Bảo mật Hybrid Cloud là gì?

Bảo mật đám mây lai đề cập đến các chiến lược, công nghệ và hoạt động thực tiễn được thiết kế để bảo vệ dữ liệu, ứng dụng và cơ sở hạ tầng trên cả môi trường đám mây công cộng và riêng tư.

Cách tiếp cận này đảm bảo các biện pháp kiểm soát bảo mật được áp dụng nhất quán, bất kể tài sản nằm ở đâu, bằng cách tích hợp quản lý danh tính và quyền truy cập (IAM), mã hóa, phân đoạn mạng và giám sát liên tục.

Một khuôn khổ bảo mật đám mây lai được thiết kế tốt giúp các tổ chức quản lý rủi ro trên các môi trường đa nền tảng, năng động, thích ứng với các mối đe dọa đồng thời hỗ trợ tuân thủ và khả năng phục hồi hoạt động.

Trong triển khai lai thực tế, các tổ chức sử dụng một cơ sở hạ tầng cho hệ thống và dữ liệu chính của họ, trong khi cơ sở hạ tầng còn lại được sử dụng để sao lưu. Trong trường hợp xảy ra lỗi, các tổ chức có thể chuyển đổi giữa hai cơ sở hạ tầng.

Tuy nhiên, môi trường lai thường tạo ra điểm mù bảo mật. Những điểm mù này có thể bao gồm API chưa được xác thực, triển khai trái phép thiếu cấu hình bảo mật và cấu hình sai.

Mặc dù không có môi trường nào hoàn toàn an toàn, nhưng rủi ro có thể được giảm đáng kể. Áp dụng các biện pháp thực hành tốt nhất đã được chứng minh giúp các tổ chức tăng cường khả năng phòng thủ và hạn chế rủi ro.

Trong môi trường đám mây lai, phạm vi tấn công lớn hơn và chỉ cần một sai sót về cấu hình hoặc chính sách truy cập yếu cũng có thể dẫn đến vi phạm.  

Ngay cả Cơ quan Tình báo và An ninh Lục quân Hoa Kỳ cũng từng gặp phải tình trạng rò rỉ dữ liệu do cấu hình sai. 

Ngoài ra còn có áp lực tuân thủ quy định khi có nhiều quy tắc khác nhau được áp dụng tùy thuộc vào nơi dữ liệu được lưu trữ hoặc chia sẻ. 

Cuối cùng, bản chất phân tách của các thiết lập kết hợp làm phức tạp việc lập kế hoạch khôi phục sau thảm họa và chuyển đổi dự phòng, do đó việc quản lý tính liên tục của hoạt động kinh doanh trở nên khó khăn hơn.

Các mối đe dọa trong môi trường này xuất phát từ nhiều lỗ hổng kỹ thuật và sự giám sát của con người. 

Sự chuyển đổi nhanh chóng sang hình thức làm việc từ xa và cơ sở hạ tầng đám mây sau COVID-19 chỉ làm trầm trọng thêm những rủi ro này vì nhiều tổ chức đã thực hiện quá trình chuyển đổi mà không có khuôn khổ bảo mật được phát triển đầy đủ. 

Để giảm thiểu đúng mức những thách thức này, trước tiên chúng ta phải hiểu rõ các vấn đề.

Cấu hình sai vẫn là một trong những vấn đề phổ biến nhất trong đám mây, biểu hiện qua việc kiểm soát quyền truy cập không đúng cách, lưu trữ bị lộ hoặc các thành phần lỗi thời. 

Một mối lo ngại nghiêm trọng khác là sự di chuyển ngang sau khi bị xâm nhập; một khi kẻ tấn công xâm nhập vào cơ sở hạ tầng của bạn, chúng có thể di chuyển qua các hệ thống để tìm kiếm các tài sản nhạy cảm. 

Mô hình kết hợp, trải dài trên nhiều nền tảng, khiến loại hoạt động này khó bị phát hiện và ngăn chặn hơn. 

Cuối cùng, các mối đe dọa nội bộ cũng gây ra rủi ro thực sự, đặc biệt là khi quyền hạn không được quản lý chặt chẽ. 

Cloud - Các mối đe dọa cụ thể như phần mềm độc hại, phần mềm tống tiền và vi phạm dữ liệu sẽ trở nên nghiêm trọng hơn trong môi trường kết hợp, nơi dữ liệu liên tục di chuyển giữa các hệ thống tại chỗ và nền tảng đám mây . 

Động tác này mở rộng phạm vi tấn công, tạo cho đối thủ nhiều cơ hội lẩn tránh mà không bị phát hiện. 

Các nhóm ransomware hiện sử dụng các công cụ dựa trên AI để vượt qua các biện pháp phòng thủ tiêu chuẩn, trong khi vi phạm dữ liệu ngày càng gây ra nhiều thiệt hại hơn. 

Việc tải tệp tin có tính chất vũ khí cũng đã trở thành mối đe dọa ngày càng gia tăng trong các thiết lập đám mây lai.  

Kẻ gian thường nhúng phần mềm độc hại vào các tệp có vẻ vô hại để vượt qua bộ lọc bảo mật và phát tán mã độc mà không bị phát hiện.  

Các công nghệ như Deep CDR (Giải trừ và Tái thiết Nội dung) có thể vô hiệu hóa các mối đe dọa này bằng cách loại bỏ mã độc khỏi các tệp trước khi chúng có thể gây ra bất kỳ thiệt hại nào. 

Thiết lập kết hợp cũng có thể làm mờ ranh giới trách nhiệm, dẫn đến điểm yếu trong kiểm soát truy cập hoặc vá lỗi. 

Các nền tảng bên trong thiết lập kết hợp có thể được điều chỉnh bởi các luật khác nhau về nơi lưu trữ dữ liệu và cách xử lý dữ liệu.

Sự gia tăng trong việc áp dụng đám mây lai, được thúc đẩy bởi đại dịch COVID-19, đã khiến vấn đề bảo mật trở nên quan trọng hơn bao giờ hết.

Các tổ chức nhanh chóng chuyển sang làm việc từ xa và cơ sở hạ tầng đám mây, nhưng nhiều tổ chức không có khuôn khổ bảo mật đầy đủ cho môi trường phân tán, đa nền tảng như vậy. Sự gia tăng áp dụng đám mây này tạo ra nhiều điểm vào hơn cho kẻ tấn công và làm phức tạp việc quản lý tuân thủ.

Trong một hệ thống đa dạng như vậy, việc điều chỉnh các quy trình của bạn theo các yêu cầu pháp lý như GDPR, quy định rằng một số dữ liệu nhất định phải nằm trong EU, là một điều quá sức.

Khi xem xét mọi rủi ro, bảo mật đám mây lai vẫn mang lại nhiều lợi thế mạnh mẽ, đặc biệt khi so sánh với hệ thống đám mây đơn hoặc tại chỗ .

Một số nguyên tắc cơ bản quan trọng cho bảo mật đám mây lai bao gồm bảo mật Zero Trust, đảm bảo không có thực thể nào được tin cậy theo mặc định và các cân nhắc về bảo mật chuỗi cung ứng.

Phần sau tập trung vào việc bảo vệ các phần phụ thuộc và phần mềm của bên thứ ba.

Để tổ chức các hoạt động bảo mật, nhiều nhóm áp dụng Ma trận kiểm soát Cloud (CCM) từ Cloud Liên minh an ninh.  

CCM phân tích các miền kiểm soát cụ thể của đám mây như quản lý danh tính, bảo mật cơ sở hạ tầng và tuân thủ, đồng thời liên kết chúng với các tiêu chuẩn toàn cầu như ISO và NIST.  

Nó cũng giúp xác định vai trò và trách nhiệm trên các mô hình dịch vụ IaaS, PaaS và SaaS, đặc biệt hữu ích trong các thiết lập kết hợp. 

Các công cụ CSPM giải quyết rủi ro do lỗi của con người - nguyên nhân chính gây ra các vấn đề bảo mật - bằng cách tìm và sửa các cấu hình sai.

Đám mây lai vừa là công cụ hỗ trợ mạnh mẽ vừa là môi trường có tính rủi ro đặc biệt. 

Trong bối cảnh này, một khuôn khổ bảo mật đám mây lai đòi hỏi một cách tiếp cận riêng biệt, đa diện, với một số yếu tố chính.

IAM là một khuôn khổ kiểm soát truy cập, đảm bảo rằng chỉ những cá nhân phù hợp mới có thể truy cập vào đúng tài nguyên vào đúng thời điểm vì đúng lý do. 

IAM đóng vai trò trung tâm trong môi trường kết hợp, nơi danh tính trải dài trên nhiều dịch vụ đám mây và tại chỗ.  

Trong khuôn khổ IAM, có hai phương pháp có hiệu quả cao:

• (RBAC) Kiểm soát truy cập dựa trên vai trò
• (PAM) Quản lý truy cập đặc quyền

RBAC chỉ định quyền dựa trên vai trò của người dùng trong tổ chức, giới hạn dữ liệu và hành động mà họ có thể truy cập hoặc thực hiện. Các vai trò thường dựa trên chức năng công việc (ví dụ: nhà phát triển, nhà phân tích, nhân sự) và mỗi vai trò có một tập hợp quyền truy cập được xác định trước.

Phương pháp này thực thi nguyên tắc đặc quyền tối thiểu, đảm bảo người dùng chỉ được truy cập vào những gì họ cần. Nó cũng giúp quản lý và tuân thủ bằng cách cấu trúc quyền truy cập một cách hợp lý.

Ngược lại với RBAC chỉ phân bổ quyền dựa trên chức năng công việc, PAM được sử dụng để bảo mật và quản lý quyền truy cập vào các tài khoản có đặc quyền, cụ thể là những tài khoản có quyền quản trị hoặc quyền truy cập vào các hệ thống quan trọng.

Trong thiết lập kết hợp, PAM rất quan trọng để bảo mật các lớp quản lý cơ sở hạ tầng (ví dụ: bộ điều khiển miền, cổng quản trị đám mây) và kiểm soát quyền truy cập vào bảng điều khiển quản lý đám mây (ví dụ: gốc AWS, quản trị toàn cầu Azure).

SOC là đơn vị tập trung có chức năng giám sát, phát hiện, ứng phó và giảm thiểu các mối đe dọa an ninh. 

Đơn vị này sử dụng con người, quy trình và công nghệ để phối hợp phát hiện và ứng phó mối đe dọa với hoạt động giám sát 24/7.

CASB là điểm thực thi chính sách bảo mật giữa người dùng dịch vụ đám mây (tổ chức) và nhà cung cấp.

Trong CASB, các tổ chức chịu trách nhiệm về những gì họ tải lên và cách họ tương tác với đám mây, ngay cả khi họ không vận hành cơ sở hạ tầng.

CASB giúp phát hiện và quản lý CNTT ngầm, chuyển động dữ liệu và hành vi của người dùng, giúp CNTT phát hiện ra các công cụ trái phép đang được sử dụng.

Đối với cơ sở hạ tầng lai, CASB cho phép quản trị thống nhất. Nhờ đó, bảo mật và tính tuân thủ tại chỗ sẽ không bị ảnh hưởng khi dữ liệu được chuyển lên đám mây.

Trong thiết lập kết hợp, các kiến trúc sư bảo mật cần một bộ công cụ, biện pháp thực hành và chính sách có thể được triển khai liền mạch trên các hệ thống đám mây và tại chỗ.

CSPM là các công cụ tự động đánh giá và quản lý cấu hình đám mây. Mục đích của chúng là phát hiện các cấu hình sai, vi phạm tuân thủ và cài đặt rủi ro trên các môi trường đám mây. 

Chúng đặc biệt hữu ích cho các đám mây lai vì các thiết lập này rất phức tạp và năng động, với những thay đổi thường xuyên trên môi trường đám mây công cộng và tại chỗ.

Đây là một quy trình hơn là một công cụ, đề cập đến việc thu thập và phân tích liên tục các bản ghi, số liệu và sự kiện bảo mật để phát hiện các mối đe dọa. 

Để giải pháp này có hiệu quả, việc giám sát cần phải được kết hợp với quy trình xác định để điều tra và ứng phó với các sự cố. 

Trong môi trường kết hợp, quy trình này cung cấp chế độ xem mối đe dọa thống nhất trên các thiết bị hoặc phần mềm phân tán như ứng dụng đám mây, SaaS, tường lửa tại chỗ, máy chủ và điểm cuối.

Cuối cùng, chúng ta có thể sử dụng các công cụ và tập lệnh để thực thi chính sách bảo mật tự động. Các chính sách này có thể có nghĩa là vô hiệu hóa các tài nguyên không tuân thủ, thực thi mã hóa hoặc chặn các dịch vụ không được chấp thuận. 

Việc thực thi tự động đảm bảo các quy tắc bảo mật được áp dụng cùng với khối lượng công việc, bất kể khối lượng công việc đó có đến nơi hay không.

Bên cạnh tất cả các công cụ và chính sách, khuôn khổ bảo mật đám mây lai cũng được xây dựng dựa trên các chiến thuật hoạt động như:

Khi nói đến việc bảo vệ cơ sở hạ tầng đám mây lai, thách thức không nằm ở các công nghệ được sử dụng mà nằm ở sự phối hợp và tính nhất quán trên mọi môi trường.

Về bản chất, cơ sở hạ tầng đám mây lai được quản lý bởi nhiều công cụ, chính sách và biện pháp kiểm soát.

Điều này buộc các nhóm bảo mật phải sử dụng nhiều nền tảng, làm tăng nguy cơ cấu hình sai.

Hơn nữa, nếu một hệ thống thay đổi, nó không tự động đồng bộ với các hệ thống khác. Điều này dẫn đến nhiều rủi ro giám sát hơn.

Bản chất đa dạng của thiết lập kết hợp cũng dẫn đến việc thiếu thông tin chi tiết nhất quán về việc ai đang truy cập vào dữ liệu nào, dữ liệu lưu trú ở đâu và cách cấu hình tài nguyên trên mọi môi trường.

Dữ liệu phân tán có thể ẩn chứa những rủi ro quan trọng.

Để giải quyết những thách thức này, cần có các chiến lược nhằm quản lý tính phức tạp một cách chiến lược, giảm thiểu bề mặt tấn công và đảm bảo kiểm soát nhất quán trên cả môi trường tại chỗ và đám mây.

Ý tưởng là tạo ra một bộ quy tắc chung cho mọi môi trường, do đó tránh bị rối rắm trong sự phức tạp của từng thiết lập. 

Các tổ chức có thể triển khai một hệ thống nhận dạng để quản lý những ai có thể đăng nhập và những gì họ có thể truy cập.  

Các công cụ như Azure AD hoặc Okta hỗ trợ đăng nhập một lần và xác thực đa yếu tố. 

Một ý tưởng khác là xây dựng các mẫu chính sách cho các nhu cầu lặp lại như quy tắc mật khẩu, quy tắc mạng và yêu cầu mã hóa. 

Cuối cùng, tất cả các chính sách bảo mật cần phải phù hợp với các tiêu chuẩn bên ngoài như GDPR, HIPAA hoặc ISO 27001 để luôn sẵn sàng cho việc kiểm tra.

Nếu mỗi nhóm xem dữ liệu khác nhau bằng các công cụ khác nhau, các cuộc tấn công có thể không bị phát hiện.

Để tránh điểm mù, các tổ chức nên thu thập nhật ký và cảnh báo vào một nơi bằng các công cụ SIEM hoặc SOAR, đồng thời sử dụng các công cụ điểm cuối hoạt động trên nhiều hệ thống.

Sẽ hữu ích nếu các nhóm có một bảng điều khiển duy nhất hiển thị các cảnh báo quan trọng trên tất cả các hệ thống. Điều này giúp các chuyên gia bảo mật phản ứng nhanh hơn và phát hiện ra các mẫu.