TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
องค์กรใดที่มีการใช้งานคลาวด์แล้ว เพียงแต่ยังไม่รู้ว่าควรจะเริ่มต้นเรื่อง Security จากส่วนไหนก่อน วันนี้ทาง Cloud Security Alliance (CSA) ได้แนะข้อปฏิบัติ 10 ข้อไว้ดังนี้
1.) คลาวด์ของคุณเป็นประเภทใด
ก่อนที่เราจะเริ่มเรื่องสร้างความมั่นคงปลอดภัยให้แก่การใช้งาน คุณรู้หรือยังว่าคลาวด์ที่คุณใช้อยู่เป็นแบบไหน
- Public Cloud – Infrastructure ของคุณถูกให้บริหารจัดการโดย Third-party ผ่านอินเทอร์เน็ต โดยประโยชน์คือจ่ายตามจริง ลดค่าใช้จ่ายในการดูแล ทนทานเพราะโครงสร้างใหญ่ หากใครนึกไม่ออกคงไม่พูดถึง Google Cloud, AWS, Azure และ Alibaba เป็นต้น
- Private Cloud – ทรัพย์สินทั้งหมดไม่ว่าจะเป็น ฮาร์ดแวร์ ซอฟต์แวร์ เป็นขององค์กรแต่เพียงผู้เดียว แม้อาจจะถูกโฮสต์ใน Third-party ได้ก็ตามที แต่การเข้าใช้ผ่านทางเครือข่ายส่วนตัว โดยเหมาะกับองค์กรที่กังวลเรื่องการแชร์ Infrastructure จะปรับแต่ง ดูแลยังไงก็สุดแท้แต่องค์กรนั้น
- Hybrid Cloud – มีการใช้งานผสมกันทั้ง Public และ Private โดยสามารถย้ายข้อมูลข้ามไปมากันได้ ซึ่งอาจจะให้แอปที่สำคัญอยู่ใน Private และส่วนอื่นๆ อยู่ใน Public Cloud ทั้งนี้อาจจะเป็นการเตรียมความพร้อมสู่คลาวด์เต็มตัว หรือยังสามารถรักษาความมั่นคงปลอดภัยในส่วนที่สำคัญจริง และรองรับการปรับขยายได้ตามใจ
- As-a-Service – ระดับการให้บริการของคลาวด์ก็ไล่ขึ้นไปตั้งแต่ Infrastructure (IaaS), Platform (PaaS), Software (SaaS) และ Function (FaaS)
2.) Share Responsibility Model
ลักษณะการใช้คลาวด์ของคุณจะเป็นตัวกำหนดกรอบของความรับผิดชอบในเรื่องของความมั่นคงปลอดภัยแต่ไม่ทั้งหมด นั่นหมายความว่าการใช้องค์ประกอบอื่นที่ทำให้ความมั่นคงปลอดภัยเป็นไปตาม Compliance เป็นเรื่องพึงกระทำเช่น TokenEx
3.) รู้ว่าข้อมูลของคุณถูกเข้าถึงและเก็บอย่างไร
รายงานจาก McAfee ในปี 2019 พบว่าข้อมูลกว่า 21% บนคลาวด์เป็นข้อมูลละเอียดอ่อน ดังนั้นการตรวจสอบตัวเองอยู่สม่ำเสมอว่าข้อมูลในแต่ละคลาวด์มีสิทธิการเข้าถึงเป็นอย่างไรถือเป็นเรื่องจำเป็น เพื่อที่จะดำเนินการต่อไปว่าจะจำกัดหรือลบทิ้ง
4.) ใช้ผู้ให้บริการที่น่าเชื่อถือ
ผู้ใช้บริการที่มีการตรวจสอบได้และได้รับการรับรองแล้ว ย่อมน่าเชื่อถือว่าผู้ให้บริการที่ไม่มีสิ่งเหล่านี้ ดังนั้นการเลือกใช้ผู้ให้บริการไหน คุณก็ต้องพิจารณาด้วยว่าผ่านการรับรองตามมาตรฐานที่คุณสนใจแล้วหรือเปล่า
5.) ถามหาโซลูชันด้านความมั่นคงปลอดภัย
แม้ว่าผู้ให้บริการจะเก็บข้อมูลของคุณแล้ว แต่อย่าคิดว่าบริการเหล่านั้นปลอดภัย ดังนั้นศึกษาดูให้ดีว่าผู้ให้บริการหรือคลาวด์ของคุณมีทางเลือกด้านความมั่นคงปลอดภัยอะไรบ้าง ซึ่งแน่นอนว่าต่างคนก็มีข้อดีของตัวเอง ที่อาจจะเหมาะกับการใช้งานของคุณ แต่ทั้งนี้เป็นสิ่งที่ผู้ใช้ต้องศึกษาและใช้งานเป็น
6.) ปฏิบัติตามคำแนะนำ
การมีลิสต์ข้อปฏิบัติพื้นฐานทำให้คุณปฏิบัติตัวได้ถูกต้องว่าจะรักษาความมั่นคงปลอดภัยบนคลาวด์ได้อย่างไร หรือจะต้องเติมเต็มอะไรเพิ่ม การใช้งานโซลูชันอัตโนมัติที่บังคับให้ผู้ใช้งานไปในข้อปฏิบัติเดียวกัน ไม่ว่าจะเป็นฟีเจอร์จากผู้ให้บริการหรือที่ซื้อแยกมาเองก็เป็นเรื่องที่ควรจะมี
7.) ระวังเรื่องภัยคุกคามจากภายใน
บอกได้เลยว่าพนักงานภายในแหละตัวร้าย เนื่องจากหลายคนไม่ได้ตระหนักถึงเรื่องความมั่นคงปลอดภัยในการใช้งาน ประกอบกับบริการคลาวด์มักเล็ดลอดจากการใส่ใจของทีมไอทีก่อนนำมาใช้ ดังนั้นคุณต้องทราบให้ได้ว่าพนักงานไปเกี่ยวข้องกับการใช้งานอะไร และกำหนด Policy ต่อข้อมูลและชนิดของคลาวด์ให้เหมาะสม
8.) ให้ความรู้แก่พนักงาน
วิธีการป้องกันแฮ็กเกอร์ที่มีประสิทธิภาพวิธีหนึ่ง คือการจัดให้ความรู้แก่พนักงานบ่อยๆ ซึ่งเทคโนโลยีเปลี่ยนแปลงอยู่เสมอ จึงต้องอัปเดตความรู้กันอยู่เรื่อย ถึงมุขที่คนร้ายจะใช้ทำ Phishing ต่างๆ
9.) ลดจำนวนข้อมูลให้น้อยที่สุด
การเก็บข้อมูลมาเยอะๆ ก็มีความเสี่ยงซวย หากรักษาความมั่นคงปลอดภัยไว้ไม่ได้ทั้งกฏหมายบทปรับต่างๆ นอกจากนี้หากมีปริมาณข้อมูลน้อยลงค่าใช้จ่ายในการรักษาความมั่นคงปลอดภัยให้เป็นไปตาม Compliance ก็ลดลงด้วย
10.) ทำการ Audit และทดสอบเจาะระบบ
การทดสอบเจาะระบบเป็นแนวทางที่ดีที่จะทดสอบแนวป้องกันของคุณ โดยเบื้องต้นอาจจะ Audit ดูก่อนว่าการใช้งานเป็นอย่างไร สิ่งที่ใช้กันอยู่จัดการได้ดีพอไหม ยังอัปเดตสม่ำเสมอหรือไม่ แต่การหลบเลี่ยงด้วยการไม่ใช้ประโยชน์จากคลาวด์เพราะว่ากังวลเรื่องความมั่นคงปลอดภัย อาจทำให้คุณเสียโอกาสทางเทคโนโลยีที่เพิ่มประสิทธิภาพการทำงานมากขึ้น
ที่มา : https://cloudsecurityalliance.org/blog/2020/11/03/the-10-best-practices-in-cloud-data-security/
