TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
การรักษาความมั่นคงปลอดภัยเป็นความท้าทายอย่างต่อเนื่องสำหรับองค์กรและด้วยพนักงานที่ในปัจจุบันมีการใช้งาน Device ที่หลากหลาย เข้าถึงข้อมูลขององค์กรความท้าทายจึงเพิ่มขึ้นเรื่อย ๆ รูปแบบการทำงานที่เปลี่ยนแปลงอย่างรวดเร็วและการใช้แอปพลิเคชัน SaaS ที่เพิ่มขึ้นจึงส่งผลให้โมเดล Zero Trust กลายเป็นรูปแบบการรักษาความมั่นคงปลอดภัยทางเลือกที่สำคัญที่สุดรูปแบบหนึ่งซึ่งเป็นแนวคิดทางสถาปัตยกรรมที่มุ่งรักษาความมั่นคงปลอดภัยและปกป้องข้อมูลของคุณ
VMware ทุ่มเทให้กับโมเดล Zero Trust สร้างสถาปัตยกรรมความมั่นคงปลอดภัยที่ทันสมัยที่จะสร้างความไว้วางใจบนพื้นฐานที่มั่นใจได้มากกว่ามาตรการรักษาความมั่นคงปลอดภัยแบบเดิม โดยประกอบไปด้วย 5 รูปแบบด้วยกัน
1. Device Trust
เป็น Device ที่สามารถเจาะจงได้ว่า Device นั้น มีคุณสมบัติ และมีความมั่นคงปลอดภัย ตามองค์ประกอบหลัก ๆ ดังนี้ ถือเป็น Device Trust
- Device Management
คือ Device ที่องค์กรสามารถบริหารจัดการผ่านระบบขององค์กรได้ เช่น Device ที่ได้ลงทะเบียน ผ่านระบบ UEM , MDM ก่อนเข้าใช้งานในองค์กร - Device Inventory
คือ Device ที่องค์กรมีการเก็บรายละเอียดต่าง ๆ เช่น การเก็บ Serial Number, EMEI เครื่องของ Device, ชื่อเครื่องนั้นๆ - Device Compliance
คือ Device ที่ผ่าน Policy ที่องค์กรกำหนดก่อนเข้าใช้ทรัพยากรขององค์กร เช่น Device ต้องไม่ทำ Root หรือ Jailbreak เครื่องมา ถึงจะเข้าใช้งานถึงทรัพยากรในองค์กรได้ - Device Authentication
คือ Device ที่จะเข้ามาใช้งานนั้น มีการลงทะเบียนเข้าใช้งานกับองค์กรแล้ว เช่น Device มีชื่ออยู่ใน White List ขององค์กรแล้ว
โดย Product ที่จะสามารถมารองรับ ในเรื่องของ Device Trust ได้จะมีดังนี้
- VMware Workspace ONE UEM
- Device Management
- Device Inventory
- Device Compliance
- VMware Unified Access Gateway
- Device Authentication
- VMware Carbon Black
- Device Security
2. User Trust
เป็น User ที่สามารถตรวจสอบและระบุตัวตนได้ว่ามีตัวตนอยู่ในระบบขององค์กรจริงๆและมีสิทธิ์เข้าถึง ข้อมูลขององค์กร ตรงตาม Policy ที่องค์กรกำหนด ประกอบไปด้วย เช่น การจะเข้าใช้งาน Intranet Web ต้องมี user และ Password อยู่บน AD ขององค์กรและถ้าเป็นการ Login จาก Public Network อาจจะต้องมีการ Authentication ด้วย OTP เพิ่มเติมเป็นต้น / หรือตัวอย่าง Website บาง Website ที่จะให้ Authentication ผ่าน เบอร์ มือถือ และส่ง Password เป็น OTP ให้สำหรับการ Login ครั้งเดียว
- Passwordless Authentication
คือ การพิสูจน์ตัวตนด้วยการไม่ป้อน Password ยกตัวอย่างเช่น การ Login เข้า แอปพลิเคชัน Line ผ่าน QR Code - Multi-factor Authentication
คือ การพิสูจน์ตัวตนการเข้าใช้งาน ได้ มากกว่า 1 วิธี ยกตัวอย่างเช่น การเข้าใช้งานโดยการกรอก User และ Password รวมทั้ง การรอรับ Message OTP เป็นการยืนยันตัวตนเข้าใช้งานระบบ หรือแอปพลิเคชันนั้น ๆ - Conditional Access
คือ User ที่จะเข้าใช้งานในระบบ หรือแอปพลิเคชันนั้น ๆ กำหนดให้มีเงื่อนไขตรงตามของ Policy ที่องค์กรกำหนด ยกตัวอย่างเช่น มี User และ Password อยู่บน AD ขององค์กร และทำการเข้าใช้งานโดย Login เข้าระบบได้ผ่าน IP Public ขององค์กรเท่านั้น เป็นต้น - Dynamic Risk Scoring
คือ การตรวจสอบพฤติกรรมการใช้งานของ User ว่ามี พฤติกรรมการใช้งาน ที่เข้าข่ายเป็นความเสี่ยง เป็นภัยคุกคาม หรือไม่ ยกตัวอย่างเช่น User ที่เข้าใช้งาน มีพฤติกรรมพยามเข้าใช้งานระบบที่ไม่ได้รับอนุญาต ระบบสามารถมอง และเรียนรู้ว่า เป็นพฤติกรรมของผู้ไม่หวังดี และปลอมแปลงมาเข้าใช้งาน เป็นต้น
โดย Product ที่จะสามารถมารองรับ ในเรื่องของ User Trust ได้จะมีดังนี้
- VMware Workspace ONE Access
- Passwordless Authentication
- Multi-factor Authentication
- Conditional Access
- VMware Workspace ONE Intelligence
- Conditional Access
- Dynamic Risk Scoring
3. Transport/Session Trust
เป็นการเข้าถึงทรัพยากรอย่างจำกัด โดยสร้างเงื่อนไข โดยการกำหนดสิทธิ์การเข้าถึงของผู้ใช้งาน หรือกำหนดการเข้าใช้แอปพลิเคชันนั้น ๆ ให้เป็นไปตามที่บริษัทฯ กำหนดเงื่อนไข และสิทธิ์ในการเข้าถึง ยกตัวอย่างเช่น กำหนดให้ User1 สามารถเข้าใช้งานได้ 1 ระบบ เช่น แอปพลิเคชัน HR โดยกำหนดการสร้างเงื่อนไขต่าง ๆ สามารถกำหนดให้เหมือน หรือ แตกต่างกันได้ หรือ สามารถกำหนดสิทธิ์เพิ่มเติมให้สามารถเข้าใช้งาน ยกตัวอย่างเช่น กำหนดให้ User2 เข้าใช้งานระบบ หรือ แอปพลิเคชัน HR และแอปพลิเคชันของ Sales ได้ด้วยเป็นต้น
Feature ของ Transport/Session Trust ประกอบไปด้วย
- Micro-segmentation
คือ การแบ่งประเภทของทราฟฟิกตามลักษณะของแอปพลิเคชันนั้น เช่น จำกัดจำนวน Session ในการเข้าถึงของ แอปพลิเคชัน ของทรัพย์กรที่กำหนด - Transport Encryption
คือ การเข้ารหัสข้อมูลระหว่างการส่งผ่านข้อมูลจากต้นทางไปยังปลายทาง เพื่อให้เกิดความมั่นคงปลอดภัยให้กับข้อมูลขององค์กร - Session Protection
คือ การป้องกัน Session ไม่ให้ Session loss ระหว่างการส่งข้อมูล
โดย Product ที่จะสามารถมารองรับ ในเรื่องของ Transport/Session Trust จะมีดังนี้
- VMware Unified Access Gateway and VMware Horizon 7
- Transport Encryption
- Session Protection
- VMware NSX-T Data Center
- Micro-segmentation
4. Application Trust
เป็นการพิสูจน์ตัวตนผู้ใช้งาน ด้วยการอนุญาตให้ลงชื่อเข้าใช้แอปพลิเคชันเพียงครั้งเดียวแต่ได้รับทั้งความมั่นคงปลอดภัยและสะดวกสำหรับการใช้งานได้มากยิ่งขึ้น ยกตัวอย่างเช่น การลงทะเบียนเข้าระบบ UEM หรือ MDM ด้วย User ที่อยู่บน AD และเมื่อ UEM หรือ MDM Deploy แอปพลิเคชันไปที่ Device แล้ว สามารถใช้งาน ระบบ หรือแอปพลิเคชันนั้นได้ โดยจะเป็นการใช้งานโดยเข้าถึงแบบ Single Sign-On ด้วย User ที่ ลงทะเบียนในระบบ UEM หรือ MDM
Feature ของ Application Trust ประกอบไปด้วย
- Single Sign-On
คือ การ Login ในครั้งแรกและสามารถ ใช้ User ที่ login แล้ว เข้าไปทำการ Authentication ที่ ระบบ หรือแอปพลิเคชันอื่นได้ - Isolation
คือ การกำหนดขอบเขตหรือแบ่งแยกในการเข้าถึงทรัพยากร ของ ระบบ หรือแอปพลิเคชันนั้นๆ - Any Device Access
คือ การเข้าถึงระบบ หรือแอปพลิเคชันได้หลาย Device / Platform ที่ตรงตามเงื่อนไขของการเข้าถึงแอปพลิเคชันที่กำหนดไว้
โดย Product ที่จะสามารถมารองรับ ในเรื่องของ Application Trust ได้จะมี
- VMware Horizon 7 and VMware Workspace ONE UEM
- Isolation
- Any Device Access
- VMware Workspace ONE Access
- Single Sign-On
- Any Device Access
5. Data Trust
เป็นการที่จะสร้างความมั่นใจ ให้กับข้อมูลขององค์กร การใช้งานข้อมูลต่าง ๆ มีความมั่นคงปลอดภัย จากภัยคุกคาม ต่าง ๆ ได้ ข้อมูลที่ใช้นั้น ใช้โดยคนที่มีสิทธิ์ใช้ ใช้ตามขอบเขตที่จะใช้งาน รวมถึงต้องมีวิธีป้องกันความมั่นคงปลอดภัยให้กับข้อมูลด้วย ยกตัวอย่างเช่น กำหนดสิทธิ์การเข้าใช้งานข้อมูล การเก็บข้อมูล การป้องกันข้อมูล โดยใช้ Data Encryption เข้ามาช่วยในการทำงาน
Feature ของ Data Trust ประกอบไปด้วย
- Protecting Data at Rest
คือ การป้องกันข้อมูล และสำหรับข้อมูลต้องมีความพร้อมใช้งานเสมอ การนำข้อมูลไปใช้งาน ต้องกำหนดสิทธิ์ เพื่อป้องกันข้อมูลด้วย - Integrity
คือ การนำข้อมูลไปใช้ และการจัดเก็บ สำหรับผู้ที่มีสิทธิ์ ใช้งานข้อมูลนั้น ๆ กำหนดการสิทธ์การใช้ข้อมูลได้ ถูกที่ และถูกคนที่จะนำไปใช้งาน - DLP (Data Loss Prevention)
คือ การป้องกันข้อมูลรั่วไหล การเก็บรักษา การเข้ารหัสข้อมูล ที่ช่วยป้องกันการั่วไหลของข้อมูล - Classification
คือ การกรองข้อมูลที่เข้ามา Access ในระบบ
โดย Product ที่จะสามารถมารองรับ ในเรื่องของ Data Trust ได้จะมี
- VMware Workspace ONE UEM
- DLP (Data Loss Prevention
- Integrity
- VMware Horizon 7
- Protecting Data at Rest
- DLP (Data Loss Prevention
- Integrity
- VMware NSX-T Data Center
- Classification
Logical Architecture of the VMware Zero Trust Solution
ในการทำ Dynamic Assessment ของข้อมูลที่ได้จากทั้ง 5 Pillars ข้างต้น เราจำเป็นต้องมีระบบตัดสินใจที่รวบรวมข้อมูลทั้งหมด และทำการประเมินและสร้าง Policy ที่ตอบสนองได้แบบ Real Time Component ที่เปรียบเสมือนส่วนกลางตัดสินใจก็คือ VMware Workspace ONE Intelligence ซึ่งทำหน้าที่หลัก ๆ 2 ส่วน คือ
- ส่วนที่ 1 Visibility Analytic คือ การวิเคราะห์ข้อมูลทั้งหมดใน “Zero Trust Architecture” และ
- ส่วนที่ 2 Automation Orchestration คือ การทำ Policy Automation ให้ตอบสนองกับ การประเมินความเสี่ยงของข้อมูลทุกส่วนที่วิ่งเข้ามาในระบบ และกำหนด Dynamic Policy ใหม่ลงไปไว้ที่ระบบต่าง ๆ อย่างเหมาะสม และ Real Time รวมไปถึงการมี Dashboard ที่แสดงสถานะของ User, Device, Threat ต่าง ๆ ในลักษณะ Real Time เพื่อให้เรามีภาพของระบบที่ชัดเจน และเห็นสถานะ และการเปลี่ยนแปลงเพื่อให้ Admin ผู้ดูแลระบบนั้น ทำการตัดสินใจ หรือ สร้าง Policy Rules ใหม่ ๆ ขึ้นมาได้อย่างรวดเร็วมากยิ่งขึ้น
สรุปภาพรวมของ Zero Trust แบบฉบับ Fusion Advantec Co.Ltd.
“Zero Trust” เป็นเรื่องราวของการออกแบบ และเป็นแนวคิด ในการสร้าง Architicture บนพื้นฐาน ที่เรียกว่า “Least Privilege Principle” เป็นการออกแบบ Solution ที่มีอยู่แล้ว หรือ หา Solution มาเพิ่มเติมเข้าไว้ด้วยกัน เพื่อให้การ Implement Zero Trust Achitecture ในองค์กร ใช้งานได้ดีมากยิ่งขึ้น
“Zero Trust” ไม่ใช่วิธีกาทำงานที่ทำครั้งเดียวจบ สมบูรณ์ ไร้ที่ติ แต่เป็นกระบวนการทำงานและเรียนรู้แบบ Dynamic Approach เป็นการอาศัยการเรียนรู้อยู่เสมอ และมีกระบวนการทำงานที่เปลี่ยนแปลงตลอดเวลา ซึ่งแนวคิดนี้ต้องอาศัย Platform ต่าง ๆ เข้าช่วยในการออกแบบ และการทำงานร่วมกับ “Zero Trust” จำเป็นต้องอาศัย Platform ที่น่าเชื่อถือ เช่น Product Workspace ONE และ Workspace ONE Intelligence ของ VMWare ที่ช่วยทำหน้าที่ Analysis Data ที่มาจากทั้ง Device, User, Network, Application และ Data เพื่อทำการประเมินความเสี่ยง และตัดสินใจในการประเมินความเสี่ยงต่าง ๆ รวมถึง การปรับด้าน Security Policy ให้เหมาะสมกับ Security Posture อย่าง Real Time
ในการ Implement “Zero Trust Architecture” นั้น จะเห็นได้ว่าจะต้องอาศัยความสามารถของระบบ หรือ Platform ต่าง ๆ ใน Ecosystem เดียวกันเพื่อทำงานด้วยกันอย่างราบรื่น Workspace ONE Platform นอกเหนือจากจะสามารถทำงาน Integrated เข้าด้วยกัน ไม่ว่าจะเป็น Workspace ONE UEM, VMWare Carbon Black, Horizon, UAG, NSX-T, Velocloud และ Intelligent แล้ว Workspace ONE Platform ยังสามารถ Integrated กับ Third Party Solution อื่น ๆ ได้ด้วย ไม่ว่าจะเป็น End Point Security, Mobile Threat Defense, CASB หรือ Cloud Security Provider ต่าง ๆ ที่อยู่ในตลาดปัจจุบันด้วย Workspace ONE Platform มี API ที่สามารถรองรับการทำ Integration ได้อย่างสะดวก และรวดเร็ว
ในส่วนของการ Implementation ทีมงานจาก Fusion Advantec มีผู้เชี่ยวชาญในระบบ หรือ Workspace ONE Platform และด้าน Security ที่พร้อมจะให้คำปรีกษาในการออกแบบ และ Implement “Zero Trust Architecture” ให้กับองค์กรของท่าน
ท่านสามารถติดต่อได้ที่ คุณสุทธินันท์ พรศริริกุล
Tel. 081-923-3660
Email: suttinun@fusion.co.th
เนื้อหาเพิ่มเติม สำหรับ Implementing Zero Trust with VMware Workspace: https://youtu.be/JaiK3iWsb-w
สุดท้ายนี้ การ Implement “Zero Trust Architecture” ไม่ใช้แค่การนำ Product ที่มีมา Intergreted กันแล้ว จะถือว่าสำเร็จ จบสมบูรณ์ แต่ต้องคำนึงถึง User Experience ในการใช้งานด้วยว่าเป็นอย่างไรและต้องสร้างความเข้าใจและกระบวนการทำงานในองค์กรให้เหมาะสมสอดคล้องเพื่อรองรับแนวคิดในที่นี้รวมทั้งต้องสนับสนุนให้ธุรกิจท่านสามารถก้าวไปข้างหน้าได้อย่างยั้งยืนด้วย
