เตรียมสภาพแวดล้อมคลาวด์ที่ปลอดภัย ให้ตอบรับกับบรรทัดฐานใหม่ทางดิจิทัล โดย นายไทเลอร์ ชิว ผู้จัดการประจำประเทศไทย อาลีบาบา คลาวด์ อินเทลลิเจนซ์

บริษัทจำนวนมากทั่วโลกใช้การทำงานแบบผสมผสาน (ไฮบริด) หรือการทำงานจากระยะไกล ซึ่งกำลังจะกลายเป็น ‘บรรทัดฐานใหม่’ ของคนทำงานหลายล้านคน แต่การโจมตีทางไซเบอร์ก็ยังคงเกิดขึ้นอย่างต่อเนื่องและไม่ลดน้อยลง ธุรกิจจำนวนมากที่กำลังแสวงหาโอกาสต่าง ๆ จากเศรษฐกิจดิจิทัลที่เกิดขึ้นทั่วโลก

จึงจัดให้การสร้างสภาพแวดล้อมด้านไอทีที่ปลอดภัยและเชื่อถือได้มีความสำคัญอยู่ในลำดับต้น ๆ มากขึ้น แม้ว่าการเคลื่อนย้ายไปใช้คลาวด์ และใช้ฟีเจอร์ด้านความปลอดภัยของคลาวด์เป็นวิธีการที่ดีที่จะต่อกรกับความเสี่ยงทางไซเบอร์ต่าง ๆ แต่สิ่งสำคัญที่ต้องคำนึงถึงคือ ต้องเฟ้นหาวิธีที่ดีที่สุดในการสร้างสภาพแวดล้อมคลาวด์ที่ปลอดภัยและเชื่อถือได้ ที่จะสามารถป้องกันได้แม้จากผู้โจมตีที่แข็งกร้าว

การแลกเปลี่ยนความคิดเห็นเกี่ยวกับแนวปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยทางไซเบอร์ยิ่งทวีความสำคัญมากขึ้นในโลกดิจิทัลปัจจุบัน  สำหรับประเทศไทย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำลังจัดทำแผนปฏิบัติการด้านความปลอดภัยทางไซเบอร์อย่างครอบคลุมทุกด้าน เพื่อเป็นกรอบการดำเนินงานและยกระดับเรื่องความปลอดภัยไซเบอร์ให้มีความสำคัญมากขึ้น บทความนี้จะเป็นการแบ่งปันแนวคิดในการสร้างสภาพแวดล้อมของคลาวด์ที่ปลอดภัย เริ่มจากการสร้างสถาปัตยกรรม ไปจนถึงการนำเทคโนโลยีรักษาความปลอดภัยที่ทันสมัยมาใช้ และการวางแนวปฏิบัติในการบริหารจัดการความปลอดภัยที่สำคัญ เพื่อสร้างแรงบันดาลใจให้เกิดการหารือเรื่องนี้อย่างทั่วถึงมากขึ้น  

ออกแบบสถาปัตยกรรมด้านความปลอดภัยระดับองค์กรที่ล้ำสมัย

สถาปัตยกรรมความปลอดภัยที่ยืดหยุ่นและแข็งแกร่งเป็นสิ่งสำคัญในการสร้างสภาพแวดล้อมคลาวด์ที่ทำให้องค์กรมั่นใจได้ว่าระบบและข้อมูลขององค์กรจะมีความสมบูรณ์ พร้อมใช้งาน และได้รับการเก็บรักษาเป็นความลับ 

สถาปัตยกรรมที่ว่านี้ ควรมีโมดูลด้านความปลอดภัยต่าง ๆ ตั้งแต่จุดเริ่มต้นและตามระดับชั้น (เลเยอร์) ต่าง ๆ เพื่อให้บริษัทสามารถสร้างโซลูชันความปลอดภัยของข้อมูลที่เชื่อถือได้บนคลาวด์ทีละเลเยอร์ นับจากความปลอดภัยของโครงสร้างพื้นฐาน ความปลอดภัยของข้อมูล ความปลอดภัยของแอปพลิเคชัน ไปจนถึงเลเยอร์ความปลอดภัยทางธุรกิจ

นอกจากโมดูลด้านความปลอดภัยในทุก ๆ เลเยอร์แล้ว ยังมีเครื่องมือปกป้องข้อมูลแบบอัตโนมัติหลากหลายแบบที่ช่วยให้บริษัทสามารถเข้ารหัสข้อมูล, ทำเวอร์ชวลไลเซชัน, ป้องกันการรั่วไหล, ตลอดจนบริหารจัดการบันทึกการทำงาน และสามารถควบคุมการเข้าถึงข้อมูลในสภาพแวดล้อมการประมวลผลที่ปลอดภัย องค์กรต่าง ๆ ยังสามารถใช้ประโยชน์จากโซลูชันด้านการกำกับดูแลไอทีบนคลาวด์ เพื่อออกแบบและกำหนดระบบความปลอดภัยบนคลาวด์ได้เอง ให้เป็นไปตามกฎระเบียบต่าง ๆ ไม่ว่าจะเป็น ความปลอดภัยของเน็ตเวิร์ก ความปลอดภัยของข้อมูล ไปจนถึงการตรวจสอบการทำงาน และการตรวจสอบคอนฟิกกูเรชัน การใช้โซลูชันด้านความปลอดภัยของข้อมูลที่ควบคุมได้และเป็นไปตามกฎระเบียบนี้ช่วยให้องค์กรมั่นใจว่าข้อมูลที่อยู่บนคลาวด์จะมีความปลอดภัยตลอดวงจรการใช้งาน

สิ่งที่ต้องพิจารณาอีกประการหนึ่งคือ สร้างสภาพแวดล้อมที่มีผู้ใช้หลายราย (multi-tenant environment) โดยใช้หลักการของสิทธิพิเศษน้อยที่สุดและใช้มาตรฐานในการบริหารจัดการและการควบคุมที่สอดคล้องกัน เพื่อปกป้องข้อมูลผู้ใช้จากการเข้าถึงที่ไม่ได้รับอนุญาต  นอกจากนี้ การกำหนดกฎที่เข้มงวดของการเป็นเจ้าของข้อมูลและการทำงานกับข้อมูล เช่น การเข้าถึงข้อมูล การเก็บ และการลบ ก็เป็นสิ่งสำคัญในการสร้างสภาพแวดล้อมที่ปลอดภัยเช่นกัน

นอกจากนี้ องค์กรสามารถนำสถาปัตยกรรมความปลอดภัยแบบ Zero-Trust มาใช้ และสร้างแนวปฏิบัติแบบ Zero-Trust ด้วยการออกแบบเพื่อปกป้องระบบที่สำคัญที่สุดของตน  สถาปัตยกรรมนี้กำหนดให้ผู้ใช้ อุปกรณ์และโหนดที่ร้องขอการเข้าถึงระบบภายใน ต้องได้รับการรับรองความถูกต้องและการให้สิทธิ์โดยใช้โปรโตคอลการเข้าถึงข้อมูลประจำตัว  เป็นการขจัดความเชื่อถือแบบไม่มีการตรวจสอบต่อเนื่องโดยอัตโนมัติ เพื่อจัดการกับความท้าทายสมัยใหม่ในการปกป้องสภาพแวดล้อมของการทำงานจากทุกสถานที่ โครงสร้างพื้นฐานไฮบริดคลาวด์และภัยคุกคามทางไซเบอร์ที่อันตรายมากขึ้น

ใช้เทคโนโลยีรักษาความปลอดภัยที่ล้ำสมัย

เราสามารถใช้เทคโนโลยีรักษาความปลอดภัยที่ล้ำสมัย เช่น การเข้ารหัสข้อมูลที่ครอบคลุม การประมวลผลที่เป็นความลับและโซลูชันเทคโนโลยีใหม่ ๆ มากมาย เพื่อให้มั่นใจว่าเราก้าวทันเทรนด์การรักษาความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ 

การเข้ารหัสข้อมูลที่ครอบคลุมทำให้ลิงก์การส่งข้อมูล (เช่น data-in-motion) โหนดคอมพิวท์ (เช่น data-in-use) และโหนดจัดเก็บข้อมูล (เช่น data-at-rest) สามารถเข้ารหัสข้อมูลขั้นสูงได้ ผู้ใช้สามารถ ใช้ Key Management Service และ Data Encryption จัดการคีย์ของตนและใช้อัลกอริทึมที่หลากหลายเข้ารหัสได้อย่างปลอดภัย

การปกป้องข้อมูล (Confidential Computing) เป็นเทคโนโลยีใหม่อีกประเภทในการรักษาสภาพแวดล้อมคลาวด์ให้ปลอดภัย  การปกป้องข้อมูลมีไว้เพื่อรักษาข้อมูลให้ปลอดภัยในขณะที่กำลังประมวลผลเพื่อป้องกันเวิร์กโหลดสำคัญที่สุดของผู้ใช้  การปกป้องข้อมูลตามสภาพแวดล้อมการดำเนินการที่เชื่อถือได้บนฮาร์ดแวร์ (Trusted Execution Environmentst: TEEs) ช่วยให้มั่นใจในความปลอดภัย ความสมบูรณ์และการรักษาความลับของข้อมูล ทำให้การสร้างและส่งมอบแอปพลิเคชันที่เชื่อถือได้หรือเป็นความลับนั้นง่ายขึ้นด้วยต้นทุนที่ต่ำลง  ที่อาลีบาบา คลาวด์ เรามีการปกป้องข้อมูลตั้งแต่เลเยอร์ฮาร์ดแวร์, เลเยอร์เวอร์ชวลไลเซชัน รวมไปถึงเลเยอร์คอนเทนเนอร์และเลเยอร์แอปพลิเคชัน เพื่อปกป้องข้อมูลให้ได้มากที่สุด

มีแนวปฏิบัติในการบริหารจัดการความมั่นคงปลอดภัยที่พร้อมดำเนินการ

สิ่งที่สำคัญพอ ๆ กันคือการใช้แนวปฏิบัติและกลไกการบริหารจัดการความมั่นคงปลอดภัยที่เหมาะสม เพื่อเพิ่มการป้องกันความปลอดภัยของระบบและข้อมูลสำคัญอย่างสูงสุด

การพัฒนาระบบการกู้คืนความเสียหายที่ครอบคลุมเป็นกลไกสำคัญอย่างหนึ่งในการปกป้องระบบ คลาวด์ ช่วยให้ธุรกิจสามารถกำหนดค่าแผนฉุกเฉินสำหรับศูนย์ข้อมูลตามปัจจัยต่าง ๆ เช่น พลังงาน อุณหภูมิ และภัยพิบัติ พร้อมสร้างระบบสำรองสำหรับบริการพื้นฐานต่าง ๆ เช่น คลาวด์คอมพิวติ้ง เน็ตเวิร์กและสตอเรจ เป็นต้น ช่วยให้ธุรกิจปรับใช้ข้ามภูมิภาคและโซนต่าง ๆ ตลอดจนสร้างระบบกู้คืนความเสียหายที่รองรับการกู้คืนได้หลากหลายรูปแบบ

การตั้งค่าระบบที่มีประสิทธิภาพสำหรับการตรวจสอบ และตอบสนองต่อภัยคุกคามด้านความปลอดภัยบนคลาวด์เป็นสิ่งจำเป็นที่ต้องมีในระบบคลาวด์  ประการแรกคือการสแกนและทดสอบช่องโหว่เพื่อประเมินสถานะการรักษาความปลอดภัยของระบบ  ส่วนการใช้เครื่องมือตรวจสอบบนคลาวด์เพื่อตรวจจับพฤติกรรมที่ผิดปกติหรือภัยคุกคามจากวงในเป็นสิ่งที่จำเป็นยิ่งประการที่สอง นอกจากนี้ การกำหนดขั้นตอนและรูปแบบความรับผิดชอบที่เหมาะสมจะช่วยให้มั่นใจว่าสามารถดำเนินการแก้ไขได้อย่างรวดเร็วเมื่อเกิดปัญหาด้านความปลอดภัย

ในอนาคต การพัฒนาสถาปัตยกรรมรักษาความปลอดภัย, เทคโนโลยี, การจัดการและกลไกการตอบสนอง จะไม่ถูกมองว่าเป็นภาระของศูนย์ต้นทุนสำหรับธุรกิจอีกต่อไป หากแต่เป็นความสามารถที่สำคัญยิ่งต่อการรับรองประสิทธิภาพและความปลอดภัยในการดำเนินธุรกิจประจำวัน  วาระสำคัญในการประชุมของ CXO ควรรวมถึงการวางแผนที่ครอบคลุมสำหรับการรักษาความปลอดภัยบนคลาวด์ การใช้แนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม และการเลือกร่วมงานกับผู้ให้บริการคลาวด์ระดับมืออาชีพที่มีชื่อเสียงด้านการรักษาความปลอดภัยที่แข็งแกร่ง