Blog Home
Cloud Variety
IT Career
Tech News
Digital 4 Business
โลกในปัจจุบันเทคโนโลยีมีการเปลี่ยนแปลงไปอย่างรวดเร็ว ธุรกิจต่างๆ จำเป็นต้องปรับตัวให้ทันต่อโลกดิจิทัล เพื่อให้ก้าวทันในโอกาสทางธุรกิจต่างๆ แต่สำหรับการเปลี่ยนผ่านนั้น ไม่ใช่เรื่องที่ง่ายเลย มีอุปสรรค ความท้าทายรูปแบบต่างๆ ที่รอให้เราได้เผชิญ ไม่ว่าจะเป็นปัญหาเรื่องความปลอดภัยของข้อมูลในระหว่างการย้ายและการเก็บรักษาเพื่อให้มั่นใจข้อมูลถูกป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
นอกจากเรื่องของความปลอดภัยและความเป็นส่วนตัวของข้อมูลแล้ว ยังมีเรื่องของความเข้ากันได้ของระบบ ค่าใช้จ่าย การจัดการทรัพยากร ความเสี่ยงทั้งทางเทคนิคและทางธุรกิจต่างๆ ที่ค่อนข้างซับซ้อน ดังนั้นเพื่อให้มันใจว่าระบบและธุรกิจของเราจะสามารถเปลี่ยนผ่านและก้าวข้ามปัญหาเหล่านี้ไปได้อย่างราบรื่น จึงจำเป็นต้องเลือกผู้ให้บริการคลาว์ที่มี ประสิทธิภาพ น่าเชื่อถือ มีมาตรฐานรับรองทั้งความปลอดภัย ความเป็นส่วนตัว จัดการและการควบคุมที่ มีทีมงานผู้เชี่ยวชาญรองรับ ซึ่งวันนี้ผมอยากพาทุกคนมารู้จักกับ “Microsoft Cloud Adoption Framework” เฟรมเวิร์กบริษัทยักษ์ใหญ่ของโลกอย่าง Microsoft ที่จะทำให้ธุรกิจของคุณก้าวสู่โลกเทคโนโลยีอย่างมั่นใจ!
Microsoft Cloud Adoption Framework คืออะไร?
Microsoft Cloud Adoption Framework (CAF) เป็นเฟรมเวิร์กที่รวมแนวทาง เอกสารต่างๆ best practice รวมไปถึงเครื่องมือที่ครอบคลุมเพื่อให้องค์กรวางแผนและกำหนดกลยุทธ์ในการย้ายระบบไปยังคลาวด์อย่างเป็นระบบ รวมถึงการประเมินความพร้อมและการจัดทำแผนงานที่ชัดเจน โดยมีคำแนะนำเกี่ยวกับการบริหารจัดการและการควบคุมทรัพยากรบนคลาวด์อย่างมีประสิทธิภาพและปลอดภัย
ประกอบไปด้วยเครื่องมือและแนวทางปฏิบัติที่สำหรับองค์กร พร้อมการสนับสนุนแหล่งเรียนรู้ฝึกอบรมการใช้งานคลาวด์สำหรับผู้ดูแลระบบ ช่วยให้สามารถดูแลปรับปรุงกระบวนการให้เหมาะสมกับความต้องการและเป้าหมายขององค์กร ซึ่งปัจจัยต่างๆ ที่เราจะต้องรู้เกี่ยวกับ CAF นั้นทาง Cloud HM ของเราก็ได้มีการอธิบายอย่างละเอียดไว้ในบทความนี้แล้ว 👇
https://blog.cloudhm.co.th/microsoft-cloud-adoption-framework-for-azure/
Migrating ข้อมูลอย่างไรให้ปลอดภัย?
หลังจากที่เราได้รู้จักกับ CAF เบื้องต้นกันไปแล้ว สำหรับบทความนี้ผมจะขอพามาโฟกัสที่เรื่องของความปลอดภัยในขั้นตอนการย้ายระบบขึ้นมายังคลาวด์กันครับ เนื่องจากสิ่งที่เราจะเอาขึ้นมาทั้งข้อมูลและระบบขององค์กรนั้นมูลค่าค่อนข้างสูง หากเกิดความผิดพลาดอาจจะมีผลกับการดำเนินธุรกิจและความน่าเชื่อถือของธุรกิจ โดยขั้นตอนรักษาความปลอดภัยระหว่างการย้ายนั้นเราจะต้องมีระบบที่ช่วยป้องกันข้อมูลหาย การรั่วไหลของข้อมูล และการป้องกันการโดนโจมตีจากภัยคุกคามต่างๆ หากเราไม่มีมาตรการรักษาความปลอดภัยที่รัดกุม เราอาจจะเจอกับความเสียหายทางการเงินจนเหงื่อตกเลยก็ว่าได้ อีกทั้งยังส่งผลกับภาพลักษณ์ของธุรกิจอีกด้วย ดังนั้นการวางแผนให้ครอบคลุมเรื่องความปลอดภัยระหว่างการย้ายจึงเป็นสิ่งที่จำเป็นอย่างมาก
โดยใน CAF จะมีแนวทางด้านความปลอดภัยที่ให้บริการอย่างชัดเจน ซึ่งแนวทาง Best Practice เหล่านี้ก็มาจากสิ่งที่ Microsoft ได้เรียนรู้จากประสบการณ์จริง จากลูกค้าจริงๆ แถมยังทำงานร่วมกับองค์กรที่น่าเชื่อถือในแวดวงด้านความปลอดภัยอย่างเช่น NIST (National Institute of Standards and Technology), The Open Group, และ the Center for Internet Security (CIS) เป็นองค์กรที่มีบทบาทสำคัญในการกำหนดมาตรฐานและแนวทางปฏิบัติด้านความปลอดภัย
โดย Microsoft Cloud Adoption Framework (CAF) ได้นำแนวทางและมาตรฐานจากองค์กรเหล่านี้มาใช้ในการสร้างโครงสร้างพื้นฐานและการปฏิบัติงานที่ปลอดภัยและเชื่อถือได้สำหรับองค์กรที่ต้องการย้ายระบบไปยังคลาวด์
Secure Methodology ใน CAF มีอะไรบ้าง?
Secure Methodology หรือวิธีในการรักษาความปลอดภัยใน CAF นั้นจะประกอบไปด้วยหลายองค์ประกอบที่สำคัญสำหรับการปรับปรุงและรักษาความปลอดภัยของระบบคลาวด์ดังนี้:
1. Risk Insights: การประเมินและวิเคราะห์ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นกับระบบคลาวด์ เพื่อให้สามารถจัดการและลดความเสี่ยงได้อย่างมีประสิทธิภาพ
2. Security Integration: การรวมระบบความปลอดภัยเข้ากับกระบวนการและเครื่องมือต่าง ๆ ในการย้ายและจัดการระบบบนคลาวด์ เพื่อให้มั่นใจว่าความปลอดภัยเป็นส่วนหนึ่งของทุกขั้นตอน
3. Business Resilience: การสร้างความสามารถในการฟื้นตัวและการดำเนินธุรกิจต่อเนื่องแม้ในกรณีที่เกิดเหตุการณ์ไม่คาดคิด เช่น ภัยพิบัติหรือการโจมตีทางไซเบอร์
4. Access Control: การจัดการสิทธิ์การเข้าถึงข้อมูลและทรัพยากรบนคลาวด์อย่างเข้มงวด เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและลดความเสี่ยงจากการละเมิดข้อมูล
5. Security Operations: การตรวจสอบและเฝ้าระวังความปลอดภัยแบบเรียลไทม์ รวมถึงการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็วและมีประสิทธิภาพ
6. Asset Protection: การปกป้องทรัพย์สินและข้อมูลสำคัญขององค์กรบนคลาวด์ ผ่านการเข้ารหัส การสำรองข้อมูล และการจัดการความปลอดภัยของระบบ
7. Security Governance: การกำกับดูแลและการกำหนดนโยบายด้านความปลอดภัย เพื่อให้มั่นใจว่าการดำเนินงานบนคลาวด์เป็นไปตามมาตรฐานและข้อกำหนดทางกฎหมาย
8. Innovation Security: การรักษาความปลอดภัยในกระบวนพัฒนาผลิตภัณฑ์ใหม่ ๆ บนคลาวด์ โดยไม่ละเลยด้านความปลอดภัย
9. DevSecOps Controls: เป็นการบูรนาการระหว่างงาน DevSecOps เข้าด้วยกัน เพื่อสร้าง culture การทำงานที่เน้นความปลอดภัยในทุกขั้นตอนของการพัฒนาซอฟต์แวร์
การใช้ Secure Methodology ด้านบนเหล่านี้ช่วยให้สามารถปรับปรุงและรักษาความปลอดภัยของระบบคลาวด์ได้อย่างต่อเนื่องและมีประสิทธิภาพ สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับ Secure methodology แบบเจาะลึกแต่ละตัวได้ที่ https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/organize/cloud-security
ความสัมพันธ์ระหว่างแนวคิด มาตรฐาน และ Framework
เรื่องการจัดการความปลอดภัยทางไซเบอร์จริง ๆ แล้วการจัดการและการป้องกันค่อนข้างจะซับซ้อน การเชื่อมโยงแนวคิด มาตรฐาน และ Framework เกี่ยวกับความปลอดภัย จะช่วยให้องค์กรต่างๆ สามารถสร้างกลยุทธ์ความปลอดภัยที่แข็งแกร่ง ทันสมัย และสอดคล้องกับความต้องการทางธุรกิจได้
โดยหลักการที่สำคัญจะประกอบไปด้วย:
- Zero Trust: หลักการพื้นฐานที่ทุกองค์กรควรยึดถือ คือ ทุกระบบล้วนถูกคุกคามอยู่เสมอ จำเป็นต้องตรวจสอบยืนยันตัวตนอย่างละเอียด และอนุญาตให้เข้าถึงข้อมูลและระบบน้อยที่สุด หลักการนี้เป็นรากฐานของกลยุทธ์ความปลอดภัยที่ดี แต่ก็จะต้องปรับสมดุลกับเป้าหมายทางธุรกิจเหมือนกัน
โดยประโยชน์ของ Zero Trust จะช่วยลดพื้นที่โจมตีของผู้ไม่หวังดี จำกัดการเข้าถึงข้อมูลเฉพาะผู้ที่ได้รับอนุญาตจริง ทำให้แม้จะมีการบุกรุกเข้ามาได้ ผู้โจมตีก็จะถูกจำกัดอยู่ในขอบเขตจำกัด ไม่สามารถเข้าถึงข้อมูลสำคัญได้ แถมยังทำให้ตีวงตรวจสอบการเข้าถึงข้อมูลได้ง่ายขึ้นอีกด้วย รองรับการใช้งานในระบบที่มีความซับซ้อน ปรับเปลี่ยนได้ตามความต้องการ
สำหรับองค์ประกอบหลักของ Zero Trust คือการพิสูจน์ตัวตน ผู้ใช้ อุปกรณ์ และแอปพลิเคชันก่อนเข้าถึงทรัพยากรทุกครั้ง การควบคุมการเข้าถึงแบบละเอียด อนุญาตให้เข้าถึงทรัพยากรเฉพาะผู้ที่ได้รับอนุญาตจริงเท่านั้น แบ่งแยกเครือข่ายออกเป็นโซนต่างๆ เพื่อจำกัดการเข้าถึงข้อมูล ทำการตรวจสอบและวิเคราะห์กิจกรรมบนเครือข่ายอย่างต่อเนื่องเพื่อหาสิ่งผิดปกติ และทำการใช้เครื่องมือป้องกันภัยคุกคามต่างๆ เช่น ไฟร์วอลล์ และระบบป้องกันไวรัส
- DevSecOps: เป็น Best Practice ที่เอาเรื่องของความปลอดภัยไปใส่ไว้ในทุกๆ กระบวนการพัฒนาซอฟต์แวร์ ช่วยให้มั่นใจได้ว่าซอฟต์แวร์ที่พัฒนาขึ้นมีความปลอดภัยตั้งแต่เริ่มต้นไปจนครบวงจรการพัฒนาซอร์ฟแวร์ เช่น กำหนดกลยุทธ์ ออกนโยบายด้านความปลอดภัยตั้งแต่เริ่มทำซอร์ฟแวร์ โดยขั้นตอนการออกแบบระบบซอฟต์แวร์ให้คำนึงถึงความปลอดภัยด้วย ตอนที่เริ่มเขียนโค้ด โค้ดก็ต้องปลอดภัย ไม่เก็บsecret หรือของที่ไม่ควรใส่ไว้ในโค้ด ส่วนนี้เราสามารถใช้เครื่องมือต่างๆ ในการสแกนโค้ดหาช่องโหว่เพื่อโค้ดอย่างละเอียดได้ เมื่อเขียนเสร็จก็จะต้องมีการทดสอบซอฟต์แวร์เพื่อหาช่องโหว่ด้านความปลอดภัยอีกครั้ง เพราะช่องโหว่อาจจะอยู่ใน package สำเร็จรูปหรือเครื่องมืออื่น ๆ ที่เราเอามาใช้อีกด้วย และเมื่อเราปล่อยซอร์ฟแวร์ไปแล้วก็ควรมีเครื่องมือสำหรับตรวจสอบและเฝ้าระวังระบบอย่างสม่ำเสมอ และนี่ก็คือการเอา Security ไปใส่ไว้ในทุก ๆ ขั้นตอนการพัฒนานั่นเอง
ส่วนของมาตรฐาน:
- The Open Group: จะมีเอกสารหลักการสำคัญที่เกี่ยวข้องกับความปลอดภัย ประกอบไปด้วยองค์ประกอบที่สอดคล้องกับหลักการ Zero Trust
- NIST Cybersecurity Framework: NIST Cybersecurity Framework (CSF) ปัจจุบันเป็นเวอร์ชัน 2.0 โดยออกมาเมื่อวันที่ 26 กุมภาพันธ์ 2024 เป็นเฟรมเวิร์กที่พัฒนาโดย National Institute of Standards and Technology (NIST) ของสหรัฐอเมริกา ออกแบบมาเพื่อช่วยให้องค์กรทุกขนาดและทุกประเภทจัดการและลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
NIST Cybersecurity Framework (CSF) 2.0 ประกอบด้วย 5 องค์ประกอบหลัก เริ่มต้นด้วยการ “ระบุความเสี่ยง” กำหนดเป้าหมายสินทรัพย์ที่มีค่าและประเมินความเสี่ยง ต่อมาคือ “ป้องกัน” วางมาตรการป้องกันเพื่อลดความเสี่ยง เมื่อเกิดเหตุจะทำการ “ตรวจจับ” ระบุและวิเคราะห์การโจมตี “ตอบสนอง” ควบคุมและแก้ไขผลกระทบ และสุดท้าย “ฟื้นฟู” กู้คืนระบบและข้อมูล กรอบงานนี้ช่วยให้องค์กรทุกขนาดจัดการและลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์อย่างมีประสิทธิภาพ
การเชื่อมโยง:
CAF เชื่อมโยงแนวคิด มาตรฐาน และ Framework เหล่านี้เข้าด้วยกัน ดังนี้:
- การควบคุมการเข้าถึง: มีการควบคุมการเข้าถึงอย่างเข้มงวดโดยสอดคล้องกับหลักการ Zero Trust
- DevSecOps: มุ่งเน้นไปที่การบูรณาการความปลอดภัยเข้ากับกระบวนการพัฒนาซอฟต์แวร์ สอดคล้องกับแนวทางปฏิบัติ DevSecOps
- มาตรฐาน: ระบุแนวปฏิบัติความปลอดภัยใน CAF กับข้อกำหนดใน NIST Cybersecurity Framework และ The Open Group
สุดท้ายก็คือบทบาทและหน้าที่การนำ Cloud Adoption Framework
ไปใช้งาน
ผู้นำด้านความปลอดภัย (Security leadership) บทบาทนี้จะครอบคลุมหลายหน้าที่ ทำให้ทีมต่างๆ มีการประสานงานกัน ทำหน้าที่กำหนดลำดับความสำคัญ รวมถึงกำหนดมาตรฐาน นโยบาย และวัฒนธรรมองค์กรด้านความปลอดภัยต่างๆ
สถาปนิกด้านความปลอดภัย (Security architect) บทบาทจะเป็นหัวใจสำคัญของการกำกับดูแล เพื่อให้แน่ใจว่าระบบเทคนิคทั้งหมดทำงานร่วมกันอย่างตามสถาปัตยกรรมที่สอดคล้องกัน
ความมั่นคงปลอดภัยและการปฏิบัติตามข้อกำหนด (Security Posture and Compliance) บทบาทนี้จะจัดการรายงานการปฏิบัติตามข้อกำหนดกับแนวทางด้านความปลอดภัย เช่น การจัดการช่องโหว่และเกณฑ์การกำหนดค่า สามารถใช้เครื่องมือ อย่างเช่น Microsoft Defender for Cloud ในการกำกับดูแลด้านความปลอดภัยและตรวจสอบช่องโหว่ต่างๆ
วิศวกรรักษาความปลอดภัยแพลตฟอร์ม (Platform Security Engineer): บทบาททางเทคนิคที่เน้นไปที่แพลตฟอร์มที่รองรับเวิร์กโหลดหลายรายการ ทั้งการควบคุมการเข้าถึงและการป้องกันทรัพย์สินของระบบ
วิศวกรรักษาความปลอดภัยแอปพลิเคชัน (Application security engineer): มีหน้าที่ดูแลความปลอดภัยสำหรับเวิร์กโหลดโดยเฉพาะ รองรับทั้งรูปแบบการพัฒนาแบบเดิมและรูปแบบ DevOps/DevSecOps ที่ทันสมัย
และนี่ก็จะเป็นความสำคัญสำหรับการเลือกใช้แนวทางและการดูแลระบบที่มีประสิทธิภาพและมีมาตรฐานเพื่อความปลอดภัยให้กับข้อมูลและระบบที่มีมูลค่ามหาศาลด้วย Microsoft Cloud Adoption Framework ซึ่งหากคุณสนใจ Cloud HM ของเราก็มีบริการผู้เชี่ยวชาญโดยเฉพาะสามารถติดต่อเราได้ที่ https://www.cloudhm.co.th/contact/
