Tính khả chuyển và tính tương hợp trong điện toán đám mây

Trong bài “An ninh thông tin trong điện toán đám mây (ĐTĐM)”, đăng trên tạp chí Tin học và Đời sống số tháng 07/2010 có đưa ra một số kết luận tóm tắt, trong đó có mục nêu: “kiến trúc, cùng với 12 lĩnh vực trọng tâm sống còn khác, sẽ cung cấp một nền tảng vững chắc cho việc đánh giá, vận hành, quản lý và chế ngự an ninh trong ĐTĐM”. Một trong 12 lĩnh vực đó là tính khả chuyển và tính tương hợp trong ĐTĐM, được đề cập trong bài viết này với mong muốn để người sử dụng, các nhà cung cấp dịch vụ cũng như các bên thứ ba có liên quan hình dung được những thách thức về an ninh khi tham gia ĐTĐM.

Các tổ chức nên tiếp cận đám mây với nhận thức rằng họ có thể phải thay đổi các nhà cung cấp trong tương lai. Vì vậy, tính khả chuyển và tính tương hợp phải được tính tới trước như một phần của việc quản lý rủi ro và đảm bảo an ninh đối với bất kỳ chương trình đám mây nào.

Các nhà cung cấp đám mây lớn có thể đưa ra sự dư thừa về mặt địa lý trong đám mây, hy vọng tạo ra tính sẵn sàng cao với một nhà cung cấp duy nhất. Tuy nhiên, bạn được khuyến cáo nên tiến hành bước lên kế hoạch cho tính liên tục về nghiệp vụ một cách cơ bản, để giúp hạn chế được tối đa ảnh hưởng của một kịch bản tồi tệ nhất có thể xảy ra, khi mà nhiều công ty trong tương lai bỗng nhiên tự thấy có những nhu cầu khẩn cấp phải chuyển sang các nhà cung cấp khác vì nhiều lý do, ví dụ như:

• Giá thành hợp đồng khi ký lại sau một thời gian tăng tới mức không thể chấp nhận được.

• Nhà cung cấp ngừng các hoạt động kinh doanh.

• Nhà cung cấp bỗng nhiên đóng một hoặc nhiều dịch vụ đang được sử dụng mà không có các kế hoạch chuyển đổi chấp nhận được.

• Giảm chất lượng dịch vụ tới mức không thể chấp nhận được, như việc không đáp ứng được các yêu cầu thực thi hoặc không đáp ứng được các thỏa thuận về mức dịch vụ.

• Có tranh chấp về nghiệp vụ giữa nhà cung cấp và người sử dụng.

Một vài sự cân nhắc đơn giản về kiến trúc có thể giúp giảm thiểu thiệt hại từ các dạng kịch bản này là nên có. Tuy nhiên, biện pháp để giải quyết các vấn đề này phụ thuộc vào dạng các dịch vụ đám mây.

Với Phần mềm như một dịch vụ (SaaS), thì khách hàng của đám mây, theo định nghĩa, sẽ được thay thế các ứng dụng phần mềm cũ bằng các ứng dụng phần mềm mới. Vì thế, sự tập trung không phải vào tính khả chuyển của các ứng dụng, mà vào việc giữ lại hoặc cải tiến chức năng về an ninh được cung cấp bởi ứng dụng đã có trước đó và việc đạt được một sự chuyển đổi dữ liệu thành công.

Với Nền tảng như một dịch vụ (PaaS), điều mong đợi là việc một vài sửa đổi ứng dụng ở một mức độ nào đó sẽ là cần thiết để đạt được tính khả chuyển. Sự chú ý này làm giảm thiểu số lượng các ứng dụng phải viết lại trong khi vẫn giữ lại hoặc cải tiến được các kiểm soát an ninh, cùng với việc đạt được một sự chuyển đổi dữ liệu thành công.

Với Hạ tầng như một dịch vụ (IaaS), sự chú ý và mong đợi là việc cả các ứng dụng và dữ liệu phải có khả năng chuyển đổi và chạy được trong đám mây của một nhà cung cấp mới.

Vì sự thiếu hụt chung về các tiêu chuẩn cho tính tương hợp, và thiếu sức ép thị trường đối với các tiêu chuẩn này nên việc chuyển giữa các nhà cung cấp đám mây có thể là một quá trình đau đớn bằng tay. Từ quan điểm an ninh, những lo lắng ngay từ ban đầu cùng với việc duy trì tính ổn định của các kiểm soát về an ninh khi thay đổi các môi trường là cần thiết.

Các khuyến cáo

1. Cho tất cả các giải pháp đám mây:

• Việc thay thế các nhà cung cấp đám mây trong tất cả các trường hợp là một sự chuyển dịch nghiệp vụ tiêu cực ít nhất là đối với một bên, mà nó có thể gây ra một phản ứng tiêu cực không mong đợi từ nhà cung cấp đám mây cũ. Điều này phải được lên kế hoạch trong quá trình tiến hành làm hợp đồng, theo chương trình về tính liên tục về nghiệp vụ, và như một phần của việc quản lý tổng thể của người sử dụng.

• Hiểu được kích cỡ các tập hợp dữ liệu được đặt tại nhà cung cấp dịch vụ đám mây. Toàn bộ kích cỡ dữ liệu lớn có thể gây ra một sự gián đoạn dịch vụ khi chuyển dịch, hoặc một khoảng thời gian chuyển dịch lâu hơn so với tính toán ban đầu. Nhiều khách hàng thấy rằng việc sử dụng một người trung gian để chuyển các ổ đĩa cứng còn nhanh hơn là sự chuyển dịch bằng điện tử đối với các tập hợp dữ liệu lớn.

• Ghi thành tài liệu kiến trúc và các thiết lập cấu hình về an ninh của các kiểm soát an ninh theo từng thành phần riêng rẽ sao cho chúng có thể được sử dụng để hỗ trợ cho việc kiểm toán nội bộ, cũng như để tạo điều kiện chuyển đổi sang các nhà cung cấp mới.

2. Đối với các giải pháp đám mây hạ tầng như một dịch vụ (IaaS):

• Hiểu cách mà các hình ảnh của các máy ảo có thể nắm được và chuyển được sang các nhà cung cấp đám mây mới, những người có thể sử dụng các công nghệ ảo hóa khác.

• Xác định và hạn chế (hoặc ít nhất là ghi thành tài liệu) bất kỳ sự mở rộng bổ sung đặc thù nào của nhà cung cấp đối với môi trường máy ảo.

• Hiểu được những gì đang diễn ra để chắc chắn việc thôi cung cấp những hình ảnh máy ảo hóa xảy ra sau khi một ứng dụng chuyển được khỏi nhà cung cấp dịch vụ đám mây.

• Yêu cầu được truy cập tới các nhật ký, các thông tin theo dõi hệ thống, các hồ sơ truy cập và tính tiền từ nhà cung cấp đám mây cũ.

• Xác định những lựa chọn để hồi phục lại hoặc mở rộng dịch vụ với nhà cung cấp đám mây cũ một phần hoặc toàn bộ nếu dịch vụ mới tỏ ra là yếu kém hơn.

• Xác định liệu có hay không bất kỳ chức năng, giao diện, hoặc giao diện lập trình ứng dụng APIs nào ở mức quản lý đang được sử dụng mà là không tương thích hoặc không triển khai được với nhà cung cấp mới.

3. Đối với các giải pháp đám mây nền tảng như một dịch vụ (PaaS):

• Khi có thể, hãy sử dụng các thành phần nền tảng với một cú pháp tiêu chuẩn, các giao diện lập trình ứng dụng APIs mở, và các chuẩn mở.

• Hiểu các công cụ nào là sẵn sàng cho việc truyền, sao lưu và phục hồi các dữ liệu một cách có an ninh.

• Hiểu và ghi thành tài liệu các thành phần và các module ứng dụng đặc thù đối với nhà cung cấp PaaS, và phát triển một kiến trúc ứng dụng với các lớp ảo hóa để giảm thiểu sự truy cập trực tiếp tới các module sở hữu độc quyền.

• Hiểu cách mà các dịch vụ cơ bản như việc giám sát, ghi nhật ký và kiểm toán có thể truyền tới một nhà cung cấp mới.

• Hiểu các chức năng kiểm soát mà nhà cung cấp cũ cung cấp và cách mà chúng có thể biên dịch được sang cho nhà cung cấp mới.

• Khi chuyển đổi sang một nền tảng mới, hãy hiểu những ảnh hưởng lên việc thực thi và khả năng của ứng dụng, và cách mà những ảnh hưởng này sẽ được đo đếm.

• Hiểu cách mà việc kiểm thử sẽ được hoàn tất trước và sau khi chuyển đổi, để khẳng định được rằng các dịch vụ hoặc các ứng dụng hoạt động đúng. Đảm bảo rằng trách nhiệm của cả nhà cung cấp dịch vụ và người sử dụng cho việc kiểm thử đều được biết rõ và được ghi chép thành tài liệu.

4. Đối với các giải pháp đám mây phần mềm như một dịch vụ (SaaS):

• Tiến hành trích xuất và sao lưu dữ liệu thường xuyên sang một định dạng sử dụng được mà không cần có nhà cung cấp SaaS.

• Hiểu được liệu siêu dữ liệu có thể lưu giữ và chuyển đổi được hay không.

• Hiểu rằng bất kỳ công cụ tùy biến nào đang được triển khai sẽ phải được phát triển lại, hoặc nhà cung cấp mới phải cung cấp các công cụ đó.

• Đảm bảo tính ổn định về hiệu quả của việc kiểm soát cả đối với các nhà cung cấp cũ và mới.

• Đảm bảo khả năng chuyển đổi các bản sao lưu và các bản sao chép nhật ký, các hồ sơ truy cập và bất kỳ thông tin thích hợp nào khác có thể được yêu cầu vì các lý do pháp lý và tuân thủ.

• Hiểu các giao diện quản lý, giám sát và báo cáo và sự tích hợp của chúng giữa các môi trường.

• Liệu có hay không một sự chuẩn bị đối với nhà cung cấp mới để kiểm nghiệm và đánh giá các ứng dụng trước khi chuyển đổi?

Trần Lê

Nguồn: Chỉ dẫn về an ninh đối với các lĩnh vực sống còn cần chú ý trong điện toán đám mây.

PS: Bài được đăng trên tạp chí Tin học và Đời sống, số tháng 08/2010, trang 22-23.