnh bên ngoài của tổ chức, đánh giá và xử lý rủi ro theo kế hoạch để triển khai những khuyến nghị và đưa ra quyết định. Quản trị rủi ro phân tích những trường hợp có thể xảy ra và hậu quả có thể gặp phải, trước khi quyết định giải pháp thực hiện để giảm thiểu rủi ro tới mức chấp nhận được.
Quy trình này được hướng dẫn trong tiêu chuẩn ISO/IEC 27005, phiên bản 2011 đã được đề xuất như tiêu chuẩn quốc gia của Việt Nam (TCVN).
Quản trị rủi ro trong ngữ cảnh đám mây
Trong ngữ cảnh đám mây, quản trị rủi ro cần phải quan tâm tới các đặc tính quan trọng nhất liên quan đến ATTT.
- Tính bí mật, những rủi ro sau là hiện hữu: thu lén trên đường truyền liên lạc, nhà cung cấp tiếp cận những dữ liệu nhạy cảm, lộ lọt dữ liệu do nhà cung cấp dịch vụ; lộ lọt dữ liệu phía nội bộ.
- Tính toàn vẹn, những rủi ro có thể là: thao tác dữ liệu đang truyền đưa, thao tác dữ liệu tại phía nhà cung cấp dịch vụ, sửa đổi dữ liệu ngẫu nhiên khi đang truyền đưa, sửa đổi dữ liệu ngẫu nhiên tại phía nhà cung cấp dịch vụ, sửa đổi dữ liệu tại hệ thống nội bộ.
- Tính khả dụng (sẵn sàng) thì những rủi ro sau đáng quan tâm: dịch vụ bị gián đoạn, thời gian ngừng trệ không chủ ý, tấn công tính sẵn sàng, mất truy cập dữ liệu, mất dữ liệu ở phía nhà cung cấp dịch vụ, thiếu tính khả dụng trong hệ thống nội bộ.
Ngoài ra, một số yêu cầu về quản trị rủi ro trong ngữ cảnh đám mây như:
- Về hiệu suất, cần xem xét các vấn đề sau: hiệu suất mạng, hạn chế khả năng mở rộng, sự kém hiệu suất cố ý, các vấn đề hiệu suất của hệ thống nội bộ.
- Về trách nhiệm giải trình cần lưu ý những khả năng: hành vi ăn cắp danh tính, tách biệt người dùng không đầy đủ, ghi nhật ký hoạt động không đầy đủ, truy cập không có thẩm quyền, không ghi nhật ký của hệ thống nội bộ.
- Về vấn đề bảo trì cần quan tâm: khả năng tùy biến hạn chế, các quy trình nghiệp vụ không phù hợp, không tương thích với công nghệ mới, hạn chế thao tác với dữ liệu, công nghệ độc quyền, việc bảo trì không đầy đủ, việc cập nhật trong thời gian không phù hợp.
Những rủi ro trên có những vấn đề phụ thuộc trong hệ thống nội bộ, nhưng đa phần đề cập đến đường truyền công cộng và đặc biệt là ở phía nhà cung cấp dịch vụ. Tùy theo loại hình dịch vụ cung cấp mà rủi ro đó nhiều hơn hay ít hơn.
Nhận xét
Trong hệ thống nội bộ, đơn vị có thể thực hiện đánh giá và kiểm soát những rủi ro. Tuy nhiên, những người cung cấp dịch vụ thường đánh giá thấp, hoặc không nhắc đến các rủi ro khi sử dụng dịch vụ này. Do vậy, cần quan tâm đến đánh giá của các hãng thứ ba, bởi họ có điều kiện, khả năng và nhìn nhận khách quan trong việc đánh giá. Bên cạnh đó, khi lựa chọn sử dụng dịch vụ điện toán đám mây, cần lưu ý đến các chứng chỉ được cấp cho nhà cung cấp dịch vụ.
Các dịch vụ điện toán đám mây được cung cấp trên cơ sở một hợp đồng trách nhiệm (Service Level Agreement -SLA), đây là cơ sở pháp lý quan trọng trong các tranh chấp, bất đồng sau này. Hợp đồng thông thường bao gồm chất lượng dịch vụ, tính sẵn sàng, độ tin cậy và an toàn.
Những nội dung nêu trên nhằm hỗ trợ các tổ chức, doanh nghiệp đánh giá, cân nhắc khi có kế hoạch thuê ngoài dịch vụ CNTT và đặc biệt là dịch vụ điện toán đám mây.
Điện toán đám mây:
Theo định nghĩa của NIST: “Điện toán đám mây là một mô hình mạng cho phép truy cập dễ dàng vào một hệ thống mạng đồng nhất, theo nhu cầu đến một kho tài nguyên tính toán dùng chung (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ), các tài nguyên này có thể được cung cấp và thu hồi một cách nhanh chóng với yêu cầu tối thiểu về quản lý hay sự can thiệp từ phía nhà cung cấp dịch vụ”.
Có ba loại hình dịch vụ điện toán đám mây:
- Phần mềm như một dịch vụ (SaaS): là phần mềm được cung cấp bởi một nhà cung cấp thứ ba, có sẵn theo yêu cầu, thường là thông qua Internet cấu hình từ xa. Ví dụ: xử lý văn bản trực tuyến và các công cụ bảng tính, các dịch vụ CRM, các dịch vụ chuyển phát nội dung trang web (Salesforce CRM, Google Docs,…).
- Nền tảng như một dịch vụ (PaaS): cho phép khách hàng phát triển các ứng dụng riêng bằng cách sử dụng API được triển khai và cấu hình từ xa. Các nền tảng được cung cấp bao gồm các công cụ phát triển, quản lý cấu hình và các nền tảng triển khai. Ví dụ như Microsoft Azure, Force và công cụ Google App.
- Cơ sở hạ tầng như một dịch vụ (IaaS): cung cấp các máy ảo, phần cứng “trừu tượng” và các hệ điều hành có thể được kiểm soát thông qua một API dịch vụ. Ví dụ như Amazon EC2 và S3, Terremark Enterprise Cloud, Windows Live Skydrive và Rackspace Cloud.
Có bốn loại hình triển khai dịch vụ:
- Đám mây riêng là các dịch vụ điện toán đám mây được cung cấp trong nội bộ các doanh nghiệp. Những đám mây này tồn tại bên trong tường lửa và được các doanh nghiệp trực tiếp quản lý. Đây là xu hướng các doanh nghiệp lớn, có đủ lực lượng CNTT, sử dụng nhằm tối ưu hóa hạ tầng CNTT.
- Đám mây công cộng là các dịch vụ được bên thứ ba cung cấp. Chúng tồn tại ngoài tường lửa của công ty và được nhà cung cấp đám mây quản lý. Nó được xây dựng nhằm phục vụ cho mục đích sử dụng công cộng, người dùng sẽ đăng ký với nhà cung cấp và trả phí dịch vụ dựa theo chính sách giá của nhà cung cấp. Đám mây công cộng là mô hình triển khai được sử dụng phổ biến nhất hiện nay của điện toán đám mây.
- Đám mây “lai” hay kết hợp là sự kết hợp của đám mây riêng và công cộng; Cho phép khai thác điểm mạnh của từng mô hình và đưa ra phương thức tối ưu cho người sử dụng. Những đám mây này thường do doanh nghiệp tạo ra và việc quản lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp đám mây công cộng.
- Đám mây cộng đồng là một mô hình triển khai điện toán đám mây mới, bao gồm nhiều doanh nghiệp liên kết với nhau. Các doanh nghiệp sẽ cùng sử dụng các ứng dụng để phục vụ công việc. Các doanh nghiệp tham gia vào mô hình này buộc phải tin tưởng lẫn nhau.
Quản trị rủi ro
Quản trị rủi ro là quá trình tiếp cận rủi ro một cách khoa học và có hệ thống nhằm nhận dạng, kiểm soát, phòng ngừa và giảm thiểu những tổn thất, do yếu tố rủi ro đem lại.
Việc xây dựng một phương pháp có tính hệ thống đối với việc quản lý rủi ro ATTT là cần thiết để nhận biết được những nhu cầu của tổ chức về ATTT và tạo ra một hệ thống quản lý ATTT có hiệu quả. Phương pháp quản trị rủi ro ATTT phải phù hợp với môi trường của tổ chức và đặc biệt phải phù hợp với định hướng chung về quản lý rủi ro của tổ chức. Những nỗ lực đảm bảo ATTT cần phải giải quyết rủi ro theo một cách thức hiệu quả và kịp thời tại vị trí và thời điểm cần thiết. Việc quản trị rủi ro ATTT có thể áp dụng cho việc triển khai và vận hành liên tục hệ thống quản lý ATTT và là một hoạt động không thể thiếu.
Quản trị rủi ro ATTT là một quy trình liên tục. Quy trình này cần thiết phải thiết lập ngữ cảnh nội bộ và ngữ cảnh bên ngoài của tổ chức, đánh giá và xử lý rủi ro theo kế hoạch để triển khai những khuyến nghị và đưa ra quyết định. Quản trị rủi ro phân tích những trường hợp có thể xảy ra và hậu quả có thể gặp phải, trước khi quyết định giải pháp thực hiện để giảm thiểu rủi ro tới mức chấp nhận được.
Quy trình này được hướng dẫn trong tiêu chuẩn ISO/IEC 27005, phiên bản 2011 đã được đề xuất như tiêu chuẩn quốc gia của Việt Nam (TCVN).
Quản trị rủi ro trong ngữ cảnh đám mây
Trong ngữ cảnh đám mây, quản trị rủi ro cần phải quan tâm tới các đặc tính quan trọng nhất liên quan đến ATTT.
- Tính bí mật, những rủi ro sau là hiện hữu: thu lén trên đường truyền liên lạc, nhà cung cấp tiếp cận những dữ liệu nhạy cảm, lộ lọt dữ liệu do nhà cung cấp dịch vụ; lộ lọt dữ liệu phía nội bộ.
- Tính toàn vẹn, những rủi ro có thể là: thao tác dữ liệu đang truyền đưa, thao tác dữ liệu tại phía nhà cung cấp dịch vụ, sửa đổi dữ liệu ngẫu nhiên khi đang truyền đưa, sửa đổi dữ liệu ngẫu nhiên tại phía nhà cung cấp dịch vụ, sửa đổi dữ liệu tại hệ thống nội bộ.
- Tính khả dụng (sẵn sàng) thì những rủi ro sau đáng quan tâm: dịch vụ bị gián đoạn, thời gian ngừng trệ không chủ ý, tấn công tính sẵn sàng, mất truy cập dữ liệu, mất dữ liệu ở phía nhà cung cấp dịch vụ, thiếu tính khả dụng trong hệ thống nội bộ.
Ngoài ra, một số yêu cầu về quản trị rủi ro trong ngữ cảnh đám mây như:
- Về hiệu suất, cần xem xét các vấn đề sau: hiệu suất mạng, hạn chế khả năng mở rộng, sự kém hiệu suất cố ý, các vấn đề hiệu suất của hệ thống nội bộ.
- Về trách nhiệm giải trình cần lưu ý những khả năng: hành vi ăn cắp danh tính, tách biệt người dùng không đầy đủ, ghi nhật ký hoạt động không đầy đủ, truy cập không có thẩm quyền, không ghi nhật ký của hệ thống nội bộ.
- Về vấn đề bảo trì cần quan tâm: khả năng tùy biến hạn chế, các quy trình nghiệp vụ không phù hợp, không tương thích với công nghệ mới, hạn chế thao tác với dữ liệu, công nghệ độc quyền, việc bảo trì không đầy đủ, việc cập nhật trong thời gian không phù hợp.
Những rủi ro trên có những vấn đề phụ thuộc trong hệ thống nội bộ, nhưng đa phần đề cập đến đường truyền công cộng và đặc biệt là ở phía nhà cung cấp dịch vụ. Tùy theo loại hình dịch vụ cung cấp mà rủi ro đó nhiều hơn hay ít hơn.
Nhận xét
Trong hệ thống nội bộ, đơn vị có thể thực hiện đánh giá và kiểm soát những rủi ro. Tuy nhiên, những người cung cấp dịch vụ thường đánh giá thấp, hoặc không nhắc đến các rủi ro khi sử dụng dịch vụ này. Do vậy, cần quan tâm đến đánh giá của các hãng thứ ba, bởi họ có điều kiện, khả năng và nhìn nhận khách quan trong việc đánh giá. Bên cạnh đó, khi lựa chọn sử dụng dịch vụ điện toán đám mây, cần lưu ý đến các chứng chỉ được cấp cho nhà cung cấp dịch vụ.
Các dịch vụ điện toán đám mây được cung cấp trên cơ sở một hợp đồng trách nhiệm (Service Level Agreement -SLA), đây là cơ sở pháp lý quan trọng trong các tranh chấp, bất đồng sau này. Hợp đồng thông thường bao gồm chất lượng dịch vụ, tính sẵn sàng, độ tin cậy và an toàn.
Những nội dung nêu trên nhằm hỗ trợ các tổ chức, doanh nghiệp đánh giá, cân nhắc khi có kế hoạch thuê ngoài dịch vụ CNTT và đặc biệt là dịch vụ điện toán đám mây.