ทุกวันนี้องค์กรธุรกิจต่างประสบกับความท้าทายเกี่ยวกับความปลอดภัย และความหวังขององค์กรที่จะย้ายระบบไอทีไปยังระบบคลาวด์ทั้งในแบบ private cloud และ public cloud
การรวมกันของอินฟราสตรักเจอร์ ของคลาวด์ หรือ Hybrid Cloud ทั้งแบบ private และ public ซึ่งองค์กรส่วนใหญ่ใช้อยู่แล้วนั้น ก่อให้เกิดความท้าทายด้านความปลอดภัยที่ไม่เหมือนใคร
สำหรับสาเหตุที่องค์กรต่างๆ นำ public cloud มาใช้งานคือ สามารถเพิ่ม-ลดการใช้งาน cloud ได้อย่างรวดเร็ว โดยไม่ต้องมีภาระในการวางแผนความจุ ไปจนถึงการใช้ประโยชน์จากความยืดหยุ่น และความคล่องตัวในการนำเสนอบริการที่เน้นลูกค้าเป็นศูนย์กลาง
อย่างไรก็ตาม การใช้งานประเภทนี้ก็ทำให้องค์กรเปิดช่องโหว่รับภัยคุกคามได้ on-prem หรือ On–Premise คือ การที่องค์กรมีระบบ server ทั้ง Hardware และ Software อยู่ที่องค์กร ทำให้ต้องมีการดูแล ตรวจสอบและอัปเดตระบบเพื่อให้ server สามารถทำงานได้อย่างปกติ
เนื่องจากข้อกำหนดด้านกฎระเบียบหรือการกำหนดลักษณะอื่นๆ ที่เกี่ยวข้องกำหนดว่าแอปพลิเคชันบางตัวยังคงอยู่ในโครงสร้างพื้นฐานส่วนตัว private infrastructure หรือแบบ on-prem
องค์กรจำนวนมากจึงเลือกที่จะใช้แบบ Hybrid Cloud คือ ใช้โครงสร้างพื้นฐานทั้งส่วนตัวและสาธารณะผสมผสานกันไปเพื่อความคล่องตัว และเพิ่มประสิทธิภาพในการทำงาน
โดยทั่วไปแล้ว องค์กรมักใช้ผู้ให้บริการระบบคลาวด์หลายรายพร้อมกันหรือคงตัวเลือกผู้ให้บริการเมื่อจำเป็นต้องมีการย้ายระหว่างผู้ให้บริการ
อย่างไรก็ตาม วิธีการแบบ Hybrid นี้นำเสนอความท้าทายด้านความปลอดภัยที่ไม่เหมือนใคร และมีความหลากหลาย สำหรับผู้ให้บริการระบบคลาวด์ (cloud providers) และแพลตฟอร์มคลาวด์ส่วนตัว (private cloud platforms) ที่แตกต่างกันอาจนำเสนอความสามารถที่คล้ายคลึงกัน แต่มีวิธีการต่างๆ ในการใช้การควบคุมความปลอดภัย พร้อมด้วยเครื่องมือการจัดการที่แตกต่างกัน
ประเด็นสำคัญที่มีหลายคนเริ่มตั้งคำถามกันก็คือ องค์กรจะรักษาการกำกับดูแลที่สอดคล้องกัน การบังคับใช้นโยบาย และการควบคุมบนคลาวด์ต่างๆ ได้อย่างไร และจะมั่นใจได้อย่างไรว่าเราจะสามารถรักษาสถานะความปลอดภัยเมื่อมีการถ่ายโอนข้อมูลไปมาระหว่างกัน
แต่ทั้งนี้ ก็ยังมีขั้นตอนแบบอาชีพที่จะทำให้เราแน่ใจว่าแอปพลิเคชันต่างๆ นั้นมีความปลอดภัย ซึ่งเริ่มจากระยะเริ่มต้นของการพัฒนาและขยายต่อไปจนถึงวงจรชีวิต
เครื่องมือรักษาความปลอดภัยแบบเก่า ๆ ไม่มีผลอะไรกับ Cloud อีกต่อไป เครื่องมือรักษาความปลอดภัยที่ไม่ได้ทำมาเพื่อให้ใช้งานร่วมกับคลาวด์นั้น ก็ไม่สามารถปกป้องแอปพลิเคชันที่ทำงานบนคลาวด์ได้ด้วยเหตุผลหลายประการ
เช่น เครื่องมือเหล่านี้ไม่สามารถรับมือกับวงจรการพัฒนาที่เร่งขึ้นอย่างมากของแอปพลิเคชันแบบ cloud native เมื่อเทียบกับ waterfall methods แบบเดิมๆ คือ แทนที่จะออกเวอร์ชันทุกๆ 2-3 เดือน
องค์กรที่ใช้ CI/CD ในระบบคลาวด์จะผสานรวม และปรับใช้แอปพลิเคชัน และการอัปเดตอย่างต่อเนื่อง อาจเป็นหลายครั้งต่อวัน ซึ่งสิ่งนี้เองที่กำหนดแนวทางให้เป็นไปอย่างอัตโนมัติเพื่อให้มั่นใจในความปลอดภัย และเป็นแนวทางที่อยู่ในระยะเริ่มต้นของการพัฒนา ลดการกระจุกตัวของที่อาจทำให้การพัฒนา และการดำเนินงานช้าลง
เนื่องจากในสภาพแวดล้อมของคลาวด์มีทั้งในรูปแบบของไดนามิก และแบบอื่นๆ ซึ่งมีความหลากหลาย โซลูชันการรักษาความปลอดภัยไม่สามารถพึ่งพาโครงสร้างพื้นฐาน และตำแหน่งเดิม ๆ ได้อีกต่อไป
เมื่อก่อนเราอาจรู้ว่าเซิร์ฟเวอร์บางตัวใช้งานได้กับแอปพลิเคชันบางตัวเท่านั้น เช่น เซิร์ฟเวอร์หรือฐานข้อมูล Microsoft Exchange แต่ในปัจจุบันมันไม่เป็นแบบนั้นอีกแล้ว เพราะโซลูชันในแอปพลิเคชัน cloud แบบใหม่มีการเชื่อมโยงกับแอปพลิเคชันเอง ไม่ใช่ที่อยู่ IP หรือตำแหน่งเซิร์ฟเวอร์เฉพาะ ทำให้การจัดการปริมาณงานเป็นไปอย่างอัตโนมัติ
หมายความว่า database อาจทำงานอยู่บนคอนเทนเนอร์(container) หนึ่ง และในขณะเดียวกันก็ทำงานอยู่ในอีกคอนเทนเนอร์โดยใช้ IP address ที่ต่างกัน หรือในบางครั้งพรุ่งนี้อาจจะมีการย้ายคลัสเตอร์ (cluster) ทั้งระบบไปที่ผู้ให้บริการคลาวด์รายอื่นเลยก็ได้
นี่คือ เหตุผลที่องค์กรต้องใช้โซลูชันเฉพาะระบบคลาวด์ที่ทันสมัยแทนที่จะใช้โซลูชันรุ่นเก่าที่ไม่ได้รองรับระบบคลาวด์เครื่องมือรักษาความปลอดภัยของผู้ให้บริการคลาวด์ กับคำตอบที่จำกัด
ผู้ให้บริการระบบคลาวด์รายใหญ่ทั้งหมดใช้สิ่งที่เรียกว่า “แบบจำลองความรับผิดชอบร่วมกัน (the shared responsibility model)” ซึ่งเป็นระดับที่ง่ายในการแยกความแตกต่างระหว่างความปลอดภัยของระบบคลาวด์ (ความรับผิดชอบของผู้ให้บริการ) และความปลอดภัยในระบบคลาวด์ (ความรับผิดชอบของลูกค้า)
“ความรับผิดชอบร่วมกัน” ที่กล่าวมานั้นไม่ได้หมายความว่าเป็นความรับผิดชอบร่วมกัน ซึ่งเมื่อพูดถึงการรักษาความปลอดภัยทางกายภาพของ public cloud data centers องค์กรไม่จำเป็นต้องกังวลเพราะผู้ให้บริการระบบคลาวด์ดำเนินการการรักษาความปลอดภัยดังกล่าวด้วยมาตรฐานสูงสุด
คล้ายกับที่ใช้ในธนาคารรายใหญ่ และหน่วยงานของรัฐ แต่ความรับผิดชอบจะอยู่ที่องค์กรของลูกค้าอย่างแท้จริง โดยการ์ทเนอร์มีการคาดการณ์ว่าภายในปี 2568 ความล้มเหลวในการรักษาความปลอดภัยคลาวด์จะเกิดขึ้นกับลูกค้าสูงถึง 99%
ผู้ให้บริการรักษาความปลอดภัยระบบคลาวด์ (Cloud Security Providers หรือ CSP) นั้น มีเครื่องมือที่ช่วยป้องกันในบางส่วน และมีการเพิ่มการพึ่งพาของลูกค้ากับผู้ให้บริการระบบคลาวด์ แต่ไม่มีประสิทธิภาพในการปกป้องที่เท่ากันในสภาพแวดล้อมแบบมัลติคลาวด์ โดยเฉพาะ private cloud Stack ใหม่นั้นยอดเยี่ยมสำหรับการรักษาความปลอดภัย
เทคโนโลยีที่ใช้ในการเรียกใช้ Stack ใหม่จะช่วยเพิ่มความปลอดภัยที่ดีขึ้นกว่าเก่าเพราะมีการมองเห็นที่ละเอียดมากยิ่งขึ้น และระบบอัตโนมัติ นอกจากนี้ Stack ยังช่วยให้ถ่ายโอนความปลอดภัยได้ทั้งสภาพแวดล้อมแบบ private cloud และ public cloud ได้ง่ายขึ้นภายใต้เงื่อนไขว่าจะต้องมีการใช้การควบคุมความปลอดภัยอย่างถูกต้อง
เนื่องจากความซับซ้อนของสภาพแวดล้อม และการเคลื่อนที่ในส่วนต่าง ๆ ในระบบคลาวด์ การวางแผนสแต็กเทคโนโลยีจึงต้องใช้แนวทางแบบองค์รวมในการปกป้องแอปพลิเคชัน
เริ่มตั้งแต่การพัฒนาไปจนถึงการผลิต วิธีการดังกล่าวนี้ช่วยจัดการกับช่องว่างด้านความปลอดภัยทั้งในส่วนของโครงสร้างพื้นฐาน และโค้ดของแอปพลิเคชัน ไม่ว่าจะเป็นการจัดการช่องโหว่ การกำหนดค่าที่ผิดพลาด มัลแวร์ หรือความผิดปกติอื่นๆ
แม้ว่าอนาคตของการรักษาความปลอดภัยบนคลาวด์จะดูดี แต่ปัจจุบันก็ยังไม่แน่นอน เนื่องจากการเพิ่มขึ้นของปริมาณ และความซับซ้อนของการโจมตีที่กำหนดเป้าหมายไปที่โครงสร้างพื้นฐานระบบคลาวด์ และซัพพลายเชน โดยเฉพาะโหนด (node) Kubernetes ที่มีช่องโหว่หรือกำหนดค่าไม่ดีจะถูกล็อกเป้าหมายเพื่อโจมตีภายใน 20 นาที
การโจมตีที่ซับซ้อนเหล่านี้อาจส่งผลให้เกิดอันตรายมากมาย ตั้งแต่การขุด cryptocurrency ไปจนถึงการขโมยข้อมูลอ่อนไหว และจากการติดตั้งรูทคิต (rootkit) ไปจนถึงการข้ามผ่านเครือข่าย
อีกทั้งความล่าช้าระหว่างการย้าย workload ไปยังระบบคลาวด์ และความสามารถในการรักษาความปลอดภัยปริมาณงานนั้น ล้วนแล้วแต่เกิดจากการขาดความรู้ และทักษะ แต่ก็มีแพลตฟอร์มที่จะลดช่องว่างเพื่อให้องค์กรต่างๆ สามารถรักษาความปลอดภัยได้ดีมากยิ่งขึ้น นั่นก็คือ ระบบอัตโนมัติที่ขับเคลื่อนด้วยนโยบายขั้นสูงเพื่อลดพื้นที่การโจมตี และสามารถตรวจจับการเคลื่อนตัวที่เล็กที่สุดหรือความผิดปกติทางพฤติกรรมของส่วนประกอบในแอปพลิเคชัน
ดังนั้นวิธีการรักษาความปลอดภัยที่เป็นส่วนสำคัญของการพัฒนา การปรับใช้ และการรันแอปพลิเคชันบนคลาวด์คือ หนทางรอดในอนาคตครับ
ผู้เขียนบทความ นักรบ เนียมนามธรรม
————————————————————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 31 ต.ค.65
Link : https://www.bangkokbiznews.com/tech/gadget/1035146