TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เมื่อเทคโนโลยีระบบ IT ได้กลายเป็นหัวใจหลักของการทำธุรกิจในยุค Digital Disruption และการทำ Smart City การปกป้องระบบ IT เหล่านั้นให้มั่นคงปลอดภัยไม่ถูกโจมตีเจาะขโมยข้อมูลหรือทำลายระบบนั้นก็ถือเป็นเรื่องสำคัญ ในขณะที่การปกป้องระบบเครือข่ายที่ให้บริการเชื่อมต่อสำหรับระบบ IT เหล่านั้นก็กลายเป็นอีกประเด็นที่ไม่อาจมองข้ามไปได้ Alcatel-Lucent Enterprise นั้นมี Security Framework เบื้องต้นสำหรับใช้ในการปกป้องอุปกรณ์เครือข่ายจากการถูกโจมตีเบื้องต้น 10 แนวทาง ดังนี้
1. การยืนยันตัวตนและจัดเก็บข้อมูล Log ในการเข้าถึงอุปกรณ์เครือข่าย
โดยทั่วไปแล้ว Swicth มักจะมีความสามารถเพื่อปกป้องตนเองอย่างเช่นการ Login และการควบคุมให้การเข้าถึงระบบบริหารจัดการอุปกรณ์สามารถเข้าถึงได้จากเฉพาะบาง Interface เท่านั้น ซึ่งการจัดการระบบเหล่านี้ให้ปลอดภัยนั้น ฐานข้อมูลของผู้มีสิทธิ์บริหารจัดการอุปกรณ์เหล่านี้ก็ควรถูกจัดเก็บอยู่ภายนอกบน RADIUS Server หรือ LDAP Server และทำการจัดเก็บ Log การเข้าถึงอุปกรณ์เหล่านี้เอาไว้ภายนอกด้วย ส่วนการเข้าถึงโดยการยืนยันตัวตนกับ Local Database นั้นควรอนุญาตให้ทำเฉพาะผ่านทาง Console Port เพื่อใช้เป็นช่องทางสำรองในการเข้าไปแก้ไขปัญหาต่างๆ เท่านั้น
2. การปกป้อง Management Plane ของระบบเครือข่าย
Management Protocol ต่างๆ นั้นจะต้องถูกปกป้องให้มั่นคงปลอดภัย ดังนี้
- ปิด Protocol ที่ไม่ปลอดภัยอย่างเช่น Telnet, FTP/TFPT, SNMP ให้เรียบร้อย
- SSHv2 ควรถูกใช้งานร่วมกับกุญแจเข้ารหัสที่มีขนาดใหญ่เกินกว่า 2048 Bit
- ใช้ HTTPS สำหรับ RESTful API และ WebServices โดยต้องมีการตั้งค่า X.509 Certificate ให้เรียบร้อย
- ควรใช้ SNMPv3 โดยมีการยืนยันตัวตนและการปกป้องข้อมูลในการเชื่อมต่อกับระบบ IT Monitoring
- ควรทำการเข้ารหัสข้อมูลทุกครั้งที่มีการเชื่อมต่อกับ RADIUS, LDAP และ Syslog Server ภายนอก
3. การกรองการโจมตีแบบ Denial-of-Service (DoS) เบื้องต้น
เปิดใช้งานความสามารถในการทำ DoS บนอุปกรณ์ Switch ให้พร้อม ตัวอย่างเช่น Alcatel-Lucent Enterprise (ALE) OmniSwitch นั้นก็มีความสามารถในการคัดกรองการโจมตี DoS เบื้องต้นได้ เพื่อปกป้องผู้ใช้งานและอุปกรณ์ต่างๆ ที่เชื่อมต่อยู่ภายในเครือข่ายนั่นเอง
4. การทำ OS Hardening ให้กับอุปกรณ์เครือข่าย
การที่อุปกรณ์ Switch นั้นจะทำงานได้อย่างปลอดภัย องค์กรจะต้องมั่นใจว่า Firmware ของระบบนั้นไม่ได้ถูกปลอมแปลงแก้ไขหรือแทรกโค้ดใดๆ เข้ามา รวมถึงไม่ได้มีช่องโหว่ใดๆ ที่ถูกโจมตีได้อย่างง่ายดาย ALE OmniSwitch นี้ถูกเสริมความมั่นคงปลอดภัยด้วย CodeGuardian ที่ทำการตรวจสอบตั้งแต่ระดับของ Source Code และ Firmware ที่อัปเดตทุกครั้งให้ผู้ใช้งานมั่นใจในความมั่นคงปลอดภัย รวมถึงยังมีการตรวจสอบ Interface ภายนอกอย่าง HTTPS, Login, NTP, CLI, IP Port, SNMP และ Data Packet เพื่อค้นหาช่องโหว่ด้วย ช่วยลดความเสี่ยงในการถูกวาง Backdoor, การฝัง Malware, การถูกโจมตีเจาะช่องโหว่ และการลักลอบเข้าถึงข้อมูลความลับต่างๆ ลงได้
5. การปกป้อง Data Plane ของระบบเครือข่ายด้วย MACSec
เพื่อให้มั่นใจว่าแม้แต่ภายในระบบเครือข่ายเองนั้น การดักฟังข้อมูลก็ไม่อาจเกิดขึ้นได้ การนำ MACSec หรือมาตรฐาน IEEE 802.1AE มาใช้เพื่อทำการยืนยันตัวตนและการเข้ารหัสกันระหว่างแต่ละอุปกรณ์นั้นก็เป็นแนวทางที่ดี และสามารถป้องกันการโจมตีแบบ Man-in-the-Middle, Sniffing, Spoofing, Playback ได้ โดยการใช้ MACSec นี้เป็นความสามารถที่ระดับของ Hardware ทำให้ประสิทธิภาพในการรับส่งข้อมูลในระบบเครือข่ายนั้นไม่ลดลงหรือช้าลงแต่อย่างใด
สำหรับการใช้งานใน Smart City ซึ่งมักจะมีจุดที่ต้องส่งข้อมูลภายนอกอาคารเป็นระยะทางไกล การใช้ MACSec นี้ก็จะช่วยป้องกันการดักฟังข้อมูลและการลักลอบโจมตีรูปแบบต่างๆ ได้
6. มั่นใจด้วยการตรวจสอบและคำรับรองจากสถาบันต่างๆ
การตรวจสอบว่าอุปกรณ์ Switch ที่ใช้งานนั้นได้ผ่านการรับรองใดมาบ้างก็สำคัญ ตัวอย่างเช่น ALE OmniSwitch เองก็ได้รับการรับรองต่างๆ อย่างเช่น Common Criteria, FIPS 140-2 และ JITC เป็นต้น โดย Common Criteria นั้นจะบ่งบอกถึงการทดสอบด้านความมั่นคงปลอดภัยของอุปกรณ์ในระดับต่างๆ ในขณะที่ FIPS 140-2 นั้นเป็นมาตรฐานว่าอุปกรณ์เครือข่ายนั้นๆ สามารถทำการเข้ารหัสตามที่กำหนดได้ และ JITC นั้นจะเป็นการทดสอบอุปกรณ์เครือข่ายว่าสามารถนำไปใช้ในการสงครามได้
7. การควบคุมสิทธิ์การเข้าถึงเครือข่าย
การเชื่อมต่ออุปกรณ์ใดๆ เข้ากับอุปกรณ์เครือข่ายนั้นจำเป็นจะต้องมีการยืนยันตัวตนเบื้องต้นเสมอ โดยแนวทางการยืนยันตัวตนเบื้องต้น 3 แนวทางหลักๆ มีดังนี้
- การยืนยันตัวตนด้วย 802.1X โดยใช้ EAP เพื่อยืนยันตัวตนร่วมกับ RADIUS Server
- การยืนยันตัวตนด้วย MAC Address ร่วมกับ RADIUS Server
- การยืนยันตัวตนด้วย Captive Portal ผ่านหน้าเว็บสำหรับผู้ใช้งานที่เป็น Guest หรืออุปกรณ์ BYOD แบบชั่วคราว
หลังจากผู้ใช้งานทำการยืนยันตัวตนแล้ว ระบบ Server สำหรับยืนยันตัวตนอาจส่ง User Network Profile (UNP) กลับมาเพื่อให้อุปกรณ์เครือข่ายกำหนดค่า VLAN หรือ Service สำหรับผู้ใช้งานหรืออุปกรณ์นั้นๆ ให้แตกต่างกัน รวมถึงกำหนดนโยบายทางด้าน Security หรือ QoS ด้วย
8. การแบ่งส่วนของเครือข่ายด้วยแนวคิด Segmentation
ระบบเครือข่ายนั้นควรจะต้องมีการควบคุมให้สามารถเชื่อมต่อหรือใช้งานได้เฉพาะเท่าที่จำเป็น เพื่อให้ในกรณีที่ระบบเครือข่ายถูกโจมตีขึ้นมา ความเสียหายจะได้ถูกจำกัดวงเอาไว้มากที่สุด และเกิดความเสียหายน้อยที่สุด
ตัวอย่างเช่น ในการทำระบบเครือข่ายสำหรับอุปกรณ์ IoT นั้น ก็ควรมีการแยก Segment สำหรับอุปกรณ์ IoT ทั้งหมดออกจากกัน โดยอาศัยแนวคิดการทำ MAC-in-MAC Tunnelling และการกำหนดค่า ISID Field ในขณะที่การสื่อสารออกไปยังส่วนที่นอกเหนือจากการทำ Segmentation นี้ก็จะต้องถูกควบคุมด้วย Firewall เสมอ
9. การตรวจจับและยับยั้งภัยคุกคามในระบบเครือข่าย
ถึงแม้การกำหนดค่าอุปกรณ์เครือข่ายให้มั่นคงปลอดภัยนั้นจะถือว่าช่วยลดความเสี่ยงได้ดี แต่ภัยคุกคามเองนั้นก็มีหลากหลายรูปแบบและอาจไม่ได้โจมตีที่ระบบเครือข่ายโดยตรง ดังนั้นการนำระบบ Intrusion Detection System หรือ IDS เข้ามาใช้นั้นก็จะช่วยเสริมความมั่นคงปลอดภัยได้อีกระดับ และหากอุปกรณ์เหล่านี้สามารถทำงานร่วมกับอุปกรณ์เครือข่ายเพื่อยับยั้งการเชื่อมต่อหรือโจมตีนั้นๆ ได้ก็จะดียิ่งขึ้นไปอีก
ALE OmniVista 2500 NMS สามารถทำการรับ Log จากอุปกรณ์ IDS เพื่อทำการปรับการตั้งค่าของอุปกรณ์ Switch และ Wireless Access Point เพื่อยับยั้งหรือจำกัดวงในการโจมตีได้ด้วยการตัดการเชื่อมต่อของผู้โจมตีหรือการย้าย VLAN หรือกำหนด ACL เพื่อให้ผู้ดูแลระบบสามารถทำการแก้ไขปัญหาหรืออัปเดต Patch อุดช่องโหว่ต่างๆ ที่ถูกใช้ในการโจมตีได้ทัน
10. ระบบวิเคราะห์ข้อมูลเพื่อตรวจสอบภัยคุกคามและแก้ไขปัญหา
สุดท้าย การนำข้อมูลที่เกิดขึ้นในระบบเครือข่ายทั้งหมดมารวบรวมและทำการวิเคราะห์เพื่อให้เข้าใจภาพรวม และตรวจสอบเหตุการณ์ด้านภัยคุกคามหรือปัญหาต่างๆ ที่เกิดขึ้นได้อย่างรวดเร็วแม่นยำ โดย ALE OmniVista 2500 สามารถทำการรวบรวมข้อมูลเหล่านี้ได้จาก ALE OmniSwitch ผ่านทาง SNMP และ SFlow รวมถึงสำหรับ Switch รุ่นที่รองรับการทำ Application Visibility ก็จะทำให้สามารถวิเคราะห์ข้อมูลได้ถึงระดับการตรวจสอบ Application ได้ด้วย
เกี่ยวกับ Alcatel Lucent Enterprise
ALE ช่วยให้คุณสามารถเชื่อมต่อกับชุมชนของคุณได้ด้วยการนำเสนอเทคโนโลยีที่ทำงานได้เป็นอย่างดี ทั้งสำหรับผู้คน, สาธารณชน และองค์กรของคุณ ด้วยการเป็นธุรกิจที่ครอบคลุมทั่วโลกและให้ความสำคัญกับความต้องการที่แตกต่างกันไปในแต่ละพื้นที่ เราได้นำเสนอระบบเครือข่ายและการสื่อสารที่มั่นคงปลอดภัยซึ่งออกแบบมาเพื่อให้นำไปใช้เพื่อให้บริการสื่อสารโต้ตอบภายในชุมชนโดยเฉพาะ ทำให้ประชาชนสามารถสื่อสารกันได้อย่างปลอดภัย และโต้ตอบกันได้ด้วยประสบการณ์ที่ดี ในขณะที่เจ้าหน้าที่ก็สามารถเชื่อมต่อและทำงานได้อย่างมีประสิทธิภาพ ให้บริการสาธารณะได้อย่างมั่นคง รวมถึงตัวแทนเจ้าหน้าที่ภาครัฐเองก็สามารถเชื่อมต่อเพื่อริเริ่มนวัตกรรมใหม่ๆ, สื่อสารทำงานระหว่างกันอย่างมีประสิทธิภาพ และควบคุมค่าใช้จ่ายได้เป็นอย่างดี เป้าหมายของเราคือการเชื่อมต่อทุกสิ่งอย่างเข้าด้วยกันเพื่อสร้างประสบการณ์การใช้งานเทคโนโลยีที่ลูกค้าของเราต้องการ ทั้งภายในที่ทำงาน, บน Cloud หรือทั้งสองแห่งรวมกัน เราสามารถนำเสนอระบบเครือข่ายและการสื่อสารที่ใช้งานได้จริงสำหรับบุคลากร, กระบวนการ และลูกค้าของคุณ
ด้วยนวัตกรรมและความทุ่มเทเพื่อให้ลูกค้าประสบความสำเร็จมาตั้งแต่อดีตนั้น ก็ได้ทำให้ ALE ภายใต้แบรนด์ Alcatel-Lucent Enterprise นี้กลายเป็นผู้ให้บริการหลักทางด้านระบบเครือข่าย, การสื่อสาร และบริการสำหรับองค์กรให้แก่ลูกค้าทั่วโลกกว่า 830,000 ราย ALE นั้นมีสาขากระจายอยู่ทั่วโลก และให้ความสำคัญกับทุกภูมิภาคด้วยพนักงานมากกว่า 2,200 คนและพันธมิตรมากกว่า 2,900 รายใน 50 ประเทศทั่วโลก ที่ผ่านมา ALE ประสบความสำเร็จได้จากการช่วยให้องค์กรของคุณสามารถทำ Digital Transformation ในรูปแบบที่เหมาะสมกับธุรกิจของคุณได้ ด้วยการผสานรวมระบบ, ติดตั้งระบบวิเคราะห์ข้อมูล และนำเทคโนโลยี Mobile และ Internet of Things เข้ามาช่วยสร้างนวัตกรรมโมเดลทางธุรกิจรูปแบบใหม่ ซึ่งจะกลายเป็นรากฐานที่สำคัญสำหรับนวัตกรรมที่จะมาต่อยอดในอนาคตเพิ่มเติม https://www.al-enterprise.com
