Iworld.com.vn gửi tới độc giả khái niệm về IaaS
Cơ sở hạ tầng dưới dạng dịch vụ (IaaS) cung cấp tài nguyên máy tính được ảo hóa, lưu trữ ảo và máy ảo có thể truy cập qua internet. Các dịch vụ cơ sở hạ tầng phổ biến bao gồm Amazon’s Elastic Compute (EC2), Google Compute Engine và Microsoft Azure.
Các tổ chức ngày càng sử dụng các dịch vụ cơ sở hạ tầng dựa trên đám mây, để tăng cường môi trường đám mây tại chỗ hoặc riêng tư hoặc để tạo môi trường CNTT hoàn toàn dựa trên đám mây. Gartner báo cáo rằng IaaS là phân khúc phát triển nhanh nhất của thị trường dịch vụ đám mây và dự báo sẽ tăng 27,6% trong năm 2019 lên 39,5 tỷ đô la.
Một lý do khiến việc sử dụng IaaS ngày càng tăng là chi phí trả trước thấp. Các tổ chức sử dụng dịch vụ cơ sở hạ tầng không cần mua hoặc bảo trì phần cứng. Điều này làm cho IaaS trở nên hấp dẫn, đối với các tổ chức thuộc mọi quy mô. IDC dự đoán rằng, trong hai năm, chi tiêu cho các dịch vụ cơ sở hạ tầng đám mây sẽ cao hơn 15% so với chi tiêu cho cơ sở hạ tầng CNTT tại chỗ.
IaaS cũng có khả năng mở rộng và linh hoạt hơn phần cứng. Cơ sở hạ tầng đám mây có thể được mở rộng theo yêu cầu và thu nhỏ lại khi không còn cần thiết. Mức độ khả năng mở rộng này không thể thực hiện được với phần cứng tại chỗ.
Tuy nhiên, IaaS có thể là mục tiêu cho các cuộc tấn công mạng, cố gắng chiếm đoạt tài nguyên IaaS, để khởi động các cuộc tấn công từ chối dịch vụ, chạy botnet hoặc khai thác tiền điện tử. Tài nguyên lưu trữ và cơ sở dữ liệu là mục tiêu thường xuyên, để lọc dữ liệu trong nhiều vụ vi phạm dữ liệu. Ngoài ra, những kẻ tấn công thâm nhập thành công các dịch vụ cơ sở hạ tầng của tổ chức, sau đó có thể tận dụng các tài khoản đó, để truy cập vào các phần khác của kiến trúc doanh nghiệp.
Khách hàng của IaaS chịu trách nhiệm bảo mật dữ liệu, quyền truy cập của người dùng, ứng dụng, hệ điều hành và lưu lượng mạng ảo của họ. Các tổ chức thường mắc phải những sai lầm sau đây khi sử dụng IaaS:
Dữ liệu không được mã hóa. Trong môi trường hỗn hợp và đa đám mây, dữ liệu di chuyển giữa các tài nguyên tại chỗ và trên nền tảng đám mây và giữa các ứng dụng đám mây khác nhau. Mã hóa là điều cần thiết để bảo vệ dữ liệu khỏi bị đánh cắp hoặc truy cập trái phép. Một tổ chức có thể mã hóa dữ liệu tại chỗ, trước khi đưa lên đám mây hoặc trên đám mây. Họ có thể sử dụng khóa mã hóa của riêng mình hoặc mã hóa của nhà cung cấp IaaS. Một bộ phận CNTT cũng có thể muốn mã hóa dữ liệu khi chuyển tiếp. Nhiều quy định của chính phủ và ngành yêu cầu dữ liệu nhạy cảm, phải được mã hóa mọi lúc, cả ở trạng thái nghỉ và chuyển động.
Lỗi cấu hình. Nguyên nhân phổ biến của các sự cố bảo mật đám mây là định cấu hình sai cho tài nguyên đám mây. Theo báo cáo của McAfee, tổ chức trung bình có ít nhất 14 trường hợp IaaS được định cấu hình sai, đang chạy tại bất kỳ thời điểm nào. Điều này dẫn đến trung bình 2,269 sự cố cấu hình sai mỗi tháng. Ví dụ: 5,5% nhóm Amazon Web Services (AWS) S3 đang được định cấu hình sai, điều này có thể dẫn đến mất dữ liệu đáng kể.
Nhà cung cấp đám mây có thể cung cấp các công cụ, để bảo mật tài nguyên của họ, nhưng chuyên gia CNTT chịu trách nhiệm sử dụng đúng các công cụ. Ví dụ về các lỗi phổ biến bao gồm:
Dịch vụ Shadow. Tài khoản đám mây ở mức hạn chế hoặc giả mạo phổ biến nhất trong các giải pháp phần mềm dưới dạng dịch vụ (SaaS), nhưng cũng có thể xảy ra trong IaaS. Khi nhân viên cần cung cấp ứng dụng hoặc tài nguyên, họ có thể sử dụng nhà cung cấp đám mây, mà không cần thông báo cho bộ phận CNTT của họ. Để bảo mật dữ liệu trong các dịch vụ này, trước tiên bộ phận CNTT cần xác định các dịch vụ và người dùng thông qua kiểm tra. Để làm điều này, Bộ phận CNTT có thể sử dụng Chương trình bảo mật truy cập đám mây (CASB).
Quyền truy cập dựa trên vai trò của người dùng. Đó là phương pháp hay nhất để bảo vệ quyền truy cập vào cơ sở hạ tầng đám mây, bằng cách đảm bảo rằng các nhà phát triển và những người dùng khác chỉ có quyền mà họ cần để thực hiện công việc của mình và không hơn thế nữa. Lộ thông tin đăng nhập tài khoản gốc có thể cung cấp cho kẻ tấn công quyền truy cập vào tất cả các tài nguyên và hủy cấp phép các tài khoản không hoạt động.
Nhiều tổ chức sử dụng môi trường đa đám mây, với các dịch vụ IaaS, PaaS và SaaS từ các nhà cung cấp khác nhau. Môi trường đa đám mây đang trở nên phổ biến hơn, nhưng cũng có thể gây ra những thách thức về bảo mật. Các giải pháp bảo mật doanh nghiệp truyền thống không được xây dựng cho các dịch vụ đám mây nằm ngoài tường lửa của tổ chức. Các dịch vụ cơ sở hạ tầng ảo (như máy ảo, lưu trữ ảo và mạng ảo) yêu cầu các giải pháp bảo mật, được thiết kế đặc biệt cho môi trường đám mây.
Bốn giải pháp quan trọng cho bảo mật IaaS là: Chương trình bảo mật truy cập đám mây, nền tảng bảo vệ dữ liệu công việc trên đám mây, nền tảng bảo mật mạng ảo và quản lý tư thế bảo mật đám mây.
Chương trình bảo mật truy cập đám mây (CASB), hay còn gọi là cổng bảo mật đám mây (CSG). CASB cung cấp khả năng hiển thị và kiểm soát các tài nguyên đám mây, bao gồm giám sát hoạt động của người dùng, giám sát IaaS, phát hiện phần mềm độc hại trên đám mây, ngăn chặn mất dữ liệu và mã hóa. Chúng có thể tích hợp với tường lửa và API nền tảng đám mây, cũng như giám sát IaaS để tìm các cấu hình sai và dữ liệu không được bảo vệ trong bộ nhớ đám mây. CASB cung cấp kiểm tra và giám sát các cài đặt và cấu hình bảo mật, quyền truy cập tệp và tài khoản bị xâm phạm. CASB cũng có thể bao gồm giám sát dữ liệu công việc và bảo mật.
Nền tảng bảo vệ dữ liệu công việc trên đám mây (CWPP). CWPPs bảo vệ dữ liệu công việc khỏi phần mềm độc hại và quản lý công việc. Nếu không quản lý được, có thể cung cấp cho tội phạm mạng một đường dẫn vào môi trường IaaS.
Các nền tảng an ninh mạng ảo (VNSP). Các giải pháp của VNSP quét lưu lượng mạng di chuyển theo cả hướng Bắc – Nam và Đông-Tây, giữa các phiên bản ảo trong môi trường IaaS. Chúng bao gồm phát hiện và ngăn chặn xâm nhập mạng, để bảo vệ tài nguyên ảo.
Quản lý tư thế bảo mật đám mây (CSPM). Người quản lý tư thế bảo mật đám mây kiểm tra môi trường đám mây IaaS, để tìm các vấn đề về bảo mật và tuân thủ, cũng như cung cấp biện pháp khắc phục thủ công hoặc tự động. Ngày càng có nhiều CASB bổ sung thêm chức năng CSPM.
Các nhà cung cấp dịch vụ IaaS chịu trách nhiệm về các biện pháp kiểm soát bảo vệ các máy chủ và dữ liệu cơ bản của họ. Các nhà quản lý CNTT có thể đánh giá các nhà cung cấp IaaS dựa trên các đặc điểm sau:
Quyền truy cập vật lý. Nhà cung cấp IaaS chịu trách nhiệm triển khai các biện pháp kiểm soát truy cập an toàn, đối với cơ sở vật chất, hệ thống CNTT và dịch vụ đám mây.
Kiểm toán tuân thủ. Các nhà quản lý CNTT có thể yêu cầu bằng chứng về sự tuân thủ (kiểm toán và chứng nhận) với các quy định liên quan, chẳng hạn như luật bảo mật thông tin chăm sóc sức khỏe hoặc yêu cầu về quyền riêng tư, đối với dữ liệu tài chính của người tiêu dùng.
Công cụ giám sát và ghi nhật ký. Nhà cung cấp IaaS có thể cung cấp các công cụ để theo dõi, ghi nhật ký và quản lý tài nguyên đám mây.
Thông số kỹ thuật và bảo trì phần cứng. Phần cứng làm nền tảng cho các dịch vụ cơ sở hạ tầng đám mây, ảnh hưởng đến hiệu suất của các dịch vụ đó. Một tổ chức CNTT có thể yêu cầu các thông số kỹ thuật phần cứng của nhà cung cấp, đặc biệt là các thiết bị bảo mật như tường lửa, phát hiện xâm nhập và lọc nội dung.
Theo Gartner, IaaS sẽ là phân khúc phát triển nhanh nhất của thị trường dịch vụ đám mây công cộng, được dự báo sẽ tăng trưởng 27,6% vào năm 2019 để đạt 39,5 tỷ đô la, tăng từ 31 tỷ đô la vào năm 2018. Hơn nữa, Gartner dự đoán rằng đến năm 2025, 80% các doanh nghiệp sẽ đóng cửa các trung tâm dữ liệu vật lý của họ, để ủng hộ các dịch vụ cơ sở hạ tầng đám mây, so với chỉ 10% hiện nay.
Khi các trung tâm dữ liệu chuyển sang đám mây, các nhà quản lý CNTT cần tạo ra các chiến lược bảo mật IaaS và triển khai các công nghệ bảo mật đám mây, để bảo vệ cơ sở hạ tầng thiết yếu của họ. Bảo mật đám mây từ McAfee cho phép các tổ chức tăng tốc hoạt động kinh doanh của họ, bằng cách cung cấp cho họ toàn bộ khả năng hiển thị và kiểm soát dữ liệu của họ trên đám mây. Tìm hiểu thêm về công nghệ bảo mật đám mây McAfee.
Trân trọng cám ơn quý độc giả./.
Biên dịch: Lê Toản – Iworld.com.vn