Thư điện tử và lưu trữ trên đám mây của các cơ quan bùng lên lo lắng về an ninh

Cloud-basede-mail and archives for agencies sparks security concerns

By Aliya Sternstein10/08/2009

Theo:http://www.nextgov.com/nextgov/ng_20091008_4920.php

Bài được đưa lênInternet ngày: 08/10/2009

Lờingười dịch: Cuộc tranh luận về an ninh cho những thôngtin được lưu trên các môi trường đám mây của các nhàcung cấp dịch vụ thay vì trên các máy chủ của các cơquan sở hữu các dữ liệu đó vẫn đang tiếp diễn vàchưa ngã ngũ. Còn với Việt Nam, trong công nghệ thông tinvà truyền thông, chúng ta đã và đang có sự phụ thuộchoàn toàn về phần cứng và phần mềm vào nước ngoài,nhưng trong tương lai có thể các dữ liệu của chúng tacũng phụ thuộc nốt vào họ cũng nên. Khi đó chính thứccó thể nói: “Chúng ta chẳng có cái gì cả!”.

Các cơ quan mà đangđịnh tuyến thư điện tử qua các trung tâm dữ liệu dựatrên đám mây sẽ đối mặt với nguy cơ tiềm tàng vềmất an ninh, theo một số các chuyên gia máy tính. Nhưngcác quan chức chính phủ nói họ đang đạt được tínhtoàn vẹn hệ thống tốt hơn, và bằng một cách khôngđắt giá, bằng việc sử dụng các dịch vụ như thếnày.

Tiếp theo các bướccủa khu vực tư nhân, các cơ quan chính phủ đang đưa racho bên ngoài làm về an ninh thư điện tử và việc lưutrữ trên đám mây, hoặc các môi trường trực tuyếnđược quản lý bởi bên thứ ba. Các cơ quan trả tiềncho các dịch vụ như thế này theo một cơ sở thuê baohơn là việc mua các phần cứng hoặc phần mềm và duytrì nó trong nội bộ.

“Bạn đang trộn cácdữ liệu của những người khác nhau trong một hệ thốngdạng đám mây. Làm thế nào bạn ngăn chặn được cácdữ liệu của các cơ quan khác mà những dữ liệu này đãbị dính các trojan độc hại – mà chúng đã bị đầuđộc – khi lấy các dữ liệu của bạn?”, TomKellermann, phó chủ tịch về nhận thức về an ninh tạiCore Security, nói. Hãng này bán các phần mềm kiểm thửvề an ninh để bảo vệ các hệ thống IT chống lại cácmối đe dọa.

“Các dữ liệu, rấtgiống một sự rò rỉ khí hóa học, có thể làm ô nhiễmcác môi trường”, ông bổ sung. “Nó là một nguy cơthực sự. Nếu môi trường đám mây trở nên bị ô nhiễm– bởi một trong những thực thể mà nó đang lưu trữcác dữ liệu ở đó – thì làm thế nào bạn quản lýđược rủi ro đó?“

Ngân sách năm tàikhóa 2010 của chính quyền Obama khuyến cáo các cơ quan bắtđầu chuyển các môi trường máy tính của họ sang đámmây để gò vào 75 tỷ USD mà chính phủ chi hàng năm choIT. Ngân sách năm 2010 sẽ đòi hỏi các cơ quan chuyểnsang máy tính đám mây. Một số cơ quan đã đang dựa vàocác dịch vụ chứa chủ (hosting) để gia tăng sự phânchia IT của họ.

Ví dụ, Viện Hòabình Mỹ đang sử dụng một dịch vụ thư điện tử củaGoogle để lọc các virus, kiểm tra tính đúng đắn cho thưđiện tử và tuân thủ với các yêu cầu quản lý hồsơ. Dịch vụ này định tuyến các thư điện tử đếnvà đi thông qua các trung tâm dữ liệu của Google thay vìcác máy chủ của cơ quan này. Thành phố Seattle và mộtvăn phòng cấp bộ mà Google không có quyền gọi tên cũngsử dụng các dịch vụ như thế này.

Agenciesthat are routing e-mail through cloud-based data centers face apotential petri dish of security hazards, according to some computerspecialists. But government officials say they are achieving bettersystem integrity, and inexpensively, by using such services.

Followingin the footsteps of the private sector, government agencies areoutsourcing e-mail security and archiving to the cloud, or onlineenvironments managed by third-parties. Agencies pay for such serviceson a subscription basis rather than buying the software or hardwareand maintaining it in-house.

"You'remixing different people's data in a cloudlike system. How do youprevent another organization's data that has been trojanized -- thathas been poisoned -- f-rom getting into your data?" said TomKellermann, vice president of security awareness at Core Security.The company sells security testing software to guard IT systemsagainst threats.

"Thedata, much like a chemical gas leak, could pollute otherenvironments," he added. "It's a petri dish really. If thecloud environment becomes polluted -- by one of the other entitiesthat's storing data there -- how do you manage that risk?"

TheObama administration's fiscal 2010 budget recommends agencies beginshifting their computing environments to the cloud to rein in the $75billion that the government spends annually on IT. The 2011 budgetwill require agencies to move toward cloud computing. Some agenciesalready are relying on hosted services to augment their IT divisions.

Forexample, the U.S. Institute of Peace is using a Google e-mail serviceto filter viruses, validate e-mails and comply with recordsmanagement requirements. The service routes inbound and outbounde-mail through Google's data centers instead of the agency's servers.The city of Seattle and a Cabinet-level department that Google doesnot have permission to name also use such services.

Peter Neumann, một nhàkhoa học nổi tiếng tại viện nghiên cứu phi lợi nhuậnSRI International, người nghiên cứu về an ninh mạng, đãnói, “Thư điện tử là một vấn đề vì sự giả mạo– vì mọi người có thể thực hiện các cuộc ám sátbằng ký tự một cách mạo danh … bạn đã có một thảmhọa”.

Ông bổ sung, “Đưara sự tinh xảo phức tạp của tính đáng tin cậy củacác giao tiếp máy tính, bao gồm cả an ninh, tính toàn vẹn,tính có thể sống sót của hệ thống, sự riêng tư vàcác vấn đề có liên quan, nhều ý nghĩ lớn hơn nhiềucần được dành để cho việc xác định sự mở rộngmà đối với nó việc đưa ra thuê ngoài làm và từ bỏtrách nhiệm đối với tính đáng tin cậy là nhạy cảm.Thư điện tử và các kho dữ liệu chỉ là đỉnh củaphần nổi của tảng băng khổng lồ”.

Nhưng Doug Leins, giámđốc thông tin tại Viện Hòa bình, đã nói: “Chúng ta đãchưa bao giờ có một virus đi qua được” đám mây. Cơquan 270 người của ông là một viện độc lập mà Quốchội đã thành lập để giúp ngăn chặn và giải quyếtcác xung đột quốc tế dữ dội. Thư điện tử bản chấtlà đẻ xây dựng các hoạt động hòa bình, như việc đàotạo mọi người thông qua video và phổ biến nghiên cứucho những người làm ra chính sách. Một nỗ lực gần đâylà năm 2006 Nhóm Nghiên cứu về Iraq, một đánh giá cucartình hình chiến tranh trên đất liền, được dẫn dắtbởi James A. Baker III và Lee H. Hamilton.

Những thư điện tửđộc hại “có thể khá thông minh”, Leins nói. Phầnthân nội dung của một thông điệp sẽ nói lên: “'Ởđây' những thông tin về Hàn Quốc mà bạn đã yêu cầu...và trong khi chờ đợi chúng ta có một cuộc hội thảo vềHàn Quốc ngày đó”.

Dịch vụ dựa trênInternet “lọc mọi thứ đi ra và đi vào – nên chúng takhông gửi cho mọi người spam” nếu một nhân viên chènvào một cách không có chủ ý một ổ bị thâm nhập saukhi trở về từ nước ngoài, ông nói. An ninh và việclưu trữ được trang bị bởi Postini, một hãng chốngspam mà Google đã mua năm 2007.

Leins đã có nhữngkinh nghiệm tích cực với sản phẩm này tại một hãngluật nơi ông đã làm việc trước khi ra nhập cơ quan nàyvào tháng 02/2008. Khi ông đã chuyển vào khu vực liênbang, ông đã thấy rằng công cụ này caungx đơn giản hóatác vụ về duy trì một hồ sơ lịch sử của cơ quan.Thay vì việc xem xét lại một cách thủ công những thưđiện tử nào đáng lưu, thì các nhân viên có thể thựchiện một cuộc tìm kiếm của Google của các thư điệntử mà chúng sẽ được lưu trữ một cách tự động.Viện đã bắt đầu sử dụng dịch vụ này cho các lý doan ninh vào tháng 12/2008 và đã bổ sung thành phần lưu trữnày vào cuối tháng 03.

Still,Peter Neumann, a principal scientist at the nonprofit researchinstitute SRI International who studies network security, said,"E-mail is a problem because of forgery -- because people can doc-haracter assassinations anonymously ... you've got a disaster."

Headded, "Given the very weak existing state of the art ofcomputer-communication trustworthiness, including security,integrity, system survivability, privacy and related issues, muchgreater thought needs to be devoted to determining the extent towhich outsourcing, off-shoring and abdicating responsibility fortrustworthiness is sensible. E-mail and data repositories are justthe tip of an enormous iceberg here."

ButDoug Leins, chief information officer at the Institute of Peace,said, "We've never had a virus get through" the cloud. His270-person agency is an independent institution Congress establishedto help prevent and resolve violent international conflicts. E-mailis essential to peace-building activities, such as educating thepublic through videos and disseminating research to policymakers. Arecent effort was the 2006 Iraq Study Group, an assessment of the warsituation on the ground, led by James A. Baker III and Lee H.Hamilton.

Maliciouse-mails "can be pretty smart," Leins said. The body of amessage will state, " 'Here's that information on Korea yourequested' ... and meanwhile we're having a seminar on Korea thatday."

TheInternet-based service "filters everything going in and goingout -- so that we don't send people spam" if an employeeaccidentally in-serts an infiltrated jump drive after returning f-romoverseas, he said. The security and archiving is powered by Postini,an anti-spam firm Google purchased in 2007.

Leinshad positive experiences with the product at a law firm whe-re heworked before joining the agency in February 2008. When he moved tothe federal sector, he found that the tool also simplifies the taskof preserving an agency's historical record. Instead of manuallyreviewing which e-mails are worth saving, employees can perform aGoogle search of the e-mails that are archived automatically. Theinstitute began using the service for security purposes in December2008 and added the archiving component in late March.

Dịch vụ đặc biệtnày là cho việc bán trên Apps.gov, một site mua sắm trựctuyến mới mà nó chào các công cụ của máy tính đámmây được chấp nhận bởi liên bang cho các cơ quan.

Một yêu cầu về dữliệu từ Cơ quan Hồ sơ Lưu trữ Quốc gia, ví dụ, thườngcó thể mất hàng trăm giờ đồng hồ để hoàn tất, màcó thể bây giờ được thực hiện chỉ trong vài giờđồng hồ, Leins nói. NARA muốn những thư điện tử nàođó có liên quan tới Báo cáo Nghiên cứu về Iraq, ôngnói, sau đó viện này có thể ngay lập tức tạo ra mộtdanh sách dài tất cả các thư điện tử có liên quan tớinghiên cứu, tinh chỉnh thành công các cú gõ với các từkhóa và sau đó xuất các kết quả thích hợp tới Lưutrữ trong một định dạng mà nó đáp ứng được cácyêu cầu về quản lý hồ sơ.

“Đó là một mẹođể tiết kiệm thời gian khổng lồ”, Leins nói. “Hoặcnếu chúng ta từng có một yêu cầu FOIA, với điều này,thật dễ dàng”.

Khi một cơ quan chuyểncác thư điện tử của mình vào lưu trữ dựa vào web,các dữ liệu này không còn hiện diện trên các máy chủcủa mình nữa, Dan Israel, một giám đốc marketing sảnphẩm cho nhóm liên bang của Google, nói.

Nhưng Kellermann nóinhiều giám đốc thông tin của chính phủ được tậptrung một cách thiển cận vào tính mềm dẻo hơn là tínhtoàn vẹn. “Đám mây sẽ cải thiện được những nỗlực về sức bật. Tuy nhiên, các kẻthù của chính phủ chúng ta mong muốn thâm nhập vào cáchệ thống của chúng ta thông qua không gian mạng và duytrì sự bí mật và ổn định”, ông nói. “Bất kỳ aiquen với an ninh IT cũng có thể nhận thức được rằngcác đám mây phân tán, không được kết nối cũng tạora nhiều rủi ro tiềm tàng như chúng có thể loại trừ”

Theo Leins, sự hợp lýnằm sau việc sử dụng các hệ thống dựa trên Web làviệc chúng cung cấp an ninh và những phương pháp ngày mộtgia tăng cho việc khóa các phần mềm độc hại, mà cácđội về an ninh của các cơ quan thường quá thiếu ngườivà quá được đầu tư thiếu để bản thân họ triểnkhai được.

Thisparticular service is for sale on Apps.gov, a newly launched onlineshopping site that offers federally approved cloud computing tools toagencies.

Adata request f-rom the National Archives and Records Administration,for example, typically would take hundreds of hours to complete, butprobably now can be handled in just a couple of hours, Leins said.Say NARA wants certain e-mails associated with the Iraq Study Report,he said, then the institute can instantly generate a long list of allstudy-related e-mails, successively refine the hits with keywords andthen export the pertinent results to the Archives in a file formatthat meets records management requirements.

"That'sa gigantic time saver," Leins said. "Or if we ever got aFOIA request, with this, it's cake."

Whenan agency moves its e-mails into the Web-based archive, the data isno longer hogging space on its servers, noted Dan Israel, a productmarketing manager for Google's federal group.

ButKellermann said many government chief information officers aremyopically focused on flexibility rather than integrity. "Thecloud will enhance resiliency efforts. However, the enemies of ourgovernment desire to infiltrate our systems via cyber and remainclandestine and persistent," he said. "Anyone familiar withIT security can also recognize that distributed, interconnectedclouds also cre-ate as many potential risks as they may eliminate."

Accordingto Leins, the rationale behind using Web-based systems is that theyprovide increased security and optimal methods for blocking malware,which agency security teams are often too understaffed andunderfunded to deploy themselves.

Các chuyên gia an ninhcủa Googel trở thành một sự mở rộng của đội IT củacác cơ quan, cung cấp sự tăng cường mà nếu không cóthể sẽ là cấm về giá thành, Israel bổ sung.

Leins đã lưu ý rằnghầu hết các cơ quan chính phủ chia sẻ các kho dữ liệuvật lý nằm khắp đất nước để sao lưu các dữ liệucủa riêng họ. “Có những sự tương tự cơ bản giữatiếp cận này và việc lưu trữ thông tin trong đám mây”,ông nói.

“Vâng, các kháchhàng khác nhau mà chúng ta đang làm việc với họ sẽ đểcác dữ liệu được lưu trữ bên trong cùng trung tâm dữliệu”, Israel nói. “Nhưng sẽ có những cách mà chúngta phân nhỏ các dữ liệu một cách ảo... Sẽ không cócơ hội mà các dữ liệu của chúng ta sẽ được đặttrong sự lưu trữ của khách hàng Postini nào khác”

AdamSwidler, giám đốc marketing tại Google Enterprise, nói điềuy như vậy là đúng về các dịch vụ an ninh. “Không cókhả năng các thông điệp của ai đó khác đang đượccách ly với của bạn”, ông nói.

Mộtsố chuyên gia an ninh đã đồng ý rằng môi trường đámmây của Google, và những của những nhà cung cấp lớnkhác như Microsoft, lại có thể an toàn hơn một rừng anninh của các cơ quan. Nhưng hiệu ứng của một lỗ thủngđối với bất kỳ dịch vụ đám mây nào có thể sẽkhủng khiếp hơn.

“Bằng việc tăngcường [các dịch vụ IT], bạn làm dấy lên các vấn đềan ninh của nhiều dịch vu trong số chúng”, Josse Nazario,quản lý về nghiên cứu an ninh với Arbor Network, một côngty về an ninh, nói.

Hiện tượng petridish là một rủi ro thấp, ông nói. Nazario phải nhìn thấymột mưu toan để làm xám xịt sự thành công của đámmây, dù các tin tặc đang cố gắng. “Ảnh hưởng củabất kỳ lỗ hổng nào như vậy cũng có thể thực sự làthảm họa”, ông nói.

Google'ssecurity experts become an extension of the agency's IT team,providing reinforcement that otherwise would be cost-prohibitive,Israel added.

Leinsnoted that most government agencies share physical data warehouseslocated throughout the country to backup their own data. "Thereare fundamental similarities between this approach and storinginformation in the cloud," he said.

"Yes,the different customers that we are working with will have datastored within the same data center," Israel said. "Butthere are ways that we virtually partition the data.... There is nochance that your data is going to be put in another Postinicustomer's archive."

AdamSwidler, product marketing manager at Google Enterprise, said thesame is true of security services. "There is no possibility ofsomebody else's messages being quarantined with yours," he said.

Somesecurity specialists agreed that Google's cloud environment, andthose of other big providers such as Microsoft, likely is safer thanan agency's security fortress. But the effect of a breach to anycloud service could be more dramatic.

"Byconsolidating [IT services], you raise the security profiles of manyof them," said Jose Nazario, manager of security research withArbor Networks, a security company.

Thepetri dish phenomenon is a low risk, he added. Nazario has yet to seean attempt to muddy the cloud succeed, although hackers are trying."The impact of any such breach would be just trulycatastrophic," he said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com