12. Ví dụ:
• Identity and Access Management (IAM) policies control users,
groups, permissions, and accounts run AWS resources
• MFA is recommended for master account
• STS (Security Token Services)
• API, SAML, ADFS …
(Tham khảo các best-practice của Amazon)
13. Quay lại về thực tế
• Thực tế là:
Những việc doanh nghiệp/người sử dụng cần quan tâm
Những câu hỏi trước khi bắt đầu với dịch vụ Cloud
Công việc quản trị cần làm những gì …
• Có lẽ nên dành thời gian để thảo luận thêm
14. Cloud Service Provider - FAQ
• Sử dụng dịch vụ cloud như thế nào khi mà đa
số chưa đọc quy định sử dụng, license hoặc
một số hạn chế (*)
• Dữ liệu được bảo vệ và lưu trữ thế nào
• Làm gì khi có sự cố
• Các điều khoản quy định được thay đổi có báo
trước như thế nào … và cần làm gì
• Nếu dừng dịch vụ thì dữ liệu có được duy trì
tiếp hay không? Bao lâu ?
• (Nhà cung cấp sử dụng các thông tin gì của tôi
khi tôi sử dụng dịch vụ )
15. CSP – FAQ (cont)
• Vấn đề liên quan đến dữ liệu:
Kiểm tra CSP có bảo lưu quyền sử dụng các thông tin của
mình/doanh nghiệp
Khả năng lưu trữ các dữ liệu đã xóa ở đâu đó
Công cụ hỗ trợ cho việc chuyển đổi các từ dịch vụ này sang
dịch vụ khác (upgrade thì dễ, downgrade thì sao nè …)
Chú ý: kiểm tra kỹ các bản sao lưu (backup) khi quyết định
không sử dụng cloud đó nữa.
• Các chuẩn bảo mật CSP đang tuân thủ:
ISO 27001 hay các chuẩn tương đương
Compliance (Privacy và đủ thứ trên đời như SOX, HIPPA…)
Encryption & Algorithm
• Vui lòng cho xem SOP (Standard Operations Procedure)
16. Cloud Services - FAQ
• Identification & Authentication
Strong authentication (2NF)
Đổi mật khẩu theo định kỳ
Xóa các tài khoản và thay đổi mật khẩu khi có sự thay đổi
• Data protection
Các dạng dữ liệu được lưu trên Cloud
Bảo vệ dữ liệu cá nhân (Privacy)
Tránh việc chia sẻ dữ liệu quan trọng qua cloud
Khu vực lưu trữ (thường quy định với luật)
17. Cloud Services - FAQ
• Cloud Administrator (*)
Các yếu tố bảo vệ cho tài khoản quản trị Cloud (strong
Authentication)
Định kỳ xem lại việc phân quyền truy cập, chia sẻ
Clean-up và backup dữ liệu
Tuân thủ các chính sách
• Service Continuity
Backup và đảm bảo việc khả năng mở rộng khi cần thiết (tùy
thuộc vào dịch vụ cloud)
Mức độ ảnh hưởng khi chuyển sang khu vực khác hoạt động
Cẩn thận khi Add thêm các dịch vụ Secure as a Service mà
chưa biết rõ
(Cá mập luôn là đối thủ khó chơi nhất …. )
18. Bảo vệ dữ liệu cá nhân
• Có 1 câu mà hỏi hoài …
• Data Protection
Tốt nhất là tự hỏi nếu thông tin bị lộ thì …
Không có gì để mất
• Security of Access Account
Đừng chia sẻ mật khẩu & bảo vệ tài khoản của bản thân
Định kỳ rà soát lịch sử truy cập thông báo khi có bất
thường
Xác thực đa lớp
• Secure devices
Thiết bị di động dễ mất lắm
Jailbreak/root, phần mềm giả mạo
Ransomware đã có trên mobile
….
23. Thông tin tham khảo
Các tài liệu tham khảo:
• CSA - Cloud Control Matrix
• ISACA:
• Cloud Computing Management Audit/Assurance
Program
• Security Consideration Cloud Computing (Took-kits)
• Research Gate:
• A generic Software Development Process Refined from
Best Practices for Cloud Computing
• KPMG & Deloitte (Publication)
• Openstack (xem notes là chủ yếu).