1. Trang chủ
  2. » Giáo án - Bài giảng

BÁO CÁO BÀI TẬP LỚN ĐỀ TÀI: TÌM HIỂU VỀ TIÊU CHUẨN ENISA TRONG ĐIỆN TOÁN ĐÁM MÂY

29 63 2
BÁO CÁO BÀI TẬP LỚN ĐỀ TÀI: TÌM HIỂU VỀ TIÊU CHUẨN ENISA TRONG ĐIỆN TOÁN ĐÁM MÂY

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN -🙠🕮🙢 - BÁO CÁO BÀI TẬP LỚN ĐỀ TÀI: TÌM HIỂU VỀ TIÊU CHUẨN ENISA TRONG ĐIỆN TOÁN ĐÁM MÂY Giảng viên hướng dẫn: ThS Nguyễn Thị Thu Thủy Sinh viên thực hiện: Đỗ Phúc Lộc – AT140527 Đào Nhật Linh – AT140424 Lưu Thái Tuấn – AT140551 Dương Trung Anh – AT140401 Nguyễn Ngọc Tuấn – AT140647 Hà Nội, 2021 MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG : GIỚI THIỆU CHƯƠNG : KHÁI NIỆM CƠ BẢN VỀ ĐIỆN TOÁN ĐÁM MÂY CHƯƠNG : CƠ HỘI VỀ MẠNG VÀ BẢO MẬT THÔNG TIN 3.1 Trải rộng địa lý 10 3.2 Độ co giãn 10 3.3 Các định dạng giao diện chuẩn 11 3.4 Bảo mật vật lí 11 3.5 Phản ứng cố suốt ngày đêm 12 3.6 Phát triển phần mềm an toàn 12 3.7 Vá cập nhật 13 3.8 Sao lưu 13 3.9 Bộ nhớ phía máy chủ 14 3.10 An ninh dạng dịch vụ tiện ích bổ sung bảo mật 14 3.11 Chứng nhận tuân thủ 15 CHƯƠNG : RỦI RO VỀ MẠNG VÀ BẢO MẬT THÔNG TIN 16 4.1 Các lỗ hổng bảo mật phần mềm 17 4.2 Các công mạng 17 4.3 Các công kỹ thuật xã hội 18 4.4 Thỏa hiệp giao diện quản lý 18 4.5 Mất cắp mát thiết bị 18 4.6 Mối nguy vật lý 19 4.7 Quá tải 19 4.8 Chi phí không mong muốn 19 4.9 Khóa nhà cung cấp 20 4.10 Các khía cạnh hành pháp lý 20 4.11 Các vấn đề luật nước 21 CHƯƠNG : CÂU HỎI BẢO MẬT 22 5.1 An ninh tổ chức, quản trị quản lý rủi ro 22 5.2 Trách nhiệm an ninh 22 5.3 Dự phòng lưu 23 5.4 Các vấn đề pháp lý, quy định hành 23 5.5 An ninh nhân 24 5.6 Kiểm soát truy cập 25 5.7 Bảo mật phần mềm 25 5.8 Người dùng, quản lý giao diện lập trình ứng dụng 26 5.9 Giám sát ghi nhật ký 26 5.10 Khả tương tác tính di động 27 5.11 Chia tỷ lệ, định cỡ chi phí 28 5.12 Tuân thủ luật pháp quốc gia / nước 28 CHƯƠNG : KẾT LUẬN 29 LỜI NĨI ĐẦU Ngày nay, khái niệm điện tốn đám mây hẳn khơng cịn xa lạ với người u thích cơng nghệ Chúng ta khơng thể phủ nhận lợi ích mà điện tốn đám mây đem lại Tuy nhiên, triển khai công nghệ điện toán đám mây, đồng nghĩa với việc liệu doanh nghiệp nhà cung cấp dịch vụ quản lý; truy cập phải thông qua hạ tầng công cộng Điều khiến nhiều doanh nghiệp nghi ngại Điện tốn đám mây đem lại nhiều lợi ích Thay phải tự mua, tải xuống bảo trì phần mềm, bạn cần kết nối với chương trình phần mềm bên thứ ba qua internet giúp tiết kiệm thời gian, tiền bạc bạn khơng cịn đau đầu phải liên tục cập nhật phần mềm Đó lý ngày có nhiều doanh nghiệp vừa nhỏ sử dụng đám mây độc quyền Tuy nhiên, điện toán đám mây mang rủi ro định Việc chia sẻ chương trình phần mềm với công ty khác khiến liệu dễ bị đánh cắp công mạng Và thực tế, rủi ro lớn đến từ nhân viên tổ chức Nếu khơng có chương trình đào tạo khơng có an ninh mạng nhân viên vơ tình để lộ thơng tin quan trọng, gián tiếp tiếp tay cho hành vi trộm cắp, hack công nguy hiểm Các cơng ty cần quản lý chi phí, hoạt động hệ thống CNTT để tận dụng tất lợi ích điện tốn đám mây CHƯƠNG : GIỚI THIỆU Hướng dẫn nhằm giúp doanh nghiệp vừa nhỏ hiểu rõ rủi ro hội mạng an tồn thơng tin họ nên tính đến sử dụng điện tốn đám mây Hướng dẫn chứa danh sách 11 bảo mật hội mạng bảo mật thông tin danh sách 11 mạng rủi ro an toàn thông tin Các doanh nghiệp vừa nhỏ Những danh sách hội rủi ro sử dụng trực tiếp doanh nghiệp vừa nhỏ họ mua dịch vụ đám mây Đối với hai tình hư cấu cụ thể, chúng tơi đánh giá rủi ro hội: Một DNVVN sử dụng SaaS cho email tài liệu DNVVN sử dụng IaaS / PaaS để chạy tảng webhop Hướng dẫn chứa danh sách bảo mật câu hỏi mà doanh nghiệp vừa nhỏ sử dụng để hiểu tính dịch vụ đám mây phù hợp cho bảo mật mạng thông tin Tài liệu tập trung vào rủi ro hội an toàn thông tin mạng; vấn đề khác tuân thủ pháp luật, luật pháp, vấn đề hợp đồng Trong phụ lục, đề cập ngắn gọn đến liệu cá nhân luật bảo vệ, để số khái niệm thông tin có liên quan CHƯƠNG : KHÁI NIỆM CƠ BẢN VỀ ĐIỆN TOÁN ĐÁM MÂY Trong phần này, ba loại dịch vụ đám mây giới thiệu phân chia khác nhiệm vụ bảo mật giải thích Người ta phân biệt ba loại dịch vụ đám mây khác nhau, loại liên quan đến loại tài sản: Hình 2.1 Tài sản điện toán đám mây Chúng ta xem qua sơ đồ từ trái sang phải: ● Cơ sở hạ tầng dịch vụ : Trong IaaS, nhà cung cấp cung cấp tài nguyên máy tính (ảo phần cứng), truy cập trực tuyến Phần mềm cung cấp quyền truy cập vào tài nguyên gọi người giám sát Nói chung, có hai loại tài nguyên: sức mạnh xử lý (bao gồm tài nguyên mạng), (khối) lưu trữ (tài nguyên nhớ) Ví dụ bao gồm Amazon Đám mây tính tốn đàn hồi, Cơng cụ tính tốn Google, Dịch vụ lưu trữ đơn giản Amazon, Dropbox, Rackspace, v.v Lưu ý dịch vụ lưu trữ đối tượng (ví dụ: Dropbox) thường coi SaaS ● Nền tảng dịch vụ: Trong PaaS, nhà cung cấp cung cấp tảng, hay xác ứng dụng máy chủ, để khách hàng chạy ứng dụng Các nhà cung cấp PaaS cung cấp phần mềm cơng cụ phát triển cho tảng Ví dụ ứng dụng chạy tảng script (PHP, Python, ví dụ) mã byte (Java servlet, C #) Ví dụ bao gồm Google App engine, Microsoft Azure, Amazon Elastic Beanstalk, v.v ● Phần mềm dịch vụ: Trong SaaS, nhà cung cấp phân phối phần mềm ứng dụng thức, thơng qua mạng internet Các ứng dụng đa dạng từ máy chủ email, trình chỉnh sửa tài liệu, quan hệ khách hàng hệ thống quản lý, v.v Dịch vụ SaaS thường truy cập trình duyệt web khách hàng dịch vụ Lưu ý khơng có lạ nhà cung cấp SaaS chạy ứng dụng họ IaaS PaaS từ nhà cung cấp khác Một ví dụ trang web phát trực tuyến video Netflix (SaaS) chạy dịch vụ điện toán Amazon AWS (PaaS / IaaS) ● Cơ sở vật chất biểu thị cấu trúc vật lý nguồn cung cấp mạng, làm mát, nguồn, v.v ● Tổ chức biểu thị nguồn nhân lực, sách thủ tục để trì sở vật chất hỗ trợ việc cung cấp dịch vụ Trong điện toán đám mây, việc phân phối tài nguyên ICT, mức độ đó, th ngồi cho nhà cung cấp dịch vụ đám mây Cũng số nhiệm vụ bảo mật (chẳng hạn giám sát, vá lỗi, ứng phó cố) th ngồi Tùy thuộc vào loại dịch vụ đám mây, số nhiệm vụ thuộc trách nhiệm khách hàng, nhiệm vụ khác thuộc trách nhiệm nhà cung cấp Phân chia trách nhiệm số đơi nguồn vấn đề dựa giả định ghi chép kém, dẫn đến chồng chéo khoảng trống Tuy nhiên, điều dường tuyệt chủng SLA trở nên nhiều tài liệu tinh vi rõ thơng tin Ví dụ: IaaS / PaaS, khách hàng chạy mã riêng họ dịch vụ đám mây thường chịu trách nhiệm điều (ứng dụng) phần mềm Trong SaaS, mặt khác, phần mềm ứng dụng thường kiểm soát nhà cung cấp Trong sơ đồ đây, minh họa cách phân chia nhiệm vụ bảo mật định khác dịch vụ đám mây khác (IaaS, PaaS, SaaS) Hình 2.2 Việc th ngồi nhiệm vụ khác loại dịch vụ khác Lưu ý sơ đồ để minh họa không cung cấp danh sách đầy đủ quy trình bảo mật phía nhà cung cấp phía khách hàng Trong cài đặt cụ thể, có thỏa thuận cụ thể việc th ngồi nhiệm vụ an ninh Ví dụ: nhà cung cấp IaaS có dịch vụ vá lỗi Hệ điều hành (OS) khách hàng Đôi dịch vụ cung cấp bên thứ ba (và gọi SECurity-As-AService) Xem phần hội Xem thêm phụ lục cho ví dụ nhiệm vụ bảo mật hai tình giả tưởng Trong thực tế doanh nghiệp vừa nhỏ, điều quan trọng phải đánh giá cẩn thận nhiệm vụ bảo mật thuê cho nhà cung cấp nhiệm vụ bảo mật thuộc trách nhiệm riêng họ Nó khơng phải doanh nghiệp vừa nhỏ bối rối trách nhiệm họ liên quan đến bảo mật, chẳng hạn tạo lưu liệu phần mềm, loại chuyển đổi dự phòng / dự phòng cung cấp nhà cung cấp cần phải thực khách hàng CHƯƠNG : CƠ HỘI VỀ MẠNG VÀ BẢO MẬT THƠNG TIN Điện tốn đám mây sử dụng doanh nghiệp vừa nhỏ cho loạt ứng dụng khác (email, trang web công ty, CRM, CMS, xử lý bảng lương nội bộ, lưu trữ tài liệu nội công ty, v.v.) Đối với doanh nghiệp vừa nhỏ điện tốn đám mây mang lại nhiều lợi kinh doanh: Các dịch vụ đám mây thường “thanh tốn bạn đi”, cấu trúc chi phí hấp dẫn doanh nghiệp vừa nhỏ, tránh đầu tư trả trước vào phần cứng, chuyên gia phần mềm CNTT Tổng chi phí thực thường thấp chi phí với giải pháp CNTT truyền thống Cộng tác trực tuyến thường dễ dàng trường hợp đám mây quyền truy cập bảo hành cho người dùng từ địa điểm thực tế khác thiết bị người dùng cuối khác nhau, v.v Ngồi cịn có hội mạng bảo mật thơng tin Nói chung đám mây lớn nhà cung cấp máy tính đưa biện pháp bảo mật nâng cao, đồng thời giải tỏa chi phí liên quan qua số khách hàng Trong số trường hợp, điều có nghĩa cài đặt bảo mật 'được chia sẻ' chun gia trang phục khơng tùy chỉnh chuyển thành số hội bảo mật cụ thể Dưới đây, nêu rõ 11 hội cụ thể cho mạng bảo mật thông tin doanh nghiệp vừa nhỏ: Cơ hội mạng bảo mật thông tin 1.Trải rộng địa lý 2.Độ co giãn Các định dạng giao diện tiêu chuẩn Bảo mật vật lý Phản ứng cố suốt ngày đêm Phát triển phần mềm Vá cập nhật Sao lưu Bộ nhớ phía máy chủ 10 An ninh dạng dịch vụ tiện ích bổ sung bảo mật 11 Chứng nhận tuân thủ Phần lại phần xem xét hội, giải thích ngắn gọn lý điều trình bày hội cho doanh nghiệp vừa nhỏ Đối với hội, có so sánh với việc triển khai CNTT truyền thống hướng người đọc đến câu hỏi bảo mật liên quan Phần 6, câu hỏi sử dụng đấu thầu tiến trình Vì DNVVN khác nhau, nên tất hội bảo mật quan trọng mức độ tất khách hàng Lưu ý báo cáo không cung cấp xếp hạng xếp hạng hội Trong phụ lục hai tình cụ thể (hư cấu), kiểm tra đánh giá hội diễn sử dụng thang điểm sau: - Cơ hội nhỏ: Khách hàng khai thác hội lợi ích bị hạn chế - Cơ hội trung bình: Khách hàng nên khai thác điều hội, lợi ích đáng kể - Cơ hội lớn: Khách hàng phải khai thác điều hội, có lợi ích quan trọng 3.1 Trải rộng địa lý Các trung tâm liệu điện toán đám mây thường trải rộng vùng địa lý khác nhau, toàn quốc toàn cầu Sự chênh lệch địa lý cung cấp khả phục hồi chống lại vấn đề khu vực thảm họa địa phương bão, động đất, đứt cáp Nó sử dụng để giảm thiểu số công Từ chối Dịch vụ (DoS), cho phép khách hàng truy cập địa điểm khác Khoảng cách địa lý giúp giảm độ trễ mạng, dịch vụ cung cấp từ trang web gần với khách hàng Điều cải thiện tổng thể tính khả dụng hiệu suất dịch vụ Ở cần nhấn mạnh tất dịch vụ đám mây kèm với chênh lệch địa lý đơi có sẵn cần phải cấu hình / yêu cầu khách hàng cụ thể Tùy thuộc vào cài đặt, điều bao gồm thêm chi phí, đồng hóa liệu hai trang web từ xa yêu cầu băng thơng mạng, máy tính nguồn lưu trữ Đám mây so với CNTT truyền thống: Trong truyền thống Triển khai CNTT mà SME phải thiết lập lên trang web từ xa bổ sung, chí tăng gấp đơi chi phí cho sở CNTT 3.2 Độ co giãn Các nhà cung cấp dịch vụ điện tốn đám mây sử dụng trung tâm liệu lớn với lượng lớn tài nguyên dự phịng, để đáp ứng với thay đổi nhanh chóng việc sử dụng tài nguyên, mức sử dụng cao điểm, công từ chối dịch vụ (DDoS) Ở cần lưu ý tất dịch vụ đám mây cung cấp loại đàn hồi Có thể có giới hạn mức tiêu thụ tài nguyên nhà cung cấp thiết lập 10 3.11 Chứng nhận tuân thủ Trong điện toán đám mây, dịch vụ đám mây cung cấp cho nhiều khách hàng lúc Chứng nhận, kiểm toán viên độc lập, chống lại tiêu chuẩn bảo mật thông tin mạng (như Chứng nhận ISO27001 10 ), khách hàng sử dụng để hoàn thành nghĩa vụ tuân thủ riêng họ Một kiểm toán viên, đánh giá tuân thủ DNVVN, kiểm tra tất nội dung bên dịch vụ đám mây, cách sử dụng chứng tuân thủ cho dịch vụ đám mây mà họ sử dụng Lưu ý có tiêu chuẩn quy trình tn thủ khơng sẵn sàng cho đám mây Ví dụ: có cài đặt mà kiểm tốn viên cần quyền truy cập thực tế vào Nội dung ICT (trong kịch điện tốn đám mây) khơng khả thi khơng khả thi đám mây nhà cung cấp khơng phải lúc cho phép tất loại kiểm tra truy cập vào trung tâm liệu họ Đám mây so với CNTT truyền thống: Trong triển khai CNTT truyền thống, kiểm toán viên phải bao gồm tất Nội dung CNTT-TT kiểm tra việc tuân thủ tiêu chuẩn sách từ đầu, dẫn đến chi phí cao cho doanh nghiệp vừa nhỏ 15 CHƯƠNG : RỦI RO VỀ MẠNG VÀ BẢO MẬT THƠNG TIN Trong phần này, chúng tơi xem xét 11 rủi ro bảo mật quan trọng mà doanh nghiệp vừa nhỏ cần lưu ý: R1: Các lỗ hổng bảo mật phần mềm R2: Các công mạng R3: Các công kỹ thuật xã hội R4: GUI quản lý thỏa hiệp API R5: Trộm / thiết bị R6: Mối nguy vật lý R7: Q tải R8: Chi phí khơng mong muốn R9: Khóa nhà cung cấp R10: Sự cố hành pháp lý R11: Các vấn đề quyền tài phán nước ngồi Đối với rủi ro, chúng tơi giới thiệu người đọc đến câu hỏi bảo mật liên quan để trả lời mua sắm dịch vụ đám mây Những câu hỏi giúp khách hàng hiểu số rủi ro cần phải giải Trong phần này, rủi ro không xếp hạng xếp hạng, rủi ro phụ thuộc vào cài đặt cụ thể ( loại hình doanh nghiệp vừa nhỏ, loại dịch vụ đám mây, liệu quy trình liên quan, khác) Trong phụ lục hai kịch (hư cấu) phân tích, đánh giá rủi ro sử dụng sản phẩm có khả xảy tác động mối đe dọa (theo tiêu chuẩn ISO 27005 quản lý rủi ro) Quy mô sử dụng mô tả hình bên nằm khoảng từ đến 5: thấp (1), thấp (2), trung bình (3), cao (4), cao (5) Màu đen sử dụng để biểu thị mối đe dọa có cao va chạm Những rủi ro (cịn gọi “đen thiên nga ”) nên xử lý cẩn thận Các tổ chức thường xun có chút thực hành kinh nghiệm đối phó với cố 16 4.1 Các lỗ hổng bảo mật phần mềm Các lỗ hổng phần mềm phần mềm đám mây có tác động lớn đến khách hàng Ví dụ SME sử dụng dịch vụ email SaaS, dịch vụ dễ bị chèn SQL, sau lỗ hổng dẫn đến vi phạm tính bảo mật email khách hàng, gây tổn hại nghiêm trọng đến danh tiếng SME Điều quan trọng phải hiểu chịu trách nhiệm việc thành phần phần mềm Trong trường hợp SaaS, tất trách nhiệm ngăn chặn lỗ hổng phần mềm với nhà cung cấp Tuy nhiên, IaaS / PaaS, khách hàng chịu trách nhiệm phần mềm chạy IaaS / PaaS, cấm thỏa thuận đặc biệt Lưu ý lỗi cách ly 14 : Một số loại phần mềm lỗ hổng bảo mật dẫn đến việc khách hàng có quyền truy cập vào liệu khách hàng khác, trực tiếp thông qua bên- kênh: lỗ hổng gọi lỗi cách ly Trong cài đặt đám mây, lỗi cách ly vấn đề khơng có hợp đồng th nhà Đặc biệt liệu nhạy cảm có liên quan, điều quan trọng phải hỏi câu hỏi phù hợp liên quan đến bảo mật phần mềm Một số nhà cung cấp SaaS tiếng nằm sốcác công ty lớn giới, họ tăng cường thành tích tuyệt vời biện pháp bảo mật tiên tiến Nhưng điều khơng có nghĩa tất nhà cung cấp SaaS làm tốt công việc bảo mật phần mềm Một yếu tố phức tạp lỗ hổng phần mềm đám mây trở nên hấp dẫn kẻ công / tin tặc để khai thác, điều cho phép họ công nhiều khách hàng lúc 4.2 Các cơng mạng Dịch vụ điện tốn đám mây sử dụng quản lý thông qua kết nối internet Điều có nghĩa khách hàng cần phải nhận thức nguy bị công mạng, trang web giả mạo, mạng đánh / nghe trộm lưu lượng truy cập, công từ chối dịch vụ, man-in-the-middle công, dược phẩm, nghe lén, v.v., phần cuối bình thường- 17 giao diện người dùng, quản lý / quản trị viên giao diện, giao diện lập trình ứng dụng (API), dịch vụ web 4.3 Các công kỹ thuật xã hội Trong điện tốn đám mây, số quy trình quản trị, chẳng hạn cấp thông tin đăng nhập người dùng, không xảy trực tiếp- mặt đối mặt đồng nghiệp, trực tuyến qua email trang web Điều làm tăng nguy xã hội cơng kỹ thuật, kẻ cơng giả mạo thơng tin liên lạc thơng tin để dường đến từ nguồn đáng tin cậy, chẳng hạn nhà cung cấp đám mây, v.v Ví dụ: kẻ cơng cố gắng mạo danh khách hàng bắt đầu "khôi phục thông tin xác thực" quy trình cuối cho phép kẻ cơng truy cập tài khoản khách hàng truy cập xóa tất liệu khách hàng Hoặc ngược lại, kẻ cơng cố gắng mạo danh nhà cung cấp theo cách nàylấy thông tin xác thực khách hàng (hay gọi lừa đảo) Những kẻ cơng nhắm mục tiêu người dùng bình thường người dùng có vai trị đặc quyền cao, chẳng hạn nhà phát triển phần mềm, quản trị viên hệ thống, người quản lý, đám mâycủa nhà cung cấp phía khách hàng Các doanh nghiệp vừa nhỏ nên tính đến rủi ro xã hội kỹ thuật, chẳng hạn lừa đảo / giáo dục lừa đảo, giả mạo, v.v đánh giá tác động tiềm ẩn liệu quy trình 4.4 Thỏa hiệp giao diện quản lý Hầu hết dịch vụ đám mây cung cấp cho khách hàng giao diện quản lý, cho phép quản trị viên truy cập vào số lượng lớn tài sản; trường hợp SaaS, tất tài khoản người dùng nhân viên SME cho ví dụ, trường hợp IaaS / PaaS, tất máy ảo ứng dụng khác SME Đôi dịch vụ đám mây Nếu kẻ cơng truy cập vào giao diện thiệt hại lớn ANS Khách hàng nên xác minh nhà cung cấp cung cấp dịch vụ an toàn giao diện xác thực tốt chế ủy quyền, đặc biệt vai trò đặc quyền quản trị viên Ngoài ra, khách hàng nên tính đến tính bảo mật PC trình duyệt sử dụng quản trị viên vai trò đặc quyền, kẻ cơng có quyền kiểm sốt người đó, sau họ thông qua số biện pháp bảo vệ nhà cung cấp thực 4.5 Mất cắp mát thiết bị Một đặc điểm xác định điện tốn đám mây ưu điểm khả truy cập từ hai thiết bị cố định di động, PC, máy tính bảng, điện thoại thông minh, v.v Điều dẫn đến số rủi ro Các thiết bị di động tương đối dễ bị trộm mát Trộm cắp mát có nghĩa liệu / thơng tin xác thực thiết bị bị đánh cắp kẻ công 18 Một yếu tố phức tạp, doanh nghiệp vừa nhỏ, xu hướng mang lại- thiết bị riêng bạn (BYOD), có nghĩa nhân viên sử dụng loại thiết bị khác nhau, không đầy đủ kiểm soát chuyên gia CNTT SME Các tính khóa hình, mã hóa đĩa phương tiện lưu trữ, nhiều hoạt động khác loại khác thiết bị Khách hàng đám mây nên đánh giá liệu thông tin xác thực lưu trữ người dùng cuối thiết bị đảm bảo hành vi trộm cắp / mát thiết bị giảm thiểu, cách sử dụng lưu, mã hóa, giảm thiểu liệu, v.v 4.6 Mối nguy vật lý Thiên tai lũ lụt, động đất hỏa hoạn, ảnh hưởng đến tài sản ICT khách hàng liệu trung tâm sở hạ tầng nhà cung cấp đám mây Trong điện toán đám mây, khách hàng bị ảnh hưởng thiên tai xảy xa sở họ Lưu ý khách hàng IaaS / PaaS cần định trung tâm liệu sử dụng làm chuyển đổi dự phòng Các doanh nghiệp vừa nhỏ nên có chiến lược kinh doanh liên tục giải nguy rủi ro vật lý Như phần chiến lược này, khách hàng nên hỏi biện pháp đưa để bảo vệ dịch vụ đám mây khỏi mối nguy vật lý Khách hàng cần xem xét lưu liệu họ thường xuyên, định dạng chuẩn, để chuyển sang định dạng khác trung tâm liệu nhà cung cấp khác cần thiết 4.7 Quá tải Chia sẻ sở hạ tầng giúp tiết kiệm chi phí lớn tính kinh tế theo quy mô - cho phép khách hàng có nhiều giá trị với chi phí Cách ly hợp lý đảm bảo người thuê truy cập vào liệu nhau, người thuê đám mây sử dụng sở hạ tầng, khách hàng bị ảnh hưởng mức sử dụng tài nguyên cao người thuê khác DoS công người thuê nhà khác Khách hàng sử dụng đám mây nên hỏi liệu đám mây họ có dịch vụ xử lý cao điểm nhu cầu mức sử dụng tăng lên Khách hàng đám mây nên kiểm tra mức độ dịch vụ thỏa thuận (SLA) đảm bảo tính khả dụng dịch vụ họ (hoặc phí phạt tiền hồn lại trường hợp điện) 4.8 Chi phí khơng mong muốn Điện tốn đám mây thường trả tiền sử dụng, có nghĩa chi phí khơng phải lúc cố định Điều có nghĩa chi phí bất ngờ trở nên cao Ví dụ: khách hàng nhận hóa đơn cao trang web họ trở nên phổ 19 biến nhân viên tải lên lưu trữ nhiều liệu kẻ cơng thực công DoS, tiêu thụ tất tài nguyên Người ta tranh luận rủi ro bất ngờ chi phí khơng hồn tồn rủi ro bảo mật thông tin (nhưng rủi ro kinh doanh) thảo luận cách ngắn gọn, chi phí khơng mong muốn nhanh chóng dẫn đến vấn đề tài dẫn đến cúp điện Khách hàng nên kiểm tra quy mô dịch vụ họ với mức sử dụng tăng lên liên kết chi phí 4.9 Khóa nhà cung cấp Nhà cung cấp bị khóa (cịn gọi khóa khách hàng) tình nơi mà khách hàng khó chuyển sang nơi khác nhà cung cấp đám mây Đối với doanh nghiệp vừa nhỏ, khóa nhà cung cấp trở thành vấn đề tài trở thành rủi ro bảo mật, ví dụ hoàn cảnh buộc khách hàng phải di chuyển cho nhà cung cấp khác, chẳng hạn trường hợp có xung đột pháp lý, vấn đề toán, cố điện lớn, v.v Nếu khách hàng không sử dụng định dạng giao diện liệu tiêu chuẩn, việc di chuyển trở nên khó khăn / tốn nhiều thời gian Khách hàng nên có chiến lược kinh doanh liên tục, bao gồm kế hoạch di chuyển / thoát để di chuyển liệu / quy trình sang nhà cung cấp khác Như phần chiến lược này, khách hàng nên xem xét lưu liệu họ thường xuyên, định dạng tiêu chuẩn, để di chuyển cần thiết kiểm tra thường xuyên q trình di chuyển hoạt động 4.10 Các khía cạnh hành pháp lý Xung đột hành / pháp lý (ngay khơng có công nghệ bị phá vỡ bị công) có ảnh hưởng đến tính khả dụng dịch vụ đám mây Ví dụ: nhà cung cấp bị phá sản chủ nợ đe dọa tịch thu tài sản thuộc nhà cung cấp, lưu khơng khả dụng, trước khách hàng chuyển ngồi Dịch vụ bị gián đoạn nhà cung cấp dịch vụ đám mây nhận Ví dụ: lệnh tòa án hợp pháp để ngừng hoạt động thủ tục pháp lý chống lại nhà cung cấp hoặcchống lại khách hàng / người thuê họ Đám mây khách hàng kết thúc tranh chấp toán chẳng hạn Các nghĩa vụ nhà cung cấp mô tả hợp đồng hai bên đối chiếu ký kết; hợp đồng nên giải vấn đề SLA, quyền tài phán, trách nhiệm pháp lý, bồi thường, vv Hợp đồng cần thương lượng cẩn thận hiểu đầy đủ, đặc biệt doanh nghiệp vừa nhỏ Khách hàng nên đánh giá rủi ro điện vấn đề hành pháp lý gây đánh giá liệu có cần thực biện pháp an ninh để giảm thiểu rủi ro hay không 20 4.11 Các vấn đề luật nước ngồi Các dịch vụ đám mây đơi liên quan đến việc sử dụng đám mây nhà cung cấp trung tâm liệu nước ngồi, có nghĩa mức độ định khu vực pháp lý nước ngồi có ảnh hưởng đến bảo mật quyền riêng tư đám mây dịch vụ Ví dụ, vi phạm pháp luật khách hàng khác (đồng thuê nhà) dẫn đến dịch vụ bị lệnh đóng cửa (ví dụ phần truy tố hình sự), mà khơng quan tâm đến khách hàng khác Các chuyên gia pháp lý lập luận vị trí thực tế việc hỗ trợ thiết bị trung tâm liệu khơng nước ngồi có tác động Khách hàng sử dụng điện toán đám mây nên hỏi khu vực pháp lý nước đóng vai trị có khơng tương thích với luật pháp quốc gia họ 21 CHƯƠNG : CÂU HỎI BẢO MẬT 5.1 An ninh tổ chức, quản trị quản lý rủi ro Trước mua dịch vụ đám mây từ nhà cung cấp, khách hàng nên có ý tưởng chất lượng tính hiệu cấu tổ chức quy trình quản lý rủi ro nhà cung cấp Điều quan trọng khách hàng phải biết phận tổ chức nhà cung cấp kinh doanh với cố bảo mật, khách hàng thực vai trị quan trọng nào, cách tìm thơng tin liên quan đến bảo mật, tư vấn bảo mật, thông tin cố ngừng hoạt động Câu hỏi Trả lời Nhà cung cấp đám mây quản lý - Chính sách chung cách tiếp cận để rủi ro mạng an ninh thông tin quản lý Rủi ro bảo mật liên quan đến dịch vụ đám mây? - Đầu mối liên hệ cố an ninh - Trình bày phụ thuộc quan trọng Nhà cung cấp dịch vụ đám mây bên thứ ba - Tuân thủ thực tiễn tốt ngành tiêu chuẩn quản trị quản lý rủi ro (Bằng chứng hỗ trợ / đảm bảo) - Báo cáo kiểm toán kiểm toán viên độc lập - Chứng nhận chống lại rủi ro bảo mật thông tin tiêu chuẩn quản lý (ví dụ ISO 27001), bao gồm tuyên bố phạm vi - Tự đánh giá theo tiêu chuẩn ngành thực hành tốt 5.2 Trách nhiệm an ninh Điều quan trọng phải phân bổ trách nhiệm nhiệm vụ bảo mật trách nhiệm / nghĩa vụ bảo mật cố Như giải thích Phần 2, phân chia nhiệm vụ bảo mật phân chia trách nhiệm / trách nhiệm pháp lý cố khác loại dịch vụ đám mây khác Câu hỏi Các nhiệm vụ bảo mật thực nhà cung cấp, loại bảo mật cố giảm thiểu nhà cung cấp (và nhiệm vụ cố lại Trả lời - Tài sản kiểm soát nhà cung cấp - Các nhiệm vụ bảo mật nhà cung cấp thực (vá, cập nhật, v.v.) 22 thuộc trách nhiệm khách hàng)? (Bằng chứng hỗ trợ / đảm bảo) - Ví dụ cố trách nhiệm nhà cung cấp - Nhiệm vụ trách nhiệm thuộc trách nhiệm khách hàng -Các nhiệm vụ bảo mật liên quan đề cập hợp đồng SLA, -Phân loại cố ứng phó / khắc phục cố mục tiêu thời gian, -Các điều khoản trách nhiệm hợp đồng SLA, tức bồi thường tài 5.3 Dự phòng lưu Động đất, cắt điện bão sấm sét ảnh hưởng đến sở vật chất, nguồn cung cấp, toàn trung tâm liệu nguồn cáp mạng Đối với khách hàng, điều quan trọng phải hiểu dịch vụ đám mây khả chống chịu đối mặt với thảm họa cách liệu lưu Câu hỏi Làm để dịch vụ đám mây trì thảm họa ảnh hưởng đến trung tâm liệu kết nối liệu lưu đâu? (Bằng chứng hỗ trợ / đảm bảo) Trả lời -Chính sách / biện pháp bảo mật vật lý (sao lưu nguồn điện, bình chữa cháy, v.v.), -Dự phòng mạng, lan truyền địa lý, vùng sẵn sàng, kiểm soát truy cập, -Các chế lưu chuyển đổi dự phòng, -Các kế hoạch khắc phục hậu thiên tai - Các điều khoản liên quan có hợp đồng SLA, - Mục tiêu thời gian phục hồi 5.4 Các vấn đề pháp lý, quy định hành 23 Các vấn đề pháp lý, quy định hành gây cố (ví dụ: vấn đề hợp đồng, xuất hóa đơn, thủ tục pháp lý người đồng thuê nhà) Khách hàng nên hiểu cách bảo mật liệu quy trình đảm bảo trường hợp có vấn đề pháp lý tranh chấp hành chính.dữ liệu quy trình đảm bảo trường hợp có vấn đề pháp lý tranh chấp hành Câu hỏi Trả lời Bảo mật dịch vụ đám mây - Dịch vụ liên tục trường hợp có vấn nào? đảm bảo có vấn đề pháp lý đề pháp lý,tranh chấp hành chính, phá tranh chấp hành chính? sản, tịch thu quan thực thi pháp luật, v.v - Xuất liệu đảm bảo (Bằng chứng hỗ trợ / đảm bảo) - Hợp đồng SLA điều khoản liên quan truy cập vào liệu - Tuyên bố từ chối giải vấn đề pháp lý tranh chấp hành chính, bảo lãnh truy cập vào liệu khách hàng lưu Câu hỏi 5.5 An ninh nhân Nhân nhà cung cấp có tác động đến bảo mật dịch vụ xử lý liệu Khách hàng nên hỏi cách nhà cung cấp đảm bảo nhân làm việc an toàn Câu hỏi Trả lời Làm để nhà cung cấp đảm bảo - Đào tạo / cấp chứng cho vai trò nhân làm việc an tồn? quan trọng - Chính sách tuyển dụng - Kiểm tra thâm nhập / kiểm tra kỹ thuật xã hội - Tuân thủ tiêu chuẩn ISMS tốt luyện tập (SQ1) - Các thủ tục kiểm tra an ninh cho cao đăng nhạy cảm (xử lý liệu nhạy cảm) (Bằng chứng hỗ trợ / đảm bảo) - Chứng nhận tự đánh giá dựa ISMS tiêu chuẩn thực hành 24 5.6 Kiểm sốt truy cập Dữ liệu quy trình khách hàng cần bảo vệ khỏi truy cập trái phép Khách hàng nên hỏi cách kiểm soát truy cập thực để bảo vệ liệu quy trình họ Câu hỏi Câu trả lời Dữ liệu quy trình khách - Các biện pháp bảo vệ kiểm soát hàng bảo vệ khỏi truy cập vật lý truy cập vật lý logic trái phép? - Bảo vệ kiểm soát truy cập hợp lý (vai trò, quyền, giảm thiểu đặc quyền, phân tách đặc quyền) - Cơ chế xác thực sử dụng Tuân thủ tiêu chuẩn ISMS phương pháp hay (SQ1) (Bằng chứng hỗ trợ / đảm bảo) - Chứng nhận tự đánh giá theo tiêu chuẩn thông lệ ISMS (xem SQ1) 5.7 Bảo mật phần mềm Các lỗ hổng phần mềm có tác động lớn đến liệu quy trình khách hàng Khách hàng nên hỏi biện pháp áp dụng để đảm bảo phần mềm làm tảng cho dịch vụ đám mây giữ an toàn phần mềm khơng thuộc quyền kiểm sốt nhà cung cấp phải khách hàng giữ an toàn Câu hỏi Câu trả lời Làm để nhà cung cấp đảm - Phương pháp phát triển phần mềm bảo an ninh phần mềm phần mềm an toàn trách nhiệm khách - Quy trình quản lý lỗ hổng bảo mật hàng? (điểm liên hệ cho lỗ hổng bảo mật, thời gian báo cáo, v.v.), - Đào tạo cho nhà phát triển, - Cập nhật cập nhật thủ tục Tiêu chuẩn thực hành tốt sử dụng (chẳng hạn ISO 27034) (Bằng chứng hỗ trợ / đảm bảo) - Thông tin lỗ hổng 25 khứ phần mềm có liên quan - Báo cáo quét lỗ hổng bảo mật - Đánh giá bên thứ ba phần mềm, Các biện pháp hoạt động bảo mật phần mềm, ví dụ: BSIMM OpenSAMM 5.8 Người dùng, quản lý giao diện lập trình ứng dụng Các dịch vụ đám mây thường truy cập thông qua giao diện người dùng API dựa web trực tuyến Các giao diện cần bảo vệ khỏi truy cập trái phép, đặc biệt giao diện quản lý dành cho quản trị viên vai trò đặc quyền cao cần bảo vệ cẩn thận thơng qua giao diện này, kẻ cơng truy cập vào số lượng lớn liệu quy trình khách hàng Câu hỏi Câu trả lời Quyền truy cập vào GUI API -Các phương thức xác thực GUI bảo vệ biện API, pháp bổ sung chúng có dành cho -Các biện pháp bảo vệ cho giao quản trị viên / vai trò đặc quyền cao diện quản trị viên (dưới phía khách hàng) khơng? -Xác thực cho giao diện quản trị, Các hạn chế IP, vai trò đặc quyền quản trị viên (Bằng chứng hỗ trợ / đảm bảo) - Mô tả kỹ thuật giao diện phương pháp bảo vệ 5.9 Giám sát ghi nhật ký Khách hàng giám sát hiệu suất tính bảo mật dịch vụ, thông qua cảnh báo, báo cáo định kỳ, bảng điều khiển Khách hàng phân tích vấn đề cách phân tích nhật ký giao dịch, thông qua giao diện tự động theo yêu cầu, ví dụ trường hợp có cố Câu hỏi Câu trả lời Làm cách để khách hàng có -Bảng điều khiển với quyền truy cập thể giám sát dịch vụ, nhật ký để giám sát hiệu suất lưu giữ, làm để có - Nhật ký giao dịch, nhật ký hiệu 26 thể truy cập chúng, chẳng hạn suất khách hàng cần phân tích Cảnh báo kích hoạt thông báo cố? (Bằng chứng hỗ trợ / đảm bảo) - Điều khoản liên quan SLA truy xuất nhật ký giao dịch 5.10 Khả tương tác tính di động Khả tương tác giúp khách hàng dễ dàng tích hợp dịch vụ đám mây với giải pháp khác, có tính di động giúp khách hàng dễ dàng di chuyển sang nhà cung cấp (ví dụ: cần trường hợp thốt) Khách hàng nên hỏi tiêu chuẩn sử dụng cho liệu giao diện (và thêm bước cho phần cứng thiết bị) chức xuất liệu lưu sử dụng định dạng tiêu chuẩn Câu hỏi Câu trả lời 10 Những tiêu chuẩn làm cho - Tiêu chuẩn giao diện định dạng dịch vụ đám mây di động liệu cho GUI, API, xuất, ứng tương tác được? dụng mã, máy ảo, v.v (Bằng chứng hỗ trợ / đảm bảo) -Điều khoản liên quan hợp đồng SLA, -Báo cáo kiểm tra, chứng nhận, tự đánh giá báo cáo tuân thủ 27 5.11 Chia tỷ lệ, định cỡ chi phí Các dịch vụ đám mây thường cung cấp tính đàn hồi việc sử dụng tài nguyên, sở trả tiền sử dụng mơ hình tốn Khách hàng nên làm rõ cách xử lý việc sử dụng cao điểm tăng mức sử dụng cách chi phí bổ sung xử lý Câu hỏi Trả lời Mức tăng sử dụng mức cao - Ví dụ kịch co giãn, chi phí xử lý, tương ứng tính tốn, v.v chi phí? - Cảnh báo chi phí giới hạn toán (Bằng chứng hỗ trợ / đảm bảo) - Các điều khoản liên quan hợp đồng SLA, - Thành tích theo dõi 5.12 Tuân thủ luật pháp quốc gia / nước ngồi Điện tốn đám mây thay đổi cách phân phối tài nguyên CNTT có vấn đề tuân thủ luật pháp quốc gia Trong điện tốn đám mây, khách hàng đơi làm việc với nhà cung cấp / trung tâm liệu xuyên biên giới, luật pháp nước ngồi có liên quan cần tính đến Khách hàng hỏi quyền tài phán có liên quan cần tính đến luật áp dụng cho dịch vụ đám mây họ (quốc gia, quốc tế, v.v.) Câu hỏi Trả lời Luật pháp quốc gia áp dụng? - Luật pháp quốc gia có liên quan (bao gồm quốc gia quan có thẩm quyền áp đặt điều khoản) - Quyền tài phán nước ngồi có liên quan áp dụng luật pháp nước ngồi - Vị trí trung tâm liệu - Luật bảo vệ liệu cá nhân áp dụng (Bằng chứng hỗ trợ / đảm bảo) -Tham khảo liên kết đến pháp luật 28 CHƯƠNG : KẾT LUẬN Trong tài liệu này, nhấn mạnh 11 rủi ro bảo mật quan trọng 11 hội bảo mật quan trọng Các doanh nghiệp vừa nhỏ nên cân nhắc mua dịch vụ đám mây Chúng cung cấp danh sách 12 bảo mật câu hỏi mà doanh nghiệp vừa nhỏ sử dụng để hiểu tính bảo mật dịch vụ đám mây thị trường Kể từ năm 2009, thị trường phát triển: Các nhà cung cấp cung cấp sản phẩm trưởng thành hơn, họ cung cấp nhiều thông tin bảo mật, khách hàng hiểu rõ điện tốn đám mây biết rõ những rủi ro hội điện toán đám mây Các nhà hoạch định sách hành động Trong năm 2012 Ủy ban châu Âu ban hành chiến lược Đám mây EU nhằm mục đích xóa bỏ rào cản lại để mở rộng hấp thụ điện tốn đám mây Ngồi ra, phủ quốc gia EU áp dụng sách (chẳng hạn đám mây- sách đầu tiên) để cải thiện việc sử dụng điện toán đám mây khu vực tư nhân công cộng Đồng thời, công việc cần thực để đảm bảo thị trường kỹ thuật số EU Đám mây máy tính làm phiền khác biệt quốc gia khác khu vực tài phán khác Một số số vấn đề giải giải pháp cơng nghệ (chẳng hạn mã hóa), tất ENISA tin bảo mật phải động lực cho điện toán đám mây điều đó, tổ chức cần mạng bảo mật thơng tin tốt hơn, điện tốn đám mây (ở dạng khác nhau) trở thành hội để đáp ứng yêu cầu (chia sẻ nguồn lực, chia sẻ chi phí, chia sẻ chun mơn) 29 ... khái niệm điện tốn đám mây hẳn khơng cịn xa lạ với người u thích cơng nghệ Chúng ta khơng thể phủ nhận lợi ích mà điện toán đám mây đem lại Tuy nhiên, triển khai cơng nghệ điện tốn đám mây, đồng... quan 14 3.11 Chứng nhận tuân thủ Trong điện toán đám mây, dịch vụ đám mây cung cấp cho nhiều khách hàng lúc Chứng nhận, kiểm toán viên độc lập, chống lại tiêu chuẩn bảo mật thông tin mạng (như... thủ khơng sẵn sàng cho đám mây Ví dụ: có cài đặt mà kiểm toán viên cần quyền truy cập thực tế vào Nội dung ICT (trong kịch điện toán đám mây) khơng khả thi khơng khả thi đám mây nhà cung cấp khơng

Ngày đăng: 10/02/2022, 13:43

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan