Khi tổ chức chuyển sang mô hình cloud, có rất nhiều mối đe dọa tiềm ẩn cần xem xét. Ví dụ, dù dữ liệu của bạn “ở trên cloud”, nó vẫn phải tồn tại vật lý tại một trung tâm dữ liệu nào đó. Nhà cung cấp dịch vụ cloud cần cam kết bằng văn bản cung cấp mức độ bảo mật phù hợp cho dữ liệu và khách hàng của bạn.

Dưới đây là những câu hỏi quan trọng cần đặt ra trước khi ký hợp đồng với nhà cung cấp cloud: 1. Ai có quyền truy cập?


Kiểm soát truy cập (Access Control) là mối quan tâm hàng đầu vì insider threat (mối đe dọa nội gián) luôn là rủi ro lớn.

Bất kỳ ai được cấp quyền truy cập vào môi trường cloud đều có thể trở thành điểm yếu bảo mật.

Cần làm rõ:

• Ai có quyền truy cập dữ liệu?
• Nhân sự đó được kiểm tra lý lịch (screening) như thế nào?
• Cơ chế thu hồi quyền truy cập khi nhân viên nghỉ việc ra sao?
• Nếu dịch vụ bị hủy do vấn đề thanh toán hoặc quản trị, dữ liệu và quyền truy cập sẽ thế nào?

Đây không chỉ là vấn đề kỹ thuật, mà còn là quản trị rủi ro.

---

2. Các yêu cầu tuân thủ (Compliance) nào được hỗ trợ?


Tổ chức hoạt động tại Mỹ, Canada hoặc châu Âu thường chịu nhiều ràng buộc pháp lý như:

• ISO/IEC 27002
• EU-U.S. Privacy Shield Framework
• ITIL
• COBIT

Doanh nghiệp cần xác nhận cloud provider có thể đáp ứng các yêu cầu:

• Certification
• Accreditation
• Security Review
• Compliance Audit Support

Đây là yếu tố đặc biệt quan trọng với các ngành tài chính, y tế, chính phủ.

---

3. Có quyền audit nhà cung cấp hay không?


Một điểm rất nhiều doanh nghiệp bỏ sót.

Khách hàng cần có quyền audit hoặc ít nhất xem các bằng chứng audit độc lập (SOC Reports, ISO Certifications, Pen Test Reports).

Trong cloud, chứng minh compliance thường khó hơn môi trường on-prem vì bạn không kiểm soát toàn bộ hạ tầng.

Nếu không có quyền kiểm toán, bạn đang “tin tưởng mù quáng”.

---

4. Nhân viên của provider được đào tạo bảo mật như thế nào?


Con người luôn là mắt xích yếu nhất.

Cần đánh giá:

• Security awareness training có bắt buộc không?
• Có secure operations training không?
• Có kiểm soát privileged access cho admin nội bộ không?
• Có quy trình xử lý insider threat không?

Zero Trust không chỉ áp dụng cho người dùng của bạn, mà cả với nhà cung cấp.

---

5. Hệ thống phân loại dữ liệu (Data Classification) của provider là gì?


Câu hỏi cần đặt ra:

Provider có phân loại dữ liệu theo:

• Public
• Internal
• Confidential
• Restricted

hay không?

Nếu không có data classification, rất khó áp dụng:

• Data governance
• DLP (Data Loss Prevention)
• Retention policy
• Encryption policy

---

6. Dữ liệu của bạn được tách biệt với tenant khác thế nào?


Đây là câu hỏi về Multi-Tenancy Security.

Dữ liệu nằm trên:

• Shared Infrastructure?
• Dedicated Infrastructure?

Nếu shared, cần hiểu cơ chế cách ly:

• Hypervisor isolation
• Tenant segmentation
• Logical separation
• Storage isolation

Vì nếu cách ly kém, có nguy cơ data commingling hoặc cross-tenant compromise.

Đây chính là bài toán mà Azure, AWS, GCP giải quyết ở tầng nền tảng.

---

7. Có sử dụng mã hóa không?


Phải hỏi rõ:

Dữ liệu được mã hóa:

• At Rest
• In Transit
• Hay cả hai?

Không chỉ hỏi có mã hóa hay không, mà phải hỏi:

• Dùng AES-256 hay chuẩn nào?
• Key management do ai kiểm soát?
• Customer Managed Keys (CMK) hay Provider Managed Keys?
• Có HSM hay không?

Một trong các nguyên tắc cloud security hiện đại là:

Encrypt everything.

---

8. Điều khoản SLA ra sao?


Service Level Agreement (SLA) là hợp đồng đảm bảo mức dịch vụ.

Cần xem kỹ:

• Availability (99.9? 99.99?)
• RTO (Recovery Time Objective)
• RPO (Recovery Point Objective)
• Response time khi có incident
• Penalty nếu vi phạm SLA

Không đọc SLA kỹ, dễ mua “ảo tưởng uptime”.

---

9. Nhà cung cấp có tồn tại lâu dài không?


Long-term viability thường bị bỏ quên.

Phải đánh giá:

• Provider đã hoạt động bao lâu?
• Track record ra sao?
• Nếu provider đóng cửa thì dữ liệu được trả về như thế nào?
• Định dạng export có hỗ trợ migration không?

Đây là góc nhìn tránh vendor lock-in.

---

10. Nhà cung cấp có chịu trách nhiệm khi xảy ra breach không?


Một câu hỏi cực kỳ thực tế.

Nếu có data breach:

• Ai chịu trách nhiệm?
• Provider hỗ trợ forensic không?
• Có incident response support không?
• Có cyber liability coverage không?

Đừng tin khẩu hiệu “unhackable”.

Không có hệ thống nào unhackable.

---

11. Kế hoạch Disaster Recovery / Business Continuity thế nào?


Mọi datacenter đều có rủi ro:

• Cháy nổ
• Thiên tai
• Mất điện
• Network outage

Cần hỏi rõ:

• DR site ở đâu?
• Multi-region replication có không?
• Backup frequency?
• Failover tự động hay thủ công?
• BCP đã được test định kỳ chưa?

Cloud không tự động đồng nghĩa với resilient.

Resilience phải được thiết kế.

---

12. Khi chấm dứt hợp đồng thì dữ liệu sẽ ra sao?


Đây là câu hỏi rất hay bị quên.

Sau khi terminate contract:

• Dữ liệu được trả lại như thế nào?
• Bao lâu sẽ bị xóa?
• Có secure data destruction không?
• Có chứng nhận xóa dữ liệu (certificate of destruction) không?

Đây là phần quan trọng của data lifecycle security.

---

Góc nhìn kiến trúc bảo mật: Đây chính là Shared Responsibility Model


Nhìn sâu hơn, toàn bộ các câu hỏi trên xoay quanh một nguyên lý:

Cloud provider bảo mật “of the cloud”

Khách hàng bảo mật “in the cloud”

Muốn dùng cloud an toàn phải hiểu rõ ranh giới trách nhiệm.

---

Checklist tối thiểu trước khi chọn Cloud Provider


Nếu đánh giá thực chiến, tôi thường nhìn 6 nhóm:

1. Identity & Access Security
2. Encryption & Key Ownership
3. Compliance & Auditability
4. Multi-Tenant Isolation
5. SLA + DR/BCP
6. Exit Strategy & Vendor Lock-In

Nếu thiếu một trong sáu, rủi ro rất lớn.

---

Kết luận


Cloud mang lại:

• Scalability
• Agility
• Elasticity
• Cost Efficiency

Nhưng đồng thời mang đến:

• Governance risk
• Shared responsibility gaps
• Compliance complexity
• Concentrated attack surface

Cloud không làm bảo mật đơn giản hơn.

Cloud chỉ thay đổi nơi rủi ro xuất hiện.

Và người làm hệ thống, security, hay cloud architect cần học cách đặt đúng câu hỏi trước khi tin tưởng bất kỳ nhà cung cấp nào.
​