Defense in Depth : The multi-layer มีความสำคัญในปัจจุบันอย่างไร ?

การกำหนดมาตรการในการป้องกันสินทรัพย์ด้านไอทีหลายท่านมักจะคิดเรื่องของ “ Security Control ” ในแบบต่าง ๆ อาทิเช่น firewall  หรือ อุปกรณ์ที่จะช่วยในการป้องกันในส่วนของ infrastructure , web application firewall สำหรับป้องกันส่วนของระบบ

e-Commerce หรือ แม้กระทั่งการป้องกันระบบโครงสร้างพื้นฐานจาก DDoS ที่ยังคงเป็นปัญหาที่เกิดขึ้นอยู่ทุก ๆ วัน จากที่กล่าวมานั้นเป็นเพียงส่วนหนึ่งเท่านั้น security control นั้นยังมีอยู่อีกมากมาย ซึ่งมีให้พวกเราเลือกใช้ตามความเหมาะสมกับระบบไอที ของแต่ละองค์กร

ในแง่ของการออกแบบระบบรักษาความปลอดภัยที่ดี เราคงต้องมาดูว่า security control แต่ละตัวทำงานอย่างไร และที่สำคัญ คือ สามารถออกแบบให้ security control แต่ละชนิดทำงานเสริมกันได้อย่างไร สิ่งนี้เป็นเรื่องที่ต้องคำนึงถึงอย่างมากด้วยเหตุที่ว่า ถ้าไม่ได้มีการวางแผนกันให้ดีจะกลายเป็นว่า security control แต่ละตัวอาจไม่สามารถทำงานร่วมกันได้ หรือ มีการทำงานซ้ำซ้อนกัน ก็เป็นเรื่องที่พบเห็นได้บ่อย สิ่งต่าง ๆ เหล่านี้จะทำให้องค์กรสูญเสียงบประมาณไปโดยไม่จำเป็น ดังนั้น การวางกลยุทธ์เป็นสิ่งที่สำคัญ

กลับมาเรื่องของ security บน cloud กันบ้าง ในเมื่อ cloud เป็นส่วนต่อขายเพิ่มเติมออกจาก on-premise datacenter ดังนั้น มาตรการในการป้องกันภัยคุกคามนั้นก็ต้องมีพร้อมเช่นกัน สำหรับองค์กรต่าง ๆ อาจมี cloud delivery model ที่ต่างกันออกไป เช่น บางองค์กรอาจเป็นแบบผสมผสาน ที่เรียกว่า hybrid cloud , บางองค์กรเป็น private cloud หรือ บางที่อาจเป็น public cloud ในแต่ละ delivery model ต้องมีการวางมาตรการด้าน security ที่ครอบคลุม คำถาม คือ ระดับของความปลอดภัยของ cloud นั้น มีความปลอดภัยแค่ไหน สำหรับ บทความนี้เราจะพูดถึง Amazon Web Service (AWS) ซึ่งเป็นผู้นำในด้าน public cloud ในปัจจุบันนี้ แน่นอนว่าเรื่องของ security control ที่มีอยู่บน AWS นั้นเรียกได้ว่ามีสมบูรณ์พร้อมให้ผู้ใช้งานเลือกใช้งานได้ตามความเหมาะสม สำหรับแนวทางของ AWS ในส่วนของ security นั้นจะมี Share Responsibility Model เป็นสองส่วน คือ Security of the Cloud และ Security in the Cloud หมายความว่า ในส่วนของ Datacenter ที่ให้บริการนั้นทาง AWS จะเป็นผู้รับผิดชอบในการดูแลให้ผู้ใช้งาน ทั้งในเรื่องของ การกำกับดูแลของ regulation and compliance รวมไปถึงความปลอดภัยจาก cyber attach ที่จะมาโจมตี datacenter เราสามารถมั่นใจได้ว่าระดับความปลอดภัยนั้นอยู่ในระดับ world class ไม่ต้องกังวลในเรื่อง SLA หรือ ความต่อเนื่องในการให้บริการ ส่วนที่ทางองค์กรต้องกำหนดนโยบายด้านความปลอดภัยเองนั้นจะเป็นส่วนของ. Security of the Cloud  ในส่วนนี้ คือ ส่วนที่สามารถวางแผน การเลือก security control ที่มีพร้อมใช้งานบน AWS มาใช้ในการป้องกัน asset ต่าง ๆ ที่ทำงานอยู่ใน AWS Environment

AWS Security Services and Defense-in-Depth

Defense in Depth นั้นก็คือ การวางแนวทางการป้องกัน หรือ ระบบ  security แบบ layered security กล่าวคือ เป็นการป้องกันเป็นชั้น ๆ มีหลาย ๆ ส่วน ด้วยการออกแบบระบบ security ในลักษณะนี้จะทำให้ Hacker หรือ ผู้บุกรุก ที่พยายาม compromise ระบบงานขององค์กรทำได้ยากมากขึ้น จากที่เราทราบกันดีว่า AWS เองมี Resource ที่พร้อมใช้งานหลากหลาย รวมถึง “Security Control” ที่มีให้เลือกใช้ตามความเหมาะสมในแต่ละ environment ทั้งนี้ ยังสามารถเลือกใช้งาน security control ของ 3rd party ที่มีให้เลือกใช้ใน AWS marketplace (https://aws.amazon.com/marketplace)

Figure 1 : แนวคิดของ Defense in Depth บน AWS environment  สามารถเริ่มได้จากส่วนของ

Figure 1: จะแสดงถึง Security Control ในแต่ละ Layer ที่มีพร้อมใช้งาน เราสามารถใช้ Security Control ดังกล่าวมาทำงานร่วมกันเพื่อสร้างแนวป้องกันแบบ Defense in Depth ในแบบที่เหมาะสมกับระบบงานขององค์กรได้ สำหรับ Security Control อื่น ๆ สามารถดูรายละเอียดเพิ่มเติมได้จาก https://aws.amazon.com/products/security/?nc=sn&loc=2

Figure 2: AWS Security Services

แนวคิดในการออกแบบ

Figure 3: From the Simple Structure vs Best Security Approach using Defense in Depth concept

จากไอเดียใน Figure 3: จะเห็นว่าทุก ๆ transaction จาก user จะไม่สามารถผ่านเข้ามาที่ VPC ได้โดยตรง แต่จะถูกกรองตั้งแต่ AWS CloudFront และมีการ Enable WAF เพื่อป้องกันการโจมตีผ่านทางช่องทาง WEB โดยเราสามารถใช้ “ OWASP template ” ในการสร้าง Rules สำหรับส่วนของ WAF ได้ จากในส่วนของ VPC Layer จะทำ “ Logical Isolated Network Environment”  รวมไปถึงการทำ zoning เป็น private-subnet และ public-subnet เพื่อกำหนดการเข้าถึงในระดับ network layer จะเห็นได้ว่า web application และ database จะอยู่คนละ zone กันเพื่อการกำหนดนโยบายการเข้าถึงอย่างเหมาะสม การเชื่อมต่อจาก corporate-admin จะเชื่อมต่อผ่าน VPN โดยอนุญาตให้เข้าถึงแต่ละ Instance ผ่านทาง Bastion Server (remote access) เท่านั้น และจะมีการเก็บ logging สำหรับทุก ๆ activity

ภายใน VPC แต่ละ Instance ที่อยู่ใน private-subnet และ public-subnet ก็จะมีการรักษาความปลอดภัยเช่นกัน ไม่ว่าจะเป็น security group ที่ทำหน้าที่เสมือนเป็น firewall , encryption , การกำหนด backup policy , กำหนด IAM roles นโยบายการเข้าถึง EC2 instance และอื่น ๆ เราจะเห็นได้ว่าการสร้างสภาพแวดล้อมการทำงานที่มีความปลอดภัยสูง ทั้งในด้าน Availability และ Security โดยอาศัยแนวทางของ Defense in Depth บน AWS นั้นไม่ใช่เรื่องที่เป็นไปไม่ได้ บน AWS นั้นมีความพร้อมในด้านความปลอดภัยสามารถยกระดับให้ระบบงานของคุณมีความปลอดภัยสูง และง่ายต่อการดูแล ทั้งนี้ทุกอย่างอยู่ที่การเลือกใช้งาน Service ที่เหมาะสม หากท่านที่สนใจ หรือ ต้องการข้อมูลเพิ่มเติม สามารถติดต่อทีมงาน eCloudvalley (ECV) ได้ครับ ทางทีมงานยินดีให้คำปรึกษา

Pornsit Palilai
Head of Cloud Professional Service
eCloudvalley Technology (Thailand)

Service ที่แนะนำ : ลองใช้ CloudFront (CDN) คู่กับ AWS WAF ดูสิครับ แนวทางในการใช้ Service ทั้งสองตัวนี้ คือ การ Filter Traffic และเพิ่มความเร็วในการ Access eCommerce Website หรือ Web Application ของคุณ โดยที่ traffic จะถูก screen ก่อนที่จะเข้ามาถึงส่วนของ VPC Layer  (https://aws.amazon.com/waf/ , https://aws.amazon.com/cloudfront/)

2021-10-26T17:11:46+00:00 2021/10/26 |Insight|