ความท้าทายด้านความปลอดภัยบนมัลติคลาวด์ 3 อันดับแรกและวิธีสร้างกลยุทธ์

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยจำนวนหนึ่งเกิดขึ้นพร้อมกับการเพิ่มขึ้นของ สภาพแวดล้อม มัลติคลาวด์และมีขั้นตอนสำคัญบางประการที่ทุกองค์กรควรดำเนินการในการพัฒนากลยุทธ์การรักษาความปลอดภัยของตนเอง

การละเมิดข้อมูลหรือการแจ้งเตือนผู้บุกรุกจะทำให้ทีมรักษาความปลอดภัยมีความกระตือรือร้นมากขึ้นในการควบคุมความเสียหายและระบุสาเหตุ

งานดังกล่าวมีความท้าทายอยู่เสมอ แม้ว่าบุคลากรด้านไอทีตัวจริงจะดำเนินการทั้งหมดบนโครงสร้างพื้นฐานของตนเองก็ตาม งานนี้มีความซับซ้อนมากขึ้นเรื่อยๆ เนื่องจากองค์กรต่างๆ ได้ย้ายปริมาณงานของตนไปยังระบบคลาวด์มากขึ้นและต่อมาไปยังผู้ให้บริการระบบคลาวด์หลายราย

รายงานการปฏิบัติงานบนคลาวด์ประจำปี 2018 จาก RightScale ผู้ให้บริการคลาวด์ พบว่า 77% ของผู้เชี่ยวชาญด้านเทคโนโลยี (เทียบเท่ากับผู้ตอบแบบสอบถาม 997 คน) กล่าวว่าการรักษาความปลอดภัยบนคลาวด์เป็นสิ่งที่ท้าทาย และ 29% บอกว่ามันเป็นความท้าทายที่ยิ่งใหญ่มาก

ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าพวกเขาไม่แปลกใจเลย โดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่า 81% ของผู้ตอบแบบสำรวจของ RightScale กำลังใช้กลยุทธ์มัลติคลาวด์

“สภาพแวดล้อมมัลติคลาวด์จะทำให้วิธีที่คุณใช้และจัดการการควบคุมความปลอดภัยมีความซับซ้อนมากขึ้น” Ron Lefferts กรรมการผู้จัดการและผู้นำที่ปรึกษาด้านเทคโนโลยีของบริษัทที่ปรึกษาด้านการจัดการ กล่าว ทฤษฎี Protiviti

เขาและผู้นำด้านความปลอดภัยคนอื่นๆ กล่าวว่าองค์กรต่างๆ ต่างจริงจังในการรักษาความปลอดภัยระดับสูง เนื่องจากมีการย้ายปริมาณงานไปยังระบบคลาวด์มากขึ้น

ความท้าทายด้านความปลอดภัยบนมัลติคลาวด์ยอดนิยม

• ความท้าทายด้านความปลอดภัยแบบมัลติคลาวด์
• สร้างกลยุทธ์มัลติคลาวด์
• กำหนดความคาดหวังสำหรับซัพพลายเออร์
• ใช้เทคโนโลยีใหม่ในปัจจุบัน

ความท้าทายด้านความปลอดภัยแบบมัลติคลาวด์

แต่พวกเขาควรรับทราบว่าสภาพแวดล้อมมัลติคลาวด์มาพร้อมกับความท้าทายเพิ่มเติมที่ต้องแก้ไข นี่เป็นส่วนหนึ่งของกลยุทธ์การรักษาความปลอดภัยที่ครอบคลุม

“ในโลกมัลติคลาวด์นี้ การประสานงานถือเป็นสิ่งสำคัญ” Christos K. Dimitriadis ผู้อำนวยการและอดีตประธานคณะกรรมการของ ISACA ซึ่งเป็นสมาคมวิชาชีพที่เน้นเรื่องการกำกับดูแลด้านไอที ระหว่างเทคโนโลยีกับสติปัญญาของมนุษย์ กล่าว ตอนนี้หากเกิดเหตุการณ์ขึ้น คุณต้องแน่ใจว่าหน่วยงานทั้งหมดได้รับการประสานงานเพื่อระบุการละเมิด วิเคราะห์ และพัฒนาแผนการปรับปรุงเพื่อการควบคุมที่มีประสิทธิภาพมากขึ้น"

ด้านล่างนี้คือองค์ประกอบสามประการที่ผู้เชี่ยวชาญกล่าวว่าเป็นกลยุทธ์ด้านความปลอดภัยที่ซับซ้อนสำหรับสภาพแวดล้อมมัลติคลาวด์

• ความซับซ้อนที่เพิ่มขึ้น : การประสานงานนโยบายความปลอดภัย กระบวนการ และการตอบสนองจากผู้ให้บริการระบบคลาวด์หลายรายและเครือข่ายจุดเชื่อมต่อที่ขยายมากขึ้นจะเพิ่มความซับซ้อน

“คุณมีส่วนขยายศูนย์ข้อมูลในหลายแห่งทั่วโลก” Juan Perez-Etchegoyen นักวิจัยและประธานร่วมของ ERP Security Working Group ขององค์กรการค้าที่ไม่แสวงหาผลกำไร Cloud Security Alliance (CSA) กล่าว จากนั้นคุณจะต้องปฏิบัติตามข้อบังคับของประเทศหรือภูมิภาคทั้งหมดที่คุณตั้งศูนย์ข้อมูล กฎระเบียบมีจำนวนมากและเพิ่มขึ้นเรื่อยๆ กฎระเบียบเหล่านี้ส่งเสริมการควบคุมและกลไกที่บริษัทจำเป็นต้องนำไปปฏิบัติ ทั้งหมดนี้เพิ่มความซับซ้อนให้กับวิธีที่เราปกป้องข้อมูล”

• ขาดการมองเห็น : องค์กรด้านไอทีมักไม่รู้ว่าพนักงานใช้บริการคลาวด์ทั้งหมด ซึ่งสามารถเพิกเฉยต่อกลยุทธ์ด้านไอทีทางธุรกิจและซื้อบริการซอฟต์แวร์โดยไม่รู้ตัว เป็นบริการหรือบริการบนคลาวด์อื่นๆ

“ดังนั้นเราจึงพยายามปกป้องข้อมูล บริการ และตัวธุรกิจโดยไม่ต้องเข้าใจชัดเจนว่าข้อมูลอยู่ที่ไหน” นายดิมิเทรียดิสกล่าว

• ภัยคุกคามใหม่ๆ : Jeff Spivey ผู้ก่อตั้งและซีอีโอของบริษัทที่ปรึกษา Security Risk Management Inc กล่าวไว้ว่า ผู้นำด้านความปลอดภัยขององค์กรควรตระหนักด้วยว่าสภาพแวดล้อมมัลติคลาวด์ที่เปลี่ยนแปลงอย่างรวดเร็วสามารถก่อให้เกิดภัยคุกคามใหม่ๆ ได้

“เรากำลังสร้างสิ่งใหม่ๆ โดยที่เรายังไม่รู้เกี่ยวกับช่องโหว่ทั้งหมด แต่เราสามารถค้นพบช่องโหว่เหล่านั้นได้ในขณะที่เราก้าวไปข้างหน้า” เขากล่าว

สร้างกลยุทธ์มัลติคลาวด์

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยจำนวนหนึ่งเกิดขึ้นพร้อมกับการเพิ่มขึ้นของสภาพแวดล้อมมัลติคลาวด์ และมีขั้นตอนสำคัญบางประการที่ทุกองค์กรควรดำเนินการในการพัฒนากลยุทธ์การรักษาความปลอดภัยของตนเอง

สิ่งแรกที่ต้องทำคือระบุคลาวด์ทั้งหมดที่ "อยู่" ของข้อมูล และตรวจสอบให้แน่ใจว่าองค์กรมีโปรแกรมการกำกับดูแลข้อมูลที่แข็งแกร่ง - "ภาพรวมของข้อมูลและบริการที่สมบูรณ์ รวมถึงสินทรัพย์ด้านไอทีที่เกี่ยวข้องกับข้อมูลทุกประเภท" ( ตามที่นายดิมิเตรียดิสกล่าว)

นายดิมิเตรียดิสยังเป็นหัวหน้าฝ่ายความปลอดภัยของข้อมูล การปฏิบัติตามข้อมูล และการคุ้มครองทรัพย์สินทางปัญญาที่ INTRALOT Group ซึ่งเป็นผู้ให้บริการเกมและผู้ให้บริการโซลูชัน รับทราบว่าข้อเสนอด้านความปลอดภัยเหล่านี้ไม่ได้มีไว้สำหรับสภาพแวดล้อมมัลติคลาวด์เท่านั้น

อย่างไรก็ตาม เขากล่าวว่าการมีมาตรการพื้นฐานเหล่านี้มีความสำคัญมากขึ้นกว่าเดิมเนื่องจากข้อมูลถูกย้ายไปยังคลาวด์และครอบคลุมแพลตฟอร์มคลาวด์หลายแพลตฟอร์ม แตกต่างกัน

สถิติแสดงให้เห็นว่าเหตุใดการมีฐานความปลอดภัยที่แข็งแกร่งจึงมีความสำคัญมาก KPMG และรายงานภัยคุกคามบนคลาวด์ประจำปี 2018 ของ Oracle ซึ่งสำรวจผู้เชี่ยวชาญด้านความปลอดภัยและไอที 450 ราย รายงานว่า 90% ของธุรกิจจัดประเภทข้อมูลครึ่งหนึ่งของตนเป็นแบบคลาวด์ ซึ่งมีความละเอียดอ่อน

รายงานยังพบว่า 82% ของผู้ตอบแบบสอบถามกังวลว่าพนักงานไม่ปฏิบัติตามนโยบายความปลอดภัยบนคลาวด์ และ 38% มีปัญหาในการตรวจจับและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยบนคลาวด์

เพื่อต่อสู้กับสถานการณ์ดังกล่าว ธุรกิจควรจัดประเภทข้อมูลเพื่อสร้างการรักษาความปลอดภัยหลายชั้น Ramsés Gallego ผู้นำของ ISACA และผู้เผยแพร่ศาสนาในสำนักงาน CTO ของ Symantec กล่าว ข้อมูลนี้บอกเราว่าข้อมูลบางส่วนไม่จำเป็นต้องมีความน่าเชื่อถือและการตรวจสอบในระดับเดียวกันเพื่อเข้าถึงหรือล็อค

ผู้เชี่ยวชาญด้านความปลอดภัยยังแนะนำให้ธุรกิจต่างๆ ใช้มาตรการรักษาความปลอดภัยทั่วไปอื่นๆ ในชั้นพื้นฐานที่จำเป็นในการปกป้องสภาพแวดล้อมมัลติคลาวด์ นอกเหนือจากนโยบายการจัดประเภทข้อมูลแล้ว Gallego ยังแนะนำให้ใช้โซลูชันการเข้ารหัส ข้อมูลระบุตัวตน และการจัดการการเข้าถึง (IAM) เช่นการตรวจสอบสิทธิ์แบบสองปัจจัย

ธุรกิจจำเป็นต้องกำหนดนโยบายและโครงสร้างให้เป็นมาตรฐานเพื่อให้แน่ใจว่าการใช้งานมีความสอดคล้องและทำให้เป็นอัตโนมัติมากที่สุดเท่าที่จะเป็นไปได้ เพื่อช่วยจำกัดการเบี่ยงเบนไปจากมาตรฐานความปลอดภัยเหล่านั้น

“ระดับความพยายามที่บริษัททุ่มเทจะขึ้นอยู่กับความเสี่ยงและความอ่อนไหวของข้อมูล ดังนั้นหากคุณใช้คลาวด์เพื่อจัดเก็บหรือประมวลผลข้อมูลที่ไม่เป็นความลับ คุณไม่จำเป็นต้องใช้วิธีการรักษาความปลอดภัยแบบเดียวกับคลาวด์ที่เก็บข้อมูลสำคัญ” นายกาเดียกล่าว

นอกจากนี้เขายังตั้งข้อสังเกตอีกว่าการกำหนดมาตรฐานและระบบอัตโนมัติมีประสิทธิภาพมาก มาตรการเหล่านี้ไม่เพียงแต่ลดต้นทุนโดยรวมเท่านั้น แต่ยังช่วยให้ผู้นำด้านความปลอดภัยสามารถนำทรัพยากรมากขึ้นไปใช้กับงานที่มีมูลค่าสูงกว่าได้อีกด้วย

ตามที่ผู้เชี่ยวชาญระบุ องค์ประกอบพื้นฐานดังกล่าวควรเป็นส่วนหนึ่งของกลยุทธ์ที่ใหญ่ขึ้นและสอดคล้องกันมากขึ้น โปรดทราบว่าธุรกิจจะทำงานได้ดีเมื่อพวกเขาปรับใช้กรอบงานเพื่อจัดการงานที่เกี่ยวข้องกับความปลอดภัย กรอบการทำงานทั่วไป ได้แก่ NIST ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ วัตถุประสงค์การควบคุม ISACA สำหรับเทคโนโลยีสารสนเทศ (COBIT) ซีรี่ส์ ISO 27000; และ Cloud Security Alliance Cloud Control Matrix (CCM)

กำหนดความคาดหวังสำหรับซัพพลายเออร์

ตามที่ Mr. Dimitriadis กรอบการทำงานที่เลือกไม่เพียงแต่แนะนำธุรกิจ แต่ยังรวมถึงซัพพลายเออร์ด้วย

“สิ่งที่เราต้องทำคือรวมเฟรมเวิร์กเหล่านั้นเข้ากับผู้ให้บริการคลาวด์ จากนั้นคุณจะสามารถสร้างการควบคุมข้อมูลและบริการที่คุณพยายามปกป้องได้” เขาอธิบายอย่างละเอียด

ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าการเจรจากับผู้ให้บริการคลาวด์และข้อตกลงการบริการที่ตามมาจะจัดการกับการแยกข้อมูลและวิธีการจัดเก็บข้อมูล พวกเขาจะร่วมมือและประสานงานกับผู้ให้บริการคลาวด์รายอื่น จากนั้นจึงให้บริการแก่ธุรกิจต่างๆ

สิ่งสำคัญคือต้องมีความเข้าใจที่ชัดเจนเกี่ยวกับบริการที่คุณได้รับจากผู้ให้บริการแต่ละราย และพวกเขามีความสามารถในการจัดการและดำเนินการบริการนั้นหรือไม่

“เจาะจงเกี่ยวกับสิ่งที่คุณคาดหวังและวิธีไปถึงจุดนั้น” นายสปิวีย์กล่าวเสริม “จะต้องมีความเข้าใจที่ชัดเจนเกี่ยวกับบริการที่คุณได้รับจากผู้ให้บริการแต่ละราย และพวกเขามีความสามารถในการจัดการและดำเนินการหรือไม่”

แต่จากคำบอกเล่าของ Mr. Gallego อย่าฝากปัญหาด้านความปลอดภัยไว้กับ ผู้ให้บริการคลาวด์คอมพิวติ้ง

ผู้ให้บริการระบบคลาวด์มักจะขายบริการของตนโดยเน้นสิ่งที่พวกเขาสามารถทำได้ในนามของลูกค้าองค์กร และมักจะรวมถึงบริการด้านความปลอดภัยด้วย แต่นั่นยังไม่เพียงพอ โปรดจำไว้ว่าบริษัทเหล่านี้อยู่ในธุรกิจบริการคอมพิวเตอร์ระบบคลาวด์ ซึ่งไม่ได้เชี่ยวชาญด้านความปลอดภัย

ดังนั้น เขาให้เหตุผลว่าผู้นำด้านความปลอดภัยขององค์กรต้องสร้างแผนการรักษาความปลอดภัยในระดับละเอียด เช่น ใครบ้างที่สามารถเข้าถึงอะไร เมื่อใด และอย่างไร จากนั้นมอบให้กับผู้ให้บริการคลาวด์แต่ละรายเพื่อช่วยดำเนินการตามแผนเหล่านั้น

นอกจากนี้เขายังกล่าวเสริมอีกว่า “ผู้ให้บริการระบบคลาวด์จำเป็นต้องได้รับความไว้วางใจจากลูกค้า”

ใช้เทคโนโลยีใหม่ในปัจจุบัน

นโยบาย การกำกับดูแล และแม้แต่มาตรการรักษาความปลอดภัยทั่วไป เช่น การรับรองความถูกต้องด้วยสองปัจจัย เป็นสิ่งที่จำเป็น แต่ไม่เพียงพอที่จะจัดการกับความซับซ้อนที่เกิดขึ้นเมื่อกระจายปริมาณงานบนคลาวด์หลาย ๆ แห่ง

องค์กรต่างๆ จะต้องนำเทคโนโลยีใหม่ๆ ที่ได้รับการออกแบบมาเพื่อช่วยให้ทีมรักษาความปลอดภัยขององค์กรสามารถจัดการและดำเนินการตามกลยุทธ์ด้านความปลอดภัยแบบมัลติคลาวด์ได้ดียิ่งขึ้น

Mr. Gallego และนักวิจัยคนอื่นๆ ชี้ไปที่โซลูชันต่างๆ เช่น Cloud Access Security Brokers (CASB) ซึ่งเป็นเครื่องมือซอฟต์แวร์หรือบริการที่อยู่ระหว่างโครงสร้างพื้นฐานภายในองค์กรกับโครงสร้างพื้นฐานของผู้ให้บริการคลาวด์ ระบบคลาวด์ เพื่อรวบรวมและบังคับใช้มาตรการรักษาความปลอดภัย เช่น การรับรองความถูกต้อง การทำแผนที่ข้อมูลรับรอง การเก็บรักษาข้อมูลอุปกรณ์ การเข้ารหัส และการตรวจจับมัลแวร์

เครื่องมือนี้ยังแสดงรายการเทคโนโลยีปัญญาประดิษฐ์แล้ววิเคราะห์การรับส่งข้อมูลเครือข่ายเพื่อตรวจจับปรากฏการณ์ผิดปกติที่ต้องได้รับการดูแลจากมนุษย์อย่างแม่นยำ ซึ่งจะช่วยจำกัดจำนวนเหตุการณ์ที่ต้องตรวจสอบหรือเปลี่ยน จากนั้นเปลี่ยนเส้นทางทรัพยากรเหล่านั้นไปยังเหตุการณ์ที่อาจส่งผลร้ายแรง .

และผู้เชี่ยวชาญอ้างว่าการใช้ระบบอัตโนมัติอย่างต่อเนื่องเป็นเทคโนโลยีหลักในการปรับความปลอดภัยให้เหมาะสมในสภาพแวดล้อมมัลติคลาวด์ ดังที่ Mr. Spivey ยังตั้งข้อสังเกตอีกว่า “องค์กรที่ประสบความสำเร็จคือองค์กรที่ทำให้หลายส่วนเป็นอัตโนมัติและมุ่งเน้นไปที่การกำกับดูแลและการจัดการ”

นอกจากนี้ Spivey และนักวิจัยคนอื่นๆ กล่าวว่าในขณะที่เทคโนโลยีที่ใช้ในการรักษาความปลอดภัยข้อมูลผ่านบริการคลาวด์ต่างๆ เช่น CASB อาจมีลักษณะเฉพาะสำหรับสภาพแวดล้อม แต่มัลติคลาวด์ ผู้เชี่ยวชาญเน้นย้ำว่าหลักการรักษาความปลอดภัยโดยรวมเป็นไปตามเป้าหมายของแนวทางระยะยาวของทั้งบุคลากรและเทคโนโลยีเพื่อสร้างกลยุทธ์ที่ดีที่สุด

“เรากำลังพูดถึงเทคโนโลยีและสถานการณ์ที่แตกต่างกัน โดยเน้นที่ข้อมูลมากกว่า แต่เป็นแนวคิดเดียวกันกับที่คุณต้องนำไปใช้” Perez-Etchegoyen ซึ่งเป็น CTO ของ Onapsis กล่าว “แนวทางทางเทคนิคจะแตกต่างกันไปในแต่ละสภาพแวดล้อมมัลติคลาวด์ แต่กลยุทธ์โดยรวมจะเหมือนกัน”

ดูเพิ่มเติม:

• การประมวลผลแบบคลาวด์และคำถามเพื่อความปลอดภัย 10 ข้อที่ถูกถามบ่อย
• วิธีรวมที่เก็บข้อมูลบนคลาวด์เข้ากับงาน
• ความท้าทายของการประมวลผลแบบคลาวด์