Tải bản đầy đủ (.pdf) (29 trang)
  1. Trang chủ
    2. >>
  2. Giáo án - Bài giảng
    3. >>
  3. Cao đẳng - Đại học

BÁO CÁO BÀI TẬP LỚN ĐỀ TÀI: TÌM HIỂU VỀ TIÊU CHUẨN ENISA TRONG ĐIỆN TOÁN ĐÁM MÂY

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (660.79 KB, 29 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
-----🙠🕮🙢-----

BÁO CÁO BÀI TẬP LỚN
ĐỀ TÀI: TÌM HIỂU VỀ TIÊU CHUẨN ENISA TRONG
ĐIỆN TOÁN ĐÁM MÂY
Giảng viên hướng dẫn: ThS. Nguyễn Thị Thu Thủy
Sinh viên thực hiện:

Đỗ Phúc Lộc – AT140527
Đào Nhật Linh – AT140424
Lưu Thái Tuấn – AT140551
Dương Trung Anh – AT140401
Nguyễn Ngọc Tuấn – AT140647

Hà Nội, 2021

1


MỤC LỤC
LỜI NÓI ĐẦU ................................................................................................................ 4
CHƯƠNG 1 : GIỚI THIỆU ........................................................................................... 5
CHƯƠNG 2 : KHÁI NIỆM CƠ BẢN VỀ ĐIỆN TOÁN ĐÁM MÂY .......................... 6
CHƯƠNG 3 : CƠ HỘI VỀ MẠNG VÀ BẢO MẬT THÔNG TIN............................... 9
3.1 Trải rộng địa lý ................................................................................................... 10
3.2 Độ co giãn ........................................................................................................... 10
3.3 Các định dạng và giao diện chuẩn ...................................................................... 11
3.4 Bảo mật vật lí ...................................................................................................... 11
3.5 Phản ứng sự cố suốt ngày đêm ........................................................................... 12


3.6 Phát triển phần mềm an toàn .............................................................................. 12
3.7 Vá và cập nhật .................................................................................................... 13
3.8 Sao lưu ................................................................................................................ 13
3.9 Bộ nhớ phía máy chủ .......................................................................................... 14
3.10 An ninh dưới dạng dịch vụ và các tiện ích bổ sung bảo mật ............................ 14
3.11 Chứng nhận và tuân thủ .................................................................................... 15
CHƯƠNG 4 : RỦI RO VỀ MẠNG VÀ BẢO MẬT THÔNG TIN ............................. 16
4.1 Các lỗ hổng bảo mật phần mềm ......................................................................... 17
4.2 Các cuộc tấn công mạng ..................................................................................... 17
4.3 Các cuộc tấn công kỹ thuật xã hội ...................................................................... 18
4.4 Thỏa hiệp giao diện quản lý ................................................................................ 18
4.5 Mất cắp hoặc mất mát thiết bị ............................................................................. 18
4.6 Mối nguy vật lý ................................................................................................... 19
4.7 Q tải ................................................................................................................. 19
4.8 Chi phí khơng mong muốn ................................................................................. 19
4.9 Khóa nhà cung cấp .............................................................................................. 20
4.10 Các khía cạnh hành chính hoặc pháp lý ........................................................... 20
4.11 Các vấn đề luật nước ngoài .............................................................................. 21
CHƯƠNG 5 : CÂU HỎI BẢO MẬT ........................................................................... 22
5.1 An ninh tổ chức, quản trị và quản lý rủi ro ......................................................... 22
2


5.2 Trách nhiệm an ninh ........................................................................................... 22
5.3 Dự phòng và sao lưu ........................................................................................... 23
5.4 Các vấn đề pháp lý, quy định và hành chính ...................................................... 23
5.5 An ninh nhân sự .................................................................................................. 24
5.6 Kiểm soát truy cập .............................................................................................. 25
5.7 Bảo mật phần mềm ............................................................................................. 25
5.8 Người dùng, quản lý và giao diện lập trình ứng dụng ........................................ 26

5.9 Giám sát và ghi nhật ký ...................................................................................... 26
5.10 Khả năng tương tác và tính di động ................................................................. 27
5.11 Chia tỷ lệ, định cỡ và chi phí ............................................................................ 28
5.12 Tuân thủ luật pháp quốc gia / nước ngoài ........................................................ 28
CHƯƠNG 6 : KẾT LUẬN ........................................................................................... 29

3


LỜI NĨI ĐẦU

Ngày nay, khái niệm điện tốn đám mây chắc hẳn khơng cịn xa lạ gì với những người
u thích cơng nghệ nữa. Chúng ta khơng thể phủ nhận những lợi ích mà điện tốn đám
mây đem lại. Tuy nhiên, triển khai cơng nghệ điện tốn đám mây, đồng nghĩa với việc
dữ liệu của doanh nghiệp do nhà cung cấp dịch vụ quản lý; mọi truy cập phải thông qua
hạ tầng công cộng. Điều này khiến nhiều doanh nghiệp cịn nghi ngại.
Điện tốn đám mây đem lại rất nhiều lợi ích. Thay vì phải tự mua, tải xuống và bảo trì
phần mềm, bạn chỉ cần kết nối với chương trình phần mềm của bên thứ ba qua internet
giúp tiết kiệm thời gian, tiền bạc và bạn khơng cịn đau đầu khi phải liên tục cập nhật
phần mềm. Đó là lý do khi ngày càng có nhiều doanh nghiệp vừa và nhỏ đang sử dụng
đám mây độc quyền. Tuy nhiên, điện toán đám mây vẫn mang những rủi ro nhất định.
Việc chia sẻ các chương trình phần mềm với các công ty khác khiến dữ liệu dễ bị đánh
cắp và tấn công mạng. Và thực tế, rủi ro lớn hơn có thể đến từ chính các nhân viên của
tổ chức.
Nếu khơng có các chương trình đào tạo hoặc khơng có an ninh mạng thì nhân viên có
thể vơ tình để lộ thông tin quan trọng, gián tiếp tiếp tay cho các hành vi trộm cắp, hack
hoặc các cuộc tấn công nguy hiểm. Các công ty cũng cần quản lý chi phí, hoạt động và
hệ thống CNTT để tận dụng được tất cả những lợi ích của điện tốn đám mây.

4



CHƯƠNG 1 : GIỚI THIỆU
Hướng dẫn này nhằm giúp các doanh nghiệp vừa và nhỏ hiểu rõ các rủi ro và cơ
hội về mạng và an tồn thơng tin họ nên tính đến khi sử dụng điện tốn đám mây. Hướng
dẫn này chứa danh sách 11 bảo mật các cơ hội về mạng và bảo mật thông tin và danh
sách 11 mạng và rủi ro an tồn thơng tin Các doanh nghiệp vừa và nhỏ. Những danh
sách cơ hội và rủi ro này có thể được sử dụng trực tiếp bởi các doanh nghiệp vừa và nhỏ
khi họ mua dịch vụ đám mây. Đối với hai tình huống hư cấu cụ thể, chúng tôi đánh giá
rủi ro và cơ hội: Một DNVVN sử dụng SaaS cho email và tài liệu và một DNVVN sử
dụng IaaS / PaaS để chạy nền tảng webhop. Hướng dẫn này cũng chứa một danh sách
các bảo mật các câu hỏi mà các doanh nghiệp vừa và nhỏ có thể sử dụng để hiểu các
tính năng chính của dịch vụ đám mây phù hợp nhất cho bảo mật mạng và thông tin.
Tài liệu này tập trung vào các rủi ro và cơ hội về an toàn thông tin và
mạng; không phải các vấn đề khác như tuân thủ pháp luật, luật pháp, các vấn đề hợp
đồng. Trong các phụ lục, chúng tôi đề cập ngắn gọn đến dữ liệu cá nhân luật bảo vệ, chỉ
để chỉ ra một số khái niệm và thơng tin có liên quan.

5


CHƯƠNG 2 : KHÁI NIỆM CƠ BẢN VỀ ĐIỆN TOÁN ĐÁM MÂY
Trong phần này, ba loại dịch vụ đám mây cơ bản được giới thiệu và sự phân chia khác
nhau của các nhiệm vụ bảo mật được giải thích.
Người ta có thể phân biệt ba loại dịch vụ đám mây khác nhau, mỗi loại liên quan đến
các loại tài sản:

Hình 2.1 Tài sản trong điện toán đám mây

Chúng ta xem qua sơ đồ từ trái sang phải:

● Cơ sở hạ tầng như một dịch vụ : Trong IaaS, nhà cung cấp cung cấp các tài nguyên
máy tính (ảo phần cứng), có thể truy cập trực tuyến. Phần mềm cung cấp quyền truy
cập vào các tài nguyên được gọi là người giám sát. Nói chung, có hai loại tài nguyên:
sức mạnh xử lý (bao gồm tài nguyên mạng), và (khối) lưu trữ (tài nguyên bộ nhớ). Ví
dụ bao gồm của Amazon Đám mây tính tốn đàn hồi, Cơng cụ tính tốn của Google,
Dịch vụ lưu trữ đơn giản của Amazon, Dropbox, Rackspace, v.v. Lưu ý rằng các dịch
vụ lưu trữ đối tượng (ví dụ: Dropbox) thường được coi là một SaaS.
● Nền tảng như một dịch vụ: Trong PaaS, nhà cung cấp cung cấp một nền tảng, hay
chính xác hơn là ứng dụng máy chủ, để khách hàng chạy ứng dụng. Các nhà cung cấp
PaaS đôi khi cung cấp một phần mềm cơng cụ phát triển cho nền tảng. Ví dụ về các ứng
dụng chạy trên các nền tảng này là script (PHP, Python, ví dụ) hoặc mã byte (Java
servlet, C #). Ví dụ bao gồm Google App engine, Microsoft Azure, Amazon Elastic
Beanstalk, v.v.
● Phần mềm như một dịch vụ: Trong SaaS, nhà cung cấp phân phối phần mềm hoặc
ứng dụng chính thức, thơng qua
6


mạng internet. Các ứng dụng đa dạng từ máy chủ email, trình chỉnh sửa tài liệu, quan
hệ khách hàng hệ thống quản lý, v.v. Dịch vụ SaaS thường có thể được truy cập bằng
trình duyệt hoặc web khách hàng dịch vụ. Lưu ý rằng khơng có gì lạ khi các nhà cung
cấp SaaS chạy các ứng dụng của họ trên một IaaS hoặc PaaS từ một nhà cung cấp
khác. Một ví dụ là trang web phát trực tuyến video Netflix (SaaS) chạy trên các dịch vụ
điện toán Amazon AWS (PaaS / IaaS).
● Cơ sở vật chất biểu thị cấu trúc vật lý và nguồn cung cấp như mạng, làm mát, nguồn,
v.v.
● Tổ chức biểu thị nguồn nhân lực, các chính sách và thủ tục để duy trì
cơ sở vật chất và hỗ trợ việc cung cấp các dịch vụ.
Trong điện toán đám mây, việc phân phối tài nguyên ICT, ở một mức độ nào đó, được
th ngồi cho nhà cung cấp dịch vụ đám mây. Cũng thế

một số nhiệm vụ bảo mật (chẳng hạn như giám sát, vá lỗi, ứng phó sự cố) được th
ngồi. Tùy thuộc vào loại dịch vụ đám mây, một số nhiệm vụ vẫn thuộc trách nhiệm
của khách hàng, trong khi các nhiệm vụ khác vẫn thuộc trách nhiệm của nhà cung
cấp. Phân chia trách nhiệm có thể một số đơi khi là một nguồn chính của các vấn đề vì
nó dựa trên các giả định và được ghi chép kém, dẫn đến chồng chéo và khoảng
trống. Tuy nhiên, điều này dường như đã tuyệt chủng vì SLA đã trở nên nhiều hơn tài
liệu tinh vi và chỉ rõ thơng tin này. Ví dụ: trong IaaS / PaaS, khách hàng chạy mã riêng
của họ trên dịch vụ đám mây và thường vẫn chịu trách nhiệm về điều này (ứng dụng)
phần mềm. Trong SaaS, mặt khác, các phần mềm ứng dụng thường là 8 dưới sự kiểm
soát của nhà cung cấp.
Trong sơ đồ dưới đây, chúng tôi minh họa cách phân chia các nhiệm vụ bảo mật nhất
định có thể khác nhau như thế nào đối với
các dịch vụ đám mây khác nhau (IaaS, PaaS, SaaS).

7


Hình 2.2 Việc th ngồi các nhiệm vụ là khác nhau đối với các loại dịch vụ khác nhau

Lưu ý rằng sơ đồ này là để minh họa và không cung cấp danh sách đầy đủ các quy trình
bảo mật ở phía nhà cung cấp hoặc phía khách hàng. Trong các cài đặt cụ thể, có thể có
các thỏa thuận cụ thể về việc thuê ngoài các nhiệm vụ an ninh. Ví dụ: một nhà cung cấp
IaaS có thể có dịch vụ vá lỗi Hệ điều hành (OS) của khách hàng. Đôi khi các dịch vụ
như vậy được cung cấp bởi bên thứ ba (và đây là còn được gọi là SECurity-As-AService). Xem phần tiếp theo về cơ hội. Xem thêm phụ lục cho ví dụ về các nhiệm vụ
bảo mật trong hai tình huống giả tưởng.
Trong thực tế đối với các doanh nghiệp vừa và nhỏ, điều quan trọng là phải đánh giá
cẩn thận những nhiệm vụ bảo mật nào được thuê ngoài cho nhà cung cấp và nhiệm vụ
bảo mật nào vẫn thuộc trách nhiệm của riêng họ. Nó khơng phải là hiếm đối với các
doanh nghiệp vừa và nhỏ bối rối về trách nhiệm của họ liên quan đến bảo mật, chẳng
hạn như ai tạo bản sao lưu của dữ liệu hoặc phần mềm, loại chuyển đổi dự phòng / dự

phòng nào được cung cấp bởi nhà cung cấp và những gì cần phải được vẫn được thực
hiện bởi khách hàng.

8


CHƯƠNG 3 : CƠ HỘI VỀ MẠNG VÀ BẢO MẬT THƠNG TIN
Điện tốn đám mây có thể được sử dụng bởi các doanh nghiệp vừa và nhỏ cho một loạt
các ứng dụng khác nhau (email, trang web của công ty, CRM, CMS, xử lý bảng lương
nội bộ, lưu trữ tài liệu nội bộ của công ty, v.v.). Đối với các doanh nghiệp vừa và nhỏ
điện tốn đám mây có thể mang lại nhiều lợi thế kinh doanh: Các dịch vụ đám mây
thường “thanh tốn khi bạn đi”, có thể là một cấu trúc chi phí hấp dẫn đối với một doanh
nghiệp vừa và nhỏ, tránh đầu tư trả trước vào phần cứng, chuyên gia phần mềm và
CNTT. Tổng chi phí khi thực hiện thường thấp hơn chi phí khi đi với các giải pháp
CNTT truyền thống. Cộng tác trực tuyến thường dễ dàng hơn trong trường hợp đám
mây vì quyền truy cập bảo hành cho người dùng từ các địa điểm thực tế khác nhau và
các thiết bị người dùng cuối khác nhau, v.v.
Ngồi ra cịn có các cơ hội về mạng và bảo mật thơng tin. Nói chung là đám mây lớn
các nhà cung cấp máy tính có thể đưa ra các biện pháp bảo mật nâng cao, đồng thời giải
tỏa các chi phí liên quan qua một số khách hàng. Trong một số trường hợp, điều này có
nghĩa là các cài đặt bảo mật cơ bản có thể 'được chia sẻ' giữa các chuyên gia trang phục
và có thể khơng tùy chỉnh được nhưng nó cũng chuyển thành một số các cơ hội bảo mật
cụ thể. Dưới đây, chúng tôi nêu rõ 11 cơ hội cụ thể cho mạng và bảo mật thông tin của
các doanh nghiệp vừa và nhỏ:
Cơ hội về mạng và bảo mật thông tin

1.Trải rộng địa lý
2.Độ co giãn
3. Các định dạng và giao diện tiêu chuẩn
4. Bảo mật vật lý

5. Phản ứng sự cố suốt ngày đêm
6. Phát triển phần mềm
7. Vá và cập nhật
8. Sao lưu
9. Bộ nhớ phía máy chủ
10. An ninh dưới dạng dịch vụ và các tiện ích bổ sung bảo mật
11. Chứng nhận và tuân thủ
Phần còn lại của phần này xem xét từng cơ hội, giải thích ngắn gọn lý do tại sao điều
này có thể trình bày cơ hội cho một doanh nghiệp vừa và nhỏ. Đối với mỗi cơ hội, có
sự so sánh với việc triển khai CNTT truyền thống và hướng người đọc đến các câu hỏi
bảo mật liên quan trong Phần 6, câu hỏi này có thể được sử dụng trong đấu thầu
tiến trình.
Vì mọi DNVVN đều khác nhau, nên khơng phải tất cả các cơ hội bảo mật này đều quan
trọng ở cùng một mức độ đối với tất cả khách hàng. Lưu ý rằng báo cáo này không cung
9


cấp xếp hạng hoặc xếp hạng các cơ hội. Trong phụ lục hai tình huống cụ thể (hư cấu),
được kiểm tra và đánh giá các cơ hội diễn ra
sử dụng thang điểm sau:

- Cơ hội nhỏ: Khách hàng có thể khai thác cơ hội này nhưng lợi ích sẽ bị hạn chế.
- Cơ hội trung bình: Khách hàng nên khai thác điều này cơ hội, bởi vì lợi ích sẽ là
đáng kể.
- Cơ hội lớn: Khách hàng phải khai thác điều này cơ hội, vì sẽ có những lợi ích quan
trọng.
3.1 Trải rộng địa lý
Các trung tâm dữ liệu điện toán đám mây thường được trải rộng trên các vùng địa lý
khác nhau, trên toàn quốc hoặc trên toàn cầu. Sự chênh lệch về địa lý có thể cung cấp
khả năng phục hồi chống lại các vấn đề khu vực và thảm họa địa phương như bão, động

đất, hoặc đứt cáp. Nó cũng có thể được sử dụng để giảm thiểu một số cuộc tấn công Từ
chối Dịch vụ (DoS), cho phép khách hàng truy cập tại các địa điểm khác. Khoảng cách
địa lý có thể giúp giảm độ trễ của mạng, bởi vì các dịch vụ được cung cấp từ các trang
web gần hơn với khách hàng. Điều này có thể cải thiện tổng thể tính khả dụng và hiệu
suất của dịch vụ.
Ở đây cần nhấn mạnh rằng không phải tất cả các dịch vụ đám mây đi kèm với chênh
lệch địa lý và đơi khi nó có sẵn nhưng cần phải là được cấu hình / yêu cầu bởi khách
hàng cụ thể. Tùy thuộc vào cài đặt, điều này có thể bao gồm thêm chi phí, bởi vì đồng
bộ hóa dữ liệu trên hai trang web từ xa u cầu băng thơng mạng, máy tính nguồn và
lưu trữ.
Đám mây so với CNTT truyền thống: Trong truyền thống Triển khai CNTT mà một
SME sẽ phải thiết lập lên một trang web từ xa bổ sung, đơi khi thậm chí tăng gấp đơi
chi phí cho các cơ sở CNTT.
3.2 Độ co giãn
Các nhà cung cấp dịch vụ điện toán đám mây có thể sử dụng các trung tâm dữ liệu lớn
với lượng lớn tài ngun dự phịng, để có thể đáp ứng với những thay đổi nhanh chóng
trong việc sử dụng tài nguyên, mức sử dụng cao điểm, và tấn công từ chối dịch vụ
(DDoS).
Ở đây cần lưu ý rằng không phải tất cả các dịch vụ đám mây đều cung cấp cùng một
loại đàn hồi. Có thể có giới hạn về mức tiêu thụ tài nguyên do nhà cung cấp thiết lập
10


hoặc khách hàng. Trong một số cài đặt, độ đàn hồi có thể cần được khách hàng định cấu
hình / yêu cầu cụ thể, và có thể làm tăng chi phí.
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống một SME
sẽ cần đầu tư vào các nguồn dự phòng để đáp ứng việc sử dụng cao điểm, năng suất
chi phí cao và khơng hiệu quả (bởi vì những tài ngun này sẽ khơng được sử dụng hầu
hết của thời gian).
3.3 Các định dạng và giao diện chuẩn

Ý tưởng về điện toán đám mây là cung cấp một dịch vụ cho nhiều khách hàng cùng một
lúc. Điều này có nghĩa là trong thực tế các dịch vụ đám mây thường tn thủ với tồn
ngành tiêu chuẩn. Ví dụ: hầu hết các nhà cung cấp PaaS cung cấp máy chủ ứng dụng
PHP tiêu chuẩn và nhiều SaaS các nhà cung cấp triển khai các giao diện tiêu chuẩn dựa
trên các tiêu chuẩn như XML và JSON (Đối tượng JavaScript Ký hiệu). Điều này có
nghĩa là các dịch vụ đám mây có thể dễ dàng tích hợp với các dịch vụ khác hoặc chuyển
sang nền tảng. Đây là một cơ hội bảo mật vì nó tạo điều kiện thuận lợi cho việc sao lưu,
chuyển đổi dự phịng và tích hợp với các công cụ bảo mật mà khách hàng có thể sử
dụng, ví dụ như các cơng cụ giám sát.
Ở đây cần lưu ý rằng trong khi hầu hết các nhà cung cấp đám mây sử dụng giao diện và
định dạng dữ liệu tiêu chuẩn, thì điều này khơng phải lúc nào cũng vậy. Khách hàng
nên hỏi những tiêu chuẩn nào được sử dụng.
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống Các doanh
nghiệp vừa và nhỏ thường sử dụng tùy chỉnh không tiêu chuẩn cấu hình và độc quyền
giao thức, vì thiếu chun mơn và (đơi khi) chi phí cao hơn của thực hiện các tiêu chuẩn.
3.4 Bảo mật vật lí
Trong trường hợp mơ hình kinh doanh của DNVVN bao gồm chia sẻ các yêu cầu về tài
nguyên thì bảo mật vật lý thực sự là một cơ hội khi sử dụng đám mây. Nguồn
tập trung làm cho an ninh vật chất tương đối rẻ. Nếu như chi phí của các biện pháp an
ninh vật lý, chẳng hạn như chu vi bảo vệ, bảo vệ 24/7, hệ thống báo động, camera
giám sát, bình chữa cháy tự động, v.v., có thể được chia sẻ với nhiều khách hàng thì chi
phí cho mỗi khách hàng chậm. Trong thực tế, điều này có nghĩa là các nhà cung cấp
dịch vụ đám mây có thể đưa ra các biện pháp an ninh vật chất hiện đại giúp giảm đáng
kể nguy cơ trộm cắp tài sản của máy chủ, đĩa và thiết bị, hỏa hoạn, lũ lụt, v.v.
So với CNTT truyền thống: Trong triển khai CNTT truyền thống thậm chí biện pháp
an ninh tiêu chuẩn như một người bảo vệ tại trụ sở 24/7, sẽ quá tốn kém cho một doanh
nghiệp vừa và nhỏ.

11



3.5 Phản ứng sự cố suốt ngày đêm
Sự cố an ninh có thể xảy ra bất cứ lúc nào trong ngày hoặc đêm. Để đảm bảo tính liên
tục, hầu hết các nhà cung cấp dịch vụ đám mây liên tục theo dõi các dịch vụ của họ suốt
ngày đêm và có khả năng ứng phó để sẵn sàng phản ứng với những thất bại hoặc các
cuộc tấn cơng. Có nhân sự sẵn sàng 24/7 là tốn kém, nhưng trong điện toán đám mây
các biện pháp bảo mật này trở thành phù hợp túi tiền của khách hàng vì chi phí được
chia sẻ với nhiều khách hàng.
Lưu ý rằng các nhà cung cấp dịch vụ đám mây không phải lúc nào cũng theo dõi và ứng
phó với tất cả các loại sự cố bảo mật mà có thể ảnh hưởng đến dịch vụ đám mây hoặc
khách hàng trên đám mây. Khách hàng nên kiểm tra loại bảo mật nào các sự cố được
theo dõi và ứng phó, và loại hành động ứng phó nào sẽ được thực hiện bởi nhà cung
cấp, để hiểu những gì cịn phải làm của khách hàng.
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống, một
doanh nghiệp vừa và nhỏ sẽ phải đầu tư rất nhiều để có một Khả năng ứng phó sự cố
24/7.
3.6 Phát triển phần mềm an toàn
Phát triển phần mềm an tồn khơng dễ dàng và địi hỏi nhiều thời gian và sự đầu tư vào
con người, công cụ và quy trình. Ngay cả khi xây dựng một đơn giản trang web đầy rẫy
cạm bẫy bảo mật. Một an toàn đường ống phát triển phần mềm (các bài kiểm tra đơn
vị, liên tục tích hợp, thâm nhập và bảo mật kiểm tra, kiểm tra tải và quan trọng nhất là
kỹ năng và lập trình phần mềm được đào tạo) khơng dễ cài đặt-lên và duy trì. Để xây
dựng phần mềm tùy chỉnh, một cách an toàn, rất tốn kém và việc mã hóa phần mềm
th ngồi là khơng phải lúc nào cũng rẻ hay dễ dàng.
Do quy mô của họ, các nhà cung cấp đám mây có thể đủ khả năng đầu tư vào việc phát
triển phần mềm an tồn, những chi phí cao này đối với nhiều khách hàng. Khách hàng
có thể mất một số tính linh hoạt về tùy biến, nhưng chúng làm giảm nguy cơ lỗ hổng
phần mềm trong mã do chúng phát triển.
Lưu ý rằng không phải tất cả phần mềm đám mây đều được phát triển một cách an
toàn. Một số nhà cung cấp có thể có sự phát triển khơng tốt thực hành. Các nhà cung

cấp khác có thể sử dụng phần mềm của bên thứ ba (độc quyền hoặc mã nguồn mở), qua
đó họ có giới hạn kiểm sốt. Khách hàng nên đánh giá phần mềm nào được phát triển
bởi nhà cung cấp và cách thức nhà cung cấp đảm bảo phát triển phần mềm an toàn.
Đám mây so với CNTT truyền thống: Trong CNTT truyền thống triển khai, nếu phần
mềm có sẵn khơng thể được sử dụng, thì một doanh nghiệp vừa và nhỏ sẽ cần phải đầu
tư các nguồn lực đáng kể vào một phát triển phần mềm.

12


3.7 Vá và cập nhật
Việc vá và cập nhật phần mềm kịp thời là rất quan trọng để bảo mật vì những kẻ tấn
cơng chỉ cần một cửa sổ nhỏ để tấn công và khai thác một lỗ hổng đã được phát
hiện. Đặc biệt khi phần mềm tiêu chuẩn, không có sẵn được sử dụng, tội phạm mạng
đặc biệt chú ý đến các bản vá của nhà cung cấp và thường cố gắng thiết kế ngược một
bản vá để khai thác cơ bản tính dễ bị tổn thương; và điều này có thể xảy ra trong vấn đề
giờ. Trên thực tế, nhiều cuộc tấn công mạng khai thác thực tế rằng các tổ chức chậm
cập nhật và vá lỗi các hệ thống. Do quy mơ của họ và vì họ cung cấp cùng một phần
mềm cho tất cả khách hàng, đám mây nhà cung cấp có thể tự động vá lỗi và cập nhật
lên một mức độ cao. Họ có thể thiết lập các thủ tục và các công cụ tự động 9 triển khai
các bản vá kịp thời và cập nhật, giảm thời lượng hệ thống có thể bị khai thác bởi những
kẻ tấn công.
Lưu ý rằng không phải tất cả các phần mềm liên quan đến khách hàng luôn được nhà
cung cấp vá lỗi và cập nhật. Đặc biệt trong IaaS và PaaS, khách hàng chạy phần mềm
của riêng mình trên cơ sở hạ tầng đám mây và khách hàng thường vẫn chịu trách nhiệm
vá và cập nhật nó. Khách hàng nên hỏi ai các bản vá và cập nhật phần mềm có liên quan
trong cài đặt của họ.
Đám mây so với CNTT truyền thống: Trong CNTT truyền thống triển khai, các doanh
nghiệp vừa và nhỏ thường cần dành một nhiều thời gian và tài nguyên để vá và cập nhật
phần mềm của họ. Thậm chí sau đó họ thường đến muộn. Thực tế là triển khai CNTT

truyền thống là thường không đạt tiêu chuẩn ngành hơn nữa làm phức tạp việc cập nhật
/ vá lỗi vì vấn đề khơng tương thích.
3.8 Sao lưu
Đối với một doanh nghiệp vừa và nhỏ, thực hiện sao lưu trên nhiều ứng dụng và thiết
bị và khôi phục chúng khi cần thiết, có thể khó và tốn thời gian. Các nhà cung cấp đám
mây có thể triển khai các cơng cụ để tự động hóa tạo và thử nghiệm các bản sao lưu và
cung cấp bản sao lưu nâng cao khôi phục các giải pháp, cho phép khách hàng khôi phục
các lỗi và lỗi một cách nhanh chóng. Ngồi ra, trong việc sử dụng nhiều đám mây kịch
bản các ứng dụng phần mềm được triển khai dưới dạng trực tuyến các ứng dụng (máy
khách-máy chủ) (trái ngược với việc chạy stand- một mình trên khách hàng). Điều này
làm giảm lượng dữ liệu được bật thiết bị của người dùng cuối, đơn giản hóa việc sao
lưu.
Sao lưu trong đám mây (giữa các trung tâm dữ liệu đám mây) yêu cầu cả băng thông
lưu trữ và mạng và trong một số cài đặt, nhà cung cấp dịch vụ đám mây không cung
cấp bản sao lưu tự động của tất cả dữ liệu, miễn phí. Khách hàng nên đánh giá bản sao
lưu nào được thực hiện bởi nhà cung cấp và nếu họ cần thực hiện hoặc yêu cầu các cơ
chế dự phòng bổ sung.
13


Đám mây so với CNTT truyền thống: Trong một triển khai CNTT truyền thống, một
doanh nghiệp vừa và nhỏ cần dành thời gian và nguồn lực để sao lưu dẫn đến chi phí
cao.
3.9 Bộ nhớ phía máy chủ
Trong nhiều cài đặt, các doanh nghiệp vừa và nhỏ có nhiều loại thiết bị di động (và ít
di động hơn) dành cho người dùng cuối tương đối dễ bị trộm cắp, mất mát, thiệt hại vật
chất, ... Những mối đe dọa này có thể dễ dàng gây ảnh hưởng lớn đến tài sản của một
doanh nghiệp vừa và nhỏ. Đặc biệt là khi giao dịch với các thiết bị di động, không phải
lúc nào cũng dễ dàng giữ các bản sao lưu dữ liệu kịp thời (do các vấn đề về kết nối và
băng thông), cũng như vấn đề mật mã bảo vệ các thành phần của thiết bị, khỏi bị truy

cập vật lý vào lưu trữ thiết bị (tức là sau khi bị mất hoặc bị đánh cắp), cũng như để kiểm
sốt quyền truy cập tới các thiết bị có xác thực mạnh, v.v. Điện tốn đám mây có thể
giảm thiểu một số rủi ro này. Sử dụng dịch vụ đám mây Doanh nghiệp vừa và nhỏ có
thể giảm lượng dữ liệu trên thiết bị của người dùng cuối.
Ví dụ: sử dụng email dựa trên đám mây, các doanh nghiệp vừa và nhỏ có thể giảm lượng
dữ liệu cơng ty trên thiết bị người dùng cuối, nghĩa là ít dữ liệu bị đe dọa khi có sự cố
xảy ra với thiết bị của người dùng cuối.Khách hàng nên đánh giá dữ liệu nào được lưu
trữ phía máy chủ và phía máy khách.
Đám mây so với CNTT truyền thống: Thường trong CNTT truyền thống có một
lượng dữ liệu về người dùng cuối thiết bị, điều này làm phức tạp thêm dự phòng.
3.10 An ninh dưới dạng dịch vụ và các tiện ích bổ sung bảo mật
Như đã thảo luận trong phần trước, một số nhiệm vụ bảo mật vẫn với khách hàng, đặc
biệt là trong trường hợp IaaS và PaaS. Trong điện tốn đám mây, thường dễ dàng hơn
th ngồi một số nhiệm vụ bảo mật này cho các bên thứ ba hoặc nhà cung cấp (nếu nó
cung cấp các dịch vụ như vậy). Ví dụ, một doanh nghiệp vừa và nhỏ chạy phần mềm
tùy chỉnh trên nền tảng IaaS, có thể nhận được bên thứ ba để vá hệ điều hành của họ
thường xuyên phát hiện và phản hồi sự cố bảo mật bằng cách cô lập và thay thế các máy
chủ bị nhiễm ngay lập tức. Bảo mật như một dịch vụ sẽ khó hơn nhiều triển khai trong
triển khai CNTT truyền thống, điển hình là yêu cầu quyền truy cập vật lý vào cơ sở.
Có những nhà cung cấp đám mây cung cấp một loạt các dịch vụ bảo mật bổ sung (chẳng
hạn như vá phần mềm), đôi khi hợp tác với các công ty chuyên biệt (bên thứ ba), cho
phép khách hàng mua sắm các dịch vụ an ninh bổ sung một cách dễ dàng.
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống nó thường
khó cho một doanh nghiệp vừa và nhỏ sử dụng dịch vụ bảo mật vì thường quyền truy
cập cài đặt vào các doanh nghiệp vừa và nhỏ cơ sở sẽ cần thiết, hoặc tại ít nhất là một
băng thơng cao sự liên quan.
14


3.11 Chứng nhận và tuân thủ

Trong điện toán đám mây, một dịch vụ đám mây được cung cấp cho nhiều khách hàng
cùng một lúc. Chứng nhận, bởi các kiểm toán viên độc lập, chống lại các tiêu chuẩn bảo
mật thông tin và mạng (như Chứng nhận ISO27001 10 ), có thể được khách hàng sử dụng
để hoàn thành nghĩa vụ tuân thủ của riêng họ. Một kiểm toán viên, khi đánh giá sự tuân
thủ của một DNVVN, sẽ không phải kiểm tra tất cả nội dung bên dưới các dịch vụ đám
mây, bằng cách sử dụng chứng chỉ tuân thủ cho các dịch vụ đám mây mà họ sử dụng.
Lưu ý rằng có thể có các tiêu chuẩn hoặc quy trình tn thủ khơng sẵn sàng cho đám
mây. Ví dụ: có thể có các cài đặt mà kiểm tốn viên cần quyền truy cập thực tế vào
Nội dung ICT (trong kịch bản điện tốn đám mây) có thể khơng khả thi hoặc khơng khả
thi vì đám mây các nhà cung cấp có thể khơng phải lúc nào cũng cho phép tất cả các
loại kiểm tra và truy cập vào trung tâm dữ liệu của họ.
Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống, một
kiểm toán viên sẽ phải bao gồm tất cả các Nội dung CNTT-TT và kiểm tra việc tuân
thủ tiêu chuẩn hoặc chính sách từ đầu, dẫn đến chi phí cao cho các doanh nghiệp vừa
và nhỏ.

15


CHƯƠNG 4 : RỦI RO VỀ MẠNG VÀ BẢO MẬT THƠNG TIN
Trong phần này, chúng tơi xem xét 11 rủi ro bảo mật quan trọng mà các doanh nghiệp
vừa và nhỏ cần lưu ý:
R1: Các lỗ hổng bảo mật phần mềm
R2: Các cuộc tấn công mạng
R3: Các cuộc tấn công kỹ thuật xã hội
R4: GUI quản lý và thỏa hiệp API
R5: Trộm / mất thiết bị
R6: Mối nguy vật lý
R7: Q tải
R8: Chi phí khơng mong muốn

R9: Khóa nhà cung cấp
R10: Sự cố hành chính hoặc pháp lý
R11: Các vấn đề về quyền tài phán nước ngoài
Đối với mỗi rủi ro, chúng tôi giới thiệu người đọc đến các câu hỏi bảo mật liên quan để
trả lời trong mua sắm một dịch vụ đám mây. Những câu hỏi này sẽ giúp khách hàng
hiểu nếu một số rủi ro cần phải được giải quyết.
Trong phần này, rủi ro không được xếp hạng hoặc xếp hạng, bởi vì rủi ro phụ thuộc vào
cài đặt cụ thể ( loại hình doanh nghiệp vừa và nhỏ, loại dịch vụ đám mây, dữ liệu hoặc
các quy trình liên quan, và khác).
Trong phụ lục hai kịch bản (hư cấu) được phân tích, đánh giá các rủi ro khi sử dụng sản
phẩm có khả năng xảy ra và tác động của mối đe dọa (theo tiêu chuẩn ISO 27005 về
quản lý rủi ro). Quy mô được sử dụng là được mơ tả trong hình bên dưới và nằm trong
khoảng từ 1 đến 5: rất thấp (1), thấp (2), trung bình (3), cao (4), rất cao (5).
Màu đen được sử dụng để biểu thị các mối đe dọa hiếm nhưng có thể có cao va
chạm. Những rủi ro (còn được gọi là “đen thiên nga ”) nên được xử lý cẩn thận bởi vì
Các tổ chức thường xuyên có chút thực hành kinh nghiệm trong đối phó với những sự
cố.

16


4.1 Các lỗ hổng bảo mật phần mềm
Các lỗ hổng phần mềm trong phần mềm đám mây có thể có tác động lớn đến khách
hàng. Ví dụ nếu một SME sử dụng dịch vụ email SaaS, dịch vụ này dễ bị chèn SQL,
sau đó lỗ hổng này có thể dẫn đến vi phạm tính bảo mật của email của khách hàng, gây
tổn hại nghiêm trọng đến danh tiếng của SME. Điều quan trọng là phải hiểu ai chịu
trách nhiệm về việc thành phần phần mềm. Trong trường hợp của SaaS, tất cả trách
nhiệm ngăn chặn các lỗ hổng phần mềm là với nhà cung cấp. Tuy nhiên, trong IaaS /
PaaS, khách hàng là chịu trách nhiệm về phần mềm nó chạy trên IaaS / PaaS,
cấm mọi thỏa thuận đặc biệt .

Lưu ý về lỗi cách ly 14 : Một số loại phần mềm lỗ hổng bảo mật có thể dẫn đến việc một
khách hàng có quyền truy cập vào dữ liệu của khách hàng khác, trực tiếp hoặc thông
qua một bên- kênh: những lỗ hổng này được gọi là lỗi cách ly. Trong cài đặt không
phải đám mây, lỗi cách ly ít là vấn đề vì khơng có hợp đồng thuê nhà.
Đặc biệt nếu dữ liệu nhạy cảm có liên quan, điều quan trọng là phải hỏi các câu hỏi phù
hợp liên quan đến bảo mật phần mềm. Một số nhà cung cấp SaaS nổi tiếng nằm trong
sốcác công ty lớn nhất trên thế giới, và họ tăng cường thành tích tuyệt vời và các biện
pháp bảo mật tiên tiến. Nhưng điều này khơng có nghĩa là tất cả các nhà cung cấp SaaS
luôn làm rất tốt công việc bảo mật phần mềm. Một yếu tố phức tạp là các lỗ hổng phần
mềm đám mây trở nên hấp dẫn hơn đối với những kẻ tấn công / tin tặc để khai thác, bởi
vì điều này sẽ cho phép họ tấn công nhiều khách hàng cùng một lúc.
4.2 Các cuộc tấn cơng mạng
Dịch vụ điện tốn đám mây được sử dụng và quản lý thông qua các kết nối internet. Điều
này có nghĩa là khách hàng cần phải nhận thức được nguy cơ bị tấn công mạng, như
trang web giả mạo, mạng đánh hơi / nghe trộm lưu lượng truy cập, tấn công từ chối dịch
vụ, man-in-the-middle tấn công, dược phẩm, nghe lén, v.v., ở phần cuối bình thường-

17


giao diện người dùng, cũng như quản lý / quản trị viên giao diện, giao diện lập trình
ứng dụng (API), dịch vụ web.
4.3 Các cuộc tấn công kỹ thuật xã hội
Trong điện tốn đám mây, một số quy trình quản trị, chẳng hạn như cấp thông tin đăng
nhập người dùng, không xảy ra trực tiếp- mặt đối mặt giữa các đồng nghiệp, nhưng trực
tuyến qua email và trang web. Điều này làm tăng nguy cơ xã hội các cuộc tấn cơng kỹ
thuật, trong đó kẻ tấn cơng giả mạo thơng tin liên lạc hoặc thơng tin để nó dường như
đến từ một nguồn đáng tin cậy, chẳng hạn như nhà cung cấp đám mây, v.v. Ví dụ: kẻ
tấn cơng có thể cố gắng mạo danh một khách hàng và bắt đầu "khơi phục thơng tin xác
thực" quy trình này cuối cùng cho phép kẻ tấn công truy cập tài khoản của khách hàng

và truy cập hoặc xóa tất cả dữ liệu khách hàng. Hoặc ngược lại, những kẻ tấn công có
thể cố gắng mạo danh nhà cung cấp và theo cách nàylấy thơng tin xác thực của khách
hàng (hay cịn gọi là lừa đảo).
Những kẻ tấn cơng có thể nhắm mục tiêu người dùng bình thường hoặc người dùng có
vai trò đặc quyền cao, chẳng hạn như nhà phát triển phần mềm, quản trị viên hệ thống,
người quản lý, cả trên đám mâycủa nhà cung cấp và phía khách hàng. Các doanh nghiệp
vừa và nhỏ nên tính đến rủi ro xã hội kỹ thuật, chẳng hạn như lừa đảo / giáo dục lừa
đảo, giả mạo, v.v. và đánh giá tác động tiềm ẩn đối với dữ liệu và quy trình.
4.4 Thỏa hiệp giao diện quản lý
Hầu hết các dịch vụ đám mây đều cung cấp cho khách hàng một giao diện quản lý, cho
phép quản trị viên truy cập vào một số lượng lớn tài sản; trong trường hợp của SaaS, tất
cả tài khoản người dùng của nhân viên SME cho ví dụ, hoặc trong trường hợp IaaS /
PaaS, tất cả các máy ảo và ứng dụng khác nhau của SME.
Đôi khi là dịch vụ đám mây. Nếu kẻ tấn cơng có thể truy cập vào giao diện này thì thiệt
hại có thể rất lớn đối với ANS. Khách hàng nên xác minh rằng các nhà cung cấp cung
cấp dịch vụ an toàn giao diện xác thực tốt và cơ chế ủy quyền, đặc biệt đối với vai trò
đặc quyền như quản trị viên. Ngồi ra, khách hàng nên tính đến tính bảo mật của PC và
trình duyệt được sử dụng bởi quản trị viên và vai trò đặc quyền, bởi vì nếu kẻ tấn cơng
có quyền kiểm sốt những người đó, sau đó họ có thể thơng qua một số biện pháp bảo
vệ do nhà cung cấp thực hiện.
4.5 Mất cắp hoặc mất mát thiết bị
Một trong những đặc điểm xác định của điện toán đám mây và những ưu điểm chính là
khả năng truy cập từ cả hai thiết bị cố định và di động, PC, máy tính bảng, điện thoại
thông minh, v.v. Điều này cũng dẫn đến một số rủi ro mới.
Các thiết bị di động tương đối dễ bị trộm và mất mát. Trộm cắp và mất mát có thể có
nghĩa là dữ liệu và / hoặc thơng tin xác thực trên các thiết bị có thể bị đánh cắp bởi
những kẻ tấn công.
18



Một yếu tố phức tạp, đối với các doanh nghiệp vừa và nhỏ, là xu hướng mang lại- thiết
bị của riêng bạn (BYOD), có nghĩa là nhân viên sử dụng các loại thiết bị khác nhau,
không đầy đủ dưới sự kiểm soát của các chuyên gia CNTT của SME. Các tính năng như
khóa màn hình, mã hóa đĩa và phương tiện lưu trữ, và nhiều hơn nữa có thể hoạt động
khác nhau trên các loại khác nhau của các thiết bị. Khách hàng đám mây nên đánh giá
dữ liệu nào và thông tin xác thực được lưu trữ trên người dùng cuối thiết bị và đảm bảo
rằng hành vi trộm cắp / mất mát thiết bị được giảm thiểu, bằng cách sử dụng các bản
sao lưu, mã hóa, giảm thiểu dữ liệu, v.v.
4.6 Mối nguy vật lý
Thiên tai như lũ lụt, động đất hoặc hỏa hoạn, có thể ảnh hưởng đến tài sản ICT của
khách hàng hoặc dữ liệu trung tâm và cơ sở hạ tầng của một nhà cung cấp đám
mây. Trong điện tốn đám mây, khách hàng có thể bị ảnh hưởng bởi thiên tai xảy ra ở
xa cơ sở của họ.
Lưu ý rằng khách hàng IaaS / PaaS có thể cần chỉ định nếu và những trung tâm dữ liệu
nào sẽ được sử dụng làm chuyển đổi dự phịng. Các doanh nghiệp vừa và nhỏ nên có
một chiến lược kinh doanh liên tục trong đó giải quyết nguy cơ rủi ro vật lý. Như một
phần của chiến lược này, khách hàng nên hỏi cái nào các biện pháp được đưa ra để bảo
vệ dịch vụ đám mây khỏi các mối nguy vật lý. Khách hàng có thể cần xem xét sao lưu
dữ liệu của họ thường xuyên, trong một định dạng chuẩn, để có thể chuyển sang định
dạng khác trung tâm dữ liệu hoặc nhà cung cấp khác khi cần thiết.
4.7 Quá tải
Chia sẻ cơ sở hạ tầng giúp tiết kiệm chi phí lớn và tính kinh tế theo quy mơ - cho phép
khách hàng có được nhiều giá trị hơn với ít chi phí hơn. Cách ly hợp lý đảm bảo rằng
những người thuê không thể truy cập vào dữ liệu của nhau, nhưng người thuê đám mây
vẫn sử dụng cùng một cơ sở hạ tầng, vì vậy khách hàng có thể bị ảnh hưởng bởi mức
sử dụng tài nguyên cao nhất của những người thuê khác hoặc DoS tấn công những người
thuê nhà khác.
Khách hàng sử dụng đám mây nên hỏi liệu đám mây của họ có dịch vụ xử lý cao điểm
về nhu cầu hoặc mức sử dụng tăng lên. Khách hàng đám mây cũng nên kiểm tra mức
độ dịch vụ các thỏa thuận (SLA) sẽ đảm bảo tính khả dụng của dịch vụ của họ (hoặc

phí phạt hoặc tiền hồn lại trong trường hợp mất điện).
4.8 Chi phí khơng mong muốn
Điện tốn đám mây thường trả tiền khi sử dụng, có nghĩa là chi phí khơng phải lúc nào
cũng cố định. Điều này cũng có nghĩa là chi phí bất ngờ có thể trở nên rất cao. Ví dụ:
khách hàng có thể nhận được một hóa đơn cao vì một trang web của họ trở nên rất phổ
19


biến vì nhân viên tải lên và lưu trữ nhiều dữ liệu hoặc vì những kẻ tấn cơng thực hiện
một cuộc tấn công DoS, tiêu thụ tất cả tài nguyên. Người ta có thể tranh luận về rủi ro
bất ngờ chi phí khơng hồn tồn là rủi ro bảo mật thông tin (nhưng đúng hơn là một rủi
ro kinh doanh) nhưng chúng tơi vẫn thảo luận về nó ở đây một cách ngắn gọn, bởi vì
chi phí khơng mong muốn có thể nhanh chóng dẫn đến các vấn đề tài chính có thể dẫn
đến cúp điện. Khách hàng nên kiểm tra quy mô dịch vụ của họ như thế nào với mức sử
dụng tăng lên và những gì được liên kết chi phí.
4.9 Khóa nhà cung cấp
Nhà cung cấp bị khóa (cịn gọi là khóa khách hàng) là một tình huống nơi mà khách
hàng khó có thể chuyển sang nơi khác nhà cung cấp đám mây. Đối với các doanh nghiệp
vừa và nhỏ, khóa nhà cung cấp có thể trở thành một vấn đề tài chính nhưng nó cũng có
thể trở thành một rủi ro bảo mật, vì ví dụ khi hoàn cảnh buộc khách hàng phải di chuyển
cho một nhà cung cấp khác, chẳng hạn như trong trường hợp có xung đột pháp lý, các
vấn đề về thanh tốn, sự cố mất điện lớn, v.v. Nếu khách hàng không sử dụng các định
dạng và giao diện dữ liệu tiêu chuẩn, khi đó việc di chuyển có thể trở nên khó khăn và
/ hoặc tốn nhiều thời gian. Khách hàng nên có một chiến lược kinh doanh liên tục, trong
đó bao gồm các kế hoạch di chuyển / thoát để di chuyển dữ liệu và / hoặc các quy trình
sang một nhà cung cấp khác. Như một phần của chiến lược này, khách hàng nên xem
xét sao lưu dữ liệu của họ thường xuyên, ở định dạng tiêu chuẩn, để có thể di chuyển
khi cần thiết và kiểm tra thường xun nếu q trình di chuyển hoạt động.
4.10 Các khía cạnh hành chính hoặc pháp lý
Xung đột hành chính và / hoặc pháp lý (ngay cả khi khơng có cơng nghệ nào bị phá vỡ

hoặc bị tấn cơng) có thể có ảnh hưởng đến tính khả dụng của dịch vụ đám mây. Ví dụ:
khi một nhà cung cấp bị phá sản và các chủ nợ có thể đe dọa tịch thu tài sản thuộc về
nhà cung cấp, khi đó các bản sao lưu có thể khơng khả dụng, trước khi khách hàng có
thể chuyển ra ngồi. Dịch vụ cũng có thể bị gián đoạn khi nhà cung cấp dịch vụ đám
mây nhận được
Ví dụ: lệnh của tịa án hợp pháp để ngừng hoạt động vì các thủ tục pháp lý chống lại
nhà cung cấp hoặcchống lại một trong những khách hàng / người thuê của họ. Đám mây
khách hàng cũng có thể kết thúc trong một tranh chấp về thanh toán chẳng hạn. Các
nghĩa vụ của nhà cung cấp được mô tả trong hợp đồng hai bên đối chiếu ký kết; hợp
đồng nên giải quyết các vấn đề SLA, quyền tài phán, trách nhiệm pháp lý, bồi thường,
vv. Hợp đồng cần được thương lượng cẩn thận và hiểu đầy đủ, đặc biệt là đối với các
doanh nghiệp vừa và nhỏ. Khách hàng nên đánh giá rủi ro mất điện do các vấn đề hành
chính hoặc pháp lý gây ra và đánh giá liệu có cần thực hiện các biện pháp an ninh để
giảm thiểu rủi ro này hay không.
20


4.11 Các vấn đề luật nước ngoài
Các dịch vụ đám mây đôi khi liên quan đến việc sử dụng đám mây nhà cung cấp hoặc
trung tâm dữ liệu ở nước ngồi, có nghĩa là ở một mức độ nhất định các khu vực pháp
lý nước ngồi có thể có ảnh hưởng đến bảo mật và quyền riêng tư của đám mây dịch
vụ. Ví dụ, vi phạm pháp luật của các khách hàng khác (đồng thuê nhà) có thể dẫn đến
các dịch vụ bị ra lệnh đóng cửa (ví dụ như một phần của truy tố hình sự), mà khơng
quan tâm đến khách hàng khác. Các chuyên gia pháp lý đã lập luận rằng ngay cả khi vị
trí thực tế của việc hỗ trợ thiết bị hoặc trung tâm dữ liệu khơng ở nước ngồi vẫn có thể
có tác động. Khách hàng sử dụng điện toán đám mây nên hỏi các khu vực pháp lý nước
ngồi nào có thể đóng một vai trị nào đó và nếu có khơng tương thích với luật pháp
quốc gia của họ.

21



CHƯƠNG 5 : CÂU HỎI BẢO MẬT
5.1 An ninh tổ chức, quản trị và quản lý rủi ro
Trước khi mua dịch vụ đám mây từ một nhà cung cấp, khách hàng nên có ý tưởng về
chất lượng và tính hiệu quả của cơ cấu tổ chức và các quy trình quản lý rủi ro tại nhà
cung cấp. Điều quan trọng là khách hàng phải biết những bộ phận nào trong tổ chức của
nhà cung cấp sẽ kinh doanh với các sự cố bảo mật, khách hàng có thể thực hiện các vai
trị quan trọng như thế nào, cách tìm thơng tin liên quan đến bảo mật, tư vấn bảo mật,
thông tin về sự cố ngừng hoạt động.
Câu hỏi
Trả lời
Nhà cung cấp đám mây quản lý như thế - Chính sách chung và cách tiếp cận để
nào rủi ro về mạng và an ninh thông tin
quản lý Rủi ro bảo mật.
liên quan đến dịch vụ đám mây?
- Đầu mối liên hệ về sự cố an ninh.
- Trình bày các phụ thuộc quan trọng của
Nhà cung cấp dịch vụ đám mây bên thứ
ba.
- Tuân thủ thực tiễn tốt nhất hoặc ngành
tiêu chuẩn về quản trị hoặc quản lý rủi ro.
(Bằng chứng hỗ trợ / đảm bảo)
- Báo cáo kiểm toán của kiểm toán viên
độc lập.
- Chứng nhận chống lại rủi ro bảo mật
thơng tin tiêu chuẩn quản lý (ví dụ ISO
27001), bao gồm cả tuyên bố phạm vi.
- Tự đánh giá theo tiêu chuẩn ngành
hoặc thực hành tốt nhất.

5.2 Trách nhiệm an ninh
Điều quan trọng là phải phân bổ trách nhiệm đối với các nhiệm vụ bảo mật và trách
nhiệm / nghĩa vụ đối với bảo mật sự cố. Như đã giải thích trong Phần 2, sự phân chia
các nhiệm vụ bảo mật và sự phân chia của trách nhiệm / trách nhiệm pháp lý đối với
các sự cố là khác nhau đối với các loại dịch vụ đám mây khác nhau.
Câu hỏi
Các nhiệm vụ bảo mật nào được thực hiện
bởi
nhà cung cấp, loại bảo mật nào
sự cố được giảm thiểu bởi nhà cung cấp
(và những nhiệm vụ và sự cố nào cịn lại

Trả lời
- Tài sản dưới sự kiểm sốt của nhà cung
cấp.
- Các nhiệm vụ bảo mật chính do nhà
cung cấp thực hiện (vá, cập nhật, v.v.).

22


thuộc trách nhiệm của khách hàng)?

(Bằng chứng hỗ trợ / đảm bảo)

- Ví dụ về các sự cố trong trách nhiệm của
nhà cung cấp.
- Nhiệm vụ và trách nhiệm thuộc
trách nhiệm của khách hàng.
-Các nhiệm vụ bảo mật liên quan được đề

cập trong
hợp đồng hoặc SLA,
-Phân loại sự cố và ứng phó / khắc phục
sự cố mục tiêu thời gian,
-Các điều khoản trách nhiệm trong hợp
đồng hoặc SLA, tức là
bồi thường tài chính

5.3 Dự phịng và sao lưu
Động đất, cắt điện hoặc bão sấm sét có thể ảnh hưởng đến cơ sở vật chất, nguồn cung
cấp, toàn bộ trung tâm dữ liệu hoặc nguồn hoặc cáp mạng. Đối với khách hàng, điều
quan trọng là phải hiểu dịch vụ đám mây là như thế nào khả năng chống chịu khi đối
mặt với thảm họa và cách dữ liệu được sao lưu.
Câu hỏi
Làm thế nào để dịch vụ đám mây duy trì
thảm họa ảnh hưởng đến trung tâm dữ
liệu hoặc kết nối và dữ liệu nào được sao
lưu ở đâu?

(Bằng chứng hỗ trợ / đảm bảo)

Trả lời
-Chính sách / biện pháp bảo mật vật lý
(sao lưu
nguồn điện, bình chữa cháy, v.v.),
-Dự phịng mạng, lan truyền địa lý,
vùng sẵn sàng, kiểm soát truy cập,
-Các cơ chế sao lưu và chuyển đổi dự
phòng,
-Các kế hoạch khắc phục hậu quả thiên

tai.
- Các điều khoản liên quan có trong hợp
đồng và
SLA,
- Mục tiêu thời gian phục hồi.

5.4 Các vấn đề pháp lý, quy định và hành chính

23


Các vấn đề pháp lý, quy định và hành chính có thể gây ra sự cố (ví dụ: các vấn đề về
hợp đồng, xuất hóa đơn, các thủ tục pháp lý đối với người đồng thuê nhà). Khách hàng
nên hiểu cách bảo mật của dữ liệu và quy trình được đảm bảo trong trường hợp có vấn
đề pháp lý hoặc tranh chấp hành chính.dữ liệu và quy trình được đảm bảo trong trường
hợp có vấn đề pháp lý hoặc tranh chấp hành chính.
Câu hỏi
Trả lời
Bảo mật của dịch vụ đám mây như thế - Dịch vụ liên tục trong trường hợp có vấn
nào? được đảm bảo khi có vấn đề pháp lý đề pháp lý,tranh chấp hành chính, phá
hoặc tranh chấp hành chính?
sản, tịch thu bởi cơ quan thực thi pháp
luật, v.v.
- Xuất dữ liệu đảm bảo.
(Bằng chứng hỗ trợ / đảm bảo)
- Hợp đồng và SLA các điều khoản liên
quan về truy cập vào dữ liệu.
- Tuyên bố từ chối giải quyết các vấn đề
pháp lý hoặc tranh chấp hành chính, bảo
lãnh truy cập vào dữ liệu khách hàng và

các bản sao lưu.
Câu hỏi

5.5 An ninh nhân sự
Nhân sự tại nhà cung cấp có thể có tác động đến bảo mật của dịch vụ hoặc xử lý dữ
liệu. Khách hàng nên hỏi cách nhà cung cấp đảm bảo rằng nhân sự làm việc an toàn.
Câu hỏi
Trả lời
Làm thế nào để nhà cung cấp đảm bảo - Đào tạo / cấp chứng chỉ cho các vai trò
rằng nhân sự làm việc an tồn?
quan trọng.
- Chính sách tuyển dụng.
- Kiểm tra thâm nhập / kiểm tra kỹ thuật
xã hội.
- Tuân thủ tiêu chuẩn ISMS hoặc tốt nhất
luyện tập (SQ1).
- Các thủ tục kiểm tra an ninh cho cao
bài đăng nhạy cảm (xử lý dữ liệu nhạy
cảm)
(Bằng chứng hỗ trợ / đảm bảo)
- Chứng nhận hoặc tự đánh giá dựa trên
ISMS tiêu chuẩn hoặc thực hành

24


5.6 Kiểm sốt truy cập

Dữ liệu và quy trình của khách hàng cần được bảo vệ khỏi sự truy cập trái phép.
Khách hàng nên hỏi cách kiểm soát truy cập được thực hiện để bảo vệ dữ liệu và

quy trình của họ.
Câu hỏi
Câu trả lời
Dữ liệu hoặc quy trình của khách - Các biện pháp bảo vệ kiểm soát
hàng được bảo vệ như thế nào khỏi truy cập vật lý.
truy cập vật lý và logic trái phép?
- Bảo vệ kiểm sốt truy cập hợp lý
(vai trị, quyền, giảm thiểu đặc
quyền, phân tách đặc quyền).
- Cơ chế xác thực được sử dụng.
Tuân thủ tiêu chuẩn ISMS hoặc
phương pháp hay nhất (SQ1).
(Bằng chứng hỗ trợ / đảm bảo)
- Chứng nhận hoặc tự đánh giá theo
tiêu chuẩn hoặc thông lệ ISMS (xem
SQ1).
5.7 Bảo mật phần mềm

Các lỗ hổng phần mềm có thể có tác động lớn đến dữ liệu hoặc quy trình của
khách hàng. Khách hàng nên hỏi các biện pháp nào được áp dụng để đảm bảo
phần mềm làm nền tảng cho dịch vụ đám mây được giữ an toàn và phần mềm nào
khơng thuộc quyền kiểm sốt của nhà cung cấp và phải được khách hàng giữ an
toàn.
Câu hỏi
Câu trả lời
Làm thế nào để nhà cung cấp đảm - Phương pháp phát triển phần mềm
bảo an ninh phần mềm và phần mềm an toàn.
nào vẫn là trách nhiệm của khách - Quy trình quản lý lỗ hổng bảo mật
hàng?
(điểm liên hệ cho lỗ hổng bảo mật,

thời gian báo cáo, v.v.),
- Đào tạo cho các nhà phát triển,
- Cập nhật và cập nhật các thủ tục.
Tiêu chuẩn hoặc thực hành tốt nhất
được sử dụng (chẳng hạn như ISO
27034).
(Bằng chứng hỗ trợ / đảm bảo)
- Thông tin về các lỗ hổng trong quá
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×