Please follow and like us:
Trình bày mô hình an toàn bảo mật dữ liệu trong điện toán đám mây?
- Phân mức an ninh dữ liệu: mức an ninh đầu tiên đó là xác thực người dùng (là phương pháp sinh trắc học hoặc các phương pháp khác) trên các thiết bị cần thiết (máy tính, thiết bị trợ giúp điện tử cá nhân) để truy cập dữ liệu trên đám mây. Sau khi xác thực, người dùng sẽ truy cập mạng bảo vệ truy cập tới máy chủ dữ liệu thông qua kiểm soát (mức an ninh thứ hai). Việc kiểm soát an ninh tại mức hệ điều hành (mức an ninh thứ ba). Việc kiểm soát an ninh tại mức hệ điều hành (mức an ninh thứ ba) bảo vệ truy cập tới ứng dụng và CSDL. Sau khi xác thực ở mức vật lý và mức ứng dụng (mức an ninh thứ tư), truy cập dữ liệu sẽ được thực hiện tùy thuộc vào quyền của người dùng được cấp.
- Biện pháp đảm bảo an toàn các giai đoạn trong vòng đời dữ liệu: các hành vi vi phạm an ninh cũng sẽ được nghiên cứu để thiết lập:
- Nếu các dữ liệu tương ứng đã bị tổn hại.
- Nếu người không được phép hay cấp quyền song vẫn có khả năng truy cập dữ liệu.
- Tác động và chi phí vi phạm bảo mật dữ liệu.
- Các biện pháp khắc phục được đề nghị.
- Chi phí của các biện pháp khắc phục sẽ được áp dụng.
- Bảo mật dữ liệu trong quá trình tạo dữ liệu:
- Phân loại dữ liệu:
- Việc phân loại dữ liệu sẽ được đánh giá dựa trên đánh giá rủi ro và trên tác động nguy hại, cũng như mất mát dữ liệu.
- Phân loại được thực hiện bởi người được ủy quyền của tổ chức, với một thông báo sơ bộ từ các giám đốc điều hành phối hợp hoạt động.
- Phân loại diễn ra định kỳ, hoặc khi một điều kiện nhất định nào đó đạt được. Việc phân loại lại có thể xảy ra nếu: thời hạn phân loại hết hạn; cung cấp thông tin không còn có ích cho người/tổ chức nắm giữ; phân loại được phân cho một người không được phép.
- Một số kiểm soát có thể áp dụng trong quá trình tạo dữ liệu: logic ứng dụng (tự động, thông qua từ khóa, phân tích nội dung) và dán nhãn (thủ công, thông qua từ khóa). Lựa chọn mô hình đám mây rất hữu ích để thực hiện một phân tích dữ liệu theo một số tiêu chí, chẳng hạn như chức năng, mức độ nhạy cảm, khối lượng, tính toàn vẹn, sẵn sàng.
- Phân quyền:
- Quy trình phân quyền cho các ứng dụng đối với dữ liệu theo phân loại của dữ liệu.
- Các quyền có thể được gán cho cá nhân/nhóm và có thể giới hạn truy cập đến các thiết bị khác nhau về nội dung hoặc vị trí.
- Các kỹ thuật kiểm soát có thể được áp dụng trong phân quyền là nhãn an ninh, trong đó liên quan đến một nhãn gán cho một phần tử dữ liệu, trên cơ sở đó sẽ triển khai về mặt logic và kiểm soát truy cập, quản lý quyền.
- Bảo mật dữ liệu lưu trữ:
- Lưu trữ dữ liệu diễn ra ngay lập tức sau khi dữ liệu được tạo ra và được đưa và các thiết bị lưu trữ.
- Dữ liệu có thể lưu trữ ở dạng ban đầu hoặc có thể được mã hóa tùy theo mức độ bảo mật liên quan đến các quy định pháp luật.
- Dữ liệu lưu trữ có thể ở trong nội bộ hoặc bên ngoài, trong cùng hoặc khác khu vực địa lý hay trong các trung tâm dữ liệu giống nhau hoặc khác nhau.
- Quản lý truy cập:
- Truy cập tới dữ liệu chỉ được phép bởi người có thẩm quyền, tương ứng với các chính sách truy cập được định nghĩa tại từng mức của tổ chức. Chính sách an ninh có thể sử dụng các kiểu truy cập khác nhau dựa trên định danh, vai trò, nhóm, ngữ cảnh, quy tắc.
- Quản lý truy cập bao gồm các tiến trình và kiểm soát an ninh được thực hiện ở mức hệ thống lưu trữ bên ngoài (đám mây), hệ thống lưu trữ bên trong (khách hàng, nhà cung cấp dịch vụ).
- Xác thực người dùng dựa trên nhiều nhân tố, dữ liệu (mật khẩu), dụng cụ (thẻ bài, tường lửa, hệ thống phát hiện xâm nhập), sinh trắc học (vân tay, võng mạc, giọng nói…). Giải pháp xác định định danh và quản lý quyền giảm độ phức tạp và rủi ro trong suốt vòng đời tài khoản và quyền gắn với người dùng.
- Việc kiểm soát truy cập khác nhau tùy thuộc vào kiểu của chúng (cấu trúc như hệ thống quản lý cơ sở dữ liệu truy cập và phi cấu trúc), sử dụng các mô hình khác nhau hoặc kết hợp (DAC, RBAC, MAC).
- Điều khiển logic tăng cường bảo mật nội dung và kiểm soát truy cập, đặc biệt là trong các ứng dụng và hệ thống có cấu trúc. Việc xác nhận thường tập trung và chuẩn hóa cung cấp các thông tin cần thiết cho kiểm toán và kiểm soát an ninh truy cập dữ liệu.
- Mã hóa dữ liệu:
- Mã hóa dữ liệu thông thường được sử dụng cho những dữ liệu quan trọng. Dữ liệu mã hóa tại nơi lưu trữ có thể được tiến hành bởi một hay nhiều mức như: ổ cứng, tệp, ứng dụng và cơ sở dữ liệu.
- Đối với truyền dữ liệu mạng, nó có thể sử dụng các biện pháp mã hóa hoặc sử dụng các giao thức an ninh (HTTPS, TLS, SSL).
- Mã hóa dữ liệu đảm bảo tính bảo mật dữ liệu. Việc mã hóa dữ liệu cần xem xét đến cơ chế sử dụng cho mã hóa dữ liệu, quản lý khóa, sử dụng khóa đơn hay nhiều khóa, phân loại dữ liệu yêu cầu mã hóa.
- Bảo mật dữ liệu khi chia sẻ:
- Tập trung vào dữ liệu chia sẻ giữa người dùng, khách hàng, đối tác và hệ thống. Việc chia sẻ được thực hiện thông qua ủy quyền dựa trên quyền và sự cho phép được gán với nó.
- Tùy theo mức độ nhạy cảm của dữ liệu và quy định pháp lý hợp lệ, dữ liệu có thể được mã hóa trong quá trình truyền.
- Một số giải pháp được đề cập như AES sử dụng khóa đối xứng, thuật toán mã hóa công khai RSA với khóa bất đối xứng sử dụng cho chữ ký điện tử…
- An toàn dịch vụ dữ liệu mạng tập trung vào 5 điểm quan trọng: bảo mật, xác thực, toàn vẹn, chống chối bỏ bên gửi, chống chối bỏ bên nhận.
- Bảo mật dữ liệu khi sử dụng dữ liệu:
- Sử dụng dữ liệu yêu cầu đảm bảo tính sẫn sàng của dữ liệu trong điện toán đám mây và việc sử dụng nó (ảo hóa, xử lý và truy cập) bởi người được cấp quyền.
- Việc sử dụng và truyền dữ liệu an toàn có thể được lưu trữ cô lập, sử dụng các phương pháp khác nhau như MPLS, mạng riêng ảo VPN, mạng cục bộ ảo VLAN.
- Bảo mật dữ liệu khi hủy bỏ dữ liệu:
- Đảm bảo việc xóa bỏ hoàn toàn dữ liệu và đảm bảo cho dữ liệu được an toàn sau khi xóa (bao gồm việc xóa bảo các khóa mật mã).
- Nhà cung cấp dịch vụ điện toán đám mây cũng nên đưa ra sự khẳng định đã phá hủy dữ liệu (bao gồm cả các bản sao lưu) và chứng minh khả năng không thể phục hổi những dữ liệu đó.
- Phân loại dữ liệu:
Please follow and like us: