TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Narendra Sahoo ผู้อำนวยการจาก VISTA InfoSec ออกมาแนะนำถึงการนำมาตรฐาน PCI-DSS และแนวทางปฏิบัติต่างๆ ไปใช้บนระบบ Cloud ไม่ว่าจะเป็น IaaS, PaaS หรือ SaaS เพื่อเพิ่มความมั่นคงปลอดภัยในการทำธุรกรรมการเงินผ่านบัตรเครดิต รวมไปถึงประเด็นสำคัญที่ต้องพิจารณาเมื่อต้องดำเนินการตรวจประเมิน (Audit) ภายในงาน PCI APAC Community Meeting 2017 ที่เพิ่งจัดไปเมื่อกลางเดือนพฤษภาคมที่ผ่านมา
หน้าที่ความรับผิดชอบในการดำเนินการตามมาตรฐาน PCI-DSS ขึ้นอยู่กับโมเดลของ Cloud ที่ใช้
Sahoo ระบุว่า โมเดลระบบ Cloud ในปัจจุบันสามารถแบ่งออกเป็นแบบใหญ่ๆ ได้ 3 แบบ คือ Infrastructure-as-a-Service, Platform-as-a-Service และ Software-as-a-Service ซึ่งแต่ละแบบจะมีผู้รับผิดชอบในต่างๆ แตกต่างกันไป ดังแสดงตามตารางด้านล่าง
| Service Owner | SaaS | PaaS | IaaS |
| Data | ร่วมกัน | ผู้ใช้บริการ | ผู้ใช้บริการ |
| Application | ร่วมกัน | ร่วมกัน | ผู้ใช้บริการ |
| Compute | ผู้ให้บริการ | ร่วมกัน | ผู้ใช้บริการ |
| Storage | ผู้ให้บริการ | ผู้ให้บริการ | ร่วมกัน |
| Network | ผู้ให้บริการ | ผู้ให้บริการ | ร่วมกัน |
| Physical | ผู้ให้บริการ | ผู้ให้บริการ | ผู้ให้บริการ |
เมื่อแต่ละโมเดลมีผู้รับผิดชอบแตกต่างกันไป ส่งผลให้ความรับผิดชอบในการดำเนินการตามมาตรฐานและแนวทางปฏิบัติของ PCI แตกต่างกันไปด้วย ซึ่งความต้องการของ PCI-DSS สำหรับระบบ Cloud มีทั้งหมด 12 รายการ แต่ละรายการกำหนดผู้รับผิดชอบของแต่ละโมเดล ดังแสดงในตารางด้านล่าง
การแบ่งส่วน (Segmentation) เป็นหัวใจสำคัญของระบบ Cloud
Sahoo ระบุว่า เมื่อองค์กรหันไปใช้ระบบ Cloud สิ่งสำคัญที่องค์กรจำเป็นต้องพิจารณาถึงคือ “การแบ่งส่วน (Segmentation)” ซึ่งต้องกระทำในระดับเดียวกับการแบ่งส่วนระบบเครือข่ายเชิงกายภาพที่ทำใน Data Center เช่น ต้องมีการแบ่งข้อมูลบัตรเครดิตออกมาแยกเก็บจากข้อมูลอื่นๆ ต้องไม่มีการเชื่อมต่อกันระหว่างเครื่อง Client หรือโครงข่ายพื้นฐานที่มีส่วนเกี่ยวข้องกับการทำธุรกรรมก็ถือว่าอยู่ในขอบเขตของการประเมิน PCI-DSS ด้วย เป็นต้น โดยลิสต์สิ่งที่พึงกระทำมีดังนี้
- มี Firewall และ Network Segmentation ในระดับ Infrastructure
- มี Firewall ในระดับ Hypervisor และ VM
- มีการทำ VLAN Tagging หรือ Zoning เพิ่มเติมจาก Firewall
- มี IPS ในระดับ Hypervisor และ/หรือ VM เพื่อตรวจจับและบล็อกทราฟฟิกที่ไม่พึงประสงค์
- มี Data Loss Prevention ในระดับ Hypervisor และ/หรือ VM
- มีมาตรการควบคุมสำหรับป้องกันการติดต่อสื่อสารจากภายนอก (Out-of-band Communication) ที่เกิดขึ้นบน Infrastructure เดียวกัน
- มีการแบ่งแยกโปรเซสและทรัพยากรที่แชร์ร่วมกัน Client ออกมา
- มีการแบ่งส่วนข้อมูลสำคัญที่ถูกจัดเก็บอยู่ในเครื่อง Client
- ใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่แข็งแกร่ง
- มีการแบ่งแยกหน้าที่ความรับผิดขอบ (Segregation of Duties) และไม่ให้สิทธิ์มากจากเกินไป
- จัดเก็บหลักฐาน (Log) และเฝ้าระวังทราฟฟิกตลอดเวลา รวมไปถึงมีการตอบสนองแบบเรียลไทม์
5 คำถามสำคัญที่ต้องถามผู้ให้บริการระบบ Cloud เมื่อต้องการผ่านมาตรฐาน PCI-DSS
Sahoo ได้กล่าวแจ้งเตือนผู้ที่ใช้บริการระบบ Cloud พึงระลึกไว้เสมอว่า ถึงแม้ว่าผู้ให้บริการระบบ Cloud จะผ่านมาตรฐาน PCI-DSS แต่ไม่ได้หมายความว่าผู้ที่ใช้บริการจะผ่านมาตรฐานตาม ในทางตรงกันข้าม ต่อให้ผู้ที่ใช้บริการระบบ Cloud ผ่านมาตรฐาน PCI-DSS ก็ไม่ได้หมายความว่าผู้ให้บริการระบบ Cloud จะผ่านมาตรฐานดังกล่าว ดังนั้น เพื่อให้มั่นใจว่าผู้ให้บริการระบบ Cloud ได้รับการรับรองตามมาตรฐาน PCI-DSS ผู้ใช้บริการควรพิจารณาถึงคำถาม 5 ข้อ ดังนี้
- ผู้ให้บริการระบบ Cloud ผ่านมาตรฐาน PCI-DSS มานานเท่าไหร่แล้ว ตรวจประเมินครั้งสุดท้ายเมื่อไหร่
- Services และ Requirement ของ PCI-DSS ข้อใดบ้างที่ผ่านการตรวจประเมิน
- Facilities และ System Components ใดบ้างที่ผ่านการตรวจประเมิน
- มี System Components ใดที่ใช้เพื่อให้บริการ Services แต่ไม่อยู่ในการตรวจประเมินบ้าง
- ผู้ให้บริการระบบ Cloud มีวิธีอย่างไรที่จะทำให้มั่นใจว่า ผู้ที่ใช้บริการที่ผ่านมาตรฐาน PCI-DSS จะปฏิบัติตามมาตรฐานและไม่บายพาสมาตรการควบคุมของ PCI
สำหรับผู้ที่สนใจนำมาตรฐาน PCI-DSS มาใช้เป็นแนวทางหรือประยุกต์ใช้กับกับระบบ Cloud ขององค์กร สามารถดาวน์โหลดเอกสารได้ที่ https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf
เกี่ยวกับ PCI Security Standards Council
PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover, JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibank, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน
PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย
ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร
