Cloud Security ความปลอดภัยบน Cloud Computing

26 พฤษภาคม 2020

บรรณศักดิ์ ยุวมิตร
บรรณศักดิ์ ยุวมิตรทีมงานที่ดูแลด้านอุปกรณ์ Network Security

ระบบ Cloud หรือ Cloud Computing คือการนำทรัพยากรด้านระบบสารสนเทศต่าง ๆ หรือ เว็บไซต์ที่องค์กรใช้งานหรือให้บริการ นำไปฝากไว้กับผู้ให้บริการ Cloud ข้อดีที่เด่นชัดที่สุดคงเป็นเรื่องความง่ายในการสร้าง เพิ่ม ลด ขนาด Server ได้ตามความต้องการ ควบคุมค่าใช้จ่ายได้ง่าย และยังช่วยลดต้นทุนการบริหารจัดการทรัพยากรทางระบบสารสนเทศ เช่น พื้นที่ตั้งระบบสารสนเทศ อุปกรณ์หรือ Server ที่ให้บริการ ระบบไฟฟ้า ค่าไฟฟ้า ค่าบริการระบบอินเตอร์เน็ต บุคลากรที่จะต้องดูแลและจัดการทรัพยากรต่าง ๆ ในองค์กร เป็นต้น

ซึ่งเมื่อนำไปฝากไว้กับผู้ให้บริการ Cloud แล้ว นอกจากไม่ต้องกังวลกับเรื่องการดูแลจัดการที่กล่าวมาข้างต้น  และยังมีมาตรฐานในการให้บริการเพิ่มขึ้นมาอีกด้วย เช่น การเช่าตู้ Rack หรือห้อง Data Center ส่วนตัว, Computer Server สำหรับการลง Software, Application เพื่อการสร้างเว็ปไซต์ หรือระบบสารสนเทศขององค์กรต่าง ๆ โดยสามารถเพิ่ม หรือลด พี้นที่ใช้งานหรือความจุหน่วยความจำได้เพื่อความเหมาะสมสำหรับแต่ละองค์กร ฯลฯ อีกทั้งผู้ให้บริการยังมีระบบ Network ความเร็วสูง หากไฟฟ้าดับ หรือมีปัญหาก็ยังมีระบบไฟฟ้าสำรองฉุกเฉินเพื่อให้ระบบสารสนเทศ หรือเว็ปไซต์ต่างๆ ที่ลูกค้านำมาฝากไว้ สามารถทำงานต่อได้อย่างมีประสิทธิภาพและราบรื่น ธุรกิจไม่สะดุด หรือเกิดความเสียหาย

จะสังเกตได้ว่าหลาย ๆ องค์กรเริ่มเห็นความสำคัญ และเริ่มนำระบบ Cloud เข้ามาใช้งาน แต่ยังมีอีกหลายองค์กรที่ยังไม่มั่นใจว่าระบบ Cloud ที่ให้บริการนั้นมีความปลอดภัยมากแค่ไหน การเข้าถึงระบบต่าง ๆ พื้นที่ของระบบเป็นอย่างไร จำกัดสิทธิ์ในการเข้าถึงมากน้อยแค่ไหน สิ่งต่าง ๆ เหล่านี้ทำให้เกิดความไม่มั่นใจในการใช้งาน Cloud ดังนั้น บทความนี้จะอธิบายเรื่องระบบรักษาความปลอดภัยคลาวด์หรือ Cloud Security นั้นเป็นอย่างไร

ระบบ Cloud Security คือ

ระบบที่มีการออกแบบ และพัฒนาเรื่องของความปลอดภัยจากผู้ให้บริการ หรือ บริษัทผู้พัฒนาระบบด้านการรักษาความปลอดภัยทางเทคโนโลยีสารสนเทศจากทั่วโลก ระบบการทำงานจะเป็น AI สามารถที่จะเลือกพื้นที่ปลอดภัยเหมาะสมในการจัดเก็บข้อมูลได้ นอกจากนั้น Cloud Security ยังมีการอัปเดต Patch หรือ Database Signature อย่างต่อเนื่อง เพื่อตรวจสอบช่องโหว่ และ บั๊ก ต่างๆ ของระบบ จึงวางใจได้ในเรื่องความปลอดภัยจากการโจมตีและภัยคุกคามทางไซเบอร์ อีกทั้งการเข้าถึงพื้นที่จัดเก็บข้อมูลบน Cloud จะมีการรายงานและแจ้งเตือนให้ผู้ดูแลระบบทราบโดยตลอด จึงเป็นไปได้ยากที่ข้อมูลจะถูกโจรกรรม

ปัจจุบันมีผู้ให้บริการเทคโนโลยี Cloud หลายราย ซึ่งต่างก็พัฒนาระบบของตนเองเพื่อแข่งขันทางการค้าทำให้ระบบมีความปลอดภัยมากขึ้น ทั้งยังพัฒนารูปแบบการใช้งานที่หลากหลาย และสะดวกมากขึ้นด้วย รวมทั้่งการบริหารจัดการสิทธิ์ในการเข้าถึงข้อมูล ก็สามารถทำได้ง่ายขึ้น ลดความซับซ้อนและทำให้สามารถกำหนดเรื่องความปลอดภัยตรงต่อความต้องการของผู้ใช้งานได้เป็นอย่างดี อีกทั้งผู้ให้บริการยังนำมาตรฐานด้าน IT ที่เกี่ยวข้องกับระบบ Cloud Security เพื่อให้เป็นไปตามมาตรฐานระดับโลก เช่น

  1. ISO/IEC 27001:2013 ความมั่นคงปลอดภัยข้อมูลสารสนเทศ
  2. ISO/IEC 27017:2015 Cloud Security
  3. ISO/IEC 27018:2014 การทำ Personally Identifiable Information (PII) ของผู้ให้บริการ Public-cloud
  4. ISO/IEC 29100:2011 Privacy framework
  5. ISO/IEC 27036:2014 Security in Supplier Relationship

ดังนั้น การตัดสินใจนำระบบสารสนเทศขององค์กรไปฝากไว้กับผู้ให้บริการ Cloud นั้น ในพี้นฐานควรศึกษาจากทรัพยากรต่าง ๆ ขององค์กรมีความสำคัญอย่างไร ผู้ให้บริการ Cloud มีระบบที่สามารถดูแลทรัพยากรของผู้ใช้งานได้ดีเพียงใด และองค์กรนั้นๆ ควรต้องขอคำปรึกษาผู้ให้บริการที่สนใจว่า สิ่งที่ผู้ให้บริการมีนั้นเป็นไปตามข้อกำหนดที่องค์กรต้องการหรือไม่ เช่น การเข้าถึงระบบต่าง ๆ เรื่องระบบรักษาความปลอดภัยด้าน Physical เช่น Door Access, CCTV, การเข้าถึงตู้ Rack ที่ฝากระบบไว้ เป็นต้น หรือด้าน Logical เช่น การ Remote Access, เส้นทางที่จะให้ผู้ดูแลระบบเข้าใช้งาน และตรวจสอบระบบ เป็นต้น ทั้งหมดนี้สิ่งสำคัญของการเลือกใช้ Cloud Security

เพราะความสะดวกและง่ายในการเริ่มต้นใช้งาน cloud เรื่องที่ต้องกังวลจึงเป็นเรื่องความปลอดภัยในการตั้งค่าที่อาจจะผิดพลาด หรือ ไม่ได้ตั้งค่า (cloud misconfiguration)  ทำให้เกิดการรั่วไหลของข้อมูลได้เช่นกัน ดังเช่นในข่าวเรื่อง ข้อมูลชี้ Cloud Misconfiguration และ Social Phishing เป็นภัยที่น่าห่วง เป็นต้น

บทความโดย บรรณศักดิ์ ยุวมิตร

บทความที่เกี่ยวข้อง