Cloud Security คืออะไร ? ทำงานอย่างไร ? ต่างจากระบบการรักษาความปลอดภัยแบบดั้งเดิมอย่างไร ?

Cloud Security คืออะไร ?

Digital Transformation (การเข้าสู่ยุคดิจิทัล) และ Cloud Migration (การย้ายเข้าสู่คลาวด์) สองคำนี้เป็นเหมือนคำขวัญประจำองค์กรที่เราได้ยินกันเป็นบ่อยครั้งในช่วงไม่กี่ปีที่ผ่านมานี้ แม้สองสิ่งนี้จะมีความหมายแตกต่างกัน แต่มันก็มีสิ่งที่เหมือนกันอยู่คือ "การเปลี่ยนแปลง"

องค์กรที่ปรับตัวเข้าสู่ยุคใหม่นี้ จะต้องเผชิญกับแนวคิดของโครงสร้างการทำงานที่เปลี่ยนไป การสร้างสมดุลระหว่างประสิทธิภาพ และความปลอดภัย เป็นความท้าทายใหม่ที่ทุกองค์กรต้องวางแผนรับมือให้ดี การจะใช้คลาวด์ให้ข้อมูลมีความปลอดภัย ก็จำเป็นต้องอาศัย Cloud Security ที่ดีเข้ามาช่วย

Cloud Security (หรือ Cloud Computing Security) ที่จริงแล้วเป็นระบบรักษาความปลอดภัยที่จะคอยช่วยปกป้องข้อมูล, แอปพลิเคชัน และโครงสร้างระบบต่าง ๆ ที่อยู่บนคลาวด์ จากการโจมตี และภัยคุกคามทางไซเบอร์ต่าง ๆ นั่นเอง

แม้โครงสร้างการทำงานของมันจะแตกต่างไปจาก Cybersecurity (ความปลอดภัยทางไซเบอร์) แบบดั้งเดิม ที่เดิมที ผู้ดูแลระบบจะต้องคอยเฝ้าระวังความปลอดภัยของทรัพย์สิน ที่อยู่ในการคุ้มครองภายใต้โครงสร้างของผู้ให้บริการที่เป็น บุคคลที่สาม (3^rd-Party) แต่เป้าหมายในการทำงานของมันก็เหมือนกันนั่นคือ เพื่อรักษาความปลอดภัยให้กับข้อมูลอันมีค่าของผู้ใช้งาน

Cloud Security คืออะไร ?
(What is Cloud Security ?)

ก่อนอื่นเรามาเข้าใจพื้นฐานของ การประมวลผลแบบคลาวด์ (Cloud Computing) กันก่อนสักเล็กน้อย โดย Cloud Computing เป็นบริการชนิดหนึ่ง ที่สามารถนำเอา แอปพลิเคชัน (Application), ซอฟต์แวร์ (Software), ฮาร์ดแวร์ (Hardware) และ พื้นที่เก็บข้อมูล (Data Storage) ไปเก็บไว้บนเครื่องเซิร์ฟเวอร์ เพื่อให้สามารถเข้าถึงได้ผ่านเครือข่ายอินเทอร์เน็ต ประโยชน์ของมันมีอยู่มากมาย ไม่ว่าจะเป็นความเร็วในการวางระบบ, มีความยืดหยุ่นสูง, ใช้เงินลงทุนเริ่มต้นต่ำ และรองรับการปรับขนาดของระบบ ซึ่งช่วยให้ Cloud Computing สามารถใช้ได้ทั้งในองค์กรทุกขนาด โดยมีทั้ง

• Public Clouds Services
  เป็นการโฮสต์ข้อมูลเอาไว้ที่ผู้ให้บริการคลาวด์ รวมไปถึงพวก Software as a Service (SaaS), Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS) ด้วย
• Private Clouds
  เป็นคลาวด์ที่ใช้งานในองค์กรเดียวโดยเฉพาะ
• Hybrid Clouds
  เป็นการผสมผสานการทำงานระหว่าง Public Cloud Services และ Private Clouds

ส่วน Cloud Security นั้นก็จะหมายถึงเทคโนโลยี, นโยบาย, การควบคุม และบริการ ที่มีไว้เพื่อปกป้องข้อมูล, แอปพลิเคชัน, ซอฟต์แวร์ หรือโครงสร้างที่อยู่บนคลาวด์นั่นเอง

Cloud Security มีความสำคัญอย่างไร ?
(Why Cloud Security is important ?)

ในองค์กรส่วนใหญ่ เริ่มทยอยปรับตัวไปสู่การใช้คลาวด์ ไม่ว่าจะเป็น IaaS, Paas หรือ SaaS ก็ตาม ความเปลี่ยนแปลงที่เกิดขึ้นของโครงสร้างการจัดการ โดยเฉพาะอย่างยิ่งในการปรับขนาดระบบ หรือบริการ จะนำมาซึ่งความท้าทายหลายอย่างให้แก่องค์กร แม้มันจะมีส่วนช่วยลดภาระด้านไอทีให้กับตัวองค์กร แต่การเข้าใจถึงระบบรักษาความปลอดภัยให้กับข้อมูลขององค์กรก็เป็นปัญหาใหม่ที่ทีมไอทีจะต้องตามให้ทันด้วย

แม้ว่าทางผู้ให้บริการคลาวด์ที่เป็น 3^rd-Party จะช่วยดูแลด้านโครงสร้างระบบให้ แต่ความรับผิดชอบของข้อมูลที่เปรียบเสมือนกับทรัพย์สินของบริษัทก็ไม่ได้หมายความว่าจะเป็นหน้าที่ของผู้ให้บริการคลาวด์ทั้งหมดทุกภาคส่วนอยู่ดี

โดยทั่วไปแล้ว ผู้ให้บริการคลาวด์ส่วนใหญ่จะมีการจัดเตรียมระบบรักษาความปลอดภัยตามแนวทางการป้องกันที่ดีที่สุดเอาไว้เพื่อปกป้องเซิร์ฟเวอร์เอาไว้ให้แล้ว แต่อย่างไรก็ตาม ทางตัวผู้ใช้บริการ หรือบริษัทก็ต้องพิจารณาถึงแนวทางการป้องกันข้อมูล, แอปพลิเคชัน และปริมาณงานที่ทำบนคลาวด์ด้วย

ระบบป้องกันของผู้ให้บริการคลาวด์ส่วนใหญ่ก็จะมีระบบตรวจสอบ, แจ้งเตือนความเคลื่อนไหวของข้อมูลที่เกิดขึ้นบนเซิร์ฟเวอร์ และก็พวกระบบสำรองข้อมูล แต่ในสายตาของเจ้าหน้าที่รักษาความปลอดภัยด้านไอทีของบริษัทคุณ อาจรู้สึกว่าเครื่องมือเหล่านั้นยังไม่สามารถป้องกันได้ครอบคลุมมากพอ ช่องว่างระหว่างเครื่องมือที่ผู้ให้บริการคลาวด์มีให้ กับสิ่งที่องค์กรต้องการ ทำให้ความเสี่ยงที่ข้อมูลจะสูญหาย หรือถูกขโมยมีโอกาสเพิ่มสูงขึ้นได้

ด้วยเหตุผลนี้ ทางผู้ใช้งานจึงต้องวางแผนรับมือกับความเสี่ยง และผลประโยชน์ในการใช้คลาวด์อย่างเหมาะสม ข้อมูลระดับไหนที่องค์กรสามารถจัดการความเสี่ยงได้ก็สามารถใช้คลาวด์ได้ 

Cloud Security คือระบบที่ผู้ให้บริการให้ความร่วมมือกัน
(Cloud Security System is Service Provider's Collaboration)

ในตอนต้นของบทความเราได้กล่าวว่า Cloud Security มี โครงสร้างการทำงานของมันจะแตกต่างไปจาก Cybersecurity จุดแตกต่างที่สำคัญอย่างหนึ่งคือ Cybersecurity มักจะทำงานแบบระบบใครระบบมันเป็นหลัก อาจจะมีแค่การแชร์ ใช้งานฐานข้อมูล หรือช่องโหว่ที่ค้นพบร่วมกันบ้างเท่านั้นเอง

แต่เมื่อเป็นคลาวด์ ผู้ให้บริการคลาวด์ก็มีอยู่หลายราย ระบบที่ถูกติดตั้งบนคลาวด์ก็มีอยู่หลายประเภท และมักจะต้องมีการเชื่อมต่อหากัน ดังนั้น ถ้าต่างคนต่างใช้ Cybersecurity แยกกัน มันก็ยากที่จะครอบคลุมถึงการป้องกันปัญหาทั้งหมดได้ จึงต้องมีการพัฒนา Cloud Security ขึ้นมา

การทำงานของ Cloud Security จึงเป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการ กับลูกค้าที่เป็นผู้ใช้งาน โดยพื้นฐานแล้วจะมีการแบ่งส่วนที่ต้องรับผิดชอบร่วมกันออกเป็น 3 หมวดหมู่ใหญ่ คือ ความรับผิดชอบของฝั่งผู้ให้บริการ, ความรับผิดชอบของฝั่งผู้ใช้ และความรับผิดชอบที่ขึ้นอยู่กับรูปแบบบริการ ที่ได้รับความนิยมก็จะมี Infrastructure as a Service (IaaS), Platform as a Service (PaaS) และ Software as a Service (SaaS)

ความรับผิดชอบของฝั่งผู้ให้บริการ

เกี่ยวข้องกับระบบป้องกันของตัวโครงสร้างพื้นฐาน อย่างเช่น การเข้าถึงตัวระบบ, การแพทช์ช่องโหว่ด้านความปลอดภัย, การตั้งค่าโฮสต์ และระบบเน็ตเวิร์ค เป็นต้น

ความรับผิดชอบของฝั่งผู้ใช้

จะเป็นด้านการบริหารจัดการด้านบัญชีผู้ใช้ และสิทธิ์ในการเข้าถึงส่วนต่าง ซึ่งจะต้องมีระบบป้องกันไม่ให้บัญชีที่ไม่ได้รับอนุญาตเข้าถึงพื้นที่นอกเหนือส่วนที่กำหนดสิทธิ์เอาไว้ได้ รวมไปถึงการเข้ารหัสข้อมูล และข้อกำหนดในการเข้าใช้งานต่าง ๆ ด้วย

ความรับผิดชอบที่ขึ้นอยู่กับรูปแบบบริการ

IaaS (Infrastructure-as-a-Service)

เป็นระบบแบบผสม (Hybrid) ที่ทางองค์กรสามารถบริหารข้อมูล และแอปพลิเคชันบางส่วนภายในองค์กรได้ โดยที่อาศัยผู้ให้บริการคลาวด์ในส่วนของการจัดการเซิร์ฟเวอร์, ฮาร์ดแวร์, ระบบเครือข่าย, ระบบจำลอง และพื้นที่เก็บข้อมูลตามที่องค์กรต้องการ

PaaS (Platform-as-a-Service)

เป็นระบบที่ช่วยเพิ่มความคล่องตัวในการพัฒนาบริการ และแอปพลิเคชันขององค์กร ด้วยการใช้ Custom Application Framework ที่สามารถบริหารระบบปฏิบัติการ, อัปเดตซอฟต์แวร์, พื้นที่เก็บข้อมูล และโครงระบบที่อยู่บนคลาวด์

SaaS (Software-as-a-Service)

เป็นซอฟต์แวร์บนคลาวด์ที่โฮสต์ข้อมูลเอาไว้บนเซิร์ฟเวอร์ และมักจะมีค่าใช้จ่ายเป็นแบบรายเดือน หรือรายปี โดยที่ผู้ให้บริการซึ่งเป็น 3^rd-Party จะคอยดูแลปัญหาทางด้านเทคนิคที่อาจจะเกิดขึ้นให้ทั้งหมด เช่น ข้อมูล, Middleware, เซิร์ฟเวอร์ และพื้นที่เก็บข้อมูล เพื่อลดภาระ และค่าใช้จ่ายของทรัพยากรด้านไอทีขององค์กร และช่วยเพิ่มความคล่องตัวให้กับการบริหารขององค์กรได้ด้วย

ข้อมูลเพิ่มเติม : บริการ Cloud แบบ IaaS, PaaS, SaaS, DaaS และ On-Premise คืออะไร ? มีการทำงานอย่างไร ? และ แตกต่างกันอย่างไร ?

Cloud security ทำงานอย่างไร ?
(How does Cloud Security work ?)

อย่างที่เรากล่าวไปแล้วว่า Cloud Computing ทำงานอยู่ในสภาพแวดล้อม 3 รูปแบบ ประกอบไปด้วย Public Cloud, Private Cloud และ Hybrid Cloud

ดังนั้น กลไกการรักษาความปลอดภัยจึงอยู่ใน 2 รูปแบบ แบบแรกคือเครื่องมือที่ทางผู้ให้บริการคลาวด์เตรียมไว้ให้ และแบบที่สองก็คือเครื่องมือที่ทางผู้ใช้ต้องดำเนินการเอง ซึ่งตามปกติแล้ว มาตรการรักษาความปลอดภัยเหล่านี้จะต้องทำงานร่วมกันทั้งสองฝ่าย ไม่ใช้หน้าที่ของฝ่ายใดฝ่ายหนึ่งเพียงฝั่งเดียว ด้วยโมเดลแบบแบ่งความรับผิดชอบร่วมกัน

โมเดลแบบแบ่งความรับผิดชอบร่วมกัน (Shared Responsibility Model)

ถึงแม้ว่าจะไม่มีการกำหนดมาตรฐานเอาไว้อย่างเป็นทางการ แต่โมเดลแบบแบ่งความรับผิดชอบร่วมกัน (Shared Responsibility Model) เป็น Framework ที่คอยตีกรอบว่างานรักษาความปลอดภัยส่วนไหนที่เป็นความรับผิดชอบของผู้ให้บริการคลาวด์ และส่วนไหนที่เป็นความรับผิดชอบของทางลูกค้า

องค์กรที่ใช้บริการคลาวด์ควรจะต้องมีความเข้าใจถึงความรับผิดชอบของการรักษาความปลอดภัย ว่าส่วนไหนที่ทางองค์กรต้องรับผิดชอบ และส่วนไหนที่องค์กรต้องส่งมอบให้ทางผู้ให้บริการคลาวด์เป็นผู้ดูแลให้ โดยอาศัยการตรวจสอบข้อมูลรายละเอียดกับทางผู้ให้บริการ

ภาพจาก : https://www.techtarget.com/searchsecurity/definition/cloud-security

ความรับผิดชอบของฝั่งผู้ใช้ (Customer Security Responsibilities)

เพื่อเติมเต็มระบบรักษาความปลอดภัยนอกเหนือไปจากที่ทางผู้ให้บริการคลาวด์เตรียมเอาไว้ให้ ตามปกติแล้ว ทางผู้ใช้บริการก็จะต้องรับผิดชอบในส่วนของ Application, Middleware, Virtualization, Data, OS, Network และ Runtime Security ใน IaaS Clouds (เช่น Amazon Virtual Private Cloud - AVPC หรือ Microsoft Azure Virtual Network VNet) เป็นต้น

ในส่วนของ PaaS ผู้ใช้งานจะไม่ต้องรับผิดชอบมากนัก โดยทั่วไปก็มีแค่การรักษาความปลอดภัยในส่วนของแอปพลิเคชัน และ Middleware สุดท้ายคลาวด์ส่วนที่เป็น SaaS ส่วนนี้ผู้ใช้บริการคลาวด์จะไม่ต้องรับผิดชอบอะไรมากนัก

ความรับผิดชอบของฝั่งผู้ใช้หลัก ๆ ก็จะเป็นด้าน Data Security และ Identity and Access Management อย่างไรก็ตาม มันขึ้นอยู่รูปแบบคลาวด์ที่ใช้งานด้วย เพราะบางรูปแบบ การเข้ารหัสข้อมูล และข้อตกลงในการเข้าใช้งานจะเป็นความรับผิดชอบของลูกค้าด้วย

องค์กรส่วนใหญ่จะนิยมนำระบบรักษาความปลอดภัยที่ใช้อยู่บนเครือข่าย Local Area Networks (LANs) ที่ใช้อยู่ภายในองค์กรอยู่แล้วไปปรับใช้กับคลาวด์ด้วย ซึ่งจะช่วยให้ทีมผู้ดูแลไม่จำเป็นต้องสร้างนโยบายด้านความปลอดภัยขึ้นมาใหม่ให้ยุ่งยาก

เครื่องมือรักษาความปลอดภัยบนคลาวด์ (Cloud Security Tools)

มีเครื่องมือด้านการรักษาความปลอดภัยที่ถูกใช้ในสภาพแวดล้อมที่อยู่ภายในองค์กรควรถูกนำไปใช้บนคลาวด์ด้วย ถึงแม้ว่าเครื่องมือบางตัวอาจจะมีเวอร์ชันคลาวด์โดยเฉพาะอยู่แล้วก็ตาม เครื่องมือรักษาความปลอดภัยที่มีเฉพาะบนคลาวด์ก็อย่างเช่น

• Cloud Workload Protections Platforms (CWPPs) : เป็นกลไกรักษาความปลอดภัยที่ออกแบบมาเพื่อปกป้อง Workloads
• Cloud Access Security Brokers (CASBs) : เป็นเครื่องมือ หรือบริการที่อยู่กึ่งกลางระหว่างลูกค้าที่ใช้คลาวด์ และผู้ให้บริการคลาวด์ เพื่อบังคับใช้นโยบายรักษาความปลอดภัย เปรียบได้กับยามเฝ้าประตู ที่ช่วยเพิ่มการรักษาความปลอดภัยได้อีกหนึ่งชั้น
• Cloud Security Posture Management (CSPM) : กลุ่มของผลิตภัณฑ์ และบริการด้านความปลอดภัย มีหน้าที่หลายอย่าง ตั้งแต่การคอยตรวจสอบความปลอดภัยบนคลาวด์, แก้ไขปัญหา, ดูแลการตั้งค่าคลาวด์ที่ผิดพลาด ฯลฯ

Security as a Service (SeCaaS) เป็นส่วนหนึ่งของ Software as a service ที่ทางกลุ่มพันธมิตร Cloud Security Alliance (CSA) ได้แบ่งมันออกเป็น 10 หมวด ดังต่อไปนี้

1. Identity And Access Management (IAM)
   เครื่องมือที่ใช้ระบุว่าใคร หรืออะไรที่สามารถเข้าถึงบริการและทรัพยากรในระบบคลาวด์ได้บ้าง และใช้ในการจัดการสิทธิ์อย่างละเอียดได้จากส่วนกลาง
2. Data Loss Prevention (DLP)
   ระบบที่ช่วยปกป้องข้อมูลไม่ให้สูญหาย หรือรั่วไหล
3. Web Security
   ความปลอดภัยของเว็บไซต์
4. Email Security
   ความปลอดภัยของอีเมล
5. Security Assessments
   การตรวจหาช่องโหว่ของระบบ
6. Intrusion Management
   ระบบจัดการการบุกรุก
7. Security Information and Event Management (SIEM)
   เครื่องมือจัดการข้อมูลความปลอดภัย และการจัดการเหตุการณ์ด้านความปลอดภัย เพื่อนำมาวิเคราะห์วางแผน
8. Encryption
   การเข้ารหัสข้อมูล
9. Business Continuity and Disaster Recovery (BCDR หรือ BC/DR)
   กระบวนการในการกู้ระบบเพื่อให้ธุรกิจสามารถดำเนินการต่อได้ ในกรณีที่ระบบล่ม หรือเกิดความเสียหาย
10. Network Security
    ความปลอดภัยของระบบเครือข่าย

ระบบคลาวด์ ปลอดภัยกว่า ระบบแบบเดิมหรือไม่ ?
(Is Cloud more safer than Traditional System ?)

คนส่วนใหญ่มักมีความเข้าใจผิดเชื่อว่าคลาวด์นั้นไม่ปลอดภัยเท่ากับระบบแบบดั้งเดิม ที่ทุกอย่างอยู่ภายในองค์กร สามารถควบคุมทุกสิ่งได้ด้วยตนเอง แต่ปัญหาคือ องค์กรส่วนใหญ่ไม่ได้มีความเชี่ยวชาญ หรืองบลงทุนกับระบบรักษาความปลอดภัยมากพอเท่ากับผู้ให้บริการคลาวด์ และนั่นเป็นเหตุผลที่ทำให้โดยเฉลี่ยแล้ว คลาวด์จึงมีความปลอดภัยมากกว่า ข้อได้เปรียบของคลาวด์ประกอบไปด้วย

• มีทีมที่ประกอบขึ้นจากผู้เชี่ยวชาญด้านความปลอดภัย ที่ทุ่มเททำงานด้านนี้โดยเฉพาะ
• เทคโนโลยีด้านการรักษาความปลอดภัยมีความทันสมัยมาก เช่น นำระบบตรวจจับด้วย AI
• ในการปกป้องดาต้าในโลกจริงด้วย เช่น รั้ว, เจ้าหน้าที่รักษาความปลอดภัย, กล้องวงจรปิด, ระบบตรวจสอบการเข้าออก ในขณะที่บริษัทหลายแห่ง มีแค่ประตูกระจก และที่สแกนนิ้วเท่านั้นที่ไม่น่าช่วยให้รอดจากการโจรกรรมได้
• มีทีมงานคอยดูแลตลอด 24 ชั่วโมง

แม้ข่าวการรั่วไหลของข้อมูลของคลาวด์ดูจะเป็นข่าวใหญ่ในช่วงไม่กี่ปีที่ผ่านมานี้ แต่เคสส่วนใหญ่ก็ไม่ได้เป็นที่ระบบ แต่เป็นผลมาจากความผิดพลาดของผู้ใช้งานเสียมากกว่า ดังนั้น จึงเป็นเรื่องสำคัญที่องค์กรควรศึกษา และเอาใจใส่ด้านการรักษาความปลอดภัยของข้อมูลด้วยตนเอง อย่าฝากความหวังเอาไว้ที่ผู้ให้บริการคลาวด์เพียงอย่างเดียว