Bảo mật điện toán đám mây: Top 03 lỗi sai phổ biến nhất của doanh nghiệp và cách khắc phục

Theo dự báo của Gartner, đến năm 2026, 75% tổ chức sẽ chuyển từ hạ tầng công nghệ truyền thống sang mô hình điện toán đám mây để lưu trữ, xử lý dữ liệu và vận hành các ứng dụng. Song song với những tiềm năng lớn, sự chuyển dịch mạnh mẽ đồng thời đặt ra thách thức lớn về bảo mật đám mây cho doanh nghiệp.

 Top 03 lỗi bảo mật điện toán đám mây 

Trên sóng “Into The Cyberverse” gần đây, ông Troy Leach, Giám đốc Chiến lược của Liên minh Bảo mật Đám mây Cloud Security Alliance đã cảnh báo về ba lỗi phổ biến nhất trong quản lý bảo mật đám mây mà các tổ chức cần chú ý.

Cấu hình sai

Lỗi cấu hình sai là một trong những vấn đề phổ biến nhất trong bảo mật đám mây mà doanh nghiệp gặp phải. Thông thường, lỗi này xảy ra khi các dịch vụ hoặc tài nguyên đám mây không được thiết lập đúng cách, từ đó vô tình “mở cửa” cho tin tặc. 

Một ví dụ điển hình là vụ việc dữ liệu của hơn 2 triệu khách hàng Toyota đã bị rò rỉ và công khai trên Internet trong suốt 10 năm, nhưng phải đến tháng 5/2023, sự cố này mới được phát hiện. Theo đại diện của Toyota, nguyên nhân chính là do lỗi cấu hình đám mây, dẫn đến việc dữ liệu khách hàng bị đánh cắp.

Dù các nhà cung cấp dịch vụ đám mây lớn như AWS, Microsoft Azure và Google Cloud đều cung cấp các công cụ và hướng dẫn giúp doanh nghiệp cấu hình bảo mật chính xác, nhưng vẫn có rất nhiều doanh nghiệp gặp phải lỗi này. Nguyên nhân chủ yếu là do thiếu hiểu biết hoặc sự chủ quan, khi rất nhiều tổ chức cho rằng nhà cung cấp đã tự động bảo vệ tất cả tài nguyên của họ. Ông Troy Leach lưu ý rằng, bảo mật đám mây không chỉ là trách nhiệm của nhà cung cấp mà còn đòi hỏi doanh nghiệp phải chủ động thực hiện các cài đặt bảo mật và kiểm tra thường xuyên để đảm bảo an toàn.

Lỗi cấu hình sai là một trong những vấn đề phổ biến nhất trong bảo mật đám mây (Nguồn: Getty Image)

Thiếu chiến lược tổng thể

Lỗi phổ biến thứ hai mà nhiều doanh nghiệp gặp phải trong bảo mật đám mây là thiếu một chiến lược tổng thể. Khi chuyển sang sử dụng đám mây, doanh nghiệp kỳ vọng tiết kiệm chi phí và tăng tốc độ triển khai công nghệ, nhưng lại không đầu tư đầy đủ vào việc xây dựng một kế hoạch bảo mật toàn diện. 

Ví dụ, khi thiếu chiến lược rõ ràng, nhiều bộ phận trong doanh nghiệp có thể vô tình triển khai các dịch vụ đám mây mà không kiểm tra kỹ lưỡng tính bảo mật, dẫn đến các vụ rò rỉ dữ liệu trầm trọng. Hơn nữa, việc thiếu chiến lược khiến các tổ chức không có phương pháp đồng nhất để bảo vệ tài nguyên đám mây, từ đó khiến cho công tác bảo mật trở nên rời rạc và khó kiểm soát.

Thiếu sót trong quản lý định danh và quyền truy cập

Cuối cùng, một yếu tố then chốt nhưng ít được chú trọng là quản lý định danh và quyền truy cập (IAM). Một sai sót nhỏ trong IAM, chẳng hạn cấp quyền quá mức cho một tài khoản nhất định, có thể trở thành điểm yếu khiến toàn bộ hệ thống bị tấn công.

Thế nhưng, nhiều doanh nghiệp vẫn chưa có cái nhìn rõ ràng về dữ liệu nhạy cảm của mình đang nằm ở đâu và ai có quyền truy cập vào chúng. Điều này đi ngược lại với triết lý bảo mật hiện đại “Zero Trust” – không mặc định tin tưởng bất kỳ ai hoặc bất kỳ điều gì. Theo ông Troy Leach, quá trình truy cập vào dữ liệu nhạy cảm cần phải trải qua việc xác minh kỹ lưỡng, nhằm đảm bảo rằng chỉ những người dùng hoặc hệ thống có quyền hợp lệ mới được phép truy cập.

Doanh nghiệp cần hành động kịp thời

Trước những rủi ro về bảo mật điện toán đám mây, doanh nghiệp cần đặt việc giáo dục cho đội ngũ nhân viên lên hàng đầu. Tuy nhiên, rào cản lớn nhất lại nằm ở các chương trình đào tạo khô khan, khó tiếp cận và không đủ cụ thể. Một hướng đi tiềm năng để cải thiện vấn đề này, theo ông Troy Leach, là ứng dụng công nghệ AI tạo sinh để thiết kế các nội dung đào tạo được cá nhân hóa, gắn liền với công việc của đội ngũ nhân sự. Từ đó, doanh nghiệp sẽ tạo dựng được một văn hóa bảo mật bền vững, nơi mỗi cá nhân đều hiểu rõ trách nhiệm của mình và cùng đóng góp vào sự an toàn chung của tổ chức.

Ông Troy Leach, Giám đốc Chiến lược của Liên minh Bảo mật Đám mây Cloud Security Alliance chia sẻ trên sóng podcast “Into The Cyberverse” (Nguồn: VinCSS)

Bên cạnh đó, doanh nghiệp cũng cần liên tục rà soát các dịch vụ đám mây của mình và thường xuyên kiểm thử (pentest). Ông Troy Leach khuyến nghị các tổ chức lập một “Hóa đơn phần mềm” (SBOM), danh sách chi tiết về các dịch vụ đám mây và phần mềm mà doanh nghiệp đang sử dụng và rà soát theo đó. Điều này giúp tránh những nguy cơ bảo mật từ các dịch vụ không được kiểm soát, đặc biệt là tình trạng “truy cập ẩn” (shadow access), khi bộ phận nội bộ triển khai dịch vụ mà không qua kiểm tra bảo mật.

VinCSS cung cấp dịch vụ tư vấn và thực thi các chiến lược bảo mật đám mây toàn diện, trong đó bao gồm cả đào tạo nhân sự, giám sát, ra soát, cảnh báo sớm giúp doanh nghiệp gia tăng khả năng phòng vệ và hạn chế tối đa các rủi ro mất an toàn đám mây gây ra. Liên hệ VinCSS tại https://vincss.net/contact/. 

Xem toàn tập Into The Cyberverse tại đây để lắng nghe những chia sẻ cụ thể từ Giám đốc Chiến lược của Liên minh Bảo mật Đám mây Cloud Security Alliance về những xu hướng mới nhất của điện toán đám mây và những bước đi cần thiết cho doanh nghiệp.