12 Rủi ro bảo mật của dịch vụ đám mây

Bản chất tự nhiên của điện toán đám mây là chia sẻ dữ liệu, vì vậy khả năng rủi ro về bảo mật cao nên khi doanh nghiệp muốn ứng dụng điện toán đám mây vào mô hình kinh doanh thì theo CSA, luôn cần cẩn trọng với bảo mật. Vì những dịch vụ này mặc định cho người dùng bỏ qua những chính sách bảo mật chung của doanh nghiệp và thiết lập tài khoản riêng của nhân viên với dịch vụ. Do vậy, doanh nghiệp có thể phải chỉnh sửa và bổ sung các chính sách bảo mật mới cho phù hợp với điện toán đám mây.

1. Rò rỉ dữ liệu

Môi trường đám mây cũng có cùng những rủi ro bảo mật với các hệ thống mạng doanh nghiệp thông thường, nhưng vì có rất nhiều dữ liệu chứa trên các máy chủ đám mây nên nhà cung cấp trở thành đích ngắm hấp dẫn cho kẻ xấu. Mức rủi ro còn tuỳ thuộc vào độ nhạy cảm của dữ liệu. Có thể những thông tin về tài chính cá nhân có mức độ nhạy cảm cao nhất, nhưng có thể đó cũng là những thông tin về sức khoẻ, bí mật thương mại, sở hữu trí tuệ… và chúng cũng có sức tàn phá ghê gớm nếu bị rò rỉ.

Khi xảy ra vụ việc, doanh nghiệp thường bị phạt, hoặc phải đối diện với những cáo buộc. Các điều tra về rò rỉ dữ liệu và đền bù cho khách hàng có thể khiến doanh nghiệp trắng tay. Những hiệu ứng phụ không mấy hay ho có thể là tổn hại về mặt thương hiệu, mất quan hệ đối tác và ảnh hưởng đến kinh doanh trong nhiều năm sau đó.

Các nhà cung cấp dịch vụ điện toán đám mây chắc chắn có những biện pháp riêng, cụ thể để đảm bảo an toàn dữ liệu của khách hàng, nhưng chính doanh nghiệp mới là người chịu trách nhiệm chính trong việc bảo vệ chính dữ liệu của mình trên mây. CSA đề nghị các doanh nghiệp nên sử dụng nhiều bước xác thực khi nhân viên muốn truy xuất dữ liệu và cần có mã hoá dữ liệu trong trường hợp bị lấy cắp.

2. Mất mật khẩu

Rò rỉ dữ liệu và các kiểu tấn công thường nhắm đến việc có được thông tin đăng nhập, như mật khẩu, khoá xác thực hay các chứng thực khác. Doanh nghiệp thường gặp khó với việc quản lí định danh người dùng để xác định đúng người, đúng việc khi truy cập vào dữ liệu trên mây. Quan trọng hơn, doanh nghiệp thường quên gỡ bỏ quyền truy cập người dùng khi người đó làm xong công việc, hay kết thúc dự án.

Các hệ thống xác thực nhiều lớp như mỗi lần đăng nhập là một mật khẩu mới, xác thực qua điện thoại và smartcard bảo vệ tốt cho các dịch vụ đám mây bởi vì chúng khiến kẻ xấu rất khó lòng lấy được dữ liệu cho dù có lấy được mật khẩu người dùng. Vụ rò rỉ của công ty bảo hiểm y tế Anthem hồi năm 2014 để lộ hơn 80 triệu dữ liệu đăng nhập của khách hàng. Anthem không triển khai được xác thực nhiều bước nên một khi kẻ tấn công có được dữ liệu đăng nhập, mọi thứ đều sụp đổ.

Nhiều nhà phát triển nhầm lẫn khi nhúng dữ liệu đang nhập và khoá mã hoá vào ngay trong mã nguồn, và đẩy mã nguồn lên những kho lưu trữ mã nguồn phổ biến như GitHub. Các khoá này cũng cần được bảo mật thích hợp, kể cả những khoá public. CSA cũng cho rằng các khoá này cần thay đổi định kỳ để kẻ tấn công khó lòng chiếm được quyền đăng nhập.

Doanh nghiệp có kế hoạch kết hợp với một nhà cung cấp dịch vụ đám mây cần hiểu rõ các biện pháp bảo mật mà nhà cung cấp sử dụng để bảo vệ nền tảng của họ. Tập trung hoá xác thực trong một giải pháp có rủi ro riêng của nó. Doanh nghiệp cần cân nhắc giữa tính thuận tiện trong việc tập trung hoá đó với rủi ro nếu giải pháp ấy trở thành đích ngắm của kẻ xấu.

3. Giao diện và API bị tấn công

Thực tế là hầu như dịch vụ hay ứng dụng đám mây nào cũng đều có API riêng (application program interface). Đội ngũ CNTT sử dụng giao diện và các API này để quản lý và tương tác với các dịch vụ đám mây, trong đó có cả các chức năng như quản lý, đồng bộ và giám sát dữ liệu trên mây.

Tính bảo mật và sẵn sàng dữ liệu của dịch vụ đám mây, từ việc xác thực, quản lý truy cập cho đến mã hoá và giám sát hoạt động, đều tuỳ thuộc vào bảo mật của API. Rủi ro bảo mật càng cao nếu có bên thứ ba tham gia, còn doanh nghiệp lại khó lòng từ chối cho đối tác cùng cộng tác vào dữ liệu trên mây. Do vậy, nếu giao diện và API có bảo mật kém sẽ để lộ những kẻ hở liên quan đến tính thống nhất, tính sẵn sàng, tính bảo mật và độ tin cậy của dữ liệu.

API và các giao diện thường có xu hướng là những thành phần “lộ” nhất trong một hệ thống, bởi vì chúng thường có công khai trên Internet. CSA đề xuất doanh nghiệp cần đưa ra biện pháp quản lý, và xem đó như là bước phòng vệ đầu tiên. CSA cũng khuyến cáo doanh nghiệp cần tập trung đánh giá và thử nghiệm tự tấn công chính hệ thống của mình thường xuyên để phát hiện lỗi bảo mật.

4. Những lỗ hổng được phát hiện

Lỗ hổng hệ thống, những lỗi trong chương trình không phải là điều gì mới nhưng chúng sẽ trở thành vấn đề lớn hơn nhiều nếu doanh nghiệp đang hướng lên mây. Doanh nghiệp chia sẻ bộ nhớ, cơ sở dữ liệu và các nguồn tài nguyên khác gần như thông suốt nhau trên mây, nên tạo ra những điểm lộ mới.

May mắn là những lỗ hổng bảo mật được giới chuyên gia phát hiện được xếp vào quy trình “cơ bản” trong ngành. Từ lâu nay, cách tốt nhất để xử lý lỗ hổng là quét hệ thống, cập nhật các bản vá và theo dõi các bản tin về bảo mật.

Theo CSA, chi phí cho việc vá lỗ hổng bảo mật trong doanh nghiệp là không cao nếu so với những chi phí khác. Số tiền này dành cho bộ phận CNTT trong doanh nghiệp không đáng là bao so với việc phải bỏ tiền đền bù cho những tổn thất về dữ liệu. Cần vá lỗ hổng càng nhanh càng tốt, ngay khi chúng vừa được phát hiện, tựa như một quy trình tự động.

5. Lừa đảo tài khoản

Lừa đảo, giả mạo và công cụ tấn công vẫn đạt được những thành công nhất định, và các dịch vụ đám mây thêm một đối tượng cần “xử lý” bởi vì kẻ tấn công có thể “nghe trộm” các hoạt động mạng, can thiệp vào giao dịch và chỉnh sửa dữ liệu. Kẻ tấn công cũng có thể dùng ứng dụng đám mây khác để tấn công.

Chiến thuật bảo vệ thông thường vẫn có thể có những kẽ hở. Doanh nghiệp không nên dùng những tài khoản chia sẻ, là một tài khoản nhiều người dùng, giữa các dịch vụ với nhau, cũng như dùng chung những xác thực nhiều bước. Tài khoản, thậm chí tài khoản dịch vụ nào đó, nên được giám sát một cách kỹ càng, để mọi giao dịch đều có thể được theo dõi, được ghi lại. Đây là yếu tố quan trọng để bảo vệ tài khoản và dữ liệu không bị mất cắp.

6. Mã độc bên trong

Hiểm hoạ từ bên trong có nhiều góc độ: cựu nhân viên, người quản trị hệ thống, đối tác kinh doanh, cộng tác viên. Mục đích cũng khác nhau, đơn giản chỉ như lấy dữ liệu, hay trầm trọng là muốn phá hoại. Trong bối cảnh điện toán đám mây, nguy cơ này tỏ ra nguy hiểm hơn rất nhiều vì người bên trong có thể phá huỷ toàn bộ hệ thống hoặc thay đổi dữ liệu. Hệ thống nào chỉ phụ thuộc vào một nhà cung cấp dịch vụ duy nhất về bảo mật, ví dụ như mã hoá, thì rủi ro là lớn nhất.

CSA đề nghị doanh nghiệp quản lý các quy trình và khoá mã hoá của mình, chia nhỏ các phần việc và tối thiểu hoá khả năng truy cập vào dữ liệu đối với nhân viên. Luôn đảm bảo có được tính năng ghi log, giám sát, và kiểm tra nhà quản trị.

CSA cũng ghi nhận rất khó nhận ra khác biệt giữa công việc hàng ngày và các hành vi “lén lút” của người bên trong. Một ví dụ là nhà quản trị có thể vô tình sao chép dữ liệu nhạy cảm của khách hàng lên một máy chủ mở nào đó. Do vậy, để ngăn vấn đề này, cần có phương thức quản trị và đào tạo phù hợp để tránh những lỗi vô tình nhưng lại tối quan trọng với điện toán đám mây.

7. Ký sinh APT

CSA xem tấn công có chủ đích – APT (advanced persistent threat) là hình thức tấn công liên tục, cao cấp và khó nhận diện. APT nhiễm vào các hệ thống và “nằm vùng” trong hệ thống, sau đó lén lút tuồn dữ liệu ra ngoài, theo thời gian cố định nào đó. Về cơ bản, APT giả vờ và hoà vào nguồn dữ liệu thông thường trên hệ thống nên rất khó phát hiện. Các nhà cung cấp dịch vụ đám mây cũng có những kỹ thuật tiên tiến để ngăn ngừa APT nhiễm vào kiến trúc của mình, nhưng khách hàng lại không có được những khả năng chuyên môn để nhận diện ra APT trong tài khoản đám mây hay trong các hệ thống cài đặt sẵn.

Một điểm chung, cơ bản mà APT nhiễm vào hệ thống là qua lừa đảo, tấn công trực tiếp, lưu trữ USB có cài sẵn mã độc và các mạng bên thứ ba đã bị nhiễm. Cụ thể, CSA đề xuất cần đào tạo cho người dùng nhận diện được các kỹ thuật lừa đảo để dễ tránh hơn.

8. Mất dữ liệu tạm thời

Điện toán đám mây đã đủ hoàn thiện, những báo cáo về dữ liệu bị mất tạm thời do lỗi của nhà cung cấp hiếm xảy ra. Nhưng tin tặc chuyên nghiệp hoàn toàn có thể biết được chỉ cần mất dữ liệu nào đó, trong một khoảng thời gian nhất định nào đó cũng đủ gây tổn hại không nhỏ đến doanh nghiệp. Và các trung tâm điện toán đám mây luôn có rủi ro gặp sự cố khách quan, ngoài ý muốn, như thiên tai, cháy nổ…

Những nhà cung cấp dịch vụ đề xuất phân tán dữ liệu và ứng dụng ra nhiều điểm để tăng tính an toàn dữ liệu. Những biện pháp sao lưu cũng cần thiết và là cách thích hợp nhất để giúp cho hoạt động của khách hàng luôn trôi chảy và dễ dàng phục hồi dữ liệu khi gặp sự cố. Sao lưu dữ liệu mỗi ngày, và lưu trữ off-site (lưu nơi khác) luôn rất quan trọng đối với môi trường điện toán đám mây.

Việc bị mất dữ liệu không phải chỉ là trách nhiệm của nhà cung cấp mà còn của khách hàng. Nếu khác hàng mã hoá dữ liệu trước khi tải lên mây thì khách hàng buộc phải cẩn thận cất giữ khoá mã hoá. Nếu bị mất khoá mã hoá, dữ liệu cũng “đi theo”.

9. Thiếu kỹ năng

Doanh nghiệp đang ứng dụng điện toán đám mây, tường tận mọi rủi ro có thể gặp phải, thì cũng vẫn có nguy cơ đối diện với vô vàn những yếu tố bất ngờ khác về thương mại, tài chính, kỹ thuật, pháp lý và cả tính thích ứng. Bởi vì doanh nghiệp luôn phải làm việc, kết hợp với đối tác khác trên nền tảng đám mây. Ví dụ, doanh nghiệp không thể săm soi kỹ một bản hợp đồng đề cập đến trách nhiệm pháp lý của nhà cung cấp dịch vụ trong trường hợp dữ liệu bị rò rỉ hay bị mất thì như thế nào.

Những vấn đề về điều hành và kiến trúc sẽ tăng lên nếu đội ngũ phát triển của một công ty không có đủ kiến thức về công nghệ đám mây, như ứng dụng được triển khai trên một hệ thống đám mây cụ thể nào đó. CSA nhắc nhớ doanh nghiệp là họ cần trau dồi kiến thức để hiểu tường tận những rủi ro có thể gặp phải nếu đăng ký một dịch vụ đám mây nào đó.

10. Lợi dụng dịch vụ đám mây

Đám mây có thể bị lợi dụng để thực hiện những mục đích xấu, như sử dụng tài nguyên tính toán để bẻ khoá mã hoá để khởi chạy một cuộc tấn công nào đó. Những ví dụ điển hình về điều này như các kiểu tấn công DDoS (distributed denial of service), gửi thư rác và email giả mạo, chứa sẵn các nội dung độc hại.

Các nhà cung cấp cần nhận diện ra được những yếu tố “lợi dụng” này, như dò xem luồng dữ liệu vào ra để nhận diện kiểu tấn công DDoS, và có những công cụ cho khách hàng giám sát trạng thái môi trường điện toán của mình. Về phía khách hàng cũng cần chắc chắn nhà cung cấp có cơ chế báo cáo nếu phát hiện nghi ngờ có lạm dụng. Mặc dù khách hàng có thể không là đối tượng trực tiếp nhưng lợi dụng điện toán đám mây có thể gây thất thoát dữ liệu hoặc ngưng trệ hệ thống.

11. Tấn công DoS

Kiểu tấn công từ chối dịch vụ DoS (denial of service) có đã lâu, nhưng nhờ vào điện toán đám mây phát triển mà kiểu tấn công này càng mạnh hơn, chính vì tính sẵn sàng và nguồn tài nguyên tính toán sẵn có của điện toán đám mây. Khi bị tấn công, hệ thống trở nên hoạt động chậm chạp, thậm chí bị ngưng.

Tấn công DoS cần rất nhiều tài nguyên hệ thống, điện năng và doanh nghiệp là đối tượng phải thanh toán hoá đơn cho mọi thứ đó. Trong khi những tấn công DDoS lớn rất thường xảy ra thì các doanh nghiệp nên cẩn trọng đến kiểu tấn công DoS cấp ứng dụng, nghĩa là các máy chủ web và lỗ hổng trong cơ sở dữ liệu là đối tượng chính.

Các nhà cung cấp thường có khuynh hướng xử lý DoS tốt hơn khách hàng. Theo CSA, điều quan trọng là cần có kế hoạch giảm tải nguồn tài nguyên hệ thống trước khi bị tấn công, nên các nhà quản trị phải truy cập những tài nguyên này khi họ cần đến.

12. Chia sẻ công nghệ, chia sẻ nguy hiểm

Lỗ hổng trong công nghệ là mối hiểm hoạ lớn đối với điện toán đám mây. Các nhà cung cấp dịch vụ chia sẻ kiến trúc, nền tảng và ứng dụng cho nhau. Và nếu có một lỗ hổng trong nhiều lớp này thì lỗ hổng ấy ảnh hưởng đến cả hệ thống rộng lớn. Thậm chí, chỉ cần một cấu hình nhỏ bị sai cũng ảnh hưởng đến toàn hệ thống.

Nếu một thành phần mạng nào đó bị kẻ xấu điều khiển được thì nền tảng chia sẻ, nhiều thành phần cũng sẽ bị lộ. CSA đề nghị một chiến lược phòng vệ chuyên sâu, trong đó có xác thực đa lớp cho mọi thiết bị, mọi hệ thống nhận diện xâm nhập trên mạng, cấp quyền truy cập ở mức tối thiểu, phân vùng mạng và ưu tiên liên tục cập nhật bản vá cho các nguồn tài nguyên chia sẻ.