Bảo vệ cơ sở hạ tầng đám mây lai thông qua quản lý truy cập đặc quyền
Diễn đàn - Ngày đăng : 19:58, 24/10/2018
Cơ sở hạ tầng đám mây đi kèm tự động hóa cho phép các doanh nghiệp nâng cao hiệu quả hoạt động, nhưng cũng tiềm ẩn nhiều rủi ro bảo mật.
Balaji Parimi , Giám đốc điều hành và người sáng lập CloudKnox Security, phát biểu với Help Net Security "Bất kể mô hình đám mây bạn đang sử dụng là gì, một truy cập không hợp pháp có thể dẫn đến những thiệt hại nghiêm trọng, cho dù do sự cẩu thả (ví dụ, lỗi đánh máy) hoặc ác ý (ví dụ: chứng nhận bị xâm phạm hoặc nội bộ độc hại.
Ví dụ tiêu biểu là sự cố của AWS năm 2017, một lệnh không chính xác khiến hàng chục trang web và ứng dụng rớt mạng gây ảnh hưởng đến hàng trăm nghìn doanh nghiệp với tổn thất lên đến hàng triệu đô la.
May mắn thay, các doanh nghiệp đang bắt đầu hiểu rằng việc quản lý bảo mật trên đám mây khác với việc bảo vệ môi trường CNTT truyền thống. Những công ty nắm bắt các giải pháp dựa trên đám mây và tự động hóa làm nền tảng cho chiến lược an ninh mạng sẽ dễ dàng thành công hơn.
Những thách thức trong việc bảo vệ cơ sở hạ tầng đám mây lai
Thách thức lớn nhất đối với các doanh nghiệp để bảo vệ môi trường đám mây là mất khả năng bao quát tổng thể và sự thiếu kiểm soát các thành phần quan trọng.
“Các giám đốc an ninh mạng cần hiểu đúng về các rủi ro bằng cách hiểu biết đầy đủ về môi trường an ninh mạng của doanh nghiệp mình” với các câu hỏi “Ai có thể truy cập vào cơ sở hạ tầng? Họ có đặc quyền gì? Họ có thể làm gì với những đặc quyền đó? Họ đang sử dụng đặc quyền gì? Tài nguyên nào họ đang khai thác?
Dựa trên những phát hiện này, một kế hoạch giảm thiểu rủi ro có thể được đưa ra bằng cách xác định rõ quyền truy cập. Bất kỳ việc lạm dụng đặc quyền truy cập đều có thể gây gián đoạn dịch vụ, suy giảm dịch vụ, rò rỉ dữ liệu hoặc phá hủy hoạt động toàn hệ thống.
Do đó, cần triển khai đặc quyền truy cập tối thiểu bao gồm các biện pháp
• Đa dạng môi trường điện toán (ví dụ: đám mây ảo, riêng tư, đám mây lai, đa đám mây)
• Các phương tiện khác nhau (ví dụ: máy chủ, máy ảo, vùng chứa, không có máy chủ, v.v.)
• Chia nhỏ nhóm (ví dụ: nhân viên, bên thứ ba, bot, tài khoản dịch vụ, khóa API, tài nguyên, vai trò, nhóm)
Cuối cùng, cần phải kiểm soát liên tục các hoạt động và hành vi để đánh giá lại hồ sơ rủi ro một cách thường xuyên, cũng như khả năng nhanh chóng tạo ra khung pháp lý của tất cả các truy cập đặc quyền và tài nguyên bị ảnh hưởng (hữu ích cho việc tuân thủ, kiểm toán, mà còn để phòng ngừa và khắc phục sự cố).