NHỮNG LƯU Ý VỀ AWS SHARED RESPONSIBILITY MODEL
Mục lục
Shared Responsibility Model là một trong những khía cạnh quan trọng nhất người dùng cần nắm bắt trong việc bảo mật đám mây. Kiến thức về mô hình này cho phép các tổ chức vận hành đúng tài nguyên. Cài đặt quyền kiểm soát và hiển thị khi dịch chuyển lên mây.
Mặc dù mô hình chia sẻ trách nhiệm không phải là mới. Nhưng đây là bài học mà các công ty mới sử dụng đám mây đều sẽ trải qua. Thực tế này đã được thống kê và chứng minh qua các số liệu bởi Gartner. Nó cho thấy đến năm 2025, 99% các lỗi bảo mật đám mây thường là do lỗi của khách hàng.
Đại dịch COVID-19 đã thúc đẩy nhu cầu về công nghệ đám mây. Các tổ chức không còn trì hoãn việc lên mây cho đến một thời điểm nào đó, khi họ cho rằng đám mây sẽ an toàn hơn. Do đó, việc hiểu thấu đáo Shared Responsibility Model sẽ cho phép người dùng tự tin hơn khi áp dụng các công nghệ này. Đồng thời làm việc hiệu quả hơn với các nhà cung cấp dịch vụ.
Shared Responsibility Model là cách nhà cung cấp dịch vụ chọn để giải quyết các mối lo ngại lớn về bảo mật đám mây. Các hãng như AWS đã đi đầu trong việc đáp ứng nhu cầu khách hàng từ cơ sở hạ tầng đến các các dịch vụ đám mây. Thông thường, công ty có các tiêu chuẩn cho tài sản on-premises riêng. Từ máy chủ mà họ cài đặt đến việc bảo trì phần mềm chạy trên các máy chủ này. Tương tự Shared Responsibility Model cũng chỉ ra những cân nhắc phân chia nhiệm vụ từ các hãng dịch vụ.
Như đã đề cập ở trên, Shared Responsibility Model là sự phân chia trách nhiệm bảo mật và tuân thủ giữa nhà cung cấp dịch vụ đám mây và khách hàng của họ. Điều này được chia thành hai khía cạnh:
o Security of the cloud. Đề cập đến các quy trình, thông lệ và thủ tục mà các nhà cung cấp dịch vụ đám mây tiến hành. Để bảo đảm các tài sản mà họ sử dụng luôn sẵn sàng cung cấp các dịch vụ. Ví dụ về điều này bao gồm bảo mật vật lý và quyền truy cập. Cũng như quản lý các giao thức mạng, thời gian hoạt động và bất kỳ điều gì khác liên quan đến các hoạt động vật lý và cấp mạng. Bạn có thể đọc thêm tài liệu để biết thông tin chi tiết danh sách về các loại bảo mật và thực tiễn hoạt động mà hãng dịch vụ cung cấp.
o Security in the cloud. Phần thứ hai này đề cập đến bảo mật trong chính môi trường đám mây. Ví dụ như quyền truy cập ứng dụng và bảo mật bất kỳ công cụ nào được sử dụng để cung cấp bảo vệ cho dữ liệu ở lớp ứng dụng.
Việc phân chia bảo mật đám mây thành hai lĩnh vực trách nhiệm này xuất phát từ thực tế là các nhà cung cấp không có khả năng hiển thị trong môi trường của khách hàng. Khả năng hiển thị của chúng kết thúc ở hypervisor, không gian nơi môi trường hoạt động của người dùng được phân vùng trong máy chủ. Khách hàng có khả năng hiển thị vượt ra ngoài hypervisor ở cấp hệ điều hành và ứng dụng. Có nghĩa là họ phải triển khai các cài đặt và công cụ thích hợp để bảo mật dữ liệu và môi trường của họ.
Trách nhiệm chung có áp dụng cho các dịch vụ đám mây SaaS không?
Mô hình chia sẻ hoàn toàn áp dụng cho các ứng dụng SaaS cũng như các môi trường đám mây công cộng. Trong môi trường SaaS, các trách nhiệm không ánh xạ theo cách chính xác như cách chúng làm trong môi trường IaaS, với các nhà cung cấp SaaS chịu trách nhiệm về những thứ như bảo mật ứng dụng. Nhưng ngay cả ở đây, khách hàng phải chịu trách nhiệm về các quyền và cài đặt ứng dụng, cũng như dữ liệu ứng dụng.
Cho dù bạn đang sử dụng nền tảng SaaS hay IaaS, có ba điều quan trọng cần có khi bảo mật môi trường đám mây.
Hiểu cấu hình và cài đặt trợ năng phù hợp với dữ liệu
Tất cả các dịch vụ và ứng dụng đám mây đều có cài đặt bảo mật, quyền và quyền riêng tư mặc định. Nó sẽ ảnh hưởng đến việc ai có quyền truy cập vào dữ liệu của bạn. Và những biện pháp kiểm soát bảo mật nào được áp dụng trong môi trường của bạn. Tổ chức phải có trách nhiệm xác định các cài đặt mặc định này có đủ để đáp ứng các yêu cầu tuân thủ và bảo mật cụ thể hay không. Ví dụ: nếu các nhóm trong tổ chức của bạn gần đây đã sử dụng Slack do COVID. Bạn nên thực thi 2FA và giới hạn những ứng dụng mà người dùng có thể cài đặt trong Slack.
Những cân nhắc này thậm chí còn quan trọng hơn khi nói đến bảo mật IaaS. Ví dụ: một nghiên cứu năm 2018 cho thấy trong số Nhóm AWS S3 được cung cấp công khai, gần 40% ít nhất có thể ghi hoặc đọc được một phần. Áp dụng các thực hành như nguyên tắc ít quyền nhất và có ít nhất một bảo mật thông tin đăng nhập sẽ rất quan trọng. Để đảm bảo rằng khi sửa đổi bất kỳ bảo mật mặc định đều thích hợp với yêu cầu bảo mật của tổ chức.
Sử dụng dữ liệu thích hợp cho một môi trường nhất định
Định cấu hình các quyền và cài đặt bảo mật là một phần quan trọng trong việc cải thiện tình hình bảo mật. Tuy nhiên, đó chỉ một nửa trận chiến. Để chống lại các mối đe dọa từ lỗi nội bộ và nội gián. Điều quan trọng là các nhóm bảo mật phải biết về các hành vi và hoạt động có khả năng vi phạm chính sách dữ liệu và tận dụng các công cụ. Chẳng hạn như ngăn chặn mất mát dữ liệu, có thể phát hiện và ngăn những điều này xảy ra.
Luôn theo dõi dữ liệu
Ngay cả khi giả sử tổ chức của bạn có tài liệu về các chính sách quản lý dữ liệu và bảo mật của tổ chức. Và các chính sách này có thể truy cập dễ dàng đối với nhân viên. Điều quan trọng là các nhóm bảo mật phải hiểu rằng để thực thi các chính sách này. Họ cần phải theo dõi dữ liệu trên đám mây. Các công cụ tự động hóa phân loại dữ liệu cũng như thực thi vi phạm chính sách dữ liệu là một cách để đảm bảo bạn biết mình có dữ liệu gì, ở đâu. Và có thể phản ứng nhanh chóng, hiệu quả với các sự cố đe dọa tính bảo mật của dữ liệu đó.