Trong phần trƣớc đã trình bày những hạn chế phát sinh trong các kiểm soát bảo mật và ở một mức độ tổng quát hơn khi một hệ thống thông tin đƣợc lƣu trữ trong môi trƣờng đám mây. Mục tiêu của phần này là để mô tả các giải pháp và lựa chọn có sẵn hoặc là chống lại những hạn chế, hoặc chấp nhận những hạn chế.
Nhận thức chung về ĐTĐM từ đầu của luận văn này là ĐTĐM có hai biến thể, hoặc tổ chức sử dụng mô hình ĐTĐM đám mây riêng hoặc nó đƣợc lƣu trữ bởi các đơn vị khác nhau với rất nhiều lo lắng làm thế nào bảo mật đƣợc xử lý bởi các thực thể bên ngoài - đám mây công cộng. Các đám mây lai có thể đƣợc xem nhƣ là một sự kết hợp của các đám mây riêng và công cộng. Khi đặt quan điểm phổ biến này liên quan đến khía cạnh vị trí dữ liệu trong phần 2.1.2, các đám mây riêng đƣợc coi là thuộc không gian chủ sở hữu dữ liệu, nơi họ có toàn quyền kiểm soát mọi sự truy cập tới dữ liệu. Đám mây công cộng có thể đƣợc đặt trong không gian kết hợp và không gian ngƣời nhận, nơi có thể có một số kiểm soát. Nhận thức này đƣợc mô tả trong hình 3.7:
Hình 3.7. Nhận thức chung về ĐTĐM
Nhận thức về ĐTĐM riêng so với đám mây công cộng cho thấy rằng sẽ là không thận trọng khi để cho thông tin công cộng vào các môi trƣờng đám mây công cộng. Với quá trình đƣợc mô tả trong framework bảo vệ tính bí mật của thông tin, một tổ chức có thể đánh giá đƣợc các kiểm soát bảo mật có cần phải đƣợc thực hiện để bảo vệ hệ thống thông tin đƣợc đề cập.
Khi một tổ chức xem xét việc cung cấp dịch vụ đám mây cũng nhƣ môi trƣờng hoạt động cho hệ thống thông tin, cả hai bên có thể thực hiện một phân tích để xác định yêu cầu kiểm soát bảo mật và các kiểm soát bảo mật đƣợc các nhà cung cấp dịch vụ đám mây hỗ trợ. Sự khác biệt giữa các kiểm soát cần thiết và các kiểm soát hỗ trợ đƣợc gọi là khoảng cách bảo mật. Để giảm nguy cơ khoảng cách bảo mật có thể xảy ra, NIST đề nghị ba tùy chọn sau [11]:
Sử dụng các điều khoản hiện có trong hợp đồng để yêu cầu các nhà cung cấp bên ngoài đáp ứng các yêu cầu kiểm soát bảo mật bổ sung đƣợc thiết lập bởi tổ chức.
Thỏa thuận với các nhà cung cấp để bổ sung các kiểm soát bảo mật nếu các điều khoản trong hợp đồng hiện tại không cung cấp cho các yêu cầu bổ sung.
Sử dụng các biện pháp để giảm thiểu nguy cơ phải thay thế tổ chức hệ thống thông tin khi một hợp đồng hoặc không tồn tại hoặc không cung cấp đầy đủ các quy định để các tổ chức có đƣợc kiểm soát bảo mật cần thiết.
Hình 3.8. Nhận thức về đám mây công cộng khi đáp ứng các yêu cầu bảo mật của chủ sở hữu dữ liệu
Tuy nhiên, nếu bổ sung các kiểm soát mà vẫn không làm mất đi khoảng cách bảo mật thì rủi ro đó phải đƣợc giảm đi bằng một cách khác thay vì thông qua thỏa thuận hợp đồng. Giảm thiểu rủi ro có thể có các hình thức khác nhƣ sau:
Không gia nhập vào các đám mây: đây là tùy chọn rõ ràng và dễ nhất, nhƣng nó lại thiển cận và đáp ứng đƣợc ít yêu cầu nhất.
Đám mây riêng: là mô hình triển khai mà trên đó tổ chức có toàn quyền kiểm soát hệ thống thông tin của mình, từ việc ứng dụng cho đến cơ sở hạ tầng. Mô hình triển khai đám mây riêng có thể có bảo mật tốt nhất so với bất kỳ mô hình nào trong ĐTĐM, nhƣ không có nhà cung cấp bên ngoài tham gia hoặc sở hữu các hệ thống, quản lý hệ thống lƣu trữ. Bảo mật ĐTĐM riêng tƣơng tự nhƣ mức độ bảo mật của môi trƣờng điện toán truyền thống. Ba hạn chế chung bảo mật đƣợc đề cập trong 3.5.3 không xảy ra trong các đám mây riêng, thực hiện mã hóa và triển khai VPN là có sẵn, do đó không có giới hạn truy cập liên quan, vấn đề đảm bảo bảo mật có thể đƣợc chứng minh và việc yêu cầu phân tách vật lý của hệ thống đƣợc bao gồm trong kiến trúc của tổ chức đám mây. Mặc dù các đám mây riêng là lựa chọn tốt nhất có sẵn trong mô hình ĐTĐM đối với bảo mật nhƣng lợi ích cho việc sử dụng lại thấp so với các tùy chọn khác.
Áp dụng các đám mây lai: là lựa chọn tốt nhất để đối phó với những hạn chế bảo mật trong phần 3.5 trong khi vẫn có thể sử dụng đầy đủ tiềm năng của mô hình ĐTĐM. Trong mô hình này, cả đám mây riêng và một hoặc nhiều đám mây công cộng đƣợc sử dụng kết hợp với nhau. Nhƣ đã mô tả trong tùy chọn đám mây riêng, một phần đám mây riêng có các tính chất của không gian chủ sở hữu dữ liệu, trong khi một phần đám mây công cộng nằm trong các không gian kết hợp và không gian ngƣời nhận. Để làm rõ tùy chọn này xem hình 3.9:
Hình 3.9. Mô hình đám mây lai- sự kết hợp của các đám mây trong nhiều không gian kiểm soát
Sự thiết lập này là rất hữu ích, nó nhƣ một cách giải quyết cho vấn đề kiểm soát xảy ra trong không gian kết hợp và không gian ngƣời nhận. Ba vấn đề chung đƣợc mô tả trong mục 3.5.3, có thể đƣợc xử lý bằng cách thiết lập này. Ví dụ: khi các nhà cung cấp đám mây công cộng không hỗ trợ việc phân tách vật lý của các hệ thống đƣợc phân trung bình và cao. Các hệ thống này sẽ đƣợc lƣu trữ trong một phần riêng của đám mây lai nơi những hạn chế này không xảy ra. Cũng tƣơng tự nhƣ vậy, nếu các yêu cầu mã hóa không đƣợc hỗ trợ bởi các nhà cung cấp dịch vụ đám mây công cộng thì hệ thống có ảnh hƣởng trung bình và cao nên hoạt động trong không gian chủ sở hữu dữ liệu, trong khi dữ liệu và hệ thống có ảnh hƣởng thấp có thể hoạt động trong cả các phần của đám mây lai.
Điều quan trọng là khuếch đại kết nối giữa các đám mây riêng và công cộng. Cổng nối giữa hai không gian kiểm soát này là vấn đề quan trọng đối với khả năng sử dụng các mô hình triển khai đám mây lai của hai không gian kiểm soát trên và nó chịu trách nhiệm cho chức năng và mục tiêu bảo mật sau đây:
Cho phép hệ thống thông tin và luồng dữ liệu giữa các phần của ĐTĐM công cộng và riêng hỗ trợ tổng hợp tài nguyên độc lập và các đặc điểm co dãn linh hoạt của ĐTĐM.
Ngăn chặn sự dịch chuyển của hệ thống thông tin và dữ liệu từ phần đám mây riêng chuyển sang phần công cộng nếu bảo mật cho hệ thống và dữ liệu không thể đƣợc đảm bảo bởi nhà cung cấp đám mây công cộng.
Nhƣ vậy cổng kết nối giữa không gian kết hợp và không gian chủ sở hữu dữ liệu chịu trách nhiệm cho việc cân bằng khả năng sử dụng của đám mây công cộng và đám mây riêng.
CHƢƠNG 4: ỨNG DỤNG KHUNG LÀM VIỆC TẠI CÔNG TY CỔ PHẦN TRỌN GÓI