Cloud Security: Bảo mật dữ liệu thông tin của bạn trên đám mây

Trong thế giới luôn kết nối ngày nay, ngày càng nhiều các tổ chức chuyển dữ liệu của họ lên đám mây để đạt hiệu quả tốt hơn trong quá trình hoạt động, giảm thiểu các chi phí, tăng khả năng linh hoạt.

Khi nhiều dữ liệu được tạo ra, xử lý và lưu trữ trên đám mây – thì đây cũng trở thành mục tiêu chính của tội phạm mạng, các hacker luôn rình rập để đánh cắp dữ liệu nhạy cảm của các tổ chức – việc bảo vệ dữ liệu nhạy cảm nằm trên đám mây trở nên cấp thiết.

Trong khi hầu hết các Nhà cung cấp dịch vụ đám mây (CSP) đã triển khai các hệ thống phòng thủ tiền tuyến mạnh như tường lửa, chống vi-rút, chống phần mềm độc hại, bảo mật đám mâyphát hiện xâm nhập, v.v. để ngăn chặn các cuộc tấn công độc hại, các tin tặc tinh vi đang xâm phạm khu vực dữ liệu. Và một khi tin tặc có được một mục nhập bên trong bằng cách phá vỡ phòng thủ vành đai của CSP, hầu như họ không thể làm gì để ngăn việc truy cập dữ liệu nhạy cảm của tổ chức. Đó là lý do tại sao ngày càng có nhiều tổ chức mã hóa dữ liệu đám mây của họ như là một tuyến phòng thủ cuối cùng quan trọng chống lại các cuộc tấn công mạng.

Mã hóa dữ liệu không đủ

Mặc dù mã hóa dữ liệu chắc chắn hoạt động như một sự răn đe mạnh mẽ, nhưng chỉ mã hóa dữ liệu là không đủ trong thời đại nguy hiểm ngày nay khi các cuộc tấn công mạng ngày càng tinh vi hơn mỗi ngày. Vì dữ liệu nằm trong CSP, nó nằm ngoài sự kiểm soát trực tiếp của các tổ chức sở hữu dữ liệu, việc lưu trữ các khóa mã hóa một cách an toàn và tách biệt với dữ liệu được mã hóa là điều tối quan trọng.

Nhập BYOK

Để đảm bảo bảo vệ tối ưu dữ liệu của họ trên đám mây, ngày càng nhiều tổ chức đang áp dụng phương pháp sử  dụng khóa bảo mật cứng (BYOK) cho phép họ tạo và quản lý khóa mã hóa riêng của họ một cách an toàn, tách biệt với CSP nơi có dữ liệu nhạy cảm của họ lưu trữ.

Tuy nhiên, khi nhiều khóa mã hóa được tạo ra cho số lượng môi trường đám mây ngày càng tăng như Microsoft Azure, Amazon Web Services (AWS), Salesforce, v.v., việc quản lý hiệu quả các khóa mã hóa của các ứng dụng đám mây riêng lẻ và đảm bảo quyền truy cập, trở nên rất quan trọng. Đó là lý do tại sao nhiều tổ chức sử dụng các giải pháp quản lý khóa ngoài (EKM) để quản lý một cách cố định tất cả các khóa mã hóa của họ một cách an toàn.

Lấy ví dụ về Office 365, ứng dụng đám mây theo yêu cầu của Microsoft được các tổ chức trên toàn cầu sử dụng rộng rãi để hỗ trợ tính di động của nhân viên bằng cách hỗ trợ mọi lúc, mọi nơi truy cập vào ứng dụng email của Microsoft – MS Outlook và các ứng dụng tiện ích kinh doanh như MS Word, Excel, PowerPoint v.v.

Các giải pháp BYOK của Gemalto (SafeNet ProtectApp và SafeNet KeySecure) cho Office 365 không chỉ đảm bảo rằng các tổ chức kiểm soát hoàn toàn dữ liệu đám mây được mã hóa của họ, mà còn hỗ trợ quản lý hiệu quả các khóa mã hóa của các ứng dụng đám mây khác như Azure, AWS, Google Cloud và Salesforce .

Dưới đây là ảnh chụp nhanh về cách SafeNet ProtectApp và SafeNet KeySecure hoạt động liền mạch với Azure BYOK:

tạm biệt

Quy trình hoạt động:

1. SafeNet ProtectApp và KeySecure được sử dụng để tạo Cặp khóa RSA hoặc kích thước Khóa được yêu cầu bằng RNG được chứng nhận RNG 140-2 của KeySecure.
2. Một Self-SignedCertertUtility.jar (là một ứng dụng dựa trên Java) sau đó tương tác với KeySecure bằng dịch vụ NAE được bảo vệ bởi TLS để lấy Cặp khóa và tạo Chứng chỉ tự ký.

3. Cặp khóa và Chứng chỉ tự ký được lưu trữ an toàn trong thùng chứa PFX hoặc P12 mã hóa nội dung bằng Khóa mã hóa dựa trên mật khẩu (PBE).

4. Tệp PFX (là một thùng chứa được mã hóa bằng Khóa PBE) sau đó được tải lên trên Azure Key Vault bằng Azure Web API / Rest.

5. Việc truyền tệp PFX đến Azure Key Vault được bảo vệ bằng các cơ chế bảo mật được Azure triển khai trên API Web của họ (TLS / SSL, v.v.).

7. Vì các tệp PFX sẽ được đặt trên cùng một hệ thống mà tiện ích SelfSignCertertUtility.jar sẽ được thực thi, nên thực hiện các thực hành bảo mật tốt nhất trong ngành như đảm bảo phê duyệt trước khi khởi động, cho phép xác thực hai yếu tố (2FA), v.v. .

8. Khi Khóa được tải trên Azure Key Vault, tất cả các hoạt động mã hóa sẽ xảy ra trên chính nền tảng Azure.

Tổng hợp lại

Khi công nghệ ngày càng phát triển, các hành vi xâm nhập, phá hoại của hacker cũng ngày càng tinh vi hơn thì việc bảo mật an toàn dữ liệu cũng ngày cấp thiết hơn. Trong khi mã hóa dữ liệu đám mây các tổ chức phải nhớ rằng việc bảo mật và quản lý các khóa mã hóa cũng quan trọng như chính việc xây dựng mã hóa.

Để ngăn chặn truy cập trái phép và đảm bảo rằng các khóa mã hóa không rơi vào tay kẻ xấu, các chuyên gia an ninh mạng nhất trí khuyến nghị sử dụng các thiết bị Mô-đun bảo mật phần cứng (HSM) để lưu trữ an toàn các khóa mã hóa.

Vì các khóa mã hóa trải qua nhiều giai đoạn trong suốt cuộc đời của chúng – như tạo, lưu trữ, phân phối, sao lưu, xoay và phá hủy, việc quản lý hiệu quả các khóa này ở mỗi giai đoạn trong vòng đời của chúng trở nên quan trọng.

SafeNet KeySecure của Gemalto cung cấp cho các tổ chức một nền tảng tập trung mạnh mẽ, quản lý liền mạch tất cả các khóa mã hóa. Dưới đây là một số lợi ích chính giúp SafeNet KeySecure trở thành lựa chọn ưu tiên cho các tổ chức trên toàn cầu:

1. Quản lý khóa không đồng nhất – giúp quản lý liền mạch nhiều khóa mã hóa ở mỗi giai đoạn trong vòng đời của chúng.

2. Ghi nhật ký và kiểm toán – giúp lưu trữ các bản kiểm toán có thể được phân tích bằng cách sử dụng bất kỳ công cụ SIEM hàng đầu nào.

3. Bảng điều khiển quản lý tập trung – giúp phân công vai trò quản trị viên theo phạm vi trách nhiệm của họ.

4. Khả năng tương tác cao – hỗ trợ một hệ sinh thái rộng lớn của các đối tác công nghệ bằng cách sử dụng tiêu chuẩn OASIS KMIP

5. Giảm chi phí chung cho bảo mật dữ liệu bằng cách cung cấp các hoạt động tự động.

Tìm hiểu thêm về cách bộ giải pháp bảo mật đám mây của Gemalto có thể giúp tổ chức của bạn bảo mật hoàn toàn dữ liệu của bạn trên đám mây tại http://fct.vn/