Slide thumbnail

Cập nhật kiến thức Google Cloud

Kiến thức

G Suite và Office 365: An ninh, bảo mật khi lên Cloud

05/11/2018

Cuộc chiến Cloud giữa G Suite và Office 365.

Trong guồng xoay của cuộc cách mạng công nghệ 4.0, ngày càng có nhiều doanh nghiệp quyết định đưa Cloud Platform – nền tảng điện toán đám mây vào ứng dụng bởi những lợi ích mà nó đem lại. Tuy nhiên, khi Cloud Platform trở nên phổ biến, cũng là lúc trên thị trường xuất hiện nhiều lựa chọn và khiến doanh nghiệp phải cân nhắc kĩ lưỡng trước khi quyết định đầu tư. Và khi mà môi trường kinh doanh số đang phải đối mặt ngày càng nhiều với những nguy cơ an nình mạng, thì việc lựa chọn giải pháp đáp ứng được yêu cầu bảo mật của doanh nghiệp là điều tối quan trọng.

 

Với những doanh nghiệp đang tìm kiếm một bộ công cụ năng suất “Productivity suite” thì G Suite của GoogleOffice 365 của Microsoft chính là hai lựa chọn Cloud chất lượng nhất. Office 365 là một lựa chọn phổ biến với dân văn phòng nhờ bộ công cụ soạn thảo văn bản quen thuộc (Word, Excel, Powerpoint,…). Gần đây, các ứng dụng này đã có phiên bản làm việc online trên Web giúp người dùng dễ dàng truy cập hơn.

G Suite thì chưa có tuổi đời lâu như vậy, nhưng nếu xét về bảo mật, thì chưa có đơn vị cung cấp nào có thể vượt qua với lịch sử cho ra đời những phần mềm bảo mật của Google – ông lớn trong làng công nghệ. Mặc dù Microsoft cũng có một nền tảng cơ sở hạ tầng chắc chắn, nhưng hãng cũng đã phải nhiều lần giải quyết các lỗ hổng bảo mật trong sản phẩm của mình. Vậy nếu chỉ xét riêng hai gói giải pháp G Suite và Office 365, hai nền tảng này liệu có bảo vệ được toàn bộ doanh nghiệp khỏi những nguy cơ tấn công mạng?

 

Chiến lược bảo mật của G Suite: Khả năng phát hiện thư rác và phần mềm độc hại nâng cao

1. Data monitoring & Protection – Giám sát và bảo vệ dữ liệu

 

Google có một mạng lưới trung tâm dữ liệu rất rộng lớn và tự vận hành các trung tâm này bằng cách thiết kế phần cứng riêng, với hệ điều hành và hệ thống tệp tin tách biệt. Mỗi yếu tố trong hệ thống sẽ được tối ưu hóa nhằm phục vụ mục đích bảo mật và việc vận hành hệ thống. Vì Google nắm toàn quyền kiểm soát phần cứng, bất kì mối đe dọa hay lỗ hổng tiềm ẩn nào đều sẽ được xử lý và ngăn chặn một cách nhanh gọn.

Với G Suite, mọi dữ liệu đều luôn luôn được mã hóa – dù đang lưu trên ổ cứng, khi lưu trữ dự phòng, khi di chuyển trên Internet hay giữa các trung tâm dữ liệu. Việc mã hóa là một phần quan trọng trong chiến lược bảo mật của G Suite bởi nó giúp bảo vệ dữ liệu email, nội dung chat, các tài liệu trên Google Drive hay các dữ liệu khác. Bên cạnh đó, chiến lược ứng dụng Machine learning giúp hệ thống có thể phát hiện được các nguy cơ tiềm ẩn bằng trực giác.

Về phương diện bảo vệ dữ liệu người dùng, Google đã xây dựng được cả một bảng thành tích trong lĩnh vực này. Đối với Google, những nguy cơ từ các phần mềm độc hại (malware) luôn luôn được tiếp cận một cách cảnh giác, thận trọng và sử dụng đa dạng các chiến lược nhằm ngăn chặn, phát hiện và xử lý triệt để. Các chiến lược xử lý phần mềm độc hại của Google sẽ tập trung ngăn chặn sự lây lan và phát tán trên diện rộng, bằng cách sử dụng hệ thống quét (scanner) tự động và manual. Hệ thống scanner này sẽ tìm kiếm trong Google search index để phát hiện ra các website có thể chứa phần mềm độc hại hay các bẫy lừa đảo chiếm đoạt thông tin (phishing).

 

G suite và Office 365

 

Google Vault: Ứng dụng giúp admin tìm kiếm, lưu trữ và trích xuất dữ liệu nhằm phục vụ nhu cầu kiểm soát, bảo mật của doanh nghiệp.

 

2. Compliance – Sự tuân thủ theo quy định

G Suite được thiết kế với nguyên tắc: luôn đảm bảo các tiêu chuẩn về tính riêng tư và bảo mật chặt chẽ – dựa trên các phương pháp bảo mật tốt nhất của toàn ngành. Với những doanh nghiệp hoạt động trong lĩnh vực yêu cầu phảo có sự đảm bảo, tuân thủ chặt chẽ trong bảo vệ dữ liệu (ví dụ như những tổ chức, doanh nghiệp làm về bảo vệ quyền lợi trẻ em, thông tin sức khỏe cá nhân,…) G Suite hoàn toàn đáp ứng được. Bên cạnh khả năng đáp ứng các nguyên tắc về bảo vệ dữ liệu, Google còn đưa ra các điều khoản hợp đồng chặt chẽ, đảm bảo rằng khách hàng của mình luôn duy trì được sự tuân thủ nghiêm ngặt trong lĩnh vức mà họ hoạt động.

Dưới đây là một số chứng chỉ mà Google đã đạt được:

  • ISO 27001: ISO 2701 là một trong những tiêu chuẩn bảo mật độc lập, được công nhận rộng rãi và chấp nhận trên phạm vi quốc tế. Google đã giành được chứng chỉ ISO 27001 đối với hệ thống, ứng dụng, quy trình và các trung tâm dữ liệu vận hành G Suite.
  • ISO 27018: Phương châm của ISO 27018 bao gồm: Không sử dụng dữ liệu của bạn cho quảng cáo; đảm bảo rằng dữ liệu lưu trữ trong các dịch vụ G Suite thuộc quyền quản lý của bạn; mang đến các công cụ để xóa và trích xuất dữ liệu, bảo vệ thông tin, dữ liệu của bạn trước yêu cầu từ các bên thứ ba, cũng như minh bạch trong nơi lưu trữ thông tin của bạn.
  • SOC 2, SOC 3 (Service Organization Controls): Khung kiểm toán SOC của Hội Kế toán viên Công cứng Hoa Kỳ (AICPA) dựa trên Nguyên tắc và Tiêu chí tín nhiệm của mình để kiểm định ưmcs độ an toàn, ổn định, sự thống nhất trong quy trình xử lý và tính bảo mật.
  • HIPAA: Đây là đạo Luật về Trách Nhiệm Giải Trình và Khả Năng Chuyển Đổi Bảo Hiểm Y tế. HIPAA quản lý việc bảo vệ, sử dụng và cung cấp những thông tin sức khỏe được bảo vệ (PHI).
  • FERPA: Dịch vụ G Suite for Educaton tuân thủ theo Ðạo luật về Quyền Hạn Giáo Dục và Bảo Mật Riêng Tư Gia Đình (FERPA).
  • COPPA: Đạo luật Bảo vệ Quyền Riêng tư của Trẻ em trên mạng năm 1998 (COPPA)
  • EU Data Protection Directive & GDPR: Quy định Chung về Bảo vệ Dữ liệu
  • User Access

 

G Suite đã từng gặp rất nhiều thách thức trong lĩnh vực này do ban đầu, các tính năng quản lý bảo mật mà Google cung cấp trong Admin Console rất hạn chế. Tuy nhiên, những năm gần đây, Google đã có rất nhiều bước cải tiến lớn trong việc cải thiện hệ thống quản trị và hãng vẫn đang tiếp tục đưa ra những chiến lược mới. Giờ đây admin của công ty có thể quản lý tài khoản, kiểm soát quyền truy cập và người dùng dễ dàng dàng hơn. Điều này giúp ngăn chặn việc nhân viên trong công ty cấp quyền truy cập hay chia sẻ các thông tin nhạy cảm ra bên ngoài (mà chưa có sự cho phép).

 

3. Security Logs – Nhật kí bảo mật

Trong G Suite, mọi thông tin lưu trữ về nhật kí hoạt động đều không thể được chỉnh sửa bởi bất kì ai – vì vậy đây sẽ trở thành bằng chứng xác thực nếu doanh nghiệp cần phải điều tra một hành vi nào đó. Tính năng Activity Log của G Suite có thể được truy cập qua Google API Console.

 

4. Automatic Update – Cập nhật tự động

Khi nhắc đến khả năng cập nhật của hệ thống và phần mềm, G Suite luôn luôn đứng đầu. Bời ngay từ đầu, G Suite đã được xây dựng và phát triển trên Cloud, vì thế nên mọi việc liên quan đến update đều diễn ra thường xuyên, tự động khắc phục những lỗ hổng hoặc điểm yếu về bảo mật mà không yêu cầu người dùng phải thực hiện thao tác hay tốn thời gian chờ đợi.

 

5. Anti-spam & Virus Protection – Khả năng chống spam và bảo vệ khỏi virut

Để đảm bảo được email được gửi đi từ doanh nghiệp có độ uy tín cao và không bị phân loại “spam” khi đến hòm thư của người nhận, G Suite sử dụng rất nhiều yếu tố quan trọng, giúp những email mà bạn gửi đi nhận được sự “tin tưởng” từ các hệ thống khác, bằng cách cài đặt:

  • SPF (Sender Policy Framework): Giúp ngăn chặn kẻ gửi tin rác gửi tin nhắn giả mạo từ địa chỉ tên miền của bạn. SPF xác thực nguồn gốc của các email bằng cách kiểm tra địa chỉ IP của người gửi so với người sở hữu tên miền gửi thư đi.
  • DKIM (Domain Key Identified Mail): một phương pháp xác thực e-mail bằng chữ ký số của tên miền gửi thư. DKIM sẽ thêm một chữ kí số đặc biệt vào email bạn gửi. Sau đó, hệ thống của người nhận sẽ sử dụng chữ kí số này để xác nhận liệu thư mà bạn gửi đi có phải giả mạo hay không. Các dịch vụ mail hosting hiện nay thường chỉ cài đặt bản ghi SPF, nếu muốn cài DKIM khách hàng sẽ mất thêm phí.
  • DMARC:  DMARC là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ (mà ta hay gọi nó là spoofing). Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận. Những điều này sẽ đảm bảo uy tín của domain người gửi đi, từ đó mail gửi đi sẽ không bị đánh dấu là spam.

 

G Suite và Office 365

Email doanh nghiệp: So sánh các ứng dụng và tính năng giữa G Suite và Office 365

 

Chiến lược bảo mật của Office 365: Tính năng bảo vệ nâng cao và quản lý người dùng

 

 

1. Data monitoring & Protection – Giám sát và bảo vệ dữ liệu

 

Mặc dù Office 365 vẫn còn một số lỗi cần được giải quyết liên quan đến khả năng phát hiện các mối đe dọa, lần cập nhật gần đây nhất của hãng – Exchange Oline Advanced Threat Protection (ATP – Tính năng bảo vệ hiểm họa nâng cao) có thể được coi là một điểm cộng đáng cân nhắc. ATP là một dịch vụ cho phép lọc email, chuyên dò tìm và nhắm vào các email spam tinh vi, các nguy cơ an toàn an ninh, bao gồm cả các virus và phần mềm độc hại. ATP cung cấp cho doanh nghiệp khả năng bảo vệ trong thời gian thực, đặc biệt là đối với các đường dẫn URL chứa bẫy lừa đảo chiếm đoạt thông tin (phising trap) hay bảo vệ người dùng khỏi ảnh hưởng của các phần mềm độc hại. Đây là một tính năng add-on mà người dùng Office 365 có thể trả thêm phí để sử dụng. Tuy nhiên doanh nghiệp cần tìm hiểu kĩ trước khi quyết định vì chính Microsoft trước đây đã thừa nhận có vấn đề với mô-đun Advanced Threat Protection khi cho phép các URL độc hại qua mặt giải pháp bảo vệ mail.

Với Office 365, việc thiết kế và thực thi nền tảng cũng được tuân thủ theo nguyên tắc bảo mật trên Cloud. Mã hóa dữ liệu cũng là một trong những ưu tiên hàng đầu của giải pháp này. Nền tảng đã được trang bị với nhiều lớp công nghệ mã hóa nhắm bảo vệ tất cả các thể loại dữ liệu – dù trong khi di chuyên hay khi được lưu trữ.

 

2. Compliance – Khả năng tuân thủ

Office 365 có hơn 900 tính năng quản lý được xây dựng sẵn theo khung tuân thủ (compliance framework) của hãng. Điều này cho phép nền tảng của Microsoft luôn đáp ứng được sự thay đổi và cập nhật thường xuyên tiêu chuẩn trong các ngành, lĩnh vực khác nhau. Microsoft cũng có một đội ngũ chuyên gia về lĩnh vực này để thường xuyên theo sát các tiêu chuẩn, nguyên tắc quản lý, từ đó phát triển các công cụ quản lý nhằm đưa vào bộ sản phẩm.

 

Dưới đây là một số chứng chỉ mà Office 365 đã đạt được:

  • ISO 27001, 27018
  • SSAE16 (Statement on Standards for Attestation Engagements 16): Đây là một tiêu chuẩn kiểm toán đối với các doanh nghiệp cung cấp dịch vụ. Nguyên tắc này được AICPA tạo ra nhằm tái định nghĩa và cập nhật thông tin về cách các doanh nghiệp dịch vụ báo cáo về việc quản lý và tuân thủ.
  • SOC1 Type II & SOC2 Type II
  • FISMA (Federal Information Security Management Act): Đạo luật Quản lý Bảo mật Thông tin Liên bang
  • HIPAA
  • EU Data Protection Directive and GDPR
  • User Access & Administration

 

Trong Office 365, tính năng quản lý người dùng được xây dựng ở tất cả các phần. Khi dùng Office 365, admin có toàn quyền quản lý: xem xét và thiết lập các chính sách bảo mật cho các ứng dụng, xoay quanh việc chia sẻ nội dung hay chia sẻ đối với bên ngoài. Điều này cho phép admin tự thiết lập các chính sách về cơ sở hạ tầng nhằm đáp ứng các yêu cầu bảo mật đặc biệt của riêng doanh nghiệp.

Office 365 cũng mang đến nhiều lựa chọn trong lĩnh vực này. Nếu admin dành thời gian để thiết lập các kiểm soát bảo mật một cách chính xác và truyền đạt thông tin này đến các thành viên trong công ty (một cách hiệu quả), hiệu suất và tinh thần cộng tác trên Cloud của doanh nghiệp sẽ được duy trì bảo mật hơn bao giờ hết.

 

3. Security Logs – Nhật kí bảo mật

Trong Office 365, có một số quyền kiểm soát cho phép xóa đi nhật kí hoạt động (activity log). Khả năng xóa nhật kí hoạt động được cho là hữu ích bởi nó cho phép người dùng xóa đi những dữ liệu không cần thiết, từ đó việc tìm kiếm, điều tra và giám sát các hoạt động sẽ hiệu quả hơn.

Mặc dù chỉ những tài khoản có đặc quyền mới làm được điều này, nhưng doanh nghiệp cũng cần cân nhắc kĩ lưỡng bởi tính năng này có thể tạo ra một lỗ hổng bảo mật, cho phép những thành viên nội bộ “xóa dấu vết” của mình.  

 

4. Automatic Update – Cập nhật tự động

Các cập nhật trong Office 365 đã từng gây rất nhiều phiền toáii và khó chịu cho người dùng. Chưa kể đến việc: nếu sử dụng các phần mềm trên desktop, họ sẽ phải cài đặt chúng và dễ gặp nhiều rủi ro an ninh trong quá trình hệ thống cập nhật sửa lỗi. Mặc dù vậy, từ khi được tích hợp với nền tảng điện toán đám mây, Office 365 giờ đây đã vận hành trơn tru hơn và giúp cho hệ thống của người dùng được bảo vệ thường xuyên.

 

5. Anti-spam & Virus Protection – Khả năng chống spam và bảo vệ khỏi virut

Trước đây, sản phẩm của Microsoft chỉ được cài đặt bản ghi SPF (Sender Policy Framework), giúp ngăn chặn kẻ gửi tin rác gửi tin nhắn giả mạo từ địa chỉ tên miền của bạn. Sau đó, hệ thống email của Microsoft cũng đã được hoàn thiện hơn và bổ sung thêm các bản ghi DKIM, DMARC giống như Gmail của Google.

 

Kết luận

Từ những thông tin so sánh bên trên, có thể nhận thấy cả G Suite và Office 365 đều sở hữu cơ sở hạ tầng với nhiều lớp bảo mật chắc chắn, được thiết kế theo chiến lược đặc biệt nhằm bảo vệ mọi người dùng trong doanh nghiệp. Với thế mạnh hơn hẳn về bảo mật so với các giải pháp email hay lưu trữ giá rẻ khác, chúng ta có thể hiểu tại sao không chỉ trên thế giới mà ngay chính các doanh nghiệp Việt Nam cũng đang nhanh chóng chuyển đổi sang hai nền tảng của Google và Microsoft. Dựa trên yêu cầu công việc và đặc điểm hoạt động của riêng mình, doanh nghiệp có thể lựa chọn một trong hai giải pháp.

Bảo mật là một phần, để quyết định lựa chọn nền tảng nào cho doanh nghiệp thì vẫn yêu cầu admin phải có sự hiểu biết giữa G Suite và Office 365.  Bạn có thể tham khảo phần Email doanh nghiệp: So sánh G Suite và Office 365 để đưa ra quyết định phù hợp nhất. 

Cập nhật: Gimasys