Microsoft Azure by Ingram Micro (Thailand)

5 กลยุทธ์การรักษาความมั่นคงปลอดภัยบน Cloud จากบริษัทที่ปรึกษามืออาชีพระดับสากล

บริษัทที่ปรึกษารายใหญ่ด้านเทคโนโลยีในทวีปยุโรปและอเมริกาเหนือใช้บริการ Cloud สำหรับแอปพลิเคชันแล้วเกือบทั้งหมด ถ้าดูตามแนวโน้มการใช้ Cloud ของบริษัทเหล่านั้นเริ่มย้าย On-premise ขึ้นสู่ Cloud กว่า 10 ปีแล้ว เช่น พวกอีเมล หรือ CRM เป็นต้น เพื่อการขยายธุรกิจอย่างคล่องตัวและลดค่าใช้จ่าย ในบทความที่เลือกมาเรียบเรียงนี้จะพูดถึงประสบการณ์ของที่ปรึกษาระดับมืออาชีพว่ามีกลยุทธ์ตั้งแต่การเลือกผู้ให้บริการ Cloud ไปจนถึงนโยบายการรักษาความปลอดภัย

Credit: ShutterStock.com

1.การให้บริการได้ต่อเนื่อง (DR และ Bussiness Continuity)

  • ที่ปรึกษาด้าน Cloud มืออาชัพมักพิถีพิถันในการตรวจสอบหนังสือสัญญาและข้อตกลงร่วมในการให้บริการ (SLA) สิ่งหนึ่งที่ต้องทำคือบทลงโทษหรือบทปรับหากไม่สามารถให้บริการได้ตามที่ตกลงไว้ อีกเรื่องคือต้องคุยความต้องการให้ตรงกัน เช่น ปกติแล้วเราจะรู้ว่าในองค์กรระบบ DR มีความสามารถอย่างไรแต่ในผู้ให้บริการ Cloud อาจจะไม่ทราบความสามารถของตัวเองดังนั้นจงทดสอบระบบ DR ให้ดีเสียก่อนที่จะเลือกใช้บริการใดๆ
  • แม้ว่า SLA จะเขียนการให้บริการไว้ครอบคลุมกับภาพรวมแล้ว แต่เหตุการณ์การให้บริการไม่ได้เพียงเล็กน้อย เช่น ไฟฟ้าดับช่วงสั้นๆ ในระหว่างวัน อาจจะแย่กว่าการใช้ไม่ได้เลยทั้งวันก็เป็นได้เพราะเราอาจจะไม่ทันสังเกตุเห็นความผิดปกติ ไม่มีแจ้งเตือนเกิดขึ้นแต่อีเมลอาจจะส่งไม่ออก รวมถึงบริการระดับแอปพลิเคชันอาจจะเกิดการผิดพลาด โดยเฉพาะการใช้ PaaS หรือ SaaS ต้องพิจราณาให้ดี บางครั้งน้อยแต่บ่อยอาจะแย่กว่านานเพียงครั้งเดียว

2.การบริหารจัดการ

ลูกค้าที่ดูแลอาจจะมีที่ปรึกษาและนักพัฒนาได้หลายส่วนซึ่งหลายคนต้องการเข้าถึงได้อย่างกว้างๆ บ้างก็ต้องการสิทธิ์ควบคุมส่วนของตนอย่างเต็มที่ ดังนั้นที่ปรึกษาที่มีความเชี่ยวชาญจึงใช้การกำหนดสิทธิ์การเข้าถึง (Role-based access) เพื่อให้แน่ใจว่าทุกคนได้ตามที่ต้องการและมีสิทธิ์ที่จำเป็นอย่างเหมาะสม อีกทั้งมักมีการเลือกใช้ Multi-factor authentication (MFA) ก่อนในตอนเริ่มต้นเซสชันหลังจากนั้นก็มี Single Sign-on เพื่อความสะดวกในการทำงาน

3.การเลือกเครื่องมือสืบสวนและติดตามด้านความมั่นคงปลอดภัย

  • IaaS ผู้ให้บริการในระดับนี้มักจะมีการจำลองความสามารถในระดับเครือข่าย เช่น มีการทำ Packet Capture และนำไปวิเคราะห์
  • PaaS ผู้ให้บริการส่วนใหญ่มักจะมีการให้รายละเอียดเกี่ยวกับ Audit Log ของการล็อกอินผู้ใช้ รวมถึงวัตถุประสงค์ของการใช้งาน

นอกจากนี้ผู้ให้บริการ IaaS รายใหญ่อาจจะมีการแจ้งเตือนพฤติกรรมที่สุ่มเสี่ยง เช่น โปรแกรมเมอร์ทิ้ง Credential สำหรับพิสูจน์ตัวตนไว้ในที่เก็บโค้ดที่เข้าถึงได้แบบสาธารณะ

4.หากต้องเจอกับสภาพแวดล้อมลูกค้าที่มี Cloud หลายเจ้า

ผู้ให้บริการ Cloud บางเจ้าอาจจะมีส่วนติดตามหรือมาตรวัดประสิทธิภาพในบริการที่หลากหลายของตน บริษัทที่ปรึกษาจะต้องเรียนรู้เพื่อจัดระเบียบและติดตามไว้ให้ได้ภายในบริการเดียว ซึ่งต้องเข้าใจถึงความแตกต่างกันในการทำงานด้วย นอกจากนี้ต้องเรียนรู้ความเข้าใจในหน้าตาการใช้งานเมื่อมีการอัปเดตด้วยเพราะผู้ให้บริการ Cloud ส่วนใหญ่อาจจะเปลี่ยนแปลงหน้าตาการใช้งานหรือเพิ่มฟีเจอร์ใหม่เข้ามา เป็นไปได้ที่ผู้ให้บริการรายเดียวกันอาจมีการจัดการด้านความมั่นคงปลอดภัยของแต่ละแอปพลิเคชันและสภาพแวดล้อมที่ไม่เหมือนกัน นั่นอาจจะทำให้เกิดความผิดพลาดและความซับซ้อนด้านความมั่นคงปลอดภัย ยิ่งถ้าลูกค้ามีผู้ให้บริการ Cloud หลายเจ้ายิ่งหนักขึ้นไปอีก อย่างไรก็ตามบริษัทที่ปรึกษารายใหญ่เองก็ยังขาดความรู้ในการใช้ประโยชน์จากเครื่องมือจัดการด้านความปลอดภัยของผู้ให้บริการ Cloud เนื่องจากไม่มีเวลาเรียนรู้มากนักซึ่งยังไงก็สมควรจัดคนไปเรียน

5.กฏระเบียบข้อบังคับระดับองค์กร

ถ้าพูดถึง Cloud ความท้าทายหลักก็คือเรื่องกฏระเบียบข้อบังคับนี่เอง ผู้ให้บริการ Cloud มักจะอ้างว่าตัวเองมีใบรับรองต่างๆ ซึ่งอันที่จริงแล้วมันไม่ได้ครอบคลุมไปเสียหมด ดังนั้นบริษัทต้องจัดการกับปัจจัยความเสี่ยงอื่นๆ และกฎระเบียบข้อบังคับระดับองค์กรที่ต้องการ คนที่ไม่ใช่สายเทคนิคมักจะคิดว่าผู้ให้บริการ Cloud เรามีใบรับรองแล้ว จบแล้วหล่ะ ใช้เถอะไม่ต้องห่วงนั่นเป็นอะไรที่ผิดมากๆ

ที่มา : https://f5.com/labs/articles/cisotociso/trends/global-consultancy-overcomes-cloud-security-risks

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย

NVIDIA เปิดตัว Blackwell B200 GPU และ GB200 Superchip

NVIDIA ประกาศเปิดตัว Blackwell B200 GPU และ GB200 Superchip ชิปประมวลผล AI รุ่นใหม่