Access Control จุดเริ่มต้นของการปกป้องข้อมูลให้ปลอดภัย

จันทกานต์ ผลพล

ทีมงานวิศวกรผู้เชี่ยวชาญด้านมาตรฐานความปลอดภัยสารสนเทศ บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

Access Control เป็นกระบวนการอย่างหนึ่งในการป้องกันข้อมูลไม่ให้รั่วไหลและเป็นสิ่งที่หน่วยงานทั้งภาครัฐและเอกชนจะต้องให้ความสำคัญ เพื่อป้องกันไม่ให้ผู้ที่ไม่ประสงค์ดีเข้ามาเปลี่ยนแปลง หรือนำข้อมูลอันเป็นความลับไปเผยแพร่ภายนอก  โดยอาจใช้วิธีกำหนดสิทธิ์ในการเข้าถึงข้อมูลโดยใช้เครื่องมือตรวจสอบภัยคุกคามรูปแบบต่าง ๆ ฯลฯ แต่อาจมีบางหน่วยงานที่ยังไม่รู้จักหรือมีความรู้เรื่องกระบวนการปกป้องข้อมูลที่ไม่เพียงพอ บทความนี้ทีมงานจะกล่าวถึงรายละเอียดเกี่ยวกับ Access Control ว่าคืออะไรและมีความสำคัญอย่างไร

Access Control คืออะไร และมีความสำคัญอย่างไร

Access Control คือ กระบวนการที่ช่วยควบคุมสิทธิ์ในการเข้าถึงทรัพยากร เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้ามาลบ แก้ไข หรือขโมยข้อมูลไปใช้จนเกิดความเสียหายกับองค์กร ซึ่งเป็นสิ่งที่กำหนดว่าใครคือผู้ที่จะสามารถเข้ามากระทำการใดๆ ภายในเครือข่ายหรือพื้นที่ขององค์กรได้ และสามารถระบุว่าบุคคลเหล่านั้นจะเข้าถึงทรัพยากรใดได้บ้าง ทั้งยังเป็นเครื่องมือที่ช่วยตรวจสอบกรณีเกิดเหตุร้ายได้อีกด้วย เนื่องจากระบบ Access Control มักมีการบันทึกเวลาเก็บไว้เป็นหลักฐานซึ่งแต่ละองค์กรก็จะมีระยะเวลาในการเก็บแตกต่างกันขึ้นอยู่กับนโยบาย อาจเรียกได้ว่า Access Control เป็นด่านคัดกรองด่านแรกในการเข้าถึงข้อมูลหรือทรัพยากรภายในขององค์กรซึ่งช่วยเพิ่มประสิทธิภาพให้มีความปลอดภัยมากยิ่งขึ้น

ตัวอย่างการใช้ระบบ Access Control มีอะไรบ้าง

  • กระบวนการยืนยันตัวตนเพื่อพิสูจน์ว่าเป็นบุคคลภายในที่สามารถเข้าถึงเครือข่ายขององค์กรได้
  • การใช้รหัสผ่านเข้าสู่อุปกรณ์ เช่น Router
  • การสแกนใบหน้าจากกล้อง CCTV เพื่อตรวจจับคนร้ายที่อยู่ในรายชื่อ Blacklist
  • การใช้ Key Card เพื่อเข้า-ออกอาคาร
  • การสแกนลายนิ้วมือและใช้บัตร เพื่อเข้า-ออกห้อง Data Center

ประเภทของ Access Control

Access Control สามารถแบ่งเป็น 4 ประเภทหลัก ๆ ได้แก่

1.Discretionary access control (DAC)

เป็นการควบคุมการเข้าถึงทรัพยากรที่เจ้าของเป็นผู้ควบคุมอย่างสมบูรณ์ โดยผู้เป็นเจ้าของสามารถกำหนดสิทธิ์การเข้าถึงของผู้ใช้รายอื่น เช่น การอนุญาตให้เข้าไปอ่าน หรือแก้ไขข้อมูล และเมื่อมีการร้องขอเพื่อเข้ามาในระบบ เจ้าของทรัพยากรสามารถอนุญาตคำร้องของผู้ใช้รายนั้นได้ทันที นอกจากนี้ยังสามารถโอนสิทธิ์ความเป็นเจ้าของให้กับผู้อื่นได้อีกด้วย ทำให้ DAC เป็นวิธีการควบคุมที่มีความยืดหยุ่น แต่จะไม่เหมาะหากนำไปใช้กับการปกป้องข้อมูลที่เป็นความลับ หรือทรัพยากรที่ต้องการความปลอดภัยสูง

2.Mandatory access control (MAC)

เป็นการควบคุมแบบส่วนกลาง ซึ่งจะกำหนดการเข้าถึงทรัพยากรตามนโยบาย หรือตามระดับชั้นความปลอดภัยที่วางไว้ เป็นการควบคุมโดยระบบไม่ใช่โดยเจ้าของ ทำให้ผู้ใช้ไม่สามารถเปลี่ยนแปลงนโยบายต่าง ๆ เหล่านั้นได้ วิธีการควบคุมแบบนี้มักใช้กับระบบที่มีความอ่อนไหวสูง เช่น ระบบของรัฐบาล

3.Role-based access control (RBAC)

เป็นการจัดการสิทธิ์ในการเข้าถึงระบบ โดยจะเป็นตัวกำหนดบทบาทว่าผู้ใช้รายใดสามารถเข้าถึงส่วนใดได้บ้าง เช่น ผู้ใช้ A สามารถเข้าไปลบ แก้ไขข้อมูล และติดตั้งซอฟต์แวร์ใหม่ได้ ขณะที่ผู้ใช้ B ทำได้เพียงแค่ลบ หรือแก้ไขข้อมูล แต่ไม่สามารถติดตั้งซอฟต์แวร์ได้ ส่วนคนที่เหลืออาจได้สิทธิ์แค่เข้าไปอ่านข้อมูลเท่านั้น นอกจากนี้ผู้ใช้งานหนึ่งคนยังสามารถมีได้หลายบทบาท เช่น ได้บทบาทเป็น Admin ของระบบหนึ่ง แต่เป็นแค่ User ของอีกระบบหนึ่งก็ได้เช่นกัน นั่นทำให้วิธีการควบคุมแบบ RBAC มีการนำไปใช้อย่างกว้างขวาง และยังสามารถนำไปใช้ร่วมกับการควบคุมทั้งแบบ DAC และ MAC ได้อีกด้วย

4.Attribute Based Access Control (ABAC)

เป็นการควบคุมการเข้าถึงทรัพยากรโดยการคัดกรองจากคุณสมบัติของผู้ใช้บางประการ เช่น หากผู้ใช้เป็นพนักงานของบริษัท และอยู่ฝ่าย IT ด้าน Security จะสามารถเข้าถึงอุปกรณ์ Firewall ได้ หรือกำหนดให้ผู้ใช้ที่เป็น Manager เท่านั้นที่มีสิทธิ์เข้าไปแก้ไขข้อมูลที่มีความอ่อนไหว

จะเห็นได้ว่าระบบ Access Control ทำให้ข้อมูลหรือทรัพยากรภายในองค์กรมีความปลอดภัยมากยิ่งขึ้น ซึ่งการกำหนดนโยบายให้ชัดเจน ตลอดจนการนำเทคโนโลยีต่าง ๆ มาใช้ก็เป็นส่วนสำคัญที่ทำให้กระบวนการนี้สมบูรณ์แบบ

 

ข้อมูลจาก:

เขียนโดย : จันทกานต์ ผลพล

ทีมงานวิศวกรผู้เชี่ยวชาญด้านมาตรฐานความปลอดภัยสารสนเทศ
บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

Tagged on:


เนื้อหาที่เกี่ยวข้อง

1. 6 ปัญหา Server ที่ผู้ดูแลระบบต้องระวัง

2. การปกป้องและสำรองข้อมูล มีความสำคัญอย่างไรกับองค์กร

3. เพิ่มความปลอดภัย Gmail Account ด้วย Google Authenticator

4. ป้องกัน Instagram ไม่ให้โดนแฮกด้วย 2 Factor Authentication

5. เจาะลึก WastedLocker Ransomware ใช้วิธีโจมตีอย่างไร