ความปลอดภัยของระบบคลาวด์: 10 คำถามที่ควรหาคำตอบ
“ความปลอดภัยที่แน่นหนาขึ้น” คือแรงจูงใจสำคัญที่ทำให้ธุรกิจขนาดกลางและขนาดย่อมหาทางย้ายข้อมูลและเทคโนโลยีไปสู่ระบบคลาวด์ แต่ผู้ให้บริการคลาวด์บางรายอาจเติมเต็มความคาดหวังตรงนี้ไม่ได้ เพราะฉะนั้น คุณจำเป็นต้องทำการบ้านก่อนเลือกใช้บริการและมอบข้อมูลของบริษัทให้บุคคลภายนอกดูแล
คุณต้องถามผู้ให้บริการเกี่ยวกับความปลอดภัยของระบบคลาวด์ ควบคู่ไปกับคำถามด้านราคา การตกลงเกี่ยวกับบริการที่ครอบคลุม และความช่วยเหลือด้านเทคโนโลยี และนี่คือ 10 คำถามที่คุณควรถามเมื่อพูดคุยกับผู้ให้บริการคลาวด์
1. คุณให้บริการฟีเจอร์ด้านความปลอดภัยประเภทใดบ้าง? คุณใช้บริการและซอฟต์แวร์อะไรจากองค์กรบุคคลที่สามบ้าง?
คำตอบของคำถามนี้ควรประกอบด้วยระบบ Firewall ระบบป้องกันการโจมตีแบบ DDoS และระบบยืนยันตัวตนเป็นอย่างต่ำ
นอกจากนี้แล้วมีอะไรอีกบ้าง? เรื่องนี้ขึ้นอยู่กับประเภทของบริการคลาวด์ที่คุณสนใจซื้อ ตัวอย่างเช่น แพลตฟอร์ม, Virtual Machines, OS Instances, และแอปพลิเคชันต่างๆ สำหรับลูกค้าบางราย ผู้ให้บริการควรติดตั้งโปรแกรม Anti-Virus/Anti-Malware และโปรแกรมคัดกรองเครือข่าย/เนื้อหาด้วย แต่กับบริษัทอื่นๆ การให้บริการเพิ่มเติมจะขึ้นอยู่กับความต้องการของลูกค้า
เพราะผู้ให้บริการคลาวด์แต่ละรายมีความถนัดใช้เทคโนโลยีจัดการระบบคอมพิวเตอร์แบบ Virtualization และ/หรือ Containers แตกต่างกัน คุณจึงต้องไม่ลืมถามเกี่ยวกับความปลอดภัยทั้งในระดับ Hypervisor และ OS
2. ศูนย์ข้อมูลของคุณอยู่ในระดับใด?
ระดับของศูนย์ข้อมูลสามารถบ่งบอกได้ว่าระบบรองรับข้อมูลจากฮาร์ดแวร์ได้มากเพียงใด ยิ่งระดับสูงเท่าไร ความสามารถในการรองรับก็เพิ่มขึ้นเท่านั้น และระดับ 4 คือระดับสูงสุดและดีที่สุด เพราะมี “โครงสร้างรองรับความผิดพลาด” ด้วย
3. ศูนย์ข้อมูลของคุณมีการรับรองและข้อปฏิบัติด้านความปลอดภัยอะไรบ้าง?
คำตอบนี้ควรประกอบด้วย:
- รายงานการตรวจสอบ SOC1 (การควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย การควบคุมที่มีผลกระทบทันที หรือต่อเนื่อง) ในเชิงบวก ตามมาตรฐานของ SSAE-16 (แสดงให้เห็นว่าพวกเขาทำตามหน้าที่ดูแลด้านความปลอดภัย)
- การรับรองเกี่ยวกับ FISMA (หน่วยงานรัฐบาลกลางสหรัฐอเมริกาที่ดูแลการพัฒนา การจัดการเอกสาร และควบคุมการรักษาความปลอดภัยของข้อมูลและด้านสารสนเทศ), ISO 27001, FIPS 140-2 (ข้อกำหนดด้านความปลอดภัยสำหรับโมดูลการเข้ารหัสโดยเฉพาะ) และอื่นๆ
- อย่างน้อยพวกเขาควรปฏิบัติตามข้อบังคับด้านการปกป้องข้อมูลของหน่วยงานรัฐฯ หรือหน่วยงานอุตสาหกรรมต่างๆ ที่เกี่ยวข้อง เช่น HIPAA (พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ), GLBA (พระราชบัญญัติเพื่อเพิ่มประสิทธิภาพการแข่งขันในอุตสาหกรรมบริการทางการเงิน), PCI DSS (มาตรฐานความปลอดภัยข้อมูลเพื่อช่วยปกป้องข้อมูลผู้ถือบัตร), FINRA (หน่วยงานกำกับดูแลอุตสาหกรรมการเงิน), และ PIPEDA (กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์)
นอกจากนี้ ควรมองหาใบรับรองผ่านการตรวจสอบต่างๆ เช่น การตรวจสอบภายใต้มาตรฐาน AICPA/CICA พร้อมกับขอเอกสารยืนยันว่าผู้ให้บริการได้รับการรับรองจริงๆ เช่น รายงาน SOC2 และ SOC3
4. คุณใช้มาตรฐานด้านความปลอดภัยใดในการปกป้องศูนยฺ์ข้อมูล?
ฐานข้อมูลจะป้องกันข้อมูลจากผู้บุกรุกอย่างไร? จะป้องกันข้อมูลจากพนักงานที่นำข้อมูลไปใช้ในทางมิชอบได้ไหม? แล้วจะรับมือกับอัคคีภัย อุทกภัย ควัน แผ่นดินไหว พายุ หรือปัจจัยทางธรรมชาติอื่นๆ ได้หรือไม่? ผู้ให้บริการมีฐานข้อมูลสำรองหรือเปล่า? แล้วการสำรองข้อมูลเป็นแบบต่อเนื่องหรือสำรองข้อมูลเป็นช่วงๆ?
5. ข้อมูลดิจิทัลจะถูกจัดเก็บให้ปลอดภัยไว้ที่ไหนและอย่างไร?
มองหาการส่งต่อข้อมูลผ่านการเข้ารหัส ไม่ใช่แค่ระหว่างบริษัทกับศูนย์ข้อมูล แต่เป็นระหว่างศูนย์ข้อมูลกับศูนย์ข้อมูล และระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์ และการเข้ารหัสในอุปกรณ์เคลื่อนที่ และถามด้วยว่ารองรับการเข้ารหัสประเภทใดและระดับใด ในปัจจุบัน ควรดู 256-bit AES (Advanced Encryption Standard) SSL สำหรับข้อมูลขณะส่งต่อ และ 256-bit AES สำหรับข้อมูลขณะจัดเก็บ
6. มีใครบ้างที่สามารถเข้าถึงข้อมูลของบริษํัท นอกจากผู้ใช้งานของบริษัท?
พนักงานไอทีที่ดูแลศูนย์ข้อมูล พนักงานคนอื่นๆ ลูกค้าคนอื่นๆ และผู้บุกรุกทางไซเบอร์ถูกกีดกันไม่ให้ดู คัดลอก เปลี่ยนแปลง หรือลบข้อมูลของบริษัทคุณอย่างไร? มีการเข้ารหัส กุญแจเข้ารหัส และการยืนยันตัวตนอะไรบ้าง? และกุญแจเข้ารหัสถูกจัดเก็บไว้ที่ไหน?
สำหรับผู้ให้บริการที่มีลูกค้าจำนวนมาก คุณควรตั้งคำถามดังนี้
- มีการยืนยันตัวตนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลของลูกค้าแต่ละรายแยกออกจากกันและลูกค้ารายอื่นไม่สามารถเห็นข้อมูลของคุณหรือไม่?
- ระบบจำกัดและตรวจจับการใช้งานของบัญชีแอดมินเพื่อไม่ให้เกิดจุดบกพร่องจากการใช้งานของลูกค้าและไม่ให้ผู้คุกคามเข้าถึงข้อมูลของคุณหรือไม่?
7. ผู้ให้บริการรับผิดชอบด้านความปลอดภัยของคลาวด์ส่วนใดบ้าง? บริษัทลูกค้ารับผิดชอบส่วนใด? และมีส่วนใดที่ต้องรับผิดชอบร่วมกัน?
การร่วมมือกับผู้ให้บริการคลาวด์สามารถแบ่งเบาภาระด้านความปลอดภัยของคลาวด์ที่คุณเคยต้องดูแลจัดการเอง แต่ไม่ได้หมายความว่าคุณไม่มีส่วนรับผิดชอบอะไรเลย
พูดคุยกับผู้ให้บริการให้ดีว่าความช่วยเหลือของพวกเขาครอบคลุมส่วนใดบ้าง คุณจะได้มั่นใจว่าระบบไม่มีจุดอ่อน และไม่สรุปไปเองว่าบริการครอบคลุมทุกอย่างแล้ว
8. เราสามารถพูดคุยกับทีมรักษาความปลอดภัยโดยตรงได้ไหม?
ตัวแทนและพนักงานขายที่ให้ข้อมูลกับคุณอาจไม่เข้าใจเรื่องความปลอดภัยทางธุรกิจอย่างถ่องแท้ และหากคุณก็ไม่ได้มีความรู้ด้านความปลอดภัยมากนัก คุณควรมองหาผู้ให้คำปรึกษาด้านความปลอดภัยมาจัดการกับเรื่องนี้แทนคุณ
คุณควรจะรู้ว่ามีทรัพยากรอะไรบ้างที่สามารถช่วยเหลือคุณในระหว่างกระบวนการจัดการ และคุณสามารถเข้าถึงทรัพยากรนั้นๆ เมื่อต้องการได้ง่ายเพียงใด หากคุณกำลังเคลื่อนย้ายองค์ประกอบทางธุรกิจที่สำคัญไปจัดเก็บในคลาวด์ คุณก็ควรมั่นใจว่าผู้ดูแลระบบสามารถเข้าถึงคลาวด์ได้ตลอด 24 ชั่วโมง พวกเขาจึงจะคอยแก้ไขปัญหาที่อาจเกิดขึ้นได้
9. คุณมีระเบียบการจัดการกับการละเมิดข้อมูลอย่างไรบ้าง?
ตั้งคำถามว่าผู้ให้บริการเคยถูกละเมิดข้อมูลอย่างไรบ้าง การละเมิดข้อมูลส่งผลกระทบอย่างไรบ้าง และผู้ให้บริการใช้มาตรการอะไรเพื่อป้องกันไม่ให้เกิดเหตุการณ์นี้อีก สอบถามให้ชัดเจนว่าผู้ให้บริการจะแจ้งเตือนเร็วเพียงใดเมื่อเกิดการละเมิดข้อมูลในคลาวด์ และพวกเขาจะจัดการกับปัญหานี้อย่างไรบ้าง นอกจากนี้ ควรหาคำตอบเกี่ยวกับประกันภัยหรือเงินชดเชยหากคุณขาดทุนจากการละเมิดข้อมูลในคลาวด์ด้วย
10. มองหาผู้ให้บริการที่มีประวัติด้านความปลอดภัยของคลาวด์ดีเยี่ยม
ผู้ให้บริการคลาวด์ที่คุณเลือกร่วมงานด้วยมีโอกาสที่จะมีมาตรการด้านความปลอดภัยที่ดี และมอบความปลอดภัยที่ครอบคลุมกว่าที่ธุรกิจส่วนใหญ่มีอยู่ แต่ผู้ให้บริการนั้นๆ อาจไม่สามารถปกป้องข้อมูลของลูกค้าได้ดีพอหรือไม่มีความเชี่ยวชาญในการตอบสนองความต้องการที่เฉพาะเจาะจง สิ่งที่พวกเขาทำได้ดีในอดีตไม่ได้เป็นตัวชี้วัดอนาคตเสมอไป แต่หากผู้ให้บริการมีชื่อเสียงแง่บวกต่อการให้บริการด้านความปลอดภัย พวกเขาก็น่าจะคงมาตรฐานนั้นเอาไว้อย่างต่อเนื่อง
ที่มา: RICOH USA
News & Events
Keep up to date
- 09ธ.ค.
ลงทะเบียนฟรี งานสัมมนาออนไลน์จากริโก้ Beyond the Limits: Cloud-Powered Security, Networks, and Data Analytics
- 06ธ.ค.
ริโก้ประเทศไทยได้รับโล่ผู้ประกอบการที่ได้รับการรับรองเครื่องหมายฉลากเขียวของผลิตภัณฑ์เครื่องถ่ายเอกสารต่อเนื่องมากกว่า 20 ปี พร้อมเกียรติบัตรผู้ได้รับการรับรองฉลากเขียวประจำปี จากสถาบันสิ่งแวดล้อมไทย (TEI)
- 04ธ.ค.
ริโก้ได้รับคัดเลือกให้เป็นหนึ่งใน "นายจ้างยอดเยี่ยมแห่งเอเชียแปซิฟิก ประจำปี 2025" โดย Financial Times
- 14พ.ย.
เครื่องพิมพ์มัลติฟังก์ชัน IM C320F จากริโก้คว้ารางวัล Pick Award ประจำปี 2567 จาก Keypoint Intelligence