สวัสดีครับ เพื่อน ๆ ชาว IT กลับมาพบกันอีกครั้ง Cloud HM Blog บทความ IT อ่านง่าย ๆ นะครับ วันนี้ผมจะมาแนะนำทุกท่านเกี่ยวกับเรื่องของ Cloud Compliance ว่าทำไมถึงมีความสำคัญ และสิ่งที่ควรจะพิจารณาในการจัดการเพื่อป้องกันความเสี่ยงครับ
ในสมัยก่อนเป็นเรื่องยากมากที่จะทำให้ได้ตามความต้องการของ Compliance สำหรับ Workload ที่ Host อยู่บน Cloud เนื่องจากยุคนั้นยังเป็นยุคที่ใหม่มาก ๆ และทาง Cloud Provider เองก็ไม่ได้มีเครื่องมือที่อำนวยความสะดวกให้กับผู้ใช้งานในเรื่องการจัดการด้าน Compliance (พวกเอกสารอ้างอิงต่าง ๆ) ทาง Compliance เองก็ยังไม่มีรายละเอียดว่าอะไรทำได้ หรือไม่ได้บ้างบน Cloud
ทุกวันนี้ปัญหาเหล่านั้นหมดไปเป็นที่เรียบร้อยแล้วครับ เนื่องจากได้มีการปรับ Compliance ให้เหมาะสมกับระบบ Cloud แล้ว
แต่ก็ไม่ได้หมายความว่าการที่เราย้าย Workload มาไว้บน Cloud หรือมีการปรับเปลี่ยนแก้ไข Configure บน Cloud แล้วจะไม่มีผลต่อ Compliance จริง ๆ แล้วก็ยังคงมีอยู่เนื่องจาก Compliance ก็มีการ Update ปรับเปลี่ยนข้อกำหนดให้เหมาะสมกับสถานการณ์ในปัจจุบัน หรือในอนาคต
เรามาดูกันว่า 5 ประเด็นที่สำคัญที่ควรรู้เกี่ยว Compliance สำหรับ Cloud มีอะไรบ้าง รวมถึง Best Practice ในการออกแบบ Cloud Strategy ให้รองรับ Compliance ในระยะยาวครับ
1. การปรับตัวของ Cloud Compliance กำลังเปลี่ยนไปอย่างรวดเร็ว
สิ่งนึงที่เป็นสาเหตุเรื่องนี้ก็คือ Compliance ที่ใช้กับ Cloud มีการปรับเปลี่ยนรูปแบบอยู่ตลอด หลาย ๆ ปีที่ผ่านมาเราคงได้ยินการปรับเปลี่ยนครั้งใหญ่ ๆ เลยก็เช่น European Union GDPR และ Brazil LGPD และตัวอื่น ๆ เช่น CPRA ซึ่งเป็นกฎหมายของรัฐแคลิฟอร์เนียในอเมริกาให้มีผลบังคับในปี ค.ศ. 2023 จริง ๆ บ้านเราก็อาจจะไม่ได้อ้างอิงกับ Compliance แบบนี้ แต่อย่าลืมว่า ถ้าเค้ามองว่ามันสำคัญ ก็อาจจะปรับใช้กันหมดได้นั่นเอง
ซึ่งจาก Compliance ที่กล่าวไปข้างต้น ก็ไม่ได้ Ban การใช้งานบน Cloud แต่มีเงื่อนไขก็คือ ต้องให้ Audit ตรวจสอบได้ตามความต้องการ และต้องตอบได้ว่ามีการ Implement เรื่องของพวก Security อย่างไรบ้างที่ใช้ป้องกันข้อมูลส่วนบุคคลรั่วไหล ซึ่งจุดนี้ก็คือจุดสำคัญที่หลาย ๆ คนกังวลเวลาใช้งาน Workload บน Cloud
สำหรับภาคธุรกิจ การพัฒนาเรื่องการปรับตัวของ Compliance หมายความว่า กฎอาจจะเปลี่ยนเมื่อไหร่ก็ได้ ของเดิมที่เคยใช้ได้ อาจจะเปลี่ยนในอีกปี หรือ 2 ปี การที่มั่นใจได้ว่าเราจะไม่มีปัญหาในเรื่องของ Compliance ในระยยาว ก็คือ เราไม่ควรจะมองแค่ว่าตอนนี้ Compliance Rule ไหนบ้างที่มีผลในทุกวันนี้ ควรจะศึกษาเผื่อไปในส่วนอื่น ๆ ที่มีแผนที่จะเข้ามาในปีถัด ๆ ไปไว้ด้วย เช่น PDPA ที่เป็นข่าวแจ้งไว้ก่อนหน้านี้สักพักแล้ว
2. ควรมองว่า Cloud Compliance เป็นสิ่งที่ควรทำ และหลีกเลี่ยงไม่ได้ เหมือนกฏข้อบังคับ
กฏข้อบังคับ หรือ Regulatory Framework เป็นสิ่งที่ Developer หรือ Engineer แบบผมคิดเป็นสิ่งแรกเวลาได้ยินคนพูดว่า Compliance แต่จริง ๆ แล้ว Regulatory เป็นแค่ส่วน ๆ นึงของ Compliance เท่านั้นเอง อีกส่วนนึงที่สำคัญที่คือ Internal Compliance ซึ่งคือ เราต้องมองภาพของตัวเองให้ออกว่าธุรกิจของเราเป็นแบบไหน ต้องใช้ทรัพยากรทาง IT ในการด้านใดบ้าง และควรจะจัดการอย่างไร โดยเราอาจจะมองว่ามันเป็นกฏที่ควรยึดถือปฏิบัติก็ได้ สมมติว่า BU นึงต้องการที่จะให้ทีม IT เพิ่ม Resource ใหม่ให้หน่อย หรือ อาจจะเป็นการขอสิทธิ์ที่จะเข้าถึง Resource บางอย่างของ Engineer
การที่จะทำให้ได้ตาม Internal compliance อาจจะเป็นเรื่องที่ยาก และดูช้า แต่อย่างไรก็ตามมันก็เป็นเรื่องที่ไม่โอเค ถ้ามีใครเข้าไปในระบบของเราได้ โดยที่เราไม่รู้เลยว่าเค้าเข้าได้อย่างไร ไปขอสิทธิ์จากที่ไหน
ฉะนั้นเราควรมองเรื่องนี้เป็นเรื่องที่จำเป็นต้องทำ โดยส่วนใหญ่แล้ว Cloud Provider ก็ออกแบบ Infra มาให้รับกับ Compliance อยู่แล้ว ไม่ว่าจะเป็นการ Monitor เพื่อติดตาม IT Resource ว่ามีแนวโน้มการใช้งานแบบใด ส่วนใดยังไม่รับกับ Compliance บ้าง แต่ก็ไม่จำเป็นต้อง Track ละเอียดไปทุก Resource ที่สร้างใหม่ ๆ ก็อาจจะเป็นตัวหลัก ๆ ที่สำคัญในการบริหารจัดการก็พอ
3. ระบบ Cloud ไม่ได้ตั้งค่า Compliance มาให้ตั้งแต่เริ่มใช้งาน
ระบบ Cloud ส่วนใหญ่ ถ้าคนเคยใช้พวก Public Cloud เช่น AWS, Azure หรือ GCP น่าจะรู้จักเครื่องมืออย่างเช่น IAM อยู่แล้ว ใครไม่รู้จัก จริง ๆ ก็คือ Service ที่เอาไว้ใช้กำหนดสิทธิ์ในการเข้าใช้งานครับ ตัวนี้ที่ทำมาก็เพื่อ ให้รับกับ Compliance ครับ แต่ถึงแม้ว่าจะมี Tool หรือ Service ให้มาใช้งานแต่ Tool พวกนี้ไม่ได้ Enable มาให้ใช้ตั้งแต่เริ่มใช้งาน เช่น AWS Audit Manager เป็น Service ที่ใช้สำหรับทำ Risk Assessment สำหรับ AWS ก็ยังต้อง Setup แบบ Manual เพื่อที่จะใช้งานการ Monitor เรื่องของ Compliance ภายในระบบ AWS ที่เราใช้งาน แต่บาง Service ก็ไม่ได้เปิดให้ทุกคนเข้าได้ เช่น Object Storage ที่โดยปกติแล้ว Public Cloud ส่วนใหญ่จะออกแบบ Service มาให้เปิดเป็น Private ตั้งแต่แรกที่ใช้งาน แต่วิธีนี้ก็ไม่ได้การันตีเรื่องของ Compliance เนื่องจากคนที่มีสิทธิ์เป็น Admin ในการใช้งาน Object Storage นั้นก็สามารถตั้งค่าให้ User บางคนที่อาจจะไม่มีสิทธิ์เข้าถึงข้อมูลใน Object Storage ได้ หรือบางที Admin ก็อาจจะไม่ได้ทำตามกฎทุกอย่างที่เป็นไปตามข้อบังคับของ Compliance
ประเด็นสำคัญคือต้องให้แน่ใจว่าจะต้องทำให้ได้ตาม Compliance ที่เกี่ยวกับ Cloud ให้ได้ทั้งหมด แม้ว่าเครื่องมือที่ทันสมัยจะช่วยให้เราจัดการเรื่อง Compliance บน Cloud ได้ง่ายกว่าตอน 10 – 15 ปีก่อน แต่เราเองก็ต้องเลือกที่จะใช้เครื่องมือให้ได้เต็มประสิทธิภาพ และเกิดประโยชน์สูงสุดอยู่ดี
4. ถ้าใช้ Cloud หลาย ๆ ที่ก็จะตอบคำถามเรื่อง Compliance มากขึ้นหน่อย
หลาย ๆ คนมองข้ามว่า Cloud หลาย ๆ ที่แล้วมองข้ามเรื่อง Compliance ไป คิดว่าเวลาตอบ Audit ก็ไม่น่าจะยากอะไร สำหรับองค์กรที่มีการใช้งาน Cloud จากหลาย ๆ ที่จะต้องเจอปัญหาในเรื่องของการบริหาร Account ต่าง ๆ รวมไปถึง Resource ที่ Account นั้นมีได้ยากกว่าการที่มี Workload อยู่ใน Account เดียว
องค์กรขนาดเล็กการบริหารทุก ๆ อย่างใน Account เดียวก็เป็นเรื่องที่ปกติอยู่แล้ว แต่ถ้าเป็นองค์กรขนาดใหญ่ที่มีหลายหน่วยงานจะต้องมีการ Assign Account ให้แต่ละหน่วยงานรับผิดชอบเอง การที่ทำแบบนี้ช่วยกระจาย Workload ให้ตรงจุด และยังสามารถ Track ค่าใช้จ่ายของแต่ละหน่วยงานได้อีกด้วย
ในมุมมองของ Compliance ยิ่งมี Account มากเท่าไหร่ยิงเพิ่มความซับซ้อนในการตรวจสอบจาก Audit และ Compliance มากขึ้น ถ้าทำธุรกิจแล้วจะต้องมานั่งมอนิเตอร์ และ Audit ในทุก ๆ Account ที่มีของแต่ละ Cloud ซึ่งดูแล่วน่าจะไม่ค่อยมีประสิทธิภาพที่ดีเท่าไหร่ หรือหาทางออกเรื่องโดยการเอาข้อมูลเรื่อง Compliance ไปรวมไว้ที่ใดที่นึง แล้ว Monitor จากตรงนั้นก็ย่อมได้ ซึ่งวิธีนี้ก็เป็นไปได้ เครื่องมือเช่น AWS Audit Manager สามารถทำแบบนี้ได้ ของเจ้าอื่นก็มีนะครับ แต่ผมจะไม่ได้ลงรายละเอียดให้นะ ลองไปหาต่อกันดู แต่แน่นอนว่า Service แบบนี้ก้ต้องมีการ Setup และดูแลโดย Admin
ประเด็นที่จะบอกก็คือ การใช้งาน Cloud หลาย ๆ Account และหลาย ๆ Provider เป็นเรื่องที่หลีกเลี่ยงไม่ได้อยู่แล้วสำหรับองค์กรขนาดใหญ่ ควรที่จะมีการวางแผนในเรื่องของ Compliance ด้วยนั่นเองครับ
5. ควรจะทำเรื่อง Cloud Compliance ให้เป็นแบบ Automate
Compliance Risk Assessment เป็นเรื่องที่หลีกเลี่ยงไม่ได้เลยสำหรับภาคธุรกิจ การที่ต้องมีการตรวจสอบโดย Audit ในทุก ๆ ปี หรือแล้วรอบที่ตกลงกับทาง Audit เพื่อตรวจหาความเสี่ยงเป็นครั้ง ๆ ไป
ปัญหาคือแนวทางข้างต้นอาจจะทำได้ไม่เต็มที่กับระบบ Cloud เนื่องจาก Cloud มีจุดขายในเรื่องของการ Scale ได้ไว การที่จะต้องมาประเมินความเสี่ยงในเรื่องของ Compliance ทำให้อาจจะ Deploy ได้ไม่ทันตามความต้องการในการใช้งาน ซึ่งสุดท้ายแล้วเจ้าหน้าที่ก็จะมาแก้ไขพวก Policy IAM ทีหลังก่อนจะตรวจสอบ Audit ทำให้ Workload ที่ Run อยู่อาจจะสะดุด บางบริษัทที่มองว่าทุกวินาที มีค่าเป็นเงินเป็นทองก็ไม่อยากเสียโอกาสเหล่านี้ไป
ทำให้มีคนที่คิดเครื่องมือที่จะช่วยแบ่งเบาให้เรื่องการ Automate ในส่วนของ Cloud Compliance จริง ๆ ควรที่แนวคิดเรื่อง Compliance Automation ไปใส่ไว้ตั้งแต่ใน CI/CD Pipeline แล้ว ก่อนที่ Application จะ Release และ Deploy ไปไว้บน Cloud ก็ควรที่จะมีการตรวจสอบเรื่อง Compliance ก่อน ทีนี่พอเอา Application ขึ้น Production ปุ๊ป เครื่องมือที่ใช้จัดการเรื่อง Risk Assessment ก็จะ Scan ให้อัตโนมัติ ว่า Configure หรือการใช้งานจะมีความเสี่ยงอะไรบ้างตามที่เรากำหนด Policy ไว้ให้กับเครื่องมือ
อนาคตกับเรื่อง Cloud Compliance
หลาย ๆ อย่างที่ได้ยกตัวอย่าง หรือแนะนำไปข้างต้น เรื่องของ Cloud Compliance ก็มีทั้งเรื่องที่จัดการได้ยาก และก็ง่าย (เครื่องมือที่ช่วยอำนวยความสะดวกขึ้น) แต่ยิ่งมี Cloud มีการใช้งานเยอะขึ้น เติบโตเยอะ มีการใช้งานที่ซับซ้อนขึ้น ก็จะต้องมีกฎใหม่ ๆ ออกมาควบคุมเรื่อย ๆ และก็จะทำให้การ Monitor และ Audit ยากขึ้นตามมา ฉะนั้นสิ่งที่จำเป็นที่ต้องเตรียมพร้อมไว้ก็คือ พยายามติดตามในเรื่องข่าวสารของ Cloud Compliance จะได้เตรียมเครื่องมือ และทรัพยากรบุคคลได้เหมาะสมครับ
เป็นอย่างไรกันบ้างสำหรับเรื่องของ Cloud Compliance ที่ผู้เขียนอยากให้ทุกคนนำไปปรับใช้ ถึงแม้ว่าเราจะไม่ได้มีส่วนเกี่ยวข้องโดยตรง แต่เรามีส่วนในทางอ้อมแน่ ๆ ครับ เพราะทุกวันนี้บริษัทก็มีการตรวจสอบโดย Audit กันเป็นเรื่องปกติอยู่แล้ว ฉะนั้นรู้ และเตรียมไว้ก็ดีกว่าไม่รู้ครับผม สำหรับท่านที่สนใจบริการของ Cloud HM สามารถติดต่อเราได้ผ่านช่องทางนี้นะครับ ขอบคุณครับ
— Cloud HM