สวัสดีครับเพื่อนๆ วันนี้พี่เชษขอชวนคุยเรื่องการรักษาความมั่นคงปลอดภัย Cloud Security แบบเบื้องต้น เพื่อสร้างความเข้าใจ เพื่อประกอบการพิจารณาในการเช่า Cloud เพื่อวางแผนดูรักษาความมั่นคงปลอดภัย Cloud เบื้องต้นในระดับผู้ใช้งาน.
ปัจจุบันการเช่า Cloud จากผู้ให้บริการ Cloud มีผลิตภัณฑ์ที่หลากหลายกว่าในสมัยกว่าที่เราเคยเช่าพื้นที่ IDC (Internet Data Center) เพื่อวาง Server หรือเช่าพื้นที่สำหรับ Website ของเรา
ผลิตภัณฑ์ด้านบริการของผู้ให้เช่า Cloud ในปัจจุบัน
- เช่า VM (Virtual Machine)
- เช่า Container
- เช่า DataBase
- เช่า Sanbox สำหรับทดสอบระบบ
- เช่า Link เชื่อมต่อจาก DataCenter ของผู้ให้บริการ Cloud มายังองค์กรของเรา
- บริการอื่น ๆ เช่น AI, Machine Learning, Object Storage, CDN เป็นต้น
1.การเช่า VM (Virtual Machine)
การให้บริการการเช่าเครื่องเสมือน VM (Virtual Machine) ถือเป็นบริการพื้นฐานของผู้ให้บริการ Cloud ทุกรายในปัจจุบัน ซึ่งมีรายละเอียดที่ควรพิจารณา ได้แก่
สิ่งที่ผู้ใช้งานสามารถกำหนดได้
-
สถาปัตยกรรมระบบ (Architecture)
-
จำนวน vCPU (Virtual CPU)
-
ปริมาณ RAM
-
ขนาดของ Storage
-
ระบบปฏิบัติการ (Operating System)
รูปแบบการเช่า VM
- เช่า VM แบบไม่รวม OS : ผู้เช่าต้องติดตั้งระบบปฏิบัติการเอง และจัดหา License เองทั้งหมด รวมถึงต้องทำการ Hardening ระบบเพื่อเพิ่มความมั่นคงปลอดภัยด้วยตนเอง โดยผู้ให้บริการ Cloud ไม่มีสิทธิ์เข้าไปดำเนินการในระบบของผู้ใช้
- เช่า VM พร้อม OS จากผู้ให้บริการ : ผู้ให้บริการจะจัดเตรียมระบบปฏิบัติการไว้ให้ พร้อมมีการ Hardening เบื้องต้นในระดับ Infrastructure อย่างไรก็ตาม ผู้เช่ายังต้องรับผิดชอบในด้านความมั่นคงปลอดภัยของ Application, Data และการกำหนดสิทธิ์ของผู้ใช้งาน
2. แนวทางการดูแลรักษาความมั่นคงปลอดภัยเบื้องต้น
2.1 หลักการ Shared Responsibility Model
ต้องเข้าใจว่า ความมั่นคงปลอดภัยบน Cloud เป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการ Cloud และผู้ใช้บริการ โดยทั่วไปจะแบ่งเป็น
- ผู้ให้บริการ Cloud (Provider) : รับผิดชอบในส่วนของ Physical Security, Infrastructure, Network, Hypervisor
- ผู้ใช้บริการ (Customer) : รับผิดชอบด้าน Application, Data, Identity and Access Management, OS Configuration, Logging และการกำหนดสิทธิ์
2.2 ข้อแนะนำในการดูแลความมั่นคงปลอดภัย
- ใช้ระบบ Identity และ Access Control อย่างรัดกุม
- เปิดใช้งาน Multi-Factor Authentication (MFA)
- ใช้หลัก Least Privilege Access – ให้สิทธิ์เท่าที่จำเป็น
- บริหารจัดการ Account ด้วยระบบ IAM (Identity & Access Management)
- ติดตั้งระบบ Monitoring และ Logging
- ตรวจสอบ Log การใช้งานและการเข้าถึงระบบเป็นประจำ
- เปิดใช้งาน Cloud-native logging เช่น AWS CloudTrail, Azure Monitor หรือ Google Cloud Operations
- ทำระบบสำรองข้อมูล (Backup)
- วางแผนสำรองข้อมูลเป็นระยะ
- ทดสอบการกู้คืนข้อมูลอยู่เสมอ
- แยกพื้นที่สำรองออกจาก Production
- อัปเดต Patch และ OS อย่างสม่ำเสมอ
- ตรวจสอบช่องโหว่ระบบและติดตั้ง Patch ใหม่ทันทีเมื่อมีการแจ้งเตือน
- หากใช้ Container หรือ VM Image ต้องมีการ Update Image อยู่เสมอ
- ตั้งค่าความมั่นคงปลอดภัยของ Firewall และ Security Group
- จำกัดพอร์ตที่เปิดใช้งานเฉพาะเท่าที่จำเป็น
- ใช้นโยบาย Network Segmentation เพื่อแยกทรัพยากรและลดความเสี่ยง
- เข้ารหัสข้อมูล (Encryption)
- เข้ารหัสข้อมูลทั้งขณะเก็บ (at rest) และขณะส่งผ่านเครือข่าย (in transit)
- ใช้ Key Management Service (KMS) หรือระบบจัดการรหัสแบบรวมศูนย์
3. ข้อพิจารณาเพิ่มเติมก่อนเลือกใช้ Cloud
- ตรวจสอบมาตรฐานความปลอดภัยที่ผู้ให้บริการรองรับ เช่น ISO 27001, SOC 2, PCI-DSS
- พิจารณาข้อกำหนดด้านกฎหมายและการจัดเก็บข้อมูลในประเทศ (Data Residency / Sovereignty)
- อ่านข้อตกลง SLA และข้อกำหนดด้าน Security อย่างละเอียด
- มีการทดสอบและประเมินความเสี่ยง (Cloud Risk Assessment) ก่อนนำระบบขึ้น Cloud