Professional Documents
Culture Documents
1. Tổng quan về an toàn điện toán đám mây
2. Các tiêu chuẩn an toàn điện toán đám mây
2.2. Tiêu chuẩn của ENISA (European Union Agency for Network and
Information Security)
ENISA là một tổ chức chịu trách nhiệm cho việc đảm bảo an toàn thông tin
và cho các quốc gia châu Âu. Trong vấn đề điện toán đám mây, tổ chức này
đã đưa ra một số nghiên cứu về lợi ích và nguy cơ trong việc sử dụng điện
toán đám mây. Những nghiên cứu này tập trung vào các lĩnh vực:
− Chính sách và tổ chức: bao gồm các vấn đề liên quan đến tổ chức,
quản lý và tuân thủ.
− Kỹ thuật: các vấn đề về công nghệ sử dụng triển khai cho dịch vụ và
cơ sở hạ tầng cho điện toán đám mây như phân lập, rò rỉ và chặn bắt
dữ liệu, tấn công từ chối dịch vụ, mã hóa và tiêu hủy dữ liệu.
− Luật pháp: liên quan đến các vấn đề pháp lý
− Vấn đề khác như quản lý mạng, logging…
2.3. Tiêu chuẩn của CSA (Cloud Security Alliance)
CSA là tổ chức phi chính phủ được thành lập năm 2008 nhằm mục đích
nghiên cứu các vấn đề về an ninh trong điện toán đám mây với sự hợp tác
của rất nhiều công ty lớn trên thế giới. Các tiêu chí đánh giá của CSA được
dựa trên các nghiên cứu và thẩm định trong giới học thuật trước khi được
công bố thành các phiên bản sản phẩm.
Trong đó phiên bản 3.0 nêu rõ an ninh điện toán đám mây
với 13 lĩnh vực trọng tâm bao gồm:
− Tổ chức và quản lý nguy cơ (Governance and risk management)
− Vấn đề pháp lý (Legal issues)
− Tuân thủ và kiểm toán (Compliance and audit)
− Quản lý thông tin và an toàn dữ liệu (Information management
and data security)
− Tính di động và khả năng tương tác (Portability and
Interoperatbility)
− An ninh truyền thống, phục hồi hoạt động (Traditional security,
business continuity and disaster recovery)
− Hoạt động truy tâm dữ liệu (Data center operation)
− Đối phó sự cố (Incident response)
− An toàn ứng dụng (Application Security)
− Mã hóa và quản lý khóa (Encryption and key management)
− Định danh và quản lý truy cập (Identity and access management)
− Ảo hóa (Virtualization)
− Dịch vụ an ninh (Security as a Service)
2.4. Bộ tiêu chuẩn NIST-800s (National Institute of Standards and
Technology)
Tổ chức NIST đã đưa ra một lượng lớn các tiêu chuẩn liên quan đến an
toàn thông tin và an toàn máy tính, hay còn gọi là bộ tiêu chuẩn NIST-800.
Mặc dù, bộ tiêu chuẩn này hướng đến sử dụng cho các cơ quan chính phủ
Mỹ, nhưng chuẩn này cũng được sử dụng phù hợp cho các tổ chức doanh
nghiệp Trong vấn đề điện toán đám mây và đảm bảo an toàn cho điện toán
đám mây. Bộ tiêu chuẩn này đề cập đến thông qua ba ấn bản:
SP 800-144: Hướng dẫn về vấn đề an toàn và riêng tư trong điện
toán đám mây công cộng (Guidelines on Security and Privacy in
Public Cloud Computing)
SP 800-145: Những định nghĩa, khái niệm của NIST về điện toán
đám mây (The NIST Definition of Cloud Computing)
SP 800-146: Những khái niệm và khuyến cáo trong điện toán
đám mây (Cloud Computing Synopsis and Recommendations)
3. Nguy cơ mất an toàn điện toán đám mây
Nguy cơ trong điện toán đám mây rất đa dạng, tùy thuộc vào quan điểm
phân chia khác nhau. Dưới đây đưa ra một số nguy cơ trong điện toán đám
mây.
a. Truy nhập của người cung cấp dịch vụ điện toán đám mây
- Những nhà cung cấp dịch vụ điện toán đám mây cấp phát không kiểm
soát quyền truy nhập cho người quản lý có quyền kiểm soát dữ liệu,
điều đó tạo nên rủi ro xâm phạm đến dữ liệu khách hàng.
b. Việc phân loại và đặt vị trí dữ liệu
- Những khách hàng không thể biết dữ liệu của họ được lưu trữ ở đâu
và có thể xảy ra rủi ro là dữ liệu của họ sẽ được lưu trữ cùng với dữ
liệu những khách hàng khác.
c. Việc di chuyển và xóa dữ liệu
- Việc xóa và di chuyển dữ liệu đám mây là một rủi ro, do trên đám
mây phần cứng được cấp phát cho khách hàng dựa trên nhu cầu của
họ. Rủi ro của dữ liệu không được xóa hoàn toàn từ những nơi lưu trữ,
phục hồi và nơi lưu vật lý của dữ liệu sẽ tăng lên trong đám mây.
d. Những thiết bị điều tra nghiên cứu và giám sát bảo vệ
- Khả năng cung cấp cho việc đưa những chương trình điều tra nghiên
cứu điện tử đến khách hàng thông qua đám mây bị hạn chế bởi những
mô hình đám mây đã đề xuất, và truy xuất rất phức tạp trong kiến trúc
đám mây. Những khách hàng không thể phát triển hệ thống kiểm soát
đạt hiệu quả trên cơ sở hạ tầng không phải của riêng họ, do vậy họ
phải dựa vào những hệ thống được thiết lập của nhà cung cấp dịch vụ
đám mây để hỗ trợ những điều tra nghiên cứu đó.
e. Việc đảm bảo an toàn đám mây
- Những khách hàng không dễ dàng tin vào những hệ thống đảm bảo an
toàn vì họ không trực tiếp kiểm soát trừ khi họ sử dụng SLAs và có
quyền theo dõi những kiểm soát an toàn thông qua những hợp đồng
của họ.
Mô hình kiến trúc an toàn điện toán đám mây của CSA đề cập tới các
mối quan hệ giữa các lớp và đặt chúng vào trong ngữ cảnh với các kiểm soát
và các cảnh báo về an ninh phù hợp với chúng. Đối với các tổ chức và cá
nhân sử dụng điện toán đám mây cần phải lưu ý tới những vấn đề sau để
tránh những cạm bẫy và sự cố tiềm ẩn:
- Cách thức mà ở đó các dịch vụ đám mây được cung cấp thường được mô
tả có liên quan tới phạm vi về an ninh hoặc quản lý của tổ chức. Tuy nhiên,
phải hiểu “đường biên giới” về an ninh theo những khái niệm của điện toán
đám mây.
- Tính kết nối khắp mọi nơi, tính “vô định hình”, trao đổi được lẫn nhau về
thông tin và sự không hiệu quả của các kiểm soát an ninh tĩnh theo truyền
thống khi làm việc được với tính tự nhiên động của các dịch vụ đám mây đòi
hỏi tư duy mới về điện toán đám mây.
Trước hết, cần phân loại dịch vụ đám mây theo mô hình kiến trúc đám
mây, sau đó phân tích ánh xạ kiến trúc an ninh của nó phù hợp với yêu cầu
nghiệp vụ, pháp lý và các yêu cầu tuân thủ. Kết quả sẽ xác định tình hình
“an ninh” chung của một dịch vụ và cách mà nó liên quan tới các yêu cầu
bảo vệ và đảm bảo an ninh của một tài sản thông tin.
An ninh của một tổ chức có đặc trưng là tính hiệu quả và tính hoàn
thiện của các kiểm soát an ninh được triển khai, với khả năng điều chỉnh
theo các rủi ro. Những kiểm soát đó được triển khai trong một hoặc nhiều
lớp, từ các cơ sở trang thiết bị (an ninh vật lý), hạ tầng mạng (an ninh mạng)
cho tới các hệ thống Công nghệ thông tin (an ninh hệ thống) tất cả các cách
thức quản lý thông tin và các ứng dụng (an ninh ứng dụng). Các kiểm soát
còn được triển khai ở mức độ quản lý (con người và qui trình), nhằm tách
bạch rõ trách nhiệm một cách tương ứng.
Với mô hình dịch vụ đám mây, trách nhiệm về an ninh của nhà cung
cấp và người tiêu dùng là khác nhau giữa các mô hình dịch vụ đám mây. Ví
dụ, các dịch vụ IaaS của EC2 của Amazon, bao gồm trách nhiệm của nhà
cung cấp về an ninh cho tới trình ảo hóa, nghĩa là họ chỉ có thể giải quyết
những kiểm soát như an ninh vật lý, an ninh môi trường và an ninh ảo hóa.
Người tiêu dùng có trách nhiệm đối với các kiểm soát an ninh có liên quan
tới hệ thống Công nghệ thông tin (cài đặt triển khai) bao gồm hệ điều hành,
các ứng dụng và dữ liệu.
2. Tổ chức và quản lý nguy cơ (Governance and risk
management)
a. Tổ chức (Governance)
Điện toán đám mây ảnh hưởng đến tổ chức, vì nó đưa bên thứ ba vào
quy trình (trong trường hợp đám mây công cộng – Public Cloud hoặc
đám mây riêng được lưu trữ - Hosted Private Cloud) hoặc có khả năng
thay đổi cấu trúc quản trị nội bộ trong trường hợp đám mây riêng tự
lưu trữ. Vấn đề chính cần nhớ khi quản lý điện toán đám mây là một
tổ chức không bao giờ có thể thuê ngoài trách nhiệm quản trị, ngay cả
khi sử dụng các nhà cung cấp bên ngoài. Điều này luôn đúng, dù có
đám mây hay không, nhưng rất hữu ích cần ghi nhớ khi điều hướng
các khái niệm về mô hình trách nhiệm chung của điện toán đám mây.
Các nhà cung cấp dịch vụ đám mây cố gắng tận dụng quy mô kinh tế
để quản lý chi phí và kích hoạt các khả năng. Điều này có nghĩa là tạo
ra các dịch vụ cực kỳ chuẩn hóa (bao gồm hợp đồng và thỏa thuận
mức dịch vụ) nhất quán trên tất cả các khách hàng. Các mô hình quản
trị không nhất thiết phải đối xử với các nhà cung cấp đám mây giống
như cách họ đối xử với các nhà cung cấp dịch vụ bên ngoài, thường
tùy chỉnh các dịch vụ của họ, bao gồm cả các thỏa thuận pháp lý cho
từng khách hàng.
Điện toán đám mây thay đổi trách nhiệm, cơ chế thực hiện và quản lý
điều hành. Các trách nhiệm và cơ chế quản trị được xác định trong
hợp đồng, giống như bất kỳ mối quan hệ kinh doanh nào. Nếu lĩnh
vực quan tâm không có trong hợp đồng, thì không có cơ chế nào có
sẵn để thực thi. Các lỗ hổng quản trị không nhất thiết loại trừ việc sử
dụng nhà cung cấp, nhưng họ yêu cầu khách hàng điều chỉnh các quy
trình của riêng họ để thu hẹp các lỗ hổng hoặc chấp nhận các rủi ro
liên quan.
Quản lý nguy cơ trên đám mây dựa trên mô hình chia sẻ trách nhiệm –
Shared Responsibilities Model. Nhà cung cấp đám mây chấp nhận
chịu trách nhiệm đối với một số nguy cơ nhất định và khách hàng chịu
trách nhiệm đối với phần còn lại. Điều này đặc biệt rõ ràng khi bạn
đánh giá sự khác biệt giữa các mô hình dịch vụ, nơi nhà cung cấp
quản lý nhiều rủi ro hơn trong SaaS và người tiêu dùng nhiều hơn
trong IaaS. Nhưng, người tiêu dùng chịu trách nhiệm cuối cùng về
quyền sở hữu các nguy cơ; họ chỉ chuyển giao một số quyền quản lý
nguy cơ cho nhà cung cấp. Điều này đúng ngay cả với một đám mây
riêng tự lưu trữ - self-hosted private cloud; trong những tình huống
đó, một đơn vị tổ chức sẽ chuyển giao một số trách nhiệm quản lý
nguy cơ của họ cho nhà cung cấp đám mây nội bộ thay vì bên ngoài,
và SLA nội bộ và các thủ tục thay thế các hợp đồng bên ngoài.
Mức độ chấp nhận nguy cơ là mức độ nguy cơ mà ban lãnh đạo và các
bên liên quan của tổ chức sẵn sàng chấp nhận. Nó thay đổi tùy theo tài
sản và không nên đưa ra quyết định nguy cơ chung về một nhà cung
cấp cụ thể; thay vào đó, các đánh giá phải phù hợp với giá trị và yêu
cầu của các tài sản liên quan. Chỉ vì nhà cung cấp đám mây công cộng
là bên ngoài và người tiêu dùng có thể quan tâm đến cơ sở hạ tầng
dùng chung cho một số tài sản không có nghĩa là nhà cung cấp đó
không nằm trong mức chấp nhận nguy cơ đối với tất cả tài sản. Theo
thời gian, điều này có nghĩa là, bạn sẽ xây dựng các dịch vụ đám mây
cùng với những loại tài sản nào được phép sử dụng trong các dịch vụ
đó. Chuyển sang đám mây không thay đổi khả năng chấp nhận nguy
cơ của bạn, nó chỉ thay đổi cách quản lý nguy cơ.
3. Vấn đề pháp lý (Legal issues)
Ở nhiều quốc gia trên thế giới, nhiều luật và các quy định yêu cầu các tổ
chức phải bảo vệ quyền riêng tư của dữ liệu cá nhân cũng như bảo mật của
thông tin và hệ thống máy tính. Các luật này một phần dựa trên Nguyên tắc
về Quyền riêng tư và Bảo mật của Tổ chức Hợp tác và Phát triển Kinh tế
(OECD) và Khuôn khổ Quyền riêng tư của Diễn đàn Hợp tác Kinh tế Châu
Á Thái Bình Dương (APEC).
Các nhà cung cấp dịch vụ đám mây và người tiêu dùng ở nhiều khu vực sẽ
phải đối mặt với các luật và quy định khác nhau được áp dụng ở tùy nơi.
Các phần sau cung cấp ví dụ về các vấn đề pháp lý có thể phát sinh liên quan
đến việc chuyển dữ liệu cá nhân lên đám mây hoặc xử lý dữ liệu cá nhân
trên đám mây.
Vấn đề Mô tả
Luật Liên bang Hoa Kỳ là một phần trong số ít các quốc gia không
Hoa Kỳ (US có luật bảo vệ dữ liệu quốc gia áp dụng thống nhất
Federal Laws) cho tất cả các loại dữ liệu cá nhân. Thay vào đó, nó
dựa vào sự chắp vá của luật liên bang, tiểu bang và
đôi khi là luật địa phương. Nhiều luật liên bang và
các quy định liên quan của chúng — chẳng hạn như
GLBA, HIPAA và Đạo luật bảo vệ quyền riêng tư
trên mạng của trẻ em năm 1998 (“COPPA”) - cùng
với các lệnh do FTC ban hành, yêu cầu các công ty
áp dụng các biện pháp bảo mật và quyền riêng tư cụ
thể khi xử lý dữ liệu. Họ cũng yêu cầu các biện pháp
phòng ngừa tương tự trong hợp đồng với nhà cung
cấp dịch vụ bên thứ ba. Phán quyết trong vụ kiện
FTC kiện Wyndham yêu cầu các công ty áp dụng
"các biện pháp bảo mật hợp lý về mặt thương mại"
khi xử lý dữ liệu.
Luật tiểu bang Hoa Nhiều luật tiểu bang cũng tạo ra nghĩa vụ đối với các
Kỳ (US State công ty trong việc cung cấp các biện pháp bảo vệ
Laws) hoặc bảo mật đầy đủ về quyền riêng tư đối với dữ
liệu cá nhân và yêu cầu các nhà cung cấp dịch vụ của
họ làm điều tương tự. Các luật của tiểu bang giải
quyết các vấn đề bảo mật thông tin thường yêu cầu
tối thiểu công ty phải có hợp đồng bằng văn bản với
nhà cung cấp dịch vụ với các biện pháp bảo mật hợp
lý. Ví dụ: xem các yêu cầu mở rộng theo "Tiêu chuẩn
bảo vệ thông tin cá nhân của cư dân của khối thịnh
vượng chung", 201 CMR 17.00.
Tiêu chuẩn Các tiêu chuẩn như PCI-DSS hoặc ISO 27001 cũng
(Standards) tạo ra hiệu ứng domino tương tự như các luật liên
bang và tiểu bang. Các công ty tuân theo PCI-DSS
hoặc ISO 27001 đều phải tuân thủ các tiêu chuẩn
được chỉ định và chuyển cho các nhà thầu phụ của họ
đáp ứng tiêu chuẩn mà họ phải tuân theo.
Quy định không Nhiều quốc gia đã thông qua luật bảo vệ dữ liệu theo
phải US (Non-US mô hình Liên minh Châu Âu, mô hình OECD hoặc
Regulations) mô hình APEC. Theo các luật này, người kiểm soát
dữ liệu (thường là tổ chức có mối quan hệ chính với
một cá nhân) bị cấm thu thập và xử lý dữ liệu cá
nhân trừ khi đáp ứng một số yêu cầu nhất định (Ví
dụ: nếu chủ thể dữ liệu đã đồng ý với việc thu thập
dữ liệu của mình cũng như các đề xuất về mục đích
sử dụng của dữ liệu này). Các luật này xác định một
số nghĩa vụ đối với các thực thể truy cập vào dữ liệu
cá nhân, chẳng hạn như các nghĩa vụ bảo mật và an
ninh nhất định. Họ cấp cho các cá nhân một loạt
quyền mà họ có thể ngăn chặn bất kỳ thực thể nào
nắm giữ dữ liệu cá nhân của họ. Khi ủy thác cho bên
thứ ba thay mặt xử lý dữ liệu (bên xử lý dữ liệu), bên
kiểm soát dữ liệu vẫn chịu trách nhiệm thu thập và
xử lý dữ liệu cá nhân của các bên thứ ba đó. Người
kiểm soát dữ liệu được yêu cầu đảm bảo rằng bất kỳ
bên thứ ba nào thay mặt họ xử lý dữ liệu cá nhân đều
thực hiện các biện pháp bảo mật kỹ thuật để bảo vệ
dữ liệu.
Nghĩa vụ hợp đồng Ngay cả khi một hoạt động cụ thể không được quy
(Contractual định, các công ty có thể có nghĩa vụ tuân theo hợp
Obligations) đồng để bảo vệ thông tin cá nhân của khách hàng, địa
chỉ liên hệ để đảm bảo rằng dữ liệu không được sử
dụng cho các mục đích thứ cấp và không bị tiết lộ
cho bên thứ ba. Ví dụ: nghĩa vụ này có thể xuất phát
từ các Điều khoản và Điều kiện và Tuyên bố về
Quyền riêng tư mà một công ty đăng trên trang web
của mình hoặc từ các hợp đồng mà công ty đã thực
hiện với các bên thứ ba. Ví dụ: một nhà xử lý dữ liệu
có thể bị ràng buộc bởi các điều khoản của Thỏa
thuận dịch vụ của họ chỉ để xử lý dữ liệu cá nhân cho
các mục đích nhất định. Ngoài ra, công ty có thể đã
ký kết các hợp đồng (chẳng hạn như các thỏa thuận
dịch vụ) với khách hàng của mình, trong đó công ty
đã đưa ra các cam kết cụ thể để bảo vệ dữ liệu (dữ
liệu cá nhân hoặc dữ liệu công ty), giới hạn việc sử
dụng, đảm bảo tính bảo mật, sử dụng mã hóa, v.v. .
Tổ chức phải đảm bảo rằng, khi dữ liệu do mình
quản lý được lưu trữ trên đám mây, tổ chức sẽ có khả
năng tiếp tục đáp ứng các lời hứa và cam kết mà họ
đã đưa ra trong các thông báo về quyền riêng tư hoặc
các hợp đồng khác. Ví dụ, công ty có thể đã đồng ý
chỉ sử dụng dữ liệu cụ thể. Dữ liệu trong đám mây
chỉ được sử dụng cho các mục đích mà nó được thu
thập.
Cấm vận chuyển Nhiều luật trên thế giới cấm hoặc hạn chế việc
qua biên giới chuyển thông tin ra khỏi đất nước.
(Prohibition Trong một số trường hợp (ví dụ: của Liên minh Châu
against cross Âu), việc chuyển giao chỉ được phép nếu quốc gia
border transfers) mà dữ liệu được chuyển đến cung cấp sự bảo vệ đầy
đủ đối với thông tin cá nhân và quyền riêng tư. Mục
đích của yêu cầu này là để đảm bảo rằng các chủ thể
dữ liệu cá nhân có dữ liệu được chuyển qua biên giới
sẽ có thể được hưởng các quyền riêng tư và các biện
pháp bảo vệ quyền riêng tư tương tự ở quốc gia mới
mà dữ liệu của họ được chuyển đến, và không ít hơn
là những khoản đã được chi trả cho họ trước khi
chuyển nhượng. Hoặc, có thể cần thiết để người nhập
dữ liệu và người xuất dữ liệu ký một hợp đồng, trong
đó các bên đảm bảo rằng các quyền của chủ thể dữ
liệu sẽ được bảo vệ khi dữ liệu đã được truyền đến
người nhập dữ liệu.
Do đó, điều quan trọng là người dùng đám mây phải
biết dữ liệu cá nhân của nhân viên, khách hàng và
những người khác sẽ được đặt ở đâu để có thể giải
quyết các hạn chế cụ thể mà luật bảo vệ dữ liệu nước
ngoài có thể áp đặt.
Tùy thuộc vào quốc gia, các yêu cầu để đảm bảo sự
bảo vệ thích hợp này có thể phức tạp và nghiêm ngặt.
Trong một số trường hợp, có thể cần phải xin phép
trước của Ủy ban bảo vệ dữ liệu địa phương. Ở các
quốc gia khác (thường là những quốc gia có hạn chế
về luồng thông tin), việc chuyển dữ liệu của công
dân ra nước ngoài đơn giản là bị cấm.
5. Quản lý thông tin và an toàn dữ liệu (Information
management and data security)
5.1.Quản lý thông tin (Information management)
Quản lý thông tin bao gồm các quy trình và chính sách để hiểu cách
thông tin của bạn được sử dụng và quản lý việc sử dụng đó. Trong phần bảo
mật dữ liệu, các đề xuất và kiểm soát kỹ thuật cụ thể sẽ được thảo luận để
giám sát và thực thi việc quản lý này.
Quản lý thông tin bao gồm các tính năng chính sau:
Phân loại thông tin (Information Classification). Không giống như
phân loại dữ liệu, mục tiêu không phải là gắn nhãn mọi dữ liệu trong
tổ chức, mà là xác định các danh mục cấp cao như “được quản lý” và
“bí mật kinh doanh” để xác định các biện pháp kiểm soát bảo mật
hợp lý có thể áp dụng.
Chính sách quản lý thông tin (Information management Policies).
Chính sách xác định những hoạt động nào được phép đối với các loại
thông tin khác nhau.
Chính sách về vị trí và quyền hạn (Location and Jurisdictional
Polices). Nơi dữ liệu có thể được định vị theo địa lý, nơi cũng có các
phân nhánh quan trọng về pháp lý và quy định.
Các ủy quyền (Authorizations). Xác định kiểu nhân viên, người
dùng nào được phép truy cập loại thông tin nào.
Quyền sở hữu (Ownership). Ai là người chịu trách nhiệm cuối cùng
về thông tin.
Quyền giám hộ (Custodianship). Người chịu trách nhiệm quản lý
thông tin, theo yêu cầu của chủ sở hữu.
5.2.1. Phát hiện và ngăn chặn việc dữ liệu di chuyển sang đám mây
Một thách thức chung mà các tổ chức phải đối mặt với đám mây là
quản lý dữ liệu. Nhiều tổ chức báo cáo các cá nhân hoặc đơn vị kinh doanh
thường di chuyển dữ liệu nhạy cảm sang các dịch vụ đám mây mà không có
sự chấp thuận hoặc thậm chí thông báo về vấn đề bảo mật.
Ngoài các biện pháp kiểm soát bảo mật dữ liệu truyền thống (như
kiểm soát truy cập hoặc mã hóa), có hai bước khác để giúp quản lý dữ liệu
chưa được phê duyệt chuyển sang các dịch vụ đám mây:
[1] Giám sát việc di chuyển dữ liệu nội bộ lớn với Giám sát hoạt động cơ
sở dữ liệu (DAM) và Giám sát hoạt động tệp (FAM).
[2] Giám sát dữ liệu di chuyển lên đám mây với bộ lọc URL và Ngăn
chặn mất dữ liệu.
6. Tính di động và khả năng tương tác (Portability
and Interoperability)
6.1. Khả năng tương tác (Interoperability)
Khả năng tương tác là yêu cầu để các thành phần của hệ thống sinh
thái đám mây làm việc cùng nhau để đạt được kết quả dự kiến của chúng.
Trong hệ thống sinh thái điện toán đám mây, các thành phần có thể đến từ
các nguồn khác nhau. Khả năng tương tác yêu cầu các thành phần đó phải
được thay thế bằng các thành phần mới hoặc các thành phần khác từ các
nhà cung cấp khác nhau và tiếp tục hoạt động, cũng như việc trao đổi dữ
liệu giữa các hệ thống.
Theo thời gian, Các doanh nghiệp sẽ đưa ra các quyết định dẫn đến
mong muốn thay đổi nhà cung cấp. Lý do cho sự thay đổi mong muốn này
bao gồm:
Không chấp nhận sự gia tăng về chi phí tại thời điểm gia hạn hợp
đồng.
Cùng một dịch vụ, nhận được đề nghị với giá rẻ hơn.
Nhà cung cấp ngừng hoạt động kinh doanh.
Nhà cung cấp đột ngột ngừng một hoặc nhiều dịch vụ đang được sử
dụng mà không được chấp nhận.
Chất lượng dịch vụ giảm sút, chẳng hạn như không đáp ứng được các
yêu cầu chính về hiệu suất hoặc đạt được các thỏa thuận mức dịch vụ
(SLA’s).
Tranh chấp kinh doanh giữa khách hàng và nhà cung cấp dịch vụ đám
mây.
Việc thiếu khả năng tương tác (và cả tính di động) có thể dẫn đến việc bị
khóa đối với một nhà cung cấp dịch vụ đám mây.
According to Cloud Security Alliance (CSA), the lower down the stack the cloud service
provider stops, the more security capabilities and management consumers are responsible for
implementing and managing themselves. [3] Figure 6 below depicts the above fact.
Theo Liên minh Bảo mật Đám mây (CSA), nhà cung cấp dịch vụ đám mây dừng
càng thấp thì càng có nhiều khả năng bảo mật và quản lý mà người tiêu dùng chịu
trách nhiệm thực hiện và quản lý chính họ. [3] Hình 6 dưới đây mô tả thực tế trên.
Understanding the relationships and dependencies between Cloud Computing models is
critical to understanding Cloud Computing security risks. IaaS is the foundation of all cloud
services, with PaaS building upon IaaS, and SaaS in turn building upon PaaS as described in
the Cloud Reference Model diagram. In this way, just as capabilities are inherited, so are
information security issues and risk.
Hiểu mối quan hệ và sự phụ thuộc giữa các mô hình Điện toán đám mây là rất
quan trọng để hiểu các rủi ro bảo mật của Điện toán đám mây. IaaS là nền tảng của
tất cả các dịch vụ đám mây, với PaaS xây dựng dựa trên IaaS và SaaS lần lượt xây
dựng dựa trên PaaS như được mô tả trong sơ đồ Mô hình tham chiếu đám mây.
cũng như các khả năng được kế thừa, các vấn đề và rủi ro về bảo mật thông tin
cũng vậy.
IaaS includes the entire infrastructure resource stack from the facilities to the hardware platforms that
reside in them. It incorporates the capability to abstract resources (or not), as well as deliver physical
and logical connectivity to those resources. Ultimately, IaaS provides a set of APIs which allow
management and other forms of interaction with the infrastructure by consumers.
IaaS bao gồm toàn bộ ngăn xếp tài nguyên cơ sở hạ tầng từ cơ sở vật chất đến nền
tảng phần cứng nằm trong đó. Nó kết hợp khả năng trừu tượng hóa các tài nguyên
(hoặc không), cũng như cung cấp kết nối vật lý và logic đến các tài nguyên đó.
Cuối cùng, IaaS cung cấp một tập hợp các API cho phép người tiêu dùng quản lý
và các hình thức tương tác khác với cơ sở hạ tầng.
PaaS sits atop IaaS and adds an additional layer of integration with application development
frameworks; middleware capabilities; and functions such as database, messaging, and queuing; which
allow developers to build applications upon to the platform; and whose programming languages and
tools are supported by the stack.
PaaS nằm trên đỉnh IaaS và thêm một lớp tích hợp bổ sung với các khuôn khổ phát
triển ứng dụng; khả năng của phần mềm trung gian; và các chức năng như cơ sở dữ
liệu, nhắn tin và xếp hàng; cho phép các nhà phát triển xây dựng các ứng dụng dựa
trên nền tảng; và ngôn ngữ lập trình và công cụ được ngăn xếp hỗ trợ.
SaaS in turn is built upon the underlying IaaS and PaaS stacks; and provides a self-contained
operating environment used to deliver the entire user experience including the content, its
presentation, the application(s), and management capabilities.
Đến lượt mình, SaaS được xây dựng dựa trên các ngăn xếp IaaS và PaaS bên dưới;
và cung cấp một môi trường hoạt động khép kín được sử dụng để cung cấp toàn bộ
trải nghiệm người dùng bao gồm nội dung, bản trình bày, (các) ứng dụng và khả
năng quản lý.
The lower down the stack the cloud service provider stops, the more security capabilities and
management consumers are responsible for implementing and managing themselves.
Nhà cung cấp dịch vụ đám mây dừng càng thấp thì càng có nhiều khả năng bảo
mật và quản lý mà người tiêu dùng có trách nhiệm tự thực hiện và quản lý.
In the case of SaaS, this means that service levels, security, governance, compliance, and
liability expectations of the service and provider are contractually stipulated; managed to;
and enforced.
Trong trường hợp của SaaS, điều này có nghĩa là các cấp độ dịch vụ, bảo mật, quản
trị, tuân thủ và các kỳ vọng về trách nhiệm của dịch vụ và nhà cung cấp được quy
định theo hợp đồng; quản lý để; và được thực thi
In the case of PaaS or IaaS it is the responsibility of the consumer’s system administrators to
effectively manage the same, with some offset expected by the provider for securing the
underlying platform and infrastructure components to ensure basic service availability and
security. It should be clear in either case that one can assign/transfer responsibility but not
necessarily accountability.
Trong trường hợp PaaS hoặc IaaS, quản trị viên hệ thống của người tiêu dùng có
trách nhiệm quản lý hiệu quả giống nhau, với một số bù đắp mà nhà cung cấp
mong đợi để đảm bảo nền tảng cơ bản và các thành phần cơ sở hạ tầng để đảm bảo
tính khả dụng và bảo mật của dịch vụ cơ bản. Cần phải rõ ràng trong cả hai trường
hợp rằng người ta có thể phân công / chuyển giao trách nhiệm nhưng không nhất
thiết phải có trách nhiệm giải trình.