Cloud Security คืออะไร

หมวดหมู่คลาวด์คอมพิวติ้ง

ความปลอดภัยของระบบคลาวด์จะแตกต่างกันไปตามหมวดหมู่ของการประมวลผลแบบคลาวด์ที่ใช้ คลาวด์คอมพิวติ้งมีสี่ประเภทหลัก:

• บริการคลาวด์สาธารณะที่ดําเนินการโดยผู้ให้บริการคลาวด์สาธารณะ — ซึ่งรวมถึง software-as-a-service (SaaS), infrastructure-as-a-service (IaaS) และ platform-as-a-service (PaaS)
• บริการคลาวด์ส่วนตัวที่ดําเนินการโดยผู้ให้บริการคลาวด์สาธารณะ — บริการเหล่านี้จัดเตรียมสภาพแวดล้อมการประมวลผลสําหรับลูกค้ารายหนึ่งโดยเฉพาะ ซึ่งดําเนินการโดยบุคคลที่สาม
• บริการคลาวด์ส่วนตัวที่ดําเนินการโดยพนักงานภายใน — บริการเหล่านี้เป็นวิวัฒนาการของศูนย์ข้อมูลแบบดั้งเดิม ซึ่งพนักงานภายในดําเนินการสภาพแวดล้อมเสมือนจริงที่พวกเขาควบคุม
• บริการคลาวด์แบบไฮบริด — การกําหนดค่าคลาวด์คอมพิวติ้งแบบส่วนตัวและสาธารณะสามารถรวมกันได้ โดยโฮสต์ปริมาณงานและข้อมูลตามปัจจัยที่ปรับให้เหมาะสม เช่น ต้นทุน ความปลอดภัย การดําเนินงาน และการเข้าถึง การดําเนินงานจะเกี่ยวข้องกับพนักงานภายในและผู้ให้บริการคลาวด์สาธารณะหรือไม่

เมื่อใช้บริการคลาวด์คอมพิวติ้งที่ให้บริการโดยผู้ให้บริการคลาวด์สาธารณะข้อมูลและแอปพลิเคชันจะถูกโฮสต์กับบุคคลที่สามซึ่งถือเป็นความแตกต่างพื้นฐานระหว่างคลาวด์คอมพิวติ้งและไอทีแบบดั้งเดิมซึ่งข้อมูลส่วนใหญ่ถูกเก็บไว้ในเครือข่ายที่ควบคุมด้วยตนเอง การทําความเข้าใจความรับผิดชอบด้านความปลอดภัยของคุณเป็นขั้นตอนแรกในการสร้างกลยุทธ์การรักษาความปลอดภัยบนคลาวด์

การแบ่งส่วนความรับผิดชอบด้านความปลอดภัยบนคลาวด์

ผู้ให้บริการระบบคลาวด์ส่วนใหญ่พยายามสร้างระบบคลาวด์ที่ปลอดภัยสําหรับลูกค้า รูปแบบธุรกิจของพวกเขาขึ้นอยู่กับการป้องกันการละเมิดและรักษาความไว้วางใจของสาธารณชนและลูกค้า ผู้ให้บริการระบบคลาวด์สามารถพยายามหลีกเลี่ยงปัญหาด้านความปลอดภัยของระบบคลาวด์กับบริการที่มีให้ แต่ไม่สามารถควบคุมวิธีที่ลูกค้าใช้บริการ ข้อมูลใดที่พวกเขาเพิ่มเข้าไป และผู้ที่มีสิทธิ์เข้าถึง ลูกค้าสามารถลดความปลอดภัยทางไซเบอร์ในระบบคลาวด์ด้วยการกําหนดค่า ข้อมูลที่ละเอียดอ่อน และนโยบายการเข้าถึง ในบริการคลาวด์สาธารณะแต่ละประเภท ผู้ให้บริการคลาวด์และลูกค้าระบบคลาวด์มีระดับความรับผิดชอบด้านความปลอดภัยต่างกัน ตามประเภทบริการ ได้แก่ :

• Software-as-a-service (SaaS) — ลูกค้ามีหน้าที่รับผิดชอบในการรักษาความปลอดภัยข้อมูลและการเข้าถึงของผู้ใช้
• Platform-as-a-service (PaaS) — ลูกค้ามีหน้าที่รับผิดชอบในการรักษาความปลอดภัยข้อมูล
• Infrastructure-as-a-service (IaaS) — ลูกค้ามีหน้าที่รับผิดชอบในการรักษาความปลอดภัยข้อมูล การเข้าถึงของผู้ใช้ แอปพลิเคชัน ระบบปฏิบัติการ และการรับส่งข้อมูลเครือข่ายเสมือน

ภายในบริการคลาวด์สาธารณะทุกประเภทลูกค้ามีหน้าที่รับผิดชอบในการรักษาความปลอดภัยข้อมูลและควบคุมว่าใครสามารถเข้าถึงข้อมูลนั้นได้ ความปลอดภัยของข้อมูลในคลาวด์คอมพิวติ้งเป็นพื้นฐานในการปรับใช้และใช้ประโยชน์จากระบบคลาวด์ให้ประสบความสําเร็จ องค์กรที่พิจารณาข้อเสนอ SaaS ยอดนิยม เช่น Microsoft Office 365 หรือ Salesforce จําเป็นต้องวางแผนว่าพวกเขาจะปฏิบัติตามความรับผิดชอบร่วมกันในการปกป้องข้อมูลในระบบคลาวด์อย่างไร ผู้ที่พิจารณาข้อเสนอ IaaS เช่น Amazon Web Services (AWS) หรือ Microsoft Azure จําเป็นต้องมีแผนที่ครอบคลุมมากขึ้นซึ่งเริ่มต้นด้วยข้อมูล แต่ยังครอบคลุมถึงความปลอดภัยของแอประบบคลาวด์ ระบบปฏิบัติการ และการรับส่งข้อมูลเครือข่ายเสมือน ซึ่งแต่ละแผนยังสามารถแนะนําปัญหาด้านความปลอดภัยของข้อมูลได้อีกด้วย

ความท้าทายด้านความปลอดภัยของระบบคลาวด์

เนื่องจากข้อมูลในระบบคลาวด์สาธารณะถูกจัดเก็บโดยบุคคลที่สามและเข้าถึงได้ทางอินเทอร์เน็ต จึงมีความท้าทายหลายประการในความสามารถในการรักษาระบบคลาวด์ที่ปลอดภัย เหล่านี้คือ:

• การมองเห็นข้อมูลคลาวด์ — ในหลายกรณี บริการคลาวด์สามารถเข้าถึงได้นอกเครือข่ายองค์กรและจากอุปกรณ์ที่ไม่ได้จัดการโดยฝ่ายไอที ซึ่งหมายความว่าทีมไอทีต้องการความสามารถในการมองเห็นบริการคลาวด์เพื่อให้สามารถมองเห็นข้อมูลได้อย่างสมบูรณ์ซึ่งต่างจากวิธีการตรวจสอบการรับส่งข้อมูลเครือข่ายแบบดั้งเดิม
• ควบคุมข้อมูลระบบคลาวด์ — ในสภาพแวดล้อมของผู้ให้บริการคลาวด์บุคคลที่สามทีมไอทีสามารถเข้าถึงข้อมูลได้น้อยกว่าเมื่อควบคุมเซิร์ฟเวอร์และแอปพลิเคชันในสถานที่ของตนเอง ลูกค้าระบบคลาวด์จะได้รับการควบคุมที่จํากัดโดยค่าเริ่มต้น และไม่สามารถเข้าถึงโครงสร้างพื้นฐานทางกายภาพพื้นฐานได้
• การเข้าถึงข้อมูลและแอปพลิเคชันระบบคลาวด์ - ผู้ใช้สามารถเข้าถึงแอปพลิเคชันและข้อมูลบนคลาวด์ผ่านอินเทอร์เน็ตทําให้การควบคุมการเข้าถึงตามขอบเขตเครือข่ายศูนย์ข้อมูลแบบเดิมไม่ได้ผลอีกต่อไป การเข้าถึงของผู้ใช้สามารถมาจากสถานที่หรืออุปกรณ์ใดก็ได้ รวมถึงเทคโนโลยี bring-your-own-device (BYOD) นอกจากนี้ การเข้าถึงที่มีสิทธิพิเศษโดยบุคลากรของผู้ให้บริการระบบคลาวด์สามารถข้ามการควบคุมความปลอดภัยของคุณเองได้
• การปฏิบัติตามข้อกําหนด — การใช้บริการคลาวด์คอมพิวติ้งเพิ่มมิติใหม่ให้กับการปฏิบัติตามกฎระเบียบและภายใน สภาพแวดล้อมระบบคลาวด์ของคุณอาจต้องปฏิบัติตามข้อกําหนดด้านกฎระเบียบ เช่น HIPAA, PCI และ Sarbanes-Oxley ตลอดจนข้อกําหนดจากทีมภายใน คู่ค้า และลูกค้า โครงสร้างพื้นฐานของผู้ให้บริการระบบคลาวด์ ตลอดจนอินเทอร์เฟซระหว่างระบบภายในองค์กรและระบบคลาวด์ยังรวมอยู่ในกระบวนการปฏิบัติตามข้อกําหนดและการจัดการความเสี่ยง
• การละเมิดบนคลาวด์ – การละเมิดข้อมูลในระบบคลาวด์ไม่เหมือนกับการละเมิดในองค์กร เนื่องจากการโจรกรรมข้อมูลมักเกิดขึ้นโดยใช้ฟังก์ชันดั้งเดิมของระบบคลาวด์ การละเมิดแบบ Cloud-native คือชุดของการกระทําโดยผู้กระทําการที่เป็นปฏิปักษ์ซึ่งพวกเขา "ลงจอด" การโจมตีโดยใช้ประโยชน์จากข้อผิดพลาดหรือช่องโหว่ในการปรับใช้ระบบคลาวด์โดยไม่ต้องใช้มัลแวร์ "ขยาย" การเข้าถึงผ่านอินเทอร์เฟซที่กําหนดค่าหรือป้องกันอย่างอ่อนแอเพื่อค้นหาข้อมูลที่มีค่า และ "กรอง" ข้อมูลนั้นไปยังตําแหน่งที่เก็บข้อมูลของตนเอง
• การกําหนดค่าผิดพลาด – การละเมิดแบบ Cloud-native มักจะตกเป็นความรับผิดชอบของลูกค้าระบบคลาวด์ด้านความปลอดภัย ซึ่งรวมถึงการกําหนดค่าบริการคลาวด์ การวิจัยแสดงให้เห็นว่ามีเพียง 26% ของบริษัทเท่านั้นที่สามารถตรวจสอบสภาพแวดล้อม IaaS ของตนเพื่อหาข้อผิดพลาดในการกําหนดค่าได้ การกําหนดค่า IaaS ผิดพลาดมักจะทําหน้าที่เป็นประตูหน้าสู่การละเมิดแบบ Cloud-native ทําให้ผู้โจมตีสามารถลงจอดได้สําเร็จ จากนั้นจึงดําเนินการต่อเพื่อขยายและกรองข้อมูล การวิจัยยังแสดงให้เห็นว่า 99% ของการกําหนดค่าที่ไม่ถูกต้องไม่มีใครสังเกตเห็นใน IaaS โดยลูกค้าระบบคลาวด์ นี่คือข้อความที่ตัดตอนมาจากการศึกษานี้ซึ่งแสดงการตัดการเชื่อมต่อการกําหนดค่าผิดพลาดในระดับนี้:

• การกู้คืนจากความเสียหาย – จําเป็นต้องมีการวางแผนความปลอดภัยทางไซเบอร์เพื่อปกป้องผลกระทบของการละเมิดเชิงลบที่สําคัญ แผนการกู้คืนจากความเสียหายประกอบด้วยนโยบาย ขั้นตอน และเครื่องมือที่ออกแบบมาเพื่อเปิดใช้งานการกู้คืนข้อมูลและช่วยให้องค์กรสามารถดําเนินงานและดําเนินธุรกิจต่อไปได้
• ภัยคุกคามภายใน – พนักงานอันธพาลสามารถใช้บริการคลาวด์เพื่อทําให้องค์กรถูกละเมิดความปลอดภัยทางไซเบอร์ รายงานการปรับใช้และความเสี่ยงของ McAfee Cloud ล่าสุดเปิดเผยกิจกรรมที่ผิดปกติซึ่งบ่งบอกถึงภัยคุกคามภายในใน 85% ขององค์กร

โซลูชันการรักษาความปลอดภัยบนคลาวด์

องค์กรที่กําลังมองหาโซลูชันการรักษาความปลอดภัยบนคลาวด์ควรพิจารณาเกณฑ์ต่อไปนี้เพื่อแก้ปัญหาความท้าทายด้านความปลอดภัยบนคลาวด์หลักของการมองเห็นและการควบคุมข้อมูลระบบคลาวด์

• การมองเห็นข้อมูลบนคลาวด์ — มุมมองที่สมบูรณ์ของข้อมูลคลาวด์ต้องการการเข้าถึงบริการคลาวด์โดยตรง โซลูชันการรักษาความปลอดภัยบนคลาวด์ทําได้ผ่านการเชื่อมต่อ Application Programming Interface (API) กับบริการคลาวด์ ด้วยการเชื่อมต่อ API คุณสามารถดู:
  • ข้อมูลใดที่ถูกเก็บไว้ในระบบคลาวด์
  • ใครกําลังใช้ข้อมูลบนคลาวด์
  • บทบาทของผู้ใช้ที่เข้าถึงข้อมูลระบบคลาวด์
  • ผู้ใช้ระบบคลาวด์กําลังแบ่งปันข้อมูลกับใคร
  • ตําแหน่งที่ข้อมูลคลาวด์ตั้งอยู่
  • ตําแหน่งที่มีการเข้าถึงและดาวน์โหลดข้อมูลบนคลาวด์ รวมถึงจากอุปกรณ์ใด
• ควบคุมข้อมูลบนคลาวด์ — เมื่อคุณมองเห็นข้อมูลระบบคลาวด์แล้ว ให้ใช้การควบคุมที่เหมาะสมกับองค์กรของคุณมากที่สุด การควบคุมเหล่านี้รวมถึง:
  • การจัดประเภทข้อมูล — จัดประเภทข้อมูลในหลายระดับ เช่น ละเอียดอ่อน ควบคุม หรือสาธารณะ ตามที่สร้างขึ้นในระบบคลาวด์ เมื่อจัดประเภทแล้ว ข้อมูลสามารถหยุดไม่ให้เข้าหรือออกจากบริการคลาวด์ได้
  • Data Loss Prevention (ดีแอลพี) — ใช้โซลูชัน DLP บนคลาวด์เพื่อปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต และปิดใช้งานการเข้าถึงและการขนส่งข้อมูลโดยอัตโนมัติเมื่อตรวจพบกิจกรรมที่น่าสงสัย
  • การควบคุมการทํางานร่วมกัน — จัดการการควบคุมภายในบริการคลาวด์ เช่น การดาวน์เกรดสิทธิ์ของไฟล์และโฟลเดอร์สําหรับผู้ใช้ที่ระบุไปยังผู้แก้ไขหรือผู้ดู
  • การเข้ารหัส — สามารถใช้การเข้ารหัสข้อมูลบนคลาวด์เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต แม้ว่าข้อมูลนั้นจะถูกกรองหรือถูกขโมยก็ตาม
• เข้าถึงข้อมูลและแอปพลิเคชันบนคลาวด์— เช่นเดียวกับการรักษาความปลอดภัยภายในองค์กร การควบคุมการเข้าถึงเป็นองค์ประกอบสําคัญของการรักษาความปลอดภัยบนคลาวด์ การควบคุมทั่วไป ได้แก่ :
  • การควบคุมการเข้าถึงของผู้ใช้ — ใช้การควบคุมการเข้าถึงระบบและแอปพลิเคชันเพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่เข้าถึงข้อมูลและแอปพลิเคชันบนคลาวด์  ACloud Access Security Broker(CASB) สามารถใช้เพื่อบังคับใช้การควบคุมการเข้าถึง
  • การควบคุมการเข้าถึงอุปกรณ์ — บล็อกการเข้าถึงเมื่ออุปกรณ์ส่วนบุคคลที่ไม่ได้รับอนุญาตพยายามเข้าถึงข้อมูลระบบคลาวด์
  • การระบุพฤติกรรมที่เป็นอันตราย — ตรวจจับบัญชีที่ถูกบุกรุกและภัยคุกคามภายในด้วยการวิเคราะห์พฤติกรรมผู้ใช้ (UBA) เพื่อไม่ให้เกิดการขโมยข้อมูลที่เป็นอันตราย
  • การป้องกันมัลแวร์ — ป้องกันมัลแวร์ไม่ให้เข้าสู่บริการคลาวด์โดยใช้เทคนิคต่างๆ เช่น การสแกนไฟล์ รายการที่อนุญาตพิเศษของแอปพลิเคชัน การตรวจจับมัลแวร์ตามแมชชีนเลิร์นนิง และการวิเคราะห์การรับส่งข้อมูลเครือข่าย
  • การเข้าถึงที่มีสิทธิพิเศษ — ระบุรูปแบบการเข้าถึงที่เป็นไปได้ทั้งหมดที่บัญชีที่มีสิทธิพิเศษอาจมีต่อข้อมูลและแอปพลิเคชันของคุณ และวางการควบคุมเพื่อลดความเสี่ยง
• ตามมาตรฐาน — ข้อกําหนดและแนวทางปฏิบัติด้านการปฏิบัติตามข้อกําหนดที่มีอยู่ควรได้รับการเสริมเพื่อรวมข้อมูลและแอปพลิเคชันที่อยู่ในระบบคลาวด์
  • การประเมินความเสี่ยง — ตรวจสอบและอัปเดตการประเมินความเสี่ยงเพื่อรวมบริการคลาวด์ ระบุและจัดการกับปัจจัยเสี่ยงที่แนะนําโดยสภาพแวดล้อมระบบคลาวด์และผู้ให้บริการ ฐานข้อมูลความเสี่ยงสําหรับผู้ให้บริการระบบคลาวด์มีไว้เพื่อเร่งกระบวนการประเมิน
  • การประเมินการปฏิบัติตามข้อกําหนด — ตรวจสอบและอัปเดตการประเมินการปฏิบัติตามข้อกําหนดสําหรับ PCI, HIPAA, Sarbanes-Oxley และข้อกําหนดด้านกฎระเบียบอื่นๆ ของแอปพลิเคชัน