โดย Nate Brady - สถาปนิกความปลอดภัยบนคลาวด์
17 กรกฎาคม 2568 5 อ่านนาที
อุตสาหกรรมความปลอดภัยทางไซเบอร์ได้พัฒนาความเห็นพ้องที่น่าสนใจเกี่ยวกับ Zero Trust Network Access (ZTNA): วางตำแหน่งให้สามารถทดแทนโครงสร้างพื้นฐาน VPN ที่ล้าสมัยได้โดยตรง สัญญาว่าจะทำให้เกิดการหยุดชะงักน้อยที่สุด และค่อยๆ ย้ายนโยบายไปทีละน้อย ข้อความนี้น่าสนใจมาก — หลีกเลี่ยงความซับซ้อนของการเปลี่ยนแปลงองค์กร พร้อมกับได้รับประโยชน์ด้านความปลอดภัยที่ทันสมัย อย่างไรก็ตาม เศรษฐศาสตร์อาจบอกเล่าเรื่องราวที่แตกต่างออกไป
ผมคาดการณ์ว่าองค์กรที่เลือกใช้เส้นทาง “ง่าย” นี้จะพบว่าแนวทางนี้ ซึ่งมุ่งลดผลกระทบระยะสั้นให้เหลือน้อยที่สุด กลับกลับเพิ่มต้นทุนในระยะยาวให้สูงสุด ในขณะเดียวกัน ผู้ที่มองว่าการย้ายระบบ ZTNA เป็นโอกาสในการพลิกโฉมระบบไอทีขั้นพื้นฐาน จะพบว่าการลงแรงลงแรงของพวกเขานั้นให้ผลตอบแทนคุ้มค่าในด้านประสิทธิภาพการดำเนินงาน ผมเชื่อมั่นในหลักการสามประการ คือ ดี-เร็ว-ง่าย (เลือกได้เพียงสองอย่าง) และในบล็อกนี้ ผมจะอธิบายว่าหลักการนี้ใช้กับการนำ ZTNA มาใช้ได้อย่างไร
วิกฤตสินค้าคงคลังแอปพลิเคชัน
ต้นตอของความขัดแย้งนี้อยู่ที่จุดบอดที่องค์กรส่วนใหญ่มักมองข้าม แต่กลับไม่ยอมรับ นั่นคือ พวกเขาไม่รู้ว่าตนเองมีแอปพลิเคชันอะไร ใครใช้แอปพลิเคชันนั้น (กับข้อมูลใด) หรือสร้างมูลค่าทางธุรกิจอย่างไร การเติบโตทางไอทีแบบออร์แกนิก การเข้าซื้อกิจการ และความคิดริเริ่มของแผนกต่างๆ ตลอดหลายปีที่ผ่านมา ได้สร้างพอร์ตโฟลิโอแอปพลิเคชันที่กว้างขวาง ซึ่งยากต่อการจัดหมวดหมู่อย่างง่ายดาย
โครงสร้างพื้นฐาน VPN แบบดั้งเดิมทำให้เกิดความทึบแสงนี้ นโยบายการเข้าถึงเครือข่ายแบบกว้างๆ บดบังรูปแบบการใช้งานแอปพลิเคชันจริง เมื่อพนักงานสามารถเข้าถึง "ทุกสิ่งบนเครือข่าย" ได้ ก็ไม่จำเป็นต้องอธิบายเหตุผลว่าเหตุใดจึงมีแอปพลิเคชันเฉพาะเจาะจง หรือใครจำเป็นต้องเข้าถึง VPN กลายเป็นชั้นนามธรรมที่สะดวกซึ่งปกปิดช่องว่างการกำกับดูแลขั้นพื้นฐาน
แนวทางการแทนที่ ZTNA-as-VPN ช่วยคงไว้ซึ่งพลวัตนี้ ผู้จำหน่ายสัญญาว่าจะทำซ้ำรูปแบบการเข้าถึงที่มีอยู่เดิมโดยมีผลกระทบต่อองค์กรน้อยที่สุด ข้อความแฝงคือ คุณสามารถบรรลุความปลอดภัยแบบ Zero Trust ได้โดยไม่ต้องยุ่งยากกับการทำความเข้าใจกับสิ่งที่คุณกำลังปกป้อง สิ่งนี้สร้างโครงสร้างแรงจูงใจทางการตลาดที่เน้นย้ำถึงความซับซ้อนและหลีกเลี่ยงการทำให้มีเหตุผล
ลองพิจารณาผลกระทบทางเศรษฐกิจ องค์กรต่างๆ มักบำรุงรักษาแอปพลิเคชันที่เหตุผลทางธุรกิจเดิมหมดอายุแล้ว พวกเขาจ่ายค่าลิขสิทธิ์สำหรับซอฟต์แวร์ที่ให้บริการผู้ใช้จำนวนลดลง พวกเขาจัดสรรทรัพยากรโครงสร้างพื้นฐานให้กับระบบที่สามารถรวมหรือยกเลิกได้ รูปแบบการแทนที่ VPN ช่วยรักษาความไม่มีประสิทธิภาพเหล่านี้ไว้ ในขณะเดียวกันก็เพิ่มต้นทุนด้านเทคโนโลยีใหม่เข้าไปด้วย
เศรษฐศาสตร์เท็จของ “การบรรเทาความเสี่ยง”
ความขัดแย้งยิ่งทวีความรุนแรงขึ้นเมื่อพิจารณาถึงวิธีที่องค์กรต่างๆ กำหนดกรอบการตัดสินใจ กระบวนการจัดทำรายการแอปพลิเคชันและการหาเหตุผลเข้าข้างตนเองถูกมองว่า “เสี่ยง” — จะเกิดอะไรขึ้นหากเราจำกัดการเข้าถึงสิ่งสำคัญโดยไม่ได้ตั้งใจ? จะเกิดอะไรขึ้นหากเจ้าของแอปพลิเคชันเพิกเฉยต่อข้อกำหนดด้านเหตุผล? จะเกิดอะไรขึ้นหากเราพบว่าพอร์ตโฟลิโอไอทีของเรามีความวุ่นวายมากกว่าที่คิด?
ข้อกังวลเหล่านี้สะท้อนถึงพลวัตขององค์กรที่แท้จริง แต่การคำนวณความเสี่ยงกลับย้อนกลับ ความเสี่ยงที่แท้จริงอยู่ที่ความไม่รู้เกี่ยวกับสภาพแวดล้อมไอทีของคุณอย่างไม่รู้จบสิ้น ทีมรักษาความปลอดภัยไม่สามารถนำการควบคุมที่มีประสิทธิภาพมาใช้กับแอปพลิเคชันที่พวกเขาไม่เข้าใจ ความพยายามในการปฏิบัติตามกฎระเบียบกลายเป็นเพียงการฝึกฝนในเชิงเอกสาร มากกว่าจะเป็นการจัดการความเสี่ยงเชิงเนื้อหา การวางแผนความต่อเนื่องทางธุรกิจอาศัยสมมติฐานมากกว่าหลักฐาน
ตลาดตอบสนองต่อแรงจูงใจที่ไม่สอดคล้องกันเหล่านี้ได้อย่างคาดการณ์ไว้ ระบบนิเวศน์การให้คำปรึกษาได้เกิดขึ้นจากการจัดการความซับซ้อนแทนที่จะลดความซับซ้อนลง องค์กรต่างๆ จะใช้บริการมืออาชีพที่มีค่าใช้จ่ายสูงเพื่อย้ายแอปพลิเคชันหลายร้อยรายการไปยังแพลตฟอร์ม ZTNA โดยไม่ตั้งคำถามว่าควรมีแอปพลิเคชันเหล่านั้นอยู่หรือไม่ตั้งแต่แรก ค่าธรรมเนียมสำหรับ "การลดความเสี่ยง" นี้มักจะสูงกว่าการประหยัดต้นทุนที่เกิดจากการจัดการที่เหมาะสม
เงินปันผล Zero Trust
องค์กรที่เลือกเส้นทางการเปลี่ยนแปลงจะค้นพบสิ่งที่ไม่คาดคิด นั่นคือ การนำ Zero Trust มาใช้อย่างเหมาะสมจะสร้างฟังก์ชันการบังคับสำหรับการเพิ่มประสิทธิภาพพอร์ตโฟลิโอไอทีที่รอคอยมานาน เมื่อทุกแอปพลิเคชันต้องมีเจ้าของที่ระบุตัวตน วัตถุประสงค์ทางธุรกิจที่สมเหตุสมผล และกระแสข้อมูลที่จัดประเภท การล้างข้อมูลจึงเกิดขึ้นอย่างเป็นธรรมชาติ
เศรษฐศาสตร์กลายเป็นเรื่องที่น่าสนใจอย่างรวดเร็ว การเลิกใช้แอปพลิเคชันช่วยลดต้นทุนใบอนุญาต ลดความต้องการด้านโครงสร้างพื้นฐาน และลดพื้นที่รักษาความปลอดภัย โอกาสในการรวมระบบจะเกิดขึ้นเมื่อทีมงานพบว่าพวกเขากำลังบำรุงรักษาเครื่องมือหลายตัวสำหรับฟังก์ชันที่เหมือนกัน การลดหนี้ทางเทคนิคจะเกิดขึ้นตามธรรมชาติเมื่อระบบที่เลิกใช้แล้วสูญเสียความเป็นนิรนามที่ปกป้อง
ผลประโยชน์ที่วัดผลได้มักสร้างความประหลาดใจให้กับทีมผู้นำ การปรับไลเซนส์เพียงอย่างเดียวมักช่วยลดต้นทุนด้านซอฟต์แวร์ได้ถึง 20-40% การปรับโครงสร้างพื้นฐานให้มีประสิทธิภาพมากขึ้นก็ช่วยประหยัดต้นทุนด้านการประมวลผลและการจัดเก็บข้อมูลได้ในระดับเดียวกัน ประสิทธิภาพในการดำเนินงานที่เพิ่มขึ้น เช่น มีระบบที่ต้องแพตช์ ตรวจสอบ และสำรองข้อมูลน้อยลง ก่อให้เกิดผลตอบแทนที่ต่อเนื่องและทบต้นทบดอกเมื่อเวลาผ่านไป
ที่สำคัญยิ่งกว่านั้น องค์กรต่างๆ พัฒนาความรู้ความเข้าใจเกี่ยวกับสภาพแวดล้อมไอทีของตนเอง ความสามารถนี้ช่วยให้สามารถตอบสนองต่อเหตุการณ์ได้เร็วขึ้น ประเมินผลกระทบทางธุรกิจได้แม่นยำยิ่งขึ้น และตัดสินใจลงทุนในเทคโนโลยีโดยอิงข้อมูล ข้อได้เปรียบในการแข่งขันจะสะสมอย่างต่อเนื่องสำหรับองค์กรที่เข้าใจในสิ่งที่พวกเขาเป็นเจ้าของและวิธีที่สิ่งนั้นสร้างมูลค่า
การกำหนดกรอบกรณีทางธุรกิจใหม่
กรณีศึกษาทางธุรกิจด้านความปลอดภัยไซเบอร์แบบดั้งเดิมมองว่าการปรับปรุงความปลอดภัยเป็นค่าใช้จ่ายที่จำเป็น ซึ่งเป็นการลงทุนเพื่อลดความเสี่ยงที่ไม่ได้สร้างรายได้โดยตรง การกำหนดกรอบการทำงานเช่นนี้ทำให้ทีมรักษาความปลอดภัยเสียเปรียบอย่างเป็นระบบเมื่อต้องแข่งขันกันเพื่องบประมาณกับโครงการริเริ่มที่ให้ผลตอบแทนทางการเงินที่ชัดเจน
เงินปันผลจากสินค้าคงคลังแอปพลิเคชันเปลี่ยนแปลงพลวัตนี้ไปอย่างสิ้นเชิง การนำ Zero Trust มาใช้กลายเป็นโครงการปรับปรุงพอร์ตโฟลิโอไอที ซึ่งรวมถึงการปรับปรุงด้านความปลอดภัยด้วย กรณีศึกษาทางธุรกิจเปลี่ยนจาก “โครงการรักษาความปลอดภัยนี้จะมีค่าใช้จ่ายเท่าไหร่” เป็น “ความพยายามในการปรับปรุงนี้จะช่วยให้เราประหยัดเงินได้เท่าไหร่”
การพิจารณาไทม์ไลน์ช่วยสนับสนุนการปรับโครงสร้างใหม่นี้ ประโยชน์ของการปรับโครงสร้างแอปพลิเคชันเริ่มต้นทันที โดยแอปพลิเคชันที่เลิกใช้แล้วจะหยุดสร้างต้นทุนในเดือนปัจจุบัน การปรับปรุงใบอนุญาตจะปรากฏในรอบการต่ออายุถัดไป การลดค่าใช้จ่ายโครงสร้างพื้นฐานจะส่งผลต่อค่าใช้จ่ายด้านคลาวด์รายไตรมาส โดยทั่วไปแล้ว เงินที่ประหยัดได้นี้จะนำไปใช้ในการติดตั้ง ZTNA ภายใน 12-18 เดือน หลังจากนั้นการปรับปรุงด้านความปลอดภัยจะไม่มีค่าใช้จ่ายใดๆ
องค์กรที่ยอมรับกรอบแนวคิดนี้พบว่าโครงการ Zero Trust ของตนได้รับการตอบรับจากผู้มีส่วนได้ส่วนเสียที่แตกต่างกันออกไป CFO กลายเป็นพันธมิตรมากกว่าผู้ตั้งคำถาม ผู้นำหน่วยธุรกิจต่างมีส่วนร่วมเชิงรุกเมื่อพวกเขาเข้าใจถึงประโยชน์ด้านประสิทธิภาพ ทีมเทคโนโลยีเห็นคุณค่าของโอกาสในการกำจัดหนี้ทางเทคนิคที่สะสมมาหลายปี
ทางเลือกเชิงกลยุทธ์
วิกฤตการณ์สิ้นสุดอายุการใช้งาน VPN นำเสนอจุดเปลี่ยนเชิงกลยุทธ์ที่ขยายขอบเขตไปไกลกว่าการทดแทนเทคโนโลยี องค์กรต่างๆ สามารถเลือกที่จะคงไว้ซึ่งประสิทธิภาพที่ด้อยลงด้วยเครื่องมือใหม่ๆ หรืออาจใช้ข้อกำหนดในการเปลี่ยนผ่านเป็นตัวเร่งปฏิกิริยาเพื่อการพัฒนาขั้นพื้นฐาน
เส้นทาง “ง่าย” ช่วยรักษาความสะดวกสบายขององค์กรไว้ ในขณะเดียวกันก็เพิ่มความซับซ้อนและต้นทุนทางเทคโนโลยี เส้นทางการเปลี่ยนแปลงนี้จำเป็นต้องสร้างความเปลี่ยนแปลงในระยะสั้น แต่จะสร้างข้อได้เปรียบในการแข่งขันที่ยั่งยืนผ่านการจัดการพอร์ตโฟลิโอไอทีที่ดีขึ้น ประสิทธิภาพในการดำเนินงาน และความสามารถด้านความปลอดภัยที่แท้จริง
เศรษฐศาสตร์สนับสนุนการเปลี่ยนแปลง แต่เฉพาะกับองค์กรที่พร้อมจะเผชิญหน้ากับความเป็นจริงของแอปพลิเคชันที่หลีกเลี่ยงมาตลอด องค์กรที่เลือกเส้นทางนี้พบว่าปัญหาที่ยากที่สุดมักมีวิธีแก้ปัญหาที่ให้ผลกำไรสูงสุด พลวัตของตลาดให้รางวัลแก่ความกล้าหาญนี้ องค์กรที่มีพอร์ตโฟลิโอไอทีที่ชัดเจนและเข้าใจง่าย ย่อมมีผลงานเหนือกว่าองค์กรอื่นๆ ในระดับเดียวกันในหลายมิติ
คำถามไม่ได้อยู่ที่ว่าองค์กรของคุณจะปรับพอร์ตโฟลิโอแอปพลิเคชันให้เหมาะสมที่สุดหรือไม่ แรงกดดันจากตลาด ข้อกำหนดด้านการปฏิบัติตามกฎระเบียบ และต้นทุนการดำเนินงานจะผลักดันการตัดสินใจนี้ในที่สุด คำถามคือ คุณจะใช้การเปลี่ยนแปลง VPN ในปัจจุบันเป็นโอกาสในการดำเนินการอย่างมีกลยุทธ์ หรือจะรอให้เกิดวิกฤตแล้วค่อยดำเนินการเชิงรับ
องค์กรที่ตัดสินใจเลือกในวันนี้จะเป็นผู้ที่มีความได้เปรียบในการแข่งขันอย่างยั่งยืนในอนาคต
เกี่ยวกับผู้เขียน
เนท เบรดี้
สถาปนิกความปลอดภัยบนคลาวด์
Nathan Brady เป็นสถาปนิกองค์กรที่ Skyhigh Security นาธานได้รับปริญญาเอกด้านเศรษฐศาสตร์ธุรกิจจากมหาวิทยาลัยนิวคาสเซิล ประเทศออสเตรเลีย ปริญญาโทบริหารธุรกิจจากมหาวิทยาลัยแคนซัส ปริญญาตรีด้านธุรกิจและวิศวกรรมศาสตร์ และใบรับรองจากอุตสาหกรรมต่างๆ รวมถึง CISSP, CCSP, Microsoft ASAE และ AWS-CSA
ดร. เบรดี้ยังดำรงตำแหน่งคณะกรรมการบริหารของ (ISC)2 ชิคาโก ตลอดระยะเวลา 20 ปีที่ผ่านมา เนทได้ทำหน้าที่เป็นที่ปรึกษาที่ได้รับความไว้วางใจในการสร้างโครงสร้างพื้นฐานด้านไอทีที่สำคัญให้กับบริษัท Fortune 500 หลายแห่ง
กลับไปที่บล็อก