Kinh nghiệm của Mỹ về những vấn đề cần lưu ý trong quá trình triển khai ứng dụng điện toán đám mây

Thứ Tư, 16/12/2015 | Đã xem 1660

Khi các cơ quan nhà nước trong Chính phủ Hoa Kỳ xây dựng kế hoạch để di chuyển tới dịch vụ điện toán đám mây, có một số hoạt động mà các nhà lãnh đạo Chính phủ Liên bang đã làm để tạo thuận lợi cho việc áp dụng và giảm thiểu nguy cơ từ sự di chuyển này.

1. Tận dụng các nhân tố thúc đẩy điện toán đám mây

Các nhân tố thúc đẩy điện toán đám mây là những nguồn lực sẵn có để các cơ quan đẩy nhanh quá trình đánh giá các ứng viên cung cấp dịch vụ điện toán đám mây, tận dụng khả năng và giảm thiểu rủi ro của điện toán đám mây.

Hội đồng CIO Liên bang đã phát triển các trường hợp nghiệp vụ điển hình về điện toán đám mây và sẽ tiếp tục xây dựng thư viện các trường hợp này để hỗ trợ các cơ quan trong các quyết định di chuyển tới điện toán đám mây. Các cơ quan nhà nước chỉ cần tìm kiếm những trường hợp nghiệp vụ có quy mô hoặc mục tiêu tương tự với cơ quan mình để tham khảo và tăng tốc độ phát triển trường hợp nghiệp vụ điện toán đám mây riêng của mình (ví dụ, trong việc xây dựng các tiêu chí quyết định để di chuyển email tới điện toán đám mây, hệ thống quản trị quan hệ khách hàng – CRM tới điện toán đám mây, lưu trữ đám mây).

Các cơ quan tham gia vào các nhóm làm việc về điện toán đám mây tại Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) và Cơ quan quản lý các dịch vụ chung (GSA) về các chủ đề như tiêu chuẩn, kiến trúc, phân quyền, bảo mật, tính riêng tư và các mô hình nghiệp vụ sử dụng. Các cơ quan cũng tận dụng các cổng thông tin, chẳng hạn như các trang web cộng tác của NIST, cung cấp những truy cập đến thông tin hữu ích cho những người chấp nhận điện toán đám mây.

Mặc dù có những nguồn lực hỗ trợ như trên, các cơ quan có thể phải đối mặt với một số vấn đề gây cản trở khả năng thực hiện đầy đủ những lợi ích từ phương pháp điện toán đám mây của họ. Cũng giống như trường hợp của tất cả các tiến bộ công nghệ, những thách thức này sẽ thay đổi theo thời gian, khi thị trường điện toán đám mây phát triển. Trong ngắn hạn, các tổ chức trong Chính phủ liên bang, bao gồm NIST, GSA, Văn phòng Quản trị và Ngân sách (OMB) và Cơ quan An ninh Nội địa (DHS) đã phát triển và tiếp tục phát triển những hướng dẫn thực tế về các vấn đề liên quan đến an ninh, mua sắm, tiêu chuẩn và đang thiết lập các nền tảng quản trị cần thiết để hỗ trợ vấn đề chuyển giao.

2. Đảm bảo một môi trường đáng tin cậy, an toàn

Khi di chuyển đến điện toán đám mây, Chính phủ Liên bang Mỹ đã đề cao sự thận trọng nhằm đảm bảo an ninh và quản lý đúng đắn thông tin chính phủ để bảo vệ sự riêng tư của công dân và an ninh quốc gia.

Việc chuyển đổi sang môi trường điện toán đám mây thuê ngoài, xét về nhiều mặt, là cách để thực tập với quản lý rủi ro. Quản lý rủi ro đòi hỏi phải xác định, đánh giá rủi ro, và thực hiện các bước để giảm rủi ro xuống mức chấp nhận được. Trong suốt vòng đời của hệ thống, những rủi ro xác định được cần phải được cân bằng một cách cẩn trọng trong mối quan hệ với các kiểm soát an ninh, quyền riêng tư cũng như các lợi ích mong đợi. Quá nhiều sự kiểm soát có thể không hiệu quả và không hiệu lực. Các cơ quan và tổ chức nên có những hoạt động để đảm bảo có một sự cân bằng hợp lý giữa số lượng và sức mạnh của các nhân tố điều khiển thúc đẩy và các rủi ro liên quan tới các giải pháp điện toán đám mây.

Chính phủ Liên bang tạo ra một môi trường an ninh minh bạch giữa các nhà cung cấp điện toán đám mây và người tiêu dùng đám mây- môi trường đưa đến một mức độ mà sự hiểu biết và khả năng đánh giá tình trạng bảo mật của Chính phủ liên bang vượt trội so với những gì hiện được cung cấp trong các cơ quan. Bước đầu tiên trong quá trình này là Chương trình quản lý và ủy quyền quản lý rủi ro 2010 (FedRAMP). FedRAMP xác định những yêu cầu cho kiểm soát an ninh điện toán đám mây, bao gồm quét dữ liệu dễ bị tổn thương, giám sát sự cố, quá trình đăng nhập và báo cáo. Thực hiện những yêu cầu này sẽ nâng cao sự tự tin và khuyến khích niềm tin trong môi trường điện toán đám mây.

Để tăng cường an ninh từ góc độ hoạt động, DHS đã lập một danh sách các mối đe dọa an ninh hàng đầu mỗi 6 tháng hoặc khi cần thiết, và làm việc với một đội ngũ các chuyên gia an ninh toàn liên bang để đảm bảo việc kiểm soát an ninh và các biện pháp thích hợp được thực hiện để giảm thiểu những mối đe dọa. NIST cũng ban hành hướng dẫn kỹ thuật về an ninh, tập trung vào giám sát liên tục các giải pháp điện toán đám mây, phù hợp với khung quản lý rủi ro sáu bước bao gồm: phân loại các hệ thống thông tin, lựa chọn các giải pháp an ninh, áp dụng các giải pháp an ninh, đánh giá các giải pháp an ninh, ủy quyền các hệ thống thông tin và quản lý các giải pháp an ninh.

Cơ quan đánh giá rủi ro của điện toán đám mây nên cân nhắc cả những lợi ích an ninh tiềm năng và các lỗ hổng tiềm năng. Lợi ích an ninh tiềm năng của việc sử dụng dịch vụ điện toán đám mây bao gồm:

• Khả năng tập trung nguồn lực vào lĩnh vực quan tâm cao vì nhiều dịch vụ bảo mật chung đã được cung cấp bởi các nhà cung cấp dịch vụ điện toán đám mây.

• Sức mạnh nền tảng tốt hơn do tính đồng nhất hơn, và kết quả là thúc đẩy cải thiện việc đảm bảo thông tin, phản ứng an ninh, quản lý hệ thống, độ tin cậy và khả năng bảo trì.

• Cải thiện nguồn lực sẵn có thông qua khả năng mở rộng, dự phòng và phục hồi thảm họa; cải thiện khả năng phục hồi để phục vụ nhu cầu bất ngờ.

• Cải thiện năng lực sao lưu và phục hồi: khả năng, chính sách, thủ tục và sự nhất quán

• Khả năng tận dụng các dịch vụ đám mây thay thế để cải thiện thế trận an ninh tổng thể, trong đó có các trung tâm dữ liệu truyền thống.

Những rủi ro bao gồm:

• Sự phức tạp của các hệ thống từ môi trường điện toán đám mây, phụ thuộc vào sự đúng đắn và hợp lý của các thành phần và các tương tác giữa chúng.

• Sự phụ thuộc vào các nhà cung cấp dịch vụ để duy trì logic trong một môi trường đa người dùng, không phải chỉ có các mô hình điện toán đám mây.

• Sự cần thiết để đảm bảo rằng tổ chức vẫn giữ một mức độ kiểm soát thích hợp để có được nhận thức về các tình huống, cân nhắc lựa chọn thay thế, ưu tiên thiết lập, và những thay đổi có hiệu lực về bảo mật và riêng tư vì lợi ích tốt nhất của an ninh.

Những cân nhắc chính về an ninh bao gồm:

• Xác định cẩn thận các yêu cầu an ninh và sự riêng tư trong giai đoạn lập kế hoạch ban đầu vào lúc bắt đầu của vòng đời phát triển hệ thống.

• Xác định mức độ thỏa thuận dịch vụ cần có để đáp ứng các yêu cầu an ninh; và các lựa chọn thay thế của việc sử dụng các thoả thuận dịch vụ hoặc việc triển khai mô hình điện toán đám mây theo đó cung cấp việc giám sát và kiểm soát tốt hơn về an ninh và sự riêng tư.

• Đánh giá mức độ mà các máy chủ và môi trường máy tính nhằm đáp ứng yêu cầu an ninh và quyền riêng tư của tổ chức.

• Tiếp tục duy trì hoạt động quản lý, kiểm soát, trách nhiệm giải trình về an ninh, sự riêng tư, bảo mật dữ liệu và các ứng dụng

Trong ngắn hạn và dài hạn những hành động này sẽ tiếp tục cải thiện sự tự tin trong việc sử dụng các dịch vụ đám mây bằng cách giúp giảm thiểu rủi ro về an ninh.

3. Phân luồng quy trình đấu thầu mua sắm

Hiện nay, các cơ quan chính phủ thường xuyên mua sắm hàng hóa theo một cách thức phân tán, không tổng hợp, hoạt động giống như một liên đoàn của các tổ chức nhỏ hơn là một tổ chức lớn thống nhất. Để cải thiện sự sẵn sàng cho điện toán đám mây, Chính phủ liên bang tạo điều kiện cho một phương thức gọi là "phê duyệt một lần và sử dụng thường xuyên "để hợp lý hóa quá trình phê duyệt cho các nhà cung cấp dịch vụ điện toán đám mây. Ví dụ, một chương trình phân quyền quản lý rủi ro toàn liên bang cho các giải pháp IaaS sẽ cho phép các cơ quan dựa trên sự phân quyền đã có, do đó chỉ có những yêu cầu bổ sung, cụ thể mới được ủy quyền riêng. Hợp đồng IaaS của GSA là một ví dụ về phương pháp tiếp cận "phê duyệt một lần và sử dụng thường xuyên" này. Hợp đồng cho phép 12 nhà cung cấp dịch vụ điện toán đám mây đã được phê duyệt để cung cấp cho các cơ quan dịch vụ lưu trữ đám mây, các máy ảo, và các dịch vụ lưu trữ web. Phương pháp tiếp cận như thế này sẽ loại bỏ chi phí và thời gian chuyển giao chậm trễ không cần thiết liên quan đến những nỗ lực chồng chéo.

Khi số lượng các nhà cung cấp điện toán đám mây của chính phủ tăng lên, GSA cung cấp công cụ so sánh để so sánh các nhà cung cấp dịch vụ điện toán đám mây một cách minh bạch từng cặp một. Những công cụ này sẽ cho phép các cơ quan nhanh chóng và hiệu quả chọn lựa được đơn vị cung cấp tốt nhất cho nhu cầu riêng của họ. Ví dụ như tại ứng dụng Apps.gov, cung cấp một giao diện cửa hàng tập trung, nơi các cơ quan có thể dễ dàng duyệt và so sánh các dịch vụ đám mây SaaS và IaaS cung cấp từ hơn 70 nhà cung cấp có hợp đồng cụ thể. Những công cụ như thế này sẽ làm giảm gánh nặng cho cơ quan khi tiến hành các quy trình đấu thầu mua sắm của riêng mình và sẽ tập trung đầu tư cho nhà cung cấp dịch vụ điện toán đám mây tốt nhất.

Các hợp đồng của Chính phủ liên bang cũng sẽ cung cấp định hướng cho chính quyền tiểu bang và các địa phương. Những định hướng này sẽ cho phép tất cả các cơ quan chính phủ nhận ra những ưu điểm tương tự của việc mua sắm của Chính phủ liên bang. Sự gia tăng trong quá trình các cơ quan tham gia dịch vụ điện toán đám mây sẽ tiếp tục thúc đẩy sự đổi mới và hiệu quả về chi phí bằng cách tăng quy mô thị trường và tạo hiệu quả từ quy mô lớn hơn.

4. Xây dựng tiêu chuẩn điện toán đám mây

Tiêu chuẩn rất quan trọng cho việc áp dụng và cung cấp dịch vụ điện toán đám mây thành công, cả trong khu vực công và những phạm vi rộng hơn. Tiêu chuẩn khuyến khích cạnh tranh bằng cách làm cho các ứng dụng có khả năng di động giữa các nhà cung cấp, cho phép các cơ quan liên bang thay đổi dịch vụ giữa các nhà cung cấp để tận dụng lợi thế của việc nâng cao hiệu quả chi phí hoặc đổi mới các tính năng sản phẩm mới. Tiêu chuẩn cũng rất quan trọng để đảm bảo những đám mây có một nền tảng tương thích hợp lý để các dịch vụ được cung cấp bởi các nhà cung cấp khác nhau có thể làm việc cùng nhau, bất kể những dịch vụ họ đang cung cấp qua việc việc sử dụng mô hình đám mây công cộng, tư nhân, cộng đồng, hoặc một mô hình đám mây lai.

NIST đóng một vai trò trung tâm trong việc xác định tiêu chuẩn, và cộng tác với CIO của các cơ quan, các chuyên gia khu vực tư nhân, và các cơ quan quốc tế để xác định, ưu tiên, và đạt được sự đồng thuận về các chuẩn ưu tiên. NIST đã tiến hành nhiều hội thảo để xác định và đề ra thứ tự ưu tiên cho các nhu cầu. Trong tương lai, NIST sẽ tạo, đánh giá và sửa đổi một lộ trình điện toán đám mây trên cơ sở định kỳ. Lộ trình này sẽ lặp đi lặp xác định và theo dõi các thỏa thuận ưu tiên về điện toán đám mây để phối hợp những nỗ lực về dịch vụ điện toán đám mây giữa các bên liên quan. NIST sẽ duy trì vai trò lãnh đạo trong việc ưu tiên, phát triển và tinh chế tiêu chuẩn theo thời gian khi các yêu cầu về các tiêu chuẩn phát triển để đáp ứng với sự đổi mới về hoạt động nghiệp vụ và sự tiên tiến của công nghệ. Các nhiệm vụ và hoạt động chính mà NIST đã làm là:

- Thành lập các định nghĩa được chấp nhận một cách rộng rãi cho bốn mô hình triển khai điện toán đám mây thường được công nhận (tức là, tư nhân, công cộng, cộng đồng, và đám mây lai) và ba mô hình dịch vụ (cơ sở hạ tầng dịch vụ, nền tảng dịch vụ, và phần mềm dịch vụ.

- Xác định kiến trúc tham chiếu và phân loại để cung cấp một khung tài liệu tham khảo cho truyền thông.

- Xác định một tập hợp "mục tiêu" các trường hợp nghiệp vụ mẫu đặt ra những thách thức lớn nhất về rủi ro, mối quan tâm, hoặc sự hạn chế.

- Xác định các ưu tiên định hướng hoạt động cho các tiêu chuẩn điện toán đám mây và hướng dẫn.

NIST sẽ tiếp tục thực hiện các tiêu chuẩn chiến thuật cho dự án Khởi động thích nghi với điện toán đám mây (SAJACC), dự án đóng vai trò quan trọng trong việc chứng thực các thông số kỹ thuật điện toán đám mây chủ yếu và chia sẻ thông tin, với mục đích xây dựng niềm tin đối với công nghệ điện toán đám mây trước khi các tiêu chuẩn chính thức sẵn sàng để sử dụng. Đến nay, SAJACC đã xác định 24 trường hợp sử dụng kỹ thuật chung mà có thể được sử dụng để xác nhận các yêu cầu về khả năng tương tác quan trọng, an ninh, và tính di động. SAJACC sẽ hỗ trợ lớn trong việc đưa các cơ quan di chuyển về phía trước với quá trình tiêu chuẩn hóa song song với sự đồng thuận chính thức dựa trên các quy trình tổ chức.

5. Thừa nhận phương thức đo lường quốc tế về điện toán đám mây

Sự phát triển của bất kỳ một công nghệ mới nào cũng mang trong nó hai động thái cơ bản: (1) khả năng biến đổi và (2) sự cần thiết kiểm tra mô hình hiện tại trong cùng lĩnh vực. Điện toán đám mây mang lại cho một số vấn đề chính sách quốc tế cần được giải quyết trong vài thập kỷ tới khi điện toán đám mây ngày một phát triển và trưởng thành. Những vấn đề cần xem xét bao gồm:

• Chủ quyền về dữ liệu, chuyển động của dữ liệu, và truy cập dữ liệu: làm thế nào để các quốc ra đạt tới sự cân bằng thích hợp giữa sự riêng tư, an ninh and sở hữu trí tuệ của dữ liệu quốc gia?

• Nhu cầu cần thiết lập hành lang pháp lý, quy định và quản trị quốc tế về điện toán đám mây hay không?

• Những quy tắc ứng xử cho điện toán đám mây dành cho chính phủ quốc gia, các ngành công nghiệp, and các tổ chức phi chính phủ;

• Khả năng liên thông và tính di động trong nước và quốc tế;

• Bảo đảm hài hòa toàn cầu về tiêu chuẩn điện toán đám mây.

6. Tạo lập một nền tảng quản trị cứng rắn

Chiến lược này là bước đầu tiên trong quá trình di chuyển hướng tới công nghệ điện toán đám mây, cả trong khu vực công và tư nhân. Chính phủ Liên bang đóng một vai trò quan trọng trong suốt quá trình này để xác định và giải quyết các vấn đề về điện toán đám mây quan trọng quốc gia. Để quản lý hiệu quả các vấn đề quản trị trong dài hạn, Chính phủ liên bang đặt một nền móng quản trị ổn định tồn tại lâu hơn nền móng của mỗi cơ quan hoặc chính quyền riêng lẻ. Để tốt nhất trong phạm vi có thể, các cơ quan riêng lẻ hoặc các ủy ban nên có quy định rõ ràng về vai trò, trách nhiệm không chồng chéo, và một hệ thống phân cấp ra quyết định rõ ràng. Các bước này sẽ trao quyền cho chính phủ hành động, giảm thiểu tệ quan liêu không cần thiết, và đảm bảo trách nhiệm giải trình về kết quả. Do đó, các cơ quan sau đây sẽ có những vai trò và trách nhiệm như sau:

• Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) sẽ lãnh đạo và phối hợp Chính quyền Liên Bang, các tiểu Bang và CIO của các cơ quan chính quyền địa phương, các chuyên gia khu vực tư nhân, và các cơ quan quốc tế để xác định và ưu tiên các tiêu chuẩn điện toán đám mây và hướng dẫn.

• Cơ quan quản lý dịch vụ chung (GSA ) sẽ phát triển các công cụ mua sắm có phạm vi toàn chính phủ và phát triển các giải pháp ứng dụng dựa trên đám mây khi cần thiết.

• Cơ quan An ninh Nội địa (DHS) sẽ giám sát các vấn đề hoạt động an ninh liên quan đến các đám mây.

• Các cơ quan sẽ chịu trách nhiệm đánh giá chiến lược tìm nguồn cung ứng của họ với việc xem xét toàn diện các giải pháp điện toán đám mây.

• Hội đồng CIO Liên bang sẽ định hướng sự áp dụng và thích nghi của điện toán đám mây trong phạm vi toàn chính phủ, xác định công nghệ điện toán đám mây thế hệ kế tiếp, chia sẻ kinh nghiệm và các phân tích, trường hợp mẫu về việc tái áp dụng các trường hợp điển hình.

• Văn phòng Quản trị và Ngân sách (OMB) sẽ phối hợp hoạt động giữa các cơ quan quản trị , thiết lập các ưu tiên liên quan đến đám mây tổng thể, và cung cấp hướng dẫn cho các cơ quan.

Trên đây là những kinh nghiệm của Chính phủ Liên bang Hoa Kỳ về những vấn đề cần lưu ý trong quá trình triển khai ứng dụng điện toán đám mây. Đây cũng là bài học cho các cơ quan nhà nước Việt Nam khi tiếp thu một xu hướng công nghệ mới, không thể đảo ngược trong hiện tại và tương lai. Những vấn đề về tận dung các nhân tố thúc đẩy, tạo lập môi trường tin cậy, an toàn, phân luồng các quy trình đấu thầu, mua sắm, xây dựng tiêu chuẩn, hợp tác quốc tế và thiết lập nền tảng quản lý là những vấn đề thiết yếu, giúp giảm thiểu rủi ro và khai thác những lợi ích, tính ưu việt của điện toán đám mây.

Điện toán đám mây sẽ cho phép tạo ra sự thay đổi cơ bản trong cách các cơ quan nhà nước phục vụ nhân dân và công chúng. Trách nhiệm của các nhà quản lý CNTT trong Chính phủ là đưa ra các biện pháp thúc đẩy để đạt được những lợi ích đáng kể về chi phí, tốc độ và và sự đổi mới từ điện toán đám mây càng nhanh càng tốt. Những chiến lược và hành động được mô tả trong tài liệu này là phương tiện cho chúng ta để bắt đầu ngay lập tức. Do mỗi cơ quan có nhu cầu và sứ mệnh, nhiệm vụ, yêu cầu bảo mật, và bối cảnh CNTT khác nhau, mỗi cơ quan cần suy nghĩ về các chiến lược như là một bước tiến tiếp theo sau khi nghiên cứu chiến lược. Mỗi cơ quan sẽ đánh giá chiến lược và nguồn cung ứng công nghệ của mình để đảm bảo rằng các đám mây được lựa chọn sẽ được xem xét đầy đủ, phù hợp với bối cảnh riêng và thích hợp với chính sáchchung của toàn quốc gia.

Go top

Tin bài liên quan

Cổng dịch vụ Sức khỏe tích hợp HealthHub - Singapore. ( 28/12/2018)
Ứng dụng công nghệ IoT trong quản lý chiếu sáng công cộng ( 28/12/2018)
Một số nguyên tắc kiến trúc áp dụng cho lĩnh vực tài chính ( 28/12/2018)
HỆ THỐNG TỔNG ĐÀI CHĂM SÓC KHÁCH HÀNG ( 27/12/2018)
Khung đổi mới dịch vụ công trực tuyến. Phần 2: Những trường hợp cụ thể trong từng giai đoạn ( 27/12/2018)

BỘ THÔNG TIN TRUYỀN THÔNG

Cục Chuyển Đổi Số Quốc Gia

bigadmin

Kinh nghiệm của Mỹ về những vấn đề cần lưu ý trong quá trình triển khai ứng dụng điện toán đám mây