Tuy nhiên, triển khai công nghệ điện toán đám mây, đồng nghĩa với việc dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý; mọi truy cập phải thông qua hạ tầng công cộng.. Hướng dẫn
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN
-🙠🕮🙢 -
BÁO CÁO BÀI TẬP LỚN
ĐỀ TÀI: TÌM HIỂU VỀ TIÊU CHUẨN ENISA TRONG
ĐIỆN TOÁN ĐÁM MÂY
Giảng viên hướng dẫn: ThS Nguyễn Thị Thu Thủy
Sinh viên thực hiện: Đỗ Phúc Lộc – AT140527
Đào Nhật Linh – AT140424 Lưu Thái Tuấn – AT140551 Dương Trung Anh – AT140401 Nguyễn Ngọc Tuấn – AT140647
Hà Nội, 2021
Trang 2MỤC LỤC
LỜI NÓI ĐẦU 4
CHƯƠNG 1 : GIỚI THIỆU 5
CHƯƠNG 2 : KHÁI NIỆM CƠ BẢN VỀ ĐIỆN TOÁN ĐÁM MÂY 6
CHƯƠNG 3 : CƠ HỘI VỀ MẠNG VÀ BẢO MẬT THÔNG TIN 9
3.1 Trải rộng địa lý 10
3.2 Độ co giãn 10
3.3 Các định dạng và giao diện chuẩn 11
3.4 Bảo mật vật lí 11
3.5 Phản ứng sự cố suốt ngày đêm 12
3.6 Phát triển phần mềm an toàn 12
3.7 Vá và cập nhật 13
3.8 Sao lưu 13
3.9 Bộ nhớ phía máy chủ 14
3.10 An ninh dưới dạng dịch vụ và các tiện ích bổ sung bảo mật 14
3.11 Chứng nhận và tuân thủ 15
CHƯƠNG 4 : RỦI RO VỀ MẠNG VÀ BẢO MẬT THÔNG TIN 16
4.1 Các lỗ hổng bảo mật phần mềm 17
4.2 Các cuộc tấn công mạng 17
4.3Các cuộc tấn công kỹ thuật xã hội 18
4.4Thỏa hiệp giao diện quản lý 18
4.5Mất cắp hoặc mất mát thiết bị 18
4.6Mối nguy vật lý 19
4.7Quá tải 19
4.8Chi phí không mong muốn 19
4.9Khóa nhà cung cấp 20
4.10 Các khía cạnh hành chính hoặc pháp lý 20
4.11 Các vấn đề luật nước ngoài 21
CHƯƠNG 5 : CÂU HỎI BẢO MẬT 22
5.1An ninh tổ chức, quản trị và quản lý rủi ro 22
Trang 35.2Trách nhiệm an ninh 22
5.3Dự phòng và sao lưu 23
5.4Các vấn đề pháp lý, quy định và hành chính 23
5.5An ninh nhân sự 24
5.6 Kiểm soát truy cập 25
5.7 Bảo mật phần mềm 25
5.8Người dùng, quản lý và giao diện lập trình ứng dụng 26
5.9Giám sát và ghi nhật ký 26
5.10 Khả năng tương tác và tính di động 27
5.11Chia tỷ lệ, định cỡ và chi phí 28
5.12 Tuân thủ luật pháp quốc gia / nước ngoài 28
CHƯƠNG 6 : KẾT LUẬN 29
Trang 4LỜI NÓI ĐẦU
Ngày nay, khái niệm điện toán đám mây chắc hẳn không còn xa lạ gì với những người yêu thích công nghệ nữa Chúng ta không thể phủ nhận những lợi ích mà điện toán đám mây đem lại Tuy nhiên, triển khai công nghệ điện toán đám mây, đồng nghĩa với việc
dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý; mọi truy cập phải thông qua
hạ tầng công cộng Điều này khiến nhiều doanh nghiệp còn nghi ngại
Điện toán đám mây đem lại rất nhiều lợi ích Thay vì phải tự mua, tải xuống và bảo trì phần mềm, bạn chỉ cần kết nối với chương trình phần mềm của bên thứ ba qua internet giúp tiết kiệm thời gian, tiền bạc và bạn không còn đau đầu khi phải liên tục cập nhật phần mềm Đó là lý do khi ngày càng có nhiều doanh nghiệp vừa và nhỏ đang sử dụng đám mây độc quyền Tuy nhiên, điện toán đám mây vẫn mang những rủi ro nhất định Việc chia sẻ các chương trình phần mềm với các công ty khác khiến dữ liệu dễ bị đánh cắp và tấn công mạng Và thực tế, rủi ro lớn hơn có thể đến từ chính các nhân viên của
tổ chức
Nếu không có các chương trình đào tạo hoặc không có an ninh mạng thì nhân viên có thể vô tình để lộ thông tin quan trọng, gián tiếp tiếp tay cho các hành vi trộm cắp, hack hoặc các cuộc tấn công nguy hiểm Các công ty cũng cần quản lý chi phí, hoạt động và
hệ thống CNTT để tận dụng được tất cả những lợi ích của điện toán đám mây
Trang 5CHƯƠNG 1 : GIỚI THIỆU
Hướng dẫn này nhằm giúp các doanh nghiệp vừa và nhỏ hiểu rõ các rủi ro và cơ hội về mạng và an toàn thông tin họ nên tính đến khi sử dụng điện toán đám mây Hướng dẫn này chứa danh sách 11 bảo mật các cơ hội về mạng và bảo mật thông tin và danh sách 11 mạng và rủi ro an toàn thông tin Các doanh nghiệp vừa và nhỏ Những danh sách cơ hội và rủi ro này có thể được sử dụng trực tiếp bởi các doanh nghiệp vừa và nhỏ khi họ mua dịch vụ đám mây Đối với hai tình huống hư cấu cụ thể, chúng tôi đánh giá rủi ro và cơ hội: Một DNVVN sử dụng SaaS cho email và tài liệu và một DNVVN sử dụng IaaS / PaaS để chạy nền tảng webhop Hướng dẫn này cũng chứa một danh sách các bảo mật các câu hỏi mà các doanh nghiệp vừa và nhỏ có thể sử dụng để hiểu các tính năng chính của dịch vụ đám mây phù hợp nhất cho bảo mật mạng và thông tin
Tài liệu này tập trung vào các rủi ro và cơ hội về an toàn thông tin và mạng; không phải các vấn đề khác như tuân thủ pháp luật, luật pháp, các vấn đề hợp đồng Trong các phụ lục, chúng tôi đề cập ngắn gọn đến dữ liệu cá nhân luật bảo vệ, chỉ
để chỉ ra một số khái niệm và thông tin có liên quan
Trang 6CHƯƠNG 2 : KHÁI NIỆM CƠ BẢN VỀ ĐIỆN TOÁN ĐÁM MÂY
Trong phần này, ba loại dịch vụ đám mây cơ bản được giới thiệu và sự phân chia khác nhau của các nhiệm vụ bảo mật được giải thích
Người ta có thể phân biệt ba loại dịch vụ đám mây khác nhau, mỗi loại liên quan đến các loại tài sản:
Hình 2.1 Tài sản trong điện toán đám mây
Chúng ta xem qua sơ đồ từ trái sang phải:
● Cơ sở hạ tầng như một dịch vụ : Trong IaaS, nhà cung cấp cung cấp các tài nguyên
máy tính (ảo phần cứng), có thể truy cập trực tuyến Phần mềm cung cấp quyền truy cập vào các tài nguyên được gọi là người giám sát Nói chung, có hai loại tài nguyên: sức mạnh xử lý (bao gồm tài nguyên mạng), và (khối) lưu trữ (tài nguyên bộ nhớ) Ví
dụ bao gồm của Amazon Đám mây tính toán đàn hồi, Công cụ tính toán của Google, Dịch vụ lưu trữ đơn giản của Amazon, Dropbox, Rackspace, v.v Lưu ý rằng các dịch
vụ lưu trữ đối tượng (ví dụ: Dropbox) thường được coi là một SaaS
● Nền tảng như một dịch vụ: Trong PaaS, nhà cung cấp cung cấp một nền tảng, hay
chính xác hơn là ứng dụng máy chủ, để khách hàng chạy ứng dụng Các nhà cung cấp PaaS đôi khi cung cấp một phần mềm công cụ phát triển cho nền tảng Ví dụ về các ứng dụng chạy trên các nền tảng này là script (PHP, Python, ví dụ) hoặc mã byte (Java servlet, C #) Ví dụ bao gồm Google App engine, Microsoft Azure, Amazon Elastic Beanstalk, v.v
● Phần mềm như một dịch vụ: Trong SaaS, nhà cung cấp phân phối phần mềm hoặc
ứng dụng chính thức, thông qua
Trang 7mạng internet Các ứng dụng đa dạng từ máy chủ email, trình chỉnh sửa tài liệu, quan
hệ khách hàng hệ thống quản lý, v.v Dịch vụ SaaS thường có thể được truy cập bằng trình duyệt hoặc web khách hàng dịch vụ Lưu ý rằng không có gì lạ khi các nhà cung cấp SaaS chạy các ứng dụng của họ trên một IaaS hoặc PaaS từ một nhà cung cấp khác Một ví dụ là trang web phát trực tuyến video Netflix (SaaS) chạy trên các dịch vụ điện toán Amazon AWS (PaaS / IaaS)
● Cơ sở vật chất biểu thị cấu trúc vật lý và nguồn cung cấp như mạng, làm mát, nguồn,
v.v
● Tổ chức biểu thị nguồn nhân lực, các chính sách và thủ tục để duy trì
cơ sở vật chất và hỗ trợ việc cung cấp các dịch vụ
Trong điện toán đám mây, việc phân phối tài nguyên ICT, ở một mức độ nào đó, được thuê ngoài cho nhà cung cấp dịch vụ đám mây Cũng thế
một số nhiệm vụ bảo mật (chẳng hạn như giám sát, vá lỗi, ứng phó sự cố) được thuê ngoài Tùy thuộc vào loại dịch vụ đám mây, một số nhiệm vụ vẫn thuộc trách nhiệm của khách hàng, trong khi các nhiệm vụ khác vẫn thuộc trách nhiệm của nhà cung cấp Phân chia trách nhiệm có thể một số đôi khi là một nguồn chính của các vấn đề vì
nó dựa trên các giả định và được ghi chép kém, dẫn đến chồng chéo và khoảng trống Tuy nhiên, điều này dường như đã tuyệt chủng vì SLA đã trở nên nhiều hơn tài liệu tinh vi và chỉ rõ thông tin này Ví dụ: trong IaaS / PaaS, khách hàng chạy mã riêng của họ trên dịch vụ đám mây và thường vẫn chịu trách nhiệm về điều này (ứng dụng) phần mềm Trong SaaS, mặt khác, các phần mềm ứng dụng thường là 8 dưới sự kiểm soát của nhà cung cấp
Trong sơ đồ dưới đây, chúng tôi minh họa cách phân chia các nhiệm vụ bảo mật nhất định có thể khác nhau như thế nào đối với
các dịch vụ đám mây khác nhau (IaaS, PaaS, SaaS)
Trang 8Hình 2.2 Việc thuê ngoài các nhiệm vụ là khác nhau đối với các loại dịch vụ khác nhau
Lưu ý rằng sơ đồ này là để minh họa và không cung cấp danh sách đầy đủ các quy trình bảo mật ở phía nhà cung cấp hoặc phía khách hàng Trong các cài đặt cụ thể, có thể có các thỏa thuận cụ thể về việc thuê ngoài các nhiệm vụ an ninh Ví dụ: một nhà cung cấp IaaS có thể có dịch vụ vá lỗi Hệ điều hành (OS) của khách hàng Đôi khi các dịch vụ như vậy được cung cấp bởi bên thứ ba (và đây là còn được gọi là SECurity-As-A-Service) Xem phần tiếp theo về cơ hội Xem thêm phụ lục cho ví dụ về các nhiệm vụ bảo mật trong hai tình huống giả tưởng
Trong thực tế đối với các doanh nghiệp vừa và nhỏ, điều quan trọng là phải đánh giá cẩn thận những nhiệm vụ bảo mật nào được thuê ngoài cho nhà cung cấp và nhiệm vụ bảo mật nào vẫn thuộc trách nhiệm của riêng họ Nó không phải là hiếm đối với các doanh nghiệp vừa và nhỏ bối rối về trách nhiệm của họ liên quan đến bảo mật, chẳng hạn như ai tạo bản sao lưu của dữ liệu hoặc phần mềm, loại chuyển đổi dự phòng / dự phòng nào được cung cấp bởi nhà cung cấp và những gì cần phải được vẫn được thực hiện bởi khách hàng
Trang 9CHƯƠNG 3 : CƠ HỘI VỀ MẠNG VÀ BẢO MẬT THÔNG TIN
Điện toán đám mây có thể được sử dụng bởi các doanh nghiệp vừa và nhỏ cho một loạt các ứng dụng khác nhau (email, trang web của công ty, CRM, CMS, xử lý bảng lương nội bộ, lưu trữ tài liệu nội bộ của công ty, v.v.) Đối với các doanh nghiệp vừa và nhỏ điện toán đám mây có thể mang lại nhiều lợi thế kinh doanh: Các dịch vụ đám mây thường “thanh toán khi bạn đi”, có thể là một cấu trúc chi phí hấp dẫn đối với một doanh nghiệp vừa và nhỏ, tránh đầu tư trả trước vào phần cứng, chuyên gia phần mềm và CNTT Tổng chi phí khi thực hiện thường thấp hơn chi phí khi đi với các giải pháp CNTT truyền thống Cộng tác trực tuyến thường dễ dàng hơn trong trường hợp đám mây vì quyền truy cập bảo hành cho người dùng từ các địa điểm thực tế khác nhau và các thiết bị người dùng cuối khác nhau, v.v
Ngoài ra còn có các cơ hội về mạng và bảo mật thông tin Nói chung là đám mây lớn các nhà cung cấp máy tính có thể đưa ra các biện pháp bảo mật nâng cao, đồng thời giải tỏa các chi phí liên quan qua một số khách hàng Trong một số trường hợp, điều này có nghĩa là các cài đặt bảo mật cơ bản có thể 'được chia sẻ' giữa các chuyên gia trang phục
và có thể không tùy chỉnh được nhưng nó cũng chuyển thành một số các cơ hội bảo mật
cụ thể Dưới đây, chúng tôi nêu rõ 11 cơ hội cụ thể cho mạng và bảo mật thông tin của các doanh nghiệp vừa và nhỏ:
Cơ hội về mạng và bảo mật thông tin
Trang 10cấp xếp hạng hoặc xếp hạng các cơ hội Trong phụ lục hai tình huống cụ thể (hư cấu), được kiểm tra và đánh giá các cơ hội diễn ra
sử dụng thang điểm sau:
- Cơ hội nhỏ: Khách hàng có thể khai thác cơ hội này nhưng lợi ích sẽ bị hạn chế
- Cơ hội trung bình: Khách hàng nên khai thác điều này cơ hội, bởi vì lợi ích sẽ là
Ở đây cần nhấn mạnh rằng không phải tất cả các dịch vụ đám mây đi kèm với chênh lệch địa lý và đôi khi nó có sẵn nhưng cần phải là được cấu hình / yêu cầu bởi khách hàng cụ thể Tùy thuộc vào cài đặt, điều này có thể bao gồm thêm chi phí, bởi vì đồng
bộ hóa dữ liệu trên hai trang web từ xa yêu cầu băng thông mạng, máy tính nguồn và lưu trữ
Đám mây so với CNTT truyền thống: Trong truyền thống Triển khai CNTT mà một
SME sẽ phải thiết lập lên một trang web từ xa bổ sung, đôi khi thậm chí tăng gấp đôi chi phí cho các cơ sở CNTT
3.2 Độ co giãn
Các nhà cung cấp dịch vụ điện toán đám mây có thể sử dụng các trung tâm dữ liệu lớn với lượng lớn tài nguyên dự phòng, để có thể đáp ứng với những thay đổi nhanh chóng trong việc sử dụng tài nguyên, mức sử dụng cao điểm, và tấn công từ chối dịch vụ (DDoS)
Ở đây cần lưu ý rằng không phải tất cả các dịch vụ đám mây đều cung cấp cùng một loại đàn hồi Có thể có giới hạn về mức tiêu thụ tài nguyên do nhà cung cấp thiết lập
Trang 11hoặc khách hàng Trong một số cài đặt, độ đàn hồi có thể cần được khách hàng định cấu hình / yêu cầu cụ thể, và có thể làm tăng chi phí
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống một SME
sẽ cần đầu tư vào các nguồn dự phòng để đáp ứng việc sử dụng cao điểm, năng suất chi phí cao và không hiệu quả (bởi vì những tài nguyên này sẽ không được sử dụng hầu hết của thời gian)
3.3 Các định dạng và giao diện chuẩn
Ý tưởng về điện toán đám mây là cung cấp một dịch vụ cho nhiều khách hàng cùng một lúc Điều này có nghĩa là trong thực tế các dịch vụ đám mây thường tuân thủ với toàn ngành tiêu chuẩn Ví dụ: hầu hết các nhà cung cấp PaaS cung cấp máy chủ ứng dụng PHP tiêu chuẩn và nhiều SaaS các nhà cung cấp triển khai các giao diện tiêu chuẩn dựa trên các tiêu chuẩn như XML và JSON (Đối tượng JavaScript Ký hiệu) Điều này có nghĩa là các dịch vụ đám mây có thể dễ dàng tích hợp với các dịch vụ khác hoặc chuyển sang nền tảng Đây là một cơ hội bảo mật vì nó tạo điều kiện thuận lợi cho việc sao lưu, chuyển đổi dự phòng và tích hợp với các công cụ bảo mật mà khách hàng có thể sử dụng, ví dụ như các công cụ giám sát
Ở đây cần lưu ý rằng trong khi hầu hết các nhà cung cấp đám mây sử dụng giao diện và định dạng dữ liệu tiêu chuẩn, thì điều này không phải lúc nào cũng vậy Khách hàng nên hỏi những tiêu chuẩn nào được sử dụng
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống Các doanh
nghiệp vừa và nhỏ thường sử dụng tùy chỉnh không tiêu chuẩn cấu hình và độc quyền giao thức, vì thiếu chuyên môn và (đôi khi) chi phí cao hơn của thực hiện các tiêu chuẩn
kể nguy cơ trộm cắp tài sản của máy chủ, đĩa và thiết bị, hỏa hoạn, lũ lụt, v.v
So với CNTT truyền thống: Trong triển khai CNTT truyền thống thậm chí biện pháp
an ninh tiêu chuẩn như một người bảo vệ tại trụ sở 24/7, sẽ quá tốn kém cho một doanh nghiệp vừa và nhỏ
Trang 123.5 Phản ứng sự cố suốt ngày đêm
Sự cố an ninh có thể xảy ra bất cứ lúc nào trong ngày hoặc đêm Để đảm bảo tính liên tục, hầu hết các nhà cung cấp dịch vụ đám mây liên tục theo dõi các dịch vụ của họ suốt ngày đêm và có khả năng ứng phó để sẵn sàng phản ứng với những thất bại hoặc các cuộc tấn công Có nhân sự sẵn sàng 24/7 là tốn kém, nhưng trong điện toán đám mây các biện pháp bảo mật này trở thành phù hợp túi tiền của khách hàng vì chi phí được chia sẻ với nhiều khách hàng
Lưu ý rằng các nhà cung cấp dịch vụ đám mây không phải lúc nào cũng theo dõi và ứng phó với tất cả các loại sự cố bảo mật mà có thể ảnh hưởng đến dịch vụ đám mây hoặc khách hàng trên đám mây Khách hàng nên kiểm tra loại bảo mật nào các sự cố được theo dõi và ứng phó, và loại hành động ứng phó nào sẽ được thực hiện bởi nhà cung cấp, để hiểu những gì còn phải làm của khách hàng
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống, một
doanh nghiệp vừa và nhỏ sẽ phải đầu tư rất nhiều để có một Khả năng ứng phó sự cố 24/7
3.6 Phát triển phần mềm an toàn
Phát triển phần mềm an toàn không dễ dàng và đòi hỏi nhiều thời gian và sự đầu tư vào con người, công cụ và quy trình Ngay cả khi xây dựng một đơn giản trang web đầy rẫy cạm bẫy bảo mật Một an toàn đường ống phát triển phần mềm (các bài kiểm tra đơn
vị, liên tục tích hợp, thâm nhập và bảo mật kiểm tra, kiểm tra tải và quan trọng nhất là
kỹ năng và lập trình phần mềm được đào tạo) không dễ cài đặt-lên và duy trì Để xây dựng phần mềm tùy chỉnh, một cách an toàn, rất tốn kém và việc mã hóa phần mềm thuê ngoài là không phải lúc nào cũng rẻ hay dễ dàng
Do quy mô của họ, các nhà cung cấp đám mây có thể đủ khả năng đầu tư vào việc phát triển phần mềm an toàn, những chi phí cao này đối với nhiều khách hàng Khách hàng
có thể mất một số tính linh hoạt về tùy biến, nhưng chúng làm giảm nguy cơ lỗ hổng phần mềm trong mã do chúng phát triển
Lưu ý rằng không phải tất cả phần mềm đám mây đều được phát triển một cách an toàn Một số nhà cung cấp có thể có sự phát triển không tốt thực hành Các nhà cung cấp khác có thể sử dụng phần mềm của bên thứ ba (độc quyền hoặc mã nguồn mở), qua
đó họ có giới hạn kiểm soát Khách hàng nên đánh giá phần mềm nào được phát triển bởi nhà cung cấp và cách thức nhà cung cấp đảm bảo phát triển phần mềm an toàn
Đám mây so với CNTT truyền thống: Trong CNTT truyền thống triển khai, nếu phần
mềm có sẵn không thể được sử dụng, thì một doanh nghiệp vừa và nhỏ sẽ cần phải đầu
tư các nguồn lực đáng kể vào một phát triển phần mềm
Trang 133.7 Vá và cập nhật
Việc vá và cập nhật phần mềm kịp thời là rất quan trọng để bảo mật vì những kẻ tấn công chỉ cần một cửa sổ nhỏ để tấn công và khai thác một lỗ hổng đã được phát hiện Đặc biệt khi phần mềm tiêu chuẩn, không có sẵn được sử dụng, tội phạm mạng đặc biệt chú ý đến các bản vá của nhà cung cấp và thường cố gắng thiết kế ngược một bản vá để khai thác cơ bản tính dễ bị tổn thương; và điều này có thể xảy ra trong vấn đề giờ Trên thực tế, nhiều cuộc tấn công mạng khai thác thực tế rằng các tổ chức chậm cập nhật và vá lỗi các hệ thống Do quy mô của họ và vì họ cung cấp cùng một phần mềm cho tất cả khách hàng, đám mây nhà cung cấp có thể tự động vá lỗi và cập nhật lên một mức độ cao Họ có thể thiết lập các thủ tục và các công cụ tự động 9 triển khai các bản vá kịp thời và cập nhật, giảm thời lượng hệ thống có thể bị khai thác bởi những
kẻ tấn công
Lưu ý rằng không phải tất cả các phần mềm liên quan đến khách hàng luôn được nhà cung cấp vá lỗi và cập nhật Đặc biệt trong IaaS và PaaS, khách hàng chạy phần mềm của riêng mình trên cơ sở hạ tầng đám mây và khách hàng thường vẫn chịu trách nhiệm
vá và cập nhật nó Khách hàng nên hỏi ai các bản vá và cập nhật phần mềm có liên quan trong cài đặt của họ
Đám mây so với CNTT truyền thống: Trong CNTT truyền thống triển khai, các doanh
nghiệp vừa và nhỏ thường cần dành một nhiều thời gian và tài nguyên để vá và cập nhật phần mềm của họ Thậm chí sau đó họ thường đến muộn Thực tế là triển khai CNTT truyền thống là thường không đạt tiêu chuẩn ngành hơn nữa làm phức tạp việc cập nhật / vá lỗi vì vấn đề không tương thích
3.8 Sao lưu
Đối với một doanh nghiệp vừa và nhỏ, thực hiện sao lưu trên nhiều ứng dụng và thiết
bị và khôi phục chúng khi cần thiết, có thể khó và tốn thời gian Các nhà cung cấp đám mây có thể triển khai các công cụ để tự động hóa tạo và thử nghiệm các bản sao lưu và cung cấp bản sao lưu nâng cao khôi phục các giải pháp, cho phép khách hàng khôi phục các lỗi và lỗi một cách nhanh chóng Ngoài ra, trong việc sử dụng nhiều đám mây kịch bản các ứng dụng phần mềm được triển khai dưới dạng trực tuyến các ứng dụng (máy khách-máy chủ) (trái ngược với việc chạy stand- một mình trên khách hàng) Điều này làm giảm lượng dữ liệu được bật thiết bị của người dùng cuối, đơn giản hóa việc sao lưu
Sao lưu trong đám mây (giữa các trung tâm dữ liệu đám mây) yêu cầu cả băng thông lưu trữ và mạng và trong một số cài đặt, nhà cung cấp dịch vụ đám mây không cung cấp bản sao lưu tự động của tất cả dữ liệu, miễn phí Khách hàng nên đánh giá bản sao lưu nào được thực hiện bởi nhà cung cấp và nếu họ cần thực hiện hoặc yêu cầu các cơ chế dự phòng bổ sung
Trang 14Đám mây so với CNTT truyền thống: Trong một triển khai CNTT truyền thống, một
doanh nghiệp vừa và nhỏ cần dành thời gian và nguồn lực để sao lưu dẫn đến chi phí cao
3.9 Bộ nhớ phía máy chủ
Trong nhiều cài đặt, các doanh nghiệp vừa và nhỏ có nhiều loại thiết bị di động (và ít
di động hơn) dành cho người dùng cuối tương đối dễ bị trộm cắp, mất mát, thiệt hại vật chất, Những mối đe dọa này có thể dễ dàng gây ảnh hưởng lớn đến tài sản của một doanh nghiệp vừa và nhỏ Đặc biệt là khi giao dịch với các thiết bị di động, không phải lúc nào cũng dễ dàng giữ các bản sao lưu dữ liệu kịp thời (do các vấn đề về kết nối và băng thông), cũng như vấn đề mật mã bảo vệ các thành phần của thiết bị, khỏi bị truy cập vật lý vào lưu trữ thiết bị (tức là sau khi bị mất hoặc bị đánh cắp), cũng như để kiểm soát quyền truy cập tới các thiết bị có xác thực mạnh, v.v Điện toán đám mây có thể giảm thiểu một số rủi ro này Sử dụng dịch vụ đám mây Doanh nghiệp vừa và nhỏ có thể giảm lượng dữ liệu trên thiết bị của người dùng cuối
Ví dụ: sử dụng email dựa trên đám mây, các doanh nghiệp vừa và nhỏ có thể giảm lượng
dữ liệu công ty trên thiết bị người dùng cuối, nghĩa là ít dữ liệu bị đe dọa khi có sự cố xảy ra với thiết bị của người dùng cuối.Khách hàng nên đánh giá dữ liệu nào được lưu trữ phía máy chủ và phía máy khách
Đám mây so với CNTT truyền thống: Thường trong CNTT truyền thống có một
lượng dữ liệu về người dùng cuối thiết bị, điều này làm phức tạp thêm dự phòng
3.10 An ninh dưới dạng dịch vụ và các tiện ích bổ sung bảo mật
Như đã thảo luận trong phần trước, một số nhiệm vụ bảo mật vẫn với khách hàng, đặc biệt là trong trường hợp IaaS và PaaS Trong điện toán đám mây, thường dễ dàng hơn thuê ngoài một số nhiệm vụ bảo mật này cho các bên thứ ba hoặc nhà cung cấp (nếu nó cung cấp các dịch vụ như vậy) Ví dụ, một doanh nghiệp vừa và nhỏ chạy phần mềm tùy chỉnh trên nền tảng IaaS, có thể nhận được bên thứ ba để vá hệ điều hành của họ thường xuyên phát hiện và phản hồi sự cố bảo mật bằng cách cô lập và thay thế các máy chủ bị nhiễm ngay lập tức Bảo mật như một dịch vụ sẽ khó hơn nhiều triển khai trong triển khai CNTT truyền thống, điển hình là yêu cầu quyền truy cập vật lý vào cơ sở
Có những nhà cung cấp đám mây cung cấp một loạt các dịch vụ bảo mật bổ sung (chẳng hạn như vá phần mềm), đôi khi hợp tác với các công ty chuyên biệt (bên thứ ba), cho phép khách hàng mua sắm các dịch vụ an ninh bổ sung một cách dễ dàng
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống nó thường
khó cho một doanh nghiệp vừa và nhỏ sử dụng dịch vụ bảo mật vì thường quyền truy cập cài đặt vào các doanh nghiệp vừa và nhỏ cơ sở sẽ cần thiết, hoặc tại ít nhất là một băng thông cao sự liên quan