Tổng quan về Cloud Security

Hãy tưởng tượng bạn có khả năng làm ra một cây kem cho riêng mình. Dù cho việc làm kem rất tốn thời gian, nhưng bạn sẽ có cảm giác thỏa mãn khi lần đầu tiên bạn thưởng thức thành quả của chính mình. Bây giờ, thay vì làm kem thì bạn sẽ chuyển sang mua kem tại cửa hàng bởi vì nó tiện lợi và tiết kiệm thời gian.

Tôi đã từng đọc một bài blog giải thích về cloud, rất hữu ích. Một trong những nơi quan trọng mà chúng ta có lời giải thích hữu ích nhất cloud là gì chính là đội ngũ bảo mật CNTT, IT security.

Tôi đã làm việc trực tiếp với hơn 100 khách hàng trong vài năm qua. Một câu chuyện phổ biến nhất mà tôi có thể thấy đó là các cuộc thảo luận của chúng tôi diễn ra khá thoải mái và chúng tôi có thể nhận được sự đồng thuận từ đội ngũ IT của khách hàng. Mọi người đều tán thành rằng các yêu cầu của khách hàng rất phù hợp với giải pháp điện toán đám mây. Sau đó, các cuộc trao đổi lại thay đổi khi bộ phận bảo mật của khách hàng có buổi đánh giá lại các giải pháp.

Giải pháp ảo hóa hạ tầng lưu trữ

Đối với một số người, cloud có vẻ là hệ thống rất nguy hiểm về vấn đề bảo mật vì ai cũng có thể xâm nhập bằng máy tính hoặc điện thoại di động. Tuy nhiên, đó lại là trường hợp khó xảy ra với các nhà cung cấp dịch vụ như IBM Cloud Managed Services và IBM SoftLayer.

Đằng sau mỗi hệ thống cloud là một tập hợp các nguồn lực bảo mật để đảm bảo cho toàn bộ hệ thống vận hành an toàn hơn so với môi trường mà khách hàng đang sở hữu.

Hiện nay có 3 kiểu thiết lập cloud: private, public và hybrid cloud.

Private Cloud

Private cloud có thể được đặt tại các data center của khách hàng hoặc co-location tại nhà cung cấp dịch vụ. Workload của khách hàng chạy trên các máy chủ vật lý riêng biệt, kho lưu trữ vật lý riêng biệt và vào level của các thiết bị kết nối vật lý riêng biệt, được tổng hợp lại thành một shared network, có thể là một backbone local area network hoặc shared Internet. Khách hàng có thể chọn để kết nối với Internet, kết nối mạng private cho truy cập từ bên ngoài hoặc kết nối với cả hai.

Public Cloud

Public Cloud được đặt tại các data center của nhà cung cấp dịch vụ và được đặt tại nhiều vị trí địa lý khác nhau. Workload của khách hàng chạy trên các máy chủ vật lý như các khách hàng khác, kho lưu trữ vật lý được chia sẻ giữa các khách hàng và kết nối vật lý cũng được chia sẻ. Tuy nhiên, ngay cả với mức độ về chia sẻ vật lý, điều này không có nghĩa là một khách hàng có thể truy cập vào hệ thống của khách hàng khác.

Ở cấp độ máy chủ, hypervisor được sử dụng để tạo ra các máy chủ logic trên các máy chủ vật lý. Những máy chủ logic này được gọi là máy ảo (VMvirtual machine) được cô lập và đặt trên Virtual Local Area Networks (VLANs) của khách hàng. Kho lưu trữ được ngăn cách bởi zone và data store hoặc logical unit cho mỗi máy ảo. Theo mặc định, các máy ảo và VLAN không cho phép các máy ảo giao tiếp với bất cứ điều gì. Điều này sẽ không tạo ra giá trị nếu các máy ảo hoàn toàn bị cô lập, vì vậy khách hàng – client (chứ không phải là nhà cung cấp – provider), bao gồm cả security team, xác định VLAN mà mỗi VM nên giao tiếp và quy định các quy tắc cho các giao thức (protocol), port và tường lửa (firewall) có thể được sử dụng.

Nhà cung cấp dịch vụ thiết lập các mức truy cập quản trị điển hình thông qua NIC card riêng biệt và các VM được chỉ định cho việc quản trị. Nhưng việc truy cập đến các dịch vụ cần thiết của các nhà cung cấp dịch vụ sẽ bị hạn chế. IBM Cloud Managed Services cung cấp các nhiệm vụ riêng lẻ cho các admin để đảm bảo công tác bảo mật của đội ngũ hỗ trợ hypervisor, operating system, network.

Hybrid Cloud

Hybrid cloud chỉ đơn giản một phần trong cơ sở hạ tầng của khách hàng, nằm giữa private cloud và public cloud. IBM Cloud Managed Services bao gồm việc đặt các máy ảo trên một phần mở rộng của network, được gọi là extended premises (EP) network. Nhiều khách hàng kết nối với EP network đã trở lại IT infrastructure truyền thống hoặc data center private cloud, và khách hàng có toàn quyền kiểm soát bất kỳ quy tắc firewall mà họ muốn thiết lập cho public cloud VM.

Các mối đe dọa bảo mật ngày càng tăng và đội ngũ bảo mật IT phải duy trì những kiến ​​thức, tăng cường đào tạo, cập nhật các công cụ mới nhất và tìm hiểu quy trình để giảm thiểu rủi ro. Các nhà cung cấp dịch vụ cloud như IBM có quyền truy cập vào global network gồm các nguồn lực và thông tin để họ có thể xử lý các tình huống đe dọa mà mỗi ngày luôn thay đổi. Điều này cho phép các khách hàng dành nhiều thời gian để quan tâm đến trải nghiệm của người dùng hơn là lo sợ liệu hệ thống của mình có an toàn hay không.

Nguồn: Thoughtsoncloud

____
Bài viết liên quan

Góp ý / Liên hệ tác giả