Cloud Computing กับความปลอดภัย
ในประเด็นเรื่องความปลอดภัยนั้น
อันที่จริงในเชิงเทคนิคลูกค้าหรือผู้ใช้บริการสามารถทำได้ในระดับหนึ่ง เช่น การทำ Virtualization โดยลูกค้ามีสิทธิ์เต็มที่ในลักษณะของผู้ดูแลระบบเพื่อการกำหนดความปลอดภัยให้กับเครื่อง
หรือ Virtual Machine ของตน, การใช้ระบบแจ้งเตือนเมื่อมีผู้ดูแลระบบพยายามดูข้อมูลของลูกค้า และการ Monitoring ทั้งห้อง data center จนถึงขั้น capture หน้าจอ admin แต่ทั้งนี้ยังคงมีจุดอ่อนสำคัญที่ผู้ใช้บริการควรตระหนักถึง
นั่นคือ เมื่อเป็นการจ้างให้บุคคลภายนอกเข้ามาดูแลระบบของเรา
เราจะมั่นใจได้อย่างไรว่าคนนั้นจะไม่แอบเก็บข้อมูลไปใช้เพื่อประโยชน์ของตนเองหรือเปิดเผยข้อมูลแก่บุคคลอื่น
ยิ่งถ้าเป็นหน่วยงานที่เกี่ยวข้องกับความมั่นคงของประเทศ
ข้อมูลยิ่งเป็นสิ่งที่สำคัญมากๆ หรือถ้าเป็นองค์กรทางด้านการเงิน
ถึงแม้เราจะมีระบบตรวจสอบ หรือ audit เพื่อติดตามว่าใครทำอะไร
ตรงไหน
แต่เมื่อเกิดเหตุและจับได้ก็คงทำได้แค่ลงโทษตามกฎบริษัทหรือดำเนินคดีตามกฎหมาย
แต่ความเสียหายได้เกิดขึ้นแล้ว อย่างไรก็ตามไม่ว่าจะเป็นการจัดจ้างบุคคลภายนอก (outsourcing) หรือ ใช้บุคลากรภายใน เหตุการณ์เช่นนี้ก็สามารถเกิดขึ้นได้
ดังนั้นเราต่างต้องอาศัยความเชื่อใจและใช้จรรยาบรรณในการประกอบอาชีพ
สิ่งที่ผู้ให้บริการ Cloud หรือ Cloud Provider ทำให้ได้ ก็คือ
การรับประกันสัญญา หรือกำหนดมาตรฐานการดูแลระบบ และยึดมั่นในมาตรฐานนั้น
นอกจากนี้ควรมีการควบคุมการเปิดให้บริการของ Cloud Provider นั่นคือ มีการกำหนดว่าบริษัทที่จะเป็น Cloud Provider ได้ อาจต้องได้รับการรับรอง หรือมี certification อะไรรับรองบ้าง ต้องมี ISO ควบคุม
และต้องมีเทคโนโลยีความปลอดภัยอะไรเสนอต่อลูกค้า (Cloud Consumer) บ้าง เป็นต้น จากปรากฏการณ์ที่มีความสนใจอย่างมากในการประมวลผลแบบก้อนเมฆ
ซึ่งผู้รู้หลายคนมีความเห็นว่าเทคโนโลยีดังกล่าวจะทำการเปลี่ยนแปลงแนวทางการดำเนินธุรกิจทางด้านระบบสารสนเทศในอนาคต
ทางบริษัท Gartner ได้ให้คำแนะนำว่าเทคโนโลยีดังกล่าวก็มีปัญหาที่เกี่ยวข้องกับระบบความมั่นคงปลอดภัยโดยบริษัท Gartner ได้แนะนำว่าควรมีการตรวจประเมินความมั่นคงปลอดภัยของการใช้บริการประเภทดังกล่าวก่อน
โดยได้ให้ข้อมูลเบื้องต้นในสิ่งที่ต้องพึงระวังในแง่ของความมั่งคงปลอดภัยในการใช้งานระบบ Could
Computing ดังต่อไปนี้
1. การเข้าถึงของผู้ใช้งาน
ให้ตรวจสอบว่าผู้ให้บริการประมวลผลแบบก้อนเมฆนั้นมีกระบวนการอย่างไรในการควบคุมผู้บริหารจัดการดูแลระบบซึ่งสามารถเข้าถึงข้อมูลที่สำคัญ
ๆ ในระบบ
เพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงข้อมูลได้
2. การดำเนินการตามมาตรฐานความมั่นคงปลอดภัย
ควรเลือกใช้บริษัทที่ให้บริการประมวลผลแบบก้อนเมฆที่มีการทำการตรวจประเมินโดยผู้ตรวจประเมินจากภายนอกและมีการผ่านกระบวนการรับรองมาตรฐานความมั่นคงปลอดภัย
3. ตำแหน่งของข้อมูล เนื่องจากในระบบการประมวลผลแบบก้อนเมฆนั้น
ข้อมูลสารสนเทศ จะสามารถถูกเก็บไว้ ณ ที่ใดก็ได้
ซึ่งบริษัทผู้ใช้บริการควรทราบว่าข้อมูลของบริษัทมีการเก็บรักษาไว้ที่ใด
และผู้ให้บริการก็ควรจะยึดหลักของกฎหมายที่เกี่ยวข้องกับเรื่องของความเป็นส่วนตัวในแต่ละพื้นที่ด้วย
4. การแยกแยะกลุ่มข้อมูล
เนื่องจากข้อมูลในก้อนเมฆนั้นมีการบันทึกในสภาพแวดล้อมที่ใช้ร่วมกันหลายบริษัท
แต่ละบริษัทควรที่จะสอบถามผู้ให้บริการว่ามีวิธีการอย่างไรในการแยกกลุ่มของข้อมูลและวิธีการใดในการสร้างความมั่นคงปลอดภัยแก่ข้อมูล
การใช้งานเทคนิคการเข้ารหัสข้อมูลสามารถช่วยได้แต่ต้องมีการหลีกเลี่ยงปัญหาข้อมูลสูญหายเนื่องจากเทคนิคการเข้ารหัสด้วย
5. การเก็บกู้ข้อมูล
ต้องมีการสอบถามว่าเมื่อมีข้อมูลสูญหายแล้วบริษัทผู้ให้บริการมีมาตรการอย่างไรในการเก็บกู้ข้อมูลเมื่อเกิดปัญหา
หัวใจสำคัญคือความสามารถในการเก็บกู้ข้อมูลกลับคืนได้ 100% ให้ตรวจสอบว่ามีการบันทึกข้อมูลและโปรแกรมประยุกต์สำรองในหลาย ๆ
สถานที่หรือไม่
6. การสนับสนุนในแง่ของความมั่นคงปลอดภัย
ซึ่งบริษัทผู้ให้บริการประมวลผลแบบก้อนเมฆ ควรที่จะให้บริการสอบสวนกิจกรรมที่ผิดกฎหมาย
โดยเฉพาะอย่างยิ่งการบันทึกข้อมูลการใช้งานระบบและข้อมูลสารสนเทศที่มีแนวโน้มที่จะกระจายยังเครื่องแม่ข่ายหลายเครื่องและศูนย์ข้อมูลหลาย
ๆ แห่ง
7. ความต่อเนื่องของบริการ
ผู้ใช้งานต้องมีการพิจารณาถึงความต่อเนื่องของการให้บริการ โดยเฉพาะความมั่นคงของผู้ให้บริการ
จะเกิดอะไรขึ้นหากบริษัทที่ให้บริการข้อมูลต้องปิดกิจการไปหรือถูกซื้อไป
มีมาตรการอย่างไรในการเรียกข้อมูลคืนกลับมายังบริษัท
หลีกเลี่ยงผู้ให้บริการประมวลผลแบบก้อนเมฆจากบริษัทผู้ให้บริการ
ที่ไม่ยอมเปิดเผยข้อมูลรายละเอียดของความมั่นคงปลอดภัย การดำเนินการตามมาตรฐาน
และความต้องการทางเทคนิคอื่น ๆ
ที่มา: ความปลอดภัย
