ทรัพยากร
ใครเป็นผู้รับผิดชอบต่อความล้มเหลวด้านความปลอดภัยของระบบคลาวด์ คําตอบ: ผู้คนมากกว่าที่คุณคิด
โดย Claire Hatcher - Regional Director of Sales, United Kingdom, Skyhigh Security
30 พฤศจิกายน 2566 3 อ่านนาที
ความรับผิดชอบร่วมกันเป็นแนวคิดที่เราทุกคนเข้าใจโดยสัญชาตญาณ แต่หลายองค์กรไม่เข้าใจอย่างถ่องแท้เมื่อพูดถึงการรักษาความปลอดภัยระบบคลาวด์ กรอบการทํางานที่อธิบายนั้นค่อนข้างใหม่หรือความคาดหวังยังไม่ชัดเจนเพียงพอ น่าเสียดายที่หลายองค์กรทิ้งลูกบอลโดยไม่เข้าใจบทบาทและความรับผิดชอบของตนเองอย่างเต็มที่ และผลลัพธ์ที่ได้คือช่องว่างด้านความปลอดภัยและการละเมิด
เนื่องจาก 90% ของผู้เชี่ยวชาญด้านไอทีประสบกับการละเมิดความปลอดภัยทางไซเบอร์การประมวลผลแบบคลาวด์เช่นเดียวกับเทคโนโลยีทั้งหมดจึงไม่สามารถเข้าใจผิดได้ แม้ว่าผู้ให้บริการระบบคลาวด์ (CSP) จะมีเครื่องมือและบริการรักษาความปลอดภัยขั้นสูงบางอย่าง แต่ก็มีความเข้าใจผิดอย่างชัดเจนในด้านของลูกค้าเกี่ยวกับสิ่งที่ CSP ปกป้องจริงๆ บางทีการเปรียบเทียบสามารถช่วยชี้แจงว่าใครทําอะไรและปัดเป่าตํานานและความสับสนบางอย่าง
กรอบความคิดที่ถูกต้องสามารถป้องกันภัยพิบัติได้อย่างไร
ลองดูการเช่าอสังหาริมทรัพย์สําหรับวันหยุดจากตลาดออนไลน์ ตลาดออนไลน์มีโครงสร้างพื้นฐานพื้นฐานเพื่ออํานวยความสะดวกในการทําธุรกรรม คุณเชื่อมต่อกับเจ้าของทรัพย์สินผ่านแพลตฟอร์ม ตลาดออนไลน์มีหน้าที่จัดหาแพลตฟอร์มที่ปลอดภัยในการทําธุรกรรมนี้ เจ้าของเป็นผู้รับผิดชอบทรัพย์สินเอง ตัวอย่างเช่น พวกเขาคาดว่าจะติดตั้งล็อคที่ประตูและหน้าต่างของการเช่า และคุณมีหน้าที่รับผิดชอบในการใช้ล็อค คุณไม่สามารถคาดหวังว่าตลาดออนไลน์จะรับผิดชอบในการตรวจสอบให้แน่ใจว่าคุณจะไม่ถูกปล้นขณะอยู่ในที่พักโดยเฉพาะอย่างยิ่งหากคุณไม่ได้ใช้กลไกที่มีให้เช่นล็อคในกรณีนี้เพื่อรักษาความปลอดภัยทรัพย์สินและทรัพย์สินของคุณ
การเปรียบเทียบอีกประการหนึ่งคือการซื้อหรือเช่าเครื่องมือจากร้านฮาร์ดแวร์ ผู้ขายอาจมีความรับผิดบางอย่างหากเครื่องมือพังหรือไม่สามารถทํางานได้ แต่ขึ้นอยู่กับคุณเสมอที่จะสวมอุปกรณ์ป้องกันดวงตาตรวจสอบให้แน่ใจว่ามีสภาพแวดล้อมการทํางานที่ปลอดภัยและใช้เครื่องมืออย่างมีความรับผิดชอบ
องค์กรจําเป็นต้องเข้าใจว่ามันไม่แตกต่างกันมากสําหรับพวกเขาเกี่ยวกับแพลตฟอร์มบริการคลาวด์ที่พวกเขาใช้ CSP จะไม่รับผิดชอบต่อการละเมิดความปลอดภัยทุกครั้ง ลูกค้ามีบทบาทสําคัญในการเล่นและแบ่งปันความรับผิดชอบในการรักษาความปลอดภัยสภาพแวดล้อมคลาวด์สาธารณะของตน
ป้อนรูปแบบความรับผิดชอบร่วมกัน
CSP ได้กําหนดความรับผิดชอบอย่างชัดเจนในเรื่องความปลอดภัย Amazon Web Services (AWS) และ Microsoft Azure ได้เผยแพร่ Cloud Security Shared Responsibility Models เพื่อระบุว่าใครเป็นผู้รับผิดชอบอะไร แม้ว่ารายละเอียดจะขึ้นอยู่กับว่าโมเดลนั้นเป็น software-as-a-service (SaaS), infrastructure-as-a-service (IaaS) หรือ platform-as-a-service (PaaS) โดยทั่วไป ลูกค้าองค์กรมีหน้าที่รับผิดชอบต่อการรักษาความปลอดภัยบนคลาวด์ในด้านเหล่านี้:
- การรักษาความปลอดภัยปลายทาง
- ความปลอดภัยของเครือข่าย
- การกําหนดค่า
- การจัดการข้อมูลประจําตัวและการเข้าถึง (IAM)
- การจัดประเภทข้อมูลและความรับผิดชอบ
- การควบคุมการทํางานร่วมกันของข้อมูล
- เครื่องเสมือน
- ความปลอดภัยของปริมาณงานและคอนเทนเนอร์
ในทางกลับกันผู้ให้บริการคลาวด์มีหน้าที่รับผิดชอบ:
- การรักษาความปลอดภัยทางกายภาพและการบํารุงรักษาสิ่งอํานวยความสะดวกของตนเอง รวมถึงการเชื่อมต่อไฟฟ้าและอินเทอร์เน็ต
- โครงสร้างพื้นฐานโฮสต์การประมวลผล รวมถึงเซิร์ฟเวอร์ ระบบปฏิบัติการ การแพตช์ การปรับสมดุลโหลด การปรับขนาด ที่เก็บข้อมูล และการกําหนดค่าบริการแพลตฟอร์ม
- การควบคุมเครือข่ายและบริการของผู้ให้บริการ
ย้อนกลับไปที่การเปรียบเทียบของเรากับล็อคประตูและหน้าต่างที่ที่พักให้เช่า CSP มีการป้องกันความปลอดภัยที่หลากหลายในบริการของพวกเขา แต่ขึ้นอยู่กับลูกค้าที่จะนําไปใช้เพื่อปกป้องเครือข่ายผู้ใช้ข้อมูลสําคัญและแอปพลิเคชันของตนเอง
เพื่อให้เข้าใจบทบาทและความรับผิดชอบของคุณอย่างถ่องแท้ในฐานะลูกค้าของบริการคลาวด์ใดๆ สิ่งสําคัญคือต้องตรวจสอบข้อตกลงระดับการให้บริการ (SLA) อย่างรอบคอบ อย่าตั้งสมมติฐานใดๆ SLA จะชี้แจงอย่างชัดเจนว่าคุณรับผิดชอบด้านความปลอดภัยในด้านใด และคุณลักษณะและนโยบายใดที่คุณต้องกําหนดค่าอย่างเหมาะสมตั้งแต่เริ่มแรกเพื่อให้ได้รับประโยชน์อย่างเต็มที่จากแพลตฟอร์ม ในโลกมัลติคลาวด์ที่ซับซ้อนสิ่งนี้อาจเป็นเรื่องที่ท้าทายจากมุมมองของผู้ดูแลระบบ แต่การจัดการกับความรับผิดชอบของคุณล่วงหน้าเพื่อให้แน่ใจว่าข้อมูลของคุณในระบบคลาวด์ปลอดภัยนั้นคุ้มค่ากับเวลาและความพยายามอย่างเต็มที่
การรักษาความปลอดภัยบนคลาวด์เป็นกีฬาประเภททีม และทุกคนต้องพกลูกบอลเมื่อถึงตาของพวกเขา โมเดลความรับผิดชอบร่วมกันมีกรอบการทํางานเพื่อช่วยให้คุณเข้าใจกฎของเกม
เพื่อเรียนรู้วิธีการ Skyhigh Security สามารถช่วยให้คุณปฏิบัติตามความรับผิดชอบและรักษาความปลอดภัยข้อมูลของคุณบนแพลตฟอร์มคลาวด์สาธารณะเยี่ยมชมเว็บไซต์ของเรา
กลับไปที่บล็อกเนื้อหาที่เกี่ยวข้อง
บล็อกที่กำลังได้รับความนิยม
คุณลักษณะของ LLM ที่ CISO ทุกคนควรติดตามในปัจจุบัน
สารัง วารุดการ์ 18 กุมภาพันธ์ 2569
จากข้อกำหนดของ DPDPA สู่การมองเห็นข้อมูล: ความจำเป็นของ DSPM
นิฮาริกา เรย์ และซารัง วารัดการ์ วันที่ 12 กุมภาพันธ์ พ.ศ. 2569
Skyhigh Security ไตรมาสที่ 4 ปี 2025: ควบคุมได้ดียิ่งขึ้น มองเห็นภาพรวมได้ชัดเจนขึ้น และดำเนินการได้รวดเร็วขึ้นในด้านข้อมูล เว็บ และคลาวด์
ไทอากา วาสุเดวัน 21 มกราคม 2569
ความเสี่ยงที่ซ่อนอยู่ของ GenAI ที่อาจทำให้บริษัทของคุณสูญเสียเงินหลายล้าน (และวิธีแก้ไขในวันนี้)
เจสซี กรินเดแลนด์ 18 ธันวาคม 2025
Skyhigh Security การคาดการณ์: ปี 2026 คือปีที่ AI จะบังคับให้เกิดพิมพ์เขียวใหม่สำหรับความปลอดภัยขององค์กร
ไทอากา วาสุเดวัน วันที่ 12 ธันวาคม พ.ศ. 2568
