Liệu bảo mật đám mây và hiệu suất cơ sở dữ liệu có mãi mãi xung đột với nhau không?

Để dữ liệu có thể hỗ trợ một doanh nghiệp hoặc một quy trình, dữ liệu đó cần phải có thể truy cập ngay lập tức. Do đó, không có gì ngạc nhiên khi các nhà cung cấp, nhà phân tích và kỹ sư dành nhiều thời gian để tối ưu hóa hiệu suất cơ sở dữ liệu. Nhiều đến mức khái niệm về hiệu suất thường làm lu mờ vấn đề bảo mật dữ liệu quan trọng không kém, nếu không muốn nói là quan trọng hơn.

Trong những năm đầu của công nghệ cơ sở dữ liệu, nút thắt chính là phần cứng, khiến khả năng truy cập và bảo mật không tương thích với nhau vì về cơ bản chúng cạnh tranh nhau để giành cùng một nguồn tài nguyên điện toán hạn chế.

Bây giờ, với các nguồn tài nguyên điện toán gần như vô hạn, thì tốc độ hoạt động của các tổ chức đã trở thành vấn đề lớn hơn nhiều. Một hoạt động như tạo cơ sở dữ liệu mới — có thể dễ dàng mất nhiều tháng trên thế giới phần cứng tại chỗ — giờ đây chỉ mất vài phút. Trong thế giới DevOps hiện đại với hàng trăm và hàng nghìn bản phát hành sản phẩm được tung ra hàng tháng, các nhóm kỹ thuật tạo ra cơ sở hạ tầng mới trước khi các nhóm bảo mật có thể phản ứng.

Và đây là lý do tại sao rõ ràng là kiến ​​trúc được tối ưu hóa hoàn toàn cho hiệu suất cũng được tối ưu hóa cho các tác nhân đe dọa. Đã nhiều thập kỷ trôi qua kể từ khi tiết lộ này, nhưng việc không đưa yếu tố bảo mật vào thiết kế và cung cấp tài nguyên cơ sở dữ liệu vẫn tiếp tục là một vấn đề phổ biến.

Thêm vào cuộc giằng co liên tục giữa hiệu suất và bảo mật là một khái niệm khác cũng quan trọng không kém về chi phí. Thông thường, chính thẩm phán thầm lặng sẽ quyết định cân bằng được thiết lập ở đâu. Thông thường, cân bằng đó không được thiết lập theo hướng có lợi cho bảo mật.

Khả năng bảo mật cơ sở dữ liệu

Trong thế giới cơ sở dữ liệu tại chỗ truyền thống, vấn đề bảo mật về mặt khái niệm đã được thu gọn lại thành kỹ thuật tài nguyên phù hợp. Các khả năng bảo mật cơ sở dữ liệu như giám sát và kiểm toán yêu cầu tài nguyên hệ thống và càng cho phép nhiều tài nguyên thì hiệu suất càng tốt.

Bản thân các máy chủ cơ sở dữ liệu được vận hành trong phạm vi của một tổ chức, cho phép kiểm soát truy cập chặt chẽ hơn nhiều và khả năng hiển thị xung quanh việc sử dụng — chỉ những người dùng đáng tin cậy mới có thể truy cập vào cơ sở hạ tầng mà cơ sở dữ liệu chạy trên đó. Bên cạnh đó, các ứng dụng sản xuất được kết nối rất chặt chẽ với các cơ sở dữ liệu, thường không có ai ngoại trừ một số ít quản trị viên được phép truy cập trực tiếp vào các cơ sở dữ liệu đó.

Điều đó không có nghĩa là vi phạm dữ liệu không xảy ra. Chắc chắn là có, nhưng chúng không hề gần với mức độ của vấn đề mà chúng ta đang gặp phải ngày nay.

Người ta có thể tự hỏi một cách chính đáng rằng, liệu đám mây, với tất cả các khả năng kỹ thuật tài nguyên nhanh nhẹn và cơ sở hạ tầng dưới dạng mã (IaC), có giúp bảo mật cơ sở dữ liệu dễ dàng hơn không? Ở một mức độ nào đó, nó đã làm được: Quản lý và bảo mật dữ liệu trên đám mây chưa bao giờ rẻ hơn. Nhưng cũng chưa bao giờ khó hơn thế.

Bảo mật dữ liệu trong kỷ nguyên đám mây

Hãy tưởng tượng sự tăng trưởng theo cấp số nhân về độ phức tạp của việc bảo mật lớp dữ liệu hiện đại. Thay vì một vài loại cơ sở dữ liệu tại chỗ được cung cấp cẩn thận, một tổ chức điển hình ngày nay sử dụng vô số cơ sở dữ liệu, kho dữ liệu và đường ống phân phối trên nhiều đám mây.

Thêm vào đó là mô hình DevOps cung cấp động mọi loại cơ sở dữ liệu theo yêu cầu, thường là cho từng dịch vụ vi mô, với rất ít biện pháp kiểm soát linh hoạt để quản lý quyền truy cập vào chúng một cách phù hợp.

Tuy nhiên, không phải tất cả đều là bi quan và u ám. Hãy lấy một trong những ví dụ tốt nhất về nơi mà đám mây và IaC rõ ràng giúp bảo mật cơ sở dữ liệu : khái niệm quản lý bản vá tự động. Thực hành này, đã trở nên phổ biến, đang giúp các tổ chức tiết kiệm hàng nghìn giờ lao động và chắc chắn là hàng triệu giờ nữa về chi phí vi phạm tiềm ẩn. Đây có thể là một trong những lý do khiến nhiều chuyên gia CNTT tin rằng đám mây công cộng vượt trội hơn các trung tâm dữ liệu của họ khi nói đến bảo mật — nó có thể giúp dễ dàng tránh các lỗi cơ bản của con người như không cài đặt các bản vá mới nhất.

Tuy nhiên, vẫn còn tồn tại một vấn đề nan giải cơ bản về bảo mật dữ liệu trên đám mây: Việc triển khai bất kỳ biện pháp kiểm soát nào để giám sát việc truy cập cơ sở dữ liệu vẫn có nghĩa là bạn đang đi theo con đường nhạy cảm về hiệu suất.

Một yêu cầu đọc đơn giản yêu cầu cơ sở dữ liệu thực hiện các tác vụ như phân tích cú pháp, tối ưu hóa truy vấn, thực hiện kế hoạch và lấy kết quả từ phương tiện vật lý. Đặt một điểm kiểm soát trước đường dẫn đó và bạn chắc chắn sẽ làm chậm các quy trình còn lại trong chuỗi.

Một số nỗ lực ít thành công hơn trong việc tăng cường bảo mật bao gồm việc đưa các tác nhân vào trực tiếp cơ sở hạ tầng, chạy phân tích nền tảng về mọi hoạt động với hy vọng phát hiện các truy cập trái phép hoặc bất kỳ hoạt động đáng ngờ nào.

Tuy nhiên, mỗi micro giây liên quan đến các cuộc kiểm tra này có nghĩa là làm chậm các ứng dụng, từ đó ảnh hưởng đến trải nghiệm của người dùng và cuối cùng là hiệu suất kinh doanh chung. Ví dụ, không cần một nhân viên ngân hàng để nhận ra rằng, khi nói đến việc cấp khoản vay, có một sự khác biệt lớn giữa việc có được thông tin quan trọng của khách hàng trong vài giây so với hàng giờ.

Bỏ qua những lo ngại về hiệu suất trong khi tăng cường bảo mật

Có những cách tiếp cận khác trong việc bảo mật dữ liệu may mắn đã được chứng minh là hiệu quả hơn. Ví dụ, hãy lấy phân tích không đồng bộ, trong đó giả định rằng yêu cầu đọc trái phép có thể tiếp cận lớp dữ liệu, miễn là kết quả có thể bị chặn. Với cách tiếp cận này, các yêu cầu đọc đến lớp dữ liệu được chuyển mà không có bất kỳ sự chậm trễ nào, trong khi lớp dữ liệu đang xử lý chúng song song để xác định xem các kết quả tương ứng có nên được phép hay bị chặn không.

Tất nhiên, để cung cấp công nghệ này, bạn cũng cần sử dụng một số dạng proxy không trạng thái để chuyển toàn bộ việc quản lý trạng thái phiên sang các kết nối lớp dữ liệu. Proxy không trạng thái như vậy sẽ chặn mọi loại yêu cầu dữ liệu và thông qua phân tích không đồng bộ, cung cấp kết quả gần như không ảnh hưởng đến hiệu suất.

Bên cạnh những cải tiến kỹ thuật, một số cách tiếp cận mới để bảo mật dữ liệu đám mây tập trung vào cách thức — các quy trình và thực hành cụ thể liên quan đến việc cung cấp bảo mật cho dữ liệu. Không có gì bí mật khi bảo mật dữ liệu đã phát triển từ đặc quyền của một nhóm bảo mật thành trách nhiệm chung. Ví dụ, kỹ thuật mang gánh nặng lớn hơn nhiều, vì cơ sở hạ tầng dữ liệu được mở rộng và kích hoạt ngay lập tức thông qua mã mà họ viết.

Ngày nay, nhiều nhóm kỹ thuật áp dụng DevOps, ví dụ, phát hành mã mới với tần suất hàng nghìn bản phát hành mỗi năm. Với tốc độ cao như vậy, việc đảm bảo các tiêu chuẩn bảo mật dữ liệu cao đòi hỏi các hoạt động như Bảo mật dưới dạng Mã, triển khai các chính sách kiểm tra và quét bảo mật và truy cập trực tiếp vào đường ống tích hợp và triển khai liên tục (CI/CD). Mỗi lần kiểm tra này cho phép các nhóm kỹ thuật hiểu và khắc phục các sự cố bảo mật sớm hơn nhiều trong quá trình phát triển. Do đó, các mối quan ngại về bảo mật được giải quyết ngay lập tức, tránh được sự chậm trễ tốn kém tiềm ẩn và việc làm lại vào cuối quá trình phát triển.

Những cách tiếp cận mới này, mặc dù vẫn còn trong giai đoạn đầu áp dụng, nhưng có lý do để lạc quan. Trên thực tế, những người lạc quan hơn trong số chúng ta thậm chí có thể nói rằng, cuối cùng, cuộc chiến dai dẳng không hồi kết giữa hiệu suất cơ sở dữ liệu và bảo mật có thể là vấn đề của quá khứ.