Microsoft Azure by Ingram Micro (Thailand)

สร้าง Zero-trust ให้องค์กร ด้วยบริการมาตรฐานญี่ปุ่นจาก KDDI Thailand

Zero-trust เป็นแนวความคิดที่ถูกพูดถึงกันอย่างหนาหูในไม่กี่ปีที่ผ่านมา อย่างไรก็ตามแนวคิดนี้เป็นเพียงกรอบกว้างๆที่ต้องตีความอย่างรอบคอบ เพื่อให้เข้ากับสถานการณ์และบริบทขององค์กรที่แตกต่างกัน รวมถึงต้องมีหลายโซลูชันทำงานผสานกันอย่างเหมาะสม ด้วยเหตุนี้เองในการปฏิบัติจริงตลอดจนการบริหารจัดการจึงมีความท้าทายรออยู่ไม่น้อย โดยแนวทางหนึ่งที่จะช่วยให้องค์กรก้าวไปได้เร็วและมั่นใจได้ก็คือการว่าจ้างผู้เชี่ยวชาญมาดูแลให้คำปรึกษาเพื่อให้จุดมุ่งหมายเกิดขึ้นได้จริง ในบทความนี้เองท่านจะได้รู้จักกับบริการ Managed Service จาก KDDI Thailand ในหมวดงาน Zero-trust ซึ่งนำเสนอบริการด้วยมาตรฐานเดียวกับประเทศญี่ปุ่น มาติดตามกันครับว่าโซลูชันที่พูดถึงนี้มีโครงสร้างเป็นอย่างไร

รู้จักกับ KDDI Thailand

KDDI Thailand เป็นบริษัทภายใต้ KDDI Corporation ซึ่งเป็นบริษัทผู้ให้บริการโทรคมนาคมสัญชาติญี่ปุ่นที่ก่อตั้งเมื่อปี 1984 โดยมีสำนักงานใหญ่ตั้งอยู่ที่โตเกียว สำหรับ KDDI Thailand ถูกก่อตั้งอย่างเป็นทางการเมื่อปี 2016 โดยมุ่งเน้นการให้บริการแบบครบวงจากในโซลูชัน ICT เพื่อผลักดันธุรกิจปรับตัวสู่โลกดิจิทัล ทั้งนี้ธุรกิจของ KDDI Thailand มี 4 หมวดหลักคือกลุ่ม Mobility, Data Center, Network & Infrastructure Service และสุดท้ายคือกลุ่มของ System Integration ที่ให้บริการด้านไอทีและ Managed Service ที่เราจะกล่าวถึงในบทความนี้

มาตรฐานและคุณภาพของสินค้าและบริการจากญี่ปุ่นได้รับการยอมรับจากผู้คนทั่วโลก โดยมีหลายบริษัทที่ออกไปสร้างชื่อเสียงในธุรกิจสากลในอุตสาหกรรมด้านนวัตกรรมเช่น อิเล็กทรอนิกส์ ยานยนต์ ไอที บริการด้านโทรคมนาคม ซึ่งความเอาจริงเอาจังเหล่านี้ทำให้บริการจากบริษัทญี่ปุ่นจึงขึ้นชื่อได้ถึงเรื่องมาตรฐาน ย้อนกลับมาที่ KDDI Thailand ก็ไม่ต่างกัน เนื่องจากยังคงอยู่ภายใต้การกำกับดูแลจากบริษัทแม่ที่มีการถ่ายทอดความรู้มาให้แก่พนักงานชาวไทย รวมถึงทำงานร่วมกันอย่างใกล้ชิด ด้วยเหตุนี้เองท่านจึงมั่นใจได้ว่าเมื่อเข้ามาใช้บริการกับ KDDI แล้ว ทุกปัญหาของท่านจะได้รับการแก้ไขภายในกรอบ SLA ที่กำหนด พร้อมคำตอบที่ท่านพึงพอใจ

รู้จักกับ Zero Trust

Zero Trust คือคอนเซปต์หรือแนวคิดด้านความมั่นคงปลอดภัยที่บอกให้เราไม่เชื่อในอะไรทั้งนั้นและตรวจสอบเสมอ – ‘never trust, always verify’ ไม่ว่ามีความพยายามเข้าถึงมาจากบุคคลหรืออุปกรณ์ใด ไม่ว่ามาจากภายในหรือนอกเครือข่ายจงตรวจสอบ ดังนั้น Zero Trust นั้นเป็นแค่แนวคิดภาพรวมซึ่งไม่ได้อ้างอิงกับเทคโนโลยีอะไรเลยส่วนแนวทางนั้นสุดแล้วแต่ผู้ใช้งานจะนำไปใช้ให้เหมาะสมในทางของตัวเอง

จะเห็นได้ว่า Zero Trust ไม่ได้มีการกำหนดขอบเขตที่ชัดเจนไว้ ดังนั้น Vendor ต่างๆก็พยายามนำเสนอมุมที่สอดคล้องกับผลิตภัณฑ์ของตน ในขณะที่ก็มีความพยายามสร้างความชัดเจนจากองค์กรกลางอย่าง NIST หรือการออกเป็นเอกสารในหลายรูปแบบการใช้งาน แต่เชื่อหรือไม่ว่าในทางปฏิบัติก็ยังคงเป็นไปได้อย่างยากลำบากโดยเฉพาะกับบริษัทที่ไม่ได้มีทีมงานขนาดใหญ่หรือแบ่งหน้าที่ชัดเจน ซึ่งทางเลือกหนึ่งที่สามารถตอบโจทย์ให้องค์กรสามารถริเริ่มไปกับ Zero Trust ได้อย่างตรงประเด็นและมีความมั่นใจได้ก็คือ KDDI Managed Service นั่นเอง

โครงสร้างเบื้องหลังและบริการ KDDI Zero Trust 

การแพร่ระบาดได้เปลี่ยนรูปแบบการทำงานขององค์กรอย่างสิ้นเชิง ยิ่งเมื่อผนวกเข้ากับความสามารถของคลาวด์ กลายเป็นการทำงานที่เกิดขึ้นจากที่ใดก็ได้ คาดการณ์ค่าใช้จ่ายได้อย่างแน่นอน รวมศูนย์การเข้าถึง กลับกันแม้หลายอย่างเปลี่ยนไปแต่โซลูชันด้านเครือข่ายและแนวป้องกันยังคงล้าหลังเพราะถูกออกแบบมาด้วยแนวคิดแบบเก่าคือมองภัยจากภายนอกเป็นหลัก จึงไม่สามารถตอบโจทย์ความอ่อนไหวของการทำงานที่เปลี่ยนไป ดังนั้น Zero Trust เองได้ถือกำเนิดขึ้นเพื่อช่วยให้ทุกคนสามารถรับมือกับโลกที่เปลี่ยนไปแล้วด้วยมุมมองที่ทันสมัยมากขึ้น

เมื่อพูดถึงการทำงานจากทุกที่ เชื่อว่า SASE น่าจะเป็นหนึ่งในโซลูชันที่คนส่วนใหญ่คิดถึงแน่นอน ซึ่งเป็นนิยามศัพท์ที่การ์ทเนอร์แนะนำให้โลกได้ตื่นตัวเมื่อไม่กี่ปีที่ผ่านมา นอกจากนี้การยืนยันตัวตนแบบหลายปัจจัยก็มีส่วนช่วยขับเคลื่อนนโยบาย Zero Trust ของท่านได้ไม่ยิ่งหย่อนกว่ากัน และขาดไม่ได้เลยที่ท่านต้องรู้จักกับสินทรัพย์ (Asset Inventory) และจัดการเรื่อง Security ได้ด้วย EDR เพื่อดูแลการใช้งานได้อย่างมั่นใจนั่นเอง ก่อเกิดเป็นโซลูชัน KDDI Zero Trust ที่ครอบอยู่เหนือโครงสร้างพื้นฐานอันแข็งแกร่งดังนี้

1.) Cato Networks SASE

ตามนิยามของการ์ทเนอร์ Secure Access Service Edge หรือ SASE หมายถึงบริการคลาวด์ที่รวบรวมความสามารถด้าน Network และ Security เข้าไว้ด้วยกัน รองรับการเข้าถึงจาก Edge ต่างๆจากสถานที่ใดๆ โดยมีองค์ประกอบหลักคือ SD-WAN, FWaaS, ZTNA, CASB, DLP และ SWG ซึ่งจะเห็นได้ว่าบริการเหล่านี้ไม่ได้เป็นเรื่องแปลกใหม่เลย แต่เคยเป็นสิ่งที่ Vendor นำเสนอในมุมของตัวเอง ดังนั้นกล่าวได้ว่าหัวใจของ SASE ก็คือการผสมผสานหลายโซลูชันเข้ามาทำงานร่วมกัน ทำให้การบังคับใช้ความมั่นคงปลอดภัยเกิดขึ้นได้อย่างเฉพาะตัวอย่างแท้จริง อีกทั้งยังสามารถบริหารจัดการได้แบบรวมศูนย์ผ่านคลาวด์ ตอบโจทย์การทำงานจากที่ใดก็ได้

CATO Networks เป็นบริษัทที่มองเห็นภาพนี้มาตั้งแต่ปี 2015 หรือก่อนหน้าที่การ์ทเนอร์จะเริ่มยกระดับให้ SASE เป็นเทรนด์ในวงกว้างราวปี 2019 สะท้อนได้จากบริการที่มีครบถ้วนตามที่ SASE ควรจะเป็นดังนี้

Credit : KDDI
  • SD-WAN มีหน้าที่หลักในการจัดการทราฟฟิคระหว่างต้นทางไปยังปลายทางอย่างมีประสิทธิภาพสูงสุดตาม SLA ที่ต้องการ
  • ZTNA – Zero Trust Network Access เป็นหนึ่งในแกนหลักของ Zero Trust ที่ช่วยให้สามารถเข้าถึงแอปพลิเคชันหรือกลุ่มของแอปพลิเคชัน โดยพิจารณาจาก Identity และบริบทของการเข้าถึง ทั้งนี้จะมีนโยบายเป็น Default Deny โดยปฏิเสธการเข้าถึงที่นอกเหนือการอนุญาตในการตั้งค่าโดยพื้นฐาน นอกจากนี้ยังมีคอนเซปต์ Dark Cloud คล้ายกับที่ทำใน Software-defined Perimeter (SDP) ที่ช่วยป้องกันไม่ให้ผู้ใช้งานเห็นถึงแอปพลิเคชันหรือบริการอื่นที่ตนไม่มีสิทธิ์
  • Firewall as a Service – บริการ Firewall ที่ช่วยควบคุมการเข้าออกของการใช้งาน
  • Cloud Access Security Broker (CASB) – โซลูชันที่ช่วยป้องกันแอปพลิเคชันคลาวด์อย่างชาญฉลาด รู้ลึกถึงระดับ API เช่นบน OneDrive จะรู้จักกับการทำสำเนา ดาวน์โหลด สร้างลบเอกสาร ดังนั้นจะช่วยจำกัดสิทธิ์ภายในได้
  • Data Loss Prevention(DLP) – ปกป้องการรั่วไหลของข้อมูล
  • Secure Web Gateway (SWG) – ป้องกันภัยที่อาจจะเกิดขึ้นผ่านมาทางเว็บอย่างมัลแวร์ การหลอกลวง และอื่นๆ

นอกเหนือจากการเป็นศูนย์รวมบริการด้าน Network และ Security ผ่านคลาวด์แล้ว โมเดลการให้บริการที่เรียกว่า Cato Single Pass Cloud Engine (SPACE) ยังครอบคลุมเรื่องประสิทธิภาพการใช้งานที่ฉับไวอีกด้วยเนื่องจากมีโครงข่ายวางอยู่ทั่วโลก พร้อมขยายตัวรองรับทราฟฟิคที่พุ่งเข้ามาหาบริการ มีความสามารถโยกย้ายการใช้งานยังระบบอื่นๆหากเกิดการสูญเสียโหนด รวมถึงการดูแลจากทีมงานตลอดเวลาอีกด้วย มั่นใจได้เลยว่าผู้ใช้งานจะปฏิบัติการได้อย่างไม่มีสะดุด

2.) HENNGE One IdP

Credit : HENNGE One

จากผลการศึกษาของ Microsoft ชี้ว่าเพียงแค่เพิ่มกลไกการยืนยันตัวตนแบบหลายปัจจัยหรือ Multi-factor Authentication (MFA) ก็สามารถช่วยลดการถูกแฮ็กบัญชีได้ถึง 99.9% ดังนั้นองค์กรจึงจำเป็นต้องมีโซลูชันเหล่านี้โดยเฉพาะ ซึ่ง HENNGE เป็นบริษัทสัญชาติญี่ปุ่นที่นำเสนอบริการคลาวด์ที่ช่วยให้การเข้าถึงต่างๆเป็นไปได้อย่างปลอดภัยไม่ว่าจะมาจากที่ใดก็ตาม และ MFA ถือเป็นหนึ่งในฟังก์ชันเหล่านั้น

อย่างไรก็ดีภายในบริการ IdP ผู้ใช้งานยังสามารถเชื่อมต่อการทำงานเข้ากับ AD ของตนเพื่อทำ Single Sign-on เพิ่มความสะดวกสบายในการใช้งาน โดย HENNGE รู้จักกับ SaaS กว่า 200 รายการ นอกจากนี้ยังมีการทำ Device Certificate กับอุปกรณ์ หรือในปัจจุบันก็มีความพยายามลดการพึ่งพารหัสผ่านที่เป็นรากฐานของปัญหามากมายด้วยโซลูชัน Passwordless ซึ่ง HENNGE ก็รองรับเช่นกัน

3.) IT asset management และ EDR

Endpoint ถือเป็นอีกแนวป้องกันหนึ่งที่สำคัญเพราะแต่ละคนที่มีพื้นฐานการปกป้องตัวเองไม่เท่ากัน ด้วยเหตุนี้เองประเด็นระดับ Endpoint จึงเป็นเรื่องที่ทุกองค์กรลงทุนมาแต่ไหนแต่ไร ทั้งนี้ Endpoint Detection and Response(EDR) ก็เป็นอีกโซลูชันหนึ่งที่คิดค้นขึ้นมาเพื่อเก็บบันทึกการทำงานในเชิงลึก วิเคราะห์ ตอบสนองและแนะนำผู้ใช้งานได้อย่างทันท่วงที มีเหตุผลหลายข้อที่องค์กรควรต้องมี EDR คือ

  • จงคิดไว้เสมอว่าไม่อะไรป้องกันได้ 100% ดังนั้นเป็นไปได้ที่คนร้ายอาจจะแฝงตัวอยู่แล้วเพียงแค่ว่าองค์กรจะมีความสามารถในการมองเห็นมากเพียงใด 
  • การมองไม่เห็นสิ่งที่เกิดขึ้นอย่างถ่องแท้เกี่ยวกับ Security บน Endpoint ทำให้การจัดการทั้งหมดยากขึ้น ทำให้ไม่ทราบว่าจะต้องเริ่มต้นจัดการปัญหาจากที่ใดเพราะมองไม่เห็นต้นตอ แก้ไขไปแล้วแฮ็กเกอร์ก็กลับมาได้อีก หรือกระบวนสุดท้ายคือ Reimage ที่กระทบต่อการทำธุรกิจอย่างมาก ทั้งหมดล้วนเกิดจากการไม่เข้าใจภาพของปัญหา
  • แม้องค์กรอาจจะมีข้อมูลปริมาณมากเช่นใน SIEM แต่มีโอกาสน้อยที่จะสามารถใช้ประโยชน์จากการวิเคราะห์ข้อมูลเหล่านั้นได้ในเวลาสั้นๆ เพราะท่วมท้นไปด้วยข้อมูลมหาศาล ทำให้หาสาเหตุของปัญหาได้ไม่ทันการณ์

จากข้อมูลที่กล่าวมานี้ EDR จึงมีส่วนช่วยอย่างมากที่จะทำให้ท่านรู้จักกับภัยคุกคามที่อาจแฝงตัวอยู่รอจังหวะเผยตัวเพื่อสร้างความเสียหายโดย KDDI เลือกใช้แบรนด์ชั้นนำระดับโลกด้าน EDR อย่าง Crowstrike นั่นเอง

Credit : KDDI

นอกจากภาพด้าน Endpoint Security แล้วการบริหารจัดการ Endpoint ก็สำคัญไม่แพ้กัน ปัจจุบันผู้ดูแลระบบตอบคำถามเหล่านี้ได้ชัดเจนหรือยัง เช่น มีกี่เครื่องที่ละเมิดนโยบายของบริษัท หรือเครื่องใดยังขาดการอัปเดต Firmware ตัวล่าสุด ซึ่ง KCI เป็นบริการพิเศษของ KDDI เองที่ถูกออกแบบมาให้ทำงานได้ทุกที่ผ่าน Cloud ทำให้องค์กรทุกขนาดเริ่มต้นได้ง่าย อีกทั้งยังมาพร้อมกับความสามารถมากมายเช่น การออกรายงานของ Endpoint การตรวจสอบพฤติกรรมที่น่าสงสัย ควบคุมเครื่องได้จากระยะไกล เข้ารหัสดิสก์ ควบคุมการเข้าถึงอุปกรณ์จากภายนอกอย่าง USB และอื่นๆ 

4.) Managed Service จาก KDDI

จะเห็นได้ว่าเมื่อประกอบภาพโซลูชันทั้งหมดเข้าด้วยกัน เชื่อแน่ว่าแนวทางสู่ Zero Trust ของท่านก็อยู่ไม่ไกลเกินจริง เพราะสามารถตรวจสอบการเข้าถึงได้อย่างครอบคลุมและบังคับใช้สิทธิ์ได้เหมาะสม แต่ความง่ายนี้ได้ถูกยกระดับไปอีกขั้นเพราะท่านไม่จำเป็นต้องจัดการทุกโซลูชันเอง เพียงแค่เลือกใช้บริการจาก KDDI ที่พร้อมให้บริการท่านตั้งแต่การเข้าไปเก็บข้อมูลประเมินการเริ่มใช้งานโซลูชัน อิมพลีเม้นต์ และดูแลหลังการขาย รวมถึงคอยติดตามภัยที่เกิดขึ้นของลูกค้าอย่างใกล้ชิดหากมีเหตุเกิดขึ้นก็จะทำการแจ้งให้ท่านทราบทันที

อีกหนึ่งความโดดเด่นที่ทำให้ KDDI ไม่เหมือนผู้เล่นรายอื่นก็คือ บริษัทถูกำกับดูแลด้วยมาตรฐานและความรู้จากบริษัทใหญ่ในญี่ปุ่น ที่ธรรมชาติแล้วทุกคนคงทราบกันดีว่าการทำงานของบริษัทญี่ปุ่นนั้นมีความแม่นยำ มาตรฐานสูง ทำให้คาดหวังผลลัพธ์ได้จริง ทั้งนี้ไม่ต้องกังวลใจกับเรื่องภาษาเพราะ KDDI มีวิศวกรผู้เชี่ยวชาญคนไทย ไว้พร้อมบริการแบบ 24×7 เพียงแค่ลูกค้าแจ้งความประสงค์ในความต้องการตามข้อกำหนดที่มี ท่านก็จะได้ก้าวสู่ขอบเขตที่เรียกว่า Zero Trust ผ่าน KDDI Managed Service นั่นเอง ศึกษาข้อมูลเพิ่มเติมได้ที่ https://th.kddi.com/

ท่านใดสนใจบริการดังกล่าวติดต่อทีมงานได้ที่ อีเมล bd@kddi.co.th โทรศัพท์ 02 075 8888 หรือ https://www.linkedin.com/company/kddi-thailand 

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย

Google ยกระดับ URL Protection บน Chrome ให้เป็นแบบเรียลไทม์

Google ประกาศเปิดตัว Safe Browsing ที่เพิ่มความสามารถในการป้องกันภัยคุกคามและรักษาความเป็นส่วนบุคคลได้แบบเรียลไทม์สำหรับผู้ใช้ Google Chrome ทั้งบน Desktop และ iOS รวมถึงอัปเดตฟีเจอร์ Password Checkup ใหม่บน …