ข้ามไปที่เนื้อหาหลัก
กลับไปที่คําถาม

คําแนะนําทีละขั้นตอนเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของระบบคลาวด์

บริการระบบคลาวด์ใช้เพื่อวัตถุประสงค์หลายประการในสภาพแวดล้อมขององค์กร ตั้งแต่การจัดเก็บข้อมูลในบริการต่างๆ เช่น Box ไปจนถึงการเข้าถึงเครื่องมือเพิ่มประสิทธิภาพการทํางานผ่าน Microsoft 365 และการปรับใช้โครงสร้างพื้นฐานด้านไอทีใน Amazon Web Services (AWS) ในการใช้งานทั้งหมดนี้บริการคลาวด์ช่วยให้องค์กรสามารถเคลื่อนไหวได้เร็วขึ้นเร่งธุรกิจด้วยเทคโนโลยีที่คล่องตัวมากขึ้นซึ่งมักจะมีต้นทุนที่ต่ํากว่า อย่างไรก็ตาม การใช้บริการคลาวด์ใดๆ มาพร้อมกับความท้าทายและความเสี่ยงของความปลอดภัยของข้อมูลในระบบคลาวด์ ความปลอดภัยสําหรับข้อมูลที่สร้างขึ้นในระบบคลาวด์ ส่งไปยังระบบคลาวด์ และดาวน์โหลดจากระบบคลาวด์เป็นความรับผิดชอบของลูกค้าระบบคลาวด์เสมอ การปกป้องข้อมูลบนคลาวด์จําเป็นต้องมีการมองเห็นและการควบคุม ในขั้นตอนด้านล่างเราได้สรุปชุดแนวทางปฏิบัติที่ดีที่สุดสําหรับการรักษาความปลอดภัยระบบคลาวด์ที่สามารถแนะนําองค์กรไปสู่ระบบคลาวด์ที่ปลอดภัยและแก้ไขปัญหาด้านความปลอดภัยของระบบคลาวด์

ขั้นตอนที่ 1: ทําความเข้าใจการใช้งานระบบคลาวด์และความเสี่ยง

ระยะแรกของการรักษาความปลอดภัยคลาวด์คอมพิวติ้งมุ่งเน้นไปที่การทําความเข้าใจสถานะปัจจุบันของคุณและประเมินความเสี่ยง การใช้โซลูชันการรักษาความปลอดภัยบนคลาวด์ที่อนุญาตให้มีการตรวจสอบระบบคลาวด์คุณสามารถทําตามขั้นตอนต่อไปนี้:

  1. ขั้นตอนที่ 1: ระบุข้อมูลที่ละเอียดอ่อนหรือมีการควบคุม
    ความเสี่ยงที่ใหญ่ที่สุดของคุณคือการสูญหายหรือถูกขโมยข้อมูลซึ่งจะส่งผลให้มีบทลงโทษด้านกฎระเบียบหรือการสูญเสียทรัพย์สินทางปัญญา เครื่องมือจัดประเภทข้อมูลสามารถจัดหมวดหมู่ข้อมูลของคุณเพื่อให้คุณสามารถประเมินความเสี่ยงนี้ได้อย่างเต็มที่
  2. ขั้นตอนที่ 2: ทําความเข้าใจวิธีการเข้าถึงและแบ่งปันข้อมูลที่ละเอียดอ่อน ข้อมูลที่ละเอียดอ่อนสามารถเก็บไว้ได้อย่างปลอดภัยในระบบคลาวด์ แต่คุณต้องตรวจสอบว่าใครเข้าถึงและไปที่ใด ประเมินสิทธิ์ในไฟล์และโฟลเดอร์ในสภาพแวดล้อมระบบคลาวด์ของคุณ พร้อมกับบริบทการเข้าถึง เช่น บทบาทของผู้ใช้ ตําแหน่งผู้ใช้ และประเภทอุปกรณ์
  3. ขั้นตอนที่ 3: ค้นพบเงาไอที (การใช้ระบบคลาวด์ที่ไม่รู้จัก)
    คนส่วนใหญ่ไม่ถามทีมไอทีก่อนสมัครบัญชีที่เก็บข้อมูลบนคลาวด์หรือแปลง PDF ออนไลน์ ใช้เว็บพร็อกซี ไฟร์วอลล์ หรือบันทึก SIEM เพื่อค้นหาว่าบริการคลาวด์ใดกําลังถูกใช้โดยที่คุณไม่รู้ จากนั้นเรียกใช้การประเมินโปรไฟล์ความเสี่ยง
  4. ขั้นตอนที่ 4: ตรวจสอบการกําหนดค่าสําหรับ infrastructure-as-a-service (IaaS) เช่น AWS หรือ Azure
    สภาพแวดล้อม IaaS ของคุณมีการตั้งค่าที่สําคัญหลายสิบรายการ ซึ่งหลายการตั้งค่าสามารถสร้างจุดอ่อนที่สามารถใช้ประโยชน์ได้หากกําหนดค่าผิด เริ่มต้นด้วยการตรวจสอบการกําหนดค่าของคุณสําหรับการจัดการข้อมูลประจําตัวและการเข้าถึงการกําหนดค่าเครือข่ายและการเข้ารหัส
  5. ขั้นตอนที่ 5: เปิดเผยพฤติกรรมของผู้ใช้ที่เป็นอันตราย
    ทั้งพนักงานที่ประมาทและผู้โจมตีบุคคลที่สามสามารถแสดงพฤติกรรมที่บ่งบอกถึงการใช้ข้อมูลระบบคลาวด์ที่เป็นอันตราย การวิเคราะห์พฤติกรรมผู้ใช้ (UBA) สามารถตรวจสอบความผิดปกติและลดการสูญหายของข้อมูลทั้งภายในและภายนอก

ขั้นตอนที่ 2: ปกป้องระบบคลาวด์ของคุณ

เมื่อคุณเข้าใจท่าทางความเสี่ยงด้านความปลอดภัยของระบบคลาวด์แล้ว คุณสามารถใช้การป้องกันอย่างมีกลยุทธ์กับบริการคลาวด์ของคุณตามระดับความเสี่ยงได้ มีเทคโนโลยีการรักษาความปลอดภัยบนคลาวด์หลายอย่างที่สามารถช่วยให้คุณบรรลุแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้:

  1. ขั้นตอนที่ 1: ใช้นโยบายการปกป้องข้อมูล
    ด้วยข้อมูลของคุณที่จัดอยู่ในประเภทที่ละเอียดอ่อนหรือได้รับการควบคุมคุณสามารถกําหนดนโยบายที่ควบคุมข้อมูลที่สามารถเก็บไว้ในระบบคลาวด์กักกันหรือลบข้อมูลที่ละเอียดอ่อนที่พบในระบบคลาวด์และโค้ชผู้ใช้หากพวกเขาทําผิดพลาดและละเมิดนโยบายของคุณ
  2. ขั้นตอนที่ 2: เข้ารหัสข้อมูลที่ละเอียดอ่อนด้วยคีย์ของคุณเอง
    การเข้ารหัสที่มีอยู่ในบริการคลาวด์จะปกป้องข้อมูลของคุณจากบุคคลภายนอก แต่ผู้ให้บริการคลาวด์จะยังคงสามารถเข้าถึงคีย์การเข้ารหัสของคุณได้ ให้เข้ารหัสข้อมูลของคุณโดยใช้คีย์ของคุณเองแทน เพื่อให้คุณควบคุมการเข้าถึงได้อย่างเต็มที่ ผู้ใช้ยังคงสามารถทํางานกับข้อมูลได้โดยไม่หยุดชะงัก
  3. ขั้นตอนที่ 3: กําหนดข้อจํากัดเกี่ยวกับวิธีการแชร์ข้อมูล
    ตั้งแต่วินาทีที่ข้อมูลเข้าสู่ระบบคลาวด์ ให้บังคับใช้นโยบายการควบคุมการเข้าถึงของคุณในบริการเดียวหรือหลายบริการ เริ่มต้นด้วยการดําเนินการต่างๆ เช่น การตั้งค่าผู้ใช้หรือกลุ่มให้เป็นผู้ดูหรือผู้แก้ไข และควบคุมข้อมูลที่สามารถแชร์กับภายนอกผ่านลิงก์ที่แชร์ได้
  4. ขั้นตอนที่ 4: หยุดข้อมูลไม่ให้ย้ายไปยังอุปกรณ์ที่ไม่มีการจัดการที่คุณไม่รู้จัก
    บริการคลาวด์ให้การเข้าถึงได้จากทุกที่ที่มีการเชื่อมต่ออินเทอร์เน็ต แต่การเข้าถึงจากอุปกรณ์ที่ไม่มีการจัดการ เช่น โทรศัพท์ส่วนตัวจะสร้างจุดบอดสําหรับท่าทางการรักษาความปลอดภัยของคุณ บล็อกการดาวน์โหลดไปยังอุปกรณ์ที่ไม่มีการจัดการโดยกําหนดให้มีการตรวจสอบความปลอดภัยของอุปกรณ์ก่อนดาวน์โหลด
  5. ขั้นตอนที่ 5: ใช้การป้องกันมัลแวร์ขั้นสูงกับ infrastructure-as-a-service (IaaS) เช่น AWS หรือ Azure
    ในสภาพแวดล้อม IaaS คุณต้องรับผิดชอบต่อความปลอดภัยของระบบปฏิบัติการแอปพลิเคชันและการรับส่งข้อมูลเครือข่ายของคุณ เทคโนโลยีป้องกันมัลแวร์สามารถนําไปใช้กับระบบปฏิบัติการและเครือข่ายเสมือนเพื่อปกป้องโครงสร้างพื้นฐานของคุณ ปรับใช้รายการที่อนุญาตพิเศษของแอปพลิเคชันและการป้องกันการใช้หน่วยความจําสําหรับปริมาณงานวัตถุประสงค์เดียวและการป้องกันตามการเรียนรู้ของเครื่องสําหรับปริมาณงานเอนกประสงค์และที่เก็บไฟล์

ขั้นตอนที่ 3: ตอบสนองต่อปัญหาด้านความปลอดภัยของระบบคลาวด์

ในขณะที่บริการคลาวด์ของคุณกําลังถูกเข้าถึงและใช้งาน จะมีเหตุการณ์ที่ต้องการการตอบสนองอัตโนมัติหรือแบบมีคําแนะนําเป็นประจํา เช่นเดียวกับสภาพแวดล้อมด้านไอทีอื่นๆ ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้เพื่อเริ่มแนวทางปฏิบัติในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยบนระบบคลาวด์ของคุณ:

  1. ขั้นตอนที่ 1: ต้องมีการยืนยันเพิ่มเติมสําหรับสถานการณ์การเข้าถึงที่มีความเสี่ยงสูง
    ตัวอย่างเช่น หากผู้ใช้เข้าถึงข้อมูลที่ละเอียดอ่อนในบริการคลาวด์จากอุปกรณ์ใหม่ ให้กําหนดให้มีการตรวจสอบสิทธิ์สองปัจจัยโดยอัตโนมัติเพื่อพิสูจน์ตัวตนของตน
  2. ขั้นตอนที่ 2: ปรับนโยบายการเข้าถึงระบบคลาวด์เมื่อมีบริการใหม่เกิดขึ้น
    คุณไม่สามารถคาดการณ์ทุกบริการคลาวด์ที่จะเข้าถึงได้ แต่คุณสามารถอัปเดตนโยบายการเข้าถึงเว็บได้โดยอัตโนมัติ เช่น นโยบายที่บังคับใช้โดย secure web gatewayพร้อมข้อมูลเกี่ยวกับโปรไฟล์ความเสี่ยงของบริการคลาวด์เพื่อบล็อกการเข้าถึงหรือแสดงข้อความเตือน ทําสิ่งนี้ให้สําเร็จผ่านการรวมฐานข้อมูลความเสี่ยงบนคลาวด์เข้ากับ secure web gateway หรือไฟร์วอลล์
  3. ขั้นตอนที่ 3: ลบมัลแวร์ออกจากบริการคลาวด์
    เป็นไปได้ที่มัลแวร์จะบุกรุกโฟลเดอร์ที่ใช้ร่วมกันซึ่งซิงค์โดยอัตโนมัติกับบริการจัดเก็บข้อมูลบนคลาวด์ โดยจําลองมัลแวร์ในระบบคลาวด์โดยที่ผู้ใช้ไม่ต้องดําเนินการใดๆ สแกนไฟล์ของคุณในที่เก็บข้อมูลบนคลาวด์ด้วยโปรแกรมป้องกันมัลแวร์เพื่อหลีกเลี่ยงการโจมตีของแรนซัมแวร์หรือการโจรกรรมข้อมูล

เมื่อบริการคลาวด์พัฒนาขึ้นความท้าทายและภัยคุกคามที่คุณเผชิญก็เช่นกัน ติดตามการอัปเดตฟีเจอร์ของผู้ให้บริการระบบคลาวด์ที่เกี่ยวข้องกับความปลอดภัยอยู่เสมอ เพื่อให้คุณสามารถปรับนโยบายของคุณให้เหมาะสมได้ ผู้ให้บริการด้านความปลอดภัยจะปรับข่าวกรองภัยคุกคามและโมเดลแมชชีนเลิร์นนิงเพื่อให้ทันเช่นกัน ในขั้นตอนและแนวทางปฏิบัติที่ดีที่สุดข้างต้นสามารถใช้เทคโนโลยีหลักหลายอย่างเพื่อให้บรรลุแต่ละขั้นตอนซึ่งมักจะทํางานร่วมกับคุณลักษณะด้านความปลอดภัยดั้งเดิมจากผู้ให้บริการระบบคลาวด์

  1. Cloud Access Security Broker (CASB):
    ปกป้องข้อมูลในระบบคลาวด์ผ่าน data loss preventionการควบคุมการเข้าถึง และการวิเคราะห์พฤติกรรมของผู้ใช้ CASB ยังใช้เพื่อตรวจสอบการกําหนดค่า IaaS และค้นพบเงาไอที
  2. การป้องกันภาระงานบนคลาวด์:
    ค้นพบปริมาณงานและคอนเทนเนอร์ ใช้การป้องกันมัลแวร์ และทําให้การจัดการความปลอดภัยในสภาพแวดล้อม IaaS ง่ายขึ้น
  3. การรักษาความปลอดภัยเครือข่ายเสมือน:
    สแกนทราฟฟิกเครือข่ายที่ย้ายเข้ามาระหว่างอินสแตนซ์เสมือนที่จัดขึ้นในสภาพแวดล้อม IaaS พร้อมกับจุดเข้าและออก

วิชาอื่นๆ

บทนําสู่การจัดการเสถียรภาพความปลอดภัยของข้อมูล (DSPM)

ผู้รับมอบฉันทะคืออะไร?

Tokenization กับ Encryption

Cloud Workload Protection Platform (CWPP) คืออะไร

ปัญหาด้านความปลอดภัยของ Cloud Computing

ความปลอดภัยของคอนเทนเนอร์คืออะไร?

Browser Isolation คืออะไร?

Cloud Security คืออะไร