Bảo mật đám mây đã trở thành một trong những khía cạnh quan trọng nhất của cuộc cách mạng kỹ thuật số hiện nay. Các tổ chức hoặc cá nhân cần hiểu rõ những nguyên tắc cơ bản khi lựa chọn nhà cung cấp đám mây sẽ giúp đảm bảo sự an toàn của hệ thống thông tin.

Dưới đây là các nguyên tắc bảo mật đám mây do Trung tâm An ninh mạng Quốc gia Vương quốc Anh (National Cyber Security Centre - NCSC) đề xuất, được thiết kế để giúp người dùng lựa chọn nhà cung cấp đám mây đáp ứng nhu cầu bảo mật của mình. 

NGUYÊN TẮC 1: BẢO VỆ DỮ LIỆU KHI TRUYỀN TẢI

Dữ liệu của người dùng phải được bảo vệ đầy đủ chống lại sự giả mạo và nghe lén khi nó truyền qua mạng bên trong và bên ngoài đám mây. Do vậy cần ưu tiên nhà cung cấp dịch vụ đám mây đảm bảo:

- Khi dữ liệu di chuyển bên trong hệ thống dịch vụ, nó sẽ được bảo vệ an toàn. Đồng thời, toàn bộ dữ liệu của khách hàng sẽ tự động được mã hóa trong quá trình truyền tải.

- Cấu hình trước dữ liệu trong quá trình mã hóa và thiết lập mặc định theo các tiêu chuẩn mới nhất.

- Sử dụng các thuật toán và giao thức được chuẩn hóa như TLS và IPsec để bảo vệ dữ liệu, giúp dễ dàng trong quá trình triển khai. Dữ liệu phải được bảo vệ trong quá trình truyền tải khi tiếp xúc với các dịch vụ bên ngoài khác, chẳng hạn như thông qua API.

NGUYÊN TẮC 2: BẢO VỆ TÀI SẢN VÀ KHẢ NĂNG PHỤC HỒI

Vị trí vật lý và thẩm quyền pháp lý

Người dùng cần biết dữ liệu của mình ở đâu và ai có thể truy cập dữ liệu của mình. Cụ thể người sử dụng cần được cung cấp thông tin về:

- Vị trí vật lý: Nhà cung cấp dịch vụ của người dùng phải cung cấp danh sách đầy đủ các quốc gia nơi dữ liệu của người dùng được lưu trữ và xử lý, cũng như nơi dịch vụ được quản lý và hỗ trợ. Danh sách này có thể thay đổi tùy thuộc vào các dịch vụ cụ thể mà người dùng đang sử dụng.

- Thẩm quyền pháp lý: Người dùng cần xác định dữ liệu của người dùng có thể thuộc thẩm quyền pháp lý nào, tìm kiếm tư vấn pháp lý khi cần thiết. Những yếu tố người sử dụng cần nắm rõ như cơ sở pháp lý của nhà cung cấp dịch vụ; địa điểm mà dịch vụ được hỗ trợ và vận hành; người sở hữu và chịu trách nhiệm về trung tâm dữ liệu; luật liên quan đến hợp đồng hay thỏa thuận giữa người dùng và nhà cung cấp dịch vụ.

Bảo mật trung tâm dữ liệu

Người dùng nên chắc chắn rằng các biện pháp bảo mật vật lý mà nhà cung cấp áp dụng đủ để chống lại truy cập trái phép, phá hoại, đánh cắp hoặc cấu hình lại hệ thống cùng với các biện pháp bảo vệ dữ liệu khác.

Mã hóa dữ liệu

Dữ liệu của người dùng phải được bảo vệ đầy đủ khỏi sự truy cập trái phép của các bên có quyền truy cập vật lý vào cơ sở hạ tầng. Cùng với đó, các nhà cung cấp mã hóa mọi dữ liệu khách hàng đang lưu trữ trong dịch vụ bằng thuật toán và chế độ mã hóa phù hợp đảm bảo cả tính bảo mật và tính toàn vẹn. Người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây mã hóa mọi dữ liệu lưu trữ theo mặc định, bao gồm cả siêu dữ liệu có nguồn gốc từ dữ liệu đó.

Vệ sinh dữ liệu và xử lý thiết bị lưu trữ

Nhà cung cấp dịch vụ của người dùng phải đảm bảo rằng dữ liệu đã lưu trữ trước đó không thể bị người khác truy cập trái phép sau khi dữ liệu đó được di chuyển hoặc xóa. Các tình huống mà thiết bị được sử dụng để cung cấp dịch vụ đã hết hạn phải được xử lý theo cách không làm ảnh hưởng đến tính bảo mật của dịch vụ hoặc dữ liệu người dùng được lưu trữ.

Khả năng phục hồi và khả năng sẵn có về mặt vật lý

Người dùng nên ưu tiên một dịch vụ đáp ứng các yêu cầu sau:

- Có các cam kết về tính khả dụng của dịch vụ, bao gồm khả năng phục hồi sau sự cố, đáp ứng nhu cầu kinh doanh của người dùng.

- Nhà cung cấp có thể lưu trữ dịch vụ của người dùng trên nhiều trung tâm dữ liệu, vùng khả dụng hoặc khu vực địa lý. Nhà cung cấp dịch vụ của người dùng nên mô tả cách họ đảm bảo khả năng phục hồi trong một số loại sự cố như mất điện, thiên tai.

- Bảo vệ dữ liệu của người dùng khỏi các cuộc tấn công mã độc tống tiền. Nhà cung cấp dịch vụ có thể cung cấp khả năng tự động tạo bản sao lưu dữ liệu của người dùng. Các bản sao lưu này phải cung cấp khả năng khôi phục hoặc hoàn nguyên dữ liệu về trạng thái tốt.

NGUYÊN TẮC 3: PHÂN TÁCH GIỮA CÁC KHÁCH HÀNG

Khách hàng đã bị lây nhiễm mã độc hoặc đã bị xâm phạm của dịch vụ không được phép truy cập hoặc ảnh hưởng đến dịch vụ hoặc dữ liệu của người khác. Nhà cung cấp dịch vụ cần phải triển khai các ranh giới bảo mật hiệu quả trong cách chạy code, lưu trữ dữ liệu và quản lý mạng.

Người dùng dựa vào các ranh giới bảo mật do nhà cung cấp dịch vụ đám mây, từ đó đảm bảo rằng họ có thể kiểm soát ai có thể truy cập vào dữ liệu của chính mình và cách thức phản ứng cũng như dịch vụ đủ mạnh,  nhằm chống lại việc khách hàng khác có mã độc trong phiên bản dịch vụ của họ.

NGUYÊN TẮC 4: KHUÔN KHỔ QUẢN TRỊ

Nhà cung cấp dịch vụ phải có một khuôn khổ quản trị bảo mật phối hợp và chỉ đạo việc quản lý dịch vụ và thông tin trong đó. Cụ thể, người dùng nên tìm kiếm các khuôn khổ quản trị tốt, bao gồm:

- Một đại diện Hội đồng quản trị được xác định rõ ràng (hoặc một người có thẩm quyền được ủy quyền trực tiếp) chịu trách nhiệm về bảo mật của dịch vụ đám mây. Người này thường có chức danh là Giám đốc an ninh, Giám đốc thông tin hoặc Giám đốc kỹ thuật.

- Một khuôn khổ được ghi chép lại về quản trị bảo mật và quản lý rủi ro với các chính sách quản lý tất cả khía cạnh chính của bảo mật thông tin có liên quan đến dịch vụ.

- Bảo mật và an ninh thông tin là một phần trong cơ chế báo cáo rủi ro tài chính và hoạt động của nhà cung cấp dịch vụ, đảm bảo hội đồng quản trị sẽ được cập nhật về rủi ro bảo mật và thông tin.

- Các quy trình được xác định rõ ràng và đảm bảo tuân thủ các yêu cầu pháp lý và quy định hiện hành.

NGUYÊN TẮC 5: AN NINH VẬN HÀNH

Dịch vụ cần được vận hành và quản lý an toàn để phát hiện hoặc ngăn chặn các cuộc tấn công. Điều này đạt được thông qua sự kết hợp giữa quản lý lỗ hổng, giám sát bảo vệ, quản lý cấu hình và quản lý sự cố. Trong đó:

- Quản lý lỗ hổng: Nhà cung cấp phải có quy trình quản lý lỗ hổng để xác định, phân loại và giảm thiểu lỗ hổng trong mọi thành phần của dịch vụ mà họ chịu trách nhiệm.

- Giám sát bảo vệ: Nhà cung cấp dịch vụ cần giám sát, phát hiện các cuộc tấn công thành công và không thành công vào toàn bộ dịch vụ hoặc các phần của dịch vụ.

- Quản lý sự cố: Nhà cung cấp dịch vụ cần có các quy trình quản lý sự cố được lập kế hoạch trước để có nhiều khả năng đưa ra các quyết định hiệu quả và nhanh chóng khi sự cố xảy ra.

- Quản lý cấu hình: Nhà cung cấp phải nắm được và có biện pháp quản lý những thay đổi trong cấu hình có thể ảnh hưởng đến tính bảo mật của dịch vụ và giảm thiểu hoàn toàn các lỗ hổng trong hệ thống.

NGUYÊN TẮC 6: AN NINH NHÂN SỰ

Đối với an ninh nhân sự cần được xem xét trên hai khía cạnh đó là:

- Con người và văn hóa an ninh: Nhà cung cấp dịch vụ phải tiến hành kiểm tra an ninh và đào tạo an ninh thường xuyên cho nhân viên, phù hợp với vai trò và đặc quyền của họ. Nhà cung cấp phải làm rõ cách họ kiểm tra và quản lý nhân viên trong các vai trò được hưởng đặc quyền. Người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây áp dụng các biện pháp kiểm soát kỹ thuật để giảm khả năng xảy ra hành vi xâm phạm vô tình hoặc cố ý của nhân viên.

- Kiểm soát kỹ thuật cho quản lý dịch vụ: An ninh nhân sự nên kết hợp kiểm tra lý lịch và kiểm soát bằng các biện pháp kỹ thuật được thiết kế để phát hiện và giảm thiểu tác động của người trong cuộc có ý đồ xấu.

Người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây áp dụng các biện pháp kiểm soát bao gồm:

- Người quản trị và nhân viên chỉ được quyền quản trị tối thiểu tạm thời để giải quyết một vấn đề cụ thể (cần yêu cầu thêm các đặc quyền khi cần thiết).

- Yêu cầu về các đặc quyền bổ sung được liên kết với phiếu hỗ trợ khách hàng hoặc yêu cầu thay đổi nội bộ.

- Quyền truy cập vào dữ liệu khách hàng chỉ được cấp nếu khách hàng đã cấp quyền truy cập có giới hạn thời gian rõ ràng (điều này áp dụng theo từng trường hợp cụ thể).

NGUYÊN TẮC 7: PHÁT TRIỂN AN TOÀN

Tự động hóa

Phần mềm do nhà cung cấp đám mây triển khai phải được xây dựng và thử nghiệm bằng cách sử dụng các quy trình tự động và cơ sở hạ tầng dưới dạng mã để có thể thực thi các yêu cầu bảo mật và tạo ra dấu vết kiểm tra.

Các biện pháp này giúp ngăn chặn và phát hiện những kẻ xấu can thiệp vào phần mềm. Tự động hóa cũng làm tăng tính nhất quán của quy trình triển khai, hỗ trợ vá lỗi, phản hồi sự cố và tình trạng bảo mật chung của phần mềm. Nhà cung cấp phải theo dõi được mã nguồn tất cả phần mềm mà họ đã triển khai.

Tiêu chuẩn và chứng nhận

Tiêu chuẩn bảo mật có sẵn với các cơ chế chứng nhận. Chúng có thể được sử dụng giúp tạo sự tin tưởng vào hiệu quả của vòng đời phát triển phần mềm của nhà cung cấp.

Quản lý phần mềm của bên thứ ba

Người dùng nên đảm bảo rằng khi nhà cung cấp của họ mua dịch vụ, thành phần phần mềm hoặc dịch vụ phát triển từ bên thứ ba phải an toàn phù hợp. Điều này phải đạt được thông qua quy trình chuỗi cung ứng của nhà cung cấp đám mây.

Tương tự như vậy, việc nhà cung cấp đám mây sử dụng các phần mềm phụ thuộc của bên thứ ba phải được theo dõi và quản lý rủi ro, theo quy trình chuỗi cung ứng của họ. Các phần mềm phụ thuộc của bên thứ ba này cần được cập nhật, áp dụng các bản vá bảo mật và phải được duy trì tích cực.

NGUYÊN TẮC 8: AN NINH CHUỖI CUNG ỨNG

Nhà cung cấp dịch vụ phải đảm bảo rằng chuỗi cung ứng của mình đáp ứng các tiêu chuẩn bảo mật. Các dịch vụ đám mây thường được xây dựng dựa trên các nền tảng cơ sở hạ tầng (IaaS) hoặc nền tảng phát triển ứng dụng (PaaS) của các công ty khác. Vì vậy, điều quan trọng là phải làm rõ ai chịu trách nhiệm thực hiện những biện pháp bảo mật nào. Cần đặc biệt chú ý đến những vấn đề sau đây.

- Tách biệt giữa các người dùng: Việc sử dụng nhiều lớp dịch vụ có thể gây ra sự phức tạp khi muốn hiểu rõ về cách người dùng được tách biệt với nhau. Do đó, cần phải phân loại người dùng theo từng nhóm cụ thể.

- Dữ liệu nhạy cảm: Nếu phần mềm hoặc dữ liệu của người dùng thuộc loại nhạy cảm và cần được bảo mật cao, cần phải xem xét kỹ lưỡng tất cả các lớp dịch vụ nền tảng mà nó đang sử dụng khi đánh giá mức độ an toàn.

- Chia sẻ dữ liệu: Người dùng nên tìm hiểu cách bên thứ ba chia sẻ dữ liệu cá nhân (hoặc dữ liệu có nguồn gốc từ dữ liệu đó).

NGUYÊN TẮC 9: QUẢN LÝ NGƯỜI DÙNG AN TOÀN

Nhà cung cấp dịch vụ cần cung cấp cho người dùng các công cụ để họ có thể tự quản lý việc sử dụng dịch vụ một cách an toàn. Các công cụ này giúp người dùng ngăn chặn những truy cập không được phép và những thay đổi trái phép đối với tài nguyên, ứng dụng và dữ liệu của họ. Thông thường, điều này bao gồm một hệ thống phân quyền truy cập, cho phép người dùng thiết lập các biện pháp kiểm soát dựa trên vai trò của từng người dùng đối với toàn bộ dịch vụ và dữ liệu được lưu trữ.

Người dùng nên ưu tiên những nhà cung cấp dịch vụ đám mây sau:

- Dễ dàng quản lý ở quy mô lớn.

- Dễ dàng xem các quyền truy cập được áp dụng cho tất cả các tài nguyên.

- Sử dụng một cơ chế kiểm soát truy cập cho tất cả các quyết định cấp phép.

- Người dùng có thể xóa các quyền không được sử dụng.

- Cho phép người dùng giới hạn thời gian cho các quyền truy cập có đặc quyền cao.

NGUYÊN TẮC 10: NHẬN DẠNG VÀ XÁC THỰC

Mọi quyền truy cập vào giao diện dịch vụ phải được giới hạn bởi một danh tính được xác thực và ủy quyền an toàn, có thể thuộc về người dùng hoặc máy. Chỉ những danh tính đã được xác thực và ủy quyền mới có thể truy cập vào các dịch vụ và dữ liệu. Quan trọng là xác thực phải diễn ra trên các kênh an toàn, như được mô tả trong Nguyên tắc 1: Bảo vệ dữ liệu trong quá trình truyền tải.

Người dùng nên ưu tiên những nhà cung cấp dịch vụ đám mây sau:

- Có các biện pháp để xác định và thu hồi thông tin đăng nhập bị vi phạm.

- Mang lại cho người dùng sự tin tưởng khi kết nối với dịch vụ xác thực.

- Nhắc nhở người quản trị xác minh lại bằng xác thực đa yếu tố MFA khi thực hiện các hành động có đặc quyền cao.

NGUYÊN TẮC 11: BẢO VỆ GIAO DIỆN BÊN NGOÀI

Tất cả các giao diện bên ngoài hoặc ít tin cậy của dịch vụ phải được xác định và bảo vệ phù hợp. Các biện pháp phòng thủ có thể bao gồm: giao diện lập trình ứng dụng (API), bảng điều khiển web, giao diện dòng lệnh (CLI) hoặc dịch vụ kết nối trực tiếp. Ngoài ra, còn có giao diện quản trị của nhà cung cấp, giao diện người dùng sử dụng để truy cập dịch vụ và bất kỳ giao diện nào được xây dựng trên dịch vụ đám mây. Người dùng nên ưu tiên những nhà cung cấp dịch vụ đám mây sau:

- Cho biết giao diện hoặc dịch vụ nào được đưa lên Internet, làm nổi bật những giao diện hoặc dịch vụ được đưa lên Internet mà không cần xác thực.

- Giúp người dùng dễ dàng hiểu được biện pháp phòng thủ nào được áp dụng để bảo vệ từng giao diện bên ngoài với dữ liệu của người dùng.

- Cung cấp các biện pháp phòng thủ dễ sử dụng chống lại các cuộc tấn công phổ biến đối với các giao diện.

NGUYÊN TẮC 12: QUẢN LÝ DỊCH VỤ AN TOÀN

Các nhà cung cấp dịch vụ đám mây cần nhận thức rõ tầm quan trọng đặc biệt của hệ thống quản trị của họ. Việc thiết kế, triển khai và quản lý các hệ thống này phải tuân theo các tiêu chuẩn tốt nhất của doanh nghiệp. Lý do là vì các hệ thống mà nhà cung cấp sử dụng để quản lý dịch vụ đám mây của họ thường có quyền truy cập rất lớn vào dịch vụ đó. Nếu những hệ thống này bị xâm nhập, hậu quả sẽ rất nghiêm trọng. Kẻ tấn công có thể dễ dàng vượt qua các biện pháp bảo mật hiện có và đánh cắp hoặc thay đổi một lượng lớn dữ liệu.

Vì vậy, người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây áp dụng nhiều lớp quy trình và biện pháp kiểm soát hệ thống quản trị của họ, tránh tình trạng cấp quyền quá mức và khó kiểm soát.

NGUYÊN TẮC 13: KIỂM TOÁN THÔNG TIN VÀ CẢNH BÁO CHO KHÁCH HÀNG

Người dùng phải có khả năng xác định các sự cố bảo mật và phải có thông tin cần thiết để tìm hiểu cách thức và thời điểm chúng xảy ra. Nhà cung cấp phải cung cấp nhật ký cần thiết để theo dõi quyền truy cập vào dịch vụ của người dùng và dữ liệu được lưu trữ trong đó. Điều này sẽ yêu cầu các nội dung sau:

Thông tin kiểm toán

Người dùng phải được cung cấp dữ liệu kiểm toán cần thiết để điều tra các sự cố liên quan đến dữ liệu được lưu giữ trong đó. Điều này có tác động trực tiếp đến khả năng ứng phó với sự cố trong khoảng thời gian hợp lý. Thông tin kiểm toán chủ yếu được sử dụng trong các cuộc điều tra pháp lý để xác định cách thức và thời điểm xảy ra một cuộc tấn công và tác động của cuộc tấn công đó. Người dùng nên đảm bảo rằng thông tin kiểm toán có sẵn sẽ phù hợp và đủ cho các cuộc điều tra pháp lý.

Cảnh báo bảo mật

Người dùng sẽ được cung cấp cảnh báo khi nhà cung cấp phát hiện các cuộc tấn công vào dữ liệu của người dùng hoặc việc người dùng sử dụng dịch vụ của họ. Nhà cung cấp đám mây sẽ là tuyến phòng thủ đầu tiên để xác định và ngăn chặn các cuộc tấn công phổ biến.

Người dùng nên ưu tiên những nhà cung cấp dịch vụ đám mây sau:

- Có cảnh báo người dùng khi cấu hình dịch vụ của người dùng gây ra vấn đề bảo mật.

- Giúp người dùng dễ dàng nhận và phản hồi cảnh báo tự động.

Nhà cung cấp đám mây phải cung cấp cảnh báo bảo mật kịp thời, sử dụng các định dạng đáp ứng nhu cầu của người dùng. Đồng thời, phải ghi lại từng loại cảnh báo mà họ có thể gửi và giúp người dùng biết cách xử lý các cảnh báo trước khi sự cố xảy ra và phải cảnh báo người dùng khi họ phát hiện dấu hiệu của sự cố bảo mật khi người dùng sử dụng dịch vụ của họ, chẳng hạn như:

- Có hoạt động bất thường của các tài khoản đặc quyền.

- Kiểm tra xác thực bị xóa hoặc các dịch vụ được cung cấp cho Internet một cách bất ngờ.

- Máy chủ của người dùng liên lạc với các máy chủ có phần mềm độc hại đã được biết đến.

- Lượng dữ liệu gửi đi tăng đột biến mà không rõ nguyên nhân.

- Sao chép dữ liệu bất thường giữa các tài khoản người dùng.

- Lượng lớn dữ liệu bị xóa một cách bất thường.

Nhà cung cấp có thể phải đánh dấu mức độ cảnh báo để giúp người dùng nhận biết mức độ nghiêm trọng của sự cố tiềm ẩn.

NGUYÊN TẮC 14: SỬ DỤNG DỊCH VỤ AN TOÀN

Nhà cung cấp dịch vụ đám mây phải giúp người dùng dễ dàng đáp ứng các trách nhiệm bảo vệ dữ liệu của mình một cách đầy đủ và được bảo mật theo thiết kế và theo mặc định.

Bảo mật theo thiết kế và theo mặc định

Nên ưu tiên những dịch vụ đám mây sau:

- Đáp ứng tất cả các yêu cầu được mô tả trong Nguyên tắc từ 1-13 theo thiết kế hoặc trong cấu hình mặc định của nó.

- Các tính năng bảo mật nâng cao có thể cấu hình tùy chọn tham gia hoặc không. Nếu bên thứ ba có quyền truy cập vào dữ liệu của người dùng, cần phải đánh giá riêng dịch vụ của họ theo 14 nguyên tắc bảo mật đám mây này.

- Có biện pháp bảo vệ chống lại các cuộc tấn công mạng phổ biến như DDoS.

Nếu nhà cung cấp dịch vụ hỗ trợ tất cả các yêu cầu được liệt kê nhưng không bật chúng theo mặc định, nhà cung cấp có thể giúp người dùng dễ dàng cấu hình dịch vụ để đáp ứng các yêu cầu được mô tả trong các nguyên tắc này. Ngay cả khi nhà cung cấp áp dụng bảo mật theo mặc định, việc cấu hình của các dịch vụ đám mây mà người dùng sử dụng vẫn là trách nhiệm của người dùng.

Giúp khách hàng đáp ứng trách nhiệm bảo mật của họ

Người dùng nên ưu tiên nhà cung cấp:

- Đưa ra cảnh báo nếu cấu hình dịch vụ của người dùng có thể làm giảm khả năng bảo mật.

- Cung cấp cho người dùng các công cụ giúp người dùng hoàn thành trách nhiệm của mình.

- Giám sát, tự động đưa ra thông báo khi các bản cập nhật bảo mật bị thiếu hoặc khi có bản cập nhật bảo mật mới.