ความปลอดภัยของระบบคลาวด์: 10 คำถามที่ควรหาคำตอบ

“ความปลอดภัยที่แน่นหนาขึ้น” คือแรงจูงใจสำคัญที่ทำให้ธุรกิจขนาดกลางและขนาดย่อมหาทางย้ายข้อมูลและเทคโนโลยีไปสู่ระบบคลาวด์ แต่ผู้ให้บริการคลาวด์บางรายอาจเติมเต็มความคาดหวังตรงนี้ไม่ได้ เพราะฉะนั้น คุณจำเป็นต้องทำการบ้านก่อนเลือกใช้บริการและมอบข้อมูลของบริษัทให้บุคคลภายนอกดูแล 

คุณต้องถามผู้ให้บริการเกี่ยวกับความปลอดภัยของระบบคลาวด์ ควบคู่ไปกับคำถามด้านราคา การตกลงเกี่ยวกับบริการที่ครอบคลุม และความช่วยเหลือด้านเทคโนโลยี และนี่คือ 10 คำถามที่คุณควรถามเมื่อพูดคุยกับผู้ให้บริการคลาวด์ 

1. คุณให้บริการฟีเจอร์ด้านความปลอดภัยประเภทใดบ้าง? คุณใช้บริการและซอฟต์แวร์อะไรจากองค์กรบุคคลที่สามบ้าง? 

คำตอบของคำถามนี้ควรประกอบด้วยระบบ Firewall ระบบป้องกันการโจมตีแบบ DDoS และระบบยืนยันตัวตนเป็นอย่างต่ำ 

นอกจากนี้แล้วมีอะไรอีกบ้าง? เรื่องนี้ขึ้นอยู่กับประเภทของบริการคลาวด์ที่คุณสนใจซื้อ ตัวอย่างเช่น แพลตฟอร์ม, Virtual Machines, OS Instances, และแอปพลิเคชันต่างๆ สำหรับลูกค้าบางราย ผู้ให้บริการควรติดตั้งโปรแกรม Anti-Virus/Anti-Malware และโปรแกรมคัดกรองเครือข่าย/เนื้อหาด้วย แต่กับบริษัทอื่นๆ การให้บริการเพิ่มเติมจะขึ้นอยู่กับความต้องการของลูกค้า 

เพราะผู้ให้บริการคลาวด์แต่ละรายมีความถนัดใช้เทคโนโลยีจัดการระบบคอมพิวเตอร์แบบ Virtualization และ/หรือ Containers แตกต่างกัน คุณจึงต้องไม่ลืมถามเกี่ยวกับความปลอดภัยทั้งในระดับ Hypervisor และ OS 

2. ศูนย์ข้อมูลของคุณอยู่ในระดับใด? 

ระดับของศูนย์ข้อมูลสามารถบ่งบอกได้ว่าระบบรองรับข้อมูลจากฮาร์ดแวร์ได้มากเพียงใด ยิ่งระดับสูงเท่าไร ความสามารถในการรองรับก็เพิ่มขึ้นเท่านั้น และระดับ 4 คือระดับสูงสุดและดีที่สุด เพราะมี “โครงสร้างรองรับความผิดพลาด” ด้วย 

3. ศูนย์ข้อมูลของคุณมีการรับรองและข้อปฏิบัติด้านความปลอดภัยอะไรบ้าง? 

คำตอบนี้ควรประกอบด้วย: 

• รายงานการตรวจสอบ SOC1 (การควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย การควบคุมที่มีผลกระทบทันที หรือต่อเนื่อง) ในเชิงบวก ตามมาตรฐานของ SSAE-16 (แสดงให้เห็นว่าพวกเขาทำตามหน้าที่ดูแลด้านความปลอดภัย) 
• การรับรองเกี่ยวกับ FISMA (หน่วยงานรัฐบาลกลางสหรัฐอเมริกาที่ดูแลการพัฒนา การจัดการเอกสาร และควบคุมการรักษาความปลอดภัยของข้อมูลและด้านสารสนเทศ), ISO 27001, FIPS 140-2 (ข้อกำหนดด้านความปลอดภัยสำหรับโมดูลการเข้ารหัสโดยเฉพาะ) และอื่นๆ 
• อย่างน้อยพวกเขาควรปฏิบัติตามข้อบังคับด้านการปกป้องข้อมูลของหน่วยงานรัฐฯ หรือหน่วยงานอุตสาหกรรมต่างๆ ที่เกี่ยวข้อง เช่น HIPAA (พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ), GLBA (พระราชบัญญัติเพื่อเพิ่มประสิทธิภาพการแข่งขันในอุตสาหกรรมบริการทางการเงิน), PCI DSS (มาตรฐานความปลอดภัยข้อมูลเพื่อช่วยปกป้องข้อมูลผู้ถือบัตร), FINRA (หน่วยงานกำกับดูแลอุตสาหกรรมการเงิน), และ PIPEDA (กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์) 
  
  นอกจากนี้ ควรมองหาใบรับรองผ่านการตรวจสอบต่างๆ เช่น การตรวจสอบภายใต้มาตรฐาน AICPA/CICA พร้อมกับขอเอกสารยืนยันว่าผู้ให้บริการได้รับการรับรองจริงๆ เช่น รายงาน SOC2 และ SOC3 

4. คุณใช้มาตรฐานด้านความปลอดภัยใดในการปกป้องศูนยฺ์ข้อมูล? 

ฐานข้อมูลจะป้องกันข้อมูลจากผู้บุกรุกอย่างไร? จะป้องกันข้อมูลจากพนักงานที่นำข้อมูลไปใช้ในทางมิชอบได้ไหม? แล้วจะรับมือกับอัคคีภัย อุทกภัย ควัน แผ่นดินไหว พายุ หรือปัจจัยทางธรรมชาติอื่นๆ ได้หรือไม่? ผู้ให้บริการมีฐานข้อมูลสำรองหรือเปล่า? แล้วการสำรองข้อมูลเป็นแบบต่อเนื่องหรือสำรองข้อมูลเป็นช่วงๆ? 

5. ข้อมูลดิจิทัลจะถูกจัดเก็บให้ปลอดภัยไว้ที่ไหนและอย่างไร? 

มองหาการส่งต่อข้อมูลผ่านการเข้ารหัส ไม่ใช่แค่ระหว่างบริษัทกับศูนย์ข้อมูล แต่เป็นระหว่างศูนย์ข้อมูลกับศูนย์ข้อมูล และระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์ และการเข้ารหัสในอุปกรณ์เคลื่อนที่ และถามด้วยว่ารองรับการเข้ารหัสประเภทใดและระดับใด ในปัจจุบัน ควรดู 256-bit AES (Advanced Encryption Standard) SSL สำหรับข้อมูลขณะส่งต่อ และ 256-bit AES สำหรับข้อมูลขณะจัดเก็บ 

6. มีใครบ้างที่สามารถเข้าถึงข้อมูลของบริษํัท นอกจากผู้ใช้งานของบริษัท? 

พนักงานไอทีที่ดูแลศูนย์ข้อมูล พนักงานคนอื่นๆ ลูกค้าคนอื่นๆ และผู้บุกรุกทางไซเบอร์ถูกกีดกันไม่ให้ดู คัดลอก เปลี่ยนแปลง หรือลบข้อมูลของบริษัทคุณอย่างไร? มีการเข้ารหัส กุญแจเข้ารหัส และการยืนยันตัวตนอะไรบ้าง? และกุญแจเข้ารหัสถูกจัดเก็บไว้ที่ไหน? 

สำหรับผู้ให้บริการที่มีลูกค้าจำนวนมาก คุณควรตั้งคำถามดังนี้ 

• มีการยืนยันตัวตนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลของลูกค้าแต่ละรายแยกออกจากกันและลูกค้ารายอื่นไม่สามารถเห็นข้อมูลของคุณหรือไม่? 
• ระบบจำกัดและตรวจจับการใช้งานของบัญชีแอดมินเพื่อไม่ให้เกิดจุดบกพร่องจากการใช้งานของลูกค้าและไม่ให้ผู้คุกคามเข้าถึงข้อมูลของคุณหรือไม่? 

7. ผู้ให้บริการรับผิดชอบด้านความปลอดภัยของคลาวด์ส่วนใดบ้าง? บริษัทลูกค้ารับผิดชอบส่วนใด? และมีส่วนใดที่ต้องรับผิดชอบร่วมกัน? 

การร่วมมือกับผู้ให้บริการคลาวด์สามารถแบ่งเบาภาระด้านความปลอดภัยของคลาวด์ที่คุณเคยต้องดูแลจัดการเอง แต่ไม่ได้หมายความว่าคุณไม่มีส่วนรับผิดชอบอะไรเลย 

พูดคุยกับผู้ให้บริการให้ดีว่าความช่วยเหลือของพวกเขาครอบคลุมส่วนใดบ้าง คุณจะได้มั่นใจว่าระบบไม่มีจุดอ่อน และไม่สรุปไปเองว่าบริการครอบคลุมทุกอย่างแล้ว 

8. เราสามารถพูดคุยกับทีมรักษาความปลอดภัยโดยตรงได้ไหม? 

ตัวแทนและพนักงานขายที่ให้ข้อมูลกับคุณอาจไม่เข้าใจเรื่องความปลอดภัยทางธุรกิจอย่างถ่องแท้ และหากคุณก็ไม่ได้มีความรู้ด้านความปลอดภัยมากนัก คุณควรมองหาผู้ให้คำปรึกษาด้านความปลอดภัยมาจัดการกับเรื่องนี้แทนคุณ 

คุณควรจะรู้ว่ามีทรัพยากรอะไรบ้างที่สามารถช่วยเหลือคุณในระหว่างกระบวนการจัดการ และคุณสามารถเข้าถึงทรัพยากรนั้นๆ เมื่อต้องการได้ง่ายเพียงใด หากคุณกำลังเคลื่อนย้ายองค์ประกอบทางธุรกิจที่สำคัญไปจัดเก็บในคลาวด์ คุณก็ควรมั่นใจว่าผู้ดูแลระบบสามารถเข้าถึงคลาวด์ได้ตลอด 24 ชั่วโมง พวกเขาจึงจะคอยแก้ไขปัญหาที่อาจเกิดขึ้นได้ 

9. คุณมีระเบียบการจัดการกับการละเมิดข้อมูลอย่างไรบ้าง? 

ตั้งคำถามว่าผู้ให้บริการเคยถูกละเมิดข้อมูลอย่างไรบ้าง การละเมิดข้อมูลส่งผลกระทบอย่างไรบ้าง และผู้ให้บริการใช้มาตรการอะไรเพื่อป้องกันไม่ให้เกิดเหตุการณ์นี้อีก สอบถามให้ชัดเจนว่าผู้ให้บริการจะแจ้งเตือนเร็วเพียงใดเมื่อเกิดการละเมิดข้อมูลในคลาวด์ และพวกเขาจะจัดการกับปัญหานี้อย่างไรบ้าง นอกจากนี้ ควรหาคำตอบเกี่ยวกับประกันภัยหรือเงินชดเชยหากคุณขาดทุนจากการละเมิดข้อมูลในคลาวด์ด้วย 

10. มองหาผู้ให้บริการที่มีประวัติด้านความปลอดภัยของคลาวด์ดีเยี่ยม 

ผู้ให้บริการคลาวด์ที่คุณเลือกร่วมงานด้วยมีโอกาสที่จะมีมาตรการด้านความปลอดภัยที่ดี และมอบความปลอดภัยที่ครอบคลุมกว่าที่ธุรกิจส่วนใหญ่มีอยู่ แต่ผู้ให้บริการนั้นๆ อาจไม่สามารถปกป้องข้อมูลของลูกค้าได้ดีพอหรือไม่มีความเชี่ยวชาญในการตอบสนองความต้องการที่เฉพาะเจาะจง สิ่งที่พวกเขาทำได้ดีในอดีตไม่ได้เป็นตัวชี้วัดอนาคตเสมอไป แต่หากผู้ให้บริการมีชื่อเสียงแง่บวกต่อการให้บริการด้านความปลอดภัย พวกเขาก็น่าจะคงมาตรฐานนั้นเอาไว้อย่างต่อเนื่อง 

ที่มา:  RICOH USA