ข้ามไปที่เนื้อหาหลัก
กลับไปที่คําถาม

ปัญหาด้านความปลอดภัยของ Cloud Computing

คลาวด์คอมพิวติ้งนําเสนอปัญหาและความท้าทายด้านความปลอดภัยที่ไม่เหมือนใครมากมาย ในระบบคลาวด์ข้อมูลจะถูกเก็บไว้กับผู้ให้บริการบุคคลที่สามและเข้าถึงได้ทางอินเทอร์เน็ต ซึ่งหมายความว่าการมองเห็นและการควบคุมข้อมูลนั้นถูกจํากัด นอกจากนี้ยังทําให้เกิดคําถามว่าจะรักษาความปลอดภัยอย่างเหมาะสมได้อย่างไร จําเป็นอย่างยิ่งที่ทุกคนจะต้องเข้าใจบทบาทของตนและปัญหาด้านความปลอดภัยที่มีอยู่ในคลาวด์คอมพิวติ้ง ผู้ให้บริการคลาวด์ถือว่าปัญหาและความเสี่ยงด้านความปลอดภัยของระบบคลาวด์เป็นความรับผิดชอบร่วมกัน ในรุ่นนี้ผู้ให้บริการคลาวด์ครอบคลุมความปลอดภัยของระบบคลาวด์เองและลูกค้าครอบคลุมความปลอดภัยของสิ่งที่พวกเขาใส่เข้าไป ในทุกบริการระบบคลาวด์ ตั้งแต่ software-as-a-service (SaaS) เช่น Microsoft 365 ไปจนถึง infrastructure-as-a-service (IaaS) เช่น Amazon Web Services (AWS) ลูกค้าคลาวด์คอมพิวติ้งมีหน้าที่รับผิดชอบในการปกป้องข้อมูลของตนจากภัยคุกคามด้านความปลอดภัยและควบคุมการเข้าถึงเสมอ ความเสี่ยงด้านความปลอดภัยของคลาวด์คอมพิวติ้งส่วนใหญ่เกี่ยวข้องกับความปลอดภัยของข้อมูลบนคลาวด์ ไม่ว่าจะเป็นการขาดการมองเห็นข้อมูลไม่สามารถควบคุมข้อมูลหรือการขโมยข้อมูลในระบบคลาวด์ปัญหาส่วนใหญ่กลับมาที่ข้อมูลที่ลูกค้าใส่ไว้ในระบบคลาวด์ อ่านด้านล่างสําหรับการวิเคราะห์ปัญหาด้านความปลอดภัยบนคลาวด์ชั้นนําใน SaaS, IaaS และคลาวด์ส่วนตัว โดยเรียงลําดับตามความถี่ที่องค์กรระดับองค์กรทั่วโลกประสบ

ปัญหาด้านความปลอดภัยของ SaaS Cloud 10 อันดับแรก

  1. ขาดการมองเห็นว่าข้อมูลใดอยู่ในแอปพลิเคชันระบบคลาวด์
  2. การโจรกรรมข้อมูลจากแอปพลิเคชันระบบคลาวด์โดยผู้ประสงค์ร้าย
  3. การควบคุมที่ไม่สมบูรณ์ว่าใครสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
  4. ไม่สามารถตรวจสอบข้อมูลระหว่างการส่งผ่านไปยังและจากแอปพลิเคชันระบบคลาวด์
  5. แอปพลิเคชันระบบคลาวด์ที่จัดเตรียมไว้นอกการมองเห็นด้านไอที (เช่น Shadow IT)
  6. ขาดพนักงานที่มีทักษะในการจัดการความปลอดภัยสําหรับแอปพลิเคชันระบบคลาวด์
  7. ไม่สามารถป้องกันการโจรกรรมภายในที่เป็นอันตรายหรือการใช้ข้อมูลในทางที่ผิด
  8. ภัยคุกคามขั้นสูงและการโจมตีผู้ให้บริการแอปพลิเคชันระบบคลาวด์
  9. ไม่สามารถประเมินความปลอดภัยของการดําเนินงานของผู้ให้บริการแอปพลิเคชันระบบคลาวด์ได้
  10. ไม่สามารถรักษาการปฏิบัติตามกฎระเบียบได้

ปัญหาด้านความปลอดภัยบนคลาวด์ของ SaaS มีศูนย์กลางอยู่ที่ข้อมูลและการเข้าถึงโดยธรรมชาติ เนื่องจากโมเดลความรับผิดชอบด้านความปลอดภัยที่ใช้ร่วมกันส่วนใหญ่ปล่อยให้ทั้งสองเป็นความรับผิดชอบสําหรับลูกค้า SaaS แต่เพียงผู้เดียว เป็นความรับผิดชอบของทุกองค์กรที่จะต้องทําความเข้าใจว่าพวกเขาใส่ข้อมูลใดในระบบคลาวด์ใครสามารถเข้าถึงได้และระดับการป้องกันที่พวกเขา (และผู้ให้บริการระบบคลาวด์) ได้นําไปใช้

สิ่งสําคัญคือต้องพิจารณาบทบาทของผู้ให้บริการ SaaS ในฐานะจุดเชื่อมต่อที่มีศักยภาพไปยังข้อมูลและกระบวนการขององค์กร การพัฒนาเช่นการเพิ่มขึ้นของ XcodeGhost และ GoldenEye ransomware เน้นว่าผู้โจมตีตระหนักถึงคุณค่าของซอฟต์แวร์และผู้ให้บริการคลาวด์ในฐานะเวกเตอร์ในการโจมตีสินทรัพย์ขนาดใหญ่ ด้วยเหตุนี้ ผู้โจมตีจึงให้ความสําคัญกับช่องโหว่ที่อาจเกิดขึ้นนี้มากขึ้น เพื่อปกป้ององค์กรและข้อมูลขององค์กร ให้ตรวจสอบว่าคุณได้ตรวจสอบโปรแกรมความปลอดภัยของผู้ให้บริการระบบคลาวด์ของคุณอย่างละเอียดถี่ถ้วน ตั้งความคาดหวังที่จะมีการตรวจสอบของบุคคลที่สามที่คาดการณ์ได้ด้วยรายงานที่ใช้ร่วมกัน และยืนยันในเงื่อนไขการรายงานการละเมิดเพื่อเสริมโซลูชันเทคโนโลยี

ปัญหาด้านความปลอดภัยบนคลาวด์ IaaS 10 อันดับแรก

  1. ปริมาณงานบนคลาวด์และบัญชีที่สร้างขึ้นนอกการมองเห็นด้านไอที (เช่น Shadow IT)
  2. การควบคุมที่ไม่สมบูรณ์ว่าใครสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
  3. การโจรกรรมข้อมูลที่โฮสต์ในโครงสร้างพื้นฐานระบบคลาวด์โดยผู้ประสงค์ร้าย
  4. ขาดพนักงานที่มีทักษะในการรักษาความปลอดภัยโครงสร้างพื้นฐานระบบคลาวด์
  5. ขาดการมองเห็นว่าข้อมูลใดอยู่ในระบบคลาวด์
  6. ไม่สามารถป้องกันการโจรกรรมภายในที่เป็นอันตรายหรือการใช้ข้อมูลในทางที่ผิด
  7. ขาดการควบคุมความปลอดภัยที่สอดคล้องกันในสภาพแวดล้อมแบบมัลติคลาวด์และในองค์กร
  8. ภัยคุกคามขั้นสูงและการโจมตีโครงสร้างพื้นฐานระบบคลาวด์
  9. ไม่สามารถตรวจสอบระบบปริมาณงานบนคลาวด์และแอปพลิเคชันเพื่อหาช่องโหว่
  10. การแพร่กระจายด้านข้างของการโจมตีจากปริมาณงานบนคลาวด์หนึ่งไปยังอีกปริมาณหนึ่ง

การปกป้องข้อมูลเป็นสิ่งสําคัญใน IaaS เนื่องจากความรับผิดชอบของลูกค้าครอบคลุมถึงแอปพลิเคชัน การรับส่งข้อมูลเครือข่าย และระบบปฏิบัติการ จึงมีการแนะนําภัยคุกคามเพิ่มเติม องค์กรควรพิจารณาวิวัฒนาการล่าสุดในการโจมตีที่ขยายออกไปนอกเหนือไปจากข้อมูลในฐานะศูนย์กลางของความเสี่ยง IaaS ผู้ประสงค์ร้ายกําลังดําเนินการยึดครองทรัพยากรการประมวลผลที่ไม่เป็นมิตรเพื่อขุดสกุลเงินดิจิทัล และพวกเขากําลังนําทรัพยากรเหล่านั้นกลับมาใช้ใหม่เป็นเวกเตอร์การโจมตีต่อองค์ประกอบอื่นๆ ของโครงสร้างพื้นฐานขององค์กรและบุคคลที่สาม

เมื่อสร้างโครงสร้างพื้นฐานในระบบคลาวด์สิ่งสําคัญคือต้องประเมินความสามารถของคุณในการป้องกันการโจรกรรมและควบคุมการเข้าถึง การพิจารณาว่าใครสามารถป้อนข้อมูลลงในระบบคลาวด์การติดตามการปรับเปลี่ยนทรัพยากรเพื่อระบุพฤติกรรมที่ผิดปกติการรักษาความปลอดภัยและการเสริมความแข็งแกร่งให้กับเครื่องมือการประสานและเพิ่มการวิเคราะห์เครือข่ายของการรับส่งข้อมูลทั้งเหนือ - ใต้และตะวันออก - ตะวันตกเป็นสัญญาณที่เป็นไปได้ของการประนีประนอมทั้งหมดนี้กลายเป็นมาตรการมาตรฐานอย่างรวดเร็วในการปกป้องการปรับใช้โครงสร้างพื้นฐานระบบคลาวด์ในวงกว้าง

ปัญหาด้านความปลอดภัยบนคลาวด์ส่วนตัว 5 อันดับแรก

  1. ขาดการควบคุมความปลอดภัยที่สอดคล้องกันซึ่งครอบคลุมเซิร์ฟเวอร์แบบดั้งเดิมและโครงสร้างพื้นฐานคลาวด์ส่วนตัวเสมือนจริง
  2. ความซับซ้อนของโครงสร้างพื้นฐานที่เพิ่มขึ้นส่งผลให้มีเวลา/ความพยายามมากขึ้นในการติดตั้งและบํารุงรักษา
  3. ขาดพนักงานที่มีทักษะในการจัดการความปลอดภัยสําหรับศูนย์ข้อมูลที่กําหนดโดยซอฟต์แวร์ (เช่น การประมวลผลเสมือน เครือข่าย ที่เก็บข้อมูล)
  4. การมองเห็นความปลอดภัยที่ไม่สมบูรณ์สําหรับศูนย์ข้อมูลที่กําหนดโดยซอฟต์แวร์ (เช่น การประมวลผลเสมือน เครือข่าย ที่เก็บข้อมูล)
  5. ภัยคุกคามและการโจมตีขั้นสูง

ปัจจัยสําคัญในกระบวนการตัดสินใจจัดสรรทรัพยากรให้กับคลาวด์สาธารณะกับคลาวด์ส่วนตัวคือการควบคุมที่ปรับแต่งมาอย่างดีในสภาพแวดล้อมคลาวด์ส่วนตัว ในระบบคลาวด์ส่วนตัวระดับการควบคุมเพิ่มเติมและการป้องกันเพิ่มเติมสามารถชดเชยข้อ จํากัด อื่น ๆ ของการปรับใช้ระบบคลาวด์ส่วนตัวและอาจนําไปสู่การเปลี่ยนแปลงในทางปฏิบัติจากศูนย์ข้อมูลที่ใช้เซิร์ฟเวอร์เสาหิน

ในขณะเดียวกันองค์กรควรพิจารณาว่าการรักษาการควบคุมที่ปรับแต่งมาอย่างดีจะสร้างความซับซ้อนอย่างน้อยก็เกินกว่าที่คลาวด์สาธารณะได้พัฒนาขึ้น ปัจจุบันผู้ให้บริการคลาวด์ใช้ความพยายามอย่างมากในการบํารุงรักษาโครงสร้างพื้นฐานด้วยตนเอง ผู้ใช้ระบบคลาวด์สามารถลดความซับซ้อนในการจัดการความปลอดภัยและลดความซับซ้อนผ่านการควบคุมที่เป็นนามธรรม สิ่งนี้รวมแพลตฟอร์มคลาวด์สาธารณะและส่วนตัวไว้ด้านบนและในสภาพแวดล้อมทางกายภาพ เสมือน และไฮบริด

วิธีบรรเทาปัญหาด้านความปลอดภัยของ Cloud Computing ทั่วไป

องค์กรของคุณกําลังใช้บริการคลาวด์ แม้ว่าบริการคลาวด์เหล่านั้นจะไม่ใช่กลยุทธ์หลักสําหรับเทคโนโลยีสารสนเทศ (IT) ของคุณ เพื่อลดความเสี่ยงด้านความปลอดภัยของคลาวด์คอมพิวติ้งมีแนวทางปฏิบัติที่ดีที่สุดสามประการที่ทุกองค์กรควรดําเนินการ:

  • กระบวนการ DevSecOps — DevOps และ DevSecOps ได้รับการพิสูจน์ซ้ําแล้วซ้ําเล่าเพื่อปรับปรุงคุณภาพโค้ดและลดการหาประโยชน์และช่องโหว่ และเพิ่มความเร็วในการพัฒนาแอปพลิเคชันและการปรับใช้คุณลักษณะ การรวมกระบวนการพัฒนา QA และความปลอดภัยภายในหน่วยธุรกิจหรือทีมแอปพลิเคชัน—แทนที่จะพึ่งพาทีมตรวจสอบความปลอดภัยแบบสแตนด์อโลน—มีความสําคัญต่อการดําเนินงานด้วยความเร็วที่สภาพแวดล้อมทางธุรกิจในปัจจุบันต้องการ
  • เครื่องมือการปรับใช้และการจัดการแอปพลิเคชันอัตโนมัติ — การขาดแคลนทักษะด้านความปลอดภัย รวมกับปริมาณและความเร็วของภัยคุกคามด้านความปลอดภัยที่เพิ่มขึ้น หมายความว่าแม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์มากที่สุดก็ไม่สามารถตามทันได้ ระบบอัตโนมัติที่ขจัดงานทางโลกและเพิ่มข้อได้เปรียบของมนุษย์ด้วยข้อได้เปรียบของเครื่องจักรเป็นองค์ประกอบพื้นฐานของการดําเนินงานด้านไอทีสมัยใหม่
  • การรักษาความปลอดภัยแบบครบวงจรพร้อมการจัดการแบบรวมศูนย์ในบริการและผู้ให้บริการทั้งหมด — ไม่มีผลิตภัณฑ์หรือผู้ขายรายใดสามารถส่งมอบทุกอย่างได้ แต่เครื่องมือการจัดการที่หลากหลายทําให้บางสิ่งหลุดลอยไปได้ง่ายเกินไป ระบบการจัดการแบบรวมศูนย์พร้อมแฟบริกการผสานรวมแบบเปิดช่วยลดความซับซ้อนโดยการรวมชิ้นส่วนเข้าด้วยกันและปรับปรุงเวิร์กโฟลว์

ในที่สุดเมื่อต้องตัดสินใจแลกเปลี่ยนการมองเห็นที่ดีขึ้นควรเป็นสิ่งสําคัญอันดับ 1 ไม่ใช่การควบคุมที่มากขึ้น มันจะดีกว่าที่จะสามารถเห็นทุกอย่างในระบบคลาวด์มากกว่าที่จะพยายามควบคุมส่วนที่ไม่สมบูรณ์ของมัน