5 กลยุทธ์การรักษาความมั่นคงปลอดภัยบน Cloud จากบริษัทที่ปรึกษามืออาชีพระดับสากล

บริษัทที่ปรึกษารายใหญ่ด้านเทคโนโลยีในทวีปยุโรปและอเมริกาเหนือใช้บริการ Cloud สำหรับแอปพลิเคชันแล้วเกือบทั้งหมด ถ้าดูตามแนวโน้มการใช้ Cloud ของบริษัทเหล่านั้นเริ่มย้าย On-premise ขึ้นสู่ Cloud กว่า 10 ปีแล้ว เช่น พวกอีเมล หรือ CRM เป็นต้น เพื่อการขยายธุรกิจอย่างคล่องตัวและลดค่าใช้จ่าย ในบทความที่เลือกมาเรียบเรียงนี้จะพูดถึงประสบการณ์ของที่ปรึกษาระดับมืออาชีพว่ามีกลยุทธ์ตั้งแต่การเลือกผู้ให้บริการ Cloud ไปจนถึงนโยบายการรักษาความปลอดภัย

Credit: ShutterStock.com

1.การให้บริการได้ต่อเนื่อง (DR และ Bussiness Continuity)

  • ที่ปรึกษาด้าน Cloud มืออาชัพมักพิถีพิถันในการตรวจสอบหนังสือสัญญาและข้อตกลงร่วมในการให้บริการ (SLA) สิ่งหนึ่งที่ต้องทำคือบทลงโทษหรือบทปรับหากไม่สามารถให้บริการได้ตามที่ตกลงไว้ อีกเรื่องคือต้องคุยความต้องการให้ตรงกัน เช่น ปกติแล้วเราจะรู้ว่าในองค์กรระบบ DR มีความสามารถอย่างไรแต่ในผู้ให้บริการ Cloud อาจจะไม่ทราบความสามารถของตัวเองดังนั้นจงทดสอบระบบ DR ให้ดีเสียก่อนที่จะเลือกใช้บริการใดๆ
  • แม้ว่า SLA จะเขียนการให้บริการไว้ครอบคลุมกับภาพรวมแล้ว แต่เหตุการณ์การให้บริการไม่ได้เพียงเล็กน้อย เช่น ไฟฟ้าดับช่วงสั้นๆ ในระหว่างวัน อาจจะแย่กว่าการใช้ไม่ได้เลยทั้งวันก็เป็นได้เพราะเราอาจจะไม่ทันสังเกตุเห็นความผิดปกติ ไม่มีแจ้งเตือนเกิดขึ้นแต่อีเมลอาจจะส่งไม่ออก รวมถึงบริการระดับแอปพลิเคชันอาจจะเกิดการผิดพลาด โดยเฉพาะการใช้ PaaS หรือ SaaS ต้องพิจราณาให้ดี บางครั้งน้อยแต่บ่อยอาจะแย่กว่านานเพียงครั้งเดียว

2.การบริหารจัดการ

ลูกค้าที่ดูแลอาจจะมีที่ปรึกษาและนักพัฒนาได้หลายส่วนซึ่งหลายคนต้องการเข้าถึงได้อย่างกว้างๆ บ้างก็ต้องการสิทธิ์ควบคุมส่วนของตนอย่างเต็มที่ ดังนั้นที่ปรึกษาที่มีความเชี่ยวชาญจึงใช้การกำหนดสิทธิ์การเข้าถึง (Role-based access) เพื่อให้แน่ใจว่าทุกคนได้ตามที่ต้องการและมีสิทธิ์ที่จำเป็นอย่างเหมาะสม อีกทั้งมักมีการเลือกใช้ Multi-factor authentication (MFA) ก่อนในตอนเริ่มต้นเซสชันหลังจากนั้นก็มี Single Sign-on เพื่อความสะดวกในการทำงาน

3.การเลือกเครื่องมือสืบสวนและติดตามด้านความมั่นคงปลอดภัย

  • IaaS ผู้ให้บริการในระดับนี้มักจะมีการจำลองความสามารถในระดับเครือข่าย เช่น มีการทำ Packet Capture และนำไปวิเคราะห์
  • PaaS ผู้ให้บริการส่วนใหญ่มักจะมีการให้รายละเอียดเกี่ยวกับ Audit Log ของการล็อกอินผู้ใช้ รวมถึงวัตถุประสงค์ของการใช้งาน

นอกจากนี้ผู้ให้บริการ IaaS รายใหญ่อาจจะมีการแจ้งเตือนพฤติกรรมที่สุ่มเสี่ยง เช่น โปรแกรมเมอร์ทิ้ง Credential สำหรับพิสูจน์ตัวตนไว้ในที่เก็บโค้ดที่เข้าถึงได้แบบสาธารณะ

4.หากต้องเจอกับสภาพแวดล้อมลูกค้าที่มี Cloud หลายเจ้า

ผู้ให้บริการ Cloud บางเจ้าอาจจะมีส่วนติดตามหรือมาตรวัดประสิทธิภาพในบริการที่หลากหลายของตน บริษัทที่ปรึกษาจะต้องเรียนรู้เพื่อจัดระเบียบและติดตามไว้ให้ได้ภายในบริการเดียว ซึ่งต้องเข้าใจถึงความแตกต่างกันในการทำงานด้วย นอกจากนี้ต้องเรียนรู้ความเข้าใจในหน้าตาการใช้งานเมื่อมีการอัปเดตด้วยเพราะผู้ให้บริการ Cloud ส่วนใหญ่อาจจะเปลี่ยนแปลงหน้าตาการใช้งานหรือเพิ่มฟีเจอร์ใหม่เข้ามา เป็นไปได้ที่ผู้ให้บริการรายเดียวกันอาจมีการจัดการด้านความมั่นคงปลอดภัยของแต่ละแอปพลิเคชันและสภาพแวดล้อมที่ไม่เหมือนกัน นั่นอาจจะทำให้เกิดความผิดพลาดและความซับซ้อนด้านความมั่นคงปลอดภัย ยิ่งถ้าลูกค้ามีผู้ให้บริการ Cloud หลายเจ้ายิ่งหนักขึ้นไปอีก อย่างไรก็ตามบริษัทที่ปรึกษารายใหญ่เองก็ยังขาดความรู้ในการใช้ประโยชน์จากเครื่องมือจัดการด้านความปลอดภัยของผู้ให้บริการ Cloud เนื่องจากไม่มีเวลาเรียนรู้มากนักซึ่งยังไงก็สมควรจัดคนไปเรียน

5.กฏระเบียบข้อบังคับระดับองค์กร

ถ้าพูดถึง Cloud ความท้าทายหลักก็คือเรื่องกฏระเบียบข้อบังคับนี่เอง ผู้ให้บริการ Cloud มักจะอ้างว่าตัวเองมีใบรับรองต่างๆ ซึ่งอันที่จริงแล้วมันไม่ได้ครอบคลุมไปเสียหมด ดังนั้นบริษัทต้องจัดการกับปัจจัยความเสี่ยงอื่นๆ และกฎระเบียบข้อบังคับระดับองค์กรที่ต้องการ คนที่ไม่ใช่สายเทคนิคมักจะคิดว่าผู้ให้บริการ Cloud เรามีใบรับรองแล้ว จบแล้วหล่ะ ใช้เถอะไม่ต้องห่วงนั่นเป็นอะไรที่ผิดมากๆ

ที่มา : https://f5.com/labs/articles/cisotociso/trends/global-consultancy-overcomes-cloud-security-risks


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ