ADPT

Cloud Security Alliance แนะ 10 ข้อที่ต้องรู้ในการรักษาความมั่นคงปลอดภัยบนคลาวด์

องค์กรใดที่มีการใช้งานคลาวด์แล้ว เพียงแต่ยังไม่รู้ว่าควรจะเริ่มต้นเรื่อง Security จากส่วนไหนก่อน วันนี้ทาง Cloud Security Alliance (CSA) ได้แนะข้อปฏิบัติ 10 ข้อไว้ดังนี้

Credit: ShutterStock.com

1.) คลาวด์ของคุณเป็นประเภทใด

ก่อนที่เราจะเริ่มเรื่องสร้างความมั่นคงปลอดภัยให้แก่การใช้งาน คุณรู้หรือยังว่าคลาวด์ที่คุณใช้อยู่เป็นแบบไหน 

  • Public Cloud – Infrastructure ของคุณถูกให้บริหารจัดการโดย Third-party ผ่านอินเทอร์เน็ต โดยประโยชน์คือจ่ายตามจริง ลดค่าใช้จ่ายในการดูแล ทนทานเพราะโครงสร้างใหญ่ หากใครนึกไม่ออกคงไม่พูดถึง Google Cloud, AWS, Azure และ Alibaba เป็นต้น
  • Private Cloud – ทรัพย์สินทั้งหมดไม่ว่าจะเป็น ฮาร์ดแวร์ ซอฟต์แวร์ เป็นขององค์กรแต่เพียงผู้เดียว แม้อาจจะถูกโฮสต์ใน Third-party ได้ก็ตามที แต่การเข้าใช้ผ่านทางเครือข่ายส่วนตัว โดยเหมาะกับองค์กรที่กังวลเรื่องการแชร์ Infrastructure จะปรับแต่ง ดูแลยังไงก็สุดแท้แต่องค์กรนั้น
  • Hybrid Cloud –  มีการใช้งานผสมกันทั้ง Public และ Private โดยสามารถย้ายข้อมูลข้ามไปมากันได้ ซึ่งอาจจะให้แอปที่สำคัญอยู่ใน Private และส่วนอื่นๆ อยู่ใน Public Cloud ทั้งนี้อาจจะเป็นการเตรียมความพร้อมสู่คลาวด์เต็มตัว หรือยังสามารถรักษาความมั่นคงปลอดภัยในส่วนที่สำคัญจริง และรองรับการปรับขยายได้ตามใจ
  • As-a-Service – ระดับการให้บริการของคลาวด์ก็ไล่ขึ้นไปตั้งแต่ Infrastructure (IaaS), Platform (PaaS), Software (SaaS) และ Function (FaaS) 

2.) Share Responsibility Model

ลักษณะการใช้คลาวด์ของคุณจะเป็นตัวกำหนดกรอบของความรับผิดชอบในเรื่องของความมั่นคงปลอดภัยแต่ไม่ทั้งหมด นั่นหมายความว่าการใช้องค์ประกอบอื่นที่ทำให้ความมั่นคงปลอดภัยเป็นไปตาม Compliance เป็นเรื่องพึงกระทำเช่น TokenEx 

3.) รู้ว่าข้อมูลของคุณถูกเข้าถึงและเก็บอย่างไร

รายงานจาก McAfee ในปี 2019 พบว่าข้อมูลกว่า 21% บนคลาวด์เป็นข้อมูลละเอียดอ่อน ดังนั้นการตรวจสอบตัวเองอยู่สม่ำเสมอว่าข้อมูลในแต่ละคลาวด์มีสิทธิการเข้าถึงเป็นอย่างไรถือเป็นเรื่องจำเป็น เพื่อที่จะดำเนินการต่อไปว่าจะจำกัดหรือลบทิ้ง

4.) ใช้ผู้ให้บริการที่น่าเชื่อถือ

ผู้ใช้บริการที่มีการตรวจสอบได้และได้รับการรับรองแล้ว ย่อมน่าเชื่อถือว่าผู้ให้บริการที่ไม่มีสิ่งเหล่านี้ ดังนั้นการเลือกใช้ผู้ให้บริการไหน คุณก็ต้องพิจารณาด้วยว่าผ่านการรับรองตามมาตรฐานที่คุณสนใจแล้วหรือเปล่า

5.) ถามหาโซลูชันด้านความมั่นคงปลอดภัย

แม้ว่าผู้ให้บริการจะเก็บข้อมูลของคุณแล้ว แต่อย่าคิดว่าบริการเหล่านั้นปลอดภัย ดังนั้นศึกษาดูให้ดีว่าผู้ให้บริการหรือคลาวด์ของคุณมีทางเลือกด้านความมั่นคงปลอดภัยอะไรบ้าง ซึ่งแน่นอนว่าต่างคนก็มีข้อดีของตัวเอง ที่อาจจะเหมาะกับการใช้งานของคุณ แต่ทั้งนี้เป็นสิ่งที่ผู้ใช้ต้องศึกษาและใช้งานเป็น

6.) ปฏิบัติตามคำแนะนำ

การมีลิสต์ข้อปฏิบัติพื้นฐานทำให้คุณปฏิบัติตัวได้ถูกต้องว่าจะรักษาความมั่นคงปลอดภัยบนคลาวด์ได้อย่างไร หรือจะต้องเติมเต็มอะไรเพิ่ม การใช้งานโซลูชันอัตโนมัติที่บังคับให้ผู้ใช้งานไปในข้อปฏิบัติเดียวกัน ไม่ว่าจะเป็นฟีเจอร์จากผู้ให้บริการหรือที่ซื้อแยกมาเองก็เป็นเรื่องที่ควรจะมี

7.) ระวังเรื่องภัยคุกคามจากภายใน

บอกได้เลยว่าพนักงานภายในแหละตัวร้าย เนื่องจากหลายคนไม่ได้ตระหนักถึงเรื่องความมั่นคงปลอดภัยในการใช้งาน ประกอบกับบริการคลาวด์มักเล็ดลอดจากการใส่ใจของทีมไอทีก่อนนำมาใช้ ดังนั้นคุณต้องทราบให้ได้ว่าพนักงานไปเกี่ยวข้องกับการใช้งานอะไร และกำหนด Policy ต่อข้อมูลและชนิดของคลาวด์ให้เหมาะสม

8.) ให้ความรู้แก่พนักงาน

วิธีการป้องกันแฮ็กเกอร์ที่มีประสิทธิภาพวิธีหนึ่ง คือการจัดให้ความรู้แก่พนักงานบ่อยๆ ซึ่งเทคโนโลยีเปลี่ยนแปลงอยู่เสมอ จึงต้องอัปเดตความรู้กันอยู่เรื่อย ถึงมุขที่คนร้ายจะใช้ทำ Phishing ต่างๆ

9.) ลดจำนวนข้อมูลให้น้อยที่สุด

การเก็บข้อมูลมาเยอะๆ ก็มีความเสี่ยงซวย หากรักษาความมั่นคงปลอดภัยไว้ไม่ได้ทั้งกฏหมายบทปรับต่างๆ นอกจากนี้หากมีปริมาณข้อมูลน้อยลงค่าใช้จ่ายในการรักษาความมั่นคงปลอดภัยให้เป็นไปตาม Compliance ก็ลดลงด้วย

10.) ทำการ Audit และทดสอบเจาะระบบ

การทดสอบเจาะระบบเป็นแนวทางที่ดีที่จะทดสอบแนวป้องกันของคุณ โดยเบื้องต้นอาจจะ Audit ดูก่อนว่าการใช้งานเป็นอย่างไร สิ่งที่ใช้กันอยู่จัดการได้ดีพอไหม ยังอัปเดตสม่ำเสมอหรือไม่ แต่การหลบเลี่ยงด้วยการไม่ใช้ประโยชน์จากคลาวด์เพราะว่ากังวลเรื่องความมั่นคงปลอดภัย อาจทำให้คุณเสียโอกาสทางเทคโนโลยีที่เพิ่มประสิทธิภาพการทำงานมากขึ้น

ที่มา : https://cloudsecurityalliance.org/blog/2020/11/03/the-10-best-practices-in-cloud-data-security/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Akamai, Imperva ยืนหนึ่งบน Gartner Magic Quadrant ทางด้าน Web Application and API Protection ปี 2021

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application and API Protection ฉบับใหม่ปี 2021 ผลปรากฏว่า Akamai …

รู้จักกับ FIDO2 มาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทั่วโลกต่างเห็นตรงกันว่า Password เป็นการพิสูจน์ตัวตนที่ล้าสมัยและควรเก็บเข้ากรุได้แล้ว การดูแลรักษา Password เทียบกับประโยชน์ที่ได้จากการใช้งานในปัจจุบันห่างไกลจากความคุ้มค่ามากนัก และมักนำไปสู่เหตุ Credential Theft หรือถูกแฮ็กได้ ต่อให้เป็นรหัสผ่านที่แข็งแกร่งที่สุด ก็อาจตกเป็นเหยื่อของการถูก Phishing ได้เช่นกัน