เข้าถึงแอพพลิเคชันขององค์กรอย่างมั่นคงปลอดภัยด้วย Akamai Enterprise Application Access

โลกกำลังมุ่งเข้าสู่ยุค Digital Economy ซึ่งมีการนำเทคโนโลยีและนวัตกรรมใหม่ๆ เข้ามาสนับสนุนการดำเนินงานเชิงธุรกิจมากยิ่งขึ้น หลายองค์กรเริ่มเปิดให้พนักงานสามารถเข้าถึงแอพพลิเคชันและทรัพยากรต่างๆ จากภายนอกองค์กร เพื่อเพิ่มความคล่องตัวในการทำงานนอกสถานที่ เทคนิคสำคัญที่ช่วยให้พนักงานเชื่อมต่อกับองค์กรได้อย่างมั่นคงปลอดภัยคงหนีไม่พ้น Virtual Private Network (VPN)

VPN ทั่วไปสร้างช่องโหว่บน Firewall นำไปสู่การโจมตีแบบ Outside-in

ระบบ VPN ในปัจจุบันไม่ได้ให้บริการเฉพาะพนักงานขององค์กรอีกต่อไป หลายองค์กรเริ่มเปิดให้บุคคลที่สาม เช่น Contractors, Partners, Suppliers รวมไปถึงลูกค้า เข้าถึงแอพพลิเคชันและทรัพยากรต่างๆ ไม่ว่าจะอยู่บน Data Center, Public Cloud หรือ Private Cloud ผ่าน VPN ด้วยเช่นกัน ก่อให้เกิดความเสี่ยงมากยิ่งขึ้นเนื่องจาก “เราจะมั่นใจได้อย่างไรว่า บุคคลภายนอกเหล่านั้นเชื่อถือได้ และไม่ทำอันตรายต่อระบบของเรา”

ถึงแม้ว่า VPN จะเป็นช่องทางที่มั่นคงปลอดภัยที่สุดเมื่อต้องเชื่อมต่อกับระบบขององค์กรจากเครือข่ายภายนอก จุดประสงค์หลักของ VPN คือการป้องกันการถูกดักฟังเท่านั้น การเชื่อมต่อผ่าน VPN ยังคงต้องอาศัย “ความเชื่อถือ” ของผู้ใช้เป็นสำคัญ นอกจากนี้ VPN ยังสร้างช่องโหว่แก่ Firewall นั่นคือการเปิดช่อง (โดยปกติคือพอร์ต 443) เพื่อให้บุคคลภายนอกสามารถเข้าถึงระบบภายในขององค์กรได้ ไม่เว้นแม้แต่ผู้ไม่ประสงค์ดีหรือแฮ็คเกอร์ด้วยเช่นกัน ที่แย่กว่านั้นคือ บุคคลที่สาม เช่น Contractors, Partners, Suppliers รวมไปถึงลูกค้าอาจกลายเป็นผู้ร้ายเสียเอง เมื่อพวกเขาผ่าน VPN เข้ามาในระบบภายในองค์กรได้แล้ว ย่อมอาจดำเนินกิจกรรมที่ไม่พึงประสงค์ได้เช่นกัน

คำถามคือ เมื่อ VPN อาจนำไปสู่การโจมตีแบบ Outside-in แล้วเราจะมีวิธีเข้าถึงแอพพลิเคชันในองค์กรอย่างมั่นคงปลอดภัยได้อย่างไร?

ปิดการเชื่อมต่อขาเข้าทั้งหมดด้วย Enterprise Application Access

Akamai ผู้ให้บริการเครือข่าย CDN และ Cloud Security ชั้นนำของโลก เล็งเห็นถึงช่องโหว่ของระบบ VPN จึงได้นำเสนอวิธีการเข้าถึงแอพพลิเคชันภายใน Data Center หรือระบบ Cloud อย่างมั่นคงปลอดภัยและไม่สร้างช่องโหว่แก่ Firewall เรียกว่า Enterprise Application Access (EAA)

EAA เป็นบริการ Cloud DMZ ที่ใช้แนวคิดต่างจาก VPN โดยสิ้นเชิง กล่าวคือ แทนที่จะให้พนักงานและบุคคลภายนอกเชื่อมต่อกับแอพพลิเคชันขององค์กรโดยตรง ซึ่งจำเป็นต้องเปิดช่องทางจากอินเทอร์เน็ตเข้าสู่ระบบเครือข่ายภายใน ก็ให้เสมือนนำแอพพลิเคชันออกมาไว้ที่ Cloud DMZ และให้พนักงานขององค์กรรวมไปถึงบุคคลภายนอกเข้าถึงแอพพลิเคชันดังกล่าวบน Cloud DMZ แทน วิธีนี้ช่วยอุดช่องโหว่ขาเข้าของ Firewall และซ่อนแอพพลิเคชันจริงจากการเข้าถึงผ่านทางอินเทอร์เน็ต ซึ่งอาจนำอันตรายมาสู่ระบบเครือข่ายขององค์กรได้ ที่สำคัญคือ EAA มาพร้อมกับระบบรักษาความมั่นคงปลอดภัยสำหรับควบคุมการเข้าถึงแอพพลิเคชัน ไม่ว่าจะเป็น Data-path Protection, Identity Access, Multi-factor Authenication, Application Security และ Management Visibility & Control

สถาปัตยกรรมของ Enterprise Application Access

EAA เป็นโซลูชันบนระบบ Cloud ซึ่งไม่จำเป็นต้องติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ใดๆ เพิ่มเติม มีองค์ประกอบหลัก 3 รายการ คือ

  • EAA Edge: ให้บริการเส้นทางการเชื่อมต่อและรับส่งข้อมูลระหว่างผู้ใช้และแอพพลิเคชัน รวมไปถึงความมั่นคงปลอดภัยของข้อมูล และการปรับแต่งประสิทธิภาพในการเข้าถึงแอพพลิเคชันให้ถึงขีดสุด
  • EAA Management Cloud: ให้บริการการบริหารจัดการ กำหนดสิทธิ์และนโยบาย ติดตาม เก็บ Log และจัดทำรายงานการเข้าถึงแอพพลิเคชัน
  • Connector: Virtual Appliance/Docker ที่ติดตั้งอยู่ด้านหลัง Firewall ทำหน้าที่สร้างเซสชัน TLS ไปยังแอพพลิเคชันและ EAA บนระบบ Cloud จากเครือข่ายภายใน เพื่อเชื่อมแอพพลิเคชันและผู้ใช้เข้าด้วยกัน Connector มีคุณสมบัติเด่น ดังนี้
    • ทำหน้าที่เป็น Proxy สำหรับเว็บแอพพลิเคชัน
    • แปลงเซสชัน RDP และ SSH ให้อยู่ในรูปของ HTML5 เพื่อแสดงผลบนเว็บเบราเซอร์
    • ทำหน้าที่เป็น Load Balance สำหรับจัดสรรทรัพยากรและเซสชันในการเชื่อมต่อแอพพลิเคชัน
    • ทำ LZ-based Compression และ TCP Optimization เพื่อเร่งความเร็วในการเข้าถึงแอพพลิเคชัน
    • เก็บข้อมูลเชิงสถิติของการบริหารจัดการและประสิทธิภาพในการใช้งาน

หลักการทำงานของ EAA

เมื่อเริ่มติดตั้งระบบ EAA ครั้งแรก Connector จะเชื่อมต่อตัวเองกลับไปยัง EAA Management Cloud และแอพพลิเคชันภายใน โดยสร้างเซสชันเข้ารหัส TLS ระหว่างกัน จากนั้น Connector จะดึงการตั้งค่าและอัปเดตต่างๆ จาก EAA Management Cloud มาเพื่อให้พร้อมเชื่อมต่อผู้ใช้และแอพพลิเคชันเข้าด้วยกัน เซสชัน TLS นี้จะถูกใช้เป็นเส้นทางในการเข้าถึงแอพพลิเคชันจากภายนอก และจะมีการรีสตาร์ทเซสชันเรื่อยๆ เพื่อป้องกันการโจมตีแบบ Session Hijacking

เมื่อผู้ใช้พยายามเข้าถึงแอพพลิเคชันภายในขององค์กร เบราเซอร์ของผู้ใช้จะสร้างเซสชัน TLS ไปยัง EAA Edge ซึ่งทำหน้าที่ประสานเซสชัน TLS จากผู้ใช้เข้าด้วยกันกับเซสชัน TLS จาก Connector เกิดเป็นเซสชัน User-to-Connector ขึ้นสำหรับเป็น Proxy เชื่อมต่อระหว่างผู้ใช้จากเครือข่ายภายนอกกับแอพพลิเคชันภายในองค์กร นอกจากนี้ EAA Egge ยังทำหน้าที่พิสูจน์ตัวตนและกำหนดสิทธิ์ในการเข้าถึงแอพพลิเคชันของผู้ใช้กับ Directoiries และ Identity Services ต่างๆ เช่น AD, LDAP, SAML Indentity Providers, Open ID Connect หรือฐานข้อมูลผู้ใช้บน EAA เองอีกด้วย

จะเห็นว่าการทำงานของ Connector ช่วยปิดการเชื่อมต่อขาเข้าจากอินเทอร์เน็ต เนื่องจาก Connector จะเริ่มเซสชัน TLS จากภายในไปยัง EAA และไปยังแอพพลิเคชัน ส่งผลให้ Firewall ไม่จำเป็นต้องเปิดพอร์ตสำหรับ VPN จากอินเทอร์เน็ตเข้ามาอีกต่อไป เพียงแค่ปล่อยผ่านการเชื่อมต่อขาออกไปยัง EAA ผ่านพอร์ต 443 (TLS/SSL) ก็เพียงพอสำหรับการเตรียมการ นอกจากนี้ Connector ยังทำหน้าที่เป็น Proxy ทำให้มั่นใจได้ว่าผู้ใช้จะไม่สามารถติดต่อกับแอพพลิเคชันและระบบเครือข่ายภายในขององค์กรได้โดยตรง

สรุปจุดเด่นของ Enterprise Application Access เทียบกับการเชื่อมต่อแบบ VPN

Akamai EAA มีจุดเด่นที่เหนือว่า VPN ทั่วไป 3 ประการ คือ

1. ความสะดวกสบาย

  • บุคคลภายนอก เช่น Contractors, Partners, Suppliers รวมไปถึงลูกค้าสามารถเข้าถึงแอพพลิเคชันได้ผ่านทางเว็บเบราเซอร์บนทุกประเภทของอุปกรณ์ โดยไม่จำเป็นต้องติดตั้งซอฟต์แวร์หรือ Plug-in ใดๆ เพิ่มเติม
  • ตั้งค่าแอพพลิเคชันใหม่และกำหนดสิทธิ์ในการใช้งานได้ภายในไม่กี่นาที
  • ผสานรวมโซลูชัน ADC, WAN Optimization, VPN และ AAA เข้าด้วยกัน
  • ไม่จำเป็นต้องติดตั้งฮาร์ดแวร์หรือเปลี่ยนแปลงการตั้งค่าระบบเครือข่ายใดๆ

2. ความมั่นคงปลอดภัย

  • กักกันผู้ใช้จากอินเทอร์เน็ตให้อยู่แต่ภายนอกระบบเครือข่ายขององค์กร
  • อุดช่องโหว่ของ Firewall ที่ต้องอนุญาตการเชื่อมต่อเข้ามาจากภายนอก
  • ซ่อนแอพพลิเคชันไว้ภายในเครือข่ายไม่ให้สามารถเข้าถึงได้จากการใช้อินเทอร์เน็ตปกติ
  • เพิ่มการพิสูจน์ตัวตนแบบ 2-Factor Authentication ได้เพิ่งไม่กี่คลิก

3. ความสามารถในการติดตามการใช้งาน

  • สามารถตรวจประเมิน (Audit) และจัดทำรายงานพฤติกรรมการเข้าถึงแอพพลิเคชันของผู้ใช้ได้อย่างครอบคลุม
  • มีรูปแบบรายงานพร้อมให้ใช้งานอย่างหลากหลาย และสามารถผสานการทำรายงานเข้ากับระบบอื่นๆ ที่ใช้อยู่ได้ง่าย

Akamai ร่วมกับ WIT พร้อมให้บริการ Web Security ในประเทศไทย

Akamai ได้จับมือเป็นพันธมิตรร่วมกับ บริษัท เวิลด์ อินฟอร์เมชั่น เทคโนโลยี จำกัด (WIT) ผู้มีประสบการณ์ในการติดตั้งและวางระบบ IT Infrastructure มานานกว่า 27 ปี พร้อมด้วยทีมวิศวกรระบบที่มีความเชี่ยวชาญ เพื่อให้มั่นใจได้ว่า สามารถให้คำปรึกษาและส่งมอบบริการ Enterprise Application Access ให้แก่ผู้ใช้ในประเทศไทยได้อย่างมีประสิทธิภาพ ช่วยให้ผู้ใช้บริการคืนผลกำไรได้อย่างรวดเร็ว

จนถึงวันนี้ Akamai ได้ให้บริการ CDN และโซลูชันบนระบบ Cloud แก่องค์กรที่มีชื่อเสียงทั่วโลกมากกว่า 1,000 ราย เช่น Standard Chartered, Cathay Pacific, KKBOX, Adobe และ IBM ซึ่งในไทยเอง ด้วยความสนับสนุนจาก WIT ก็ได้ให้บริการแก่บริษัทชั้นนำทั่วประเทศมากกว่า 10 แห่ง ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติมได้ที่อีเมล marketing@wit.co.th หรือโทร 02-237-3555



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เปิดตัว Cisco WAP581 Access Point มาตรฐาน 802.11ac ใหม่ล่าสุดสำหรับ SMB

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชั้นนำของโลก ประกาศเปิดตัว Cisco WAP581 ซึ่งเป็น Access Point รุ่นใหม่ที่รองรับมาตรฐาน 802.11ac Wave 2 …

CovertBand Attack: แกะตำแหน่งของผู้ใช้จากลำโพงและไมโครโฟน

นักวิจัยจาก University of Washington ประสบความสำเร็จในการแกะตำแหน่งการเคลื่อนที่ของผู้ใช้โดยใช้ลำโพงและไมโครโฟนที่มากับอุปกรณ์คอมพิวเตอร์ สมาร์โฟน แท็บเล็ต รวมไปถึงอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ผ่านทางการส่งคลื่นเสียงความถี่สูงคล้ายคลื่นโซนาร์จากเสียงเพลงและวิดีโอ โดยเรียกการโจมตีนี้ว่า CovertBand