หน้าแรก > คุย.....Cloud, คุย....Security > เทคโนโลยีคลาวน์ที่ควรรู้

เทคโนโลยีคลาวน์ที่ควรรู้

จากการศึกษาของทีมงานของฮารูน เมียร์ ผู้อำนวยการฝ่ายเทคนิคของ SensePost บริษัทที่ปรึกษาด้านความปลอดภัยไอทีแสดงให้เห็นว่า บริษัทต่างๆ มักไม่ตรวจสอบอินสแต็นซ์ของเวอร์ชวลแมชชีนที่บางเจ้ามีให้ อินสแต็นซ์ที่มุ่งร้ายสามารถเป็นม้าโทรจันลอบเข้าสู่ระบบเครือข่ายภายในบริษัทได้ง่าย ด้วยการคำนึงถึงหลุมพรางเหล่านี้ ต่อไปคือห้าบทเรียนจากไฟล์พรีเซนเทชันที่งานประชุมฯ

1. คลาวด์ได้รับการคุ้มครองทางกฎหมายน้อยมาก: บริษัททั้งหลายต้องตระหนักว่า ข้อมูลในคลาวด์ได้รับการคุ้มครองทางกฎหมายน้อยมาก รัฐบาลหรืออัยการที่มุ่งในเรื่องการสืบค้นข้อมูลอิเล็กทรอนิกส์ มีสิทธิ์ที่จะเข้าค้นข้อมูลได้ทันทีโดยไม่ต้องขอหมายศาล

“ผู้ให้บริการคลาวด์กลับเป็นฝ่ายที่กังวลในเรื่องการปกป้องตัวเอง แทนที่จะเป็นลูกค้า” อเล็กซ์ สตามอส ประธานที่ปรึกษาด้านความปลอดภัยของ iSec Partners กล่าว “ฉะนั้นอย่าคาดหวังว่าผู้ให้บริการจะเขียน SLA เอื้อประโยชน์ในทางกฎหมายแก่คุณ”

“บริษัทผู้ให้บริการคลาวด์ทั้งหลายมีความกระตือรือร้นสูง และมีแผนกกฎหมายที่ฝึกฝนมาอย่างดี” สตามอส กล่าว “ด้วยเหตุนี้ SLA ที่คุณยอมรับเมื่อจรดปลายปากกาเซ็นแทบจะไม่มีประโยชน์อะไรกับคุณเลย”

“หากใครสักคนบุกยึดข้อมูล เพียงเพราะความผิดพลาดของผู้ให้บริการแล้ว ลูกค้าต้องยอมรับว่าไม่ใช่ความรับผิดชอบของผู้ให้บริการ หรือหากข้อมูลสูญหายเนื่องจากความผิดพลาดของดาต้าเซ็นเตอร์ ผู้ให้บริการก็ไม่มีพันธะที่ต้องทำอะไรให้ลูกค้าทั้งสิ้น” สตามอส กล่าว “คงจะดีไม่น้อย ถ้ามีสักประโยคที่ระบุว่าพวกเขาจะพยายามช่วยเหลืออะไรคุณบ้าง”

“คงเป็นเรื่องดี ถ้าใน SLA มีประโยคที่ว่าหากมีปัญหาด้านความมั่นคงปลอดภัยเกิดขึ้น พวกเขาจะพยายามช่วยคุณลุกก้าวเดินอีกครั้ง” สตามอส กล่าว “แต่ดูเหมือนจะมีช่องว่างระหว่างทีมกฎหมายเลือดเย็น กับจริยธรรมอันอบอุ่นของผู้ให้บริการมากเสียเหลือเกิน”

2. คุณไม่ได้เป็นเจ้าของฮาร์ดแวร์เอง: บริษัทลูกค้าที่ปรารถนาจะตรวจสอบผู้ให้บริการของตน และดำเนินการทดสอบโดยลำพังต้องท่องให้ขึ้นใจว่า พวกเขาไม่ใช่เจ้าของฮาร์ดแวร์ การลงมือตรวจสอบหาช่องโหว่หรือ Penetration Test จำเป็นต้องได้รับอนุญาตอย่างเป็นทางการจากผู้ให้บริการคลาวด์ก่อน มิเช่นนั้นจะถือว่าลูกค้าเป็นผู้บุกรุกระบบของผู้ให้บริการเสียเอง

ขณะที่ SLA บางฉบับอย่างเช่นของ Amazon ระบุว่าลูกค้าสามารถดำเนินการทดสอบซอฟต์แวร์ที่รันอยู่บนระบบของผู้ให้บริการได้ แต่ต้องขออนุญาตอย่างเป็นลายลักษณ์อักษร

“หากคุณถูกสั่งให้ทำ Penetration Test แอพพลิเคชันในคลาวด์ ขอแนะนำให้คุณขอรับใบอนุญาตเป็นลายลักษณ์อักษรจากผู้มีอำนาจในบริษัทคุณด้วย” เขากล่าว “เพราะในทางกฎหมาย เอกสารที่เป็นลายลักษณ์อักษรถือเป็นหลักฐานที่สำคัญมากในการปกป้องตัวเองในศาล”

3. นโยบายที่เข้มงวด และการฝึกอบรมผู้ใช้ล้วนขาดไม่ได้: ในขณะที่คลาวด์คอมพิวติ้งให้ประโยชน์อนันต์ เช่น สามารถให้เข้าถึงข้อมูลจากที่ใดก็ได้ หรือปลดภาระการดูแลระบบออกจากตัวเอง แต่บริการที่เปิดตลอด 24 ชั่วโมงก็ย่อมหมายถึงฟิชชิ่งที่เข้าโจมตีผู้ใช้ที่บ้านสำเร็จไปแล้ว สามารถที่จะตามมาคุกคามบริษัทที่ผู้ใช้รายนั้นทำงานอยู่ด้วย

“เพราะฉะนั้น การสั่งสอนผู้ใช้ให้รู้จักภัยอันตรายไม่เพียงเพื่อปกป้องตัวเขาเอง แต่รวมถึงบริษัทด้วยนั้นคือสิ่งสำคัญที่ต้องทำ” สตามอส กล่าว “เป็นการยากมากที่จะสอนผู้ใช้ที่ไม่มีหัวเทคนิคให้รู้จักวิธีระวังฟิชชิ่ง แต่ความจริงของเรื่องนี้ คือด้วยโมเดล Software-as-a-Service การโจมตีแบบฟิชชิ่งจะกลายเป็นบางสิ่งที่ไม่ใช่ปัญหาส่วนบุคคล แต่จะเป็นภัยที่คุกคามทั้งบริษัทเลยทีเดียว”

4. อย่าเชื่อมั่นความปลอดภัยในอินสแต็นซ์ของแมชชีน: เมื่อใช้เวอร์ชวลแมชชีนจากผู้ให้บริการ อย่างเช่น อินสแต็นซ์ของเธิร์ดปาร์ตี้ที่สร้างขึ้นบนโครงสร้างพื้นฐานของ Amazon Elastic Cloud Computing (EC2) ลูกค้าไม่ควรเชื่อมั่นความปลอดภัยในระบบเด็ดขาด

นักวิจัยของ SensePost ได้ตรวจสอบอินสแต็นซ์ของเวอร์ชวลแมชชีนที่พรีคอนฟิกไว้จำนวนหนึ่ง และค้นพบคีย์พิสูจน์ยืนยันตัวผู้ใช้ค้างอยู่ในแคช ตลอดจนข้อมูลบัตรเครดิต และโค้ดที่มีแนวโน้มว่าอันตรายซุกซ่อนอยู่ในระบบ อย่างไรก็ตาม พวกเขาพบว่าลูกค้าส่วนใหญ่ไม่ได้ตระหนักถึงข้อบกพร่องด้านความปลอดภัย ของการใช้อิมเมจของแมชชีนที่สร้างขึ้นโดยผู้พัฒนาเธิร์ดปาร์ตี้เลย

“ลูกค้าบางส่วนได้วางเซิร์ฟเวอร์พิสูจน์ยืนยันตัวผู้ใช้ทั้งเครื่องไว้บนอิมเมจด้วยซ้ำ” เมียร์ กล่าว “บริษัทลูกค้าควรสร้างอิมเมจของตัวเองขึ้นสำหรับใช้ภายใน หรือป้องกันตัวเองทั้งทางเทคนิคและกฎหมายจากผู้พัฒนาเธิร์ดปาร์ตี้ที่มีแนวโน้มเป็นภัย”

5. เปลี่ยนสมมติฐานของคุณเสียใหม่:ในทุกกรณี เมื่อพิจารณาถึงความปลอดภัย ผู้จัดการฝ่ายเทคโนโลยีสารสนเทศของบริษัทต่างๆ จำเป็นต้องทบทวนสมมติฐานของตนที่มีต่อคลาวด์เสียใหม่ ยกตัวอย่างเช่น เมื่อจะติดตั้งแอพพลิเคชันเพื่อทำงานบนอินสแต็นซ์ในดาต้าเซ็นเตอร์เสมือนจริง ฟีเจอร์ต่างๆ ที่พึ่งพาการสร้างตัวเลขสุ่มไม่จำเป็นต้องทำงานอย่างที่คาดหมายไว้ ปัญหาคือว่าระบบเสมือนจริงมีปริมาณความสุ่มของระบบ หรือเอ็นโทรปี น้อยกว่าระบบที่เป็นเครื่องจริงๆ ดังนั้นหมายเลขที่สุ่มออกมาจึงแทบจะคาดเดาได้ทุกครั้ง เป็นต้น

 
บทความโดย วิทู หงสกุล
หมวดหมู่:คุย.....Cloud, คุย....Security
  1. ยังไม่มีความเห็น
  1. No trackbacks yet.

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: