Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Các nguyên tắc bảo mật đám mây an toàn (Phần 1)

10:49 | 11/06/2025
TS. Ngô Hải Anh (Viện Công nghệ thông tin) , Viện Hàn lâm Khoa học và Công nghệ Việt Nam)

[ATTT số 2 (084) 2025] - Bảo mật đám mây đã trở thành một trong những khía cạnh quan trọng nhất của cuộc cách mạng kỹ thuật số hiện nay. Các tổ chức hoặc cá nhân cần hiểu rõ những nguyên tắc cơ bản khi lựa chọn nhà cung cấp đám mây sẽ giúp đảm bảo sự an toàn của hệ thống thông tin. Bài báo sẽ giới thiệu 14 nguyên tắc bảo mật đám mây do Trung tâm An ninh mạng Quốc gia Vương quốc Anh (National Cyber Security Centre - NCSC) đề xuất. Các nguyên tắc bảo mật đám mây được thiết kế để giúp người dùng lựa chọn nhà cung cấp đám mây đáp ứng nhu cầu bảo mật của mình. Trong Phần 1 của bài báo sẽ giới thiệu tới độc giả 07 nguyên tắc đầu tiên trong bộ nguyên tắc đề xuất của NCSC.  

NGUYÊN TẮC 1: BẢO VỆ DỮ LIỆU KHI TRUYỀN TẢI

Dữ liệu của người dùng phải được bảo vệ đầy đủ chống lại sự giả mạo và nghe lén khi nó truyền qua mạng bên trong và bên ngoài đám mây. Do vậy cần ưu tiên nhà cung cấp dịch vụ đám mây đảm bảo:

- Khi dữ liệu di chuyển bên trong hệ thống dịch vụ, nó sẽ được bảo vệ an toàn. Đồng thời, toàn bộ dữ liệu của khách hàng sẽ tự động được mã hóa trong quá trình truyền tải.

- Cấu hình trước dữ liệu trong quá trình mã hóa và thiết lập mặc định theo các tiêu chuẩn mới nhất.

- Sử dụng các thuật toán và giao thức được chuẩn hóa như TLS và IPsec để bảo vệ dữ liệu, giúp dễ dàng trong quá trình triển khai. Dữ liệu phải được bảo vệ trong quá trình truyền tải khi tiếp xúc với các dịch vụ bên ngoài khác, chẳng hạn như thông qua API.

NGUYÊN TẮC 2: BẢO VỆ TÀI SẢN VÀ KHẢ NĂNG PHỤC HỒI

Vị trí vật lý và thẩm quyền pháp lý

Người dùng cần biết dữ liệu của mình ở đâu và ai có thể truy cập dữ liệu của mình. Cụ thể người sử dụng cần được cung cấp thông tin về:

- Vị trí vật lý: Nhà cung cấp dịch vụ của người dùng phải cung cấp danh sách đầy đủ các quốc gia nơi dữ liệu của người dùng được lưu trữ và xử lý, cũng như nơi dịch vụ được quản lý và hỗ trợ. Danh sách này có thể thay đổi tùy thuộc vào các dịch vụ cụ thể mà người dùng đang sử dụng.

- Thẩm quyền pháp lý: Người dùng cần xác định dữ liệu của người dùng có thể thuộc thẩm quyền pháp lý nào, tìm kiếm tư vấn pháp lý khi cần thiết. Những yếu tố người sử dụng cần nắm rõ như cơ sở pháp lý của nhà cung cấp dịch vụ; địa điểm mà dịch vụ được hỗ trợ và vận hành; người sở hữu và chịu trách nhiệm về trung tâm dữ liệu; luật liên quan đến hợp đồng hay thỏa thuận giữa người dùng và nhà cung cấp dịch vụ.

Bảo mật trung tâm dữ liệu

Người dùng nên chắc chắn rằng các biện pháp bảo mật vật lý mà nhà cung cấp áp dụng đủ để chống lại truy cập trái phép, phá hoại, đánh cắp hoặc cấu hình lại hệ thống cùng với các biện pháp bảo vệ dữ liệu khác.

Mã hóa dữ liệu

Dữ liệu của người dùng phải được bảo vệ đầy đủ khỏi sự truy cập trái phép của các bên có quyền truy cập vật lý vào cơ sở hạ tầng. Cùng với đó, các nhà cung cấp mã hóa mọi dữ liệu khách hàng đang lưu trữ trong dịch vụ bằng thuật toán và chế độ mã hóa phù hợp đảm bảo cả tính bảo mật và tính toàn vẹn. Người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây mã hóa mọi dữ liệu lưu trữ theo mặc định, bao gồm cả siêu dữ liệu có nguồn gốc từ dữ liệu đó.

Vệ sinh dữ liệu và xử lý thiết bị lưu trữ

Nhà cung cấp dịch vụ của người dùng phải đảm bảo rằng dữ liệu đã lưu trữ trước đó không thể bị người khác truy cập trái phép sau khi dữ liệu đó được di chuyển hoặc xóa. Các tình huống mà thiết bị được sử dụng để cung cấp dịch vụ đã hết hạn phải được xử lý theo cách không làm ảnh hưởng đến tính bảo mật của dịch vụ hoặc dữ liệu người dùng được lưu trữ.

Khả năng phục hồi và khả năng sẵn có về mặt vật lý

Người dùng nên ưu tiên một dịch vụ đáp ứng các yêu cầu sau:

- Có các cam kết về tính khả dụng của dịch vụ, bao gồm khả năng phục hồi sau sự cố, đáp ứng nhu cầu kinh doanh của người dùng.

- Nhà cung cấp có thể lưu trữ dịch vụ của người dùng trên nhiều trung tâm dữ liệu, vùng khả dụng hoặc khu vực địa lý. Nhà cung cấp dịch vụ của người dùng nên mô tả cách họ đảm bảo khả năng phục hồi trong một số loại sự cố như mất điện, thiên tai.

- Bảo vệ dữ liệu của người dùng khỏi các cuộc tấn công mã độc tống tiền. Nhà cung cấp dịch vụ có thể cung cấp khả năng tự động tạo bản sao lưu dữ liệu của người dùng. Các bản sao lưu này phải cung cấp khả năng khôi phục hoặc hoàn nguyên dữ liệu về trạng thái tốt.

NGUYÊN TẮC 3: PHÂN TÁCH GIỮA CÁC KHÁCH HÀNG

Khách hàng đã bị lây nhiễm mã độc hoặc đã bị xâm phạm của dịch vụ không được phép truy cập hoặc ảnh hưởng đến dịch vụ hoặc dữ liệu của người khác. Nhà cung cấp dịch vụ cần phải triển khai các ranh giới bảo mật hiệu quả trong cách chạy code, lưu trữ dữ liệu và quản lý mạng.

Người dùng dựa vào các ranh giới bảo mật do nhà cung cấp dịch vụ đám mây, từ đó đảm bảo rằng họ có thể kiểm soát ai có thể truy cập vào dữ liệu của chính mình và cách thức phản ứng cũng như dịch vụ đủ mạnh,  nhằm chống lại việc khách hàng khác có mã độc trong phiên bản dịch vụ của họ.

NGUYÊN TẮC 4: KHUÔN KHỔ QUẢN TRỊ

Nhà cung cấp dịch vụ phải có một khuôn khổ quản trị bảo mật phối hợp và chỉ đạo việc quản lý dịch vụ và thông tin trong đó. Cụ thể, người dùng nên tìm kiếm các khuôn khổ quản trị tốt, bao gồm:

- Một đại diện Hội đồng quản trị được xác định rõ ràng (hoặc một người có thẩm quyền được ủy quyền trực tiếp) chịu trách nhiệm về bảo mật của dịch vụ đám mây. Người này thường có chức danh là Giám đốc an ninh, Giám đốc thông tin hoặc Giám đốc kỹ thuật.

- Một khuôn khổ được ghi chép lại về quản trị bảo mật và quản lý rủi ro với các chính sách quản lý tất cả khía cạnh chính của bảo mật thông tin có liên quan đến dịch vụ.

- Bảo mật và an ninh thông tin là một phần trong cơ chế báo cáo rủi ro tài chính và hoạt động của nhà cung cấp dịch vụ, đảm bảo hội đồng quản trị sẽ được cập nhật về rủi ro bảo mật và thông tin.

- Các quy trình được xác định rõ ràng và đảm bảo tuân thủ các yêu cầu pháp lý và quy định hiện hành.

NGUYÊN TẮC 5: AN NINH VẬN HÀNH

Dịch vụ cần được vận hành và quản lý an toàn để phát hiện hoặc ngăn chặn các cuộc tấn công. Điều này đạt được thông qua sự kết hợp giữa quản lý lỗ hổng, giám sát bảo vệ, quản lý cấu hình và quản lý sự cố. Trong đó:

- Quản lý lỗ hổng: Nhà cung cấp phải có quy trình quản lý lỗ hổng để xác định, phân loại và giảm thiểu lỗ hổng trong mọi thành phần của dịch vụ mà họ chịu trách nhiệm.

- Giám sát bảo vệ: Nhà cung cấp dịch vụ cần giám sát, phát hiện các cuộc tấn công thành công và không thành công vào toàn bộ dịch vụ hoặc các phần của dịch vụ.

- Quản lý sự cố: Nhà cung cấp dịch vụ cần có các quy trình quản lý sự cố được lập kế hoạch trước để có nhiều khả năng đưa ra các quyết định hiệu quả và nhanh chóng khi sự cố xảy ra.

- Quản lý cấu hình: Nhà cung cấp phải nắm được và có biện pháp quản lý những thay đổi trong cấu hình có thể ảnh hưởng đến tính bảo mật của dịch vụ và giảm thiểu hoàn toàn các lỗ hổng trong hệ thống.

NGUYÊN TẮC 6: AN NINH NHÂN SỰ

Đối với an ninh nhân sự cần được xem xét trên hai khía cạnh đó là:

- Con người và văn hóa an ninh: Nhà cung cấp dịch vụ phải tiến hành kiểm tra an ninh và đào tạo an ninh thường xuyên cho nhân viên, phù hợp với vai trò và đặc quyền của họ. Nhà cung cấp phải làm rõ cách họ kiểm tra và quản lý nhân viên trong các vai trò được hưởng đặc quyền. Người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây áp dụng các biện pháp kiểm soát kỹ thuật để giảm khả năng xảy ra hành vi xâm phạm vô tình hoặc cố ý của nhân viên.

- Kiểm soát kỹ thuật cho quản lý dịch vụ: An ninh nhân sự nên kết hợp kiểm tra lý lịch và kiểm soát bằng các biện pháp kỹ thuật được thiết kế để phát hiện và giảm thiểu tác động của người trong cuộc có ý đồ xấu.

Người dùng nên ưu tiên nhà cung cấp dịch vụ đám mây áp dụng các biện pháp kiểm soát bao gồm:

- Người quản trị và nhân viên chỉ được quyền quản trị tối thiểu tạm thời để giải quyết một vấn đề cụ thể (cần yêu cầu thêm các đặc quyền khi cần thiết).

- Yêu cầu về các đặc quyền bổ sung được liên kết với phiếu hỗ trợ khách hàng hoặc yêu cầu thay đổi nội bộ.

- Quyền truy cập vào dữ liệu khách hàng chỉ được cấp nếu khách hàng đã cấp quyền truy cập có giới hạn thời gian rõ ràng (điều này áp dụng theo từng trường hợp cụ thể).

NGUYÊN TẮC 7: PHÁT TRIỂN AN TOÀN

Tự động hóa

Phần mềm do nhà cung cấp đám mây triển khai phải được xây dựng và thử nghiệm bằng cách sử dụng các quy trình tự động và cơ sở hạ tầng dưới dạng mã để có thể thực thi các yêu cầu bảo mật và tạo ra dấu vết kiểm tra.

Các biện pháp này giúp ngăn chặn và phát hiện những kẻ xấu can thiệp vào phần mềm. Tự động hóa cũng làm tăng tính nhất quán của quy trình triển khai, hỗ trợ vá lỗi, phản hồi sự cố và tình trạng bảo mật chung của phần mềm. Nhà cung cấp phải theo dõi được mã nguồn tất cả phần mềm mà họ đã triển khai.

Tiêu chuẩn và chứng nhận

Tiêu chuẩn bảo mật có sẵn với các cơ chế chứng nhận. Chúng có thể được sử dụng giúp tạo sự tin tưởng vào hiệu quả của vòng đời phát triển phần mềm của nhà cung cấp.

Quản lý phần mềm của bên thứ ba

Người dùng nên đảm bảo rằng khi nhà cung cấp của họ mua dịch vụ, thành phần phần mềm hoặc dịch vụ phát triển từ bên thứ ba phải an toàn phù hợp. Điều này phải đạt được thông qua quy trình chuỗi cung ứng của nhà cung cấp đám mây.

Tương tự như vậy, việc nhà cung cấp đám mây sử dụng các phần mềm phụ thuộc của bên thứ ba phải được theo dõi và quản lý rủi ro, theo quy trình chuỗi cung ứng của họ. Các phần mềm phụ thuộc của bên thứ ba này cần được cập nhật, áp dụng các bản vá bảo mật và phải được duy trì tích cực.

KẾT LUẬN

Bảy nguyên tắc đầu tiên về bảo mật đám mây của NCSC đã đặt nền móng quan trọng cho việc đảm bảo an toàn thông tin trong môi trường điện toán đám mây. Việc các tổ chức và cá nhân nắm vững và ưu tiên áp dụng những nguyên tắc này sẽ tạo ra một môi trường làm việc số an toàn và đáng tin cậy hơn. Phần tiếp theo của bài báo sẽ tiếp tục khám phá bảy nguyên tắc còn lại, hoàn thiện bức tranh toàn diện về bảo mật đám mây theo tiêu chuẩn của NCSC.

Twitter Zalo Facebook YouTube Copy Link QR Code
QUẢN LÝ PHẦN MỀM NCSC MÃ HÓA DỮ LIỆU BẢO MẬT ĐÁM MÂY BẢO VỆ DỮ LIỆU AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết