CHƯƠNG 2.BẢO MẬT VÀ CHI PHÍ TRONG ĐIỆN TOÁN ĐÁM MÂY
3.3.4 Lựa chọn hệ thống kiểm soát bảo mật và giải pháp bảo mật trong đám mây
• Lựa chọn các kiểm soát bảo mật cơ bản
• Điều chỉnh
• Bổ sung các kiểm soát cho phù hợp 3.3.4.1 Lựa chọn hệ thống kiểm soát bảo mật
Căn cứ vào sự phân loại dữ liệu theo mức độ bảo mật trong mục 3.3.3, việc lựa chọn các kiểm soát bảo mật sẽ dựa vào các kiểm soát trong bảng 2.3 – Các khuyến cáo kiểm soát kỹ thuật cơ bản.
• Mức bảo mật 1, 2 , 3,4 : thông tin thuộc mức bảo mật này không được phép tiết lộ ra ngoài, nó được lưu giữ bởi những người nắm giữ các vị trí chủ chốt trong công ty. Nếu các thông tin này bị tiết lộ sẽ gây ra thiệt hại rất lớn về tài chính thậm chí là hậu quả nghiêm trọng, ảnh hưởng đến sự tồn tại và phát triển của công ty. Do vậy cần chọn các kiểm soát có bảo mật cao: Kiểm soát truy cập và Kiểm soát nhận dạng và xác thực (phụ lục A)
• Mức bảo mật 5: là mức bảo mật trung bình. Nếu thông tin bị tiết lộ có thể nó sẽ tác động không tốt tới hoạt động kinh doanh của công ty. Do vậy Kiểm soát truy cập (phụ lục A) sẽ đáp ứng được yêu cầu đối với mức bảo mật này.
3.3.4.2. Lựa chọn giải pháp bảo mật trong đám mây
Bước cuối cùng trong framework là lựa chọn giải pháp bảo mật trong đám mây. Để thực hiện được điều này cần phải lựa chọn được mô hình đám mây mà nó hỗ trợ được các kiểm soát bảo mật cần thiết hoặc đối phó được với các hạn chế trong đám mây. Như đã trình bày trong mục 1.2.2, có ba mô hình được triển khai trong đám mây là đám mây công cộng, đám mây riêng và đám mây lai. Giải pháp đám mây lai là lựa chọn tốt nhất để đối phó được với các hạn chế còn tồn tại trong các kiểm soát kỹ thuật đã lựa chọn mà vẫn đảm bảo sử dụng được đầy đủ các tính năng của ĐTĐM.
3.4 Xây dựng Framework ước tính chi phí
Hiện nay, các doanh nghiệp đang thử nghiệm công nghệ điện toán đám mây với mục tiêu chính là thúc đẩy sự đổi mới và giảm thời gian đưa ra thị trường sản phẩm mới thông qua sự tạo nguyên mẫu nhanh và chu trình triển khai ngắn.
Trường hợp sử dụng đầu tiên là " New York Times Times Machine"- ví dụ điển hình cho việc ứng dụng công nghệ điện toán đám mây. Hai ví dụ khác, "Powerset Search En-gine" và "Jungle Disk", chứng minh làm thế nào
công nghệ điện toán đám mây mở ra các cơ hội kinh doanh mới cho công ty bắt đầu khởi nghiệp. Chúng tôi chỉ áp dụng phần chất lượng (bước đầu tiên) của khung làm việc vì không có thông tin chính xác về định lượng về các yêu cầu kỹ thuật của từng trường hợp sử dụng.
1. Derek Gottfrid – một kỹ sư có thâm niên về phần mềm của New York Times đã làm một Dự Án tên là TimesMachine. Dịch vụ cung cấp quyền truy cập vào những vấn đề của New York Times từ năm 1851, bổ sung thêm một số lượng lớn với 11 triệu bài viết với tập tin PDF. Trước đây Gottfrid và các đồng nghiệp của ông đã thực hiện một giải pháp tạo ra các tập tin PDF tự động từ hình ảnh TIFF đã quét của các bài báo New York Times. Cách tiếp cận này đã mang lại kết quả tốt, nhưng khi khối lượng lưu thông tăng đáng kể thì nên xử lý trong các tập tin PDF tĩnh được tạo ra trước. Đối mặt với những thách thức chuyển đổi 4 Terabyte dữ liệu nguồn thành PDF, Derek Gottfrid quyết định sử dụng EC2 của Amazon và S3. Ông đã tải các nguồn dữ liệu đến S3 và bắt đầu một nhóm Hadoop của hình ảnh máy Amazon EC2 tùy chỉnh (AMIs). Với 100 EC2 AMIs chạy song song, ông có thể hoàn thành nhiệm vụ đọc các nguồn dữ liệu từ S3, chuyển đổi nó sang PDF và lưu trữ nó trở lại S3 trong vòng chưa đầy hai ngày.
Kịch bản kinh doanh trong bài toán này được mô tả như sau: các trường hợp kinh doanh là "tính toán hiệu năng cao", về mặt tổ chức bao gồm “kịch bản doanh nghiệp” và "thời gian để mua cơ sở hạ tầng phần cứng mới ", vấn đề tuân thủ được biết đến có liên quan đến mục tiêu kinh doanh chính là "hiệu quả về chi phí ", chiến lược doanh nghiệp không đóng một vai trò, nhu cầu dự kiến "kế hoạch công việc”, yêu cầu ứng dụng cụ thể là "kho thư viện phần mềm với mục đích đặc biệt (thư viện iText PDF, mở rộng nâng cao hình ảnh Java)" và không có yêu cầu kỹ thuật phi chức năng quan trọng.
2. Công cụ tìm kiếm Powerset là một trường hợp cho thấy dịch vụ ĐTDM có
thể được áp dụng với một công ty mới khởi nghiệp bởi hiệu quả chi phí cơ sở hạ tầng và khả năng mở rộng. Paul Hamman-làm việc về các hoạt động của trung tâm dữ liệu VP cho Powerset, giải thích rằng các giải pháp cơ sở hạ tầng CNTT thay thế đến điện toán đám mây, như cho thuê máy chủ hoặc công nghệ điện toán lưới là đắt tiền và chỉ chia theo tỷ lệ tốt cho công việc hàng loạt. Vì vậy Powerset đã quyết định tung ra trên EC2 của Amazon vì nó đáp ứng được các yêu cầu về chức năng, tính linh hoạt và khả năng mở rộng.
Kịch bản kinh doanh có thể được mô tả như sau. Trường hợp kinh doanh là "công cụ tìm kiếm", tổ chức này là một "công ty khởi nghiệp", việc tuân thủ không đóng vai trò quan trọng, mục tiêu kinh doanh chính là "hiệu quả chi phí", việc xem xét chiến lược không được đề cập, nhu cầu là "bất ngờ với sự dao động tạm thời",các yêu cầu ứng dụng cụ thể bao gồm sự phát triển linh hoạt, môi trường triển khai", và yêu cầu phi chức năng “có hiệu lực và khả năng mở rộng cao". Nếu không có dịch vụ điện toán đám mây, cơ sở hạ tầng thay thế tốt nhất đến EC2 của Amazon có thể sẽ thuê máy chủ, mặc dù Paul Hamman cho rằng nó sẽ không mở rộng quy mô tốt.
3. Jungle Disk là một công ty khởi nghiệp quản lý phát triển một ứng dụng client cho việc lưu trữ và sao lưu dữ liệu trong S3 của Amazon trong vòng ít hơn 30 ngày. Mô hình kinh doanh của công ty là thu phí người dùng cho mỗi Gigabyte dữ liệu được lưu trữ trong cơ sở hạ tầng ĐTĐM của Amazon. Công ty thêm giá trị các dịch vụ ĐTĐM hiện có bằng cách cung cấp giao diện người dùng tốt hơn.
Kịch bản kinh doanh: Trường hợp kinh doanh là "mạng lưới trung tâm lưu trữ và sao lưu", tổ chức này là một "công ty khởi nghiệp", việc tuân thủ:
phải giải quyết mối quan tâm về bảo vệ dữ liệu", mục tiêu kinh doanh chính là "cung cấp các dịch vụ giá trị gia tăng trên các dịch vụ ĐTĐM hiện có", chiến lược là "thái độ của nhà cung cấp đám mây đối với các nhà phát triển
bên thứ ba", nhu cầu "đột xuất và khó lường", yêu cầu ứng dụng cụ thể bao gồm "tiếp cận bên ngoài giao diện đám mây" và các yêu cầu phi chức năng quan trọng nhất là có "hiệu lực và khả năng mở rộng cao". Kịch bản này không thể thực hiện được nếu không có sự tồn tại của các dịch vụ ĐTĐM và do đó không thể định giá bằng cách so sánh chi phí cơ sở hạ tầng.
3.5 Kết luận
Nghiên cứu này nêu lên ảnh hưởng của ĐTĐM tới các doanh nghiệp và lĩnh vực nghiên cứu cụ thể là chi phí và bảo mật. ĐTĐM là một vấn đề được nhiều doanh nghiệp quan tâm, hầu hết các doanh nghiệp đều biết đến nhưng vẫn chưa rõ về định nghĩa thực sự của ĐTĐM do công nghệ này hiện vẫn còn đang trong giai đoạn sơ khai, tuy nhiên vì nó được phát triển lên từ điện toán lưới nên hầu hết các doanh nghiệp đã sử dụng điện toán lưới trước đây sẽ hiểu về thuật ngữ ĐTĐM tốt hơn.
Các doanh nghiệp đang trong thời gian cân nhắc xem có nên quyết định sử dụng ĐTĐM không hiện đang băn khoăn khi nghe được các quan điểm khác nhau (cả tích cực và tiêu cực) về ĐTĐM. Đặc tính đầu tiên mà các doanh nghiệp có xu hướng nghĩ về ĐTĐM là các ảnh hưởng về mặt chi phí, có rất nhiều các nhân tố hoặc đặc tính ảnh hưởng tới chi phí dành cho ĐTĐM đối với các doanh nghiệp. Các nhân tố này bao gồm: sự đàn hồi, sự linh hoạt, chi phí dữ liệu trung tâm, các mô hình định giá và chi phí hành chính. Sự đàn hồi là nhân tố lớn nhất ảnh hưởng tới chi phí sử dụng ĐTĐM đối với các doanh nghiệp và hầu hết các doanh nghiệp chuyển sang sử dụng đám mây vì đặc tính này. Có thể kết luận rằng bằng cách không phải xây dựng các trung tâm dữ liệu, không phải thuê nhân công quản lý, cùng với sự linh hoạt và các mô hình định giá khác nhau giúp cho ĐTĐM trở thành phương án tiết kiệm chi phí nhất cho các doanh nghiệp. Tuy nhiên các lợi ích này chỉ dành cho các doanh nghiệp cỡ nhỏ và trung bình còn các doanh nghiệp lớn có thể tiết kiệm
chi phí bằng cách xây dựng các trung tâm dữ liệu lớn theo nhu cầu và tiềm lực mà doanh nghiệp có, nói cách khác đám mây riêng là một lựa chọn hoàn hảo cho các doanh nghiệp lớn.
Đặc tính thứ hai của ĐTĐM mà các doanh nghiệp sử dụng các dịch vụ ĐTĐM rất quan tâm là vấn đề về bảo mật dữ liệu đối với doanh nghiệp, các vấn đề này bao gồm: không có sự kiểm soát các dữ liệu vật lý, bảo mật trình duyệt web, không phân bổ được do bị tấn công từ chối dịch vụ (distributed denial of service attacks), mất khóa giải mã, hành lang pháp lý, các vấn đề về mạng và các thảm họa tự nhiên. Tuy nhiên, đi cùng với các bất lợi này vẫn còn một số lợi ích cho doanh nghiệp, đó là lợi ích về quy mô, giao diện cơ bản, ghi nhật ký, rủi ro quản trị, các ảnh hưởng được cập nhập và các lỗi. Có thể kết luận rằng các lợi ích này không vượt qua được các vấn đề về bảo mật của ĐTĐM, do đó các doanh nghiệp không nên áp dụng ĐTĐM vì lý do bảo mật cho các dữ liệu của doanh nghiệp.
Tóm lại, ĐTĐM là sự kết hợp công nghệ lớn, rất có lợi trong hiện tại và tương lai. Công nghệ ĐTĐM hiện đang tiếp tục được hoàn thiện và mọi người có thể kỳ vọng vào sự phát triển của nó. Tuy nhiên, đối với các doanh nghiệp thì nhân tố quan trọng nhất để quyết định sử dụng ĐTĐM vẫn là chi phí.
ĐTĐM là lý tưởng cho các doanh nghiệp cỡ vừa và nhỏ về mặt chi phí, tuy nhiên về mặt bảo mật thì lại không có lợi nhiều cho các doanh nghiệp vừa và nhỏ. Đối với các doanh nghiệp lớn thì áp dụng đám mây riêng có hiệu quả hơn vì có thể tiết kiệm chi phí và bảo mật được tốt hơn khi dùng đám mây riêng.
KẾT LUẬN
Trên đây là những tìm hiểu về ảnh hưởng của công nghệ ĐTĐM lên chi phí và bảo mật thông tin trong doanh nghiệp. Qua thời gian tìm hiểu, nghiên cứu cùng với sự chỉ bảo, hướng dẫn nhiệt tình của giáo viên hướng dẫn, đề tài đã đạt được kết quả nhất định và hướng nghiên cứu, phát triển như sau:
1. Tìm hiểu tổng quan về ĐTĐM: Các đặc điểm chính, các mô hình dịch vụ, mô hình triển khai và kiến trúc ĐTĐM
2. Bảo mật và chi phí trong ĐTĐM:
- Xây dựng framework quản lý rủi ro dựa trên framework của NIST;
- Xây dựng framework ước tính chi phí;
- Đưa ra được những hiệu quả chi phí và bảo mật dưới quan điểm của nhà cung cấp dịch vụ và doanh nghiệp sử dụng dịch vụ ĐTĐM
3. Đánh giá ảnh hưởng về chi phí và bảo mật khi doanh nghiệp chuyển đổi sang ĐTĐM. Xây dựng framework bảo mật thông tin tại công ty Biolife và một số ví dụ về xây dựng framework ước tính chi phí. Đưa ra những khuyến cáo cho doanh nghiệp khi muốn áp dụng ĐTĐM
Mặc dù đã thu được một số kết quả, nhưng đây là một bài toán rộng mà thời gian nghiên cứu lại ngắn, vì vậy luận văn sẽ không tránh khỏi những thiếu sót. Kính mong sự cảm thông và đóng góp những ý kiến quý báu của quý Thầy, Cô và các Bạn nhằm tạo tiền đề thuận lợi cho việc phát triển của đề tài với định hướng như sau:
- Đi sâu hơn nữa vào việc khai thác thông tin, thu thập dữ liệu từ nhiều nhà cung cấp dịch vụ và người sử dụng dịch vụ ĐTĐM để có cái nhìn toàn diện, sâu sắc hơn.
Tính toán được cụ thể chi phí cho việc chuyển đổi và thực hiện được bảo mật thông tin hiệu quả hơn trong ĐTĐM.
TÀI LIỆU THAM KHẢO A. Tiếng Việt
[1] Hoàng Tiến Trung (2010), Điện toán đám mây và ứng dụng trên nền tảng google app engine, Luận văn Thạc sĩ công nghệ thông tin, Trường Đại học Sư phạm Hà Nội.
B. Tiếng Anh
[2] Armbrust, M., Fox, A., Griffith, R., Joseph, A., Katz, R., Konwinski, A., Lee, G., Patterson, D., Rabkin, A., Stoica, I. and Zaharia, M. (2009). Above the Clouds: A Berkeley View of Cloud Computing. Technical Report. University of California at Berkeley.
[3] Catteddu, D. and Hogben, G. (2009). Cloud Computing: benefits, risks and recommendations for information security. Technical Report. European Network and Information Security Agency.
[4] Cloud Security Alliance. (2009). Security Guidance for Critical Areas of Focus in Cloud Computing.
[5] Lublinsky, Boris. (2009, April 22). Cleaning the air on Cloud Computing.
[6] Marshall, C. & Rossman, G.B., (1989), Designing Qualitative Research, Newbury Park, California: Sage.
[7] Rajkumar Buyya, Chee Shin Yeo, and Srikumar Venugopal (2008). Market- Oriented Cloud Computing: Vision, Hype, and Reality for Delivering IT Services as Computing Utilities. International Conference on High Performance Computing.
[8] Youseff, L., Butrico, M. and Da Silva, D. (2008). Toward a Unified Ontology of Cloud Computing. In Grid Computing Environments Workshop (GCE '08), Austin, Texas, USA, November 2008, 1-10.
C. Internet
[9] Brodkin, J. (2008). Gartner: Seven cloud-computing security risks, Retrieved September 23, 2009, from Network World, from http://www.networkworld.com/news/2008/070208-cloud.html
[10] GoGrid, (2010), http://www.gogrid.com.
[11] NIST. (2004a). FIPS 199: Standards for Security Categorization of Federal Information and Information Systems. Retrieved August 28, 2009, from http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf.
[12] NIST. (2006). FIPS 200: Minimum Security Requirements for Federal Information and Information Systems. Retrieved December 1, 2009, from http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf.
[13] NIST. (2008a). Guide for Mapping Types of Information and Information Systems to Security Categories, Volume I, SP 800-60 Rev. 1. Retrieved August 27, 2009, from http://csrc.nist.gov/publications/nistpubs/800-60- rev1/SP800-60_Vol1-Rev1.pdf.
[14] NIST. (2008c). Guide for Assessing the Security Controls in Federal Information Systems, SP 800-53A. Retrieved November 11, 2009, from http://csrc.nist.gov/publications/PubsSPs.html.
[15] NIST. (2009a). NIST Working Definition of Cloud Computing v15. Retrieved October 7,2009, from http://csrc.nist.gov/groups/SNS/cloud- computing/index.html.
[16] NIST. (2009b, 12 August 2009). Recommended Security Controls for Federal Information Systems and Organizations, SP 800-53 Rev 3 from http://csrc.nist.gov/publications/nistpubs/800-53- Rev3/sp800-53-rev3-final- errata.pdf.