1726202978.png
1731393918.jpg
1732076627.jpg
1730459076.jpg
1730782055.jpg
1730966771.jpg
1731999875.jpg
คุณสมบัติ 4 ข้อ ที่ควรมองหาจากระบบรักษาความปลอดภัยบนคลาวด์
คุณสมบัติ 4 ข้อ ที่คุณควรจะมองหาจากระบบรักษาความปลอดภัยบนคลาวด์
คุณรู้หรือไม่ว่าผลิตภัณฑ์คลาวด์บางตัวก็ไม่ได้ให้การสนับสนุนระบบรักษาความปลอดภัย (Security) ในระดับที่เท่ากัน ดังนั้น คุณสมบัติสำคัญที่องค์กรจะต้องนำมาพิจารณา ควรประกอบด้วยอะไรบ้าง?
จากการสำรวจของNetEnrich พบว่า Cloud Security เป็นบริการรักษาความปลอดภัยของระบบคลาว์ดที่สำคัญที่สุดสำหรับผู้เชี่ยวชาญด้านไอทีในปี2019 นี้ ซึ่งเรื่องนี้ก็ไม่ได้สร้างความรู้สึกประหลาดใจแต่อย่างใด เนื่องจากข่าวคราวการดำเนินการตาม GDPR และการละเมิดข้อมูล (Data Breach) จำนวนมากก็มักจะมีให้เห็นในพาดหัวข่าวอยู่บ่อยครั้ง ในช่วงปีที่ผ่านมา
ในสภาพการณ์เช่นนี้เป็นที่เข้าใจกันได้ว่า ยังมีองค์กรธุรกิจจำนวนมากที่ไม่เต็มใจยอมรับให้ Cloud Computingเป็นส่วนหนึ่งในการดำเนินธุรกิจของพวกเขา อย่างไรก็ตาม ถึงแม้ว่าข้อกังวลนี้จะยังไม่ได้รับการแก้ไข แต่ผู้ให้บริการคลาวด์ต่างก็กำลังเพิ่มขีดความสามารถด้านความปลอดภัยให้กับผลิตภัณฑ์ของพวกเขา เพื่อให้อยู่ในระดับแนวหน้ามากยิ่งขึ้น ด้วยการป้องกันในระดับ Military-Gradeที่จะช่วยให้ผู้ให้บริการ (Providers) สามารถปกป้องข้อมูลของลูกค้าได้ และเพื่อให้แน่ใจว่าสภาพแวดล้อมของพวกเขาปลอดภัยอย่างที่มันควรจะเป็น
แต่ตามสภาพความเป็นจริงในขณะนี้ ในกรณีของคุณสมบัติต่างๆ ของบริการคลาวด์ ไม่ใช่ว่าทุกผลิตภัณฑ์จะมีระดับความปลอดภัยเท่ากันหมด และจะมีก็เพียงบางรุ่นเท่านั้นที่มีระดับความปลอดภัยที่ดีกว่าผลิตภัณฑ์อื่นๆ นั่นไม่ได้เป็นเพราะผู้ให้บริการคลาวด์ไม่ได้ตระหนักถึงความต้องการในการป้องกันที่แข็งแกร่ง แต่นั่นเป็นเพราะผลิตภัณฑ์ต่างๆ ได้รับการออกแบบมาเพื่อกรณีของการใช้งานที่แตกต่างกัน ซึ่งบางส่วนได้รับการออกแบบมาสำหรับการใช้งานในอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวด (Highly Regulated) และมีความอ่อนไหวสูง (Sensitive) ในขณะที่บางอุตสาหกรรมก็ไม่จำเป็นที่จะต้องมีการรักษาความปลอดภัยที่แน่นหนาแต่อย่างใดดังนั้น ด้วยความก้าวหน้าทางเทคโนโลยีที่มีอยู่ ซัพพลายเออร์คลาวด์จึงมักที่จะเลือกใช้แพ็คเกจรักษาความปลอดภัยที่ทันสมัยที่สุดในอุตสาหกรรม เพื่อช่วยในการปกป้องข้อมูลและสามารถพิสูจน์ความคุ้มค่าในการลงทุนด้านความปลอดภัยระดับสูง เพื่อปกป้องลูกค้าที่หลากหลายของพวกเขา
จากการสำรวจล่าสุดของIngram Micro ได้มีการเปิดเผยว่า การรักษาความปลอดภัยในระดับสูงนั้นเป็นสิ่งที่สำคัญที่สุดที่ผู้เชี่ยวชาญด้านไอที83% มองหา เมื่อพวกเขาจะต้องตัดสินใจเลือกโซลูชั่นคลาวด์ (Cloud Solution)และตามด้วยเรื่องของราคาที่สามารถนำมาเปรียบเทียบกันได้ ซึ่งพวกเขาให้ความสำคัญรองลงมา นั่นคือที่ 74% หากคุณยังไม่แน่ใจเกี่ยวกับสิ่งที่ต้องระวังเมื่อคุณต้องตัดสินใจเลือกผู้ให้บริการคลาวด์ (Cloud Provider) และบริการคลาวด์ของคุณ บทความต่อไปนี้คือคุณสมบัติ 4 ข้อ ที่คุณจะต้องทำการสำรวจ จากมุมมองด้านความปลอดภัย
การเข้าถึงข้อมูล (Information Access)
สิ่งแรกที่คุณต้องตรวจสอบในโซลูชั่นคลาวด์นั่นก็คือ ความสามารถในการแบ่งปันข้อมูลข้ามแผนก ฟังก์ชั่นที่ว่านี้เป็นกุญแจสำคัญสำหรับซีไอโอที่ต้องการเปลี่ยนแปลงธุรกิจของพวกเขา โดยการการปรับปรุงประสบการณ์ (Experiences) ของลูกค้าและพัฒนาความคล่องตัว (Agility)ขององค์กร ในขณะเดียวกันก็ยังนำไปสู่การสร้างแหล่งรายได้ดิจิตอล (Digital Revenue Streams) ใหม่ๆ
บริษัทต่างๆ มีการทำงานหลายร้อยอย่าง และบางครั้งก็มีแอพพลิเคชั่นที่เชื่อมต่อถึงกันหลายพันรายการ เพื่อรองรับการทำงานของพวกเขา โซลูชั่นแบบดั้งเดิมนั้นจะเป็นการเก็บข้อมูลไว้ในที่ที่แตกต่างกันออกไป ดังนั้นการที่จะทำให้ระบบเหล่านั้นสอดคล้องกัน จึงเป็นงานที่ท้าทาย
แท้จริงแล้ว การให้บริการ SaaS (Software as a Service) แบบ Multi-Tenant ที่เป็นรูปแบบการให้บริการ Softwareผ่านอินเทอร์เน็ต ด้วยระบบซอฟต์แวร์ชุดเดียวแต่มีผู้เช่าหลายคนทำให้ทั้งหมดนี้ง่ายขึ้นมาก ด้วยข้อมูลด้านทรัพยากรมนุษย์, การเงิน (Finance) และข้อมูลการวางแผนที่จัดเก็บไว้ในแอปพลิเคชั่นเดียว ซึ่งการออกแบบจากศูนย์กลางนี้นับว่ามีประโยชน์อย่างมาก รวมถึงทุกระบบที่ทำงานจาก Frameworkทั่วไป ดังนั้นจึงไม่มีข้อมูลที่ไม่สอดคล้องกัน นอกจากนี้มันยังสามารถขจัดปัญหาการตัดการเชื่อมต่อระหว่างระบบและผู้ใช้ ซึ่งเราพบว่ามันเป็นปัญหาที่แพร่หลายในระบบแบบเดิมๆ หลายระบบ
ดังนั้น ระบบการรักษาความปลอดภัยโดยรวมจึงดีขึ้นด้วยซอฟต์แวร์เวอร์ชั่นเดียว ที่ได้รับการปรับปรุง (Updated), สแกน (Scan) และแก้ไข (Patch) อย่างต่อเนื่อง สิ่งนี้ดีกว่าการใช้งานหลายๆ แพ็คเกจเป็นอย่างมาก ซึ่งการเปลี่ยนแปลงที่เกี่ยวข้องกับความปลอดภัยของสถาปัตยกรรมระบบ (System Architecture) ก็จะถูกส่งต่อไปยังลูกค้าทุกคนพร้อมกัน และหากองค์กรชั้นนำต้องการคุณสมบัติด้านความปลอดภัยใหม่ที่เข้มงวด มันก็ยังสามารถนำไปใช้กับSMB ได้เช่นกัน
ในทางกลับกัน สิ่งสำคัญก็คือ การทำให้การควบคุมการเข้าถึง (Access Control) มีความสำคัญเป็นอันดับแรก
พนักงานที่ทันสมัยย่อมมาพร้อมกับฮาร์ดแวร์หลากหลายประเภท ซึ่งหมายความว่าจะต้องมีการแพร่กระจายของข้อมูลผ่านจุดเชื่อมต่อที่มากขึ้น นั่นจึงเป็นการเพิ่มโอกาสที่จะเกิดจุดอ่อนหรือช่องโหว่ (Vulnerability)ซึ่งจากการจัดลำดับความสำคัญของโซลูชั่นการเข้าถึงที่เกี่ยวข้องกับการตรวจสอบแอปพลิเคชั่นที่ใช้การระบุสิทธิ์ (Specifying Permissions) และนโยบายการตั้งค่า (Setting Policies) เราพบว่าพนักงานที่ถูกต้องสามารถเข้าถึงเครื่องมือที่ต้องการ เพื่อให้ทำงานได้อย่างมีประสิทธิภาพ
การได้รับประโยชน์จากการเข้ารหัส (Encryption)
ในสมัยก่อนองค์กรต่างๆ จะต้องพึ่งพาระบบรักษาความปลอดภัยของเครือข่ายคอมพิวเตอร์ที่เรียกว่า Firewallเพื่อปกป้องข้อมูลของพวกเขา ด้วยความเชื่อที่ว่าเมื่อธุรกิจมีการป้องกันบุคคลจากภายนอกได้ข้อมูลของพวกเขาก็จะปลอดภัย หลังจากที่แฮกเกอร์สามารถโจมตีระบบในระดับที่แตกต่างกันออกไปแล้วนั้น ความคิดเช่นนี้จึงล้าสมัยไปในทันที นั่นเป็นเพราะเมื่อแฮกเกอร์เข้าถึงระบบได้แล้ว พวกเขามักจะพยายามเข้าถึงข้อมูลในชั้นความลับ (Security Clearance) อยู่ตลอดเวลา ตั้งแต่ระดับต่ำไปจนถึงระดับสูงและส่งผลกระทบต่อข้อมูลที่ละเอียดอ่อน (Sensitive Information)
การเข้ารหัส (Encryption)เป็นอีกหนึ่งวิธีที่จะช่วยให้บริษัทสามารถป้องกันตัวเองได้ โดยทั่วไปแล้วข้อมูลจะถูกเข้ารหัสในระหว่างรับส่งข้อมูล (In Transit) โดยทำในขั้นตอนแรกมากกว่าขั้นตอนสุดท้าย ดังนั้นเมื่อข้อมูลที่เข้าสู่ศูนย์ข้อมูล (Data Centre) ไม่ได้รับการปกป้องด้วยการเข้ารหัส มันจึงถูกโจมตีได้ง่าย (Vulnerable) เพื่อรับมือกับปัญหานี้ องค์กรจำเป็นที่จะต้องเข้ารหัสข้อมูลที่เหลือในแหล่งที่เก็บข้อมูลแบบถาวร
เป็นที่น่าเสียดายที่ระบบเหล่านี้มีความซับซ้อนและยุ่งยากเกินไปที่จะนำไปใช้งาน เพราะฉะนั้นจะเห็นได้ว่าบริการคลาวด์ที่สร้างขึ้นโดยสถาปัตยกรรมแบบดั้งเดิม จึงไม่ค่อยให้การสนับสนุนการเข้ารหัสข้อมูลของลูกค้า ในส่วนที่เหลือทั้งหมด
ด้วยสถาปัตยกรรมคลาวด์ที่ทันสมัย ผู้จำหน่ายระบบคลาวด์ที่ดีจะต้องทำหน้าที่รับผิดชอบในส่วนเหล่านั้น โดยเฉพาะอย่างยิ่ง หากความเป็นส่วนตัว (Privacy) และระบบรักษาความปลอดภัย (Security)ถูกฝังอยู่ในระบบของโซลูชั่นตั้งแต่แรก
การกำจัดรหัสผ่านที่คาดเดาได้ง่าย
ด้วยระดับความยุ่งยากของซอฟต์แวร์ที่เป็นอันตราย (Malicious Software หรือที่เรารู้จักกันในนาม มัลแวร์) ที่มีไว้สำหรับแฮกเกอร์ ทำให้เกิดกลุ่มคำที่เป็น "รหัสผ่านที่ปลอดภัย" ที่มีการเปลี่ยนไปเป็นรูปแบบของภาษาที่เราเรียกกันว่า "Oxymoron"ซึ่งเป็นกลุ่มคำที่เกิดจากการผนวกคำสองคำที่มีความหมายในทางตรงข้ามกันอย่างสิ้นเชิงมาจับคู่กัน อย่างเช่นคำว่า Dark light โดยทาง Googleได้ออกมาเปิดเผยถึงตัวเลขจาก "Password Checkup" ที่เป็นส่วนขยาย (Extension) ของ Google Chrome ที่เผยให้เห็นถึง 1.5%ของการพยายามลงชื่อเข้าใช้ ที่กำลังดำเนินการโดยใช้รายละเอียดที่ถูกบุกรุกจากการละเมิดข้อมูล (Data Breach) แม้ว่าจะมีผู้ใช้ที่ได้รับอีเมลแจ้งเตือน (Notification Emails) ที่มีการระบุถึงรายละเอียดการถูกโจมตีของพวกเขาแล้วก็ตาม แต่ก็ยังพบว่ามีเพียง26% เท่านั้น ที่ดำเนินการเปลี่ยนแปลงรหัสผ่านของพวกเขา
เพื่อต่อสู้กับปัญหาเหล่านี้พร้อมทั้งกำจัดความจำเป็นในการพิมพ์ชื่อผู้ใช้และรหัสผ่านซ้ำๆ ผู้ขายระบบคลาวด์สามารถเสนอบริการ Single Sign-On (SSO) ซึ่งเป็นกระบวนการตรวจสอบสิทธิ์ที่จะช่วยให้ผู้ใช้สามารถเข้าถึงแอปพลิเคชั่นได้อย่างรวดเร็วและปลอดภัย โดยการลงชื่อเข้าใช้เพียงครั้งเดียว ขณะเดียวกันความเรียบง่ายที่มีให้นี้ สามารถที่จะช่วยปรับปรุงทั้งในเรื่องของประสิทธิภาพการทำงาน (Work Efficiency), การเสริมสร้างความปลอดภัยและความสอดคล้องโดยทั่วไป นอกจากนี้ยังช่วยสร้างประสบการณ์ที่ดียิ่งขึ้นให้กับผู้ใช้งาน ได้เช่นกัน
แต่น่าเสียดายที่กว่า50% ของบริการคลาวด์ที่ได้รับความนิยม กลับไม่สนับสนุนบริการที่มาพร้อมกับการลงชื่อเข้าใช้งานแบบ Single Sign-On (SSO) ในกรณีที่คุณต้องทำงานร่วมกับบริการที่ขาดSSO มันเป็นสิ่งจำเป็นที่คุณจะต้องสร้างรหัสผ่านที่ยากต่อการคาดเดาและเพิ่มมันให้กับพนักงาน เพื่อเพิ่มความปลอดภัยในระดับสูงสุดให้กับระบบคลาว์ดของคุณ
ความสามารถในการรองรับมาตรฐานของบุคคลที่สาม
กลุ่มอุตสาหกรรมและหน่วยงานของรัฐบาลได้มีการออกแบบกรอบการปฏิบัติ (Framework) ที่เป็นไปตามข้อกำหนดต่างๆ เพื่อปกป้องข้อมูลลูกค้า ยกตัวอย่างเช่น GDPRที่เริ่มมีผลบังคับใช้ในเวลาเพียงไม่กี่สัปดาห์ อย่างไรก็ตาม ข้อกำหนดนี้อาจจะเป็นเพียงแค่จุดเริ่มต้นเท่านั้น
ในขณะเดียวกันโซลูชั่นการประเมินผลก็ควรที่จะต้องมีการตรวจสอบในเรื่องของการปฏิบัติตามมาตรฐาน (Compliance Standards) และการดำเนินการด้านความปลอดภัยต่างๆ (Security Implementations) อย่างละเอียด โดยจะต้องหาคำตอบให้ได้ว่า บริการนั้นสอดคล้องกับมาตรฐานหรือได้รับการรับรองหรือไม่? วิธีการจัดเก็บข้อมูลเป็นอย่างไร? การเข้ารหัสได้รับการสนับสนุนในระดับใด? และผู้ให้บริการมีวิธีจัดการกับการอัพเดตอย่างไร?
ผู้ให้บริการคลาวด์จากหลายๆ รายต่างก็อ้างว่า บริการของพวกเขามีระบบรักษาความปลอดภัย (Secure Systems) แต่จะมีข้อเสนอจากผู้ให้บริการเพียงไม่กี่รายเท่านั้นที่ให้ความสำคัญกับการปกป้องข้อมูลในระดับสูงขึ้นสำหรับข้อมูลที่มีค่าขององค์กร ดังนั้น สิ่งที่องค์กรควรระวังก็คือ การตรวจสอบฟังก์ชั่นทั้งหมดของผู้ขายอย่างรอบคอบ เพื่อให้แน่ใจว่าพวกเขาได้รับระดับความปลอดภัยที่ดีที่สุด เพราะนี่คือกุญแจสำคัญที่จะนำไปสู่ความเข้ากันได้ และการไม่ละเมิดกฎข้อบังคับในอนาคตข้างหน้า