TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cloudflare ได้ประกาศเสริมความสามารถภายใต้ Cloudflare One ด้วยวิธีการเข้าซื้อกิจการ Bastion Zero เพื่อยกระดับการทำ Zero Trust Access ที่ระดับ Infrastructure
Cloudflare ได้เผยถึงมุมมองเกี่ยวกับ Application Access ว่ามักเกี่ยวกับการใช้งานแบบ Web-based และ Client Server ซึ่งเมื่อเสริม SSO(single sign-on) ร่วมกับ Identity Provider(IdPs) จะมอบทั้งความรวดเร็วและลดความเสี่ยงของการโจมตี
ในมุมของ Infrastructure โดยปกติยังไม่ค่อยเป็นที่น่าพอใจนัก เช่น
- ระบบ Linux/Unix การพิสูจน์ตัวตนใน SSH ต้องอาศัยคู่กุญแจที่ต้องนำส่งไปยังกลุ่มผู้ใช้ตัวจริงให้ได้ หากกุญแจรั่วออกไปก็จะเกิดหายนะได้
- ระบบ Windows การเข้าถึงผ่าน RDP รองรับการพิสูจน์ตัวตนหลายรูปแบบทั้ง Certificate และ รหัสผ่าน ที่โดนโจมตีด้วยการ Brute-force หรือ credential stuffing ได้
- ในขณะที่ Kubectl ก็มีความซับซ้อนในการตั้งค่ามากมาย เช่น หน้าที่ service account และไฟล์คอนฟิคควบคู่กับ Certificate ของผู้ใช้
ในปัจจุบัน Cloudflare One สามารถช่วยผู้ใช้ทำเรื่อง ZTNA ได้ระดับนึง ด้วยการกำหนด Policy ที่ตัวตน อุปกรณ์และเครือข่าย เช่น อนุญาตให้เฉพาะตัวตนที่เป็นของนักพัฒนาใน (IdPs) เข้าถึงพอร์ตบริการ SSH ในองค์กรได้เท่านั้น แต่ประเด็นคือทั้งหมดคือสมมติฐานการตั้งค่าปกติ ซึ่งในบางครั้งอาจมีท่าการใช้งานที่พิศดารเกิดขึ้นเช่น SSH ในพอร์ตอื่น นั่นหมายความว่าการป้องกันระดับเครือข่ายจะถูกลัดผ่านโดยปริยาย เหลือเพียงแค่การพิสูจน์ตัวตนของโปรโตคอลนั้นเพียงชั้นเดียว นั่นจึงย้อนกลับมาที่ความน่ากังวลแบบเดิม
จากความท้าทายข้างต้นหลายองค์กรจึงพยายามอุดช่องว่างด้วยการทำ bastion host หรือนำโซลูชัน Privileged Access Management (PAM) เข้ามาใช้เพื่อคิดว่าเป็น defense-in-depth แต่ปัญหาคือค่าใช้จ่ายและงานการบริหารจัดการที่เพิ่มเข้ามา อีกทั้งเมื่อนโยบายเปลี่ยนอยู่เรื่อยๆ ในระยะยาวกลไก least-privilege ก็เริ่มสั่นคลอน
Cloudflare จึงทำการเข้าซื้อกิจการ BastionZero เข้ามาเสริมทัพโดยใช้คำที่แทนความสามารถใหม่ว่า ‘native integration’ เข้ากับโปรโตคอลการเข้าถึงสู่ infrastructure และปลายทาง เช่น ssh, rdp, kube, database และอื่นๆ ทำให้เกิดการควบคุมที่รัดกุมมากกว่า สามารถพิจารณาการเข้าถึงที่เหนือกว่าระดับเครือข่าย (IP และ Port)
แนวทางของ BastionZero คือการใช้ OpenID Connect (OIDC) ที่ทำให้อนุมัติ SSO เข้าถึงระดับ infrastructure ได้ ซึ่งอาศัยไลบรารีโอเพ่นซอร์ส OpenPubkey อีกทั้งยังมีการใช้ Root of Trust หลายตัวเพื่อป้องกันความอ่อนไหวที่ระบบจะถูกแทรกแซง
โดย Cloudflare คุยว่านี่คือแนวทางที่จะทดแทนการทำ Bastion Host หรือ PAM ไม่ต้องจัดการ Keys หรือ Credentials ด้วยกลยุทธ์แบบ decentralize และการอนุญาตตามการใช้งานแบบอัตโนมัติในมุมของ ssh, kube และการใช้รหัสผ่านในฐานข้อมูล รวมถึง Clientless RDP ที่ไม่ต้องยุ่งยากในการติดตั้งอะไรบนอุปกรณ์ผู้ใช้
อย่างไรก็ดีนี่จะเป็นเรื่องที่เป็นรูปเป็นร่างมากขั้นในไตรมาส 3 หรือ 4 ของปีนี้ที่ความสามารถใหม่จะถูกผนวกเข้ามาภายใน Cloudflare One ซึ่งจะมีการประกาศอย่างเป็นทางการอีกครั้ง โดยมี free tier สำหรับองค์กรที่มีผู้ใช้ต่ำกว่า 50 รายด้วย
ที่มา : https://blog.cloudflare.com/cloudflare-acquires-bastionzero
