Firewall มันไม่เวิร์ค !! Google ปรับระบบ Security ใหม่ภายใต้แนวคิด “Zero Trust”

ภายในงานประชุม RSA 2017 ที่กำลังจัดอยู่ในขณะนี้ Google ออกมาเล่าถึงโมเดลรักษาความมั่นคงปลอดภัยแบบใหม่ที่ทางบริษัทเอาเข้ามาใช้เพื่อลดความสำคัญของ Firewall ลง เรียกว่า “Zero Trust” เนื่องจากการใช้ Firewall ในปัจจุบันไม่ได้ประสิทธิผลอีกแล้ว

Credit: Maksim Kabakou/ShutterStock

เริ่มต้นด้วยกำแพงและปราสาทดังเช่นองค์กรทั่วไป

Google ก็เหมือนกับองค์กรขนาดใหญ่ทั่วไป ที่มีการตั้งป้อม ก่อกำแพง สร้างปราสาท เพื่อปกป้องข้อมูลซึ่งเป็นสมบัติสำคัญที่อยู่ภายใน แต่เมื่อโลกเปลี่ยนไป แนวคิดเรื่อง Mobile Workforce เริ่มเข้ามา Google เป็นบริษัทอันดับต้นๆ ของโลกที่ยอมให้พนักงานทำงานจากที่ไหนก็ได้ในโลก ส่งผลให้กำแพงปราสาทเริ่มเปิดช่องโหว่ โดยเฉพาะอย่างยิ่งเมื่อ Google หันไปใช้ระบบ Cloud ซึ่งอยู่นอกปราสาท เลยกลายเป็นว่า กำแพงและป้อมปราการที่คอยใช้ปกป้องสมบัติภายในเริ่มสูญเสียความสำคัญลงไป

Firewall ไม่เวิร์คแล้ว ต้องใช้โมเดล Zero Trust

Google ค่อนข้างแตกต่างจากบริษัทขนาดใหญ่ตรงที่ไม่ค่อยสนใจแผนเชิงธุรกิจ หรือการวิเคราะห์ผลกำไรมากนัก เมื่อผู้บริหารระดับสูงของ Google เริ่มเห็นว่าระบบ Security ในปัจจุบันเริ่มเอาไม่อยู่ จึงไฟเขียวให้เริ่มพัฒนาโปรเจ็คท์ใหม่ เพื่อปรับปรุงระบบ Security ให้ดียิ่งขึ้น ตอบโจทย์ Mobile Workforce และการใช้ระบบ Cloud

Heather Adkins ผู้อำนวยการฝ่าย Security ของ Google ระบุว่า สมมติฐานของ Google ง่ายมาก คือ “กำแพงไม่เวิร์คอีกต่อไป” ดังนั้นเป้าหมายของ Google คือการลดความสำคัญของ Firewall และระบบรักษาความมั่นคงปลอดภัยบนเครือข่ายอื่นๆ และก้าวไปสู่โมเดลทางด้าน Security แบบใหม่ คือ “Zero Trust”

Credit: Rashevskyi Viacheslav/ShutterStock

Zero Trust อธิบายง่ายๆ คือ อุปกรณ์ทุกชิ้น ไม่ว่าจะอยู่ภายในหรือภายนอกบริษัทจะเป็นอุปกรณ์ที่ “ไม่น่าเชื่อถือ (Untrusted)”  ทั้งสิ้น โมเดล Zero Trust จะเป็นเรื่องของ “ผู้ใช้” และ “อุปกรณ์” ทั้งหมดของบริษัท สิทธิ์ในการเข้าถึงระบบของ Google จะขึ้นอยู่กับว่าคนที่เข้าถึงเป็นใคร และใช้อุปกรณ์อะไร และเมื่อเข้าถึงบริการต่างๆ จะต้องมีการพิสูจน์ตัวตน กำหนดสิทธิ์ และเข้ารหัสข้อมูล

BeyondCorp โปรเจ็คท์ด้าน Security ที่ใช้โมเดล Zero Trust

โปรเจ็คท์การพัฒนาระบบ Security โดยใช้โมเดล Zero Trust ของ Google มีชื่อว่า “BeyondCorp” ซึ่งมีจุดประสงค์หลักคือ “พนักงานทุกคนของ Google จะต้องสามารถทำงานจากระบบเครือข่ายภายนอกที่ไม่น่าเชื่อถือได้อย่างไร้ปัญหา และไม่ต้องใช้ VPN” นั่นหมายความว่า การทำ Single Sign-on และการเข้าถึงผ่าน Proxy จะกลายเป็นองค์ประกอบสำคัญ

Credit: Threatpost.com

โปรเจ็คท์ BeyondCorp ถูกแบ่งออกเป็น 4 ขั้นตอนหลักๆ ดังนี้

ขั้นตอนที่ 1 – Google จะต้องจัดทำรายชื่อผู้ใช้ทั้งหมด (User Inventory) ที่มีการจำแนกประเภทของงานที่พนักงานรับผิดชอบ รวมไปถึงบริการที่พนักงานเหล่านั้นควรมีสิทธิ์เข้าถึง

ขั้นตอนที่ 2 – จัดทำรายงานแบบเดียวกับขั้นตอนแรก แต่เป็นอุปกรณ์ทั้งหมดของบริษัท (Device Inventory) รวมไปถึงระบบติดตั้งวัฏจักรของอุปกรณ์ตั้งแต่เริ่มจัดซื้อไปจนถึงทำลายทิ้ง

ขั้นตอนที่ 3 – ทำการพัฒนาระบบควบคุมการเข้าถึงที่สามารถตรวจสอบการเข้าถึงระบบเครือข่ายของผู้ใช้และอุปกรณ์ ไม่ว่าสิ่งเหล่านั้นจะอยู่ที่ไหนบนโลก และเพื่อที่จะสร้างนโยบายควบคุมการเข้าถึงนี้ Google จำเป็นต้องรับข้อมูลเข้ามามากถึง 20 แหล่ง จนถึงขั้นตอนนี้ Google ต้องใช้เวลาดำเนินการนาน 2 – 3 ปีเลยทีเดียว

ขั้นตอนที่ 4 – ทำการย้ายผู้ใช้และอุปกรณ์ทั้งหมดจากการใช้เครือข่ายแบบเก่า มาสู่เครือข่ายแบบ Zero Trust โดยจะต้องไม่เกิดปัญหาการเข้าถึงแอพพลิเคชันหรือบริการที่ต้องใช้ทำงานไม่ได้

ขั้นตอนการย้ายผู้ใช้และอุปกรณ์นี้ต้องใช้เวลาดำเนินการนานถึง 2 ปี ทีม Security ต้องติดตั้งระบบใหม่ในสำนักงานของ Google กว่า 200 แห่งทั่วโลก หลังติดตั้งเสร็จก็ต้องดักจับทราฟฟิกทั้งหมดที่เกี่ยวข้องกับสิทธิ์ในการเข้าใช้งานต่างๆ จากนั้นนำทราฟฟิกที่ได้มาทดสอบรันใหม่บนระบบ Zero Trust เพื่อให้แน่ใจว่าทุกผู้ใช้และทุกอุปกรณ์สามารถทำงานได้ และมีสิทธิ์การใช้งานที่ถูกต้อง

ดำเนินการนานเกือบ 6 ปี ผลตอบรับเป็นที่ถูกใจ

เมื่อทุกอย่างเริ่มคงทีและทีมวิศวกรมีความมั่นใจในระบบ Security แบบใหม่ จึงค่อยๆ ย้ายการทำงานภายในระบบ Security แบบเก่าที่ใช้ Firewall, VPN และอุปกรณ์รักษาความมั่นคงปลอดภัยบนเครือข่ายเป็นหลัก มาสู่การทำงานภายใต้ระบบ Security แบบ Zero Trust แทน ซึ่งกระแสตอบรับของพนักงานเป็นไปในทิศทางที่ดี และมี Productivity มากยิ่งขึ้น ในขณะที่ระบบใหม่ช่วยให้ฝ่าย IT ทำงานได้ง่าย และลดภาระค่าใช้จ่ายลงได้มหาศาล

อ่านรายละเอียดเกี่ยวกับโปรเจ็คท์ BeyondCorp: A New Approach to Enterprise Security

ที่มา: http://www.networkworld.com/article/3170687/security/how-google-reinvented-security-and-eliminated-the-need-for-firewalls.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

วิดีโอสาธิตการตั้งค่า Kali Linux บน Amazon Web Services โดยใช้ IP จริง

สำหรับผู้ที่ไม่อยากลง Kali Linux ไว้บนโน๊ตบุ๊ค เนื่องจากสเป็คคอมไม่เพียงพอ หรือมีปัญหาในการเข้าถึง Kali Linux โดยใช้ IP จริง ปัญหาเหล่านี้สามารถแก้ไขได้ไม่ยากโดยการติดตั้ง Kali Linux บนระบบ …

Microsoft ออกรายงาน Security Intelligence Report สำหรับประเทศไทย

Microsoft ออกรายงาน Security Intelligence Report ฉบับที่ 21 ซึ่งเป็นรายงานผลการวิเคราะห์ภาพรวมของภัยคุกคามในประเทศไทยตั้งแต่เดือนมกราคมถึงมิถุนายน 2016 ไม่ว่าจะเป็น การเจาะระบบ ช่องโหว่ หรือมัลแวร์ โดยรวบรวมข้อมูลจาก ISP …