TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂYĐiện toán đám mây đang nhanh chóng nổi lên như một xu hướng công nghệ, hầu hết các nhà cung cấp công nghệ hoặc sử dụng phần mềm,phần cứng và cơ sở hạ tầng đ
Trang 1BAN CƠ YẾU CHÍNH PHỦ
Giảng viên hướng dẫn : NGUYỄN THỊ THU THỦY
Hà nội, tháng 12 năm 2021
Trang 2CHƯƠNG 1 TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
Điện toán đám mây đang nhanh chóng nổi lên như một xu hướng công nghệ, hầu hết các nhà cung cấp công nghệ hoặc sử dụng phần mềm,phần cứng và cơ sở hạ tầng đều có thể tận dụng Công nghệ và kiến trúc dịch vụ điện toán đám mây cho phép khách hàng của các dịch vụ này không sở hữu tài sản trong các đám mây điện tử nhưng trả tiền trên cơ sởmỗi lần sử dụng Về bản chất, họ đang thuê cơ sở hạ tầng vật lý và các ứng dụng trong kiến trúc dùng chung Dịch vụ điện toán đám mây có thể
từ lưu trữ dữ liệu cho đến các ứng dụng Web của người dùng cuối, cùng với các dịch vụ điện toán tập trung khác
Một sự khác biệt quan trọng giữa mô hình tính toán truyền thống
và điện toán đám mây là khả năng mở rộng và tính chất co giãn mà điện toán đám mây cung cấp Thay vì một kiến trúc hệ thống tĩnh, điện toán đám mây hỗ trợ khả năng tự động mở rộng quy mô và nhanh chóng thu hẹp quy mô, cung cấp cho khách hàng các dịch vụ có độ tin cậy cao, thờigian đáp ứng nhanh chóng và sự linh hoạt để xử lý các biến động thông lượng và nhu cầu Điện toán đám mây cũng hỗ trợ nhiều người dùng, cung cấp các hệ thống cấu hình trong suốt một cách thống nhất mang tính chia sẻ được Công nghệ ảo hóa cho phép các nhà cung cấp điện toán đám mây để chuyển đổi một máy chủ thành nhiều máy ảo, do đó loại bỏ máy tính client-server với các hệ thống một mục đích Điều này tối đa hóa khả năng phần cứng và cho phép khách hàng tận dụng triệt để
và kinh tế theo quy mô sử dụng
Bài viết này cung cấp một cái nhìn tổng quan về vấn đề an toàn và
an ninh của điện toán đám mây, từ góc độ kiến trúc cho đến dịch vụ cũngnhư tính chất của đám mây điện tử
1.2 KHÁI NIỆM
Thuật ngữ “Điện toán đám mây” (cloud computing) ra đời vào khoảng giữa năm 2007 nhằm để khái quát lại các hướng phát triển mới của công nghệ thông tin nhờ vào mạng Internet băng thông rộng và các trung tâm điện toán khổng lồ của các hãng công nghệ như Google,
Amazon, IBM, Microsoft,… Điện toán đám mây gắn liền với một quan
Trang 3niệm mới về công nghệ thông tin, đó là: các nguồn lực điện toán khổng
lồ như phần mềm, dữ liệu dịch vụ sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính của tổ chức, cá nhân để mọi người kết nối và sử dụng khi cần Với các dịch vụ hạ tầng, phần mềm sẵn có trên Internet, doanh nghiệp không phải mua và duy trì hàng trăm, thậm chí hàng nghìn máy tính cũng như phần mềm cho công ty Họ có thể thuêtoàn bộ hạ tầng công nghệ thông tin như thuê bao điện thoại hay sử dụng điện, nước hàng ngày
Theo định nghĩa của NIST 1: “Điện toán đám mây là một mô hình cho phép thuận tiện, truy cập mạng theo yêu cầu đến một nơi chứa các nguồn tài nguyên tính toán có thể chia sẻ và cấu hình được (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ), ở đó chúng có thể được cung cấp
và phát hành nhanh chóng với nỗ lực quản lý hoặc tương tác với nhà cung cấp tối thiểu”
Hình 1: Minh họa cho điện toán đám mây theo Wikipedia 2
Điện toán đám mây đôi khi còn được coi là thế hệ Internet mới Từđiển mở Wikipedia 2 định nghĩa: “Điện toán đám mây là việc sử dụng các tài nguyên máy tính (phần cứng và phần mềm) có sẵn từ xa và truy cập được qua mạng (thường là Internet)” Hình 1 phát họa khái niệm về
Trang 4điện toán đám mây Điện toán đám mây cung cấp các tiện ích để truy cậpvào tài nguyên chia sẻ và cơ sở hạ tầng chung, cung cấp dịch vụ theo yêucầu qua mạng để thực hiện các hoạt động đáp ứng nhu cầu tác nghiệp Vịtrí của nguồn lực vật chất và thiết bị được truy cập là trong suốt, không được biết (và cũng không cần biết) đối với người dùng cuối (end user)
Nó cũng cung cấp phương tiện cho người sử dụng (hay khách hàng) để phát triển, triển khai và quản lý các ứng dụng của họ trên các đám mây,
kể cả ảo hóa các nguồn tài nguyên, tự bảo trì và quản lý các ứng dụng
Theo ENISA: “Điện toán đám mây là mô hình cung cấp dịch vụ theo yêu cầu, thường được triển khai trên công nghệ ảo hóa và các công nghệ điện toán phân tán”
Hiểu theo cách đơn giản, điện toán đám mây là một tập hợp các tàinguyên máy tính và các dịch vụ cung cấp thông qua Internet Các sản phẩm phần mềm hoặc cấu hình phần cứng sẽ được phân phối đến người dùng theo dạng dịch vụ Nghĩa là, khách hàng có thể thuê sử dụng trong một khoảng thời gian nhất định, có thể thay đổi mức đáp ứng của dịch vụ
để phù hợp với nhu cầu, hoặc có thể hủy dịch vụ khi không cần dùng nữa
1.3 CÁC TÍNH NĂNG
Hình 2: Các tính năng của điện toán đám mây
Về cơ bản thì điện toán đám mây có 5 đặc điểm sau đây:
Khả năng co dãn (Rapid elasticity): Tài nguyên có thể được cung cấp một cách nhanh chóng và mềm dẻo, có khả năng thay đổi tăng lên hay giảm đi tùy thuộc vào nhu cầu sử dụng của khách hàng Đối với khách hàng, tài nguyên trên điện toán đám mây luôn luôn
Trang 5sẵn sàng và có thể coi là không giới hạn, có thể truy cập vào bất kỳthời điểm nào.
Dịch vụ theo nhu cầu (On-demand self-service): Khách hàng có thể được cung cấp tài nguyên dưới dạng mày chủ hay dung lượng lưu trữ, một cách tự động theo yêu cầu mà không cần phải có sự can thiệp từ phía nhà cung cấp dịch vụ
Không phụ thuộc vị trí (Location independent resource pooling): Khách hàng không biết và cũng không điều khiển vị trí của tài nguyên được cung cấp, tuy nhiên họ vẫn có thể làm điều này thôngqua các dịch vụ nâng cao của nhà cung câp Tài nguyên có thể baogồm: Lưu trữ, xử lý, bộ nhớ và băng thông mạng
Truy cập dễ dàng (Broad network access): Chỉ cần 1 ứng dụng kết nối internet từ bất cứ thiết bị nào như máy tính để bàn, laptop, thiết
bị di động, người dùng có thể truy cập tới tài nguyên đám mây
Điều tiết dịch vụ (Measured service): Các hệ thống điện toán đám mây có khả năng tự điều khiển và tinh chỉnh tài nguyên sử dụng bẵng cách áp dụng các biện pháp đo lường ở các cấp độ khác nhaucho từng loại dịch vụ Tài nguyên sử dụng có thể được giám sát,
đo lường và khách hàng thường sẽ chỉ trả phí cho lượng tài nguyên
họ sử dụng
1.4 CÁCH PHÂN LOẠI
1.4.1 Phân loại theo mô hình cung cấp dịch vụ
Các dịch vụ điện toán đám mây có kiến trúc phân tầng (layer), mỗitầng cung cấp các dịch vụ và tiện ích (chức năng) riêng của nó trên cơ sởcác dịch vụ và tiện ích của tầng thấp hơn
Trang 6Hình 3: Kiến trúc phân tầng dịch vụ trong điện toán đám mây
1.4.1.1 Dịch vụ hạ tầng (IaaS)
- IaaS (Infrastructure as a Service) cung cấp cho người dùng hà
tầng thô (thường dưới hình thức các máy ảo) như một dịch vụ Người dùng có thể triển khai và chạy phần mềm trên các máy ảo như trên một máy chủ thực hay có thể đưa dữ liệu cá nhân lên “đám mây” và lưu trữ Người dùng không có quyền kiểm soát hạ tầng thực bên trong “đám mây” tuy nhiên họ có toàn quyền quản lý và sử dụng tài nguyên mà họ được cung cấp, cũng như yêu cầu mở rộng lượng tài nguyên họ được phép sử dụng
- Các đặc trưng tiêu biểu:
Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bị mạng, bộ nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm
dữ liệu
Khả năng mở rộng linh hoạt
Chi phí thay đổi tùy theo thực tế
Nhiều người thuê có thể cùng dùng chung trên một tài
Trang 71.4.1.2 ) Dịch vụ nền tảng (PaaS)
- PaaS (Platform as a Service) Mô hình PaaS cung cấp cách thức cho phát triển ứng dụng trên một nền tảng trừu tượng Nó hỗ trợ việc triển khai ứng dụng mà không quan tâm đến chi phí hay sự phức tạp của việc trang bị và quản lý các lớp phần cứng và phần mềm bên dưới, cung cấp tất cả các tính năng cần thiết để hỗ trợ việc xây dựng và cung cấp một ứng dụng và dịch vụ web sẵn sàng trên Internet mà không cần bất kì thao tác tải hay cài đặt phần mềm cho những người phát triển, quản lý tinhọc, hay người dùng cuối PaaS cho phép các nhà phát triển ứng dụng có thể tạo ra các ứng dụng một cách nhanh chóng, khi nhiều rắc rối trong việc thiết lập máy chủ, cơ sở dữ liệu đã được nhà cung cấp PaaS giải quyết
- Các đặc trưng tiêu biểu:
Phục vụ cho việc phát triển, kiểm thử, triển khai và vận hành ứng dụng giống như là môi trường phát triển tích hợp
Cung cấp các công cụ khởi tạo với giao diện trên nền web
Kiến trúc đồng nhất
Tích hợp dịch vụ web và cơ sở dữ liệu
Hỗ trợ cộng tác nhóm phát triển
Cung cấp các công cụ hỗ trợ tiện tích khác
- Ví dụ: Google App Engine, Openshilt, Salesforce, Microsoft Azure, Amazon Web Services, Saleforce Platform, Red Hat Openshift,
…
1.4.1.3 Dịch vụ phần mềm (SaaS)
- SaaS (Software as a Service) là một mô hình triển khai ứng dụng
mà ở đó người cung cấp cho phép người dụng sử dụng dịch vụ theo yêu cầu Những nhà cung cấp SaaS có thể lưu trữ ứng dụng trên máy chủ của
họ hoặc tải ứng dụng xuống thiết bị khách hàng, vô hiệu hóa nó sau khi kết thúc thời hạn Các chức năng theo yêu cầu có thể được kiểm soát bên trong để chia sẻ bản quyền của một nhà cung cấp ứng dụng thứ ba
- Các đặc trưng tiêu biểu:
Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng
Quản lý các hoạt dộng từ một vị trí tập trung hơn là tại mỗi nơi của khách hàng, cho phép khác hàng truy xuất từ xa thông qua web
Cung cấp ứng dụng thông thường gần gũi với mô hình ánh
xạ từ một đến nhiều hơn là mô hình 1:1 bao gồm cả các đặc trưng kiến trúc, giá cả và quản lý
Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việc tải các bản vá lỗi và cập nhật
Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diện rộng
Trang 8- Ví dụ: Dịch vụ email hay các ứng dụng Google Docs, Google Calendar của Google, Dropbox, Canva, Asana, Trello, Google Suite (Sheets, Docs, Drive,…), Saleforce.com, Cloud9.com, …
1.4.2 Phân loại theo phương pháp triển khai
Các mô hình triển khai điện toán đám mây thực chất được phân chia theo các chính sách về quản lý truy cập đối với mỗi đám mây Nó được chia làm 4 loại như sau:
sử dụng phổ biến nhất hiện nay của cloud computing
- Đối tượng sử dụng: Bao gồm người dùng bên ngoài internet Đối tượng quản lý là nhà cung cấp dịch vụ
- Đối tượng sử dụng: Nội bộ doanh nghiệp sử dụng và quản lý
- Ưu điểm: Chủ động sử dụng, nâng cấp, quản lý, giảm chi phí, bảo mật tốt,…
- Nhược điểm:
o Khó khăn về công nghệ khi triển khai và chi phí xây dựng, duy trì
hệ thống
Trang 9o Hạn chế sử dụng trong nội bộ doanh nghiệp, người dùng ở ngoài không thể sử dụng.
1.4.2.3 Hybrid cloud
- Là sự kết hợp của private cloud và public cloud Cho phép ta khai thác điểm mạnh của từng mô hình cũng như đưa ra phương thức sử dụng tối ưu cho người sử dụng Những “đám mây” này thường do doanh nghiệp tạo ra và việc quản lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp điện toán đám mây công cộng
- Đối tượng sử dụng: Doang nghiệp và nhà cung cấp quản lý theo
sự thỏa thuận Người sử dụng có thể sử dụng các dịch vụ của nhà cung cấp và dịch vụ riêng của doanh nghiệp
- Ưu điểm: Doanh nghiệp 1 lúc có thể sử dụng được nhiều dịch vụ
- Đối tượng sử dụng: Các doanh nghiệp tham gia mô hình đều có quyền sử dụng các dịch vụ được cung cấp từ các doanh nghiệp khác
- Ưu điểm: Tốc độ nhanh, tiết kiệm cho phí, được sử dụng những ứng dụng tốt nhất từ các doanh nghiệp hợp tác
- Nhược điểm: Rất nguy hiểm về vấn đề bảo mật giữa các doanh nghiệp
1.5 Giới thiệu về ENISA
Cơ quan An ninh mạng của Liên minh Châu Âu (ENISA) là cơ quan của Liê minh dành riêng cho việc đạt được mức độ an ninh mạng chung cao trên toàn Châu Âu Được thành lập vào năm 2004 và được củng cố bởi Đạo luật An ninh mạng của Liên minh Châu Âu, Cơ quan
An ninh mạng của Liên minh Châu Âu đóng góp vào chính sách mạng của EU, nâng cao độ tin cậy của các sản phẩm, dịch vụ và quy trình CNTT-TT với các chương trình chứng nhận an ninh mạng, hợp tác với các Quốc gia thành viên và các cơ quan của EU, đồng thời giúp Châu Âuchuẩn bị cho những thách thức mạng của ngày mai Thông qua việc chia
sẻ kiến thức, xây dựng năng lực và nâng cao nhận thức, Cơ quan làm việc cùng với các bên liên quan chính để củng cố lòng tin vào nền kinh tếđược kết nối, thúc đẩy khả năng phục hồi của cơ sở hạ tầng của Liên minh và cuối cùng là giữ cho xã hội và công dân của Châu Âu được an toàn về mặt kỹ thuật số
Trang 10Năm 2007, Ủy viên Châu Âu Viviane Reding đề xuất rằng ENISAđược xếp thành Cơ quan Thị trường Truyền thông Điện tử Châu Âu mới (EECMA) Đến năm 2010, Ủy viên Neelie Kroes phát tín hiệu rằng Ủy ban châu Âu muốn có một cơ quan được củng cố Nhiệm vụ của cơ quan được gia hạn đến năm 2012 với ngân sách hàng năm là 8 triệu €, dưới sự lãnh đạo của Tiến sĩ Udo Helmbrecht Lần gia hạn cuối cùng nhiệm vụ của ENISA trước khi nó trở thành vĩnh viễn đã được thực hiện theo Quy định của EU 526/2013 của Nghị viện Châu Âu và của Hội đồng ngày 21 tháng 5 năm 2013, bãi bỏ Quy định (EC) 460/2004 Kể từ ngày 27 tháng
6 năm 2019, ENISA đã được thành lập vô thời hạn
Trụ sở chính của ENISA, bao gồm các chức năng quản lý và hỗ trợ, ban đầu có trụ sở tại Heraklion, Hy Lạp Việc lựa chọn một địa điểm khá xa đã gây tranh cãi ngay từ đầu, đặc biệt là vì Hy Lạp giữ chức chủ tịch EU khi nhiệm vụ của cơ quan đang được đàm phán Ngoài ra, cơ quan đã có văn phòng liên lạc tại Athens kể từ tháng 10 năm 2009 Vào năm 2013, nó đã chuyển một phần ba số nhân viên khi đó là sáu mươi từ Crete đến Athens.Vào năm 2016, Ủy ban về ngân sách đã ủng hộ nỗ lực của ENISA để đóng cửa văn phòng Heraklion Kể từ năm 2019, ENISA
có hai văn phòng; Trụ sở chính của nó ở Athens và văn phòng thứ hai ở Heraklion, Hy Lạp Vào tháng 6 năm 2021, Ủy ban Châu Âu đã đồng ý thành lập văn phòng ENISA tại Brussels
CHƯƠNG 2 ENISA TRONG ĐIỆN TOÁN ĐÁM MÂY
2.1 LỢI ÍCH BẢO MẬT CỦA ĐIỆN TOÁN ĐÁM MÂY
Hầu như không cân thiết phải lặp lại nhiều tài liệu giá trị của những khu rừng nhiệt đới đã được viết về kinh tế, kỹ thuật và lợi ích kiếntrúc và sinh thái của điện toán đám mây Tuy nhiên, theo kinh nghiệm trực tiếp của các thành viên trong nhóm chuyên gia của chúng tôi, cũng như theo tin tức gần đây từ ‘thế giới thực’, việc kiểm tra các rủi ro bảo mật của điện toán đám mây phải được cân bằng bằng việc xem xét các lợi ích bảo mật cụ thể của nó Điện toán đám mây có tiềm năng đáng kể
để cải thiện bảo mật và khả năng phục hồi Những gì sau đây là mô tả về những cách chính mà nó có thể đóng góp
Bảo mật và lợi ích của quy mô
Nói một cách đơn giản, tất cả các loại biện pháp an ninh đều rẻ hơn khi được thực hiện trên quy mô lớn hơn Do đó, cùng một số tiền đầu tư vào bảo mật sẽ giúp bảo vệ tốt hơn Điều này bao gồm tất cả các loại biện pháp phòng thủ như lọc, quản lý bản vá, tăng cường các phiên
Trang 11bản máy ảo và người giám sát, nguồn nhân lực và quản lý và kiểm tra của chúng, dự phòng phần cứng và phần mềm, xác thực mạnh mẽ, kiểm soát truy cập dựa trên vai trò hiệu quả và các giải pháp quản lý danh tính liên kết bằng mặc định, điều này cũng cải thiện hiệu ứng mạng của sự cộng tác giữa các đối tác khác nhau liên quan đến quốc phòng Các lợi ích khác của quy mô bao gồm:
Multiple locations: hầu hết các nhà cung cấp đám mây đều có đủ tiềm lực kinh tế để sao chép nội dung ở nhiều địa điểm theo mặc định Điều này làm tăng khả năng dự phòng và tính độc lập khỏi
sự cố và cung cấp một mức độ khôi phục sau thảm họa ngay lập tức
Edge networks: lưu trữ, xử lý và phân phối gần biên hơn có nghĩa
là độ tin cậy và chất lượng dịch vụ tổng thể được tăng lên và các vấn đề mạng cục bộ ít có khả năng gây ra tác dụng phụ toàn cầu hơn
Improved timeliness of response: các hệ thống quy mô lớn hơn đang vận hành tốt, ví dụ như do phát hiện sớm các triển khai phần mềm độc hại mới, có thể phát triển các khả năng ứng phó sự cố hiệu quả và hiệu quả hơn
Threat management: các nhà cung cấp đám mây cũng có thể đủ khả năng để thuê các chuyên gia đối phó với các mối đe dọa bảo mật cụ thể, trong khi các công ty nhỏ hơn chỉ có thể chi trả một số lượng nhỏ các nhà cung cấp tổng quát
Bảo mật như một sự khác biệt thị trường
Bảo mật là mối quan tâm ưu tiên của nhiều khách hàng sử dụng điện toán đám mây Khách hàng sẽ lựa chọn mua hàng trên cơ sở danh tiếng về tính bảo mật, tính toàn vẹn và khả năng phục hồi cũng như các dịch vụ bảo mật do nhà cung cấp cung cấp, hơn hẳn các môi trường truyền thống Đây là động lực mạnh mẽ để các nhà cung cấp đám mây cải thiện các phương pháp bảo mật của họ và cạnh tranh về bảo mật
Giao diện tiêu chuẩn cho các dich vụ bảo mật được quản lý
Các nhà cung cấp đám mây lớn có thể cung cấp giao diện mở, được tiêu chuẩn hóa cho các nhà cung cấp dịch vụ bảo mật được quản lý (MSS) cung cấp dịch vụ cho tất cả khách hàng của mình Điều này có khả năng tạo ra một thị trường sẵn có và cởi mở hơn cho các dịch vụ bảo mật, nơi khách hàng có thể chuyển đổi nhà cung cấp dễ dàng hơn và với chi phí thiết lập thấp hơn
Rapid, quy mô thông minh các nguồn lực
Danh sách tài nguyên đám mây có thể được mở rộng nhanh chóng theo yêu cầu đã bao gồm, ví dụ: bộ nhớ, thời gian CPU, bộ nhớ, yêu cầu dịch vụ web và các phiên bản máy ảo và mức độ kiểm soát chi tiết đối với việc tiêu thụ tài nguyên ngày càng tăng khi công nghệ phát triển
Trang 12Nhà cung cấp đám mây có tiềm năng phân bổ lại động các tài nguyên để lọc, định hình lưu lượng, mã hóa, v.v., để tăng cường hỗ trợ cho các biện pháp phòng thủ (ví dụ: chống lại các cuộc tấn công DDoS) khi một cuộc tấn công có khả năng xảy ra hoặc nó đang diễn ra Khi khả năng phân bổ lại tài nguyên động này được kết hợp với các phương pháptối ưu hóa tài nguyên thích hợp, nhà cung cấp dịch vụ đám mây có thể hạn chế ảnh hưởng mà một số cuộc tấn công có thể gây ra đối với sự sẵn
có của tài nguyên mà các dịch vụ được lưu trữ hợp pháp sử dụng, cũng như hạn chế ảnh hưởng của việc tăng sử dụng các nguồn lực của quốc phòng an ninh để chống lại các cuộc tấn công như vậy Tuy nhiên, để đạtđược điều này đòi hỏi nhà cung cấp phải thực hiện sự phối hợp đầy đủ của các biện pháp tự trị để bảo vệ an ninh cũng như quản lý và tối ưu hóatài nguyên
Khả năng mở rộng quy mô các nguồn lực phòng thủ một cách linh động theo yêu cầu có lợi thế rõ ràng cho khả năng phục hồi Hơn nữa, càng có nhiều loại tài nguyên riêng lẻ có thể được mở rộng theo cách chi tiết, mà không cần mở rộng tất cả các tài nguyên hệ thống, thì việc đáp ứng với các đỉnh đột ngột (không độc hại) của nhu cầu càng rẻ
Kiểm toán và biện chứng
Các dịch vụ IaaS hỗ trợ nhân bản máy ảo theo yêu cầu Trong trường hợp nghi ngờ có vi phạm bảo mật, khách hàng có thể chụp ảnh một máy ảo trực tiếp - hoặc các thành phần ảo của chúng - để phân tích pháp y ngoại tuyến, giúp giảm thời gian phân tích Với tính năng lưu trữ trên vòi, nhiều bản sao có thể được tạo và các hoạt động phân tích được thực hiện song song để giảm thời gian điều tra Điều này cải thiện việc phân tích rõ ràng các sự cố bảo mật và tăng xác suất theo dõi những kẻ tấn công và vá các điểm yếu Tuy nhiên, nó cho rằng khách hàng có quyền truy cập vào các chuyên gia pháp y được đào tạo (đây không phải
là một dịch vụ đám mây tiêu chuẩn như bằng văn bản)
Nó cũng có thể cung cấp khả năng lưu trữ nhật ký hiệu quả hơn vềchi phí, do đó cho phép ghi nhật ký toàn diện hơn mà không ảnh hưởng đến hiệu suất Thanh toán khi bạn chuyển sang lưu trữ đám mây mang lại
sự minh bạch cho chi phí lưu trữ kiểm tra của bạn và điều chỉnh để đáp ứng nhật ký kiểm tra trong tương lai dễ dàng hơn Điều này làm cho quá trình xác định các sự cố bảo mật khi chúng xảy ra hiệu quả hơn
Cập nhật và đánh giá hiệu quả hơn
Hình ảnh máy ảo và mô-đun phần mềm mà khách hàng sử dụng cóthể được làm cứng trước và cập nhật các bản vá lỗi và cài đặt bảo mật mới nhất theo quy trình đã được tinh chỉnh; hơn nữa, các API dịch vụ đám mây IaaS cũng cho phép chụp nhanh cơ sở hạ tầng ảo thường xuyên
và so sánh với đường cơ sở (ví dụ: để đảm bảo các quy tắc tường lửa phần mềm không thay đổi) Các bản cập nhật có thể được triển khai nhanh hơn nhiều lần trên một nền tảng đồng nhất so với các hệ thống dựa
Trang 13trên máy khách truyền thống dựa vào mô hình vá lỗi Cuối cùng trong các mô hình PaaS và SaaS, các ứng dụng có nhiều khả năng đã được cố gắng chạy bên ngoài môi trường doanh nghiệp, điều này khiến chúng có khả năng di động và mạnh mẽ hơn so với phần mềm doanh nghiệp tươngđương (nếu nó tồn tại) Chúng cũng có nhiều khả năng được cập nhật thường xuyên và vá theo cách tập trung để giảm thiểu cửa sổ lỗ hổng bảomật.
Kiểm toán và lực lượng SLAs quản lý rủi ro tốt hơn
Nhu cầu định lượng các hình phạt đối với các tình huống rủi ro khác nhau trong SLA và tác động có thể có của vi phạm bảo mật đối với danh tiếng (xem Bảo mật là yếu tố khác biệt của thị trường) thúc đẩy các thủ tục kiểm toán nội bộ và đánh giá rủi ro nghiêm ngặt hơn so với các quy trình khác Các cuộc kiểm toán thường xuyên áp dụng đối với các
CP có xu hướng bộc lộ những rủi ro mà nếu không sẽ không được phát hiện ra, do đó có cùng tác động tích cực
Lợi ích của việc tập trung nguồn lực
Mặc dù việc tập trung tài nguyên chắc chắn có những bất lợi đối với bảo mật, nó có lợi thế rõ ràng là kiểm soát truy cập vật lý rẻ hơn và kiểm soát truy cập vật lý (trên mỗi đơn vị tài nguyên) và việc áp dụng chính sách bảo mật toàn diện và kiểm soát quản lý dữ liệu, quản lý bản
vá, quản lý sự cố dễ dàng và rẻ hơn và các quy trình bảo trì Mức độ mà các khoản tiết kiệm đó được chuyển cho khách hàng rõ ràng sẽ khác nhau
2.2 ĐÁNH GIÁ RỦI RO
Kịch bản use-case
Với mục đích đánh giá rủi ro này của điện toán đám mây, tôi đã phân tích ba trường hợp sử dụng:
Góc nhìn của SME về Điện toán đám mây
Tác động của Điện toán đám mây đối với khả năng phục hồi của dịch vụ
Điện toán đám mây và Chính phủ điện tử
Sự lựa chọn này dựa trên cơ sở lý luận rằng ở Châu Âu, thị trường đám mây được dự đoán sẽ có tác động lớn đến các doanh nghiệp mới và các công ty khởi nghiệp, cũng như về cách các mô hình kinh doanh hiện tại sẽ phát triển Vì ngành công nghiệp của EU chủ yếu là các doanh nghiệp vừa và nhỏ (99% công ty theo nguồn của EU) nên việc tập trung vào các doanh nghiệp vừa và nhỏ là rất hợp lý Tuy nhiên, chúng tôi đã đưa vào một số rủi ro và khuyến nghị áp dụng cụ thể cho các chính phủ
và các doanh nghiệp lớn hơn.
Kịch bản Doanh nghiệp vừa và nhỏ dựa trên kết quả của cuộc khảo sát: Quan điểm của SME về Điện toán đám mây và nó KHÔNG
Trang 14phải là một bản đồ chỉ đường cho các công ty đang xem xét, lập kế hoạchhoặc điều hành các dự án và đầu tư vào điện toán đám mây.
Một công ty quy mô vừa được sử dụng như một trường hợp sử dụng để đảm bảo đánh giá mức độ phức tạp đủ cao về CNTT, pháp lý và kinh doanh Mục đích là để lộ tất cả các rủi ro bảo mật thông tin có thể xảy ra Một số rủi ro trong số đó là cụ thể đối với các doanh nghiệp quy
mô vừa; một số rủi ro khác là rủi ro chung mà các doanh nghiệp siêu nhỏhoặc nhỏ cũng có khả năng phải đối mặt khi chuyển sang cách tiếp cận điện toán đám mây
Kịch bản KHÔNG nhằm hoàn toàn thực tế đối với bất kỳ ứng dụng khách hoặc nhà cung cấp đám mây nào nhưng tất cả các yếu tố của kịch bản đều có khả năng xảy ra ở nhiều tổ chức trong tương lai gần
Quy trình đánh giá rủi ro
Mức độ rủi ro được ước tính trên cơ sở khả năng xảy ra một kịch bản sự cố, được ánh xạ với tác động tiêu cực ước tính Khả năng xảy ra kịch bản sự cố là do một mối đe dọa khai thác lỗ hổng bảo mật với một khả năng nhất định
Khả năng xảy ra của từng tình huống sự cố và tác động kinh doanhđược xác định với sự tham vấn của nhóm chuyên gia đóng góp cho báo cáo này, rút ra kinh nghiệm chung của họ Trong trường hợp được đánh giá là không thể cung cấp ước tính có cơ sở về khả năng xảy ra, giá trị là N/A Trong nhiều trường hợp, ước tính về khả năng xảy ra phụ thuộc nhiều vào mô hình đám mây hoặc kiến trúc đang được xem xét
Phần dưới đây cho thấy mức độ rủi ro là một hàm của tác động kinh doanh và khả năng xảy ra tình huống sự cố Rủi ro kết quả được đo lường trên thang điểm từ 0 đến 8 có thể được đánh giá dựa trên các tiêu chí chấp nhận rủi ro Thang đo rủi ro này cũng có thể được ánh xạ thành một xếp hạng rủi ro tổng thể đơn giản:
Rủi ro thấp: 0-2
Rủi ro trung bình: 3-5
Rủi ro cao: 6-8
Trang 15Hình 4: Ước tính mức độ rủi ro dựa trên tiêu chuẩn ISO/IEC
27005:2008
2.3 RỦI RO
Rủi ro phải luôn được hiểu trong mối quan hệ với cơ hội kinh doanh tổng thể và mong muốn chấp nhận rủi ro - đôi khi rủi ro được bù đắp bằng cơ hội
Các dịch vụ đám mây không chỉ là lưu trữ thuận tiện, có thể truy cập được bởi nhiều thiết bị, mà còn bao gồm các lợi ích quan trọng như giao tiếp thuận tiện hơn và cộng tác đa điểm tức thì Do đó, phân tích so sánh cần phải so sánh không chỉ rủi ro khi lưu trữ dữ liệu ở những nơi khác nhau (trên cơ sở và đám mây) mà còn cả những rủi ro khi ở cơ sở -
dữ liệu được lưu trữ tại cơ sở - ví dụ: một bảng tính - được gửi qua emailcho những người khác vì những đóng góp của họ, chống lại các vấn đề bảo mật của bảng tính được lưu trữ trong đám mây và mở cho sự cộng tác giữa những người đó Do đó, rủi ro của việc sử dụng điện toán đám mây nên được so sánh với rủi ro khi ở lại với các giải pháp truyền thống, chẳng hạn như các mô hình dựa trên máy tính để bàn
Mức độ rủi ro trong nhiều trường hợp sẽ thay đổi đáng kể với loại kiến trúc đám mây đang được xem xét
Khách hàng trên đám mây có thể chuyển rủi ro cho nhà cung cấp dịch vụ đám mây và các rủi ro cần được xem xét so với lợi ích chi phí nhận được từ các dịch vụ Tuy nhiên, không phải mọi rủi ro đều có thể chuyển giao: nếu rủi ro dẫn đến sự thất bại của doanh nghiệp, gây thiệt hại nghiêm trọng về danh tiếng hoặc ảnh hưởng pháp lý, thì khó hoặc không có bên nào khác có thể bồi thường thiệt hại này
Phân tích rủi ro trong bài báo này áp dụng cho công nghệ đám mây Nó không áp dụng cho bất kỳ công ty hoặc dịch vụ điện toán đám mây cụ thể nào Bài báo này không nhằm thay thế việc đánh giá rủi ro tổ chức theo dự án cụ thể
Trang 16Mức độ rủi ro được thể hiện từ quan điểm của khách hàng đám mây Khi quan điểm của nhà cung cấp đám mây được xem xét, điều này được nêu rõ ràng.
Các rủi ro được xác định trong đánh giá được phân thành ba loại:
so sánh vì giả định rằng tất cả các rủi ro được chọn đều cao hơn
2.3.1 Chính sách và rủi ro tổ chức
2.3.1.1 Khóa lại
Hiện có rất ít đề xuất về cách thức các công cụ, thủ tục hoặc định dạng dữ liệu tiêu chuẩn hoặc giao diện dịch vụ có thể đảm bảo tính khả chuyển của dữ liệu và dịch vụ (mặc dù một số sáng kiến vẫn tồn tại, ví dụ:) Điều này gây khó khăn cho khách hàng khi di chuyển từ nhà cung cấp này sang nhà cung cấp khác hoặc di chuyển dữ liệu và dịch vụ sang hoặc từ môi trường CNTT nội bộ Hơn nữa, các nhà cung cấp dịch vụ đám mây có thể có động cơ để ngăn chặn (trực tiếp hoặc gián tiếp) tính khả chuyển của các dịch vụ và dữ liệu khách hàng của họ