Trong mục này sẽ trình bày những hạn chế trong các kiểm soát cơ sở và cả các kiểm soát không bắt buộc và nhƣ vậy chúng cần đƣợc quan tâm nhiều hơn. Điều quan trọng là tóm tắt từ những hạn chế về mức độ kiểm soát bảo mật và trình bày các vấn đề phổ biến ở một mức độ cao hơn. Nội dung này sẽ trình bày những vấn đề trên ở một mức độ tổng quát. Đây là cấp độ khái quát thú vị cho độc giả không phải là ngƣời quan tâm đến vấn đề cấp độ kiểm soát nhƣng với độc giả muốn hiểu tổng quát hơn về các vấn đề bảo mật thì nó chính là ĐTĐM khi đƣợc quan sát từ góc độ bảo mật. Khái quát những hạn chế này đƣợc mô tả trong hình 3.6.
Có 3 vấn đề gốc rễ trong các kiểm soát đa kỹ thuật và chúng là các vấn đề quan trọng cần phải đƣợc chú trọng hơn nữa:
Hạn chế liên quan đến truy cập Hạn chế về sự đảm bảo bảo mật Hạn chế về sự tách biệt hệ thống
Hạn chế liên quan đến truy cập
Những vấn đề đầu tiên cần thảo luận là các hạn chế truy cập xảy ra khi khi hệ thống thông tin đƣợc đặt trong môi trƣờng ĐTĐM.Có một sự khác biệt rất quan trọng là giữa việc vào truy cập các mạng nội bộ hoặc bên ngoài. Nếu cơ sở hạ tầng đƣợc sử dụng để truy cập vào một hệ thống thông tin không thuộc sự kiểm soát của chủ sở hữu hệ thống thông tin thìvấn đề bảo mật cho việc truyền dữ liệu qua nhiều cơ sở hạ tầng sẽ không thể đƣợc đảm bảo và đây đƣợc coi nhƣ là một mạng bên ngoài. Có 3 cách để truy cập đƣợc vào hệ thống thông tin từ mạng bên ngoài:
Cấm việc truy cập vào hệ thống thông tin với các mức ảnh hƣởng trung bình và cao, chỉ cho phép truy cập với hệ thống có mức độ ảnh hƣởng thấp.
Tạo điều kiện thuận lợi cho việc mã hóa để đảm bảo vệ tính toàn vẹn và bảo mật trong khi truyền thông tin. Mức độ mã hóa dựa vào việc phân loại bảo mật thông tin.
Tạo điều kiện thuận lợi cho việc thực hiện mạng riêng ảo (VPN), điều này bảo vệ tính bảo mật và tính toàn vẹn của thông tin khi truyền nhƣng cũng đòi hỏi tổ chức kiểm soát đến các điểm kết nối cuối cùng. Nếu mạng VPN đƣợc thực hiện theo cách này thì việc truy cập mạng sẽ nhƣ truy cập mạng nội bộ.
Các tùy chọn trên có cách thức rất hạn chế, hoặc các hệ thống có ảnh hƣởng cao và trung bình đều bị cấm hoặc yêu cầu tạo ra không có giới hạn cho các câu trả lời cuối cùng cho dù có cho phép các hệ thống có ảnh hƣởng trung bình hoặc cao hay không. Vấn đề này không bao gồm việc mã hóa hoặc mạng VPN đƣợc hỗ trợ và thực hiện đầy đủ, nghĩa là các lớp của hệ thống thông tin đƣợc phép truy cập thông
qua mạng bên ngoài: nó chỉ đáp ứng một trong các tiêu chí cần đáp ứng trƣớc khi hệ thống trung bình và cao đƣợc truy cập theo cách này.
Vấn đề trọng tâm trong bảo mật ĐTĐM là số lƣợng các hỗ trợ cho việc mã hóa và cho dù các điểm cuối cùng có đƣợc kiểm soát hay không. Liên quan đến ĐTĐM, có hạn chế truy cập sau: ―Nếu các dịch vụ đám mây được truy cập thông
qua các mạng bên ngoài và được hỗ trợ truyền không có mã hóa thì ĐTĐM bị giới hạn với các hệ thống có ảnh hưởng thấp và truy cập công cộng”.
Hạn chế về sự đảm bảo về bảo mật
Mặc dù hầu hết các tài liệu đều đảm bảo tính bí mật và sự tin cậy nhƣng trong các thiết lập bảo mật thì không phải lúc nào cũng vậy. Có nhiều sự khác biệt giữa tính bí mật và sự tin cậy trong một hệ thống. Tính bí mật giống nhƣ việc bảo đảm rằng một ngƣời hoặc tổ chức cần phải thuộc một hệ thống vì đây là vấn đề không thể thay thế. Ví dụ: mọi ngƣời cần phải có sự bí mật trong hệ thống bầu cử dân chủ bằng cách sử dụng lá phiếu giấy. Tuy nhiên, nếu phƣơng án máy bỏ phiếu điện tử đƣợc thực hiện thì có một sự lựa chọn giữa hệ thống phiếu giấy và hệ thống điện tử. Kết quả là mỗi hệ thống bầu cử phải chứng minh sự tin cậy của nó để lấy đƣợc lòng tin của ngƣời dân khi họ lựa chọn sử dụng một trong hai hệ thống.
Điều tƣơng tự cũng áp dụng đối với các hệ thống thông tin và ĐTĐM. Vào thời điểm đó không có sự thay thế nào cho việc chạy một hệ thống thông tin trên máy tính lớn của tổ chức. Các tổ chức và nhân viên của mình cần phải tin rằng bảo mật đƣợc xử lý một cách thích hợp trong môi trƣờng này. Khi việc lƣu trữ bên ngoài và ĐTĐM đã trở thành môi trƣờng điện toán có thể xảy ra, các hệ thống này cần chứng minh sự tin cậy của họ vì họ cung cấp cho tổ chức thêm sự lựa chọn về nơi lƣu trữ các hệ thống thông tin.
Nếu tổ chức muốn sử dụng hệ thống thông tin lƣu trữ bởi một nhà cung cấp đám mây, họ muốn đảm bảo rằng rủi ro từ việc sử dụng các hệ thống bên ngoài ở một mức độ chấp nhận đƣợc, điều này phụ thuộc vào mức độ tin cậy của tổ chức với các nhà cung cấp dịch vụ bên ngoài. Mức độ tin cậy có thể phụ thuộc vào hai yếu tố:
Mức độ kiểm soát trực tiếp tổ chức của các nhà cung cấp bên ngoài liên quan với việc thực hiện các kiểm soát bảo mật và hiệu quả của chính các kiểm soát đó.
Sự bảo đảm về bảo mật nghĩa là việc lựa chọn các kiểm soát bảo mật đƣợc đƣợc thực hiện và có hiệu quả khi sử dụng.
Mức độ kiểm soát trực tiếp theo truyền thống đƣợc thành lập theo các thỏa thuận về cấp độ dịch vụ với các nhà cung cấp. Mức độ này có thể dao động từ kiểm soát trực tiếp rộng rãi- nơi SLA quy định các yêu cầu kiểm soát chi tiết cho các nhà cung cấp dịch vụ tới kiểm soát trực tiếp rất hạn chế - nơi mà chỉ có dịch vụ hàng hóa đƣợc cung cấp và không có các yêu cầu kiểm soát cụ thể.
Với môi trƣờng ĐTĐM ở bên ngoài không gian chủ sở hữu dữ liệu thì mức độ kiểm soát tổ chức sử dụng dịch vụ ĐTĐM thƣờng là rất hạn chế. Theo ý kiến của một số chuyên gia về bảo mật trong ĐTĐM thì các nhà cung cấp dịch vụ đám mây lớn nhƣ Amazon và force.com luôn cung cấp dịch vụ của họ theo phƣơng trâm ―đáp ứng mọi yêu cầu‖ do vậy thƣờng là không có thêm bất cứ yêu cầu tùy chỉnh về bảo mật nào. Các nhà cung cấp dịch vụ đám mây lớn thƣờng dựa vào một sản phẩm đã đƣợc sử dụng rộng rãi để đƣa ra cộng đồng một chuẩn về thoản thuận mức độ bảo mật mà các nhà cung cấp không cần phải thực hiện thêm bất cứ cuộc đàm phán nào để bổ sung các kiểm soát bảo mật.
Một yếu tố khác tạo ra sự tin cậy của tổ chức trong hệ thống bảo mật là đảm bảo về bảo mật nghĩa là các tổ chức sẽ tin rằng vấn đề kiểm soát thực hiện trên hệ thống thông tin là hiệu quả với hoạt động của họ. Các tổ chức quan tâm đến dịch vụ đám mây nên đƣa ra các yêu cầu bảo đảm bảo mật với các nhà cung cấp dịch vụ đám mây. Để đạt đƣợc sự đảm bảo thì có thể thông qua các thông tin đƣợc cung cấp bởi các nhà phát triển, những ngƣời thực hiện và các nhà điều hành trong giai đoạn lựa chọn hoặc giám định kiểm soát trong khi đánh giá và giám sát framework quản lý rủi ro .
NIST SP 800-53 làm rõ về yêu cầu về đảm bảo tối thiểu cho kiểm soát bảo mật với các mức ảnh hƣởng: thấp, trung bình và cao. Với hệ thống có mức ảnh
hƣởng cao thì các yêu cầu đảm bảo về bảo mật sẽ lớn hơn. ―Đối với các kiểm soát bảo mật trong một hệ thống thông tin có ảnh hƣởng thấp thì trọng tâm là kiểm soát tại chỗ và nó có thể đƣợc giả định rằng không có lỗi nào tồn tại. Nếu lỗ hổng bảo mật tồn tại, các kiểm soát đó sẽ có mặt một cách kịp thời. Đối với các kiểm soát trong một hệ thống tác động trung bình, ngoài các yêu cầu trên cần nhấn mạnh để tăng thêm sự tin cậy về việc kiểm soát luôn đƣợc hoạt động chính xác.‖ [11]. Để có đƣợc sự tin cậy đó là dựa vào các nhà phát triển hay những ngƣời thực hiện cung cấp thông tin mô tả các thuộc tính, các chức năng kiểm soát với những chi tiết đủ để cho phép thực hiện phân tích và thử nghiệm kiểm soát.
Với hệ thống ảnh hƣởng cao có thêm các yêu cầu kiểm soát khác ngoài các yêu cầu ở trên, nó không chỉ là yêu cầu về các thông tin hƣớng dẫn của các thuộc tính, chức năng kiểm soát mà còn có các thông tin hƣớng dẫn của việc thiết kế và thực hiện. Việc triển khai các kiểm soát cần thực hiện theo các khả năng để có thể chứng minh sự kiểm soát luôn đƣợc thực hiện liên tục, nhất quán và đáp ứng đƣợc chức năng, mục đích và các khả năng này hỗ trợ cải thiện hiệu quả kiểm soát.
Với các kiểm soát bảo vệ hệ thống có ảnh hƣởng cao hơn thì các yêu cầu đảm bảo ngày càng tăng đồng nghĩa với việc có thêm nhƣợc điểm khá lớn. Thông thƣờng các yêu cầu trên đƣợc đáp ứng khi các kiểm soát đƣợc thực hiện trong một hệ thống truyền thống nơi mà tổ chức có một mức độ ảnh hƣởng kiểm soát cao. Nhƣng với ĐTĐM, những đảm bảo cần đƣợc đƣa ra bởi các nhà cung cấp dịch vụ ĐTĐM bên ngoài. Tuy nhiên, các nhà cung cấp đám mây rất ngần ngại trong việc tiết lộ thông tin rằng sẽ đảm bảo cho khách hàng một môi trƣờng an toàn. Jian Zhen-giám đốc Giải pháp Đám mây tại VMware nói về các nhà cung cấp dịch vụ đám mây lớn nhƣ sau: ―Cả Amazon Web Services và Google App Engine đều không cung cấp các báo cáo minh bạch về vấn đề đảm bảo an toàn cho ngƣời dùng‖ [12]. Sự thiếu minh bạch này của các nhà cung cấp dịch vụ đám mây lớn gây lên hai hậu quả. Hậu quả đầu tiên là các nhà cung cấp dịch vụ ĐTĐM không đủ tin cậy để lƣu trữ các hệ thống thông tin với mức độ tác động trung bình hoặc cao và thậm chí có thể không đáng tin cậy để lƣu trữ các hệ thống ảnh hƣởng thấp. Hậu quả thứ
hai là các bên bảo mật lớn sẽ nắm bắt mọi cơ hội để ép buộc các nhà cung cấp dịch vụ đám mây phải thực hiện sự minh bạch bảo mật. Ví dụ nổi bật nhất là việc sử dụng các quyền minh bạch trong các điều khoản kiểm toán trong hầu hết các hợp đồng. Các điều khoản kiểm toán cho phép khách hàng yêu cầu sự minh bạch về kế hoạch bảo mật của các nhà cung cấp dịch vụ bằng các yêu cầu thông tin khác nhau và các nhà cung cấp dịch vụ phải thực hiện theo những yêu cầu này khi hợp đồng còn giá trị.
Những cuộc kiểm toán gây ra một khối lƣợng lớn công việc cho các nhà cung cấp đám mây nếu chúng đƣợc thực thi bởi khách hàng. Theo ý kiến của một số chuyên gia về ĐTĐM cho biết hầu hết các khách hàng truyền thống không sử dụng đến các điều khoản này, họ sử dụng chúng chỉ nhƣ là lựa chọn dự phòng hay bảo hiểm. Sự không chắc chắn liên quan đến tính toàn vẹn, bảo mật và tính sẵn sàng của các dịch vụ đám mây là không nhiều. Hầu nhƣ tất cả các nhà cung cấp đám mây đều hoàn toàn cố gắng bởi các khách hàng có quyền hạn trên các điều khoản kiểm toán trong hợp đồng.
Vì các nhà cung cấp dịch vụ đám mây lớn dựa vào dịch vụ đại chúng với cơ sở hạ tầng quy mô lớn và với chi phí thấp nhất có thể thì trách nhiệm đáp ứng yêu cầu kiểm toán đòi hỏi một lƣợng đáng kể tiền bạc, thời gian và nguồn lực của các nhà cung cấp dịch vụ ĐTĐM. Nhà cung cấp dịch vụ đám mây thực sự muốn có một cách để tiêu chuẩn hóa đáp ứng những yêu cầu này. Việc thiếu một cách tiêu chuẩn hóa đáp ứng cho việc kiểm toán tạo ra hai xu hƣớng: các nhà cung cấp phụ trách đáp ứng các yêu cầu kiểm toán từ các khách hàng lớn hoặc các yêu cầu về điều khoản kiểm toán đƣợc loại bỏ hoàn toàn trong các hợp đồng.
Các hợp đồng không có điều khoản kiểm toán có thể là một giải pháp cho các nhà cung cấp dịch vụ để giảm chi phí của họ nhƣng nó lại không đóng góp vào việc bảo đảm bảo mật mà các nhà cung cấp nên mang lại cho khách hàng.
Hạn chế về sự tách biệt hệ thống
Một số kiểm soát trong các kiểm soát cơ sở (kiểm soát bảo vệ ranh giới và kiểm soát phân vùng hệ thống thông tin) cũng giống nhƣ trong các kiểm soát không
bắt buộc (kiểm soát thực thi truy cập, kiểm soát bảo vệ thông tin kiểm toán) yêu cầu hoặc tách biệt các hệ thống vật lý hoặc lƣu trữ thông tin trên các phƣơng tiện vật lý offline.
Trong các mô hình điện toán truyền thống, cấu trúc mạng bao gồm các khu vực (zone) mạng và tầng, là nơi thực hiện phân tách logic và vật lý của các hệ thống thông tin. Ví dụ, một hệ thống phát triển và một hệ thống sản xuất đƣợc tách biệt logic từ các lớp mạng. Việc phân tách logic này thông thƣờng đƣợc hỗ trợ bởi sự tách biệt vật lý trên máy chủ, là nơi mỗi hệ thống chạy trên một máy vật lý khác nhau.
Với ĐTĐM, sự tách biệt này không thật rõ ràng. Việc sử dụng ảo hóa trong ĐTĐM làm cho nó có thể phát triển và sản xuất trên cùng một hệ thống vật lý trong khi việc phân tách logic đƣợc thực hiện trên cấp máy chủ trong vùng. Những vấn đề trong các kiểm soát cơ bản xảy ra trên các yêu cầu mà hệ thống nên đƣợc tách biệt về vật lý trong khi những hạn chế của các kiểm soát tùy chọn yêu cầu lƣu trữ thông tin nhạy cảm trong dạng mật mã hoặc ghi lên phƣơng tiện truyền thông online/offline.
Kết quả thú vị của sự giới thiệu về ảo hóa trong ĐTĐM là yêu cầu phân tách vật lý. Khi các khuyến nghị của NIST về phân tách vật lý của hệ thống và các thành phần đƣợc sử dụng nhƣ quy tắc trong một môi trƣờng đám mây thì có hai tùy chọn nhƣ sau:
Yêu cầu phân tách vật lý của hệ thống đƣợc thực hiện bởi các nhà cung cấp dịch vụ đám mây mặc dù việc phân tách này không thuộc dịch vụ tiêu chuẩn của nhà cung cấp dịch vụ. Yêu cầu này thì không liên quan đến vấn đề bảo đảm bảo mật đã mô tả trƣớc đó và họ có thể không muốn hoặc không thể hỗ trợ việc phân tách vật lý hệ thống
Yêu cầu phân tách vật lý của hệ thống đƣợc thiết kế nhƣ là một cơ chế bảo mật. Tuy nhiên việc ảo hóa sẽ trở nên rất phổ biến và có ảnh hƣởng lớn và kết quả là các khuyến nghị nhƣ phân tách vật lý có thể xem nhƣ là các tiêu
chuẩn và quy định lỗi thời và không thực tế đối với sự phát triển nhanh chóng trong khoa học và công nghệ.