Đâu đó trong một ngân hàng lớn, một nhóm kỹ sư vừa hoàn thành việc dịch hai triệu dòng COBOL sang Java — một quá trình di chuyển kéo dài mười bốn tháng, vượt qua mọi bộ kiểm thử và ra mắt đúng tiến độ, chỉ để nhóm bảo mật phát hiện trong tuần đầu tiên rằng số thẻ tín dụng, số An sinh xã hội và số dư tài khoản đang truyền qua các API endpoint, một pipeline Kafka và một data lake phân tích mà kiến trúc mainframe ban đầu chưa bao giờ để lộ — hoàn toàn không được bảo vệ.
Quá trình hiện đại hóa đã thành công, nhưng việc bảo vệ dữ liệu thì không, và tình huống này xảy ra thường xuyên hơn nhiều so với những gì hầu hết doanh nghiệp muốn thừa nhận.
Chi tiêu cho việc hiện đại hóa mainframe đang tăng tốc, nhưng cuộc trò chuyện vẫn tập trung chủ yếu vào dịch mã, cơ sở hạ tầng đám mây và giảm chi phí, trong khi bảo mật dữ liệu — yếu tố duy nhất quyết định liệu một dự án hiện đại hóa có tạo ra rủi ro hay loại bỏ nó — hiếm khi nhận được sự chú ý xứng đáng cho đến khi có sự cố xảy ra.
Vấn đề về vành đai mà hiện đại hóa tạo ra
Các mainframe cũ chưa bao giờ được thiết kế để bảo mật theo nghĩa hiện đại; chúng được thiết kế để không thể tiếp cận. Môi trường IBM z/OS dựa vào sự cô lập vật lý, kiểm soát truy cập RACF và sự mờ đục thuần túy của kiến trúc để bảo vệ dữ liệu nhạy cảm, và trong nhiều thập kỷ, dữ liệu vẫn nằm trong vành đai vì không có nơi nào khác để đi.
Hiện đại hóa thay đổi căn bản phương trình này, vì ngay khi một tổ chức chuyển nền tảng ứng dụng COBOL lên đám mây hoặc sao chép các bảng DB2 vào kho dữ liệu, dữ liệu nhạy cảm bắt đầu vượt qua các ranh giới tin cậy chưa từng tồn tại trước đây, và mỗi điểm tích hợp mới — dù là lệnh gọi API, một data pipeline hay một nền tảng phân tích downstream — đều trở thành bề mặt tấn công mà mô hình bảo mật ban đầu chưa bao giờ được xây dựng để bảo vệ.
Thách thức càng phức tạp hơn do tuổi đời của các hệ thống này — mã COBOL được kết nối chặt chẽ với logic nghiệp vụ mà không ai ghi lại đầy đủ, các nhà phát triển đã viết nó đang nghỉ hưu, và hầu như mọi doanh nghiệp chạy mainframe đều có chính sách giống nhau: không cài đặt agent, không sửa đổi mã sản xuất, không gây rủi ro làm gián đoạn các workload xử lý giao dịch quan trọng.
Tại sao chỉ dịch mã là chưa đủ
Các công cụ dịch mã hỗ trợ bởi AI đã đẩy nhanh quá trình di chuyển — những gì từng mất nhiều năm giờ có thể hoàn thành trong vài tháng — nhưng dịch COBOL sang Java hoặc Python không có nghĩa là dịch các kiểm soát bảo mật đã bảo vệ dữ liệu khi nó nằm trong mainframe. Trong một triển khai z/OS điển hình, mã hóa được xử lý ở cấp độ phần cứng thông qua các bộ xử lý mật mã chuyên dụng, kiểm soát truy cập được thực thi qua RACF hoặc ACF2, và dữ liệu không bao giờ rời đi mà không qua các quy trình batch được kiểm soát chặt chẽ.
Tuy nhiên, khi cùng dữ liệu đó chuyển sang môi trường cloud-native, mô hình bảo vệ thay đổi hoàn toàn: dữ liệu hiện được phân phối trên nhiều dịch vụ, khu vực và nhà cung cấp, và phạm vi tuân thủ theo PCI DSS, HIPAA và GDPR mở rộng sang mọi hệ thống chạm vào dữ liệu nhạy cảm sau khi rời khỏi z/OS. Nếu không có chiến lược bảo vệ dữ liệu được thiết kế trước khi quá trình di chuyển bắt đầu, các tổ chức sẽ nhận ra rằng họ không hiện đại hóa bảo mật của mình nhiều bằng việc di chuyển rủi ro của mình.
Bảo vệ dữ liệu mà không cần chạm vào mainframe
Các phương pháp thực tế nhất để bảo mật dữ liệu trong và sau khi hiện đại hóa hoạt động ở tầng mạng thay vì tầng ứng dụng, và sự phân biệt này quan trọng vì việc sửa đổi các ứng dụng COBOL cũ hiếm khi khả thi và việc cài đặt agent trên mainframe sản xuất gây ra rủi ro vận hành không thể chấp nhận được. Các giải pháp bảo vệ dữ liệu không cần agent chặn dữ liệu khi nó chảy giữa mainframe và các hệ thống downstream — token hóa, che dấu hoặc mã hóa các trường nhạy cảm theo thời gian thực mà không cần thay đổi mã mainframe, lược đồ cơ sở dữ liệu hay các quy trình làm việc hiện có — và các giải pháp nâng cấp và hiện đại hóa mainframe tốt nhất hiện nay tích hợp loại bảo mật inline này như một thành phần cốt lõi thay vì một bổ sung muộn màng.
Tokenization, đặc biệt, đã nổi lên như phương pháp được ưa chuộng cho các doanh nghiệp hoạt động trong môi trường mainframe. Các token bảo toàn định dạng duy trì cấu trúc dữ liệu mà các kiểm tra xác thực cũ mong đợi — chẳng hạn như xác minh Luhn cho số thẻ tín dụng — trong khi loại bỏ mối quan hệ toán học giữa token và giá trị gốc, có nghĩa là các token có thể chảy qua các pipeline đám mây, nền tảng phân tích và tích hợp bên thứ ba mà không để lộ dữ liệu nhạy cảm hoặc phá vỡ các hệ thống downstream phụ thuộc vào định dạng nhất quán.
Những gì doanh nghiệp nên đánh giá trước khi di chuyển
Các tổ chức lên kế hoạch chương trình hiện đại hóa mainframe nên đánh giá tình trạng bảo mật dữ liệu của mình trước khi workload đầu tiên được di chuyển — cụ thể là dữ liệu nhạy cảm nằm ở đâu trên các cơ sở dữ liệu mainframe và kho dữ liệu ứng dụng, những con đường di chuyển nào sẽ đưa dữ liệu đó đến các môi trường mới, và cách bảo vệ sẽ duy trì khi dữ liệu đến đám mây. Những doanh nghiệp thực hiện hiện đại hóa đúng cách sẽ coi bảo mật dữ liệu là một ràng buộc thiết kế ngay từ ngày đầu tiên, không phải là một ô kiểm tra tuân thủ được áp dụng muộn, trong khi những doanh nghiệp làm sai thường phát hiện ra — thường là quá muộn — rằng họ đã xây dựng một phiên bản nhanh hơn, rẻ hơn và dễ bị tấn công hơn so với những gì họ đã có.
