Tiêu chuẩn và Luật của Điện Toán Đám Mây

• CSA cung cấp quan điểm chung của điện toán đám mây, vấn đề an ninh mà có thể gặp phải và một số gợi ý bảo mật  Người dùng có thể sử dụng ma trận kiểm soát điện toán đám mây để xây dự

Tiêu chuẩn và Luật của Điện Toán

Đám Mây

Đại Cương

• Giới thiệu

 Tại sao chúng ta cần một tiêu chuẩn bảo mật và tuân

theo pháp luật

 Kinh doanh, rủi ro và tiền bạc

• Liên minh Bảo mật điện toán đám mây(CSA)

 Quản trị và hoạt động

• Pháp luật và bảo mật

 Đó là một quan trọng

• Tóm tắt

Bảo Mật

• Rất nhiều dịch vụ đám mây được cung cấp bởi

nhiều công ty

 Lưu trữ, máy chủ web, mô hình kinh doanh …etc

 Dropbox, Amazon EC2 and Salesforce

 Điện toán đám mây là đầy đủ các dịch vụ

• Ngoài ra, các rất nhiều các vấn đề an ninh truyền

thống và điện toán đám mây

 Làm thế nào chúng ta có thể diễn ra suôn sẻ?

Vấn Đề An Ninh

• Điện toán đám mây là tập hợp các dịch vụ máy tính

 Nó cũng có vấn đề tương tự của vấn đề an ninh truyền thống

• Phần cứng, phần mềm và quản lý các cuộc tấn công

• Điện toán đám mây có vấn đề cụ thể khác

 Theo khái niệm về dịch vụ theo yêu cầu, người sử dụng chia sẻ tất cả các nguồn tài nguyên

• Kỹ thuật cách ly không đầy đủ sẽ làm tăng nguy cơ bảo mật

Tại sao lại nghiêm trọng

• Trong công ty, mỗi lần về vấn đề bảo mật là một

thiệt hại kinh tế

 Dừng dịch vụ một giờ không chỉ dừng lại việc kiếm tiền

mà còn mất khách hàng

 Danh tiếng của công ty là phần quan trọng nhất

• Làm thế nào chúng ta có thể tìm thấy giải pháp tốt nhất?

 Đâu là hướng dẫn bảo mật?

Liên minh Bảo mật điện toán

đám mây

Tiêu chuẩn

• Đám mây liên minh an ninh (CSA) là một tổ chức

phi lợi nhuận

 Cố gắng để thúc đẩy việc sử dụng các thực hành tốt nhất

để cung cấp đảm bảo an ninh trong điện toán đám mây

 Cung cấp giáo dục về việc sử dụng điện toán đám mây

• CSA cung cấp quan điểm chung của điện toán đám mây, vấn đề an ninh mà có thể gặp phải và một số gợi ý bảo mật

 Người dùng có thể sử dụng ma trận kiểm soát điện toán đám mây để xây dựng một môi trường điện toán đám

mây an toàn

Ma trận bảo mật

 Công ty điện toán đám mây xây dựng một môi trường an toàn

 Làm thế nào để khách hàng lựa chọn một nền tảng điện toán đám mây an toàn

• Đám mây hoạt động giới thiệu cách giải quyết vấn đề

an ninh và duy trì một môi trường điện toán đám mây

an toàn

3 Tuân thủ và kiểm toán

4 ILM

5 Khả năng di chuyển

và khả năng tương tác

6 quản lý truy cập

7 ảo hóa

Trước khi tham gia điện toán đám mấy

• CSA cung cấp năm bước

 Làm thế nào để chọn một nền tảng điện toán đám mây

Trước khi tham gia điện toán đám mấy

• Bước 1: hiểu yêu cầu của bạn

 CSA phân loại việc sử dụng điện toán đám mây có hai

loại: dữ liệu và ứng dụng

 Phụ thuộc vào cách sử dụng của bạn, hiểu được một là chạy trên nền tảng đám mây của bạn

• Bước 2: đánh giá tài sản của bạn

 Phụ thuộc vào tầm quan trọng của dữ liệu và ứng dụng, bạn nên cung cấp độ khác nhau của bảo vệ an ninh

Trước khi tham gia điện toán đám mấy

• Bước 3: lựa chọn mô hình triển khai

 Phụ thuộc vào yêu cầu an toàn của bạn, mô hình triển khai

khác nhau có tính chất bảo vệ mặc định sự khác biệt

 Đám mây riêng trong môi trường nội bộ có bảo vệ mặc định cao nhất

• Bước 4: chọn mô hình dịch vụ điện toán đám mây và nhà cung cấp

 SaaS có trách nhiệm hơn và IaaS cần phải xây dựng lại các cơ chế bảo mật của chính mình

• Bước 5: hiểu được dòng chảy dữ liệu và chương trình logic

 Thiết kế một dịch vụ điện toán đám mây an toàn hợp lý và

hiệu quả yêu cầu công ty hoàn toàn hiểu được quy trình làm việc của dịch vụ và các mối đe dọa có thể

Đặc biệt

• Sau năm bước, các công ty và khách hàng có thể

chọn cả hai nền tảng đám mây, đáp ứng yêu cầu

 Nhưng có nhiều vấn đề an ninh cần phải được quan tâm

• Kết hợp với đầy đủ hiểu các yêu cầu và phân loại

các khẳng định, người sử dụng điện toán đám mây

có thể thiết kế các môi trường an toàn phù hợp

 Xây dựng môi trường dịch vụ hay nền tảng

 Hoạt động dịch vụ

 Giữ chất lượng phục vụ

LIÊN MINH BẢO MẬT ĐIỆN TOÁN ĐÁM MÂY

Quản trị

Hoạt động

Quản trị

• Quản trị và quản lý rủi ro doanh nghiệp

• Phát hiện pháp lý và điện tử

• Tuân thủ và Thử nghiệm

• Thông tin Quản lý Vòng đời

• Khả năng di chuyển và khả năng tương tác

Quản trị (tiếp theo)

• Trong lĩnh vực quản trị, CSA đề xuất năm lớp mà

cần phải được quan tâm và CSA đưa ra một số gợi

ý

 Quản trị và quản lý rủi ro doanh nghiệp

 Phát hiện pháp lý và điện tử

 Tuân thủ và thử nghiệm

 Quản lý vòng đời thông tin

 Khả năng di chuyển và khả năng tương tác

Quản lý rủi ro

• Trong điện toán đám mây, quản lý rủi ro hiệu quả sau một quy trình quản lý an ninh thông tin được xác định rõ

 mở rộng

 Độ lặp lại

• Các quy trình quản lý là tính đàn hồi khi tăng

trưởng kinh doanh và có thể được sử dụng trong các doanh nghiệp khác biệt

Quản lý rủi ro

Quản lý

• Doanh nghiệp nên thiết kế tiêu chuẩn bảo mật

trước khi thiết kế quản lý an ninh

 Tất cả mọi người cần phải hiểu và ghi lại sự an toàn số liệu

 Doanh nghiệp sử dụng phần lợi nhuận được sử dụng

trong kiểm soát an ninh

 Các doanh nghiệp đánh giá của kiểm thử để tuân theo

yêu cầu bảo mật

Quản lý rủi ro

Rủi ro doanh nghiệp

• Các công ty trong điện toán đám mây mất sự kiểm soát của hệ thống và quản lý an ninh

 Thỏa thuận cấp độ dịch vụ (SLA) chỉ là một để đảm bảo quản lý rủi ro

 Doanh nghiệp nên lựa chọn các nhà cung cấp điện toán đám mây có thể cung cấp các SLA thích hợp

• Phụ thuộc vào SLA, các công ty thường không thể kiểm tra việc quản lý an ninh

 Tránh ảnh hưởng đến người sử dụng khác

 Tránh để ảnh hưởng đến chất lượng dịch vụ của môi

trường điện toán đám mây

Quản lý rủi ro

rủi ro thông tin

• Quản lý rủi ro thông tin được sử dụng cho thông

tin đặc tính của C.I A

 Người sử dụng điện toán đám mây cần phải xây dựng

các yêu cầu SLA và thu thập thông tin cần thiết để thiết

Ứng dụng của bên thứ ba

• Người sử dụng điện toán đám mây cần phải xem

xét các chuỗi chuyển giao thông tin giữa các dịch

vụ đám mây và dịch vụ của bên thứ ba

 Mối quan hệ và phụ thuộc của dịch vụ

 Quản lý ứng dụng của nhà cung cấp thứ ba

 Kỹ thuật phản ứng khi dịch vụ gián đoạn

 Mở rộng ứng dụng của nhà cung cấp thứ ba

Quản lý rủi ro

 Làm thế nào để xác định trách nhiệm là những điều quan trọng

• Một quản lý hoàn chỉnh luật pháp điện toán đám mây có ba phần

 chức năng

• Định nghĩa các dịch vụ đám mây và chức năng

 bo ̣ máy tư pháp

• Quy phạm pháp luật của dịch vụ điện toán đám mây và quản lý dữ liệu

Khám phá công nghệ

• So với dịch vụ truyền thống

 Điện toán đám mây cung cấp dịch vụ bất cứ nơi nào và bất cứ lúc nào

 Điện toán đám mây sử dụng ảo hóa mà người dùng không

biết vị trí của dịch vụ và dữ liệu

 Trách nhiệm pháp lý có thể khác nhau ở các nước khác nhau

• Các nước khác nhau có tiêu chuẩn pháp luật khác biệt

 Cung cấp bằng chứng đáng tin cậy khi khách hàng yêu cầu

 Thu hồi tài sản dữ liệu khi khách hàng chấm dứt hợp đồng

• Thỏa thuận an ninh điện toán đám mây nên được xem xét và kiểm toán của bên thứ ba

 Kiểm tra chất lượng dịch vụ và phát hiện các lỗ hổng hệ

thống

Khám phá công

nghệ và pháp

luật

Tuân thủ và kiểm toán

• Trong điện toán đám mây, hệ thống tách thành

nhiều phần

 Nó rất dễ dàng để mở rộng, quản lý và vận hành

 Thật khó có thể giám sát và thu nghiệm

• Đám mây kiểm toán viên cần phải đạt được kinh

nghiệm phong phú như vậy mà

 Giám sát các nhà cung cấp dễ dàng và hiệu quả

 Phân biệt giữa trách nhiệm

Tuân thủ và kiểm

toán

 Bên phải của kiểm toán

• Hợp đồng dịch vụ điện toán đám mây nên được thay đổi để đáp ứng yêu cầu của khách hàng

Tuân thủ và kiểm

toán

Quản Lý Thông Tin Vòng Đời

• The goal of information lifecycle management (ILM)

 Improve the system performance

 Increate the service functionality

• In cloud computing, data security lifecycle is

Q uản Lý Thông Tin Vòng Đời

• Mục tiêu của thông tin quản lý vòng đời(ILM)

 Cải thiện hiệu suất hệ thống

 Tăng cường các chức năng dịch vụ

• Trong điện toán đám mây, dữ liệu vòng đời an ninh là thách thức

 Đàn hồi

 Nhiều người thuê

 Khái niệm thiết kế mới của logic

 môi trường công cộng

• Người sử dụng điện toán đám mây nên quan tâm đến cụm từ sáu của cuộc sống dữ liệu

Information

lifecycle

management

Quản Lý Thông Tin Vòng Đời

Information

lifecycle

management

 nên được viết trong các SLA

• Hiểu các dữ liệu có thể bị tịch thu

 Nhà cung cấp đám mây cần phải thông báo cho người sử dụng

 Nhà cung cấp đám mây cần phải bảo vệ dữ liệu mà

không thể được sửa đổi hoặc bị hư hỏng

Information

lifecycle

management

• Hiểu được ranh giới bảo mật

 Hệ thống mã hóa, quản lý chủ chốt và làm thế nào để lựa chọn các khóa bảo mật

 Kỹ thuật cách ly dữ liệu, sao lưu và phục hồi hệ thống

Information

lifecycle

management

 Hợp đồng dịch vụ mới sẽ làm tăng chi phí vận hành

 Nhà cung cấp điện toán đám mây không còn hoạt động hoặc ngừng cung cấp một số dịch vụ

Khả năng di chuyển và

khả năng tương tác

khả năng tương tác

• Các công ty cần phải thiết kế hệ thống và hướng

dẫn an toàn cho các nhà cung cấp điện toán đám

 SaaS thường liên quan đến dữ liệu và nền tảng dịch vụ

 IaaS cần xem xét các hệ thống cơ bản có thể không

tương thích

Khả năng di chuyển và

khả năng tương tác

đề nghị

• Hiểu được không gian lưu trữ và băng thông của

mạng trước khi di cư

 Tùy thuộc vào kinh nghiệm của người sử dụng khác, di chuyển các máy vật lý thường có hiệu quả hơn và chi phí

 Dữ liệu trùng lặp và sao lưu định kỳ

 Các tùy chỉnh plug-in nên có thể được tái xây dựng

 Hiểu bất kỳ luật lệ và quy định nhập cư

Khả năng di

chuyển và khả

năng tương tác

LIÊN MINH BẢO MẬT ĐIỆN TOÁN ĐÁM MÂY

Quản Trị

Hoạt động

hoạt động

• Người sử dụng hoặc khách hàng có thể gặp phải

các vấn đề an ninh trên đám mây

 Sự khác biệt giữa các trung tâm dữ liệu truyền thống và điện toán đám mây

 Vấn đề an ninh trên trung tâm dữ liệu quy mô lớn

 Các chính sách sao lưu và phục hồi

• CSA cung cấp nhiều gợi ý

 Bất kỳ loại sự kiện an toàn xảy ra khi công ty chạy các

dịch vụ trên môi trường điện toán đám mây

 Các yếu tố an toàn cần phải được quan tâm

Hoạt động (tiếp theo)

• Tương tự với quản trị, CSA đề xuất năm lớp mà cần phải được quan tâm và CSA đưa ra một số gợi ý

 An ninh truyền thống, liên tục kinh doanh và khắc phục thảm họa

 Hoạt động trung tâm dữ liệu

Trung tâm dữ liệu

• Thỏa thuận cấp độ dịch vụ (SLA) là một phần của hợp đồng dịch vụ

 Phân loại các dịch vụ và xác định thời gian giao hàng, thực

hiện

• Trung tâm dữ liệu truyền thống thường được phân bổ

số lượng sửa chữa của máy chủ hoặc nguồn lực cho

khách hàng

 Nó rất dễ dàng để đánh giá quá cao hoặc đánh giá thấp

• Làm thế nào để năng động phân bổ tất cả các nguồn tài nguyên?

 Đạt yêu cầu SLA

 Giảm khả năng ước lượng quá cao

Khắc phục thảm họa &

Trung tâm dữ liệu

 Truy cập kiểm soát và quản lý các chính sách

 Kiểm tra lý lịch của nhân viên

 Nội bộ / bên ngoài tập tin kiểm soát an ninh

Đề Nghị

• Các công ty cần phải hiểu hợp đồng

 thời gian phục hồi

 phục hồi đối tượng

 chính sách phục hồi

• Khách hàng cần phải đạt được quyền hoặc cho

phép

 Kiểm toán SLA bởi 1 bên thứ ba

 Hiểu biết về các quy trình, chính sách và ảnh hưởng của

vá lỗi hệ thống

Khắc phục thảm họa &

Trung tâm dữ liệu

Phản ứng với sự cố

• Các thuộc tính của điện toán đám mây có thể gặp khó khăn để quản lý và đáp ứng các sự kiện sự cố

 Quy mô lớn, chia sẻ tài nguyên và quản lý tự động

 Nhà cung cấp đám mây cần có một quá trình hoạt động tiêu chuẩn (SOP) cho ứng phó sự cố

• Các nhà cung cấp đám mây cung cấp các dịch vụ

Đối với

• Đối với người quản lý

 Chúng ta cần các trung tâm hoạt động an ninh (SOC)

 Mỗi dịch vụ và nguồn lực mới nên được giám sát bởi

đề nghị

• Trước khi sử dụng điện toán đám mây

 Xác định các sự kiện bình thường và các sự kiện bất thường

 Kiểm tra hệ thống của bạn tương thích với môi trường điện toán đám mây hay không

• SOC thường được sử dụng trong môi trường đơn lẻ

hoặc tinh khiết

 Trong môi trường đa người dùng, SOC cần phải được sửa đổi

để theo dõi dữ liệu từ bất cứ nguồn nào

 Lớp ứng dụng tường lửa và tập tin đăng nhập là hữu ích trên nhiều người thuê nhà cho SOC

• Mỗi dữ liệu nhạy cảm nên được mã hóa để giảm thiệt hại

Phản ứng với sự cố

Ứng dụng bảo mật

• Trong điện toán đám mây

 Nhà cung cấp điện toán đám mây cung cấp môi trường cho người sử dụng

 Người sử dụng chạy các ứng dụng có thể được thiết kế bởi người sử dụng hoặc bên thứ ba

• Tương tự với ứng dụng thông thường, dịch vụ điện toán đám mây cũng cần phải cũng thiết kế và giữ

 Các công cụ kiểm tra nhà cung cấp điện toán đám mây

có thể giúp cung cấp hệ thống để tăng cường an ninh hệ thống

Ứng dụng bảo mật

đề nghị

• Trong vòng đời phát triển ứng dụng, chúng ta cần quan tâm ba phần

 Các mối đe dọa an ninh và mô hình tin cậy

 Nền tảng công cụ đánh giá chương trình điện toán đám mây

 Điểm kiểm tra chất lượng của ứng dụng

mã hóa

• Làm thế nào để tránh được những dữ liệu được

đánh cắp là vấn đề bảo mật quan trọng

 Nhà cung cấp điện toán đám mây không thể đảm bảo

rằng dữ liệu nhạy cảm được bảo vệ an toàn

 Mã hóa là cách hiệu quả để bảo vệ dữ liệu quan trọng

• Trong một số quốc gia, dữ liệu được lưu trữ trên

máy hoặc phải được mã hóa

 Thông tin cá nhân

 tập tin an toàn của Nhà nước

 vv

Mã hóa và quản lý

chìa khóa

quản lý chìa khóa

• Hệ thống mã hóa có thể cung cấp các thông tin bảo mật cho dữ liệu

 Phụ thuộc bởi các thuật toán mã hóa, ví dụ Caesar thay đổi hoặc AES

 Phụ thuộc bằng cách lựa chọn quan trọng

 Phụ thuộc bởi các quản lý chủ chốt

Mã hóa và quản lý

chìa khóa

Quản lý

• Mã hóa và giải mã dữ liệu chi phí nhiều tài nguyên

và thời gian

 Phân loại các dữ liệu nhạy cảm và quan trọng

 Chọn thuật toán mã hóa phù hợp

• Trong đám mây, hệ thống mã hóa là tần số sử dụng

 Mật khẩu đơn giản hoặc dùng chung mật khẩu là vô ích

 Một quản lý chủ chốt không an toàn sẽ làm hỏng hệ

thống mã hóa

Mã hóa và quản lý

chìa khóa

Đề Nghị

• Cloud customers need to understand the

encryption system using in cloud

 Encryption algorithm and costs

 Key management and Key generation policy

• Customers need to specify the encryption service

in SLA

 The encryption system should be audited by third-party

 Limitation for length and strength of key is required

Mã hóa và quản lý

chìa khóa

Đề Nghị

• Đám mây khách hàng cần phải hiểu hệ thống mã

hóa sử dụng trong điện toán đám mây

 Thuật toán mã hóa và chi phí

 Quản lý chủ chốt và chính sách hệ chính

• Khách hàng cần phải xác định các dịch vụ mã hóa trong SLA

 Hệ thống mã hóa phải được kiểm toán bởi bên thứ ba

 Giới hạn cho chiều dài và sức mạnh của trọng là cần

thiết

Mã hóa và quản lý

chìa khóa

Quản Lý Truy Cập

• Sau khi giữ dữ liệu trong môi trường bảo mật và

mã hóa, chúng ta cần phải hiểu được chính sách

kiểm soát truy cập

 Khách có thể truy cập các dữ liệu nhạy cảm là nguy hiểm

• Trong điện toán đám mây, số lượng người dùng

lớn hơn ngoài sức tưởng tượng của chúng tôi

 Phức tạp của các chính sách kiểm soát truy cập

 Thêm / xóa người dùng quyền truy cập ngay lập tức

 Xác định và ủy quyền cho người sử dụng

Quản Lý Truy

Cập

 quản lý công đoàn

 Uỷ quyền và cấu hình người dùng

• Khách hàng có thể sử dụng uỷ quyền của bên thứ ba

 OpenID, Google or Facebook

• Nhà cung cấp đám mây cần phải cung cấp (đăng nhập một lần) SSO

 Tránh đăng nhập lặp đi lặp lại

Quản Lý Truy Cập