สมัยนี้การพัฒนา Software นอกจากจะต้องคำนึงถึงความสามารถว่าทำงานได้ตอบโจทย์ครบถ้วนหรือไม่ ส่วนความปลอดภัยก็เป็นงานนอก Requirement ที่มีส่วนสำคัญไม่แพ้กัน ถึงแม้ว่าเราจะมีประสบการณ์ Dev ที่รัดกุมเพียงใด ก็ไม่มีทางที่เราจะไม่ทิ้งช่องโหว่ใด ๆ ที่จะหยุดยั้งพวกนักจารกรรมที่มีการพัฒนาเครื่องไม้เครื่องมือใหม่ๆมาทุกวัน มาโจมตีเราได้ เราจึงต้องพัฒนาวิธีการที่จะใช้ป้องกันระบบของเราเพื่อรับมือกับเครื่องมือใหม่ๆนั้น ครั้นจะมานั่ง Update Code ทุกครั้งที่มีข่าวการโจมตีใหม่ๆทุกครั้ง ไม่สนุกแน่ โดยเฉพาะระบบที่เก่ามาก ๆ ไม่ได้มีคนดูแลมานาน ซึ่งวันนี้จะมาแนะนำหนึ่งในวิธีการที่เราใช้กันอย่างแพร่หลายคือการใช้ระบบแยกระบบหนึ่งที่เรียกว่า Firewall
Firewall คือ กำแพงไฟชั้นดีที่ป้องกันระบบของเรา
Concept ของ Firewall เดิม ๆ ทำงานบน Network Layer คือ Software ทำหน้ากลั่นกรองข้อมูล Package ที่จะวิ่งเข้าสู่ Server เรา โดยในตัวมันประกอบไปด้วยส่วนย่อย ๆ มากมายเปรียบเสมือน Filter กรองน้ำที่มีหลายชั้นแต่ละชั้นก็กรองสิ่งสกปรกออกจาก Package ของเราต่างกันตรงที่ Firewall เมื่อมันเจอสิ่งแปลกปลอมหรือละเมิดข้อบังคับมันจะ ดีด หรือ Reject Package นั้นทิ้งไปเลย ทำให้ Package นั้นไม่สามารถเข้าสู่ระบบของเราได้เลย
นอกจากนั้นถ้า Firewall ฉลาดขึ้นมาหน่อย จะสามารถแกะ Package ดูเนื้อหาข้างในได้ทำให้สามารถตั้งกฎข้อบังคับที่เกี่ยวข้องกับเนื้อหาข้างในได้ เช่นพวก การตรวจสอยความถูกต้องของ Post Message การแกะดูว่ามีการส่ง File ผิดประเภทมาหรือไม่
WAF คือ กำแพงไฟที่ฉลาดมากยิ่งขึ้น
สังเกตว่า Firewall แบบเก่าทำงานบน Network Layer จะทำงานร่วมกับ “Package” ปัญหาคือในสมัยนี้เทคโนโลยี HTTPS ทำให้ Website มีการเข้ารหัสแบบ End-to-End ในการสื่อสารกับเครื่อง Client ทำให้การแกะ Package นั้นทำได้ยากเพราะถึงแกะมาก็ถูกเข้ารหัสอยู่ดี Web Application Firewall (WAF) คือ Firewall แบบใหม่ที่ทำงานระดับ Application Layer หน้าที่ของมันต่างจาก Firewall แบบเก่าตรงที่ ตัวมันเองจะทำหน้าที่รับ Request จาก Client โดยตรง ก่อนที่จะนำมา Process ด้วยตัวเองถ้า Request นั้นไม่มีอะไรแปลกปลอมถึงจะส่งให้กับระบบจริง ซึ่งจะสังเกตุได้ว่าเมื่อตัวมันเองรับ Request โดยตรงทำให้มันสามารถดูสิ่งต่าง ๆ ข้างในหรือแม้ประทั่งแก้ไข Request เพื่อเพิ่มหรือลบข้อมูลก่อนส่งให้กับระบบของเราได้
ด้วยการที่มันออกแบบให้ Process Request โดยตรง ทำให้ WAF สามารถป้องกันพวก SQL Injections, XSS, RCE, RFU, Brute force protection ได้อีกด้วย อีกทั้งยังมีระบบ CV Signature Database ที่จะดึง Signature ที่สำคัญที่พบในการโจมตีในแต่ละรูปแบบมาประกอบการ Block package อีกด้วย
ซึ่งถ้าเมื่อผู้ที่จะโจมตีระบบค้นพบวิธีใหม่ บริษัทที่ผลิด Firewall ก็จะออกอับเดทมาอับเดท Software ให้สามารถป้องกัน Package ใหม่ๆนั้นได้ตลอด ทำให้ระบบของเรานั้นยังคงปลอดภัยโดยไม่ต้องมาคอย Update Code อยู่เรื่อย ๆ เหตุผลนี้เองที่ WAF นั้นเป็นที่แพร่หลายในปัจจุบันมาก เพราะเราไม่จำเป็นต้องไปอับเดท Code เก่าตลอดเวลาเพื่อปิดช่องโหว่ใหม่ๆ เพราะเพียงแค่เอา WAF มากั้นก็สามารถทำให้ระบบเราปลอดภัยขึ้นมาก
Cloud WAF !! สุดจัดในรุ่น
แม้ WAF จะเทพขนาดไหนก็ตามสุดท้ายมันคือ ระบบ ระบบหนึ่งที่ต้องการ Server ต้องการพื้นที่ต้องการคนไปบริหารจัดการ ซึ่งด้วยความฉลาดของมันนี่เองทำให้มันต้องการ Spec Server ที่สูงพอสมควรเพื่อให้มันสามารถประมวลผล request ได้ทันยิ่งระบบเรามี concurrent มากเท่าไหร่ยิ่งต้องใช้ทรัพยากรสูงมากขึ้นเท่านั้น ทางออกปัจจุบันคือ Cloud WAF คือ WAF แบบ Software as a Service นั้นเอง
WAF แบบนี้เราไม่ต้องมานั่งวาง Infrastructure เอง ไม่ต้องจ้างคนมา Maintain ไม่ต้องอับเดทระบบเองไม่ต้อง Config เพียงแค่ผูก DNS ไปที่ Cloud WAF เจ้านั้นและผูกอีกข้างกับ Server เราเป็นอันจบ ง่ายมาก !!
นอกจากนี้ WAF แบบนี้จะมีฟังชั้นเพิ่มมาคือจะรองรับ DOS Protection, DDOS Protection คือรองรับการยิงถล่ม บางค่ายทำหน้าที่เป็น Proxy คอยเก็บ Cache ให้เราในกรณีที่ User หลายๆคนอยากได้ File อันเดียวกันก็ไม่ต้องมาขอที่เราตลอด WAF สามารถส่ง File ที่ Cache ไว้ให้ได้เลย หรือบางเจ้ามีแม้กระทั่ง CDN Server ที่จะคอยเก็บ File ให้เราในหลายๆประเทศ ซึ่งทำให้นอกจากจะปลอดภัยแล้วยังทำให้ Application ของเราเร็วขึ้น และกิน Load น้อยงลงไปอีก !!!!
อยากให้ทุกท่านได้ลองเทคโนโลยีใหม่กันเยอะๆนะครับโลกเรามันเปลี่ยนไปใวมากสิ่งใหม่ๆ มีการพัฒนาอย่างไม่หยุดครับ สำหรับท่านที่สนใจบริการของ Cloud HM สามารถติดต่อเราได้ผ่านช่องทางนี้นะครับ ขอบคุณครับ
— Cloud HM