[Guest Post] ประเมินความปลอดภัยบริการคลาวด์ด้วย SOC

การประเมินความเสี่ยงของผู้ให้บริการคลาวด์ (Cloud Service Provider: CSP) เป็นวาระเร่งด่วนของทุกองค์กรที่จะหามาตรฐาน โมเดลหรือเฟรมเวิร์กที่มีประสิทธิผลในการลดความเสี่ยงที่มาจากการ outsource บริการก่อนที่จะเริ่มการซื้อขาย ซึ่งเป็นที่น่าเสียดายว่า มาตรฐานความปลอดภัยส่วนใหญ่ทั้งที่เกี่ยวข้องและไม่เกี่ยวข้องกับคลาวด์ เช่น ISO, CSA, PCI จะว่าด้วยเรื่องการควบคุมความเสี่ยงด้วยวิธีการต่างๆให้สอดคล้องกับธุรกิจของ CSP และออกใบรับรองมาให้ผู้ให้บริการเหล่านั้นแปะไว้ในเว็บไซต์ และแปะหน้า data center ต่างๆ รวมถึงเพื่อเอามาช่วยในการทำการตลาดโดยไม่ได้ลงรายละเอียดอะไรมากไปกว่าขอบเขตของระบบงานที่เกี่ยวข้อง ทำให้ผู้บริโภคที่คิดจะเลือกซื้อคลาวด์ที่มีระดับความปลอดภัยที่เหมาะสมกับองค์กรแบบจริงๆจังๆกลับไม่สามารถทราบถึงรายละเอียดอื่นๆของ CSP ที่อยู่ใต้ใบรับรองดังกล่าวได้มากนัก นอกจากการเสิร์ชผ่านเว็บ เรียกมาพรีเซนต์ หรือ ให้ทำแบบประเมินความเสี่ยง ซึ่งผลลัพธ์ส่วนใหญ่จะมาจากสกิลของผู้ถามและผู้ตอบมากกว่าการได้คำตอบที่เป็นมาตรฐานหรือได้ความจริงทั้ง 100%

Credit: ShutterStock.com
Credit: ShutterStock.com

 

จริงจังแค่ไหน แค่ไหนเรียกจริงจัง

SOC Report เป็นทางเลือกที่น่าสนใจสำหรับองค์กรที่สนใจเรื่องการบริการจัดการความปลอดภัยของ CSP แบบจริงๆจัง เช่น สถาบันการเงิน หน่วยงานความมั่นคงปลอดภัย หรือ ธุรกิจที่มีข้อมูลความสำคัญสูงที่จะต้องได้รับการปกป้องอย่างยิ่งยวด

SOC มาจากคำว่า Service Organization Control ซึ่งใช้แนวคิดแบบ Trusted Service Principle ซึ่งเขียนให้เข้าใจง่ายๆก็คือ “ประเด็นอะไรบ้างที่ผู้บริโภคได้อ่านแล้วรู้สึกว่าบริการนี้มันน่าเชื่อถือ” โดย SOC จะถูกจัดทำออกมาในรูปแบบของรายงาน (report) ที่ได้จากบุคคลที่สามเข้าไปตรวจสอบพร้อมกับข้อคิดเห็นในประเด็นต่างๆเกี่ยวกับการควบคุมที่ใช้ในธุรกิจที่มีรูปแบบเป็นการให้บริการ เช่น Managed Service, Cloud computing, Payroll services, ISP เป็นต้น และจัดได้ว่า SOC เป็น compliance ชนิดหนึ่ง

 

ใครบ้างที่ออก SOC ได้

บุคคลที่สามที่สามารถออก SOC report นี้ส่วนมากจะเป็นบริษัทที่ปรึกษาหรือบริษัทผู้ตรวจสอบบัญชีที่มีบริการในลักษณะนี้อยู่ และบริษัทจะต้องอยู่ใน AICPA (American Institute of CPAs, สถาบันผู้สอบบัญชีที่ได้รับอนุญาตแห่งอเมริกา) การออก SOC report จะต้องทำภายใต้ Compliance ชื่อ SSAE16[1] ของสหรัฐอเมริกา เพื่อแสดงถึงข้อผูกพันการรับรองว่าถูกต้องเป็นจริง จึงทำให้มั่นใจว่า SOC report ที่ได้รับนั้นมีความน่าเชื่อถือสูงสุดมากกว่าการให้ CSP ตอบคำถามก่อนซื้อของเราด้วยตนเอง

 

ประเภทของ SOC

  1. SOC1 report แสดงการควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย อันนี้ไม่ค่อยตรงใจคอไอทีเท่าไหร่ จึงขอละไว้
  2. SOC2 ตัวนี้เป็นพระเอกของจริงที่องค์กรจะต้องถามหาทุกครั้ง นั่นคือ SOC2 Report ซึ่งว่า ด้วยหลักการสร้างความน่าเชื่อถือโดยประเมินระบบสารสนเทศในด้าน Security, Availability, Processing Integrity, Confidentiality or Privacy โดยส่วนใหญ่แล้วจะต้องรับทราบถึงเงื่อนไขการใช้งาน (Term of use) ก่อนหรืออาจต้องทำสัญญารักษาความลับ (Non-disclosure Agreement) เนื่องจากข้อมูลมีรายละเอียดด้านเทคนิกเชิงลึกที่เกี่ยวข้องกับ CSP ค่อนข้างมาก
  3. SOC3 เหมือน SOC2 แต่ไม่ลงรายละเอียดมากนัก สามารถเผยแพร่แบบสาธราณะได้ เพื่อใช้ในการทำการตลาดเป็นหลัก

 

มีอะไรบ้างใน SOC2

  1. ขอบเขตของการตรวจประเมินว่า มีบริการอะไรบ้าง ตั้งอยู่ที่ใด เป็นบริการที่เกิดขึ้นระหว่างช่วงเวลาใดของปีใด และความคิดเห็นของผู้ตรวจประเมิน
  2. หลักความน่าเชื่อถือที่ถูกมาประยุกต์ใช้งานกับบริการ ลักษณะเหมือนกับ SOA (Statement of Applicable) ของ ISO27001 นอกจากนั้นยังมีผลการทดสอบและการตอบสนอง CSP ว่าจะแก้ไขปัญหาดังกล่าวให้อีกด้วย ซึ่งส่วนนี้ SOC3 ไม่มี เฉพาะส่วนนี้อาจจะมีรายละเอียดหลายร้อยข้อทีเดียว
  3. การอธิบายถึงภาพรวมของสถาปัตยกรรมของบริการที่อยู่ในขอบเขต การจัดเก็บข้อมูล ขั้นตอนการทำงาน บุคคลที่เกี่ยวข้อง รวมถึงการจัดการด้านความปลอดภัย

 

จากประสบการณ์ที่ผู้เขียนได้คัดเลือก CSP ในหลายสิบโครงการตลอดปีที่ผ่านมา ผู้เขียนขอแชร์สิ่งที่น่าสนใจเกี่ยวกับ SOC2 ดังนี้

  1. เนื่องจาก SOC2 ออกโดยบริษัทที่ปรึกษาที่อยู่ในอเมริกาเป็นส่วนใหญ่ หาก CSP ตั้งอยู่นอกอเมริกาในประเทศที่ไม่มีสาขาของบริษัทหรือไม่มีการให้บริการตรวจ SOC (เช่น สาขาในประเทศไทยเป็นต้น) คลาวด์นั้นๆก็จะไม่มี SOC2 report ให้ขอ
  2. SOC2 report เป็นรายงานระดับหนึ่งร้อยหน้าขึ้นไป หากคุณเรียกมาแข่งราคาหลายเจ้า คุณอาจต้องใช้เวลาทั้งสัปดาห์ในการอ่านมัน ดังนั้นหากสนใจเรื่องใด ให้ทางผู้เสนอราคาอ้างอิงกลับมาจะง่ายกว่า
  3. ไม่ต้องขอ SOC2 report จากทุก CSP หากระบบนั้นไม่ได้จัดเก็บข้อมูลสำคัญขององค์กร แต่อาจจะอนุมานได้ว่า ใครที่ทำ SOC2 report นั้นมีความใส่ใจเรื่องความปลอดภัยของข้อมูลและความพร้อมใช้งานมากกว่าคนที่ไม่ทำ (ความเห็นส่วนตัว)
  4. ตรวจสอบให้แน่ใจว่า บริการที่เราสนใจอยู่ในขอบเขตของ SOC2 report อย่าให้คนขายหลอกเราได้ และให้แน่ใจว่า สิ่งที่เราได้มีความทันสมัยไม่ได้เป็นรายงานเมื่อหลายปีที่แล้ว
  5. CSP เจ้าใหญ่ๆเช่น Azure, AWS, Google cloud ล้วนมี SOC2 report ทั้งสิ้น

 

นอกจาก SOC2 report แล้ว อย่าลืมพิจารณามาตรฐานหรือกรอบการทำงานอื่นๆที่ CSP นำมาใช้ด้วยนะครับ เช่น ISO, COBIT, PCI, CSA เพื่อช่วยให้ผู้บริหารมั่นใจพร้อมที่ใช้บริการของคลาวด์ได้อย่างเต็มที่

 

บทความโดย: Thanapon B., CISSP, ทำงานอยู่ในสถาบันการเงินขนาดใหญ่แห่งหนึ่ง

 

อ้างอิง

[1] http://www.ssae16.org


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ Unauthorized Access บน Cisco Aironet AP รุนแรงระดับ 9.8/10

Cisco ออก Security Advisory แจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนซอฟต์แวร์ของผลิตภัณฑ์ Cisco Aironet Access Point ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์พร้อมยกระดับสิทธิ์ในการเข้าถึงได้จากระยะไกลโดยไม่ได้รับอนุญาต ที่สำคัญคือไม่จำเป็นต้องพิสูจน์ตัวตนด้วย แนะนำให้ผู้ใช้ระบบ Wireless …

Jack Ma เผย แต่ละวัน Alibaba Group ถูกโจมตีมากถึง 300 ล้านครั้ง

ในงาน Forbes Global CEO Conference ในสิงคโปร์ Jack Ma ผู้ก่อตั้งแห่ง Alibaba Group ได้ออกมาเล่าถึงการที่ในแต่ละวัน Alibaba ต้องรับมือกับการโจมตีมากถึง 300 ล้านครั้ง แต่บริการหลักๆ นั้นก็ยังคงทำงานได้อย่างมั่นคงปลอดภัยอยู่