ความปลอดภัยของระบบคลาวด์
แม้ว่าหลายองค์กรได้นำการประมวลผลแบบคลาวด์มาใช้แล้ว หรือกำลังอยู่ในขั้นตอนการเปลี่ยนไปใช้โซลูชันระบบคลาวด์ แต่อีกหลายองค์กรก็ยังลังเล
บทความ...ศรุต อัศวกุล Optimum Solution Defined (OSD)
ในยุโรปมีการเปิดเผยว่าผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer : CIO) ที่ยังไม่ได้นำการประมวลผลแบบคลาวด์มาใช้ มีเรื่องกังวลดังนี้
- ความปลอดภัยของข้อมูลไม่เพียงพอและความเสี่ยงของข้อมูล
- การปฏิบัติตามข้อกำหนดและประเด็นทางกฎหมาย
- ความเสี่ยงในการกำกับดูแลหรือควบคุมข้อมูล
การสำรวจล่าสุดเปิดเผยว่าร้อยละ 78 ของผู้จัดการฝ่ายไอทีเห็นว่าการความปลอดภัยเป็นอุปสรรคใหญ่ที่สุดในการนำเทคโนโลยีคลาวด์มาใช้และความกังวลเรื่องความปลอดภัยจากการเก็บข้อมูลในศูนย์ข้อมูลภายนอกโดยบุคคลที่สามและการควบคุมและการเข้าถึง และหลายองค์กรมีความกังวลอย่างมากเกี่ยวกับการละเมิดความปลอดภัยที่อาจส่งผลให้ข้อมูลส่วนบุคคลสูญหายหรือถูกขโมย และอาจนำมาซึ่งการละเมิดความปลอดภัยที่จะทำให้คู่แข่งเข้าถึงข้อมูลที่มีความละเอียดอ่อนสูง การรวมข้อมูลจำนวนมหาศาลภายในคลาวด์สาธารณะขนาดใหญ่ยังถูกมองว่าเป็นการสร้างจุดอ่อนใหญ่ในกรณีที่การสื่อสารล้มเหลวอีกด้วย (ทำให้ข้อมูลไม่พร้อมใช้งาน)
การสร้างความมั่นใจเกี่ยวกับความสามารถของการประมวลผลแบบคลาวด์ให้มีการควบคุมที่ปลอดภัยและมีประสิทธิภาพ จะทำให้มั่นใจได้ว่าการย้ายแอปพลิเคชันและข้อมูลไปยังบริการคลาวด์นั้นปลอดภัย ไม่มีวิธีการรักษาความปลอดภัยที่สำเร็จรูปและเหมาะกับการประมวลผลแบบคลาวด์ได้ในทุกรูปแบบเพราะคลาวด์มีหลายรูปแบบ มีระดับความยืดหยุ่นที่แตกต่างกันและมีความเสี่ยงที่แตกต่างกัน ด้วยเหตุนี้ จึงเป็นเรื่องพื้นฐานที่จะต้องเข้าใจรูปแบบการปรับใช้แต่ละคุณลักษณะที่เกี่ยวข้องเพื่อประเมินความเสี่ยงและความปลอดภัยโดยรอบของบริการคลาวด์
ประเภทของ Cloud Computing (Service Models)
- Software-as-a-Service (SaaS) หมายถึง บริการด้านแอปพลิเคชันที่ทำงานบนโครงสร้างพื้นฐานระบบซึ่งผู้ใช้บริการสามารถเข้าใช้งานแอปพลิเคชัน โดยผู้ให้บริการทำหน้าที่บริหารจัดการโครงสร้างพื้นฐานระบบคลาวด์ซึ่งครอบคลุมถึงความปลอดภัยทางกายภาพระบบปฏิบัติการ ระบบเครือข่ายระบบจัดเก็บข้อมูล รวมถึงค่าพื้นฐานของแอปพลิเคชัน
- Platform-as-a-Service (PaaS) หมายถึง บริการด้านแฟลตฟอร์มที่ทำงานบนโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งผู้ใช้บริการสามารถเข้าแฟลตฟอร์มในการพัฒนาแอปพลิชัน โดยผู้ให้บริการทำหน้าที่บริหารจัดการโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งครอบคลุมถึงความปลอดภัยทางกายภาพระบบปฏิบัติการ ระบบเครือข่าย และระบบให้บริการ เช่น เว็บเซอร์วิส และระบบจัดการฐานข้อมูล เป็นต้น
- Infrastructure-as-a-Service (IaaS) หมายถึง บริการด้านโครงสร้างพื้นฐานระบบคลาวด์ที่มีการงานทรัพยากรทางด้านระบบสารสนเทศร่วมกัน เช่น ระบบปฏิบัติการ ระบบเครือข่าย หรือระบบจัดเก็บข้อมูลโดยทางผู้ให้บริการทำหน้าที่ดูแลทางกายภาพและทรัพยากรสารสนเทศที่ใช้ในการสนับสนุนการทำงานของโครงสร้างพื้นฐานระบบคลาวด์
รูปแบบของการนำไปใช้งาน (Deployment Models)
- Public Cloud หมายถึง โครงสร้างพื้นฐานระบบคลาวด์ที่เปิดให้ใช้งานผ่านเครือข่ายสาธารณะ
- Private Cloud หมายถึง โครงสร้างพื้นฐานระบบคลาวด์ที่จัดเตรียมไว้สำหรับการใช้งานโดยหน่วยงานภายในองค์กรเดียวกัน
- Hybrid Cloud หมายถึง โครงสร้างพื้นฐานระบบคลาวด์ที่ประกอบด้วยโครงสร้างพื้นฐานระบบคลาวด์ที่แตกต่างกันตั้งแต่สองรูปแบบขึ้นไป (Public และ Private)
ด้วยการปรับใช้ระบบคลาวด์ที่แตกต่างกัน รวมถึงการปรับใช้แบบสาธารณะและแบบส่วนตัว และการเรียงสับเปลี่ยนแบบไฮบริดที่หลากหลาย จึงไม่มีวิธีการรักษาความปลอดภัยแบบเดียวที่สามารถครอบคลุมทุกสถานการณ์ได้ การผสมผสานระหว่างตัวเลือกการปรับใช้และพิจารณาความเสี่ยง ซึ่งรวมถึงภัยคุกคาม ความสามารถในการตอบสนอง จึงต้องนำแนวทางตามความเสี่ยงมาใช้เพื่อกำหนดรูปแบบการปรับใช้ที่เหมาะสมกับความเสี่ยง
แนวทางประเมินความเสี่ยงเพื่อระบุรูปแบบการปรับใช้ที่เหมาะสมกับความเสี่ยง
องค์กรควรใช้แนวทางตามความเสี่ยงเพื่อประเมินความเสี่ยงของระบบคลาวด์เบื้องต้นและเพื่อระบุรูปแบบการปรับใช้ระบบคลาวด์ที่เหมาะสมที่สุด:
- ระบุสินทรัพย์สำหรับการปรับใช้ระบบคลาวด์: ขั้นตอนแรกในการประเมินความเสี่ยงสำหรับระบบคลาวด์ คือ การพิจารณาว่าข้อมูลหรือแอปพลิเคชันใดที่กำลังจะใช้
- ประเมินสินทรัพย์: ขั้นตอนนี้ประกอบด้วยการกำหนดว่าข้อมูลหรือแอปพลิเคชันมีความสำคัญต่อองค์กรอย่างไร โดยพื้นฐานแล้ว หมายถึงการประเมินข้อกำหนดการรักษาความลับ ความสมบูรณ์ และความพร้อมในการใช้งาน และการเปลี่ยนแปลงความเสี่ยงหากสินทรัพย์ทั้งหมดหรือบางส่วนใช้ระบบคลาวด์
ข้อกำหนดในการควบคุมความปลอดภัยที่ปรับให้เข้ากับตัวเลือกการปรับใช้ระบบคลาวด์เฉพาะขององค์กร มาตรฐานการรักษาความปลอดภัยของข้อมูลและเฟรมเวิร์กการปฏิบัติตามข้อกำหนดจำนวนมากได้รับการกำหนดขึ้น เช่น ISO/IEC 27001, ISO/IEC 27002 , NIST SP 800-53 หรือ PCI DSS เป็นต้น
ภัยคุกคามต่อความปลอดภัย แต่ยังเป็นโอกาสที่สำคัญ
ตามที่ได้อธิบายไว้ก่อนหน้านี้ในบทความนี้ แรงต้านต่อการนำคลาวด์มาใช้นั้นเกี่ยวข้องกับความปลอดภัยของข้อมูลและความเสี่ยงของความพร้อมของข้อมูล อย่างไรก็ตาม เมื่อเปรียบเทียบกับศูนย์ข้อมูลภายในแล้ว คลาวด์ไม่ได้ปลอดภัยน้อยกว่าเสมอไป ในบางกรณี ระบบคลาวด์จะช่วยเพิ่มความปลอดภัย เนื่องจากผู้ให้บริการระบบคลาวด์สามารถสร้างทรัพยากรในการรักษาความปลอดภัย ซึ่งผู้ใช้ไม่สามารถจ่ายได้หากต้องทำด้วยตัวเอง
ในแง่ของความพร้อมใช้งานของข้อมูล ผู้ให้บริการระบบคลาวด์ส่วนใหญ่จะทำการสำรองข้อมูลของผู้ใช้ในหลายตำแหน่ง ซึ่งจะเพิ่มจำนวนสำรองของข้อมูลและการป้องกันความล้มเหลวของระบบและให้ระดับของการกู้คืนจากความเสียหายได้อย่างรวดเร็ว นอกจากนี้ ผู้ให้บริการระบบคลาวด์ยังมีความสามารถในการจัดสรรทรัพยากรการรักษาความปลอดภัยที่มีประสิทธิภาพ การกำหนดรูปแบบการรับส่งข้อมูล หรือการเข้ารหัสเพื่อเพิ่มมาตรการป้องกัน
โดยสรุป เมื่อย้ายแอปพลิเคชันไปยังระบบคลาวด์ องค์กรต่างๆ จะต้องใช้ความระมัดระวังเพื่อให้แน่ใจว่าความเสี่ยงจะได้รับการจัดการอย่างเหมาะสม รวมทั้งการใช้ประโยชน์จากข้อได้เปรียบของระบบคลาวด์ เพื่อปรับปรุงการควบคุมความปลอดภัยและต้นทุนที่ต่ำลงในระยะยาว.
อ้างอิง
https://thehackernews.com/2021/06/cybersecurity-executive-order-2021-what.html