1) VẤN ĐỀ AN TOÀN ĐIỆN TOÁN ĐÁM MÂY 

1. Tổng quan về an toàn điện toán đám mây  
2. Các tiêu chuẩn an toàn điện toán đám mây 
2.2. Tiêu chuẩn  của  ENISA  (European Union Agency for Network and
Information Security)
ENISA là một tổ chức chịu trách nhiệm cho việc đảm bảo an toàn thông tin
và cho các quốc gia châu Âu. Trong vấn đề điện toán đám mây, tổ chức này
đã đưa ra một số nghiên cứu về lợi ích và nguy cơ trong việc sử dụng điện
toán đám mây. Những nghiên cứu này tập trung vào các lĩnh vực:
− Chính sách và tổ chức: bao gồm các vấn đề liên quan đến tổ chức,
quản lý và tuân thủ.
− Kỹ thuật: các vấn đề về công nghệ sử dụng triển khai cho dịch vụ và
cơ sở hạ tầng cho điện toán đám mây như phân lập, rò rỉ và chặn bắt
dữ liệu, tấn công từ chối dịch vụ, mã hóa và tiêu hủy dữ liệu.
− Luật pháp: liên quan đến các vấn đề pháp lý
− Vấn đề khác như quản lý mạng, logging…
2.3. Tiêu chuẩn  của  CSA  (Cloud Security Alliance)
CSA là tổ chức phi chính phủ được thành lập năm 2008 nhằm mục đích
nghiên cứu các vấn đề về an ninh trong điện toán đám mây với sự hợp tác
của rất nhiều công ty lớn trên thế giới. Các tiêu chí đánh giá của CSA được
dựa trên các nghiên cứu và thẩm định trong giới học thuật trước khi được
công bố thành các phiên bản sản phẩm.
Trong đó phiên bản 3.0 nêu rõ an ninh điện toán đám mây
với 13 lĩnh vực trọng tâm bao gồm:
− Tổ chức và quản lý nguy cơ (Governance and risk management)
− Vấn đề pháp lý (Legal issues)
− Tuân thủ và kiểm toán (Compliance and audit)
− Quản lý thông tin và an toàn dữ liệu (Information management
and data security)
− Tính di động và khả năng tương tác (Portability and
Interoperatbility)
− An ninh truyền thống, phục hồi hoạt động (Traditional security,
business continuity and disaster recovery)
− Hoạt động truy tâm dữ liệu (Data center operation)
− Đối phó sự cố (Incident response)
− An toàn ứng dụng (Application Security)
 − Mã hóa và quản lý khóa (Encryption and key management)
− Định danh và quản lý truy cập (Identity and access management)
− Ảo hóa (Virtualization)
− Dịch vụ an ninh (Security as a Service)
2.4. Bộ tiêu chuẩn  NIST-800s  (National Institute of Standards and
Technology)
Tổ chức NIST đã đưa ra một lượng lớn các tiêu chuẩn liên quan đến an
toàn thông tin và an toàn máy tính, hay còn gọi là bộ tiêu chuẩn NIST-800.
Mặc dù, bộ tiêu chuẩn này hướng đến sử dụng cho các cơ quan chính phủ
Mỹ, nhưng chuẩn này cũng được sử dụng phù hợp cho các tổ chức doanh
nghiệp Trong vấn đề điện toán đám mây và đảm bảo an toàn cho điện toán
đám mây. Bộ tiêu chuẩn này đề cập đến thông qua ba ấn bản:
 SP 800-144: Hướng dẫn về vấn đề an toàn và riêng tư trong điện
toán đám mây công cộng (Guidelines on Security and Privacy in
Public Cloud Computing)
 SP 800-145: Những định nghĩa, khái niệm của NIST về điện toán
đám mây (The NIST Definition of Cloud Computing)
 SP 800-146: Những khái niệm và khuyến cáo trong điện toán
đám mây (Cloud Computing Synopsis and Recommendations)

3. Nguy cơ mất an toàn điện toán đám mây 
Nguy cơ trong điện toán đám mây rất đa dạng, tùy thuộc vào quan điểm
phân chia khác nhau. Dưới đây đưa ra một số nguy cơ trong điện toán đám
mây.
a. Truy nhập của người cung cấp dịch vụ điện toán đám mây
- Những nhà cung cấp dịch vụ điện toán đám mây cấp phát không kiểm
soát quyền truy nhập cho người quản lý có quyền kiểm soát dữ liệu,
điều đó tạo nên rủi ro xâm phạm đến dữ liệu khách hàng.
b. Việc phân loại và đặt vị trí dữ liệu
- Những khách hàng không thể biết dữ liệu của họ được lưu trữ ở đâu
và có thể xảy ra rủi ro là dữ liệu của họ sẽ được lưu trữ cùng với dữ
liệu những khách hàng khác.
c. Việc di chuyển và xóa dữ liệu
- Việc xóa và di chuyển dữ liệu đám mây là một rủi ro, do trên đám
mây phần cứng được cấp phát cho khách hàng dựa trên nhu cầu của
họ. Rủi ro của dữ liệu không được xóa hoàn toàn từ những nơi lưu trữ,
phục hồi và nơi lưu vật lý của dữ liệu sẽ tăng lên trong đám mây.
 d. Những thiết bị điều tra nghiên cứu và giám sát bảo vệ
- Khả năng cung cấp cho việc đưa những chương trình điều tra nghiên
cứu điện tử đến khách hàng thông qua đám mây bị hạn chế bởi những
mô hình đám mây đã đề xuất, và truy xuất rất phức tạp trong kiến trúc
đám mây. Những khách hàng không thể phát triển hệ thống kiểm soát
đạt hiệu quả trên cơ sở hạ tầng không phải của riêng họ, do vậy họ
phải dựa vào những hệ thống được thiết lập của nhà cung cấp dịch vụ
đám mây để hỗ trợ những điều tra nghiên cứu đó.
e. Việc đảm bảo an toàn đám mây
- Những khách hàng không dễ dàng tin vào những hệ thống đảm bảo an
toàn vì họ không trực tiếp kiểm soát trừ khi họ sử dụng SLAs và có
quyền theo dõi những kiểm soát an toàn thông qua những hợp đồng
của họ.

3. AN TOÀN ĐIỆN TOÁN ĐÁM MÂY THEO TIÊU

CHUẨN CSA 
1. Mô hình kiến trúc an toàn điện toán đám mây CSA 

Mô hình kiến trúc an toàn điện toán đám mây của CSA đề cập tới các
mối quan hệ giữa các lớp và đặt chúng vào trong ngữ cảnh với các kiểm soát
và các cảnh báo về an ninh phù hợp với chúng. Đối với các tổ chức và cá
nhân sử dụng điện toán đám mây cần phải lưu ý tới những vấn đề sau để
tránh những cạm bẫy và sự cố tiềm ẩn:

- Cách thức mà ở đó các dịch vụ đám mây được cung cấp thường được mô
tả có liên quan tới phạm vi về an ninh hoặc quản lý của tổ chức. Tuy nhiên,
phải hiểu “đường biên giới” về an ninh theo những khái niệm của điện toán
đám mây.

- Tính kết nối khắp mọi nơi, tính “vô định hình”, trao đổi được lẫn nhau về
thông tin và sự không hiệu quả của các kiểm soát an ninh tĩnh theo truyền
thống khi làm việc được với tính tự nhiên động của các dịch vụ đám mây đòi
hỏi tư duy mới về điện toán đám mây.

Trước hết, cần phân loại dịch vụ đám mây theo mô hình kiến trúc đám
mây, sau đó phân tích ánh xạ kiến trúc an ninh của nó phù hợp với yêu cầu
nghiệp vụ, pháp lý và các yêu cầu tuân thủ. Kết quả sẽ xác định tình hình
“an ninh” chung của một dịch vụ và cách mà nó liên quan tới các yêu cầu
bảo vệ và đảm bảo an ninh của một tài sản thông tin.
 An ninh của một tổ chức có đặc trưng là tính hiệu quả và tính hoàn
thiện của các kiểm soát an ninh được triển khai, với khả năng điều chỉnh
theo các rủi ro. Những kiểm soát đó được triển khai trong một hoặc nhiều
lớp, từ các cơ sở trang thiết bị (an ninh vật lý), hạ tầng mạng (an ninh mạng)
cho tới các hệ thống Công nghệ thông tin (an ninh hệ thống) tất cả các cách
thức quản lý thông tin và các ứng dụng (an ninh ứng dụng). Các kiểm soát
còn được triển khai ở mức độ quản lý (con người và qui trình), nhằm tách
bạch rõ trách nhiệm một cách tương ứng.

Với mô hình dịch vụ đám mây, trách nhiệm về an ninh của nhà cung
cấp và người tiêu dùng là khác nhau giữa các mô hình dịch vụ đám mây. Ví
dụ, các dịch vụ IaaS của EC2 của Amazon, bao gồm trách nhiệm của nhà
cung cấp về an ninh cho tới trình ảo hóa, nghĩa là họ chỉ có thể giải quyết
những kiểm soát như an ninh vật lý, an ninh môi trường và an ninh ảo hóa.
Người tiêu dùng có trách nhiệm đối với các kiểm soát an ninh có liên quan
tới hệ thống Công nghệ thông tin (cài đặt triển khai) bao gồm hệ điều hành,
các ứng dụng và dữ liệu.
2. Tổ chức và quản lý nguy cơ (Governance and risk
management) 
a. Tổ chức (Governance)
Điện toán đám mây ảnh hưởng đến tổ chức, vì nó đưa bên thứ ba vào
quy trình (trong trường hợp đám mây công cộng – Public Cloud hoặc
đám mây riêng được lưu trữ - Hosted Private Cloud) hoặc có khả năng
thay đổi cấu trúc quản trị nội bộ trong trường hợp đám mây riêng tự
lưu trữ. Vấn đề chính cần nhớ khi quản lý điện toán đám mây là một
tổ chức không bao giờ có thể thuê ngoài trách nhiệm quản trị, ngay cả
khi sử dụng các nhà cung cấp bên ngoài. Điều này luôn đúng, dù có
đám mây hay không, nhưng rất hữu ích cần ghi nhớ khi điều hướng
các khái niệm về mô hình trách nhiệm chung của điện toán đám mây.

Các nhà cung cấp dịch vụ đám mây cố gắng tận dụng quy mô kinh tế
để quản lý chi phí và kích hoạt các khả năng. Điều này có nghĩa là tạo
ra các dịch vụ cực kỳ chuẩn hóa (bao gồm hợp đồng và thỏa thuận
mức dịch vụ) nhất quán trên tất cả các khách hàng. Các mô hình quản
trị không nhất thiết phải đối xử với các nhà cung cấp đám mây giống
như cách họ đối xử với các nhà cung cấp dịch vụ bên ngoài, thường
tùy chỉnh các dịch vụ của họ, bao gồm cả các thỏa thuận pháp lý cho
từng khách hàng.
Điện toán đám mây thay đổi trách nhiệm, cơ chế thực hiện và quản lý
điều hành. Các trách nhiệm và cơ chế quản trị được xác định trong
 hợp đồng, giống như bất kỳ mối quan hệ kinh doanh nào. Nếu lĩnh
vực quan tâm không có trong hợp đồng, thì không có cơ chế nào có
sẵn để thực thi. Các lỗ hổng quản trị không nhất thiết loại trừ việc sử
dụng nhà cung cấp, nhưng họ yêu cầu khách hàng điều chỉnh các quy
trình của riêng họ để thu hẹp các lỗ hổng hoặc chấp nhận các rủi ro
liên quan.

b. Quản lý nguy cơ (Risk management)

Quản lý nguy cơ trên đám mây dựa trên mô hình chia sẻ trách nhiệm –
Shared Responsibilities Model. Nhà cung cấp đám mây chấp nhận
chịu trách nhiệm đối với một số nguy cơ nhất định và khách hàng chịu
trách nhiệm đối với phần còn lại. Điều này đặc biệt rõ ràng khi bạn
đánh giá sự khác biệt giữa các mô hình dịch vụ, nơi nhà cung cấp
quản lý nhiều rủi ro hơn trong SaaS và người tiêu dùng nhiều hơn
trong IaaS. Nhưng, người tiêu dùng chịu trách nhiệm cuối cùng về
quyền sở hữu các nguy cơ; họ chỉ chuyển giao một số quyền quản lý
nguy cơ cho nhà cung cấp. Điều này đúng ngay cả với một đám mây
riêng tự lưu trữ - self-hosted private cloud; trong những tình huống
đó, một đơn vị tổ chức sẽ chuyển giao một số trách nhiệm quản lý
nguy cơ của họ cho nhà cung cấp đám mây nội bộ thay vì bên ngoài,
và SLA nội bộ và các thủ tục thay thế các hợp đồng bên ngoài.

Mức độ chấp nhận nguy cơ là mức độ nguy cơ mà ban lãnh đạo và các
bên liên quan của tổ chức sẵn sàng chấp nhận. Nó thay đổi tùy theo tài
sản và không nên đưa ra quyết định nguy cơ chung về một nhà cung
cấp cụ thể; thay vào đó, các đánh giá phải phù hợp với giá trị và yêu
cầu của các tài sản liên quan. Chỉ vì nhà cung cấp đám mây công cộng
là bên ngoài và người tiêu dùng có thể quan tâm đến cơ sở hạ tầng
dùng chung cho một số tài sản không có nghĩa là nhà cung cấp đó
không nằm trong mức chấp nhận nguy cơ đối với tất cả tài sản. Theo
thời gian, điều này có nghĩa là, bạn sẽ xây dựng các dịch vụ đám mây
cùng với những loại tài sản nào được phép sử dụng trong các dịch vụ
đó. Chuyển sang đám mây không thay đổi khả năng chấp nhận nguy
cơ của bạn, nó chỉ thay đổi cách quản lý nguy cơ.

3. Vấn đề pháp lý (Legal issues) 
Ở nhiều quốc gia trên thế giới, nhiều luật và các quy định yêu cầu các tổ
chức phải bảo vệ quyền riêng tư của dữ liệu cá nhân cũng như bảo mật của
thông tin và hệ thống máy tính. Các luật này một phần dựa trên Nguyên tắc
về Quyền riêng tư và Bảo mật của Tổ chức Hợp tác và Phát triển Kinh tế
(OECD) và Khuôn khổ Quyền riêng tư của Diễn đàn Hợp tác Kinh tế Châu
Á Thái Bình Dương (APEC).

Các nhà cung cấp dịch vụ đám mây và người tiêu dùng ở nhiều khu vực sẽ
phải đối mặt với các luật và quy định khác nhau được áp dụng ở tùy nơi.

Các phần sau cung cấp ví dụ về các vấn đề pháp lý có thể phát sinh liên quan
đến việc chuyển dữ liệu cá nhân lên đám mây hoặc xử lý dữ liệu cá nhân
trên đám mây.

Vấn đề Mô tả
Luật Liên bang Hoa Kỳ là một phần trong số ít các quốc gia không
Hoa Kỳ (US có luật bảo vệ dữ liệu quốc gia áp dụng thống nhất
Federal Laws) cho tất cả các loại dữ liệu cá nhân. Thay vào đó, nó
dựa vào sự chắp vá của luật liên bang, tiểu bang và
đôi khi là luật địa phương. Nhiều luật liên bang và
các quy định liên quan của chúng — chẳng hạn như
GLBA, HIPAA và Đạo luật bảo vệ quyền riêng tư
trên mạng của trẻ em năm 1998 (“COPPA”) - cùng
với các lệnh do FTC ban hành, yêu cầu các công ty
áp dụng các biện pháp bảo mật và quyền riêng tư cụ
thể khi xử lý dữ liệu. Họ cũng yêu cầu các biện pháp
phòng ngừa tương tự trong hợp đồng với nhà cung
cấp dịch vụ bên thứ ba. Phán quyết trong vụ kiện
FTC kiện Wyndham yêu cầu các công ty áp dụng
"các biện pháp bảo mật hợp lý về mặt thương mại"
khi xử lý dữ liệu.
Luật tiểu bang Hoa Nhiều luật tiểu bang cũng tạo ra nghĩa vụ đối với các
Kỳ (US State công ty trong việc cung cấp các biện pháp bảo vệ
Laws) hoặc bảo mật đầy đủ về quyền riêng tư đối với dữ
liệu cá nhân và yêu cầu các nhà cung cấp dịch vụ của
họ làm điều tương tự. Các luật của tiểu bang giải
quyết các vấn đề bảo mật thông tin thường yêu cầu
tối thiểu công ty phải có hợp đồng bằng văn bản với
nhà cung cấp dịch vụ với các biện pháp bảo mật hợp
lý. Ví dụ: xem các yêu cầu mở rộng theo "Tiêu chuẩn
bảo vệ thông tin cá nhân của cư dân của khối thịnh
vượng chung", 201 CMR 17.00.
Tiêu chuẩn Các tiêu chuẩn như PCI-DSS hoặc ISO 27001 cũng
(Standards) tạo ra hiệu ứng domino tương tự như các luật liên
bang và tiểu bang. Các công ty tuân theo PCI-DSS
hoặc ISO 27001 đều phải tuân thủ các tiêu chuẩn
được chỉ định và chuyển cho các nhà thầu phụ của họ
đáp ứng tiêu chuẩn mà họ phải tuân theo.
Quy định không Nhiều quốc gia đã thông qua luật bảo vệ dữ liệu theo
phải US (Non-US mô hình Liên minh Châu Âu, mô hình OECD hoặc
Regulations) mô hình APEC. Theo các luật này, người kiểm soát
dữ liệu (thường là tổ chức có mối quan hệ chính với
một cá nhân) bị cấm thu thập và xử lý dữ liệu cá
nhân trừ khi đáp ứng một số yêu cầu nhất định (Ví
dụ: nếu chủ thể dữ liệu đã đồng ý với việc thu thập
dữ liệu của mình cũng như các đề xuất về mục đích
sử dụng của dữ liệu này). Các luật này xác định một
số nghĩa vụ đối với các thực thể truy cập vào dữ liệu
cá nhân, chẳng hạn như các nghĩa vụ bảo mật và an
ninh nhất định. Họ cấp cho các cá nhân một loạt
quyền mà họ có thể ngăn chặn bất kỳ thực thể nào
nắm giữ dữ liệu cá nhân của họ. Khi ủy thác cho bên
thứ ba thay mặt xử lý dữ liệu (bên xử lý dữ liệu), bên
kiểm soát dữ liệu vẫn chịu trách nhiệm thu thập và
xử lý dữ liệu cá nhân của các bên thứ ba đó. Người
kiểm soát dữ liệu được yêu cầu đảm bảo rằng bất kỳ
bên thứ ba nào thay mặt họ xử lý dữ liệu cá nhân đều
thực hiện các biện pháp bảo mật kỹ thuật để bảo vệ
dữ liệu.
Nghĩa vụ hợp đồng Ngay cả khi một hoạt động cụ thể không được quy
(Contractual định, các công ty có thể có nghĩa vụ tuân theo hợp
Obligations) đồng để bảo vệ thông tin cá nhân của khách hàng, địa
chỉ liên hệ để đảm bảo rằng dữ liệu không được sử
dụng cho các mục đích thứ cấp và không bị tiết lộ
cho bên thứ ba. Ví dụ: nghĩa vụ này có thể xuất phát
từ các Điều khoản và Điều kiện và Tuyên bố về
Quyền riêng tư mà một công ty đăng trên trang web
của mình hoặc từ các hợp đồng mà công ty đã thực
hiện với các bên thứ ba. Ví dụ: một nhà xử lý dữ liệu
có thể bị ràng buộc bởi các điều khoản của Thỏa
thuận dịch vụ của họ chỉ để xử lý dữ liệu cá nhân cho
các mục đích nhất định. Ngoài ra, công ty có thể đã
ký kết các hợp đồng (chẳng hạn như các thỏa thuận
 dịch vụ) với khách hàng của mình, trong đó công ty
đã đưa ra các cam kết cụ thể để bảo vệ dữ liệu (dữ
liệu cá nhân hoặc dữ liệu công ty), giới hạn việc sử
dụng, đảm bảo tính bảo mật, sử dụng mã hóa, v.v. .
Tổ chức phải đảm bảo rằng, khi dữ liệu do mình
quản lý được lưu trữ trên đám mây, tổ chức sẽ có khả
năng tiếp tục đáp ứng các lời hứa và cam kết mà họ
đã đưa ra trong các thông báo về quyền riêng tư hoặc
các hợp đồng khác. Ví dụ, công ty có thể đã đồng ý
chỉ sử dụng dữ liệu cụ thể. Dữ liệu trong đám mây
chỉ được sử dụng cho các mục đích mà nó được thu
thập.
Cấm vận chuyển Nhiều luật trên thế giới cấm hoặc hạn chế việc
qua biên giới chuyển thông tin ra khỏi đất nước.
(Prohibition Trong một số trường hợp (ví dụ: của Liên minh Châu
against cross Âu), việc chuyển giao chỉ được phép nếu quốc gia
border transfers) mà dữ liệu được chuyển đến cung cấp sự bảo vệ đầy
đủ đối với thông tin cá nhân và quyền riêng tư. Mục
đích của yêu cầu này là để đảm bảo rằng các chủ thể
dữ liệu cá nhân có dữ liệu được chuyển qua biên giới
sẽ có thể được hưởng các quyền riêng tư và các biện
pháp bảo vệ quyền riêng tư tương tự ở quốc gia mới
mà dữ liệu của họ được chuyển đến, và không ít hơn
là những khoản đã được chi trả cho họ trước khi
chuyển nhượng. Hoặc, có thể cần thiết để người nhập
dữ liệu và người xuất dữ liệu ký một hợp đồng, trong
đó các bên đảm bảo rằng các quyền của chủ thể dữ
liệu sẽ được bảo vệ khi dữ liệu đã được truyền đến
người nhập dữ liệu.
Do đó, điều quan trọng là người dùng đám mây phải
biết dữ liệu cá nhân của nhân viên, khách hàng và
những người khác sẽ được đặt ở đâu để có thể giải
quyết các hạn chế cụ thể mà luật bảo vệ dữ liệu nước
ngoài có thể áp đặt.
Tùy thuộc vào quốc gia, các yêu cầu để đảm bảo sự
bảo vệ thích hợp này có thể phức tạp và nghiêm ngặt.
Trong một số trường hợp, có thể cần phải xin phép
trước của Ủy ban bảo vệ dữ liệu địa phương. Ở các
quốc gia khác (thường là những quốc gia có hạn chế
về luồng thông tin), việc chuyển dữ liệu của công
 dân ra nước ngoài đơn giản là bị cấm.

4. Tuân thủ và kiểm toán (Compliance and audit) 

a. Tuân thủ (Compliance)
Công nghệ thông tin trên đám mây (hoặc bất cứ nơi nào thực sự) ngày
càng phải tuân theo rất nhiều chính sách và quy định từ các chính phủ, các
nhóm ngành, các mối quan hệ kinh doanh và các bên liên quan khác. Quản
lý tuân thủ là một công cụ của tổ chức; đó là cách một tổ chức đánh giá,
khắc phục và chứng minh rằng tổ chức đang đáp ứng các nghĩa vụ nội bộ và
bên ngoài này.
Đặc biệt, các quy định thường có tác động mạnh mẽ đến công nghệ
thông tin và quản trị của nó, đặc biệt là về giám sát, quản lý, bảo vệ và công
bố thông tin. Nhiều quy định và nghĩa vụ đòi hỏi một mức độ bảo mật nhất
định, đó là lý do tại sao bảo mật thông tin lại đi đôi với việc tuân thủ một
cách sâu sắc. Do đó, các biện pháp kiểm soát bảo mật là một công cụ quan
trọng để đảm bảo sự tuân thủ và việc đánh giá và kiểm tra các biện pháp
kiểm soát này là hoạt động cốt lõi của các chuyên gia bảo mật.
Cũng như bảo mật, tuân thủ trong đám mây là một mô hình trách
nhiệm chung. Cả nhà cung cấp đám mây và khách hàng đều có trách nhiệm,
nhưng khách hàng luôn chịu trách nhiệm cuối cùng về sự tuân thủ của chính
họ. Những trách nhiệm này được xác định thông qua hợp đồng, kiểm tra
hoặc đánh giá và các chi tiết cụ thể về các yêu cầu tuân thủ.
Khách hàng, đặc biệt là trong đám mây công cộng, phải dựa nhiều
hơn vào chứng thực của bên thứ ba của nhà cung cấp để hiểu được sự liên
kết và lỗ hổng tuân thủ của họ. Vì các nhà cung cấp dịch vụ đám mây công
cộng dựa trên quy mô kinh tế để quản lý chi phí, họ thường sẽ không cho
phép khách hàng thực hiện kiểm toán của riêng họ. Thay vào đó, tương tự
như kiểm toán tài chính của các công ty đại chúng, họ tham gia với một
công ty bên thứ ba để thực hiện kiểm toán và cấp chứng nhận. Do đó, khách
hàng thường không xác định phạm vi hoặc tự thực hiện kiểm tra. Thay vào
đó, họ sẽ cần dựa vào các báo cáo và chứng thực này để xác định xem dịch
vụ có đáp ứng các nghĩa vụ tuân thủ của họ hay không.
b. Kiểm toán (Audit)
Kiểm toán và đánh giá là các cơ chế để ghi lại sự tuân thủ với các
yêu cầu bên trong hoặc bên ngoài. Việc báo cáo cần bao gồm xác định sự
tuân thủ cũng như danh sách các vấn đề, rủi ro đã được xác định và các
khuyến nghị khắc phục. Các cuộc kiểm toán và đánh giá không chỉ giới hạn
ở vấn đề bảo mật thông tin, nhưng những hoạt động liên quan đến an toàn
thông tin thường tập trung vào việc đánh giá hiệu quả của các biện pháp
quản lý và kiểm soát an ninh. Hầu hết các tổ chức phải tuân theo sự kết hợp
của các cuộc đánh giá nội bộ và đánh giá bên ngoài để đảm bảo tuân thủ các
yêu cầu bên trong và bên ngoài.
Tất cả các cuộc kiểm toán đều có phạm vi thay đổi và khả năng áp
dụng, xác định những gì được đánh giá và những biện pháp kiểm soát.
Chứng thực là một tuyên bố pháp lý từ bên thứ ba, có thể được sử dụng làm
tuyên bố của họ về các phát hiện kiểm toán. Chứng nhận là một công cụ
quan trọng khi đánh giá và làm việc với các nhà cung cấp dịch vụ đám mây
vì khách hàng không phải lúc nào cũng có thể thực hiện các đánh giá của
riêng họ.
Một số khách hàng đám mây có thể quen với việc kiểm toán các nhà
cung cấp bên thứ ba, nhưng bản chất của điện toán đám mây và các hợp
đồng với các nhà cung cấp đám mây thường sẽ loại trừ những thứ như kiểm
toán tại chỗ. Khách hàng nên hiểu rằng các nhà cung cấp có thể coi việc
kiểm toán tại chỗ là một rủi ro bảo mật khi cung cấp dịch vụ cho nhiều
người thuê. Nhiều cuộc kiểm toán tại chỗ từ số lượng lớn khách hàng, đặt ra
những thách thức về bảo mật.
Khách hàng sẽ phải dựa nhiều hơn vào chứng thực của bên thứ ba. Do
đó, Khách hàng sẽ cần phải tham gia một thỏa thuận pháp lý cơ bản trước
khi có quyền truy cập vào chứng thực cho các đánh giá rủi ro hoặc các mục
đích kiểm toán khác. Điều này thường là do các yêu cầu pháp lý hoặc hợp
đồng với công ty kiểm toán.
Các nhà cung cấp dịch vụ đám mây nên hiểu rằng khách hàng vẫn cần
đảm bảo rằng phải đáp ứng các nghĩa vụ theo hợp đồng và quy định của họ.
Do đó nên cung cấp các chứng thực nghiêm ngặt của bên thứ ba để chứng
minh họ đáp ứng các nghĩa vụ của mình, đặc biệt là khi nhà cung cấp không
cho phép kiểm toán trực tiếp từ khách hàng. Các tiêu chuẩn này phải dựa
trên các tiêu chuẩn ngành, với phạm vi được xác định rõ ràng và danh sách
các biện pháp kiểm soát cụ thể được kiểm toán. Việc xuất bản các chứng chỉ
và chứng nhận (ở mức độ được pháp luật cho phép) sẽ hỗ trợ rất nhiều cho
khách hàng trong việc đánh giá các nhà cung cấp.
Ngoài ra, các chứng nhận không nhất thiết phải áp dụng cho tất cả các
dịch vụ do nhà cung cấp đám mây cung cấp. Các nhà cung cấp phải rõ ràng
về những dịch vụ và tính năng nào được bảo hành, và khách hàng có trách
nhiệm phải chú ý và hiểu những tác động đến việc sử dụng của nhà cung
cấp.
Điều quan trọng cần nhớ là chứng nhận là các hoạt động mang tính
thời điểm. Chứng thực là một tuyên bố về đánh giá "trong một khoảng thời
gian". Các nhà cung cấp phải cập nhật mọi kết quả đã công bố nếu không họ
có nguy cơ khiến khách hàng của mình gặp rủi ro không tuân thủ. Tùy thuộc
vào hợp đồng, điều này thậm chí có thể dẫn đến việc nhà cung cấp phải chịu
 trách nhiệm pháp lý. Khách hàng cũng có trách nhiệm đảm bảo họ dựa vào
kết quả hiện tại và theo dõi khi trạng thái của nhà cung cấp thay đổi theo
thời gian.
Hiện vật là nhật ký hoặc các tài liệu khác cần thiết cho việc tuân thủ
và kiểm toán; chúng là bằng chứng hỗ trợ các hoạt động tuân thủ. Cả nhà
cung cấp và khách hàng đều có trách nhiệm cung cấp và quản lý các hiện vật
tương ứng của họ. Khách hàng chịu trách nhiệm cuối cùng về các thao tác để
hỗ trợ việc kiểm toán của chính họ và do đó cần biết những gì nhà cung cấp
cung cấp.

5. Quản lý thông tin và an toàn dữ liệu (Information
management and data security) 
5.1.Quản lý thông tin (Information management)

Quản lý thông tin bao gồm các quy trình và chính sách để hiểu cách
thông tin của bạn được sử dụng và quản lý việc sử dụng đó. Trong phần bảo
mật dữ liệu, các đề xuất và kiểm soát kỹ thuật cụ thể sẽ được thảo luận để
giám sát và thực thi việc quản lý này.
Quản lý thông tin bao gồm các tính năng chính sau:
 Phân loại thông tin (Information Classification). Không giống như
phân loại dữ liệu, mục tiêu không phải là gắn nhãn mọi dữ liệu trong
tổ chức, mà là xác định các danh mục cấp cao như “được quản lý” và
“bí mật kinh doanh” để xác định các biện pháp kiểm soát bảo mật
hợp lý có thể áp dụng.
 Chính sách quản lý thông tin (Information management Policies).
Chính sách xác định những hoạt động nào được phép đối với các loại
thông tin khác nhau.
 Chính sách về vị trí và quyền hạn (Location and Jurisdictional
Polices). Nơi dữ liệu có thể được định vị theo địa lý, nơi cũng có các
phân nhánh quan trọng về pháp lý và quy định.
 Các ủy quyền (Authorizations). Xác định kiểu nhân viên, người
dùng nào được phép truy cập loại thông tin nào.
 Quyền sở hữu (Ownership). Ai là người chịu trách nhiệm cuối cùng
về thông tin.
 Quyền giám hộ (Custodianship). Người chịu trách nhiệm quản lý
thông tin, theo yêu cầu của chủ sở hữu.

5.2. Bảo mật dữ liệu (Data Security)

 Bảo mật dữ liệu bao gồm các biện pháp kiểm soát và công nghệ được
sử dụng để thực thi quản lý thông tin. Điều này đã được chia thành ba phần
bao gồm việc phát hiện (và ngăn chặn) dữ liệu di chuyển lên đám mây, bảo
vệ dữ liệu khi truyền lên đám mây, giữa các nhà cung cấp, môi trường khác
nhau và bảo vệ dữ liệu khi dữ liệu đó ở trong đám mây.

5.2.1. Phát hiện và ngăn chặn việc dữ liệu di chuyển sang đám mây
Một thách thức chung mà các tổ chức phải đối mặt với đám mây là
quản lý dữ liệu. Nhiều tổ chức báo cáo các cá nhân hoặc đơn vị kinh doanh
thường di chuyển dữ liệu nhạy cảm sang các dịch vụ đám mây mà không có
sự chấp thuận hoặc thậm chí thông báo về vấn đề bảo mật.
Ngoài các biện pháp kiểm soát bảo mật dữ liệu truyền thống (như
kiểm soát truy cập hoặc mã hóa), có hai bước khác để giúp quản lý dữ liệu
chưa được phê duyệt chuyển sang các dịch vụ đám mây:
[1] Giám sát việc di chuyển dữ liệu nội bộ lớn với Giám sát hoạt động cơ
sở dữ liệu (DAM) và Giám sát hoạt động tệp (FAM).
[2] Giám sát dữ liệu di chuyển lên đám mây với bộ lọc URL và Ngăn
chặn mất dữ liệu.

Di chuyển dữ liệu nội bộ

Trước khi dữ liệu có thể di chuyển lên đám mây, nó cần được lấy từ
kho lưu trữ hiện có của nó. Giám sát hoạt động cơ sở dữ liệu có thể phát
hiện khi quản trị viên hoặc người dùng kéo một tập dữ liệu lớn hoặc sao
chép cơ sở dữ liệu.
Giám sát hoạt động tệp cung cấp sự bảo vệ cho các kho lưu trữ tệp,
chẳng hạn như chia sẻ tệp.

Di chuyển dữ liệu lên đám mây

Sự kết hợp giữa lọc URL và Ngăn chặn mất dữ liệu (DLP) có thể phát
hiện dữ liệu di chuyển lên đám mây.
Lọc URL cho phép bạn giám sát (và ngăn chặn) người dùng kết nối
với các dịch vụ đám mây. Vì các giao diện quản trị cho các dịch vụ này
thường sử dụng các địa chỉ khác với phía người dùng.
Các công cụ DLP xem xét dữ liệu hoặc nội dung đang được truyền đi,
chứ không chỉ xem xét điểm đến. Do đó, người dùng có thể tạo ra các cảnh
báo dựa trên việc phân loại dữ liệu. Ví dụ: người dùng có thể cho phép dữ
liệu cá nhân của công ty chuyển đến một dịch vụ đám mây đã được phê
duyệt nhưng chặn nội dung đó di chuyển sang một dịch vụ không được phê
duyệt.
5.2.2. Bảo vệ dữ liệu khi truyền lên đám mây
Khi triển khai đám mây công cộng và riêng tư cũng như các mô hình
dịch vụ khác nhau, điều quan trọng là phải bảo vệ dữ liệu khi truyền. Điều
này bao gồm:
 Dữ liệu di chuyển từ doanh nghiệp sang các nhà cung cấp đám mây.
 Dữ liệu di chuyển giữa các nhà cung cấp đám mây.
 Dữ liệu di chuyển giữa các các thành phần khác trong một đám mây.
Có ba tùy chọn:
[1] Mã hóa ứng dụng (Client/Application Encryption). Dữ liệu được
mã hóa trên điểm cuối hoặc máy chủ, trước khi được gửi qua mạng
hoặc đã được lưu trữ ở định dạng mã hóa phù hợp. Điều này bao gồm
mã hóa máy khách cục bộ (ví dụ: đối với các tệp được lưu trữ) hoặc
mã hóa được tích hợp trong các ứng dụng.
[2] Mã hóa liên kết (Link/Network Encryption). Các kỹ thuật mã hóa
mạng tiêu chuẩn bao gồm SSL, VPN và SSH. Có thể là phần cứng
hoặc phần mềm.
[3] Mã hóa dựa trên Proxy (Proxy-Based Encryption). Dữ liệu được
truyền tới thiết bị proxy hoặc máy chủ, máy chủ này sẽ mã hóa trước
khi gửi lên trên mạng.

5.2.3. Bảo vệ dữ liệu trong đám mây

Với một loạt các tùy chọn và công nghệ có sẵn trong điện toán đám
mây, không có cách nào để bao gồm tất cả các tùy chọn bảo mật. Sau đây là
một số công nghệ hữu ích và các phương pháp hay để bảo mật dữ liệu trong
các mô hình đám mây khác nhau.
[1] Content Discovery. Bao gồm các công cụ và quy trình để xác định
thông tin nhạy cảm trong bộ nhớ. Nó cho phép tổ chức xác định các
chính sách dựa trên loại, cấu trúc hoặc phân loại thông tin và sau đó
quét dữ liệu được lưu trữ bằng cách sử dụng các kỹ thuật phân tích nội
dung nâng cao để xác định vị trí và các vi phạm chính sách.
[2] IaaS Encryption. có thể được mã hóa bằng ba phương pháp:
 Instance-managed encryption. Công cụ mã hóa và khóa chạy
trong phiên bản được lưu trữ trong ổ đĩa nhưng được bảo vệ
bằng cụm mật khẩu hoặc cặp khóa.
 Externally managed encryption. Công cụ mã hóa chạy trong
phiên bản, nhưng các khóa được quản lý bên ngoài và được cấp
cho phiên bản theo yêu cầu.
 Proxy encryption. Kết nối ổ đĩa với một phiên bản hoặc thiết
bị, phần mềm đặc biệt, sau đó kết nối phiên bản của bạn với
 phiên bản mã hóa. Proxy xử lý tất cả các hoạt động tiền điện tử
và có thể giữ các khóa trên bo mạch hoặc bên ngoài.
[3] PaaS Encryption
 Client/Application encryption. Dữ liệu được mã hóa trong
ứng dụng PaaS hoặc ứng dụng khách truy cập vào nền tảng.
 Database encryption. Dữ liệu được mã hóa trong cơ sở dữ liệu
bằng cách sử dụng mã hóa được tích hợp sẵn và hỗ trợ bởi nền
tảng cơ sở dữ liệu.
 Proxy encryption. Dữ liệu đi qua một proxy mã hóa trước khi
được gửi đến nền tảng.
 Other. Các tùy chọn bổ sung có thể bao gồm API được tích
hợp sẵn trong nền tảng, các dịch vụ mã hóa bên ngoài và các
biến thể khác.
[4] SaaS Encryption
 Provider-managed encryption. Dữ liệu được mã hóa trong
ứng dụng SaaS và được quản lý chung bởi nhà cung cấp.
 Proxy encryption. Dữ liệu đi qua một proxy mã hóa trước
khi được gửi đến ứng dụng SaaS.

6. Tính di động và khả năng tương tác (Portability
and Interoperability) 
6.1. Khả năng tương tác (Interoperability)
Khả năng tương tác là yêu cầu để các thành phần của hệ thống sinh
thái đám mây làm việc cùng nhau để đạt được kết quả dự kiến của chúng.
Trong hệ thống sinh thái điện toán đám mây, các thành phần có thể đến từ
các nguồn khác nhau. Khả năng tương tác yêu cầu các thành phần đó phải
được thay thế bằng các thành phần mới hoặc các thành phần khác từ các
nhà cung cấp khác nhau và tiếp tục hoạt động, cũng như việc trao đổi dữ
liệu giữa các hệ thống.
Theo thời gian, Các doanh nghiệp sẽ đưa ra các quyết định dẫn đến
mong muốn thay đổi nhà cung cấp. Lý do cho sự thay đổi mong muốn này
bao gồm:
 Không chấp nhận sự gia tăng về chi phí tại thời điểm gia hạn hợp
đồng.
 Cùng một dịch vụ, nhận được đề nghị với giá rẻ hơn.
 Nhà cung cấp ngừng hoạt động kinh doanh.
 Nhà cung cấp đột ngột ngừng một hoặc nhiều dịch vụ đang được sử
dụng mà không được chấp nhận.
  Chất lượng dịch vụ giảm sút, chẳng hạn như không đáp ứng được các
yêu cầu chính về hiệu suất hoặc đạt được các thỏa thuận mức dịch vụ
(SLA’s).
 Tranh chấp kinh doanh giữa khách hàng và nhà cung cấp dịch vụ đám
mây.
Việc thiếu khả năng tương tác (và cả tính di động) có thể dẫn đến việc bị
khóa đối với một nhà cung cấp dịch vụ đám mây.

6.2. Tính di động (Portability)

Tính di động xác định khả năng dễ dàng di chuyển và sử dụng lại các
thành phần ứng dụng bất kể nhà cung cấp, nền tảng, hệ điều hành, … Tính
di động là một khía cạnh quan trọng khi lựa chọn nhà cung cấp đám mây vì
nó vừa có thể giúp ngăn chặn việc khóa nhà cung cấp, vừa mang lại lợi ích
kinh doanh.
Việc không giải quyết một cách thích hợp tính di động và khả năng
tương tác trong quá trình di chuyển trên đám mây có thể dẫn đến việc không
đạt được lợi ích mong muốn và có thể dẫn đến các vấn đề tốn kém hoặc sự
chậm trễ của dự án. Do đó cần tránh các yếu tố như:
 Lựa chọn một giải pháp đám mây thích hợp để hạn chế khả năng
chuyển sang dịch vụ đám mây khác hoặc nhà cung cấp khác.
 Sự khác biệt giữa nhà cung cấp, nền tảng hoặc ứng dụng có thể làm lộ
ra sự không tương thích khiến ứng dụng hoạt động sai trong một đám
mây khác.
 Chuyển sang nhà cung cấp đám mây mới có thể dẫn đến nhu cầu làm
lại cách thức hoạt động của quy trình hoặc yêu cầu thay đổi mã hóa để
giữ lại các hoạt động ban đầu.
 Thiếu các định dạng có thể tương tác dẫn đến các thay đổi dữ liệu khi
chuyển sang nhà cung cấp mới.
 Thiết lập lại hoặc cài đặt lại ứng dụng hoặc phần mềm quản lý mới.
 Chính sách bảo mật, quản lý khóa hoặc bảo vệ dữ liệu giữa các nhà
cung cấp khác nhau có thể mở ra các lỗ hổng bảo mật chưa được phát
hiện khi chuyển sang nhà cung cấp mới.
Chuyển dịch vụ lên đám mây là một hình thức thuê ngoài; nguyên tắc
vàng của việc thuê ngoài là “hiểu trước và lên kế hoạch làm thế nào để thoát
khỏi hợp đồng”. Do đó tính di động nên là tiêu chí chính của bất kỳ chiến
lược nào của tổ chức khi chuyển sang dịch vụ đám mây, cho phép phát triển
một chiến lược thoát khả thi.
 7. An ninh truyền thống, phục hồi hoạt động (Traditional
security, business continuity and disaster recovery) 
7.1.An ninh truyền thống (Traditional security)
An ninh truyền thống hoặc an ninh vật lý (physical security) có thể
được định nghĩa là các biện pháp được thực hiện để đảm bảo sự an toàn của
dữ liệu và nhân viên nhằm chống lại hành vi trộm cắp, gián điệp, phá hoại
hoặc gây hại.
Bảo mật thông tin thích hợp triển khai nhiều lớp khác nhau để đạt
được mục tiêu của nó. Điều này được gọi là "an ninh nhiều lớp" (layered
security) hoặc "phòng thủ theo chiều sâu" (defense in depth). Khi triển khai
các biện pháp bảo mật, các nhà quản lý nên thừa nhận rằng không có biện
pháp nào là an toàn một trăm phần trăm. Một điểm yếu ở bất kỳ một trong
các lớp này có thể khiến khả năng bảo mật bị phá vỡ. Bảo mật vật lý là
bước đầu tiên trong cách tiếp cận phân lớp đối với bảo mật thông tin đám
mây. Nếu nó không nhất quán, được triển khai không chính xác, yếu kém
thì các biện pháp bảo mật logic tốt nhất sẽ không bù đắp cho điểm yếu này
và bảo mật tổng thể có thể bị lỗi.
Để thiết lập bảo mật truyền thống thích hợp cho thiết bị CNTT, công
nghệ mạng và thiết bị viễn thông trong môi trường đám mây, điều quan
trọng là phải giao trách nhiệm cho nhân viên được bố trí thích hợp trong tổ
chức của nhà cung cấp dịch vụ đám mây. Một cá nhân ở vị trí quản lý chịu
trách nhiệm quản lý việc lập kế hoạch, thực hiện và duy trì các kế hoạch và
thủ tục liên quan. Nhân viên chịu trách nhiệm về an ninh truyền thống cần
được đào tạo và được đánh giá hiệu quả hoạt động của họ. Khi thiết lập một
chức năng an ninh truyền thống trong môi trường đám mây, những điều sau
đây phải được xem xét:
 Nhu cầu an ninh đối với thiết bị và dịch vụ được bảo vệ.
 Nguồn nhân lực dành cho an ninh truyền thống.
 Các tác động của an ninh tryền thống đã được nhân viên quản lý như
thế nào trước khi chuyển đổi sang đám mây.
 Các nguồn tài chính có sẵn cho những tác động của an ninh truyền
thống.
7.2.Kinh doanh liên tục (Business continuity)
Theo truyền thống, ba nguyên lý bảo mật thông tin là tính bảo mật,
tính toàn vẹn và tính sẵn sàng. Tính liên tục trong kinh doanh đề cập đến
thành phần liên tục của ba yêu cầu đó. Việc chuyển đổi sang Nhà cung cấp
dịch vụ đám mây bao gồm đánh giá về thời gian hoạt động mà nhà cung cấp
 cam kết theo hợp đồng. Tuy nhiên, Thỏa thuận mức dịch vụ (SLA) này có
thể không đủ để làm hài lòng khách hàng. Cần xem xét tác động tiềm ẩn
nếu xảy ra sự cố. Dựa trên sự gián đoạn dịch vụ, gần đây đối với các dịch
vụ do bên thứ ba cung cấp, các tác giả sẽ gợi ý rằng việc duy trì tính liên tục
của dịch vụ là yếu tố phụ thuộc quan trọng vào doanh nghiệp để duy trì hoạt
động.
7.3.Phục hồi hoạt động (Disaster recovery)
Một trong những khía cạnh thú vị nhất của lưu trữ đám mây là cách
nó có thể được tận dụng để sao lưu và phục hồi hoạt động (DR). Sao lưu
đám mây và DR phải nhằm mục đích làm cho việc bảo vệ dữ liệu đáng tin
cậy với giá cả phải chăng và dễ quản lý. Những thách thức đối với lưu trữ
đám mây, sao lưu đám mây và DR nói riêng liên quan đến tính di động,
truyền thông tin đến và đi từ đám mây, tính khả dụng, đảm bảo tính liên tục
kinh doanh tối ưu, khả năng mở rộng và thanh toán được đo lường. Các giải
pháp phục hồi hoạt động đám mây được xây dựng trên nền tảng của ba
nguyên tắc cơ bản: cơ sở hạ tầng lưu trữ được ảo hóa hoàn toàn, hệ thống
tệp có thể mở rộng và ứng dụng phục hồi hoạt động tự phục vụ hấp dẫn, đáp
ứng các yêu cầu khẩn cấp của khách hàng.
Các biện pháp kiểm soát bảo mật thông tin được xem xét và thực hiện
trong quá trình phục hồi, bao gồm:
 Sự rõ ràng của các nhân viên tham gia trong quá trình khôi phục.
 Các yếu tố phụ thuộc được chỉ định liên quan đến quá trình khôi phục
(nhà cung cấp và đối tác thuê ngoài)

According to Cloud Security Alliance (CSA), the lower down the stack the cloud service
provider stops, the more security capabilities and management consumers are responsible for
implementing and managing themselves. [3] Figure 6 below depicts the above fact.

Theo Liên minh Bảo mật Đám mây (CSA), nhà cung cấp dịch vụ đám mây dừng
càng thấp thì càng có nhiều khả năng bảo mật và quản lý mà người tiêu dùng chịu
trách nhiệm thực hiện và quản lý chính họ. [3] Hình 6 dưới đây mô tả thực tế trên.
Understanding the relationships and dependencies between Cloud Computing models is
critical to understanding Cloud Computing security risks. IaaS is the foundation of all cloud
services, with PaaS building upon IaaS, and SaaS in turn building upon PaaS as described in
the Cloud Reference Model diagram. In this way, just as capabilities are inherited, so are
information security issues and risk.

Hiểu mối quan hệ và sự phụ thuộc giữa các mô hình Điện toán đám mây là rất
quan trọng để hiểu các rủi ro bảo mật của Điện toán đám mây. IaaS là nền tảng của
tất cả các dịch vụ đám mây, với PaaS xây dựng dựa trên IaaS và SaaS lần lượt xây
dựng dựa trên PaaS như được mô tả trong sơ đồ Mô hình tham chiếu đám mây.
cũng như các khả năng được kế thừa, các vấn đề và rủi ro về bảo mật thông tin
cũng vậy.
IaaS includes the entire infrastructure resource stack from the facilities to the hardware platforms that
reside in them. It incorporates the capability to abstract resources (or not), as well as deliver physical
and logical connectivity to those resources. Ultimately, IaaS provides a set of APIs which allow
management and other forms of interaction with the infrastructure by consumers.

IaaS bao gồm toàn bộ ngăn xếp tài nguyên cơ sở hạ tầng từ cơ sở vật chất đến nền
tảng phần cứng nằm trong đó. Nó kết hợp khả năng trừu tượng hóa các tài nguyên
(hoặc không), cũng như cung cấp kết nối vật lý và logic đến các tài nguyên đó.
Cuối cùng, IaaS cung cấp một tập hợp các API cho phép người tiêu dùng quản lý
và các hình thức tương tác khác với cơ sở hạ tầng.

PaaS sits atop IaaS and adds an additional layer of integration with application development
frameworks; middleware capabilities; and functions such as database, messaging, and queuing; which
allow developers to build applications upon to the platform; and whose programming languages and
tools are supported by the stack.

PaaS nằm trên đỉnh IaaS và thêm một lớp tích hợp bổ sung với các khuôn khổ phát
triển ứng dụng; khả năng của phần mềm trung gian; và các chức năng như cơ sở dữ
liệu, nhắn tin và xếp hàng; cho phép các nhà phát triển xây dựng các ứng dụng dựa
trên nền tảng; và ngôn ngữ lập trình và công cụ được ngăn xếp hỗ trợ.
SaaS in turn is built upon the underlying IaaS and PaaS stacks; and provides a self-contained
operating environment used to deliver the entire user experience including the content, its
presentation, the application(s), and management capabilities.

Đến lượt mình, SaaS được xây dựng dựa trên các ngăn xếp IaaS và PaaS bên dưới;
và cung cấp một môi trường hoạt động khép kín được sử dụng để cung cấp toàn bộ
trải nghiệm người dùng bao gồm nội dung, bản trình bày, (các) ứng dụng và khả
năng quản lý.
The lower down the stack the cloud service provider stops, the more security capabilities and
management consumers are responsible for implementing and managing themselves.

Nhà cung cấp dịch vụ đám mây dừng càng thấp thì càng có nhiều khả năng bảo
mật và quản lý mà người tiêu dùng có trách nhiệm tự thực hiện và quản lý.

In the case of SaaS, this means that service levels, security, governance, compliance, and
liability expectations of the service and provider are contractually stipulated; managed to;
and enforced.

Trong trường hợp của SaaS, điều này có nghĩa là các cấp độ dịch vụ, bảo mật, quản
trị, tuân thủ và các kỳ vọng về trách nhiệm của dịch vụ và nhà cung cấp được quy
định theo hợp đồng; quản lý để; và được thực thi

In the case of PaaS or IaaS it is the responsibility of the consumer’s system administrators to
effectively manage the same, with some offset expected by the provider for securing the
underlying platform and infrastructure components to ensure basic service availability and
security. It should be clear in either case that one can assign/transfer responsibility but not
necessarily accountability.

Trong trường hợp PaaS hoặc IaaS, quản trị viên hệ thống của người tiêu dùng có
trách nhiệm quản lý hiệu quả giống nhau, với một số bù đắp mà nhà cung cấp
mong đợi để đảm bảo nền tảng cơ bản và các thành phần cơ sở hạ tầng để đảm bảo
tính khả dụng và bảo mật của dịch vụ cơ bản. Cần phải rõ ràng trong cả hai trường
hợp rằng người ta có thể phân công / chuyển giao trách nhiệm nhưng không nhất
thiết phải có trách nhiệm giải trình.