คอลัมนิสต์

ความปลอดภัยของระบบคลาวด์

By Tech, Law and Security02 ก.ค. 2021 เวลา 4:30 น.
ความปลอดภัยของระบบคลาวด์

แม้ว่าหลายองค์กรได้นำการประมวลผลแบบคลาวด์มาใช้แล้ว หรือกำลังอยู่ในขั้นตอนการเปลี่ยนไปใช้โซลูชันระบบคลาวด์ แต่อีกหลายองค์กรก็ยังลังเล

บทความ...ศรุต อัศวกุล Optimum Solution Defined (OSD)

ในยุโรปมีการเปิดเผยว่าผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer : CIO) ที่ยังไม่ได้นำการประมวลผลแบบคลาวด์มาใช้ มีเรื่องกังวลดังนี้

  • ความปลอดภัยของข้อมูลไม่เพียงพอและความเสี่ยงของข้อมูล
  • การปฏิบัติตามข้อกำหนดและประเด็นทางกฎหมาย
  • ความเสี่ยงในการกำกับดูแลหรือควบคุมข้อมูล

การสำรวจล่าสุดเปิดเผยว่าร้อยละ 78 ของผู้จัดการฝ่ายไอทีเห็นว่าการความปลอดภัยเป็นอุปสรรคใหญ่ที่สุดในการนำเทคโนโลยีคลาวด์มาใช้และความกังวลเรื่องความปลอดภัยจากการเก็บข้อมูลในศูนย์ข้อมูลภายนอกโดยบุคคลที่สามและการควบคุมและการเข้าถึง และหลายองค์กรมีความกังวลอย่างมากเกี่ยวกับการละเมิดความปลอดภัยที่อาจส่งผลให้ข้อมูลส่วนบุคคลสูญหายหรือถูกขโมย และอาจนำมาซึ่งการละเมิดความปลอดภัยที่จะทำให้คู่แข่งเข้าถึงข้อมูลที่มีความละเอียดอ่อนสูง การรวมข้อมูลจำนวนมหาศาลภายในคลาวด์สาธารณะขนาดใหญ่ยังถูกมองว่าเป็นการสร้างจุดอ่อนใหญ่ในกรณีที่การสื่อสารล้มเหลวอีกด้วย (ทำให้ข้อมูลไม่พร้อมใช้งาน)

การสร้างความมั่นใจเกี่ยวกับความสามารถของการประมวลผลแบบคลาวด์ให้มีการควบคุมที่ปลอดภัยและมีประสิทธิภาพ จะทำให้มั่นใจได้ว่าการย้ายแอปพลิเคชันและข้อมูลไปยังบริการคลาวด์นั้นปลอดภัย ไม่มีวิธีการรักษาความปลอดภัยที่สำเร็จรูปและเหมาะกับการประมวลผลแบบคลาวด์ได้ในทุกรูปแบบเพราะคลาวด์มีหลายรูปแบบ มีระดับความยืดหยุ่นที่แตกต่างกันและมีความเสี่ยงที่แตกต่างกัน ด้วยเหตุนี้ จึงเป็นเรื่องพื้นฐานที่จะต้องเข้าใจรูปแบบการปรับใช้แต่ละคุณลักษณะที่เกี่ยวข้องเพื่อประเมินความเสี่ยงและความปลอดภัยโดยรอบของบริการคลาวด์

ประเภทของ Cloud Computing (Service Models)

  1. Software-as-a-Service (SaaS) หมายถึง บริการด้านแอปพลิเคชันที่ทำงานบนโครงสร้างพื้นฐานระบบซึ่งผู้ใช้บริการสามารถเข้าใช้งานแอปพลิเคชัน โดยผู้ให้บริการทำหน้าที่บริหารจัดการโครงสร้างพื้นฐานระบบคลาวด์ซึ่งครอบคลุมถึงความปลอดภัยทางกายภาพระบบปฏิบัติการ ระบบเครือข่ายระบบจัดเก็บข้อมูล รวมถึงค่าพื้นฐานของแอปพลิเคชัน
  2. Platform-as-a-Service (PaaS) หมายถึง บริการด้านแฟลตฟอร์มที่ทำงานบนโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งผู้ใช้บริการสามารถเข้าแฟลตฟอร์มในการพัฒนาแอปพลิชัน โดยผู้ให้บริการทำหน้าที่บริหารจัดการโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งครอบคลุมถึงความปลอดภัยทางกายภาพระบบปฏิบัติการ ระบบเครือข่าย และระบบให้บริการ เช่น เว็บเซอร์วิส และระบบจัดการฐานข้อมูล เป็นต้น
  3. Infrastructure-as-a-Service (IaaS) หมายถึง บริการด้านโครงสร้างพื้นฐานระบบคลาวด์ที่มีการงานทรัพยากรทางด้านระบบสารสนเทศร่วมกัน เช่น ระบบปฏิบัติการ ระบบเครือข่าย หรือระบบจัดเก็บข้อมูลโดยทางผู้ให้บริการทำหน้าที่ดูแลทางกายภาพและทรัพยากรสารสนเทศที่ใช้ในการสนับสนุนการทำงานของโครงสร้างพื้นฐานระบบคลาวด์

รูปแบบของการนำไปใช้งาน (Deployment Models)

  1. Public Cloud หมายถึง โครงสร้างพื้นฐานระบบคลาวด์ที่เปิดให้ใช้งานผ่านเครือข่ายสาธารณะ
  2. Private Cloud หมายถึง โครงสร้างพื้นฐานระบบคลาวด์ที่จัดเตรียมไว้สำหรับการใช้งานโดยหน่วยงานภายในองค์กรเดียวกัน
  3. Hybrid Cloud หมายถึง โครงสร้างพื้นฐานระบบคลาวด์ที่ประกอบด้วยโครงสร้างพื้นฐานระบบคลาวด์ที่แตกต่างกันตั้งแต่สองรูปแบบขึ้นไป (Public และ Private)

ด้วยการปรับใช้ระบบคลาวด์ที่แตกต่างกัน รวมถึงการปรับใช้แบบสาธารณะและแบบส่วนตัว และการเรียงสับเปลี่ยนแบบไฮบริดที่หลากหลาย จึงไม่มีวิธีการรักษาความปลอดภัยแบบเดียวที่สามารถครอบคลุมทุกสถานการณ์ได้ การผสมผสานระหว่างตัวเลือกการปรับใช้และพิจารณาความเสี่ยง ซึ่งรวมถึงภัยคุกคาม ความสามารถในการตอบสนอง จึงต้องนำแนวทางตามความเสี่ยงมาใช้เพื่อกำหนดรูปแบบการปรับใช้ที่เหมาะสมกับความเสี่ยง

แนวทางประเมินความเสี่ยงเพื่อระบุรูปแบบการปรับใช้ที่เหมาะสมกับความเสี่ยง

องค์กรควรใช้แนวทางตามความเสี่ยงเพื่อประเมินความเสี่ยงของระบบคลาวด์เบื้องต้นและเพื่อระบุรูปแบบการปรับใช้ระบบคลาวด์ที่เหมาะสมที่สุด:

  • ระบุสินทรัพย์สำหรับการปรับใช้ระบบคลาวด์: ขั้นตอนแรกในการประเมินความเสี่ยงสำหรับระบบคลาวด์ คือ การพิจารณาว่าข้อมูลหรือแอปพลิเคชันใดที่กำลังจะใช้
  • ประเมินสินทรัพย์: ขั้นตอนนี้ประกอบด้วยการกำหนดว่าข้อมูลหรือแอปพลิเคชันมีความสำคัญต่อองค์กรอย่างไร โดยพื้นฐานแล้ว หมายถึงการประเมินข้อกำหนดการรักษาความลับ ความสมบูรณ์ และความพร้อมในการใช้งาน และการเปลี่ยนแปลงความเสี่ยงหากสินทรัพย์ทั้งหมดหรือบางส่วนใช้ระบบคลาวด์

ข้อกำหนดในการควบคุมความปลอดภัยที่ปรับให้เข้ากับตัวเลือกการปรับใช้ระบบคลาวด์เฉพาะขององค์กร มาตรฐานการรักษาความปลอดภัยของข้อมูลและเฟรมเวิร์กการปฏิบัติตามข้อกำหนดจำนวนมากได้รับการกำหนดขึ้น เช่น ISO/IEC 27001, ISO/IEC 27002 , NIST SP 800-53 หรือ PCI DSS เป็นต้น

ภัยคุกคามต่อความปลอดภัย แต่ยังเป็นโอกาสที่สำคัญ

ตามที่ได้อธิบายไว้ก่อนหน้านี้ในบทความนี้ แรงต้านต่อการนำคลาวด์มาใช้นั้นเกี่ยวข้องกับความปลอดภัยของข้อมูลและความเสี่ยงของความพร้อมของข้อมูล อย่างไรก็ตาม เมื่อเปรียบเทียบกับศูนย์ข้อมูลภายในแล้ว คลาวด์ไม่ได้ปลอดภัยน้อยกว่าเสมอไป ในบางกรณี ระบบคลาวด์จะช่วยเพิ่มความปลอดภัย เนื่องจากผู้ให้บริการระบบคลาวด์สามารถสร้างทรัพยากรในการรักษาความปลอดภัย ซึ่งผู้ใช้ไม่สามารถจ่ายได้หากต้องทำด้วยตัวเอง  

ในแง่ของความพร้อมใช้งานของข้อมูล ผู้ให้บริการระบบคลาวด์ส่วนใหญ่จะทำการสำรองข้อมูลของผู้ใช้ในหลายตำแหน่ง ซึ่งจะเพิ่มจำนวนสำรองของข้อมูลและการป้องกันความล้มเหลวของระบบและให้ระดับของการกู้คืนจากความเสียหายได้อย่างรวดเร็ว นอกจากนี้ ผู้ให้บริการระบบคลาวด์ยังมีความสามารถในการจัดสรรทรัพยากรการรักษาความปลอดภัยที่มีประสิทธิภาพ การกำหนดรูปแบบการรับส่งข้อมูล หรือการเข้ารหัสเพื่อเพิ่มมาตรการป้องกัน

โดยสรุป เมื่อย้ายแอปพลิเคชันไปยังระบบคลาวด์ องค์กรต่างๆ จะต้องใช้ความระมัดระวังเพื่อให้แน่ใจว่าความเสี่ยงจะได้รับการจัดการอย่างเหมาะสม รวมทั้งการใช้ประโยชน์จากข้อได้เปรียบของระบบคลาวด์ เพื่อปรับปรุงการควบคุมความปลอดภัยและต้นทุนที่ต่ำลงในระยะยาว.

 อ้างอิง

https://www2.deloitte.com/content/dam/Deloitte/lu/Documents/risk/ensure-control-security-saas-cloud-applications_SHU.pdf

https://thehackernews.com/2021/06/cybersecurity-executive-order-2021-what.html

https://publish.sec.or.th/nrs/8284s.pdf

https://csrc.nist.gov/publications/detail/sp/800-207/final