ประเด็นที่ CISO ต้องพิจารณาเมื่อก้าวเข้าสู่โลก Multi-cloud
25 Jun 2018 //= substr($strYear,2,2)?>
ปฏิเสธไม่ได้ว่าระบบ Cloud เป็นหนึ่งในตัวเลือกอันดับต้นๆ ของการวางระบบหรือใช้งานซอฟต์แวร์ในปัจจุบัน โดยเฉพาะอย่างยิ่งการมาถึงของแนวคิด Multi-cloud ซึ่งช่วยให้แต่ละองค์กรสามารถเลือกใช้ระบบ Cloud ได้อย่างอิสระมากขึ้น อย่างไรก็ตาม เมื่อระบบ Cloud เริ่มมีความซับซ้อน ส่งผลให้การวางระบบรักษาความมั่นคงปลอดภัยและการบริหารจัดการ ไม่ว่าจะเป็นการวางมาตรการควบคุม การติดตามและเฝ้าระวัง รวมไปถึงการดำเนินการตามมาตรฐานและข้อบังคับต่างๆ ทำได้ยากขึ้นตาม
บทความนี้ได้สรุปประเด็นด้านความมั่นคงปลอดภัยสำคัญ 8 ประการที่เหล่า CISO ควรพิจารณาถึงเมื่อต้องการเริ่มใช้งาน Multi-cloud ดังนี้
1. Multi-cloud Computing กลายเป็นเรื่องธรรมดา
งานวิจัยด้านการตลาดล่าสุดระบุว่า 95% ขององค์กรมีการใช้ระบบ Cloud และ 85% ขององค์กรเหล่านั้นใช้งานในรูปของ Hybrid Cloud ในขณะที่แต่ละองค์กร โดยเฉลี่ย มีการใช้ Cloud Applications มากถึง 91 แอปพลิเคชัน ต้องขอบคุณความสามารถในการเพิ่ม/ลดการใช้งานได้อย่างอิสระ รวมไปถึงความสามารถด้านการขยายระบบในอนาคตที่ทำให้หลายองค์กรหันมาใช้ระบบ Cloud มากขึ้นเรื่อยๆ
2. หน้าที่ความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยบน Cloud ยังเป็นเรื่องคลุมเครือ
บริการ IaaS และ SaaS ผู้ให้บริการระบบ Cloud มีหน้าที่ปกป้อง Infrastructure ให้มั่นคงปลอดภัย ในขณะที่ลูกค้ามีหน้าที่รับผิดชอบการป้องกัน แอปพลิเคชัน เว็บไซต์ และบริการต่างๆ ที่รันอยู่บนนั้น อย่างไรก็ตาม เมื่อเป็น SaaS และ AaaS นั้นกลับไม่สามารถระบุหน้าที่ความรับผิดชอบได้อย่างชัดเจน เนื่องจากบางกรณี แอปพลิเคชันเหล่านั้นรันอยู่บน IaaS ของ 3rd Party แทน ลูกค้าจึงควรเลือกผู้ให้บริการที่ตนเองสามารถผสานการรักษาความมั่นคงปลอดภัยของตนเข้าไปยังบริการของพวกเขาได้ เช่น การพิสูจน์ตัวตน การเฝ้าระวัง และการตรวจสอบ
3. Private และ Public Cloud อาจดูคล้ายกัน แต่จะต่างกันมากเมื่อเป็นเรื่องความมั่นคงปลอดภัย
ความท้าทายสำคัญของสถาปัตยกรรมแบบ Hybrid Cloud คือการสร้างกระบวนการด้านความมั่นคงปลอดภัยให้สอดคล้องกันระหว่าง Private Cloud และ Public Cloud และบริหารจัดการทั้งหมดแบบรวมศูนย์ อย่างไรก็ตาม กระบวนการด้านความมั่นคงปลอดภัยที่ใช้ภายในองค์กร (สำหรับ Private Cloud) อาจไม่สามารถนำไปใช้บน Public Cloud ได้ จำเป็นต้องใช้วิธีอื่น ส่งผลให้เกิดความซับซ้อนในการบริหารจัดการระบบรักษาความมั่นคงปลอดภัยบน Cloud
4. ความโปร่งใส และการจัดการแบบรวมศูนย์เป็นหัวใจสำคัญ
ความสามารถด้านการบริหารจัดการระบบรักษาความมั่นคงปลอดภัยบน Data Center, Public Cloud และ Private Cloud แบบไร้รอยต่อจากศูนย์กลางถือเป็นเป้าหมายสำคัญของทีมรักษาความมั่นคงปลอดภัย การแยกการบริหารจัดการอาจก่อให้เกิดช่องโหว่ที่ทำให้ภัยคุกคามเล็ดรอดเข้ามาได้
5. ห้ามมองข้ามความสัมพันธ์ระหว่างผู้ให้บริการระบบ Cloud และเจ้าของผลิตภัณฑ์รักษาความมั่นคงปลอดภัย
สิ่งสุดท้ายที่ผู้ใช้ระบบ Cloud อยากให้มี คือ ความสัมพันธ์อันแนบแน่นระหว่างผู้ให้บริการระบบ Cloud และเจ้าของผลิตภัณฑ์ด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจว่าระบบรักษาความมั่นคงปลอดภัยสามารถผสานการทำงานบนระบบ Cloud ที่ตนเองเลือกใช้ได้อย่างไร้รอยต่อ และพร้อมตอบโจทย์การใช้งานทุกรูปแบบ
6. Managed Security Service Provider เป็นตัวเลือกที่ควรพิจารณา
MSSP กลายเป็นผู้เล่นสำคัญในยุค Multi-cloud เนื่องจากสามารถให้บริการและดูแลลูกค้าแบบครบวงจร ไม่ว่าจะเป็นการผสานงานกับเจ้าของผลิตภัณฑ์ ทีมงานที่มีความเชี่ยวชาญและประสบการณ์ รวมไปถึงโมเดลทางธุรกิจที่ตอบโจทย์องค์กรในปัจจุบัน MSSP ถือเป็นตัวเลือกที่ดีสำหรับองค์กรที่เปลี่ยนแปลงการใช้ระบบ Cloud บ่อย เนื่องจากภาระด้านความมั่นคงปลอดภัยจะตกไปอยู่ที่ MSSP แทน ส่งผลให้องค์กรสามารถโฟกัสที่การดำเนินธุรกิจที่ตนเองถนัดได้อย่างสบายใจ
7. เลือกใช้เจ้าของผลิตภัณฑ์ด้านความมั่นคงปลอดภัยที่รู้จัก Cloud เป็นอย่างดี
ถึงแม้ว่าผลิตภัณฑ์ทุกรายจะแปะหน้าไว้ว่าพร้อมใช้งานบนระบบ Cloud แต่ไม่ใช่สำหรับผลิตภัณฑ์ด้านความมั่นคงปลอดภัย ผู้ใช้จำเป็นต้องเลือกผลิตภัณฑ์ที่ระบุไว้ชัดเจนว่าออกแบบมาสำหรับระบบ Cloud โดยเฉพาะนอกจากนี้ ควรเลือกผลิตภัณฑ์ที่สามารถบริหารจัดการ เก็บ Log และทำรายงานได้จากศูนย์กลาง และรองรับการใช้งานร่วมกับหลายๆ Hypervisors ที่สำคัญคือ ควรเลือกผลิตภัณฑ์ที่สามารถใช้งานร่วมกับผู้ให้บริการ Public Cloud ชั้นนำได้ เช่น AWS, Microsoft Azure, Google Cloud, IBM Cloud และ Oracle Cloud
8. การเปลี่ยนแปลงเป็นเรื่องที่หลีกเลี่ยงไม่ได้
ความคล่องตัวเป็นเหตุผลหลักที่ลูกค้าหลายรายเลือกใช้โซลูชันบน Cloud อย่างไรก็ตาม ความคล่องตัวมักมาพร้อมความเปลี่ยนแปลง โดยเฉพาะอย่างยิ่งประเด็นด้านความมั่นคงปลอดภัยที่ต้องพัฒนาตามภัยคุกคามให้ทัน ดังนั้นผู้ใช้ควรเลือกผลิตภัณฑ์ด้านความมั่นคงปลอดภัยที่มีความยืดหยุ่นสูง และพร้อมปรับตัวให้เข้ากับการทำ Digital Transformation ขององค์กร เพื่อให้มั่นใจว่าสามารถรับมือกับภัยคุกคามทุกรูปแบบได้ในอนาคต