Lương Trung Thành - Cloud Control Matrix

1. CLOUD CONTROL MATRIX
Luong Trung Thanh – CSA Vietnam

2. Xin chân thành cảm ơn các nhà tài trợ

3. NỘI DUNG:
• Sơ lược về Cloud Control Matrix
• Bảo mật trên đám mây
• Conceptual Framework
• Những vấn đề thực tế

4. Sơ lược về Cloud Control Matrix
Những bước sơ khởi ban đầu

5. Sơ lược về Cloud Control Matrix
133 controls, 16 mục, ánh xạ
khá đầy đủ các tiêu chuẩn bảo
mật, privacy như ISO 27001,
PCI-DSS, HIIPA…

6. BẢO MẬT TRÊN ĐÁM MÂY
Cả nhà cung cấp dịch vụ và
người sử dụng đều có trách
nhiệm với đám mây của mình
Úi à !!! Trách
nhiệm gì? Biết
làm gì giờ ?

8. Nhận diện rủi ro trên Cloud
Nguồn: Deloitte Big 4

9. IaaS – Conceptual Framework

10. PaaS - Conceptual Framework

11. SaaS - Conceptual Framework

12. Ví dụ:
• Identity and Access Management (IAM) policies  control users,
groups, permissions, and accounts run AWS resources
• MFA is recommended for master account
• STS (Security Token Services)
• API, SAML, ADFS …
(Tham khảo các best-practice của Amazon)

13. Quay lại về thực tế
• Thực tế là:
 Những việc doanh nghiệp/người sử dụng cần quan tâm
 Những câu hỏi trước khi bắt đầu với dịch vụ Cloud
 Công việc quản trị cần làm những gì …
• Có lẽ nên dành thời gian để thảo luận thêm

14. Cloud Service Provider - FAQ
• Sử dụng dịch vụ cloud như thế nào khi mà đa
số chưa đọc quy định sử dụng, license hoặc
một số hạn chế (*)
• Dữ liệu được bảo vệ và lưu trữ thế nào
• Làm gì khi có sự cố
• Các điều khoản quy định được thay đổi có báo
trước như thế nào … và cần làm gì
• Nếu dừng dịch vụ thì dữ liệu có được duy trì
tiếp hay không? Bao lâu ?
• (Nhà cung cấp sử dụng các thông tin gì của tôi
khi tôi sử dụng dịch vụ )

15. CSP – FAQ (cont)
• Vấn đề liên quan đến dữ liệu:
 Kiểm tra CSP có bảo lưu quyền sử dụng các thông tin của
mình/doanh nghiệp
 Khả năng lưu trữ các dữ liệu đã xóa ở đâu đó
 Công cụ hỗ trợ cho việc chuyển đổi các từ dịch vụ này sang
dịch vụ khác (upgrade thì dễ, downgrade thì sao nè …)
 Chú ý: kiểm tra kỹ các bản sao lưu (backup) khi quyết định
không sử dụng cloud đó nữa.
• Các chuẩn bảo mật CSP đang tuân thủ:
 ISO 27001 hay các chuẩn tương đương
 Compliance (Privacy và đủ thứ trên đời như SOX, HIPPA…)
 Encryption & Algorithm
• Vui lòng cho xem SOP (Standard Operations Procedure)

16. Cloud Services - FAQ
• Identification & Authentication
 Strong authentication (2NF)
 Đổi mật khẩu theo định kỳ
 Xóa các tài khoản và thay đổi mật khẩu khi có sự thay đổi
• Data protection
 Các dạng dữ liệu được lưu trên Cloud
 Bảo vệ dữ liệu cá nhân (Privacy)
 Tránh việc chia sẻ dữ liệu quan trọng qua cloud
 Khu vực lưu trữ (thường quy định với luật)

17. Cloud Services - FAQ
• Cloud Administrator (*)
 Các yếu tố bảo vệ cho tài khoản quản trị Cloud (strong
Authentication)
 Định kỳ xem lại việc phân quyền truy cập, chia sẻ
 Clean-up và backup dữ liệu
 Tuân thủ các chính sách
• Service Continuity
 Backup và đảm bảo việc khả năng mở rộng khi cần thiết (tùy
thuộc vào dịch vụ cloud)
 Mức độ ảnh hưởng khi chuyển sang khu vực khác hoạt động
 Cẩn thận khi Add thêm các dịch vụ Secure as a Service mà
chưa biết rõ
 (Cá mập luôn là đối thủ khó chơi nhất …. )

18. Bảo vệ dữ liệu cá nhân
• Có 1 câu mà hỏi hoài …
• Data Protection
 Tốt nhất là tự hỏi nếu thông tin bị lộ thì …
 Không có gì để mất
• Security of Access Account
 Đừng chia sẻ mật khẩu & bảo vệ tài khoản của bản thân
 Định kỳ rà soát lịch sử truy cập  thông báo khi có bất
thường
 Xác thực đa lớp 
• Secure devices
 Thiết bị di động dễ mất lắm
 Jailbreak/root, phần mềm giả mạo
 Ransomware đã có trên mobile 
 ….

19. Everything as a Service
Pay what you want
& use

20. Công việc nhàm chán…day-to-day

21. TÓM LẠI:

23. Thông tin tham khảo
Các tài liệu tham khảo:
• CSA - Cloud Control Matrix
• ISACA:
• Cloud Computing Management Audit/Assurance
Program
• Security Consideration Cloud Computing (Took-kits)
• Research Gate:
• A generic Software Development Process Refined from
Best Practices for Cloud Computing
• KPMG & Deloitte (Publication)
• Openstack (xem notes là chủ yếu).

24. THNAK YOU !!!