Chính sách quản lý trong thời đại Multicloud

lara far PKTSHQMm 5c unsplash

Trong thế giới ngày nay, một môi trường hỗn hợp (hybrid), đa đám mây (multicloud) không quá mới mẻ – hầu hết các công ty đã chuyển khối lượng công việc sang các ứng dụng SaaS và đám mây trong nhiều năm. Nhưng gần đây, khi các công ty tạo ra môi trường làm việc từ xa gần như chỉ sau một đêm, tốc độ chuyển sang đám mây đã trở nên nhanh hơn rất nhiều. Như Giám đốc điều hành Microsoft, ông Satya Nadella đã nói trong một cuộc phỏng vấn: “Chúng tôi đã chứng kiến ​​quá trình chuyển đổi kỹ thuật số có giá trị hai năm trong hai tháng”. 

Vấn đề về cấu hình chính sách (The Policy Configuration Conundrum)

Việc chuyển sang một môi trường làm việc hỗn hợp (hybrid working environment) có ý nghĩa đối với bảo mật và tuân thủ. Các công cụ mà hầu hết các tổ chức sử dụng để thiết lập và thực thi chính sách bảo mật – Microsoft Group Policy và Active Directory – được phát triển cho toàn bộ hệ thống Windows sử dụng máy chủ Windows tại chỗ.

Group Policy và Active Directory không được thiết kế để hoạt động trên đám mây – nơi phần lớn các ứng dụng SaaS sử dụng máy chủ Linux. Các nhà cung cấp đám mây công cộng lớn như AWS và Google Cloud Platform chạy trên các máy và máy chủ Linux. Thậm chí 75% tài nguyên trong Microsoft’s Azure Cloud chạy trên các hệ thống Linux. Các ứng dụng kinh doanh phổ biến như Salesforce, Box, Slack và một loạt các ứng dụng khác sử dụng Linux và các ứng dụng tùy chỉnh do nội bộ phát triển của nhiều công ty cũng vậy. 

Khi công nghệ chuyển sang đám mây, lực lượng lao động cũng theo sau. Ngay cả trước khi xu hướng làm việc tại nhà bùng nổ gần đây, các nhân viên không chỉ tiến hành công việc kinh doanh trên PC Windows mà còn trên máy tính xách tay, máy tính bảng và điện thoại thông minh sử dụng nhiều hệ điều hành khác nhau.

Những thay đổi này đã làm cho việc quản lý bảo mật và tuân thủ trở nên phức tạp hơn nhiều. Thiếu các công cụ để quản lý tổng thể chính sách bảo mật, một số nhân viên CNTT đã tạo các tập lệnh để quản lý cài đặt bảo mật cho máy và ứng dụng bên ngoài môi trường Microsoft tại chỗ.

Viết chương trình (Script) là một quá trình đầy khó khăn. Trước tiên, quản trị viên phải tạo cài đặt bảo mật và quyền truy cập cho các hệ điều hành. Sau đó, họ phải tạo các bộ quy tắc truy cập khác cho các ứng dụng riêng lẻ. Mỗi máy chủ và mỗi ứng dụng phải được định cấu hình riêng biệt và không phải tất cả chúng đều sử dụng cùng một ngôn ngữ để quản lý các mục cấu hình và cài đặt bảo mật tương tự. Các quy trình chắp vá này rất tẻ nhạt và tạo cơ hội cho các sai sót. Ngoài ra, việc viết script — thậm chí là viết script cấu hình đơn giản — rất đặc thù. Mã (Code) do một quản trị viên viết có thể khó hoặc khó hiểu đối với những người khác.

Ngoài ra, các tổ chức có thể sử dụng các trình quản lý cấu hình như SUSE Manager, AWS CloudPlatform, Red Hat Ansible Automation Platform hoặc các trình khác để định cấu hình các chính sách bảo mật bên ngoài Microsoft. Tuy nhiên, cũng như với script, các quy tắc có thể dễ dàng bị đảo lộn. Sau khi một mục cấu hình được đặt, các quản trị viên khác có quyền truy cập vào hệ thống có thể ngay lập tức thay đổi và ghi đè lên nó.

Các lỗi chính sách bảo mật tiềm ẩn rủi ro như thế nào?

Cài đặt bảo mật lỗi thời và không tuân thủ là cực kỳ nguy hiểm. Tin tặc liên tục tìm kiếm những kẽ hở trên Internet để tìm kiếm chỗ đứng cho chúng trên các mạng công ty. Các tổ chức không quản lý tập trung bảo mật đang trao cho tin tặc một cơ hội vàng. Đây chỉ là một vài ví dụ nổi tiếng về các rủi ro đã xảy ra:

  • Vi phạm dữ liệu Equifax (2017). Tên, số An sinh xã hội, địa chỉ, ngày sinh và số giấy phép lái xe của 143 triệu người đã bị đánh cắp sau khi tin tặc xâm nhập vào mạng thông qua cổng web khiếu nại của khách hàng – chứa một lỗ hổng đã biết mà lẽ ra phải được vá trước đó. Ngoài ra, công ty đã không thể gia hạn chứng chỉ bảo mật cho một ứng dụng mà nếu không, công ty sẽ cảnh báo ngay lập tức về sự hiện diện của những kẻ xâm nhập trên mạng của họ. Thay vào đó, những kẻ xâm nhập có thể tự cấp cho mình các quyền cao hơn và quyền truy cập từ xa. Tin tặc hoạt động trong 76 ngày đã khai thác và lấy ra những dữ liệu có giá trị.
  • Vi phạm dữ liệu Chương trình Thư viện Lưu ký Liên bang (2020). Trang web của Thư viện Lưu ký Liên bang- nơi giúp công chúng truy cập các tài liệu của chính phủ, đã bị tấn công để hiển thị các thông điệp kêu gọi trả thù cho cái chết của một chỉ huy quân đội Iran. Nó cho thấy hình ảnh lá cờ Iran, Ayatollah Ali Khamenei, và một bức ảnh giả thuyết về việc Tổng thống Trump bị đấm vào hàm. Chính phủ Hoa Kỳ sau đó cho biết các tin tặc đã xâm nhập vào trang web thông qua một hệ thống quản lý nội dung bị định cấu hình sai.
  • Vụ vi phạm dữ liệu JPMorgan Chase (2014). Tội phạm mạng đã giành được quyền truy cập quản trị cấp cao vào hơn 90 máy chủ sau khi ngân hàng bỏ qua việc nâng cấp một trong số chúng với yêu cầu xác thực đa yếu tố. Tên, địa chỉ email và số điện thoại của 76 triệu hộ gia đình và 7 triệu doanh nghiệp nhỏ đã bị đánh cắp.

Giải pháp: Quản trị viên chính sách chung (Universal Policy Administrator)

Nếu các tổ chức thực thi chính sách bảo mật của họ một cách nhất quán trên tất cả các hệ điều hành, ứng dụng và thiết bị, thì họ sẽ ngăn chặn nhiều vi phạm và giảm thiểu tác động của những người khác. NetIQ Universal Policy Administrator (UPA) tự động hóa việc thực thi các quy tắc bảo mật và cài đặt cấu hình ở mọi nơi. Nó cho phép người quản lý xem và kiểm soát các cài đặt bảo mật từ một ô kính bằng cách sử dụng một công cụ rất quen thuộc: Microsoft Active Directory. Chúng tôi đã mở rộng nó để áp dụng xa hơn các thiết bị của Microsoft. Thiết bị di động, máy ảo, máy chủ Linux, ứng dụng SaaS — bạn có thể đặt tất cả chúng dưới sự quản lý chính sách tập trung với UPA. UPA thậm chí còn bao gồm các ki-ốt và các điểm cuối khác không được kết nối với miền công ty.

Sau khi có UPA, nếu vi phạm chính sách xảy ra — ví dụ: nếu ai đó thay đổi cài đặt cấu hình — hệ thống sẽ thông báo ngay cho quản trị viên. Trừ khi quản trị viên phản hồi bằng sự thay đổi chính sách, các cài đặt sẽ tự động hoàn nguyên về trạng thái trước đó trong vòng một phút. Ngay cả những người dùng có đặc quyền cũng không thể đi chệch chính sách.

Khi tin tặc có quyền truy cập vào máy tính của công ty, họ thường ngắt kết nối máy tính đó khỏi mạng công ty để có thể thực hiện các thay đổi mà không bị phát hiện. Nhưng với UPA, tất cả các tệp chính sách đều được lưu vào bộ nhớ đệm, vì vậy, ngay cả một máy tính bị ngắt kết nối cũng sẽ từ chối các thay đổi và hoàn nguyên về các chính sách tiêu chuẩn trong vòng một phút.

Nếu Equifax sử dụng UPA, nó sẽ phát hiện ra sự truy cập của tin tặc vào mạng của mình trong một phút hoặc ít hơn. Có lẽ vài chục tài khoản đã bị xâm phạm, thay vì hàng triệu.

Tại Thư viện Lưu ký Liên bang, những thay đổi trái phép đối với tệp chỉ mục của trang web sẽ được nhận thấy ngay lập tức và được thay thế bằng phiên bản được ủy quyền trước đó.

Tại JPMorgan Chase, tin tặc đã có được quyền truy cập cấp root vào các máy chủ bằng cách tự liệt kê mình là “sudoers” với các đặc quyền quản trị. UPA sẽ nhận ra những kẻ giả mạo, đuổi chúng khỏi trang web và thông báo cho các quản trị viên thực sự.

Tính linh hoạt với Quản lý chính sách bổ sung (Additive Policy Management)

UPA là toàn diện, nhưng nó cũng linh hoạt. Quản lý chính sách bổ sung cho phép các tổ chức tạo các chính sách tùy chỉnh duy nhất cho các ứng dụng, máy móc và máy chủ cụ thể. Đôi khi, họ có thể dễ dàng thực thi nguyên tắc ít đặc quyền nhất bằng cách tạo các nhóm quản trị viên cục bộ, những người có thể xác định ai cần quyền truy cập vào các ứng dụng hoặc máy móc, họ cần vào thời điểm nào và trong bao lâu. Quản trị viên rời khỏi công ty hoặc chuyển sang vị trí mới chỉ đơn giản là bị xóa khỏi nhóm cung cấp quyền truy cập mà không cần bất kỳ ai phải quản lý tài khoản người dùng cục bộ và quyền truy cập. 

Quản lý chính sách bổ sung trao quyền kiểm soát các nguồn lực cho những người hiểu chúng nhất— những người gần gũi nhất với chúng. Điều đó cũng có nghĩa là cần ít bàn tay của con người hơn để cấu hình, do đó sẽ có ít cơ hội xảy ra sai sót hoặc xung đột hơn.

Kiểm tra an ninh thông tin dễ dàng hơn

PCI DSS, HIPAA, FINRA, GDPR, Đạo luật về quyền riêng tư của người tiêu dùng California, danh sách các cơ quan quản lý và quy tắc mà các tổ chức bắt buộc phải tuân theo ngày càng tăng theo nhu cầu về quyền riêng tư dữ liệu của người dùng. Việc thực thi các quy tắc này trở nên khó khăn hơn khi các tổ chức tăng số lượng thiết bị và dịch vụ được kết nối mạng mà họ sử dụng. Ví dụ, một nhà bán lẻ lớn có thể có hàng chục nghìn hoặc thậm chí hàng trăm nghìn điểm cuối Linux, với có lẽ hàng trăm quản trị viên đang quản lý chúng.

Để đảm bảo rằng các quy tắc được tuân thủ một cách thống nhất, các tổ chức có thể yêu cầu Giám đốc an ninh thông tin (CISO) xác định các cài đặt chung và tùy chỉnh được đưa qua UPA tới tất cả các máy chủ Windows, Mac và Linux và các ứng dụng mà tổ chức sử dụng hoặc áp dụng trong tương lai.

Ngoài giúp việc quản lý tuân thủ, an ninh thông tin trở nên dễ dàng hơn, hệ thống này cũng hữu ích cho các kiểm toán viên công nghệ thông tin. Cổng trung tâm của UPA cho phép họ lấy tất cả thông tin họ cần ở một nơi. Nếu không có nó, tổ chức phải dựa vào các bảng tính chứa dữ liệu cấu hình và bảo mật thô từ hàng trăm quản trị viên đơn vị kinh doanh. 

Chỉ một chính sách bảo mật là không đủ để làm hài lòng các kiểm toán viên ngày nay. Họ cần xem bằng chứng rằng nó đang được thực thi. Nếu không có cổng thông tin trung tâm, họ có thể mất hàng tuần hoặc hàng tháng để sàng lọc các bảng dữ liệu. Với rất nhiều người khác nhau để tập hợp, họ nhất định sẽ tìm ra những điểm mâu thuẫn và sai sót, dẫn đến việc họ không tin tưởng vào tổ chức và thậm chí còn yêu cầu thêm bằng chứng. Kiểm toán viên ở lại càng lâu thì mức chi phí hoặc thậm chí tiền phạt của tổ chức càng cao.

Với UPA, công việc của kiểm toán viên được đơn giản hóa và rút ngắn đáng kể. Bởi vì bảo mật được thực thi và báo cáo trên tổng thể và nhất quán, chúng có bằng chứng cho thấy các quy trình tự động đang hoạt động. Mọi thứ họ cần đều nằm trong tầm tay và họ ít có khả năng phát hiện ra bất kỳ hành vi vi phạm dữ liệu nào.

Tự động hóa: Chìa khóa để bảo mật tốt hơn

Khi các tổ chức tăng tốc sự hiện diện của mình trên đám mây, họ phải thay thế các công cụ quản lý bảo mật lỗi thời bằng các giải pháp tiên tiến và hiệu quả hơn. Nếu không có quản lý chính sách bảo mật tập trung, tự động, tổ chức sẽ tự đặt mình vào nguy cơ vi phạm dữ liệu.

Bởi vì phản ứng của tổ chức bị trì hoãn nếu vi phạm xảy ra, họ cũng phải chịu hậu quả tồi tệ hơn từ nó. Viện Ponemon đã liên tục nhận thấy rằng một vi phạm dữ liệu có thể được xác định và ngăn chặn càng nhanh thì phí mà tổ chức phải trả càng thấp. Trong báo cáo năm nay, các doanh nghiệp không có tự động hóa bảo mật có chi phí vi phạm dữ liệu trung bình là 6,03 triệu đô la, cao hơn gấp đôi chi phí trung bình đối với những doanh nghiệp có hệ thống tự động hóa bảo mật được triển khai đầy đủ tại chỗ.

Với UPA, bạn có thể chắc chắn rằng các quy tắc bảo mật của mình luôn được thực thi trong toàn bộ doanh nghiệp trên Windows, Mac, Linux và các tài nguyên không tham gia miền. 

Thay vì yêu cầu quản trị viên CNTT viết các tập lệnh phức tạp hoặc sử dụng một loạt các trình quản lý chính sách cho các ứng dụng và máy chủ bên ngoài mà không cần giám sát, bạn chỉ cần sử dụng Active Directory và Group Policy để kiểm soát cấu hình chính sách và bảo mật của mình – giống như cách bạn đã làm trong Microsoft. Mọi máy chủ, ứng dụng hoặc thiết bị bạn di chuyển lên đám mây đều được xem xét kỹ lưỡng trước để đảm bảo tính bảo mật, tuân thủ và khả năng tương thích. Với quản lý chính sách bổ sung, bạn có thể chọn ủy quyền một số quyết định cho quản trị viên cục bộ mà bạn tin tưởng.

Lợi ích Micro Focus

Khi công ty của bạn chuyển nhiều khối lượng công việc hơn lên đám mây, bạn cần một giải pháp chính sách bảo mật phù hợp với bạn chứ không phải chống lại bạn. UPA giúp quá trình chuyển đổi trở nên dễ dàng và cung cấp cho bạn khả năng hiển thị cũng như khả năng kiểm soát mà bạn cần trong một nơi làm việc nhiều đám mây không còn bị giới hạn bởi địa lý.

—————————

CÔNG TY CỔ PHẦN CYBERLOTUS           

Tổng đài CSKH: 1900 2038

Hotline: 0938.2620.38

Website:  cyberlotus.com

Email: info@cyberlotus.com

Nef Digital SEOON