Crowded Cloud e-services: Trust and Security สุรางคณา วายุภาพ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) 12 ก.ย. 2555

หัวข้อ Cloud (คลาวด์) และบริการด้านสารสนเทศ ทำไมคลาวด์จึงมีแนวโน้มที่จะได้รับความนิยม การรักษาความมั่นคงปลอดภัยระบบสารสนเทศขององค์กร ในกรณีที่ใช้บริการคลาวด์ ประเด็นที่ผู้ใช้บริการควรตระหนัก ความน่าเชื่อถือและข้อกำหนดทางกฏหมาย ความพยายาม: มาตรฐานสำหรับผู้ให้บริการคลาวด์

Cloud (คลาวด์) Cloud คือ – “…a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction. “ (จากเอกสาร SP800-145 ของ NIST) หรือตามที่เข้าใจกันโดยทั่วไป คือ – “the use of computing resources (hardware and software) that are delivered as a service over a network (typically the Internet)” (จาก wikipedia ก.ย. 55)

บริการด้านสารสนเทศ กับ เทคโนโลยีคลาวด์ Infrastructure as a service (IaaS) Platform as a service (PaaS) Software as a service (SaaS) Storage as a service (STaaS) Security as a service (SECaaS) Data as a service (DaaS) Test environment as a service (TEaaS) Desktop as a service (DaaS) API as a service (APIaaS) IaaS = ให้บริการเครื่องแม่ข่ายและเครือข่าย PaaS = เครื่องแม่ข่ายที่มี OS แล้ว SaaS = ให้บริการ Application เช่น Email, Blog STaaS = ให้บริการพื้นที่เก็บข้อมูล เช่น Dropbox, iCloud (Apple) SECaaS = ให้บริการระบบรักษาความมั่นคงปลอดภัย DaaS = ให้บริการเนื้อข้อมูล (ไม่ใช่ที่เก็บข้อมูล) TEaaS = ให้บริการระบบทดสอบ เช่นเครื่องแม่ข่ายสำหรับทดสอบ Application DaaS = Virtual Desktop ในลักษณะคล้ายกับ Thin Client APIaaS = API = Application Programming Interface ใช้สำหรับให้ Application เรียกใช้งาน APIaaS จะมีลักษณะคล้าย Web service รวมแล้ว Cloud สามารถให้บริการได้แทบทุกอย่างที่มีอยู่ในระบบสารสนเทศทั่วไป ที่มา: http://en.wikipedia.org/wiki/Cloud_computing

ทำไมคลาวด์จึงมีแนวโน้มที่จะได้รับความนิยม On-demand ผู้ให้บริการเป็นผู้ลงทุนในโครงสร้างพื้นฐานของบริการ ผู้ใช้จ่ายค่าบริการตามความจำเป็นในการใช้บริการ ผู้ใช้งานสามารถเปลี่ยนแปลงรูปแบบและขนาดของบริการได้ตามความต้องการ เช่น การเพิ่มจำนวน CPU ขนาดหน่วยความจำ หรือเพิ่มระบบสำรองได้ตามภาระงานที่เปลี่ยนแปลง Shared resources ลดต้นทุนในการดำเนินการของผู้ให้บริการ เนื่องจากเทคโนโลยีรองรับให้ผู้ให้บริหารสามารถจัดการทรัพยากรอย่างมีประสิทธิภาพ เช่น เทคโนโลยี Virtual Machine เทคโนโลยีการแบ่งการประมวลผล (Dynamic Workload) เป็นต้น Rapidly provisioning with minimal effort ระยะเวลาในส่งมอบบริการให้กับผู้ใช้บริการน้อยลง เนื่องจากมีอุปกรณ์ฮาร์ดแวร์จัดเตรียมไว้พร้อมให้บริการแล้ว ผู้ใช้บริการสามารถสั่งงานและควบคุมบริการที่ใช้งานได้ด้วยตนเอง (ส่วนใหญ่เป็นลักษณะ Customer Self-service) ที่มา: เอกสาร NIST SP800-145 Definition of Cloud Computing, ก.ย. 54

การรักษาความมั่นคงปลอดภัยระบบสารสนเทศขององค์กร Internet องค์กรออกแบบและบริหารจัดการระบบรักษาความมั่นคงปลอดภัยเองทั้งหมด เช่น ISMS – นโยบาย, ข้อปฏิบัติ ด้านกายภาพ – เจ้าหน้าที่รักษาความปลอดภัย ห้องมั่นคง ด้านเทคนิค – Anti-virus Firewall IDS IPS SIEM Honeypot เป็นต้น ข้อมูลและสินทรัพย์ด้านสารสนเทศทั้งหมดอยู่ในพื้นที่ที่องค์กรควบคุมได้ทั้งหมด รูปแบบดั้งเดิมของระบบในองค์กร ที่องค์กรเป็นเจ้าของระบบเครือข่าย และเครื่องแม่ข่าย ข้อมูลที่สำคัญจะอยุ่ภายในพื้นที่ที่สามารถควบคุมดูแลได้ 100% สามารถติดตั้งระบบป้องกัน หรือควบคุมนโยบายการปฏิบัติงานกับข้อมูลได้โดยอิสระ Firewall ทำหน้าที่ป้องกันการโจมตีผ่านช่องทางบริการเครือข่ายที่ติดต่อกับอินเทอร์เน็ต IDS – Intrusion Detection System ทำหน้าที่ตรวจจับภัยคุกคามที่เกิดขึ้นกับระบบสารสนเทศขององค์กร IPS – Intrusion Prevention System ทำหน้าที่ป้องกันและระงับภัยคุกคามที่เกิดขึ้นกับระบบสารสนเทศขององค์กร SIEM (เอส ไอ อี เอ็ม) – Security Information and Event Management ทำหน้าที่วิเคราะห์ภัยคุกคามที่เกิดขึ้นกับข้อมูล Log ของระบบสารสนเทศขององค์กร

การรักษาความมั่นคงปลอดภัยกับระบบสารสนเทศขององค์กร Internet ข้อมูลขององค์กรอยู่ในระบบที่ดูแลและบริหารจัดการโดยผู้ให้บริการคลาวด์ ซึ่งเป็นระบบที่มีใช้งานร่วมกันหลายองค์กร เจ้าของข้อมูลไม่สามารถควบคุมหรือแม้แต่รับทราบได้ ระบบรักษาความมั่นคงปลอดภัยขององค์กร ไม่สามารถปกป้องข้อมูลสารสนเทศขององค์กรในบริการคลาวด์ได้ เนื่องจากข้อมูลสารสนเทศขององค์กรอยู่นอกขอบเขตขององค์กร ในรูปแบบ Cloud ข้อมูลขององค์กรที่ขึ้นไปอยู่ใน Cloud แล้ว อาจไม่สามารถระบุได้แน่ชัดว่าไปอยู่ที่ใด หรือยู่ภายใต้ระบบใด ถึงแม้มุมมองของผุ้ใช้งานจะไม่เปลี่ยนแปลง แต่ความมั่นคงปลอดภัยของข้อมูลอาจเป็นสิ่งที่ต้องพิจารณาว่า ข้อมูลนั้นได้รับการปฏิบัติจากผู้ให้บริการอย่างเหมาะสมหรือไม่ การกระจายของข้อมูลไปตาม Node ต่างๆ ของผู้ให้บริการนั้นก็อาจเกิดขึ้นได้ เนื่องจากผู้ให้บริการต้องการ Redundancy/High Availability จะมีโอกาสหรือไม่ที่บาง Node อาจมีความมั่นคงปลอดภัยที่ด้อยกว่า หรือการเคลื่อนที่ของข้อมูลอาจทำให้ข้อมูลรั่วไหล หรืออาจเกิดการเปลี่ยนแปลงในข้อมูลอย่างไม่พึงประสงค์ได้

ประเด็นที่ผู้ใช้บริการควรตระหนัก Gartner การลักลอบเข้าถึงข้อมูลโดยผู้ดูแลระบบ ความสอดล้องกับข้อกำหนด และมาตรฐาน ความมั่นคงปลอดภัยในการจัดเก็บข้อมูลของผู้ใช้บริการ การควบคุมการเข้าถึงระหว่างผู้ใช้บริการด้วยกัน การกู้ข้อมูล การตรวจสอบในกรณีที่เกิดปัญหาด้านกฎหมาย เช่นการทำ Digital Forensics ความสามารถในการย้ายระบบสารสนเทศเมื่อจำเป็นต้องเปลี่ยนผู้ให้บริการ Microsoft ความพร้อมใช้งานของระบบเครือข่ายขององค์กรที่ใช้เข้าถึงบริการคลาวด์ ความเชี่ยวชาญของผู้ให้บริการ การกู้ข้อมูล และแผนความต่อเนื่องทางธุรกิจ ความสามารถในการรับมือกับเหตุฉุกเฉิน ความน่าเชื่อถือ และความโปร่งใสของการบริหารจัดการบริการคลาวด์ การเข้าถึงข้อมูลของผู้ให้บริการ รวมถึงการเข้าถึงทางกายภาพ (Physical access) การลักลอบเข้าถึงโดยผู้ดูแลระบบ - ผู้ดูแลระบบจะเข้าถึงข้อมูลของหน่วยงานรัฐโดยมิชอบได้หรือไม่ ความสอดล้องกับข้อกำหนด และมาตรฐาน จากที่กล่าวไปแล้วว่า มาตรฐานและข้อกำหนดต่างๆ จำเป็นต้องมีการปรับเพื่อให้สอดคล้องกับรูปแบบของ Cloud การจัดเก็บข้อมูลของผู้ใช้บริการ ข้อมูลที่อยู่ใน Cloud แท้จริงอยู่ที่ใด มีความมั่นคงปลอดภัยหรือไม่อย่างไร การควบคุมการเข้าถึงระหว่างผู้ใช้บริการด้วยกัน เนื่องจากเป็น Shared environment การกำหนดสิทธิ์ระหว่างผู้ใช้บริการแต่ละรายใช้วิธีใด มีความมั่นคงปลอดภัยระดับใด หากหน่วยงานของรัฐใช้บริการ Cloud อยู่ เอกชนที่ใช้งาน Cloud เดียวกันสามารถเข้าถึงข้อมูลของรัฐโดยมิชอบได้หรือไม่ การกู้ข้อมูล ถ้ามีความจำเป็นต้องกู้คืนข้อมูล สามารถทำได้หรือไม่ ระดับใด (กู้บางส่วนได้หรือไม่ หรือต้องกู้ทั้งหมด) การตรวจสอบในกรณีที่เกิดปัญหาด้านกฏหมาย วิธีการสืบสวนโดยอาศัยหลักฐานทางดิจิทัลบน Cloud จะต้องอาศัยแนวคิดที่แตกต่างจากระบบปกติ เนื่องจากข้อมูลที่อยู่บนระบบไม่มีสถานที่อยู่แน่ชัด ความสามารถในการย้ายระบบ - หากผู้ให้บริการมีปัญหา เช่นเลิกกิจการ หรือมีการเปลี่ยนแปลงที่หน่วยงานของรัฐที่ใช้บริการจะต้องย้ายระบบของตนเองออกไป สามารถทำได้หรือไม่ ยากง่ายอย่างไร ที่มา: http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853 ที่มา: http://technet.microsoft.com/en-us/magazine/hh536219.aspx

บริการคลาวด์ : ความน่าเชื่อถือและข้อกำหนดทางกฏหมาย มาตรฐาน หรือข้อกำหนดด้านความมั่นคงปลอดภัย ยังไม่ครอบคลุมบริการคลาวด์ ISO/IEC 27002:2005 Information Security Management System NIST SP800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems ประกาศแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ จะพบข้อสังเกต เช่น การควบคุมการเข้าถึงของผู้ใช้งาน (User access management) เป็นไปได้ยาก หรือมีประเด็นที่อาจเป็นข้อสงสัยได้ว่า มีผู้อื่นสามารถเข้าถึงข้อมูลได้หรือไม่ เนื่องจากเป็นรูปแบบ Shared environment การแบ่งแยกเครือข่าย (Segregation in networks) ไม่สามารถทำได้โดยสมบูรณ์ เนื่องจากส่วนใหญ่บริการคลาวด์พึ่งพิงบริการเครือข่ายอินเทอร์เน็ตในการเข้าถึงบริการ Privacy เป็นประเด็นที่สำคัญ การควบคุมการเข้าถึงของผู้ใช้งาน (User access management) เป็นไปได้ยาก หรือมีประเด็นที่อาจเป็นข้อสงสัยได้ว่า มีผู้อื่นสามารถเข้าถึงข้อมูลได้หรือไม่ เนื่องจากเป็นรูปแบบ Shared environment การแบ่งแยกเครือข่าย (Segregation in networks) อาจไม่สามารถทำได้โดยสมบูรณ์ เนื่องจากเป็น Shared environment ดังที่กล่าวแล้ว

มาตรการความมั่นคงปลอดภัยด้านสารสนเทศตามกฎหมาย พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ ๒๕๔๔ มาตรา ๓๕ หน่วยงานโครงสร้างพื้นฐาน/หน่วยงานของรัฐ มาตรา ๒๕ วิธีการแบบปลอดภัย พ.ร.ฎ. การกำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ ๒๕๔๙ พ.ร.ฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ ๒๕๔๙ มาตรา ๓๕ หน่วยงานภาครัฐ มาตรา ๒๕ หน่วยงานที่ถือเป็นโครงสร้างพื้นฐานฯ ประกาศ คกก. เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานภาครัฐ ๒๕๕๓ ISO/IEC 27001:2005

มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (มาตรา ๗) (๑) การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ (๒) การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ในส่วนการบริหารจัดการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ทั้งภายในและภายนอกหน่วยงานหรือองค์กร (๓) การบริหารจัดการทรัพย์สินสารสนเทศ (๔) การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (๕) การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (๖) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ (๗) การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ (๘) การจัดหาหรือจัดให้มี การพัฒนา และการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ (๙) การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์ หรือไม่อาจคาดคิด (๑๐) การบริหารจัดการด้านการบริการหรือการดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความต่อเนื่อง (๑๑) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใด ๆ รวมทั้งข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ISO/IEC 27001:2005 ไม่มีข้อไหนพูดถึง cloud security เลย

ความพยายาม: มาตรฐานสำหรับผู้ให้บริการคลาวด์ การตรวจประเมิน SAS 70 Type II Statement on Auditing Standards พัฒนาโดย American Institute of Certified Public Accountants (AICPA) เน้นการรายงานประสิทธิภาพ (Effectiveness) ของมาตรการด้านความมั่นคงปลอดภัยกับบริการคลาวด์ SANS ระบุว่ายังอาจไม่เพียงพอในการรับรองความมั่นคงปลอดภัย CloudAudit A6: Automated Audit, Assertion, Assessment, and Assurance เสนอแนวทางในการตรวจประเมินและรับรองที่เป็นมาตรฐาน สำหรับผู้ให้บริการคลาวด์ อาศัยมาตรการด้านความมั่นคงปลอดภัย 98 ข้อของ Cloud Security Alliance (CSA) ISO 27001/27002 ข้อกำหนดบางส่วนสามารถนำมาประยุกต์ใช้ได้ เช่น การใช้บริการสารสนเทศจากหน่วยงานภายนอก เนื่องจากเป็นรูปแบบที่ใกล้เคียงกับบริการคลาวด์มากที่สุด มาตรฐานการตรวจประเมินใน Cloud สำหรับองค์กรผุ้ใช้งาน Cloud อาจเที่ยบเคียงได้กับการใช้บริการ IT จากหน่วยงานภายนอก ซึ่งต้องมีการพิจารณาสัญญาการให้บริการ จาอย่างไรก้ตาม ในแง่มุมของผุ้ให้บริการแล้ว การตรวจประเมินเพื่อรับรองความน่าเชื่อถือของการให้บริการอาจมีรายละเอียดที่ต่างออกไป เพราะรูปแบบการทำงานของ Cloud มีความซับซ้อนกว่ารูปแบบของ Infrastructure ปกติมาก

ขอบคุณ