Cybersecurity

นโยบายความปลอดภัยบน Cloud: คำถามที่ต้องตอบ

Cloud ไม่ได้ปลอดภันตั้งอต่เกิดจริงหรือ? แล้วต้องป้องกันอย่างไร?

คุณคิดอย่างไรหากมีคนบอกคุณว่าระบบ Cloud นั้นปลอดภัยมาก และไม่ต้องการการรักษาความปลอดภัยอื่นๆเพิ่มเติม…

ความจริงก็คือระบบ Cloud นั้นไม่ได้มีระบบรักษาความปลอดภัยหรือมนต์วิเศษที่ทำให้ข้อมูลของคุณปลอดภัยมากขึ้น คำว่า “Cloud” ในภาษาอังกฤษแปลว่า “making less clear หรือ transparent” และ “cause of gloom, suspicion, trouble, or worry” ไม่ได้มีตรงไหนบอกถึงความปลอดภัยเลย แปลว่าความกังวลเสียด้วยซ้ำ แต่นั่นแหละครับ ระบบ Cloud ก็จำเป็นต้องมีมาตรการรักษาความปลอดภัยมารับมือกับความเสี่ยงที่มีอยู่ดี

อาจเป็นเพราะระบบ Cloud ทำให้เราสามารถประหยัดฮาร์ดแวร์ ผู้ใช้ Cloud จึงอาจลืมความรับผิดชอบที่ต้องทำ เพราะฉะนั้นคุณจำเป็นต้องหมั่นถามผู้ดูแล หรือผู้ให้บริการ Cloud เกี่ยวกับนโยบายและความปลอดภัย หรือเป็นไปได้ก็ให้ทางผู้ให้บริการเป็นผู้รับผิดชอบหากมีความเสียหายใดๆเกิดขึ้น

คำถามด้านนโยบาย (Policy Questions)

cloud_questions-768x432

ก่อนที่เราจะตั้งคำถามกับผู้ให้บริการ Cloud เราต้องตอบคำถามเกี่ยวกับความต้องการขององค์กรตัวเองก่อน

#1 คุณต้องการใช้บริการ Cloud แบบไหน?

  • ใช้เพื่อเก็บไฟล์
  • ใช้ร่วมกับซอฟต์แวร์แอปพลิเคชั่น
  • ใช้เพื่อเปิด Virtual Machine

#2 คุณนำไปใช้อย่างไร?

  • ใช้สำหรับสาธารณะ
  • ใช่ส่วนตัวหรือภายในองค์กร
  • ใช้เพื่อจุดประสงค์เฉพาะอื่นๆ อย่างเช่น ลดความเสี่ยง

#3 ฟังก์ชั่นหรือข้อมูลที่เก็บไว้บน Cloud สำคัญแค่ไหน?

เพราะว่า Cloud นั้นใครก็สามารถใช้งานได้หากเขามีข้อมูลเพียงพอ และอาจทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยงได้

#4 มีใครบ้างที่เข้าใช้ระบบ Cloud นี้?

ระวังภายนอกแล้วให้ระวังคนภายในด้วย ว่าจะมีใครเข้ามาใช้ได้บ้าง และจัดระบบอย่างไร

#5 มีประมวลกฎหมายหรือข้อปฏิบัติที่ต้องทำตามหรือไม่?

ในปัจจุบันมีกฎหมายเกี่ยวกับโลกอินเตอร์เน็ตเพิ่มมากขึ้น ทั้งที่บังคับใช้ และกำลังจะบังคับใช้

#6 นโยบายที่จะใช้นั้นเป็นที่ยอมรับของผู้ใช้หรือไม่?

ความรู้ความเข้าใจของผู้ใช้นั้นเป็นตัวแปรสำคัญ หากต้องการใช้ผู้ใช้ปฏิบัติตาม ต้องอธิบายให้พวกเขาเข้าใจเสียก่อน

#7 ความเสียหายที่อาจเกิดขึ้นหากล้มเหลวในการปฏิบัติตาม?

ข้อนี้ต้องดูในมุมของผู้ใช้และผู้ให้บริการ ระเบียบสัญญาที่เขียนร่วมกัน ผู้มีหน้าที่รับผิดชอบข้อมูลในกรณีต่างๆ

ขั้นตอนความปลอดภัย

cloud_procedure-768x384

เมื่อคุณตอบคำถามตัวเองได้ทั้งหมดแล้ว ต่อมาก็ต้องถามผู้ให้บริการว่าจะตอบโจทย์ที่เราตั้งได้แค่ไหน ทาง Gulf Cooperation Council eGovernment เคยพิจารณาประเด็นของนโยบาย Cloud Computing policy และรวบรวมชุดคำถามเอาไว้

  • Does the vendor have regular 3rd-party security audits?
    (ผู้ให้บริการจ้างหน่วยงานตรวจสอบความปลอดภัยหรือไม่?)
  • What is their policy on updates and patching?
    (พวกเขามีนโยบายเกี่ยวกับการอัพเดตและแพทช์อย่างไร?)
  • Do they have anti-malware or intrusion detection products scanning their machines?
    (ผู้ให้บริการมีโปรแกรมป้องกันมัลแวร์ หรือโปรแกรมตรวจจับการแทรกแซงติดตั้งไว้หรือไม่?)
  • What types of authentication are available with their service?
    (พวกเขาใช้การยืนยันตัวตนรูปแบบไหน?)
  • What types of controls are available for Identity and Access Management of your user accounts?
    (ผู้ให้บริการใช้การบริหารจัดการการใช้งานบัญชีผู้ใช้รูปแบบไหน?)
  • Is encryption available for traffic to and from the cloud, or in storage?
    (สามารถการเข้ารหัสทราฟฟิคเข้า-ออกจาก Cloud หรือพื้นที่จัดเก็บได้หรือไม่?)
  • How will Intellectual Property rights relating to data stored on their servers be protected?
    (ผู้ให้บริการสามารถปกป้องทรัพย์สินทางปัญญาที่เก็บเอาไว้ได้อย่างไร?)
  • What types of alerting and reports of events are available to you?
    (ผู้ให้บริการใช้วิธีไหนการแจ้งเตือนและรายงานเหตุการณ์?)
  • How are their customers’ resources segmented from one another?
    (แหล่งข้อมูลของลูกค้าแยกออกมาจากเซิร์ฟเวอร์ Cloud อย่างไร?)
  • How often do they make and test backups, and how are they stored?
    (พวกเขาทดสอบ Backup บ่อยแค่ไหน และเก็บข้อมูลไว้ที่ไหน?)
  • Do they have an established incident response policy?
    (ผู้ให้บริการเตรียมนโยบายรับมือกับเหตุการณ์ไม่คาดฝันอย่างไร?)
  • Do they have a published responsible disclosure policy?
    (พวกเขามีนโยบายการเปิดเผยข้อมูลอย่างไร?)
  • Do they have event logging that would allow forensic analysis in case of a security incident?
    (ผู้ให้บริการมีบันทึกเหตุการณ์สำหรับการตรวจสอบทางกฎหมายหรือไม่?)
  • In what country are their servers located physically?
    (เซิร์ฟเวอร์ตัวจริงเก็บไว้ในประเทศไหน?)
  • What are their policies regarding data mobility and retention?
    (พวกเขามีนโยบายการเก็บรักษาและเคลื่อนย้ายข้อมูลอย่างไร?)
  • What options are available for secure data deletion or destruction?
    (มีทางเลือกในการลบหรือทำลายข้อมูลอะไรบ้าง?)

ระบบ Cloud ไม่ได้มีความปลอดภัยมาตั้งแต่กำเนิด แต่ถ้าคุณทำการบ้านมากเพียงพอคุณจะได้ทั้งรับความสะดวกสบายของการใช้ไฟล์จากที่ไหนก็ได้ และช่วยเพิ่มความสามารถในการทำงาน ภายใต้ความปลอดภัยที่เหมาะสม

Author: Lysa Myers
Source:
https://www.welivesecurity.com/2017/09/29/cloud-security-policy/
Translated by: Worapon H.

%d bloggers like this: