Nhiều rủi ro an ninh liên quan đến điện toán đám mây do bản chất của cơ sở hạ tầng. Máy ảo có thể phơi bày những rủi ro từ các chính sách được xây dựng và thực hiện lỏng lẻo, những lỗ hổng trong an ninh hạ tầng cơ sở, an ninh vật lý và môi trường, khắc phục thảm họa, an ninh cá nhân và an ninh vận hành hệ thống CNTT. Máy ảo có thể mang lại qui mô mới cho một số mối đe dọa hiện hữu này, trong khi còn mở ra những rủi ro mới.
Một số rủi ro cố hữu liên quan đến hành vi trộm cắp, rò rỉ hoặc phá hủy dữ liệu do cùng chung địa điểm chứa dữ liệu. Hay sự phát tán các hoạt động ác ý và lây nhiễm phần mềm độc hại tới những môi trường nhiều khách hàng. Bên cạnh đó còn có nguy cơ từ việc lựa chọn một dịch vụ cấp thấp do kinh phí hạn hẹp. Bởi đám mây là một mô hình tiện dụng, khách hàng đám mây có lẽ có xu hướng hy sinh những tính năng an ninh và chấp nhận giảm chi phí hơn nữa, tự đặt mình vào nguy hiểm.
Một thách thức lớn khác thường thấy là nhận thức về an ninh từ những nhân viên của một nhà cung cấp đám mây đã hiện diện ở nhiều quốc gia. Trong những trường hợp này, người dùng có thể thấy rằng văn hóa của nhà cung cấp, nhận thức về rủi ro và nhu cầu đối với an ninh và sự riêng tư thay đổi cùng những qui tắc địa phương. Đám mây cần hoạt động 24/7 để phục vụ khách hàng trên toàn cầu, và phải cung cấp giá trị tối ưu cho khách hàng của mình bằng cách huy động và phân bổ nguồn lực một cách linh hoạt, phụ thuộc vào mức độ sử dụng cùng lưu lượng truyền thông và thời điểm trong ngày.
Trong một tình huống thuê ngoài điển hình, để dữ liệu trên mạng của một nhà cung cấp đã chọn và giới hạn truy cập tới dữ liệu là một việc làm dễ. Với môi trường đám mây, thật khó để hạn chế chuyển dữ liệu của một ai đó.
Trong một thời đại mà các ứng dụng đang ngày càng trở thành mục tiêu cho các cuộc tấn công và vi phạm an ninh, đám mây là một giải pháp vì nó cung cấp các ứng dụng an ninh như một phần của dịch vụ.
Các đám mây có thể cung cấp một số khả năng khắc phục thảm họa mặc định, bởi các biện pháp bảo vệ vật lý và môi trường được áp dụng.
Kiểm soát an ninh mạnh hơn trong khi giá cả có xu hướng phải chăng hơn, đặc biệt cho các doanh nghiệp nhỏ hơn. Các đám mây, do áp lực bên ngoài sẽ bị buộc phải lựa chọn các nhà cung cấp an ninh và những sản phẩm tốt nhất, và do đó tiềm năng đối với các giải pháp phát sinh được đóng gói tốt nhất cùng với các dịch vụ của họ là rất cao.
Các biện pháp bảo vệ an ninh có thể hiệu quả hơn nhờ giám sát định kỳ bởi nhiều khách hàng, cũng như các kiểm soát viên độc lập và nội bộ.
Với việc ngày càng tăng sự chấp nhận đám mây, các mạng riêng hội tụ vào trong các trung tâm dữ liệu của các nhà cung cấp đám mây, gây khó khăn hơn cho những kẻ tìm cách xâm nhập vào các mạng và hệ thống dễ bị tổn thương.
Đám mây có xu hướng cung cấp giám sát liên tục các mạng, hệ thống của nó và các hoạt động của người dùng. Hoạt động 24/7 này có thể rất quan trọng trong củng cố phòng ngừa cũng như các biện pháp dò tìm đối với vi phạm an ninh.
Các đám mây có thể cô lập và ngăn chặn bất kỳ hoạt động độc hại khởi nguồn từ bên ngoài và tiêm nhiễm phần mềm độc hại vào một môi trường ảo duy nhất. Nhờ đó có thể ngăn ngừa một cách hiệu quả sự xâm nhập lây lan sang các mạng riêng cũ khác là một phần của đám mây bây giờ.
Khi nói đến việc tuân thủ các quy định như SOX, PCI-DSS…, các công ty thường cảm thấy lằng nhằng phức tạp, cho là lãng phí đáng kể các nguồn lực. Ngay cả các phạm vi hoạt động và cơ sở hạ tầng cho phù hợp có thể là một nhiệm vụ khó khăn cho nhiều công ty. Đám mây có thể giúp việc tuân thủ trở nên tiêu chuẩn hóa cho một quy định và cũng làm cho nó hiệu quả và năng suất hơn.
Khi nói đến quản trị rủi ro, an ninh thông tin, và các chương trình liên tục kinh doanh (đảm bảo cho doanh nghiệp phục hồi hoạt động lại ngay sau khi bất ngờ có tai họa xảy ra), chúng ta thường hình dung không thể có một phương pháp tiếp cận hay giải pháp phù hợp cho tất cả. Tuy nhiên, đám mây lại khiến điều đó trở thành hiện thực. Hãy suy nghĩ về tuân thủ PCI, rất nhiều khách hàng chọn một nhà cung cấp giao dịch dựa trên đám mây xử lý, giải quyết, và báo cáo. Vì sao?
PCI-DSS (Tiêu chuẩn an ninh dữ liệu trong ngành công nghiệp thẻ thanh toán) là một trong rất ít các tiêu chuẩn toàn cầu mà giải quyết không chỉ "những gì cần phải được thực hiện" mà còn "nó phải được thực hiện thế nào", giảm nhiều chi tiết vụn vặt cho dù có liên quan đến các ứng dụng hoặc mật khẩu. Trong khi các nhà cung cấp dịch vụ thanh toán vẫn còn trách nhiệm tuân thủ và bất kỳ vi phạm đối với mọi giao dịch hoặc thu giữ dữ liệu và xử lý nhân danh họ, một phần của phạm vi được chuyển đến nhà cung cấp dịch vụ. Điều này mang lại tiêu chuẩn hóa trong việc cung cấp các dịch vụ thẻ.
0 nhận xét:
Đăng nhận xét