ADPT

หน่วยงานรัฐบาลสหรัฐฯแนะ 6 ข้อปฏิบัติเพื่อการใช้งานคลาวด์อย่างมั่นคงปลอดภัย

Federal Trade Commission (FTC) ได้ออกแนะนำ 6 ข้อปฏิบัติให้องค์กรได้ตระหนักเพื่อใช้งานคลาวด์ได้อย่างมั่นคงปลอดภัย

Credit: ShutterStock.com

1.) ความมั่นคงปลอดภัยคือความรับผิดชอบของคุณเองเสมอ

ผู้บริโภคเองคือคนที่ต้องรับผิดชอบเรื่องความมั่นคงปลอดภัย แม้ว่าเราจะมีผู้ให้บริการคลาวด์ที่ทำหน้าที่เก็บและประมวลผลข้อมูล แต่ไม่ได้หมายความว่าหน้าที่รักษาความมั่นคงปลอดภัยจะหายไปจากเรา ดังนั้นองค์กรจึงควรมีโปรแกรมสำหรับความมั่นคงปลอดภัยของข้อมูล ว่าจะรักษาข้อมูลนั้นอย่างไรและทำอย่างต่อเนื่อง รวมถึงต้องเทรนพนักงานให้เข้าใจแผนและความรับผิดชอบ และสุดท้ายองค์กรต้องนั่งรีวิวสัญญาที่ทำไว้กับผู้ให้บริการถึงขอบเขตความรับผิดชอบว่าส่วนไหนของใคร และหากเกิดเหตุจะต้องทราบว่าควรติดต่อใครอย่างชัดเจน

2.) คอยรับฟังและตื่นตัวกับคำเตือนต่างๆ

ผู้ให้บริการคลาวด์หลายเจ้ามีเครื่องมือตรวจสอบว่า Repository ของลูกค้านั้น เข้าถึงได้ผ่านอินเทอร์เน็ตแบบสาธารณะหรือไม่ ทั้งนี้ก็จะมีนักวิจัยที่ควรตรวจตราอยู่เองด้วย ซึ่งหากพบว่าทรัพยากรของเรามีความเสี่ยงจากออนไลน์ก็อาจมีคำเตือนติดต่อมา ดังนั้นก็คอยรับข่าวสารคำเตือนต่างๆ เอาไว้ด้วย อย่าประมาท

3.) ต้องทราบว่าเก็บข้อมูลอะไรไว้ที่ไหนและได้รับการดูแลป้องกันอย่างไร

ผู้ให้บริการคลาวด์หลายเจ้าจะมือเครื่องมือที่ช่วยให้เราทราบถึงแผนผังของข้อมูลของเรา เช่น Dashboard หรือ Management Console ด้วยเหตุนี้องค์กรจะต้องทำให้แน่ใจว่าทราบถึงการเก็บข้อมูลต่างๆ ว่าวางอยู่ที่ไหนบ้าง และมีการตั้งค่าการป้องกันเหมาะสมไหมอย่างไร ซึ่งควรจะมีการทดสอบการตั้งค่าด้วยว่ามาตรการที่มีอยู่เพียงพอแล้วหรือยัง พร้อมกันนี้ต้องดูแล Log เพื่อให้เราสามารถติดตาม Repository ได้อย่างต่อเนื่อง

4.) ใช้ประโยชน์จากฟีเจอร์ด้านความมั่นคงปลอดภัยของผู้ให้บริการให้มากที่สุด

ผู้ให้บริการคลาวด์แทบทุกเจ้าต่างมีฟีเจอร์ด้านความมั่นคงปลอดภัยอยู่แล้ว ด้วยเหตุนี้เองมีของก็ต้องใช้ ซึ่งแต่ละรายยังมีเอกสารแนวปฏิบัติ (Best Practice) ไว้ให้ด้วย ดังนั้นองค์กรจะต้องเข้าใจการตั้งค่าและคอนฟิคให้เหมาะสม โดยมีข้อแนะนำดังนี้

  • เข้าใจธรรมชาติของข้อมูลที่ถูกเก็บ ประมวลผล หรือใช้งานในคลาวด์
  • เข้าใจความเสี่ยงที่เกิดขึ้นกับแต่ละข้อมูลเช่น จำเป็นหรือไม่ ใครเข้าถึงได้
  • จะป้องกันหรือลดความเสี่ยงในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้อย่างไร

5.) ใช้การเข้ารหัสที่ดีพอ

การเข้ารหัสโดยอัลกอริทึมที่มั่นคงปลอดภัยและต้องยังอัปเดตอยู่เป็นเรื่องสำคัญ เพราะจะช่วยลดผลกระทบจากการที่ข้อมูลถูกขโมย แก้ไข หรือนำไปใช้ในทางที่ไม่เหมาะสม อย่างไรก็ดีองค์กรสามารถพิจารณาใช้มาตรการให้เหมาะสมได้ตามความสำคัญของข้อมูล

6.) อย่าเก็บข้อมูลเกินความจำเป็น

ด้วยแนวคิดที่ว่า Storage บนคลาวด์ถูกจัง ทำให้หลายองค์กรมองว่าเก็บข้อมูลไว้เถอะเผื่อวันหน้าได้ใช้ อันที่จริงแล้วกลับเพิ่มปัญหาได้ดังนี้

  • Practical – ในความจริงนั้น ข้อมูลเก่าส่วนใหญ่มักหาประโยชน์ไม่ได้ ลองพิจรารณาดูตามความเหมาะสม
  • Legal – ตามกฏหมายข้อมูลส่วนบุคคลนั้น การเก็บข้อมูลที่ไม่เกี่ยวข้องไว้นานเกินอาจซวยได้ 
  • Security – ยิ่งมีข้อมูลมากก็มีความเสี่ยงที่จะถูกขโมยได้มากหรือได้รับความเสียหายมาก
  • Contractual – การทำเช่นนี้อาจละเมิดต่อสัญญาทางธุรกิจได้

ด้วยเหตุที่กล่าวมานี้จึงเป็นเหตุผลว่าองค์กรควรเก็บข้อมูลเท่าที่จำเป็นเท่านั้น เพราะการเก็บมาเยอะแต่รับผิดชอบไม่ได้อาจมีความผิดทางกฏหมายและได้รับผลกระทบรุนแรงในภายหลัง

ที่มา : https://cloudsecurityalliance.org/blog/2020/07/06/ftc-guidance-six-steps-toward-more-secure-cloud-computing/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NSA และ CISA ออกคำแนะนำเรื่อง Kubernetes Security

NSA และ CISA ได้ร่วมกันออกเอกสารจำนวน 52 หน้า เพื่อให้คำแนะนำสำหรับการสร้างความมั่นคงปลอดภัยในการใช้งาน Kubernetes

NSA ออกเอกสารแนะนำการใช้เครือข่ายไร้สายสาธารณะอย่างมั่นคงปลอดภัย

NSA ได้ออกเอกสารหวังช่วยลดความเสี่ยงให้แก่หน่วยงานของภาครัฐสหรัฐฯ เกี่ยวกับการรักษาความมั่นคงปลอดภัยในวิธีการใช้งานเครือข่ายไร้สายในสาธารณะ เช่น Wi-Fi, Bluetooth และ NFC