จาก Firewalls สู่การแบ่งห้อง: Microsegmentation เปลี่ยนวิธีคิดเรื่องความปลอดภัย [Guest Post]

ในโลกปัจจุบันที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนเเละเเนบเนียน สามารถหลบเลี่ยงการป้องกันในระดับ perimeter ได้ง่ายมากขึ้น จากรายงานของ Identity Theft Resource Center พบว่าในปี 2023 มีเหตุการณ์ข้อมูลรั่วไหลเป็นจำนวนสูงเป็นประวัติการณ์ เพิ่มขึ้นถึง 72% เมื่อเทียบกับตัวเลขในปีที่ผ่านมา ซึ่งตัวเลขที่น่าตกใจนี้ทำให้ในหลายๆ องค์กรเริ่มหันมาให้ความสำคัญกับการป้องกันในระดับ “ภายในเครือข่าย” ซึ่งเป็นจุดที่หลายครั้งมักถูกมองข้าม

 

หนึ่งในแนวทางที่ได้รับการยอมรับในระดับสากลคือ Microsegmentation หรือการแบ่งเครือข่ายภายในองค์กรออกเป็น “เซกเมนต์ย่อย” เพื่อลดโอกาสที่ภัยคุกคามจะสามารถเคลื่อนที่จากระบบหนึ่งไปยังอีกระบบหนึ่งได้ (Lateral Movement) และลดพื้นที่เสี่ยงต่อการถูกโจมตี (attack surface) ยกตัวอย่างให้เห็นภาพเเบบง่ายๆ ถ้าคุณมีห้องสมุด 1 ห้อง กับห้องคลังอีก 10 ห้อง และใช้กุญแจเดียวกันหมด ถ้าโจรได้กุญแจมา ก็เข้าได้ทุกห้องเลย แต่ถ้าคุณใช้กุญแจแยกห้อง และแต่ละห้องเปิดได้เฉพาะคนที่มีสิทธิ์ ถึงโจรจะขโมยกุญแจได้แค่ดอกเดียว ก็เข้าได้แค่ห้องเดียวเท่านั้น

 

นอกจากนี้ รายงานจาก IBM Cost of a Data Breach 2023 ยังระบุว่า :

• องค์กรที่ใช้ microsegmentation และ Zero Trust
• สามารถลดระยะเวลาในการตรวจจับและควบคุมเหตุการณ์ข้อมูลรั่วไหลลงได้ถึง 27%
• ลดค่าใช้จ่ายเฉลี่ยจากเหตุการณ์ breach ลงได้กว่า 5 ล้านเหรียญสหรัฐ

ในขณะที่ ไฟร์วอลล์แบบดั้งเดิมออกแบบมาเพื่อควบคุมทราฟฟิกที่เข้าและออกจากเครือข่ายผ่านทาง network perimeter หรือขอบเขตของเครือข่าย เช่น gateway หรือ edge routers โดยใช้หลักการ “trusted inside, untrusted outside” กล่าวคือ เมื่อทราฟฟิกสามารถผ่าน perimeter firewall เข้ามาได้แล้ว ก็มักจะได้รับสิทธิ์ในการเข้าถึงทรัพยากรภายในระบบอย่างอิสระ

โดยมีข้อจำกัดหลักๆ ของ Traditional Perimeter Firewalls ได้เเก่

• Lack of East-West Traffic Visibility

ไฟร์วอลล์แบบ perimeter มุ่งเน้นการตรวจสอบทราฟฟิกจากภายนอก (North-South traffic) แต่ไม่สามารถมองเห็นหรือตรวจสอบ East-West traffic ซึ่งเป็นการสื่อสารภายในระบบ เช่น server-to-server, workload-to-workload ได้อย่างละเอียด ทำให้ lateral movement ของ attacker สามารถแทรกซึมได้โดยไม่ถูกตรวจสอบ

• Flat Network Trust Model

เมื่อทราฟฟิกเข้ามาในระบบภายในได้แล้ว มักจะได้รับสิทธิ์เข้าถึงทรัพยากรจำนวนมากภายใต้โมเดลแบบ “flat trust” หรือ implicit trust ซึ่งเปิดช่องให้มัลแวร์เคลื่อนย้ายภายในเครือข่ายได้อย่างรวดเร็ว

• Perimeter is Obsolete in Cloud and Hybrid Environments

การใช้งานคลาวด์, multi-cloud และ hybrid IT environments ทำให้ network perimeter ไม่ชัดเจนอีกต่อไป และเกิดสภาพที่เรียกว่า “perimeter-less architecture” ซึ่งทำให้การอาศัยไฟร์วอลล์แบบเดิมไม่สามารถป้องกันการเข้าถึงในระบบที่มีการกระจายตัวที่สูงได้

 

 

ภายใต้แนวคิดของ Zero Trust Architecture (ZTA) การควบคุมการเข้าถึงภายในระบบเครือข่ายในระดับที่ละเอียดขึ้น กลายเป็นสิ่งจำเป็นที่องค์กรไม่สามารถมองข้าม เปรียบได้กับการติดตั้งระบบรักษาความปลอดภัยให้กับแต่ละส่วนภายในอาคาร มากกว่าจะมีแค่จุดคัดกรองเพียงทางเข้าออกหลักเท่านั้น

ในปัจจุบันที่หลายๆองค์กรเริ่มหันมาให้ความสำคัญเกี่ยวกับแนวคิด Zero Trust เพื่อรับมือกับภัยคุกคามที่ซับซ้อนและเปลี่ยนแปลงตลอดเวลา Microsegmentation จึงมีบทบาทสำคัญอย่างมากในยุคนี้ Gartner คาดว่า ภายในปี 2026 จะมีองค์กรกว่า 60% ที่หันมาใช้แนวคิด Zero Trust และเริ่มนำ Microsegmentation มาใช้ในหลายๆ ด้าน ซึ่งถือว่าเพิ่มขึ้นเยอะมากเมื่อเทียบกับปี 2023 ที่มีการใช้งานไม่ถึง 5%การคาดการณ์นี้สะท้อนถึงความสำคัญที่เพิ่มขึ้นของ Microsegmentation ในฐานะหนึ่งในกลยุทธ์ด้านความปลอดภัยที่สำคัญและเป็นรากฐานในยุคใหม่.

Akamai Guardicore Segmentation

Akamai Guardicore Segmentation จึงเป็นโซลูชันที่ออกแบบมาเพื่อเสริมสร้างการบังคับใช้นโยบาย Zero Trust ภายในระบบเครือข่ายองค์กรอย่างมีประสิทธิภาพและรวดเร็ว โดยเน้นการป้องกันการเคลื่อนไหวในแนวราบ (lateral movement) ของภัยคุกคามผ่านการทำ Application Dependency Mapping ที่ละเอียด แสดงภาพกิจกรรมแบบเรียลไทม์ และช่วยให้สามารถกำหนดและบังคับใช้นโยบาย Microsegmentation ได้อย่างแม่นยำ พร้อมทั้งตรวจจับการละเมิดหรือพฤติกรรมผิดปกติภายในระบบได้อย่างทันท่วงที

 

 

โดยคุณสมบัติสำคัญของโซลูชั่นนี้ที่จะไม่พูดถึงไม่ได้เลยนั้นคือ

• การแบ่งส่วนเครือข่ายแบบละเอียดโดยใช้ปัญญาประดิษฐ์ (AI)

การสร้างและบังคับใช้นโยบาย (Policy Enforcement) ได้อย่างรวดเร็วผ่านคำแนะนำอัตโนมัติจากระบบ AI พร้อมทั้งมีเทมเพลตสำเร็จรูปสำหรับการตอบสนองต่อภัยคุกคาม โดยอ้างอิงจากคุณลักษณะของเวิร์กโหลด (Workload Attributes) เช่น Process, User Identity และ Fully Qualified Domain Name (FQDN)

• การตรวจสอบและวิเคราะห์แบบเรียลไทม์และย้อนหลัง

ให้การมองเห็นในระดับลึกของความสัมพันธ์ ติดตามการเชื่อมโยงของทราฟฟิก (Traffic Flows) ตั้งแต่ระดับผู้ใช้งานไปจนถึงระดับกระบวนการ (Process-level Dependency Mapping) ทั้งในรูปแบบเวลาจริง (Real-time Monitoring) และการบันทึกย้อนหลัง (Historical Analysis)

• รองรับระบบปฏิบัติการและแพลตฟอร์มอย่างครอบคลุม

รองรับสภาพแวดล้อมที่หลากหลาย ทั้งระบบปฏิบัติการสมัยใหม่และแบบ Legacy ไม่ว่าจะเป็น Bare-metal Server, Virtual Machine (VM), Container, อุปกรณ์ IoT และ Cloud Instance จากผู้ให้บริการหลากหลายราย

• การกำหนดป้ายกำกับสินทรัพย์แบบกำหนดเองได้

สามารถกำหนด Label Hierarchy ที่ปรับแต่งได้ เพื่อเพิ่ม Contextual Metadata สำหรับการแสดงผลและการควบคุมนโยบาย พร้อมรองรับการรวมระบบกับเครื่องมือ Orchestration เช่น Kubernetes และ Configuration Management Database (CMDB) เพื่อการจัดการป้ายแบบอัตโนมัติ (Automated Tagging)

• การผสานกลไกการป้องกันหลายชั้น

รวมความสามารถด้าน Threat Intelligence, Threat Detection และ Incident Response เพื่อเสริมการป้องกันและลดเวลาในการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย (Mean Time to Respond – MTTR)

Use case : โรงพยาบาลขนาดใหญ่ในสหรัฐฯ – เมื่อการแบ่งส่วนเครือข่ายช่วยชีวิตข้อมูลผู้ป่วย

 

ในทางปฏิบัติ องค์กรขนาดใหญ่จำนวนมากมีระบบไอทีที่ทำมาหลายปี ทั้งที่อยู่ในรูปแบบ on-premises, cloud, ไปจนถึงระบบ legacy ที่ยังคงมีความสำคัญต่อธุรกิจ บ่อยครั้งที่ระบบเหล่านี้มีการเชื่อมโยงกันอย่างแน่นแฟ้น เพื่อให้บริการได้อย่างมีประสิทธิภาพ — แต่ในขณะเดียวกัน ก็เปิดช่องให้ภัยคุกคามสามารถ “เดินทาง” ไปทั่วเครือข่ายได้อย่างอิสระหากไม่มีการควบคุมที่ดีพอ

สิ่งที่องค์กรเหล่านี้ต้องการคือ “การมองเห็น” และ “การควบคุม” การสื่อสารภายในระบบอย่างละเอียด microsegmentation จึงเป็นโซลูชันที่ตอบโจทย์

เพื่อให้เห็นภาพชัดเจนยิ่งขึ้น จึงได้หยิบยกกรณีศึกษา ที่เป็นองค์กรด้านการแพทย์ขนาดใหญ่แห่งหนึ่งในสหรัฐอเมริกา ซึ่งมีโรงพยาบาลในเครือหลายสิบแห่ง ต้องเผชิญกับปัญหาคลาสสิกของระบบสาธารณสุขยุคใหม่:

• เซิร์ฟเวอร์กว่า 6,000 เครื่อง ทำงานควบคู่กันภายใต้ระบบเครือข่ายที่ซับซ้อน
• ระบบจำนวนมากยังคงใช้เทคโนโลยี legacy ที่ไม่สามารถอัปเดตได้
• มีข้อมูลสุขภาพของผู้ป่วยนับล้านรายเก็บไว้ในระบบที่เชื่อมโยงกันหมด
• ความพยายามในการรักษา compliance ตามกฎหมาย HIPAA และมาตรฐานอื่นๆ กลายเป็นภาระที่ต้องใช้ทรัพยากรมหาศาล

ปัญหาหลัก: ขาดการแบ่งส่วนเครือข่าย

เช่นเดียวกับหลายองค์กร ระบบเครือข่ายภายในของโรงพยาบาลยังคงทำงานในลักษณะ “แบน” (Flat Network) กล่าวคือ ระบบต่างๆ สามารถสื่อสารกันได้ทั้งหมดโดยไม่มีข้อจำกัด หาก ransomware หรือ malware เจาะเข้ามาในระบบเพียงจุดเดียว มันสามารถ “เคลื่อนไหวในแนวราบ” (lateral movement) ได้อย่างอิสระ ลามไปสู่ระบบอื่นๆ ภายในไม่กี่นาที

การป้องกันแบบเดิม เช่น Firewall หรือ Antivirus ไม่สามารถตรวจจับพฤติกรรมเหล่านี้ได้ เพราะภัยคุกคามไม่ได้มาจากภายนอก แต่มาจาก “ภายใน” ที่เชื่อมต่อกันอยู่แล้ว

ดังนั้น Guardicore จึงเข้ามามีบทบาทสำคัญ

โดยเริ่มจากการติดตั้ง agent บน workloads สำคัญ ซึ่งใช้เวลาน้อยเพราะระบบสามารถรองรับหลายแพลตฟอร์ม ไม่ว่าจะเป็น Windows, Linux หรือแม้แต่ระบบที่อยู่บน VMware และ Cloud

เเละใช้ฟีเจอร์ “Visibility Map” เพื่อวิเคราะห์ว่าระบบต่างๆ สื่อสารกันอย่างไรในระดับ port, process และ protocol — ซึ่งข้อมูลนี้แทบเป็นไปไม่ได้ที่จะได้จาก firewall แบบเดิม

ผลลัพธ์ที่ได้:

• สร้าง policy การเข้าถึงแบบละเอียด (Granular Policy) ได้ทันที โดยไม่ต้องรื้อโครงสร้างระบบเดิม
• Workloads ที่ไม่เกี่ยวข้องถูกแยกออกจากกัน เช่น แยก Lab, Admin, Pharmacy ออกจากกันชัดเจน
• ลดขอบเขตการลุกลามของ malware ได้ในเหตุการณ์จริงที่ ransomware พยายามแพร่กระจาย แต่ถูกจำกัดไว้ที่ node แรกเท่านั้น
• การตรวจสอบ compliance ง่ายขึ้นมาก เพราะสามารถสร้างรายงานการเชื่อมต่อที่สอดคล้องกับ HIPAA ได้ทันที

บทสรุป

ดังนั้น ในวันที่ “ไฟร์วอลล์รอบนอก” ไม่เพียงพออีกต่อไป Microsegmentation ได้กลายเป็นแนวทางหลักที่องค์กรยุคใหม่ต้องมี หากต้องการป้องกันภัยคุกคามที่ซ่อนตัวอย่างแนบเนียนและแพร่กระจายรวดเร็วภายในระบบ การแบ่งเครือข่ายเป็นส่วนย่อยๆ และวคบคุมการเข้าถึงอย่างแม่นยำ เปรียบเสมือนการ “ล็อกประตูทุกบาน” ไม่ใช่แค่บานหน้า เพื่อจำกัดความเสียหายจากการเจาะระบบเพียงจุดเดียว

โซลูชัน Akamai Guardicore Segmentation จึงไม่ใช่แค่เครื่องมือช่วยป้องกัน แต่คือ “ผู้ช่วย” ที่ทำให้ Zero Trust เป็นจริง ด้วย AI, การมองเห็นเชิงลึก, การบังคับใช้นโยบายแบบเรียลไทม์ และการป้องกันภัยหลายชั้น ครอบคลุมทั้งระบบดั้งเดิมและคลาวด์ยุคใหม่

องค์กรที่ยังยึดติดกับแนวทางเดิมๆ อาจกำลังเปิดช่องให้ภัยคุกคามวิ่งเล่นในระบบโดยไม่รู้ตัว ถึงเวลาที่ทุกองค์กรควรหันมา “มองในบ้านตัวเอง” และเสริมเกราะจากภายใน ด้วยแนวทาง Microsegmentation ที่ไม่ใช่แค่ทางเลือก แต่คือ ความจำเป็น ในโลกที่ภัยไซเบอร์ไร้ขอบเขต

🔗 ติดตามข่าวสารหรือสอบถามเพิ่มเติม ได้ที่:

Website: https://www.wit.co.th/

Facebook: https://www.facebook.com/wit.co.th/  

LinkedIn: https://www.linkedin.com/company/world-information-technology-co-ltd-/