CDIC 2023

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

ปลายทางที่มัลติคลาวด์

Could Trust มูลนิธิ Cloud Native Computing Foundation (CNCF) ซึ่งรวมกลุ่มโอเพ่นซอร์สในการพัฒนาแอปพลิเคชันบนคลาวด์เนทีฟ ชี้เป้าให้ “มัลติคลาวด์” เป็นหนึ่งในเครื่องมือมาตรฐานกลางชิ้นสำคัญสำหรับพัฒนาอินฟราสตรัคเจอร์ หรือซอฟต์แวร์แอปพลิเคชันยุคใหม่ให้สามารถทำงานกับคลาวด์ได้หลายประเภท อาทิ vSphere โดยวีเอ็มแวร์ ไมโครซอฟท์อาซัวร์ เอดับบลิวเอส กูเกิล คลาวด์ ตลอดจนคลาวด์เนทีฟอื่น ๆ ด้วยมุมมองเชิงกลยุทธ์การลงทุนที่เปลี่ยนจากการเลือกใช้งานคลาวด์เป็นอันดับแรก มาเป็นการจัดกลุ่มแอปพลิเคชันที่จำเป็นใช้งานในองค์กรเสียก่อน จากนั้น จึงพิจารณาว่าจะโยกย้ายขึ้นสู่คลาวด์ประเภทไหนตามความเหมาะสม เช่น แอปพลิเคชันตัวไหนควรเป็นออนเพรม ตัวไหนที่น่าจะย้ายขึ้นบริการคลาวด์สาธารณะ อย่างไหนควรเขียนใหม่ทั้งหมดให้ใช้งานบนคลาวด์แบบเต็มตัว หรือคงไว้เหมือนเดิมเพราะไม่กระทบต่อธุรกิจมากพอให้ต้องเปลี่ยน เป็นต้น เพราะถ้าองค์กรวางแผนการใช้งานคลาวด์ได้ไม่ดี จะกลับกลายเป็นทำให้ค่าใช้จ่ายสูงขึ้น อีกทั้งมาตรฐานของเครื่องมือที่เลือกใช้ต่างกันจะทำให้การจัดการยิ่งยุ่งเหยิง

แพลตฟอร์ม เอ็นจิเนียริ่งกับการพัฒนาแอปฯ ยุคใหม่

ในอดีต กรอบการพัฒนาแอปพลิเคชันถูกเขียนขึ้นเพื่อตอบโจทย์งานหน้าบ้าน หลังบ้าน และการจัดการฐานข้อมูลสำหรับการทำงานอย่างใดอย่างหนึ่ง แต่ในโลกของคลาวด์ แอปพลิเคชันถูกสร้างให้อยู่ในรูปแบบไมโครเซอร์วิส หรือแพลตฟอร์มให้ตรงโจทย์ทางธุรกิจมากขึ้น เกิดการใช้งานแบบไร้เซิร์ฟเวอร์บนคลาวด์อินฟราสตรัคเจอร์รูปแบบต่าง ๆ เกิดการตั้งศูนย์ข้อมูลหลายจุดเพื่อกระจายการทำงาน เริ่มนำแอปพลิเคชันไปวางใกล้ ๆ กับแหล่งต้นทางของข้อมูล เช่น เทคโนโลยีเอดจ์ เป็นต้น ซึ่งคลาวด์แต่ละแบรนด์ก็มีแนวทางการบริหารจัดการเทคโนโลยีที่ต่างกัน แพลตฟอร์ม เอ็นจิเนียริ่ง (Platform Engineering) จึงเป็นสิ่งที่มาขยายมุมคิดของ DevOps หรือ DevSecOps ของการพัฒนาแอปฯ หรือแพลตฟอร์มที่เดิมเป็นแค่ทูลตัวหนึ่งให้กลายเป็นเสมือนผลิตภัณฑ์ที่ต้องพัฒนาร่วมกันอย่างต่อเนื่องระหว่างทีมนักพัฒนา ทีมปฏิบัติงานด้านไอที ทีมเน็ตเวิร์ค และซีเคียวริตี้  ข้อดี คือ ลดการใช้เครื่องมือในการพัฒนาที่ต่างกันไปแต่ละทีมมาเป็นการมองหาแพลตฟอร์มกลางเพื่อตอบโจทย์การพัฒนาจากทุกทีม มีทีมพัฒนากลางที่เดินไปในทิศทางเดียวกันเพื่อให้การออกแบบและสร้างแอปพลิเคชันหรือแพลตฟอร์มเพียงครั้งเดียวแต่สามารถรันบนอินฟราสตรัคเจอร์ได้ทุกที่เพื่อลดภาระงาน เกิดระบบล่มแต่น้อย ทั้งยังขยายระบบหรือเขียนบริการธุรกิจใหม่ ๆ ได้ตลอดเวลา ถ้าเจอปัญหาเร็ว แก้ไขไวและถูกจุด ซึ่งนอกจากจะทำให้การบริหารงานด้านไอทีดีขึ้น ยังทำให้องค์กรสามารถแตะถึงเป้าหมายทางธุรกิจได้รวดเร็วมากขึ้นอีกด้วย

ความปลอดภัยแบบซีโร่ทรัสต์

แม้การโจมตีในปัจจุบันจะเปลี่ยนไปหลากหลายรูปแบบ แต่เป้าหมายยังเป็นเรื่องเดิมคือ การขโมยสิ่งที่ใช้ยืนยันตัวตน (Credentials) เพื่อเจาะเข้าสู่ระบบและขโมยข้อมูลที่ต้องการ ซึ่งแรนซั่มแวร์ที่เก่ง ๆ บางตัวอาจจะเข้า-ออก หรือฝังตัวในระบบไอทีนานนับปีก่อนแผลงฤทธิ์โดยที่เราไม่รู้ตัว ซึ่งวีเอ็มแวร์ได้ให้กรอบความปลอดภัยแบบซีโร่ทรัสต์ (Zero Trust) โดยมี “ข้อมูล” เป็นแกนกลาง และมองความเชื่อมโยงเรื่องความไว้วางใจลงไปสู่ระบบไอทีในลำดับชั้นต่าง ๆ อาทิ ผู้ใช้งานปลายทาง (User Trust) อุปกรณ์ (Device Trust) แอปพลิเคชัน (Application Trust) เน็ตเวิร์ค (Network Trust) ตัวอย่างเช่น

Endpoint Trust / Device Trust ในช่วงวิกฤตโควิด เราพบว่า หลายองค์กรประสบปัญหาอย่างมากจากการถูกขโมยครีเดนเชียลในการยืนยันตัวตนผ่านการใช้งานอุปกรณ์ปลายทาง วีเอ็มแวร์บอกกับเราว่า ทุก 11 วินาทีจะมีองค์กรทั่วโลกตกเป็นเหยื่อของสแปมและฟิชชิ่ง 59% เจอภัยคุกคามแบบสองเด้ง (Double Extortion) คือ ไฟล์ถูกล็อครหัสให้เข้าถึงไม่ได้หนำซ้ำยังดึงข้อมูลออกไปปล่อยในเว็บมืด แถมปล่อยดี-ดอสตามมารบกวนให้ระบบไม่ปกติ และ 77% มาจากการโจมตีผ่านช่องทางเชื่อมต่อของแอปพลิเคชันต่าง ๆ (Application Programming Interface-API) ทั้งบนออนเพรม คลาวด์สาธารณะ หรือ ไฮบริดคลาวด์ ซึ่งตรงเข้าสู่ดาต้าเซ็นเตอร์ได้ไม่ต้องผ่านไอพีสาธารณะ (Public IP) และไม่ต้องยืนยันตัวตน ซึ่งทำให้อาชญากรไซเบอร์สามารถแทรกตัวผ่านรอยรั่วของข้อต่อนี้เข้าไปถึงซิสเต็มส์และข้อมูลเชิงลึกขององค์กรได้เลย

Application Trust เป็นจุดที่ควรแก่การวางระบบความปลอดภัยทั้งซัพพลายเชนลงถึงระดับโปรดักชัน เช่น การเขียนโค้ดดิ้ง การทำเฟรมเวิร์ค การสแกนโค้ด การเลือกใช้โค้ดโปรแกมต้นทางที่ควรมีเทมเพลตเรื่องความปลอดภัยติดมาด้วย เพราะ หนึ่ง แอปฯ ที่พัฒนาบนคลาวด์มีทั้งที่เขียนโค้ดขึ้นเองเป็นเนทีฟ และใช้โอเพ่นซอร์ส หากซัพพลายเออร์หรือโอเพ่นซอร์สที่หยิบมามีช่องโหว่ ก็จะสร้างความน่าสะพรึงยิ่งกว่าแอปพลิเคชันที่เขียนขึ้นเอง สอง นักพัฒนาไม่ควรมองข้ามช่องโหว่ความปลอดภัยที่เกิดขึ้นขณะเขียนโค้ด จังหวะโยนเข้าอิมเมจ นำไปทดลองปฏิบัติ หรือเชื่อมต่อกับคนอื่น ถ้าระบบความปลอดภัยถูกเจาะตั้งแต่ตรงนี้ก็จะกลายเป็นจุดบอดเล็ก ๆ ที่ซ่อนอยู่ในโค้ดโปรแกรมต้นทางหรือไลเบอรี่ต่าง ๆ ในระดับคอนเทนเนอร์ และกลายเป็นช่องโหว่ที่ใหญ่ขึ้นเมื่อคอนเทนเนอร์โตขึ้นเมื่อเกิดการใช้งานแอปพลิเคชันจากทั้งยูสเซอร์ไปคลาวด์ ลูกค้าไปคลาวด์ คลาวด์สู่คลาวด์ หรือคลาวด์ในตัวมันเอง เพราะต้องไม่ลืมว่าการใช้งานคลาวด์ จุดเชื่อมต่อไม่ได้อยู่แค่ช่องจราจรบนเน็ตเวิร์ค แต่ยังหมายถึงเอพีไอที่กล่าวถึงข้างต้น รวมถึงคูเบอร์เนเตสที่ต้องถูกอัพเดทแก้ไขเมื่อถูกส่งขึ้นไปดูแลคอนเทนเนอร์ต่าง ๆ

Network Trust ที่แตกออกเป็น 2 ระดับ ได้แก่ ระดับการจัดการอุปกรณ์และระบบต่าง ๆ  และระดับความปลอดภัยที่เกี่ยวข้องเวอร์ช่วลไลเซชันบนเน็ตเวิร์คที่ต้องมีการกำหนดกรอบการทำงานให้ชัดเจน ซึ่งไม่ใช่การป้องกันข้อมูลรั่วไหล ความปลอดภัยในการขนถ่ายข้อมูลบนเวอร์ช่วลแมชชีน คอนเทนเนอร์ การป้องกันการแฝงตัวเข้ามาทางเอพีไอ โดยมีเอไอมาช่วยวิเคราะห์พฤติกรรมและรูปแบบของแอปพลิเคชันแต่ละตัว (App Behavior) และแยกแยะปัญหาให้แน่ใจว่า เกิดจากการโจมตีทางไซเบอร์ หรือเน็ตเวิร์คล่มเพราะตั้งค่าการทำงานที่ผิดพลาด เป็นต้น ซึ่ง SD-Wan (Software-definded Wide-area Network) ถือเป็นหนึ่งในตัวช่วยการจัดการเน็ตเวิร์ค ขณะที่เทคโนโลยีพื้นฐานอย่างไฟร์วอลล์ หรือแอนตี้ไวรัสยังคงอยู่แต่ต้องปรับเปลี่ยนให้รองรับสภาพแวดล้อมใหม่ เช่น สร้างระบบตรวจจับและตอบสนองการบุกรุกทั้งกับเครื่องเอนด์พอยต์ (EDR) และเน็ตเวิร์ค (NDR) ต่อทุกภาระงานที่วิ่งเข้ามาสู่รระบบผ่านไฟร์วอลล์หลายชั้นสักหน่อย หรือการคัดกรองเส้นทางจราจรที่ผิดปกติ (Network Traffic Analysis) เพื่อตรวจจับยูสเซอร์ที่มีการใช้งานและการเคลื่อนไหวแปลก ๆ  เช่น เครื่องตัวเองติดไวรัสแล้วพยายามแฮ็คไปหาเครื่องอื่นในระบบ เพื่อไม่ให้เกิดความเสียหายจนเกินควบคุม หากโชคร้ายเจาะเข้าสู่ระบบได้ ก็ต้องมีการตอบสนองและแก้ไขอย่างรวดเร็ว

ครบทุกการจัดการจากวีเอ็มแวร์

วีเอ็มแวร์เป็นหนึ่งในบริษัทที่ผันตัวจากการยกระดับจาก vSphere ฉบับเวอร์ช่วลไลเซชันในการจัดการงานออนเพรมหรือคลาวด์ส่วนตัว ไปสู่มัลติคลาวด์เพื่อตอบโจทย์ธุรกิจในมุมของการพัฒนาได้ทั้ง “แอปพลิเคชัน” และ “แพลตฟอร์ม”  โดย VMware Tanzu จะช่วยให้แอปพลิเคชันสมัยใหม่ (App Modernization) สามารถทำงานบนมัลติคลาวด์ หรือคลาวด์อินฟราตรัคเจอร์ได้หลายแบบ สามารถย่อ-ขยายหรือเพิ่มเติมฟีเจอร์ใหม่ออกสู่ตลาดในเวลาที่รวดเร็ว ที่สำคัญคือ การทำ High Availability (HA) ที่ช่วยลดปัญหาการหยุดชะงักของระบบ รวมถึงเพิ่มระบบความปลอดภัยจากการใช้งานคลาวด์ที่กระจายออกไปหลายจุดให้อยู่ในมุมมองที่องค์กรจัดการ ทั้งการช่วยตรวจสอบและจัดหาโอเพ่นซอร์สที่ปลอดภัยมาใช้ในระบบ รวมถึงมีเครื่องมือช่วยสร้างมาตรฐานของการเขียนโค้ดและส่งโค้ดขึ้นสู่คอนเทนเนอร์ได้มีประสิทธิภาพโดยใช้ทีมงานน้อยที่สุด

VMware NSX ที่มาช่วยจัดการความปลอดภัยบนเน็ตเวิร์คแบบครบเครื่องร่วมกับเทคโนโลยีเอไอในการตรวจจับคัดกรองพฤติกรรมน่าสงสัยที่เกิดกับอุปกรณ์ปลายทาง เวอร์ช่วลแมชชีน เน็ตเวิร์ค แอปพลิเคชัน คอนเทนเนอร์ หรือภาระงานต่าง ๆ เพื่อเพิ่มประสิทธิภาพการจัดการและเสริมความปลอดภัยให้กับระบบเวอร์ช่วลไลเซชัน

VMware Carbon Black เพิ่มมุมมองความปลอดภัยเชิงลึกในระดับ XDR ให้กับเอนด์พอยต์และเน็ตเวิร์คอีกชั้นหนึ่ง เพื่อการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามที่รวดเร็ว โดยการเฝ้าสังเกตพฤติกรรมที่ผิดปกติตลอดเวลาแทนการสกัดภัยคุกคามเป็นช่วงเวลาเนื่องจากแรนซั่มแวร์ไม่มีรูปแบบการโจมตีที่แน่นอน การวิเคราะห์จุดเกิดเหตุ แยกแยะรูปพรรณสัณฐานของภัยคุกคามเพื่อกำหนดนิยาม ความเสี่ยง และช่องโหว่ที่จะเกิดขึ้นกับข้อมูล ระบบปฏิบัติการ ปริมาณงาน แอปพลิเคชันจากอุปกรณ์ใช้งานปลายทาง ตลอดจนสอบทานว่า ไอพีเครื่องใดมีแอปพลิเคชันที่ไม่มีประโยชน์ก็สามารถสกัดการใช้งานได้ทันที ด้วยฟังก์ชัน Agent & Console รวมถึง Threat Intelligence ซึ่งช่วยให้เอไอฉลาดขึ้นในการป้องกันมัลแวร์ การวิเคราะห์พฤติกรรมของซิกเนเจอร์ต่าง ๆ ที่เข้ามาโดยที่ระบบไม่รู้จักมาก่อน เพื่อสกัดกั้นหรือหยุดยั้งได้โดยอัตโนมัติ เป็นต้น

สนใจข้อมูลผลิตภัณฑ์ Vmware เพิ่มเติมติดต่อ บริษัท ยิบอินซอย จำกัด

เบอร์โทรศัพท์ : 02 353 8600 ต่อ 3210 หรือ 8432

e-mail: yitmkt@yipintsoi.com

#Yipintsoi #VMware #Tanzu #NSX #CarbonBlack #Cloud #Security


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

AWS ประกาศเปิดให้ใช้งาน Amazon Bedrock บริการ Generative AI แบบ GA แล้ว

Amazon Web Services (AWS) ได้เปิดให้ใช้งาน Amazon Bedrock บริการ Generative AI แบบ General Availability (GA) แล้ว …