Cloud-based e-mail and archives for agencies sparks security concerns
By Aliya Sternstein 10/08/2009
Theo: http://www.nextgov.com/nextgov/ng_20091008_4920.php
Bài được đưa lên Internet ngày: 08/10/2009
Lời người dịch: Cuộc tranh luận về an ninh cho những thông tin được lưu trên các môi trường đám mây của các nhà cung cấp dịch vụ thay vì trên các máy chủ của các cơ quan sở hữu các dữ liệu đó vẫn đang tiếp diễn và chưa ngã ngũ. Còn với Việt Nam, trong công nghệ thông tin và truyền thông, chúng ta đã và đang có sự phụ thuộc hoàn toàn về phần cứng và phần mềm vào nước ngoài, nhưng trong tương lai có thể các dữ liệu của chúng ta cũng phụ thuộc nốt vào họ cũng nên. Khi đó chính thức có thể nói: “Chúng ta chẳng có cái gì cả!”.
Các cơ quan mà đang định tuyến thư điện tử qua các trung tâm dữ liệu dựa trên đám mây sẽ đối mặt với nguy cơ tiềm tàng về mất an ninh, theo một số các chuyên gia máy tính. Nhưng các quan chức chính phủ nói họ đang đạt được tính toàn vẹn hệ thống tốt hơn, và bằng một cách không đắt giá, bằng việc sử dụng các dịch vụ như thế này.
Tiếp theo các bước của khu vực tư nhân, các cơ quan chính phủ đang đưa ra cho bên ngoài làm về an ninh thư điện tử và việc lưu trữ trên đám mây, hoặc các môi trường trực tuyến được quản lý bởi bên thứ ba. Các cơ quan trả tiền cho các dịch vụ như thế này theo một cơ sở thuê bao hơn là việc mua các phần cứng hoặc phần mềm và duy trì nó trong nội bộ.
“Bạn đang trộn các dữ liệu của những người khác nhau trong một hệ thống dạng đám mây. Làm thế nào bạn ngăn chặn được các dữ liệu của các cơ quan khác mà những dữ liệu này đã bị dính các trojan độc hại – mà chúng đã bị đầu độc – khi lấy các dữ liệu của bạn?”, Tom Kellermann, phó chủ tịch về nhận thức về an ninh tại Core Security, nói. Hãng này bán các phần mềm kiểm thử về an ninh để bảo vệ các hệ thống IT chống lại các mối đe dọa.
“Các dữ liệu, rất giống một sự rò rỉ khí hóa học, có thể làm ô nhiễm các môi trường”, ông bổ sung. “Nó là một nguy cơ thực sự. Nếu môi trường đám mây trở nên bị ô nhiễm – bởi một trong những thực thể mà nó đang lưu trữ các dữ liệu ở đó – thì làm thế nào bạn quản lý được rủi ro đó?“
Ngân sách năm tài khóa 2010 của chính quyền Obama khuyến cáo các cơ quan bắt đầu chuyển các môi trường máy tính của họ sang đám mây để gò vào 75 tỷ USD mà chính phủ chi hàng năm cho IT. Ngân sách năm 2010 sẽ đòi hỏi các cơ quan chuyển sang máy tính đám mây. Một số cơ quan đã đang dựa vào các dịch vụ chứa chủ (hosting) để gia tăng sự phân chia IT của họ.
Ví dụ, Viện Hòa bình Mỹ đang sử dụng một dịch vụ thư điện tử của Google để lọc các virus, kiểm tra tính đúng đắn cho thư điện tử và tuân thủ với các yêu cầu quản lý hồ sơ. Dịch vụ này định tuyến các thư điện tử đến và đi thông qua các trung tâm dữ liệu của Google thay vì các máy chủ của cơ quan này. Thành phố Seattle và một văn phòng cấp bộ mà Google không có quyền gọi tên cũng sử dụng các dịch vụ như thế này.
Agencies that are routing e-mail through cloud-based data centers face a potential petri dish of security hazards, according to some computer specialists. But government officials say they are achieving better system integrity, and inexpensively, by using such services.
Following in the footsteps of the private sector, government agencies are outsourcing e-mail security and archiving to the cloud, or online environments managed by third-parties. Agencies pay for such services on a subscription basis rather than buying the software or hardware and maintaining it in-house.
"You're mixing different people's data in a cloudlike system. How do you prevent another organization's data that has been trojanized -- that has been poisoned -- from getting into your data?" said Tom Kellermann, vice president of security awareness at Core Security. The company sells security testing software to guard IT systems against threats.
"The data, much like a chemical gas leak, could pollute other environments," he added. "It's a petri dish really. If the cloud environment becomes polluted -- by one of the other entities that's storing data there -- how do you manage that risk?"
The Obama administration's fiscal 2010 budget recommends agencies begin shifting their computing environments to the cloud to rein in the $75 billion that the government spends annually on IT. The 2011 budget will require agencies to move toward cloud computing. Some agencies already are relying on hosted services to augment their IT divisions.
For example, the U.S. Institute of Peace is using a Google e-mail service to filter viruses, validate e-mails and comply with records management requirements. The service routes inbound and outbound e-mail through Google's data centers instead of the agency's servers. The city of Seattle and a Cabinet-level department that Google does not have permission to name also use such services.
Peter Neumann, một nhà khoa học nổi tiếng tại viện nghiên cứu phi lợi nhuận SRI International, người nghiên cứu về an ninh mạng, đã nói, “Thư điện tử là một vấn đề vì sự giả mạo – vì mọi người có thể thực hiện các cuộc ám sát bằng ký tự một cách mạo danh … bạn đã có một thảm họa”.
Ông bổ sung, “Đưa ra sự tinh xảo phức tạp của tính đáng tin cậy của các giao tiếp máy tính, bao gồm cả an ninh, tính toàn vẹn, tính có thể sống sót của hệ thống, sự riêng tư và các vấn đề có liên quan, nhều ý nghĩ lớn hơn nhiều cần được dành để cho việc xác định sự mở rộng mà đối với nó việc đưa ra thuê ngoài làm và từ bỏ trách nhiệm đối với tính đáng tin cậy là nhạy cảm. Thư điện tử và các kho dữ liệu chỉ là đỉnh của phần nổi của tảng băng khổng lồ”.
Nhưng Doug Leins, giám đốc thông tin tại Viện Hòa bình, đã nói: “Chúng ta đã chưa bao giờ có một virus đi qua được” đám mây. Cơ quan 270 người của ông là một viện độc lập mà Quốc hội đã thành lập để giúp ngăn chặn và giải quyết các xung đột quốc tế dữ dội. Thư điện tử bản chất là đẻ xây dựng các hoạt động hòa bình, như việc đào tạo mọi người thông qua video và phổ biến nghiên cứu cho những người làm ra chính sách. Một nỗ lực gần đây là năm 2006 Nhóm Nghiên cứu về Iraq, một đánh giá cucar tình hình chiến tranh trên đất liền, được dẫn dắt bởi James A. Baker III và Lee H. Hamilton.
Những thư điện tử độc hại “có thể khá thông minh”, Leins nói. Phần thân nội dung của một thông điệp sẽ nói lên: “'Ở đây' những thông tin về Hàn Quốc mà bạn đã yêu cầu... và trong khi chờ đợi chúng ta có một cuộc hội thảo về Hàn Quốc ngày đó”.
Dịch vụ dựa trên Internet “lọc mọi thứ đi ra và đi vào – nên chúng ta không gửi cho mọi người spam” nếu một nhân viên chèn vào một cách không có chủ ý một ổ bị thâm nhập sau khi trở về từ nước ngoài, ông nói. An ninh và việc lưu trữ được trang bị bởi Postini, một hãng chống spam mà Google đã mua năm 2007.
Leins đã có những kinh nghiệm tích cực với sản phẩm này tại một hãng luật nơi ông đã làm việc trước khi ra nhập cơ quan này vào tháng 02/2008. Khi ông đã chuyển vào khu vực liên bang, ông đã thấy rằng công cụ này caungx đơn giản hóa tác vụ về duy trì một hồ sơ lịch sử của cơ quan. Thay vì việc xem xét lại một cách thủ công những thư điện tử nào đáng lưu, thì các nhân viên có thể thực hiện một cuộc tìm kiếm của Google của các thư điện tử mà chúng sẽ được lưu trữ một cách tự động. Viện đã bắt đầu sử dụng dịch vụ này cho các lý do an ninh vào tháng 12/2008 và đã bổ sung thành phần lưu trữ này vào cuối tháng 03.
Still, Peter Neumann, a principal scientist at the nonprofit research institute SRI International who studies network security, said, "E-mail is a problem because of forgery -- because people can do character assassinations anonymously ... you've got a disaster."
He added, "Given the very weak existing state of the art of computer-communication trustworthiness, including security, integrity, system survivability, privacy and related issues, much greater thought needs to be devoted to determining the extent to which outsourcing, off-shoring and abdicating responsibility for trustworthiness is sensible. E-mail and data repositories are just the tip of an enormous iceberg here."
But Doug Leins, chief information officer at the Institute of Peace, said, "We've never had a virus get through" the cloud. His 270-person agency is an independent institution Congress established to help prevent and resolve violent international conflicts. E-mail is essential to peace-building activities, such as educating the public through videos and disseminating research to policymakers. A recent effort was the 2006 Iraq Study Group, an assessment of the war situation on the ground, led by James A. Baker III and Lee H. Hamilton.
Malicious e-mails "can be pretty smart," Leins said. The body of a message will state, " 'Here's that information on Korea you requested' ... and meanwhile we're having a seminar on Korea that day."
The Internet-based service "filters everything going in and going out -- so that we don't send people spam" if an employee accidentally inserts an infiltrated jump drive after returning from overseas, he said. The security and archiving is powered by Postini, an anti-spam firm Google purchased in 2007.
Leins had positive experiences with the product at a law firm where he worked before joining the agency in February 2008. When he moved to the federal sector, he found that the tool also simplifies the task of preserving an agency's historical record. Instead of manually reviewing which e-mails are worth saving, employees can perform a Google search of the e-mails that are archived automatically. The institute began using the service for security purposes in December 2008 and added the archiving component in late March.
Dịch vụ đặc biệt này là cho việc bán trên Apps.gov, một site mua sắm trực tuyến mới mà nó chào các công cụ của máy tính đám mây được chấp nhận bởi liên bang cho các cơ quan.
Một yêu cầu về dữ liệu từ Cơ quan Hồ sơ Lưu trữ Quốc gia, ví dụ, thường có thể mất hàng trăm giờ đồng hồ để hoàn tất, mà có thể bây giờ được thực hiện chỉ trong vài giờ đồng hồ, Leins nói. NARA muốn những thư điện tử nào đó có liên quan tới Báo cáo Nghiên cứu về Iraq, ông nói, sau đó viện này có thể ngay lập tức tạo ra một danh sách dài tất cả các thư điện tử có liên quan tới nghiên cứu, tinh chỉnh thành công các cú gõ với các từ khóa và sau đó xuất các kết quả thích hợp tới Lưu trữ trong một định dạng mà nó đáp ứng được các yêu cầu về quản lý hồ sơ.
“Đó là một mẹo để tiết kiệm thời gian khổng lồ”, Leins nói. “Hoặc nếu chúng ta từng có một yêu cầu FOIA, với điều này, thật dễ dàng”.
Khi một cơ quan chuyển các thư điện tử của mình vào lưu trữ dựa vào web, các dữ liệu này không còn hiện diện trên các máy chủ của mình nữa, Dan Israel, một giám đốc marketing sản phẩm cho nhóm liên bang của Google, nói.
Nhưng Kellermann nói nhiều giám đốc thông tin của chính phủ được tập trung một cách thiển cận vào tính mềm dẻo hơn là tính toàn vẹn. “Đám mây sẽ cải thiện được những nỗ lực về sức bật. Tuy nhiên, các kẻ thù của chính phủ chúng ta mong muốn thâm nhập vào các hệ thống của chúng ta thông qua không gian mạng và duy trì sự bí mật và ổn định”, ông nói. “Bất kỳ ai quen với an ninh IT cũng có thể nhận thức được rằng các đám mây phân tán, không được kết nối cũng tạo ra nhiều rủi ro tiềm tàng như chúng có thể loại trừ”
Theo Leins, sự hợp lý nằm sau việc sử dụng các hệ thống dựa trên Web là việc chúng cung cấp an ninh và những phương pháp ngày một gia tăng cho việc khóa các phần mềm độc hại, mà các đội về an ninh của các cơ quan thường quá thiếu người và quá được đầu tư thiếu để bản thân họ triển khai được.
This particular service is for sale on Apps.gov, a newly launched online shopping site that offers federally approved cloud computing tools to agencies.
A data request from the National Archives and Records Administration, for example, typically would take hundreds of hours to complete, but probably now can be handled in just a couple of hours, Leins said. Say NARA wants certain e-mails associated with the Iraq Study Report, he said, then the institute can instantly generate a long list of all study-related e-mails, successively refine the hits with keywords and then export the pertinent results to the Archives in a file format that meets records management requirements.
"That's a gigantic time saver," Leins said. "Or if we ever got a FOIA request, with this, it's cake."
When an agency moves its e-mails into the Web-based archive, the data is no longer hogging space on its servers, noted Dan Israel, a product marketing manager for Google's federal group.
But Kellermann said many government chief information officers are myopically focused on flexibility rather than integrity. "The cloud will enhance resiliency efforts. However, the enemies of our government desire to infiltrate our systems via cyber and remain clandestine and persistent," he said. "Anyone familiar with IT security can also recognize that distributed, interconnected clouds also create as many potential risks as they may eliminate."
According to Leins, the rationale behind using Web-based systems is that they provide increased security and optimal methods for blocking malware, which agency security teams are often too understaffed and underfunded to deploy themselves.
Các chuyên gia an ninh của Googel trở thành một sự mở rộng của đội IT của các cơ quan, cung cấp sự tăng cường mà nếu không có thể sẽ là cấm về giá thành, Israel bổ sung.
Leins đã lưu ý rằng hầu hết các cơ quan chính phủ chia sẻ các kho dữ liệu vật lý nằm khắp đất nước để sao lưu các dữ liệu của riêng họ. “Có những sự tương tự cơ bản giữa tiếp cận này và việc lưu trữ thông tin trong đám mây”, ông nói.
“Vâng, các khách hàng khác nhau mà chúng ta đang làm việc với họ sẽ để các dữ liệu được lưu trữ bên trong cùng trung tâm dữ liệu”, Israel nói. “Nhưng sẽ có những cách mà chúng ta phân nhỏ các dữ liệu một cách ảo... Sẽ không có cơ hội mà các dữ liệu của chúng ta sẽ được đặt trong sự lưu trữ của khách hàng Postini nào khác”
Adam Swidler, giám đốc marketing tại Google Enterprise, nói điều y như vậy là đúng về các dịch vụ an ninh. “Không có khả năng các thông điệp của ai đó khác đang được cách ly với của bạn”, ông nói.
Một số chuyên gia an ninh đã đồng ý rằng môi trường đám mây của Google, và những của những nhà cung cấp lớn khác như Microsoft, lại có thể an toàn hơn một rừng an ninh của các cơ quan. Nhưng hiệu ứng của một lỗ thủng đối với bất kỳ dịch vụ đám mây nào có thể sẽ khủng khiếp hơn.
“Bằng việc tăng cường [các dịch vụ IT], bạn làm dấy lên các vấn đề an ninh của nhiều dịch vu trong số chúng”, Josse Nazario, quản lý về nghiên cứu an ninh với Arbor Network, một công ty về an ninh, nói.
Hiện tượng petri dish là một rủi ro thấp, ông nói. Nazario phải nhìn thấy một mưu toan để làm xám xịt sự thành công của đám mây, dù các tin tặc đang cố gắng. “Ảnh hưởng của bất kỳ lỗ hổng nào như vậy cũng có thể thực sự là thảm họa”, ông nói.
Google's security experts become an extension of the agency's IT team, providing reinforcement that otherwise would be cost-prohibitive, Israel added.
Leins noted that most government agencies share physical data warehouses located throughout the country to backup their own data. "There are fundamental similarities between this approach and storing information in the cloud," he said.
"Yes, the different customers that we are working with will have data stored within the same data center," Israel said. "But there are ways that we virtually partition the data.... There is no chance that your data is going to be put in another Postini customer's archive."
Adam Swidler, product marketing manager at Google Enterprise, said the same is true of security services. "There is no possibility of somebody else's messages being quarantined with yours," he said.
Some security specialists agreed that Google's cloud environment, and those of other big providers such as Microsoft, likely is safer than an agency's security fortress. But the effect of a breach to any cloud service could be more dramatic.
"By consolidating [IT services], you raise the security profiles of many of them," said Jose Nazario, manager of security research with Arbor Networks, a security company.
The petri dish phenomenon is a low risk, he added. Nazario has yet to see an attempt to muddy the cloud succeed, although hackers are trying. "The impact of any such breach would be just truly catastrophic," he said.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.