Biến điều không thể thành có thể với “đám mây” AWS

Thứ Tư, ngày 30/09/2020 16:00 PM (GMT+7)

Muốn nhanh chóng đưa sản phẩm ra thị trường mà vẫn đảm bảo tính bảo mật, “đám mây” AWS sẽ giúp đạt được cả hai yếu tố này.

Trong buổi họp trực tuyến với truyền thông tại Việt Nam mới đây, ông Paul Chen - Trưởng nhóm Kiến trúc sư các giải pháp của Amazon Web Services (AWS) khu vực Đông Nam Á đã có những chia sẻ hết sức thú vị liên quan tới “Bảo mật cho nền tảng điện toán đám mây”.

Biến điều không thể thành có thể với “đám mây” AWS - 1

Ông Paul Chen - Trưởng nhóm Kiến trúc sư các giải pháp của Amazon Web Services (AWS) khu vực Đông Nam Á.

Những hạn chế của bảo mật truyền thống

Theo ông Paul Chen, bảo mật lúc nào cũng là ưu tiên hàng đầu trong môi trường tại chỗ cũng như môi trường điện toán đám mây (ĐTĐM). Từ trước đến nay, khi triển khai hạ tầng công nghệ thông tin (CNTT), doanh nghiệp thường triển khai các phần khác trước, sau đó mới bổ sung yếu tố về an ninh bảo mật. Đây chính là lý do tại sao các mô hình bảo mật truyền thống thường kém hiệu quả.

“Tại sao bảo mật truyền thống lại khó khăn như vậy? Đầu tiên là vì thiếu thông tin”, ông Paul chia sẻ. Theo ông, môi trường tại chỗ có sự kiểm soát toàn diện bởi chính doanh nghiệp; trong khi với môi trường từ xa, họ thường không biết trong hạ tầng đó đang diễn ra hoạt động nào, ai đang sử dụng cái gì,…

Ngoài ra, ông Paul Chen cho rằng, một trong những thách thức nữa là thiếu tự động hóa trong việc quản trị an ninh bảo mật. Khi doanh nghiệp phát triển xong ứng dụng, họ sẽ có những quy trình về vận hành, bảo trì và bảo dưỡng. Tuy nhiên, từ trước tới nay, việc vận hành các ứng dụng đó còn rất thủ công bằng con người, dẫn tới thiếu chuẩn hóa trong quy trình quản trị vận hành cũng như dễ gây ra sai sót.

“Trước đây trong các tổ chức, người ta phải cân đối giữa hai thái cực: Nếu họ muốn đổi mới sáng tạo một cách nhanh chóng, đưa sản phẩm dịch vụ ra thị trường sớm thì phải hi sinh bảo mật sản phẩm; và ngược lại. Bởi vì, để thực hiện việc bảo mật, đảm bảo an ninh cho các ứng dụng thường mất rất nhiều thời gian và làm chậm tốc độ đưa sản phẩm, dịch vụ mới ra thị trường”, ông Paul Chen nói.

Tuy nhiên, kể từ năm 2006, khi AWS đưa dịch vụ ĐTĐM của mình ra thị trường, khách hàng có cơ hội thay chữ “OR” thành chữ “AND”, tức là họ vừa có thể đổi mới sáng tạo nhanh chóng lại vừa có thể bảo mật các dịch vụ, sản phẩm của mình hiệu quả. Khách hàng có thể đạt được cả hai khía cạnh này mà không phải hi sinh, đánh đổi bên nào.

“Đám mây” AWS và những khách hàng tầm cỡ

Rất nhiều tổ chức lớn, bao gồm cả các công ty công nghệ hàng đầu như Airbnb, Pinterest, Slack,… đều đang ứng dụng các nền tảng, giải pháp của AWS để tạo ra kết quả cho doanh nghiệp, khách hàng, trong khi vẫn đảm bảo tính an toàn, bảo mật.

Ở khu vực Đông Nam Á, nền tảng đặt vé của Vietjetair.com đang đặt trên “đám mây” AWS. Hay với Ngân hàng TMCP Hàng hải Việt Nam (MSB), họ đang sử dụng dịch vụ AWS Managed Services (AMS) để triển khai các giải pháp cho vay.

Chia sẻ về việc MSB tin dùng sản phẩm của AWS, ông Paul Chen cho biết: MSB hoạt động trong mảng tài chính nên phải đáp ứng những quy định rất khắt khe từ Ngân hàng Nhà Nước và các cơ quan quản lý nhà nước. Trong khi đó, AWS có những công nghệ tốt nhất về quản lý nhân sự, quản lý rủi ro, tự động hóa, quản lý thay đổi…

“Dữ liệu có vai trò rất quan trọng, đó là lý do tại sao MSB cũng cần phải bảo mật dữ liệu của họ một cách chặt chẽ”, ông Paul Chen nhấn mạnh.

Với giải pháp kiểm soát truy cập trên “đám mây” AWS, MSB đã tạo ra các lớp truy cập khác nhau và chỉ cấp quyền truy cập cho người dùng khi cần thiết. Khi người dùng truy cập vào các ứng dụng hoặc dịch vụ nào không cần thiết, họ sẽ bị chặn lại.

MSB còn sử dụng dịch vụ Cloudwatch (dịch vụ theo dõi đám mây) để thu thập, lưu trữ bản ghi nhật ký hoặc các thông tin dưới dạng ma trận. Những thông tin đó sẽ cho phép bộ phận quản trị bảo mật biết được trên nền tảng của họ, có những hoạt động gì đang diễn ra. Hơn nữa, khi một hoạt động nào đó khả nghi hay rủi ro nào đó xảy ra, hệ thống có thể tự động giải quyết vấn đề đó trước khi cán bộ bảo mật xắn tay xử lý.

Ngoài các tên tuổi lớn nói trên, Cơ quan Quản lý đường bộ và Cục Giao thông đường bộ Singapore cũng đang sử dụng môi trường ĐTĐM của AWS. Thay vì tự xây trung tâm dữ liệu của mình, việc sử dụng dịch vụ của AWS đã giúp họ tiết kiệm tới 60% các chi phí liên quan đến vận hành và duy trì bảo mật.

Hoya - đơn vị cung cấp giải pháp cho lĩnh vực quân sự, an ninh, cũng là khách hàng của AWS. “Họ cũng sử dụng môi trường AWS để duy trì bảo mật của mình vì họ tin rằng môi trường AWS có khả năng giúp họ bảo mật cũng như mang đến sự an tâm, thanh thản về đầu óc cho họ”, ông Paul Chen nói.

“Tôi muốn nhấn mạnh an ninh bảo mật rất quan trọng đối với đám mây của AWS, bởi vì chúng tôi đại diện cho khách hàng của mình để bảo vệ cho họ. Trong số hơn 175 dịch vụ hiện có trên môi trường ĐTĐM AWS thì có 31 dịch vụ về an ninh bảo mật. Trong số đó có rất nhiều dịch vụ được cung cấp miễn phí, ví dụ như dịch vụ mã hóa”, Trưởng nhóm Kiến trúc sư các giải pháp của AWS nói thêm.

Mô hình chia sẻ an ninh bảo mật đáng tin cậy của AWS

Nói thêm về AWS Cloud, còn có một điểm nổi bật là mô hình chia sẻ an ninh bảo mật (AWS’s Shared Responsibility Model). Theo mô tả của ông Paul Chen, bảo mật điện toán đám mây là lớp thấp trong mô hình này, bao gồm địa điểm về mặt vật lý, các thiết bị phần cứng, các phần mềm ảo hóa Hypervisor do AWS thực hiện mà khách hàng không phải bận tâm.

Còn khách hàng sẽ chịu trách nhiệm duy trì các hoạt động về mã hóa. Ví dụ như mã hóa dữ liệu đang được lưu trữ, mã hóa dữ liệu đang được truyền tải trên đường truyền, kiểm soát tất cả các khía cạnh về mạng, phiên truy cập, tường lửa. Những chính sách kiểm soát truy cập này thuộc trách nhiệm và quyền kiểm soát của khách hàng.

Khi khách hàng triển khai các giải pháp trên AWS Cloud, họ sẽ có một phân vùng đám mây riêng ảo (Virtual Private Cloud) của riêng mình. Đám mây riêng ảo này riêng tư, tách biệt và hoàn toàn bảo mật. Chỉ duy nhất khách hàng truy cập vào được, trừ khi khách hàng cho phép thêm người khác truy cập vào để thực hiện nhiệm vụ.

“Ngay cả AWS cũng không truy cập vào được. Toàn bộ quyền kiểm soát truy cập đám mây riêng ảo là do khách hàng quản lý. Đó là mô hình bảo mật, chia sẻ trách nhiệm giữa khách hàng và AWS”, ông Paul Chen chia sẻ.

Trong mô hình triển khai trách nhiệm chung về bảo mật, ông Paul Chen cho biết: Khách hàng thường xuyên đề nghị AWS chia sẻ với họ những gì tốt nhất để bảo mật môi trường điện toán đám mây. Khi có yêu cầu như vậy, AWS đưa ra những hướng dẫn hoặc hỗ trợ sao cho đảm bảo tính minh bạch, chia sẻ cách thiết lập, các chính sách đảm bảo, tuân thủ quy định cho khách hàng.

“Chúng tôi chia sẻ với khách hàng rất nhiều tài liệu hướng dẫn. Các tài liệu này giúp khách hàng đảm bảo quy định theo cập nhật mới nhất, đồng thời giúp họ kiểm thử các công cụ thường xuyên. Qua quá trình tương tác với khách hàng, chúng tôi đã giúp nhiều khách hàng xây dựng được những chính sách tuân thủ bảo mật trong ngành của họ, như lĩnh vực ngân hàng, khách sạn,…”, ông Chen nói.

Bên cạnh các công cụ và công nghệ, AWS còn có các chuyên gia hàng đầu về bảo mật, trong đó có nhiều người ở Việt Nam. Các chuyên gia này sẽ chia sẻ các thông lệ tốt nhất với khách hàng. Qua phần tư vấn của chuyên gia, khách hàng sẽ triển khai và duy trì bảo mật thật sự hiệu quả.

Nguồn: http://danviet.vn/bien-dieu-khong-the-thanh-co-the-voi-dam-may-aws-50202030915562155.htm

Theo Ngọc Phạm (Dân Việt).