Làm thế nào an toàn là đám mây?

LinkedIn của Bang Bang Bang, Gary Clark của Junip, Tom Leighton của Akamai, Gordon Ritter của Capitalence Capital và Cristina Alesci của Bloomberg

Làm thế nào an toàn là đám mây? Một số thành viên tham gia hội thảo tại Hội nghị thượng đỉnh công nghệ doanh nghiệp Bloomberg tuần trước đã nói về vấn đề đó, đặc biệt là sau những tiết lộ của Snowden và vi phạm Target. Hầu hết đều lạc quan về tiềm năng của các nhà cung cấp đám mây công cộng để cung cấp bảo mật tốt hơn hầu hết mọi dịch vụ dữ liệu nội bộ. Tuy nhiên, ngay cả những người lạc quan nhất cũng thừa nhận rằng rất nhiều doanh nghiệp cảm thấy thoải mái hơn khi kiểm soát nhiều hơn dữ liệu của họ.

Chẳng hạn, ông Andres Bang, Giám đốc Hệ thống Bán hàng & Vận hành Toàn cầu của LinkedIn, cho biết công ty của ông là một khách hàng lớn của các dịch vụ đám mây công cộng và do đó phụ thuộc vào các nhà cung cấp như vậy. Nhưng, ông nói, công ty đã giữ thông tin thành viên của mình trên một đám mây riêng, vì vậy nó có nhiều quyền kiểm soát hơn. Gary Clark, CTO CNTT của Juniper Networks, cho biết ông thấy nhiều bộ phận CNTT phát triển thành các nhà môi giới dịch vụ đám mây, với 80% hoặc nhiều ứng dụng của họ trên đám mây và phần còn lại trên một đám mây riêng. Nói chung, ông thấy các công ty giữ thông tin riêng tư nhất của họ trong nhà.

Tùy thuộc vào bảo mật trong trung tâm dữ liệu là một mô hình sắp thất bại, theo Tom Leighton, CEO và đồng sáng lập của Akamai Technologies. Nó không đủ để tự bảo vệ mình bằng các sản phẩm trong trung tâm dữ liệu; bạn cần chặn và xử lý trước khi nó đi vào trung tâm dữ liệu.

CIA: Bạn "Chỉ mạnh bằng liên kết yếu nhất của bạn."

Gus Hunt, cựu Giám đốc Công nghệ của CIA

Trong một phiên khác, Gus Hunt, cựu Giám đốc Công nghệ của Cơ quan Tình báo Trung ương (CIA) và Giám đốc điều hành hiện tại của Hunt Technology, lưu ý rằng tất cả các nhà cung cấp điện toán đám mây lớn đều có bảo mật "thực sự tuyệt vời", vì họ cần điều đó để thu hút khách hàng. Ông nói về cách CIA sử dụng đám mây của Amazon, mặc dù trong một bản sao đặc biệt mà Amazon quản lý đằng sau các bức tường của CIA (lần lượt được bảo vệ bởi súng và an ninh vật lý khác).

Nhưng ông lưu ý rằng bảo mật "chỉ mạnh bằng liên kết yếu nhất của bạn". Ông giải thích rằng nếu bạn có khối lượng công việc với lỗ hổng trên đầu nhà cung cấp đám mây, những lỗ hổng đó vẫn tiếp tục tồn tại. Nhưng một lỗ hổng trong một khối lượng công việc không ảnh hưởng đến những người khác trong đám mây. Vì vậy, ông nói, đảm bảo khối lượng công việc của riêng bạn vẫn là một nhiệm vụ quan trọng.

Hunt nói rằng vấn đề bảo mật đang trở thành một "điều khó khăn và khó khăn" và nói rằng thực sự khó khăn cho bất kỳ công ty cá nhân nào để tìm ra cách bảo vệ chính mình. Vì vậy, ông đã chứng kiến ​​sự gia tăng của các công ty dịch vụ bảo mật, những người sẽ trang bị cho mạng của bạn và kiểm soát an ninh. Nhưng ông nói đây là một "cuộc chạy đua vũ trang không ma sát" với thông tin được chia sẻ trên những thứ như phần mềm độc hại gần như ngay lập tức, khiến nó ngày càng khó khăn hơn.

Cuối cùng, ông nói, chúng ta sẽ tập trung nhiều hơn vào việc bảo vệ dữ liệu hơn là mạng. "Đó là dữ liệu, ngu ngốc, " ông nói. Chúng ta cần làm cho nó thật khó để tìm thấy dữ liệu. Nhưng nếu ai đó vượt qua, nó cần nhanh chóng được phát hiện và sửa chữa.

Về lâu dài, Hunt cho biết mọi người sẽ giành được quyền kiểm soát nhiều hơn đối với dữ liệu và quyền riêng tư của họ, nhờ các kỹ thuật như mã hóa và giải mã và khả năng giả mạo vị trí. Điều đó thật tuyệt vời đối với công dân tư nhân, ông nói, nhưng đặt ra những thách thức lớn cho việc thực thi pháp luật. "Bạn sẽ có thể kiểm soát dữ liệu của mình đến một điểm tốt."

Giảm thiểu rủi ro và "Hiệu ứng Snowden"

Wade Baker của Verizon Enterprise Solutions, Mike K. Brown của BlackBerry, Tiến sĩ Burt Kaliski Jr. của VeriSign, John N. Stewart của Cisco

John N. Stewart, Giám đốc an ninh của Cisco lưu ý rằng một vấn đề là chúng tôi không có định nghĩa tốt về bảo mật hay xấu trong bảo mật doanh nghiệp, vì vậy thật khó để so sánh bảo mật từ nhà cung cấp đám mây với đám mây doanh nghiệp. Và Wade Baker, Giám đốc điều hành nghiên cứu và tình báo tại Verizon Enterprise Solutions, cho biết rằng mặc dù các vấn đề bảo mật có thể xảy ra trên đám mây, nhưng điều đó thường không thành vấn đề, bởi vì nó hiếm khi do đám mây gây ra.

Burt Kaliski, Giám đốc Công nghệ của VeriSign, cũng đưa ra khái niệm chuyển sang "cách tiếp cận tập trung vào thông tin", với rất nhiều cơ chế để bảo vệ, nhưng giữ cho hầu hết người dùng cuối này vô hình.

Theo Stewart, bảo mật đám mây chỉ đưa "mọi tội lỗi chúng tôi không giải quyết" lên hàng đầu, trích dẫn các vấn đề như vấn đề về tên người dùng và mật khẩu. Ông nói rằng các công ty đã quá tập trung vào chu vi - "bên ngoài giòn cứng" - không phải ở trung tâm dữ liệu của họ và điều đó đã phải thay đổi. Ông lưu ý rằng việc bảo vệ dữ liệu đã bị mang tiếng xấu, với DRM, nhưng có thể chứng minh rất quan trọng. Nhưng ông cảnh báo, "hầu hết người dùng không quan tâm đến rủi ro, họ quan tâm đến việc hoàn thành công việc của họ theo cách hiệu quả nhất".

Kaliski cho biết, có nhiều yếu tố quan trọng khác trong bảo mật doanh nghiệp, bao gồm quản lý thông tin tốt, tập trung vào sự tin tưởng của tất cả các yếu tố trong hệ thống, kiểm toán và quản lý khóa.

Tất cả đều đồng ý rằng "hiệu ứng Snowden" đã gây chú ý đến các vấn đề an ninh, với nhiều người tiêu dùng quốc tế hiện đang coi Mỹ là xấu xa, trong khi những người khác nghĩ rằng điều đó có nghĩa là Hoa Kỳ biết cách khắc phục.

Raimund Genes của Trend Micro, Rick Howard của Palo Alto Networks, Cedric Leighton trước đây của NSA, Michael Riley của Bloomberg News

Một phiên họp khác chỉ về tác động của Snowden, với mối quan tâm chính là điều này dẫn đến "bộ lạc Internet", theo Đại tá Cedric Leighton, cựu Phó Giám đốc đào tạo tại NSA và hiện là Giám đốc điều hành của Cedric Leighton Associates. Ông lưu ý rằng Internet được thiết kế để mang tính toàn cầu, nhưng bây giờ chúng ta đang nghe về những thứ như "đám mây Đức" hay "đám mây Thụy Sĩ" bên cạnh "tường lửa vĩ đại của Trung Quốc". Những tiết lộ của Snowden đã đóng vai trò là cái cớ để tái cơ cấu hóa mọi thứ, ông nói, và điều này đang gây ra sự bất đồng quan trọng đối với thế giới và Internet, với nhiều hậu quả không lường trước được.

Raimund Genes, Giám đốc Công nghệ của Trend Micro, lưu ý rằng Snowden cũng bắt đầu một cuộc thảo luận về bảo mật nói chung. "Nếu Snowden có thể lấy tài liệu ra khỏi NSA, thì nó nói gì về ngành công nghiệp của chúng tôi?" anh ấy hỏi. Ông nói về việc khó tin tưởng các nhà thầu nội bộ và nhu cầu tạo ra một Internet an toàn hơn nói chung, nói rằng ông nghĩ chính phủ có vai trò.

Ông đồng ý rằng "Internet được tạo ra là toàn cầu" và cho biết một số quy tắc mới của châu Âu được thiết kế để giữ dữ liệu trong quốc gia hoặc khu vực có nguồn gốc của nó là vô lý.

Trong khi cả ông và Leighton đều đồng ý chính phủ có vai trò làm cho Internet an toàn hơn, Rick Howard, Giám đốc an ninh của Palo Alto Networks, cho biết toàn bộ sự việc đã chứng minh rằng ngành công nghiệp đã làm tốt việc cung cấp bảo mật và các nhà cung cấp cho biết cũng phải tốt hơn về việc xây dựng an ninh thành nhiều giải pháp hơn. "Khách hàng sẽ phải yên tâm bất kể chính phủ làm gì", ông nói.