Nhảy vào “đám mây” mà không có “dù”

Ngày đăng: Mar 30, 2015 7:42:23 AM

Với việc duy trì cơ sở hạ tầng CNTT khá tốn kém, ý nghĩ thay thế các phòng máy chủ và những thiết bị cấu hình đủ kiểu bằng các DV ảo thật khó cưỡng lại đối với các công ty! Nhưng vội vã lao vào “đám mây” mà không có một chiến lược an ninh cụ thể thì thật mạo hiểm.

Mạo hiểm đồng hành cùng các thay đổi kỹ thuật

Theo khảo sát, 43% những người phản hồi đang sử dụng DV ảo, chẳng hạn DV phần mềm hay DV cơ sở hạ tầng. Thậm chí có nhiều công ty đang đầu tư vào công nghệ ảo hóa cho phép thực hiện điện toán mây. 67% số người phản hồi nói rằng hiện nay họ đang sử dụng máy chủ, kho lưu trữ và những cơ sở vật chất CNTT khác được ảo hóa. Trong số đó, 48% thật sự tin rằng độ an ninh thông tin của họ đã được cải thiện, trong khi 42% cho biết độ an ninh của họ vẫn như trước. Chỉ 10% nói ảo hóa đã tạo thêm những lỗ hổng an ninh.

Độ an ninh có thể được cải thiện đối với một số công ty, nhưng các chuyên gia, như giám đốc về các giải pháp ảo hóa và đám mây tại Cisco Systems, tin rằng cả người dùng và nhà cung cấp cần chắc chắn rằng họ hiểu rõ những mạo hiểm đi cùng với thay đổi về kỹ thuật, hoạt động và tổ chức mà những công nghệ này mang lại.

“Khi xem xét cách người ta nghĩ về sự ảo hóa và ý nghĩa của nó, thì khái niệm về ảo hóa hoặc là rất hạn hẹp – đó là sự hợp nhất máy chủ, ảo hóa các ứng dụng và hệ điều hành, thu gọn mọi thứ vào số hộp ít hơn – hoặc đó là sự kết hợp những yếu tố khác: các máy tính KH, lưu trữ, mạng, an ninh. Sau đó bạn còn tăng thêm sự nhầm lẫn bằng khái niệm của điện toán mây, thứ đang được đẩy mạnh bởi Microsoft và một số công ty nhỏ đang nổi. Bạn sẽ phải tự hỏi điều này có ý nghĩa gì đối với công ty của bạn. Nó ảnh hưởng đến cơ sở hạ tầng của bạn như thế nào?” May mắn là có vài dấu hiệu cho thấy các công ty đã bắt đầu cảnh giác. Một ví dụ là Atmos Energy, đang sử dụng Salesforce.com để rút ngắn thời gian phản hồi với KH và giúp bộ phận tiếp thị của công ty quản lý số lượng KH ngày càng tăng.

Không có sự an toàn tuyệt đối

Những nỗ lực cho đến bây giờ đang thành công, do đó CIO của công ty này đang nghiên cứu khả năng điều hành email trong điện toán mây. “Nó sẽ giúp định vị được thử thách đang lớn dần nơi những thiết bị di động có khả năng email như Blackberry đang lan tràn trong nhân viên”. Nhưng CIO này chưa sẵn sàng để có một bước nhảy lớn như thế do những mạo hiểm, bao gồm vấn đề an ninh, vẫn còn rất khó xử lý. Một ví dụ về tình trạng thiệt hại mà các công ty phụ thuộc vào điện toán mây có thể gặp phải là vào tháng 5, khi trang mạng tìm kiếm thông tin khổng lồ Google - với nội dung chiếm 5% toàn bộ lưu thông trên Internet – bị ngưng trệ nặng nề. Khi nó bị ngưng, rất nhiều công ty dựa vào những ứng dụng kinh doanh điện toán mây (chẳng hạn như e-mail) cũng chìm theo.

Tình trạng ngưng trệ đó không phải do hacker gây ra, nhưng có dấu hiệu cho thấy các tội phạm trên mạng đang tìm cách để lợi dụng đám mây cho những mục đích xấu. Theo gót vụ ngưng trệ này, những kẻ tấn công còn bồi thêm vào vết thương bằng cách đổ đầy những đường link gây hại vào các kết quả tìm kiếm của Google, khiến Đội Ứng cứu khẩn cấp Máy tính của Mỹ (U.S.CERT) phải đưa ra lời cảnh báo về những nguy hiểm tiềm tàng trong các trang mạng DV dựa trên hệ đám mây.

U.S.CERT cho biết, cuộc tấn công gây thiệt hại đến hàng nghìn trang web hợp pháp bằng cách lợi dụng những khe hở phổ biến trong phần mềm Adobe để cài đặt một chương trình gây hại lên máy của nạn nhân. Chương trình này sau đó ăn cắp những thông tin đăng nhập FTP từ các nạn nhân và sử dụng thông tin để tự lan truyền rộng hơn. Nó còn chiếm đoạt trình duyệt của nạn nhân, thay thế những kết quả tìm kiếm của Google bằng các đường link do kẻ tấn công chọn. Mặc dù những trang mạng bị tấn công không chỉ là các trang cung cấp DV dựa trên hệ đám mây, những âm mưu tương tự có thể nhắm vào các nhà cung cấp DV đám mây.

Các tổ chức CNTT thường làm cho việc tấn công dễ dàng hơn bằng cách định dạng cấu hình các cơ sở vật chất CNTT cả thực lẫn ảo một cách nghèo nàn, để lại những khe hở rất dễ bị tìm thấy và lợi dụng. Khi được hỏi về những điểm yếu trong môi trường ảo hóa của họ, 36% nói là do cấu hình sai và triển khai kém, 51% cho là tại các nhân viên CNTT chưa được đào tạo chuẩn mực (thiếu kiến thức dẫn đến những thiếu sót trong cấu hình). Thực chất 22% những người tham gia cuộc khảo sát chỉ ra rằng việc đào tạo không đạt chuẩn, cùng với việc kiểm duyệt không đầy đủ (để sót những điểm yếu) là những rủi ro an ninh lớn nhất trong chiến lược điện toán mây của công ty họ.

Ngay cả với các nguồn lực thích hợp, an ninh trong “đám mây” đòi hỏi quản lý các rủi ro đa dạng trải rộng ở nhiều nền tảng. Đó không phải là một mà là nhiều “đám mây”, “chúng không liên kết với nhau, chúng không hoạt động liên quan đến nhau một cách tự nhiên ở lớp ứng dụng và tất cả chúng đều gần như độc quyền trong nền tảng và hoạt động của chúng”, theo lời giám đốc về các giải pháp ảo hóa và đám mây của Cisco Systems. “Ý niệm cho rằng tất cả chúng ta đang chạy đua để đưa những nội dung và ứng dụng của chúng ta vào kho chứa chung (và an toàn) trên cơ sở hạ tầng của người khác là không thực tế”.

Đại diện của Pricewaterhouse Coopers khẳng định không thể có sự an ninh tuyệt đối. “Bạn phải chủ động tập trung kiểm soát an ninh khi nhảy vào những DV này”. Các công ty khó có thể quay trở lại một khi đã đẩy dữ liệu và ứng dụng đi bởi họ thường nhanh chóng tự “giải phóng” khỏi phần cứng và những kỹ năng cần thiết để có thể đem các DV đó trở về.

Nguồn PCWorld VietNam