Amazon nói an ninh không gian mạng trong đám mây cho liên bang

Amazontalks cybersecurity in the cloud for feds

ByAliya Sternstein 06/01/2010

Theo:http://www.nextgov.com/nextgov/ng_20100601_7146.php

Bàiđược đưa lên Internet ngày: 01/06/2010

Lờingười dịch: An ninh không gian mạng và an ninh dữ liệucủa điện toán đám mây là mối lo cho những ai sử dụngđiện toán đám mây. Hãy nghe cuộc phỏng vấn củaNextgov với đại diện của Amazon.com, hãng có dự kiếncung cấp điện toán đám mây cho một số cơ quan chínhphủ Mỹ.

Nhà Trắng và một sốnhà thầu không điển hình của liên bang cố xoa dịu nỗisợ hãi trong các nhà quản lý công nghệ của các cơ quanrằng việc thuê ngoài điện toán đám mây của họ làmột ác mộng về an ninh đang chờ để xảy ra.

Điện toán đám mây,sử dụng các phần cứng và phần mềm theo yêu cầu mànó được đặt lên trực tuyến bởi bên thứ 3, có thểgiành được sự chú ý tại một số cơ quan. Ban lãnh đạovề Phục hồi Độ tin cậy và Tính minh bạch, cơ quangiám sát việc kích thích chi tiêu, gần đây đã công bốAmazon sẽ quản lý website theo dõi tiền bạc Recovery.govcủa mình. Nhưng nhiều giám đốc thông tin CIO chỉ rónrén trng công nghệ thông tin dựa trên web, lo lắng về khảnăng các dữ liệu có thể bị mất hoặc bị thâm nhậpnếu một nhà thầu bên ngoài đang quản lý thông tin củahọ trên Internet âm u.

Hơn nữa, CIO liênbang Vivek Kundra đang thúc giục các cơ quan ôm lấy đámmây trong vòng 10 năm để cắt giảm chi phí IT và giànhđược tính mềm dẻo mà có thể cho phép họ phục vụcông chúng tốt hơn. Để đáp ứng thời hạn chót và lấpđầy khoảng cách công nghệ giữa các khu vực nhà nướcvà tư nhân, ông đang cố gắng làm dễ dàng quá trình muasắm cho những nhà cung cấp đổi mới sáng tạo, phitruyền thống như Amazon.com để cung cấp các dịch vụcho liên bang. Hãng có trụ sở ở Seattle này đã quản lýIT cho các hãng đã từ lâu.

Kundra đã gặp cáchãng ở vùng biển phía Tây vào tháng 3, bao gồm cảAmazon, “để thảo luận cách mà chính phủ có thể cảithiện cách mà nó đưa ra các dịch vụ cho người dân Mỹvà để xem xét một số đầu tư ấn tượng vào các côngnghệ thế hệ tiếp theo”, ông đã viết trên blog củaNhà Trắng.

Aliya Sternstein đãphỏng vấn Adam Selipsky, phó chủ tịch của Amazon về cácdịch vụ web, để thảo luận những lo lắng của các nhàquản lý liên bang về an ninh IT trong đám mây.

TheWhite House and some atypical federal contractors are out to calmfears among agency technology managers that outsourcing theircomputing to the cloud is a security nightmare waiting to happen.

Cloudcomputing,using on-demand hardware and software that is hosted online by athird party, might be gaining traction at some agencies. The RecoveryAccountability and TransparencyBoard, which oversees stimulus spending, recently announcedAmazon will host its money-tracking website Recovery.gov. But manychief information officers are only dipping their toes into Web-basedinformation technology, uneasy about the possibility that data couldbe lost or hacked if an outside contractor is managing theirinformation on the nebulous Internet.

Still,Federal CIO Vivek Kundra is pushing agencies to embrace the cloudwithin 10 years to cut IT costs and to gain flexibility that wouldallow them to serve the public better. To meet that deadline and tobridge a technology gap between the private and public sectors, he istrying to ease the procurement process for innovative, nontraditionalvendors such as Amazon.com to provide federal services. TheSeattle-based company has long hosted IT for corporations.

Kundramet in March with West Coast firms, including Amazon, "todiscuss how government can improve how it is delivering services tothe American [and] to look at some of the impressive investments innext generation technologies," he wrote on the White House blog.

AliyaSternstein interviewed Adam Selipsky, vice president of Amazon WebServices, to discuss federalmanager's worries about IT security in the cloud.

Nextgov:Khi các quan chức chính phủ lo lắng về việc giữ kiểmsoát các dữ liệu của họ đối với một nhà cung cấpdịch vụ đám mây, anh sẽ nói gì để đảm bảo cho họvề an ninh và an toàn mạng của họ?

Selipsky:Từ kiểm soát là một từ tốt... Tôi nghĩ thường cómột sự sợ hãi ban đầu về mất kiểm soát, nhưng tôinghĩ những gì mà hầu hết họ, như Recovery.gov, ccác hãngtrên phố Uôn, các hãng dược lớn, sẽ nhận thức đượckhá nhanh việc họ không bỏ sự kiểm soát mọi thứ màthực sự quan trọng đối với họ. Dữ liệu sẽ ởnhững nơi mà bạn đặt nó.

[Amazonđưa ra cho các tổ chức sự lựa chọn các trung tâm dữliệu được đặt khắp thế giới, bao gồm các trangthiết bị ở Ireland, Singapore và Bắc Virginia]. Chúng ta cóthể đảm bảo rằng thông tin sẽ không rời các vùng nàytrừ phi bạn chọn dịch chuyển nó. Họ cũng có nhiều sựkiểm soát hơn so với họ đã có theo lối truyền thốngđối với các tài nguyên điện toán mà họ có thể mangđể giữ trong các sản phẩm của họ. [Phạm vi củaAmazon cho phép công ty áp dụng các chính sách và biệnpháp đối phó về an ninh đáng kể hơn so với hầu hếtbất kỳ công ty lớn nào có thể, theo các quan chức củaAmazon].

Nextgov:Chính phủ đã quản lý an ninh vật lý các trung tâm dữliệu của mình, mà là lý do khác các quan chức liên bangcó lẽ miễn cưỡng phải nhường lại quyền kiểm soát.Những bước đi nào Amazon tiến hành để đảm bảo rằngmọi người không thể thâm nhập được vào các trangthiết bị mà chứa các dữ liệu của chính phủ?

Selipsky:Đây không chỉ là an ninh vật lý. Đây là về an ninh vậtlý, cũng như an ninh của phần mềm và các lớp mạng.Chúng tôi nghĩ về an ninh như một vấn đề điểm –điểm. Chúng tôi sử dụng y hệt những tiếp cận mà cácchính phủ và các tổ chức lớn đã sử dụng nhiều thậpniên và đang sử dụng ngày hôm nay - và sau đó chúng tôibổ sung vài thứ lên trên.

[Vềan ninh vật lý], nó là những tòa nhà thường khó tả màkhông được quảng cáo mạnh... Đây là việc ghi lạingặt ngèo về bất kỳ ai mà có sự truy cập vật lý tớicác trang thiết bị, giám sát bằng video. Chúng tôi tiếnhành những kiểm tra nền tảng phù hợp đối với từngnhân viên tiếp cận các trang thiết bị. Chúng tôi đưara khả năng mã hóa các dữ liệu của bạn.

Nextgov:When government officials are concerned about handing control oftheir data to a cloud services provider, what do you say to assurethem of your networks' safety and security?

Selipsky:The word control is a good word. . . . I think there is often aninitial fear of loss of control, but I think what most of them, suchas Recovery.gov, Wall Street firms, large pharmaceutical firms, cometo realize pretty quickly is that they are not relinquishing controlof things that are really important to them. The data is going to bewhe-re you put it.

[Amazonoffers organizations a choice of data centers located worldwide,including facilities in Ireland, Singapore and Northern Virginia.] Wecan guarantee that information will not leave that region unless youchoose to move it. They also have a lot more control than they havetraditionally had in terms of the computing resources they can bringto bear on their products. [Amazon's scale allows the company toapply significantly more security policing and countermeasures thanalmost any large company could afford, according to Amazonofficials.]

Nextgov:The government typically has managed the physical security of itsdata centers, which is another reason federal officials might bereluctant to cede control. What steps does Amazon take to ensure thatpeople cannot break into facilities that contain government data?

Selipsky:It's not just the physical security. It's about physical security, aswell as security of the software and network layers. We think ofsecurity as an end-to-end issue. We use the same approaches thatgovernments and large organizations have used for decades and areusing today -- and then we add some things on top.

[Asfar as physical security,] it's the typical nondescript buildingsthat are not heavily advertised. . . . It's strict logging of anyonewho has physical access to the facilities, video surveillance. We doappropriate background checks on every employee entering thefacility. We give the ability to encrypt your data.

Nextgov:Công ty ông đưa ra một dịch vụ an ninh mạng gọi làAmazon Virtual Private Cloud. Điều gì làm cho dịch vụ nàykhác biệt với các công cụ bảo vệ dữ liệu của cácnhà cung cấp đám mây khác?

Selipsky:Nó đơn giản làm cho các dịch vụ web của Amazon giốngnhư các trung tâm dữ liệu khác mà họ sở hữu hoặckiểm soát. … Đây là một cây cầu an ninh giữa hạ tầng[quản lý an ninh thông tin] của riêng cơ quan và đám mâyAWS.

Nextgov:Ông giải quyết mối lo lắng rằng thông tin của một bộcủa liên bang bỗng nhiên sẽ trở nên được lưu trữvới một khách hàng khác của ông như thế nào?

Selipsky:Về cơ bản không có cách nào cho việc trộn đó xảy racả. Với Đám mây riêng ảo (Virtual Private Cloud) bạn thựcsự sẽ tạo ra những biện pháp an ninh y hệt mà công tycó … Nó cho phép bạn quây lại góc riêng tư của riêngbạn.

Nextgov:Có bao nhiêu vị trí vật lý thường lưu trữ dữ liệucủa một khách hàng chính phủ để đảm bảo sự sao lưuvà phục hồi thảm họa một cách phù hợp?

Selipsky:Chúng tôi có nhiều bản sao dư thừa trong các trang thiếtbị vật lý tách biệt nhau. Một cơn bão hoặc một vụsét đánh không thể lấy đi các trang thiết bị nơi màbạn có các dữ liệu của bạn được. Chúng tôi cónhiều trung tâm dữ liệu trong một vùng cụ thể nào đó.

Nextgov:Ông sẽ nói gì với các quan chức chính phủ, những ngườilo lắng về việc các nhân viên của Amazon truy cập cáchồ sơ của chính phủ?

Selipsky:Nhiều tổ chức có các vấn đề ngay cả với việc biếtnhững tài sản nào đang ở đâu. Chúng tất cả là cácđiểm truy cập trong mạng. Khó mà có thể cho CIO biết vềtất cả những điểm truy cập đó trong mạng. Trên AWS,với một lệnh duy nhất, một CIO có thể có được mộtliệt kê mọi nguồn mà nó đang chạy trên đám mây AWS.Có sự trực quan và hiểu biết hoàn toàn đối với tấtcả các tài sản này.

Chúngtôi có những chính sách về việc ai có thể truy cậpđược cái gì. Thực sự không có cách gì đối vớingười của AWS truy cập tới các dữ liệu của các cơquan nếu nó được mã hóa. Chúng tôi có ghi nhật kýnghiêm ngặt và hiệu quả sao cho nếu bất kỳ ai địnhmuốn làm bất kỳ thứ gì mà khả thi về mặt kỹ thuậtmà lại bị cấm, thì chún tôi có thể thấy ngay đượcai đã đang làm điều đó.

Nextgov:Your company offers a networking security service called the AmazonVirtual Private Cloud. What makes this service different f-rom othercloud providers' data protection tools?

Selipsky:It simply makes Amazon Web Services look like another datacenterthat they own or control. . . . It's a secure bridge between theagency's own [information security management] infrastructure and theAWS cloud.

Nextgov:How do you address the concern that a federal department'sinformation will accidentally become stored with another client ofyours?

Selipsky:There's basically no way for that mixing to happen. With the VirtualPrivate Cloud you really do cre-ate the same security measures thatthe company already has. . . .[It] allows you to cordon off your ownprivate corner.

Nextgov:How many physical locations typically store a government customer'sdata to ensure adequate backup and disaster recovery?

Selipsky:We make multiple redundant copies in separate physical facilities. Atornado or a lightning strike is not going to take out the facilitieswhe-re you have your data. We have multiple data centers within aspecific region.

Nextgov:What do you say to federal officials who are worried about Amazonemployees accessing government files?

Selipsky:A lot of organizations have issues with even knowing what assets arein place. Those are all access points into the network. It'sincredibly hard for the CIO to know about all of those access pointsinto the network. [On AWS], with a single command, a CIO can get alisting of every resource that is running in the AWS cloud. There iscomplete visibility and knowability of all assets.

Wehave strict policies on who can access what. There really is no wayfor AWS [personnel] to access an agencies' data if it's beenencrypted. We have strict and effective logging so that if anyone didattempt to do anything that was technically feasible whileprohibited, we would have instant visibility into who was doing that.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com