CHƯƠNG 3: BẢO MẬT ĐIỆN TOÁN ĐÁM MÂY : CƠ HỘI VÀ THÁCH THỨC
3.6 Các khía cạnh của bảo mật điện toán đám mẫy
Các khía cạnh của bảo mật điện toán đám mây đượ c tổ ng hợp thành 3 khía cạnh chung nhâết nh ưsau: b oả m tậ và b oả m t,ậ tuân th ,ủvà các vâến đếề pháp lý hoặ c hợp đỗềng.
3.6.1 An ninh và sự riềng tư
•Quản lý định danh: Mỗỗi doanh nghi pệseỗ có h ệthỗếng quản lý định danh
riếng củ a mình để kiể m soát truy ậc p vào các nguỗền thỗng tn và máy tnh. Các nhà cung câếp đi ện toán đám mây ho ặc tch h ợp h ệthỗếng quản lý danh tnh của khách hàng vào cơ sở hạ tâềng riếng ủc a họ , ửs dụ ng ỗngc nghệ liến kếết thành lậ p liến minh (Federaton) hoặc Single-Sign-On (SSO), hoặc cung câếp mộ t giả i pháp quả n lý danh tnh của riếng mình.
• Bảo mật cá nhẫn: Các nhà cung câếp đảm bảo răềng các máy ậv t lý dùng
trong đi ện toán đám mây là đủ an toàn và truy cập vào các máy này cũng nh ưtâết cả các dữ liệ u khách hàng có liến quan khỗng chỉ bị giới hạn truy cập mà còn được ghi nhận lại.
• Tính hợp lý: Các nhà cung câếp điện toán đám mây đảm bảo khách hàng
răềng họ seỗ có quyếền truyậ c p ườthng xuyến vàựd đoánượđ các dữ liệu và ứ ng dụ ng của họ.
• Bảo mật ứng dụng: Các nhà cung câếp điện toán đám mây đảm bảo răềng
các ngứ d ngụ có săỗn như là một dịch vụ thỗng qua các đám mây đảm bảo an toàn băềng cách hiện thực việc kiểm tra và châếp nhậ nthủ t ục bến ngoài hoặc đóng gói mã ứng dụng. Nó cũng đòi hỏi các biện pháp bảo mật ứng d ngụ đ ượcđ t đúngặ chỗỗ trong mỗi tr ường s nả xuâết.
• Tính riềng tư: Cuỗếi cùng, các nhà cung câếp đ mả b oả răềng tâết ảc các dữ li uệ quan tr ngọ (ví d sỗếụ th ẻtn d ụng) đ ược che dâếu và răềng chỉ có nhữ ng người dùng có đủ thẩm quyếền mớ i có thể truy ậc p toàn bộ dữ liệu. Hơn n ữa, các thỗng tn và đ nhị danh đ ược sỗế hóa và các thỗng tn phải được bảo v nhệ bâếtư kỳ d ữli uệ nào mà các nhà cung câếp thu thập ho ặc t ạo ra vếề hoạ t động của khách hàng trong các đám mây.
• Vẫốn đềề pháp lý: Ngoài ra, các nhà cung câếp và khách hàng phải xem xét
vâến đếề pháp lý, chẳng hạn như hợp đỗềng và kiể m tra điệ tn ử,và các vâến đếề pháp lu tậ có liến quan, có th ểkhác nhau tùy theo quỗếc gia.
3.6.2 Chính sách
Nhiếều quy định liến quan đếến việ c ưl u trữ và ửs dụ ng dữ ilệu, bao gỗềm ảc thanh toán th ẻd ữli ệu cỗng nghi ệp tếu chu nẩ b oả m tậ (PCI DSS), các b oả hi mể y tếế và trách nhi mệ Act (HIPAA), đ oạ lu tậ Sarbanes-Oxley. Nhiếều trong sỗế các quy đị nh trến yếu câều báo cáo thường xuyến và được kiểm toán. Cácnhà cung câếp đám mây phả i cho phép khách hàng của họ có thể đáp ứng phù hợp với các quy định này.
Các nhà cung câếp đi nệ toán đám mây ph iảcó kếế hoạch kinh doanh liến tục và ph cụ hỗềi d ữ li ệu t ại chỗỗ để đả m bả o dị ch vụ có thể đượ c duytrì trong
tr ngườh p ợcó th mảh a ọho c tnhặ tr ng ạkh n câếp,ẩ và bâết kỳ mâết mát dữ li u ệseỗ đ ược ph cụ hỗềi. Các kếế hoạ ch này đượ c chia ẻs và emx xét với khách hàng củ a họ.
• Ghi nhận và kiểm toán
Ngoài vi cệ ghi nh nậ l iạvà ki mể toán, các nhà cung câếp điện toán đám mây làm việc với khách hàng của họ để đảm bảo răềng nhữ ng ghi nhận và tài liệu ki mể toán đ ược b oả v ệđúng cách, duy trì cho đếến khi khách hàng yếu câều, và có th ể truy c ập vào các mục đích điếều tra pháp lý ví( dụ eDiscovery) .
• Các yều cẫều chính sách riềng biệt
Ngoài các yếu câều mà khách hàng đư a ra, các trung tâmdữ liệu duy trì bởi các nhà cung câếp điện toán đám mây cũng có thể bị yếu câều tuân thủ các yếu câều riếng biệt khác. Sử dụng một nhà cung câếp dị chvụ điện toán đám mây (CSP) có th dâỗnể đếến nh ững vâến đếề bả o mậ t bổ sungxung quanh thẩm quyếền dữ liệ u ừt khách hàng hoặ c ngườ i thuế dữ liệ u có thể hỗngk tỗền ạt i trến cùng m tộ h ệthỗếng, ho ặc trong các trung tâm dữ liệu tương tự hoặc th mậ chí trong đi nệ toán đám mây c ủa cùng nhà cung câếp.
• Các vẫốn đềề pháp lý và h ợp đốềng
Bến c nhạ nh ngữ vâến đếề bảo mật và tuân thủ liệt kế ở trến,các nhà cung câếp đi nệ toán đám mây và khách hàng c aủ h ọseỗ đàm phán các điếều khoả n xung quanh trách nhi m ệpháp lý (ví d , quyụ đ nh nhịthếếư nào liến quan đếến s ựcỗế mâết mát d li ữu hoệ c sặ thự a hiỏ p seỗệ đ ượcgi i quyếếtả nh ưthếế nào), sở hữu
trí tu , vàệ kếết thúc c ủa d chị v ụ(khi d ữli uệ và ứng d ngụ cuỗếi cùng được trở lại cho khách hàng).