Cloud Security ความปลอดภัยบน Cloud Computing

บรรณศักดิ์ ยุวมิตร

ทีมงานที่ดูแลด้านอุปกรณ์ Network Security

ระบบ Cloud หรือ Cloud Computing คือการนำทรัพยากรด้านระบบสารสนเทศต่าง ๆ หรือ เว็บไซต์ที่องค์กรใช้งานหรือให้บริการ นำไปฝากไว้กับผู้ให้บริการ Cloud ข้อดีที่เด่นชัดที่สุดคงเป็นเรื่องความง่ายในการสร้าง เพิ่ม ลด ขนาด Server ได้ตามความต้องการ ควบคุมค่าใช้จ่ายได้ง่าย และยังช่วยลดต้นทุนการบริหารจัดการทรัพยากรทางระบบสารสนเทศ เช่น พื้นที่ตั้งระบบสารสนเทศ อุปกรณ์หรือ Server ที่ให้บริการ ระบบไฟฟ้า ค่าไฟฟ้า ค่าบริการระบบอินเตอร์เน็ต บุคลากรที่จะต้องดูแลและจัดการทรัพยากรต่าง ๆ ในองค์กร เป็นต้น

ซึ่งเมื่อนำไปฝากไว้กับผู้ให้บริการ Cloud แล้ว นอกจากไม่ต้องกังวลกับเรื่องการดูแลจัดการที่กล่าวมาข้างต้น  และยังมีมาตรฐานในการให้บริการเพิ่มขึ้นมาอีกด้วย เช่น การเช่าตู้ Rack หรือห้อง Data Center ส่วนตัว, Computer Server สำหรับการลง Software, Application เพื่อการสร้างเว็ปไซต์ หรือระบบสารสนเทศขององค์กรต่าง ๆ โดยสามารถเพิ่ม หรือลด พี้นที่ใช้งานหรือความจุหน่วยความจำได้เพื่อความเหมาะสมสำหรับแต่ละองค์กร ฯลฯ อีกทั้งผู้ให้บริการยังมีระบบ Network ความเร็วสูง หากไฟฟ้าดับ หรือมีปัญหาก็ยังมีระบบไฟฟ้าสำรองฉุกเฉินเพื่อให้ระบบสารสนเทศ หรือเว็ปไซต์ต่างๆ ที่ลูกค้านำมาฝากไว้ สามารถทำงานต่อได้อย่างมีประสิทธิภาพและราบรื่น ธุรกิจไม่สะดุด หรือเกิดความเสียหาย

จะสังเกตได้ว่าหลาย ๆ องค์กรเริ่มเห็นความสำคัญ และเริ่มนำระบบ Cloud เข้ามาใช้งาน แต่ยังมีอีกหลายองค์กรที่ยังไม่มั่นใจว่าระบบ Cloud ที่ให้บริการนั้นมีความปลอดภัยมากแค่ไหน การเข้าถึงระบบต่าง ๆ พื้นที่ของระบบเป็นอย่างไร จำกัดสิทธิ์ในการเข้าถึงมากน้อยแค่ไหน สิ่งต่าง ๆ เหล่านี้ทำให้เกิดความไม่มั่นใจในการใช้งาน Cloud ดังนั้น บทความนี้จะอธิบายเรื่องระบบรักษาความปลอดภัยคลาวด์หรือ Cloud Security นั้นเป็นอย่างไร

ระบบ Cloud Security คือ

ระบบที่มีการออกแบบ และพัฒนาเรื่องของความปลอดภัยจากผู้ให้บริการ หรือ บริษัทผู้พัฒนาระบบด้านการรักษาความปลอดภัยทางเทคโนโลยีสารสนเทศจากทั่วโลก ระบบการทำงานจะเป็น AI สามารถที่จะเลือกพื้นที่ปลอดภัยเหมาะสมในการจัดเก็บข้อมูลได้ นอกจากนั้น Cloud Security ยังมีการอัปเดต Patch หรือ Database Signature อย่างต่อเนื่อง เพื่อตรวจสอบช่องโหว่ และ บั๊ก ต่างๆ ของระบบ จึงวางใจได้ในเรื่องความปลอดภัยจากการโจมตีและภัยคุกคามทางไซเบอร์ อีกทั้งการเข้าถึงพื้นที่จัดเก็บข้อมูลบน Cloud จะมีการรายงานและแจ้งเตือนให้ผู้ดูแลระบบทราบโดยตลอด จึงเป็นไปได้ยากที่ข้อมูลจะถูกโจรกรรม

ปัจจุบันมีผู้ให้บริการเทคโนโลยี Cloud หลายราย ซึ่งต่างก็พัฒนาระบบของตนเองเพื่อแข่งขันทางการค้าทำให้ระบบมีความปลอดภัยมากขึ้น ทั้งยังพัฒนารูปแบบการใช้งานที่หลากหลาย และสะดวกมากขึ้นด้วย รวมทั้่งการบริหารจัดการสิทธิ์ในการเข้าถึงข้อมูล ก็สามารถทำได้ง่ายขึ้น ลดความซับซ้อนและทำให้สามารถกำหนดเรื่องความปลอดภัยตรงต่อความต้องการของผู้ใช้งานได้เป็นอย่างดี อีกทั้งผู้ให้บริการยังนำมาตรฐานด้าน IT ที่เกี่ยวข้องกับระบบ Cloud Security เพื่อให้เป็นไปตามมาตรฐานระดับโลก เช่น

  1. ISO/IEC 27001:2013 ความมั่นคงปลอดภัยข้อมูลสารสนเทศ
  2. ISO/IEC 27017:2015 Cloud Security
  3. ISO/IEC 27018:2014 การทำ Personally Identifiable Information (PII) ของผู้ให้บริการ Public-cloud
  4. ISO/IEC 29100:2011 Privacy framework
  5. ISO/IEC 27036:2014 Security in Supplier Relationship

ดังนั้น การตัดสินใจนำระบบสารสนเทศขององค์กรไปฝากไว้กับผู้ให้บริการ Cloud นั้น ในพี้นฐานควรศึกษาจากทรัพยากรต่าง ๆ ขององค์กรมีความสำคัญอย่างไร ผู้ให้บริการ Cloud มีระบบที่สามารถดูแลทรัพยากรของผู้ใช้งานได้ดีเพียงใด และองค์กรนั้นๆ ควรต้องขอคำปรึกษาผู้ให้บริการที่สนใจว่า สิ่งที่ผู้ให้บริการมีนั้นเป็นไปตามข้อกำหนดที่องค์กรต้องการหรือไม่ เช่น การเข้าถึงระบบต่าง ๆ เรื่องระบบรักษาความปลอดภัยด้าน Physical เช่น Door Access, CCTV, การเข้าถึงตู้ Rack ที่ฝากระบบไว้ เป็นต้น หรือด้าน Logical เช่น การ Remote Access, เส้นทางที่จะให้ผู้ดูแลระบบเข้าใช้งาน และตรวจสอบระบบ เป็นต้น ทั้งหมดนี้สิ่งสำคัญของการเลือกใช้ Cloud Security

เพราะความสะดวกและง่ายในการเริ่มต้นใช้งาน cloud เรื่องที่ต้องกังวลจึงเป็นเรื่องความปลอดภัยในการตั้งค่าที่อาจจะผิดพลาด หรือ ไม่ได้ตั้งค่า (cloud misconfiguration)  ทำให้เกิดการรั่วไหลของข้อมูลได้เช่นกัน ดังเช่นในข่าวเรื่อง ข้อมูลชี้ Cloud Misconfiguration และ Social Phishing เป็นภัยที่น่าห่วง เป็นต้น

บทความโดย บรรณศักดิ์ ยุวมิตร

เขียนโดย : บรรณศักดิ์ ยุวมิตร

ทีมงานที่ดูแลด้านอุปกรณ์ Network Security



เนื้อหาที่เกี่ยวข้อง

1. VPN Free ที่ให้ใช้ฟรี ซ่อนภัยออนไลน์มาด้วยหรือไม่

2. Ransomware คืออะไร ป้องกันและแก้ไขอย่างไร

3. การทำให้มือถือ Android กลายเป็นอุปกรณ์ Pentest ระบบ

4. พ.ร.บ. คุ้มครอง “ข้อมูลส่วนบุคคล” องค์กรต้องเตรียมความพร้อมอย่างไร

5. การใช้ FortiView ใน Fortigate Firewall เพื่อแก้ไขปัญหาเครือข่าย