ใครเป็นผู้รับผิดชอบต่อความล้มเหลวด้านความปลอดภัยของระบบคลาวด์ คําตอบ: ผู้คนมากกว่าที่คุณคิด

โดย Claire Hatcher - Regional Director of Sales, United Kingdom, Skyhigh Security

30 พฤศจิกายน 2566 3 อ่านนาที

ความรับผิดชอบร่วมกันเป็นแนวคิดที่เราทุกคนเข้าใจโดยสัญชาตญาณ แต่หลายองค์กรไม่เข้าใจอย่างถ่องแท้เมื่อพูดถึงการรักษาความปลอดภัยระบบคลาวด์ กรอบการทํางานที่อธิบายนั้นค่อนข้างใหม่หรือความคาดหวังยังไม่ชัดเจนเพียงพอ น่าเสียดายที่หลายองค์กรทิ้งลูกบอลโดยไม่เข้าใจบทบาทและความรับผิดชอบของตนเองอย่างเต็มที่ และผลลัพธ์ที่ได้คือช่องว่างด้านความปลอดภัยและการละเมิด

เนื่องจาก 90% ของผู้เชี่ยวชาญด้านไอทีประสบกับการละเมิดความปลอดภัยทางไซเบอร์การประมวลผลแบบคลาวด์เช่นเดียวกับเทคโนโลยีทั้งหมดจึงไม่สามารถเข้าใจผิดได้ แม้ว่าผู้ให้บริการระบบคลาวด์ (CSP) จะมีเครื่องมือและบริการรักษาความปลอดภัยขั้นสูงบางอย่าง แต่ก็มีความเข้าใจผิดอย่างชัดเจนในด้านของลูกค้าเกี่ยวกับสิ่งที่ CSP ปกป้องจริงๆ บางทีการเปรียบเทียบสามารถช่วยชี้แจงว่าใครทําอะไรและปัดเป่าตํานานและความสับสนบางอย่าง

กรอบความคิดที่ถูกต้องสามารถป้องกันภัยพิบัติได้อย่างไร

ลองดูการเช่าอสังหาริมทรัพย์สําหรับวันหยุดจากตลาดออนไลน์ ตลาดออนไลน์มีโครงสร้างพื้นฐานพื้นฐานเพื่ออํานวยความสะดวกในการทําธุรกรรม คุณเชื่อมต่อกับเจ้าของทรัพย์สินผ่านแพลตฟอร์ม ตลาดออนไลน์มีหน้าที่จัดหาแพลตฟอร์มที่ปลอดภัยในการทําธุรกรรมนี้ เจ้าของเป็นผู้รับผิดชอบทรัพย์สินเอง ตัวอย่างเช่น พวกเขาคาดว่าจะติดตั้งล็อคที่ประตูและหน้าต่างของการเช่า และคุณมีหน้าที่รับผิดชอบในการใช้ล็อค คุณไม่สามารถคาดหวังว่าตลาดออนไลน์จะรับผิดชอบในการตรวจสอบให้แน่ใจว่าคุณจะไม่ถูกปล้นขณะอยู่ในที่พักโดยเฉพาะอย่างยิ่งหากคุณไม่ได้ใช้กลไกที่มีให้เช่นล็อคในกรณีนี้เพื่อรักษาความปลอดภัยทรัพย์สินและทรัพย์สินของคุณ
การเปรียบเทียบอีกประการหนึ่งคือการซื้อหรือเช่าเครื่องมือจากร้านฮาร์ดแวร์ ผู้ขายอาจมีความรับผิดบางอย่างหากเครื่องมือพังหรือไม่สามารถทํางานได้ แต่ขึ้นอยู่กับคุณเสมอที่จะสวมอุปกรณ์ป้องกันดวงตาตรวจสอบให้แน่ใจว่ามีสภาพแวดล้อมการทํางานที่ปลอดภัยและใช้เครื่องมืออย่างมีความรับผิดชอบ

องค์กรจําเป็นต้องเข้าใจว่ามันไม่แตกต่างกันมากสําหรับพวกเขาเกี่ยวกับแพลตฟอร์มบริการคลาวด์ที่พวกเขาใช้ CSP จะไม่รับผิดชอบต่อการละเมิดความปลอดภัยทุกครั้ง ลูกค้ามีบทบาทสําคัญในการเล่นและแบ่งปันความรับผิดชอบในการรักษาความปลอดภัยสภาพแวดล้อมคลาวด์สาธารณะของตน

ป้อนรูปแบบความรับผิดชอบร่วมกัน

CSP ได้กําหนดความรับผิดชอบอย่างชัดเจนในเรื่องความปลอดภัย Amazon Web Services (AWS) และ Microsoft Azure ได้เผยแพร่ Cloud Security Shared Responsibility Models เพื่อระบุว่าใครเป็นผู้รับผิดชอบอะไร แม้ว่ารายละเอียดจะขึ้นอยู่กับว่าโมเดลนั้นเป็น software-as-a-service (SaaS), infrastructure-as-a-service (IaaS) หรือ platform-as-a-service (PaaS) โดยทั่วไป ลูกค้าองค์กรมีหน้าที่รับผิดชอบต่อการรักษาความปลอดภัยบนคลาวด์ในด้านเหล่านี้:

• การรักษาความปลอดภัยปลายทาง
• ความปลอดภัยของเครือข่าย
• การกําหนดค่า
• การจัดการข้อมูลประจําตัวและการเข้าถึง (IAM)
• การจัดประเภทข้อมูลและความรับผิดชอบ
• การควบคุมการทํางานร่วมกันของข้อมูล
• เครื่องเสมือน
• ความปลอดภัยของปริมาณงานและคอนเทนเนอร์

ในทางกลับกันผู้ให้บริการคลาวด์มีหน้าที่รับผิดชอบ:

• การรักษาความปลอดภัยทางกายภาพและการบํารุงรักษาสิ่งอํานวยความสะดวกของตนเอง รวมถึงการเชื่อมต่อไฟฟ้าและอินเทอร์เน็ต
• โครงสร้างพื้นฐานโฮสต์การประมวลผล รวมถึงเซิร์ฟเวอร์ ระบบปฏิบัติการ การแพตช์ การปรับสมดุลโหลด การปรับขนาด ที่เก็บข้อมูล และการกําหนดค่าบริการแพลตฟอร์ม
• การควบคุมเครือข่ายและบริการของผู้ให้บริการ

ย้อนกลับไปที่การเปรียบเทียบของเรากับล็อคประตูและหน้าต่างที่ที่พักให้เช่า CSP มีการป้องกันความปลอดภัยที่หลากหลายในบริการของพวกเขา แต่ขึ้นอยู่กับลูกค้าที่จะนําไปใช้เพื่อปกป้องเครือข่ายผู้ใช้ข้อมูลสําคัญและแอปพลิเคชันของตนเอง

เพื่อให้เข้าใจบทบาทและความรับผิดชอบของคุณอย่างถ่องแท้ในฐานะลูกค้าของบริการคลาวด์ใดๆ สิ่งสําคัญคือต้องตรวจสอบข้อตกลงระดับการให้บริการ (SLA) อย่างรอบคอบ อย่าตั้งสมมติฐานใดๆ SLA จะชี้แจงอย่างชัดเจนว่าคุณรับผิดชอบด้านความปลอดภัยในด้านใด และคุณลักษณะและนโยบายใดที่คุณต้องกําหนดค่าอย่างเหมาะสมตั้งแต่เริ่มแรกเพื่อให้ได้รับประโยชน์อย่างเต็มที่จากแพลตฟอร์ม ในโลกมัลติคลาวด์ที่ซับซ้อนสิ่งนี้อาจเป็นเรื่องที่ท้าทายจากมุมมองของผู้ดูแลระบบ แต่การจัดการกับความรับผิดชอบของคุณล่วงหน้าเพื่อให้แน่ใจว่าข้อมูลของคุณในระบบคลาวด์ปลอดภัยนั้นคุ้มค่ากับเวลาและความพยายามอย่างเต็มที่

การรักษาความปลอดภัยบนคลาวด์เป็นกีฬาประเภททีม และทุกคนต้องพกลูกบอลเมื่อถึงตาของพวกเขา โมเดลความรับผิดชอบร่วมกันมีกรอบการทํางานเพื่อช่วยให้คุณเข้าใจกฎของเกม

เพื่อเรียนรู้วิธีการ Skyhigh Security สามารถช่วยให้คุณปฏิบัติตามความรับผิดชอบและรักษาความปลอดภัยข้อมูลของคุณบนแพลตฟอร์มคลาวด์สาธารณะเยี่ยมชมเว็บไซต์ของเรา

กลับไปที่บล็อก