Cloud Security การวางระบบให้ใช้งานได้อย่างปลอดภัย

 

Cloud Talk No. 5 Cloud Security ในครั้งนี้ได้พูดถึง 2 ประเด็นหลักๆ คือ หลักการพิจารณาในการเลือกผู้ให้บริการ Cloud และ การวาง Cloud Architect ที่ช่วยให้ใช้งานระบบคลาวด์ได้อย่างปลอดภัย

 

 

การจัดการเกี่ยวกับระบบ Security

ปัจจุบันบริษัทส่วนใหญ่มักจะเก็บข้อมูลต่างๆขององค์กรไว้ที่ Server และจัดเก็บ Server เหล่านั้นไว้ที่ Data Center อีกทีหนึ่ง ทำให้ต้องลงทุนอุปกรณ์ Infrastructure ที่จำเป็น รวมไปถึงอุปกรณ์ security ต่างๆ เช่น firewall, IPS, IDS, DDoS เพื่อสร้างความปลอดภัยไม่ให้ระบบถูก hack หรือโดนไวรัส ซึ่งอุปกรณ์ security เหล่านี้มีราคาค่อนข้างสูง แต่ในปัจจุบัน เมื่อ IT ของแต่ละบริษัทเริ่มมีความมั่นใจย้ายการเก็บข้อมูลมาสู่ระบบ Cloud ซึ่งมีต้นทุนที่ถูกกว่า Physical Server ก็อาจจะมี Risk ด้าน Security เกิดขึ้นได้เช่นกัน ดังนั้นการใช้งานบนระบบ Cloud จึงไม่ใช่เพียงแค่ซื้อ Firewall แล้วจบเหมือนเมื่อก่อน แต่ผู้ใช้งานควรจะพิจารณาในเรื่อง Security ด้วย ซึ่งสามารถทำได้โดยพิจารณาในขั้นตอนการเลือกผู้ให้บริการ Cloud ที่เหมาะสม โดยมีหลักเกณฑ์ในการพิจารณา ดังนี้

 

หลักการพิจารณาในการเลือกผู้ให้บริการ Cloud

  1. ผู้ให้บริการ Cloud มีมาตรฐานใดรองรับบ้าง
  2. มีการแยก Security หรือ Network ตามแต่ละผู้ใช้งานหรือไม่ ( Multi-Tenancy)
  3. หากมีผู้ใช้งานรายอื่นใน Cloud เดียวกันโดนโจมตี ระบบของเรามีจะได้รับผลกระทบหรือไม่
  4. มีการสำรอง และกู้คืนระบบหรือไม่
  5. การจัดเก็บ Data ทำอย่างไร

 

มาตรฐานการให้บริการสากล

ตัวอย่าง  มาตรฐาน Payment Card Industry (PCI) Data Security Standard (DSS) คือ มาตรฐานการควบคุมความปลอดภัย และปกป้องข้อมูลของผู้ถือบัตรเครดิต ซึ่งผู้ให้บริการคลาวด์ที่จะสามารถให้บริการที่มีการทำธุรกรรมทางการเงินเกี่ยวกับบัตรเครดิต จะต้องได้รับ Certified ตัวนี้ เป็นต้น ซึ่งมาตรฐานตัวนี้เป็นมาตรฐานสากลที่ร่วมกำหนดโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. International ข้อกำหนดนี้ได้รับการพัฒนาขึ้นเพื่อช่วยให้ทั่วโลกมีมาตรการด้านความปลอดภัยของข้อมูลที่เป็นมาตรฐานเดียวกัน  รายละเอียดเพิ่มเติม

 

 

การใช้งาน Security บน Cloud มีข้อดีอย่างไร?

  1. สามารถเพิ่มจำนวนได้อย่างรวดเร็ว เพื่อรองรับ Workload ( Benefits of Scale)
  2. ทำให้การบริหารจัดการ Security อยู่บนมาตรฐานเดียวกัน (Standardized) ในการจัดการ Security ขององค์กรปัญหาที่พบบ่อยคือ ต้องใช้อุปกรณ์จากหลายผู้ผลิต หลากหลายวิธีการและ Configuration ซึ่งการเชื่อมต่ออุปกรณ์แต่ละอย่างจึงทำได้ยากเนื่องจากผู้ผลิตจะมีวิธีการ Configure ตามเทคโนโลยีของตนเอง การใช้ Security บน Cloud จะช่วยทำให้การ Deploy Security ทำได้ง่ายขึ้นเพราะ Cloud Provider จะทำการ customize มาเรียบร้อยแล้ว
  3. รวดเร็ว และมีประสิทธิภาพ สามารถปรับเปลี่ยนได้ทันที
  4. ผ่านการ Audits ตามมาตรฐานของแต่ละ Cloud Provider
  5. ลดต้นทุน เนื่องจาก การเช่าใช้ระบบ Cloud มีการคิดค่าใช้จ่ายแบบเช่าใช้ คิดค่าใช้จ่ายตามจริง ลูกค้ามีทางเลือกที่หลากหลายในการเลือกใช้ Security Solution โดยสามารถเลือกใช้บริการจาก Marketplace ของผู้ให้บริการ Cloud บางราย และสามารถเปรียบเทียบราคาได้ทันทีจึงประเมินค่าใช้จ่ายล่วงหน้าได้ ทำให้การวางงบประมาณทางด้าน IT เป็นไปอย่างมีประสิทธิภาพ
  6. ประหยัดเวลา ผู้ใช้ไม่ต้องเสียเวลาไปเลือกซื้อตาม Brand เพียงดูแค่ข้อกำหนดว่าสิ่งที่อยากได้คืออะไร ไม่ต้องยุ่งเรื่อง hardware ไม่ต้องยุ่งเรื่อง Maintenance Agreement (MA)

การใช้งาน Cloud เปรียบเสมือนการเอาข้อมูลขององค์กรที่สำคัญไปฝากไว้กับคนอื่น (ผู้ให้บริการ Cloud)  ดังนั้น Cloud Security จึงเป็นประเด็นที่ผู้ใช้งานควรให้ความสำคัญ เพื่อป้องกันการถูกโจมตีระบบ ทั้งจาก Private หรือ Public และยังทำให้คุณวางแผนที่จะนำระบบ Cloud มาใช้ในองค์กรได้อย่างปลอดภัยยิ่งขึ้น ซึ่งสามารถทำได้โดยพิจารณาเลือกผู้ให้บริการ Cloud ที่ได้มาตรฐาน มี Certified และเหมาะสมกับการใช้งานของแต่ละองค์กร

 

ติดตาม Cloud Talk ครั้งต่อไปได้ที่ www.facebook.com/cloudtalk

 

เอกสารการบรรยาย Next Generation Security Platform – Palo Alto Download

เอกสารการบรรยาย Cloud Security – True IDC Download

 

by นิตินัย ภู่พัฒนสิริ, ภัคพงษ์ สิทธาพานิช