Cloud ปลอดภัยหรือ ?

ผมเก็บภาพกลุ่มเมฆเหนือน่านฟ้าประเทศมาเลเซีย ของวันที่ 10 กันยายน พ.ศ. 2551

ผมไม่ได้หายไปไหนนะครับ เนื่องจากสัปดาห์ที่ผ่านมาผมป่วย พอหายป่วยผมก็กลับไปเมืองไทยเพื่อเยี่ยมคุณแม่ และก็ลูกเมีย และพอกลับมาสิงคโปร์ผมก็มีสอบ พอสอบเสร็จสมองยังไม่พร้อมจะลุยงานและมีเรื่องกังวลบางอย่างก็เลยเล่นๆเรียนๆเพื่อพักผ่อนสมอง และก็ได้เที่ยว GridAsia2008 ด้วย ว่างๆจะเอาภาพในงานมาให้ดู แต่อีกกิจกรรมในสัปดาห์นี้ของผมก็คือการเขียนข่าวลง Blognone

ล่าสุดผมเขียนข่าวชื่อ จับ Xen เข้ากลุ่มเมฆด้วย C3 รายละเอียดก็ไปติดตามในข่าวเอาเองแล้วกันครับ แต่เพื่อเป็นประโยชน์แก่ผู้ที่กำลังติดสินใจใช้ Cloud ที่ยังกังวลอยู่ว่า Cloud Computing มันปลอดภัยหรือเปล่า หรือผู้ที่สนใจในเรื่อง security ผมจึงขออนุญาตคัดลอก comment ของผมเองที่พิมพ์ไว้ในข่าวนี้เพื่อแสดงความคิดเห็นในเรื่อง security กับ reliability  และขออนุญาตคัดลอก comment ของคุณ gudgee ซึ่งเป็นผู้ตั้งคำถามดีๆนี้ด้วยครับ


เริ่มต้นคุณ gudgee ได้ตั้งคำถามว่า

ถามหน่อยครับพวกที่ให้บริการ Cloud Computing, Data Center ให้ความอุ่นใจแก่ลูกค้าอย่างไร ในเรื่องของความปลอดภัยของข้อมูลว่าจะไม่รั่วไหลออกไปครับ

เมื่อผมเจอคำถาม ผมก็อุทานในใจเลยว่า “เยี่ยม” ถามคำถามได้โดนใจ และเป็นคำถามสุดฮิตของหลายๆคน ผมจึงตอบตามสไตล์การตอบของผมเช่นเดิม ซึ่งทุกคนที่อ่าน blog ของผมเป็นประจำก็คงจะเคยชินแล้ว คำตอบผมก็ไม่ยาวอะไรเลยครับ ลองอ่านดู

คำถามดีมากครับ และก็เป็นคำถามที่คนที่อยากใช้ Cloud เขาก็กังวลอย่างมาก เพราะ Cloud คือการฝากระบบไอที (บางส่วนหรือทั้งหมด) ไว้กับคนอื่น แน่นอน ข้อมูลของเราอยู่นอก firewall ของบริษัท และไปตกอยู่ในความดูแลของ Cloud Provider

ขอโทษด้วยนะครับ ที่แม้ว่าคุณขอถามหน่อย แต่ผมคงไม่ตอบหน่อยๆ ผมอยากเสนอข้อคิดในหลายๆกรณีครับ

เรื่องความปลอดภัย (security) กับความน่าเชื่อถือ (reliability) เป็นเรื่องที่คนกังวลมากว่า Cloud มันดีหรือ ? จริงๆเรื่อง Cloud มันไม่ต่างจากธุรกิจแบบ outsourcing หรือการที่เราจ้างบุคลากรหรือบริษัทอื่นๆเข้ามาทำงานแทนเรา เช่นดูแลระบบแทนเรา แม้แต่บริษัทการเงินกับธนาคารหลายๆแห่งก็ยังจ้างบริษัทอื่นๆมาดูแลไอทีให้ เป็นต้น

อีกกรณี ถ้าหากแม้เราไม่ outsourcing เราไปจ้างพนักงานมาดูแลระบบให้ ให้เป็นพนักงานเราเอง เรามั่นใจได้ไงว่าเขาจะไม่ทำข้อมูลเรารั่วไหล ถ้าพนักงานคนนั้นเป็น admin/root เรามั่นใจอย่างไรว่าเขาไม่แอบเก็บข้อมูลในเซิร์ฟเวอร์ไปขายที่อื่นหรือเอาไปใช้ประโยชน์เอง หรือบริษัทบัตรเครดิต หน่วยงานทะเบียนราษฎร์ คุณมั่นใจอย่างไรว่าเขาจะไม่เปิดเผยลูกค้าหรือประชาชน หรือแม้แต่ sale ที่ลาออกจากบริษัทไป เรามั่นใจได้อย่างไรว่าเขาจะไม่แย่งลูกค้าเดิมของบริษัทเดิมและเอาข้อมูลลับของบริษัทไปขาย นี่คือสัญญาน่ะครับ และก็จรรยาบรรณ ถ้าไม่งั้น ระบบธุรกิจคงล่มจมไปนานแล้วครับ เพราะเรากังวลไปหมด ท้ายสุดเราก็ต้องผลิตลูกหลาน ทำธุรกิจครอบครัวตั้งบริษัทเท่านั้น

อีกเคสคือเรื่องกองทัพทหาร แน่นอน กองทัพทหารควรต้องดูแล data center ตัวเอง แต่จะเชื่อใจได้อย่างไรว่าคนที่เราให้มาดูแล จะไม่ทำให้ข้อมูลรั่วไหล รั่วเมื่อไหร่ ประเทศก็ฉิบหาย ไม่ต้องคิดเลยว่าเขาจะเอาข้อมูลส่งผ่านเทคโนโลยีการสื่อสาร เอาแค่นาย X เข้าร่วมประชุมวางแผนยุทธศาสตร์การทหาร จากนั้น X เอาแผนคร่าวๆไปเล่าให้เมียฟังที่บ้าน แบบกระซิบข้างหูเบาๆ จากนั้นเมียไปเล่าให้เพื่อนๆฟังตอนเล่นไพ่ อ่าว … รั่วแล้ว เป็นการรั่วที่ไม่พึ่งเทคโน

ว่าด้วยเรื่องความน่าเชื่อถือหรือ reliability เช่นธนาคารและประกันชีวิต ที่เราเอาเงินหรือทรัพย์สินไปฝาก เรามั่นใจได้อย่างไรว่าธนาคารจะดูแลเงินทองเราได้ตลอดรอดฝั่ง แม้บอกว่าที่ผ่านๆมารัฐก็ประคองตัวให้ แต่มองอีกแง่ว่ารัฐน่าเชื่อถือมากแค่ไหนล่ะครับ รัฐบาลก็เหมือนกับบริษัทประกันชีวิตและธนาคารที่ดูแลปากท้องคนทั้งชาติน่ะครับ เรามั่นใจรัฐได้มากแค่ไหน

แม้เราจะมีระบบ audit เพื่อติดตามว่าใครทำอะไร เปิดข้อมูลตรงไหน หรือติดกล้องวงจร ถ้าขโมยข้อมูลไปแล้ว เอาไปขายแล้ว แต่เรามาจับได้ภายหลัง เราก็คงทำได้แค่ลงโทษตามกฎบริษัทหรือส่งตัวดำเนินคดีตามกฎหมาย แต่ข้อมูลที่รั่วก็กู้ไม่ได้อยู่ดี

ผมกำลังชี้ให้เห็นว่า จะ outsource หรือไม่ outsource เราก็ไว้ใจอะไรไม่ได้ 100% (พวก Provider เลยโฆษณาว่าเชื่อใจได้ 99.999%) ดังนั้น โลกธุรกิจมันดำเนินไปได้ถึงทุกวันนี้ เพราะเราอาศัยความเชื่อใจและใช้จรรยาบรรณในการประกอบอาชีพ แต่ในมุมมองลูกค้าย่อมต้องการความเชื่อมั่นในเรื่องความปลอดภัยกันทุกคน ดังนั้น Cloud Provider ทำให้ได้ก็คือการรับประกัน เช่น การทำข้อตกลงหรือสัญญา เป็นต้น และอีกวิธีคือมาตรฐานการดูแลระบบที่บริษัทต้องยึดมั่นก่อนเปิดให้บริการ ควรมีกฎหมายการจดทะเบียนบริษัท Cloud Provider ว่าต้องมีเทคโนโลยีความปลอดภัยอะไรบ้าง มี certification อะไรบ้าง มี ISO อะไรบ้าง มีทรัพย์สินค้ำประกันแค่ไหน เป็นบริษัทที่ได้เครดิตทางการเงินมากน้อยแค่ไหน ถ้าไม่ผ่าน กฎหมายก็ไม่ให้เปิดบริษัท และอีกเรื่องคือรัฐจะคุ้มครองผู้บริโภคอย่างไร เช่นศูนย์ดูแลความประพฤติของ Cloud Provider และรับเรื่องร้องทุกข์ของ Cloud Consumer คล้ายๆ สคบ. แหละครับ

ในความคิดเห็นส่วนตัวของผมนะครับ ก่อนที่บริษัทหรือ Cloud Customer จะเลือกใช้ Cloud ต้องมาตัดสินใจดูก่อนว่า อะไรคือข้อมูลสำคัญ (sensitive data) และสำคัญต่อธุรกิจมากแค่ไหน หรือสำคัญจนกระทั่งขาดตกไปนิดแล้วทำให้องค์กรต้องล่ม หากเป็นข้อมูลสำคัญเช่นนี้ เราคงไม่เลือกฝากไว้กับ Cloud Provider ตลอดจนคำนึงถึงความคุ้มค่าว่าลงทุนกับ Cloud Provider หรือลงทุนเองแล้วจะคุ้มกว่ากัน และคุ้มที่จะเสียงมากน้อยแค่ไหน ดังนั้น ความเสี่ยงก็ต้องเอามาเป็นค่าใช้จ่ายในอนาคตที่คาดไม่ถึงด้วย ธุรกิจหรือตำแหน่งงานอย่างการให้คำปรึกษาการลงทุนและวิเคราะห์ความเสี่ยง (Risk Analysis) ก็เป็นอีกทางเลือกหนึ่งสำหรับผู้บริหารที่ต้องการคำตอบในเรื่องนี้

อีกกรณีคือ เราเป็นบริษัทที่มีกำลังซื้อไอทีอยู่แล้วและระบบไอทีคือหัวใจสำคัญของบริษัท โอเค เราไม่เลือก Cloud ครับ หรือแม้แต่เลือก Cloud เพื่อใช้สำหรับบางงาน เช่นบริการ Gmail ที่อนุญาติให้จด domain ของเมล์ให้เป็นขององค์กรอื่นได้ ไม่จำเป็นต้อง @gmail ถ้าเป็นบริษัทที่ต้องติดต่อกับพนักงาน มีการซื้อขายของ ประชุมผ่านอีเมล์ หลายบริษัทคงไม่เลือกใช้ webmail อย่าง Gmail แต่ถ้าเป็นมหาลัยหรือโรงเรียน ที่การติดต่อสื่อสารเน้นการเรียนการสอน และการสื่อสารระหว่างนักเรียน/นักศึกษา/อาจารย์ เขาอาจ outsource ระบบ mail ให้กับ Gmail ก็ได้ ซึ่งปัจจุบันมีมหาลัยหลายแห่งก็ทำเช่นนี้ (ไอเดียและข้อมูลนี้เป็นคำพูดของ CTO ของ Citrix พูดให้ผมฟัง) อีกกรณีอย่าง Google Video วิดีโอมันขนาดใหญ่มาก และหากเป็นวิดีโอแนะนำสินค้า หรือวิดีโอสำหรับสำรองข้อมูลจากกล้องรักษาความปลอดภัย บริษัทก็ฝากวิดีโอกับ Google Video ไปเถอะครับ (ไม่ได้โฆษณานะ ยกตัวอย่างเฉยๆ)

แต่หากเป็นข้อมูลที่สำคัญเช่นกัน เช่นเราเป็นบริษัทขายของออนไลน์ และเป็นสินค้าที่ไม่ใช่ผลิตภ้ณฑ์ของตนเอง หรือแม้แต่ของตนเองแต่ก็ยอมเปิดเผยข้อมูลได้ (เช่น ขายกล้วยออนไลน์ ขาย OTOP ออนไลน์) มีข้อมูลเช่น ข้อมูลสินค้า รูปภาพสินค้า วิดีโอสาธิตสินค้า ข้อมูลการซื้อขายสินค้า ข้อมูลการจัดส่งสินค้า ข้อมูลลูกค้า เป็นต้น เราก็มาตัดสินใจแล้วครับว่าจะยอมฝากระบบไอทีเช่นนี้ไว้กับตัวหรือไว้กับ Provider หากเราบวกลบคูณหารแล้วมันคุ้มค่าที่จะฝาก คุ้มกว่ามีเซิร์ฟเวอร์ตั้งที่บริษัท ไหนต้องจ่ายค่าไฟ ค่าแอร์ ค่า net ค่าเช่า lease line ค่า IP ค่า admin เป็นต้น โอเคเราเลือก Provider อ่า…มันก็ไม่ต่างจากธุรกิจ Web hosting เลยครับ เราไว้ใจ Web hosting ได้ ทำไมเราจะไว้ใจ Cloud Provider ไม่ได้ล่ะครับ ถ้ากลัวว่า Cloud Provider เขาจะขโมยข้อมูลเราเพื่อประโยชน์ของตน แล้ว Web hosting ไม่สามารถขโมยได้เลยหรือ ?

ส่วนการปกป้อง data center ให้ไกลจาก hacker อันนี้ Cloud Provider ก็ต้องใช้วิธีและเทคโนโลยีความปลอดภัยอย่าง Firewall, Cryptography, Digital Signature เป็นต้น และมองอีกแง่ว่าถ้าหากลูกค้าเป็น SME หรือมีทุนน้อย การลงทุนกับ security สำหรับ IT ของบริษัทคงไม่ใช่ถูกๆแน่นอน ต้องใช้คนมีความชำนาญดูแลระบบด้วย และก็กลับมาเรื่องเดิม เราเชื่อ admin ที่ดูแลระบบให้เรามากแค่ไหน ?

ผมลืมกล่าวไปอีกเรื่อง คือ Virtualization กับ Security ครับ

Virtualization สามารถเพิ่มความปลอดภัยได้ระดับหนึ่ง นั่นคือ

สำหรับ Provider ที่อนุญาตให้ Cloud Customer สร้าง Virtual Machine Image ด้วยตัวเอง แล้วอัพโหลดมารันที่ Provider (เช่นของ Amazon EC2) วิธีการนี้ Customer มีสิทธิ์เต็มที่ในการกำหนดความปลอดภัยให้กับ Machine ของตน (ที่เป็นคอมพิวเตอร์เสมือน) และ Customer เป็น admin ของ Virtual machine (ไม่ใช่ admin ของ Provider) ดังนั้น การที่ admin ของ Provider จะลักลอบ log-in เข้ามาที่เครื่องคอมของลูกค้าย่อมเป็นเรื่องยาก และการจะเปิดเผยข้อมูลของช่องทางการติดต่อสื่อสารระหว่าง Virtual Machine กับภายนอก ลูกค้าสามารถใช้ Encryption ขั้นสูงในการปกป้องข้อมูลได้ ดังนั้น ความปลอดภัยของระบบไอทีของ Customer จึงถูกคุ้มครองระดับหนึ่ง

เพื่อความปลอดภัยขั้นสูงอีกระดับ คือการใช้ระบบแจ้งเตือน (alert) และระบบ audit วิธีการนี้ต้องใช้กับ data center ที่มี admin มากกว่่า 1 คน แต่ละคนต้องตรวจสอบกันและกันผ่านระบบ audit และหาก admin คนหนึ่งพยายามแตะต้อง Virtual machine image ของ Customer ระบบสามารถแจ้งเตือนไปยัง admin คนอื่นๆให้ทราบได้ และการที่จะทำการอะไรสักอย่าง admin ทุกคนต้องใส่ password (หรือ scan ลายนิ้วมือ / smart card) พร้อมๆกัน ดังนั้น ควรมี admin เพิ่มมาอีกระดับ อาจจะเป็นผู้บริหารระดับสูงหรือคนที่ไว้ใจได้มากที่สุดของบริษัทให้ทำหน้าที่ตรวจสอบพฤติกรรมของ admin ระดับล่างผ่านระบบ alert + audit ดังกล่าว และเป็นคนเดียวที่สามารถควบคุมการเปิด/ปิดระบบ alert + audit ได้

อีกวิธีคือ Monitoring ทั้งห้อง data center เลยครับ ซึ่งบริษัทหลายแห่งก็ทำกันอยู่

คือ เอากล้องจับทุกจุดของห้อง + กล้อง omni นึกถึง Mission Impossible ภาคแรกไว้ครับ เรียกว่าใครเดินเข้าห้อง ไอน้ำลายกระเด็นก็สามารถจับได้ เอากล้องเล็กๆติดไว้ทุกจุดไม่ให้ใครเห็นก็ได้ และมีพนักงานรักษาความปลอดภัยนั่งจ้องตลอดเลยครับ ทำผิดเมื่อไหร่ก็เจอดี

บริษัทหลายบริษัท บังคับให้ data center สามารถถูกควบคุมผ่านคอมพิวเตอร์เครื่องเดียวหรือผ่าน subnet เดียวเท่านั้น และเครื่องพวกนี้จะถูกจับหน้าจอ (capture) ไว้ตลอดเวลา ดังนั้น admin พิมพ์อะไรไปก็เห็นหมดครับ

ยุค Cloud Computing อาชีพ admin จะถูกกดดันมากๆ แต่ก็รายได้ดีมากๆเช่นกัน โดนสอดส่องตลอดเวลา พิมพ์คำสั่งด่าเจ้านายบน shell ไม่ได้อีกต่อไป🙂 แน่… เคยทำใช่หรือเปล่า

มี blog ชื่อ Cloud Security ที่ถกกันเรื่องความปลอดภัยกับ Cloud โดยเฉพาะครับ เขามีข้อคิดหลายอย่างที่น่าสนใจมาก ว่างๆลองเข้าไปอ่านดูครับ

Sivadon Chaisiri (JavaBoom)
https://javaboom.wordpress.com

โดยสรุปนะครับ เรื่องความปลอดภัย (security) เป็นเรื่องยิ่งใหญ่มากในการดำเนินธุรกิจ บริษัท Cloud Provider ต้องใช้เทคโนโลยีในการปกป้องข้อมูลของลูกค้า รวมทั้งให้คำมั่นสัญญาอย่างการรับประกันเพื่อสร้างความมั่นใจให้กับลูกค้า และพร้อมที่จะรับผิดชอบเมื่อไม่สามารถให้ความปลอดภัยแก่ระบบไอทีของลูกค้าได้ จะรับผิดชอบมากน้อยขนาดไหนก็ตามแต่ข้อตกลงที่ได้สัญญาไว้กับลูกค้า ดังนั้น ทั้ง ลูกค้าจำเป็นต้องอ่านข้อตกลงนี้ให้ละเอียดก่อนตัดสินใจเลือกใช้บริการ Provider ส่วนภาครัฐเองควรมีบทบาทในการกำหนดกฎหมายในการดำเนินธุรกิจของ Cloud Provider และต้องให้ความคุ้มครองผู้บริโภคบริการ Cloud Computing ด้วย

ท้ายที่สุดนี้ผมขอจบด้วยคำว่า “จริยธรรมในการประกอบอาชีพ” หรือ “จรรยาบรรณ” อันเป็นสิ่งที่สำคัญที่สุดในการรักษาความปลอดภัยให้กับข้อมูลของลูกค้า และทุกๆคนที่ไม่ใช่ Cloud Provider เองก็ต้องมีจริยธรรมด้วย หากไร้ซึ่งจริยธรรม ต่อให้ปกป้องข้อมูลด้วยเทคโนโลยีล้ำหน้าขนาดไหนก็ตาม ก็ยังมีคน (ที่ไร้ซึ่งจริยธรรม) สามารถเจาะข้อมูลได้อยู่ดี

5 thoughts on “Cloud ปลอดภัยหรือ ?

  1. โอ้วว กำลังสงสัยเรื่องนี้อยู่พอดีเลย ขอบคุณมากครับ

  2. สวัสดีครับ คุณ boom ขอแสดง ความยินดีกับต่างๆ ของคุณที่ประสบความสำเร็จด้วยนะครับ ผมเพิ่งเริ่มเข้ามาอ่าน คุณ boom เป็นคนเก่งนะครับ ขอชื่นชมและเอาเป็นแบบอย่าง

    ตอนนี้ ผม สนใจ Cloud Computing ผมกำลังจะเริ่มเรียนปริญญาโท นะครับ ตอนนี้คิดจะทำงาน วิจัย นะครับ คุยกับอาจารย์ว่าจะงาน ทาง Cloud Computing อาจารย์ ก็ให้ไปทำรายงาน เกี่ยวด้านใดด้านหนึ่ง ของ Cloud Computing แล้วบอก ว่าจะพูดถึง
    security in Cloud Computing ต้อง ทำรายงาน และ นำเสนอ ด้วย ครับ

    แต่ตอนนี้ผมมีปัญหา นะครับ ผมอ่านมาเยอะนะครับ แต่ก็ยังสรุปไม่ได้ซีกที่ ว่าควรจะ
    ลำดับเนื้อหาความสำคัญ ยังไงดี รบกวน คุณ boom ช่วย แนะนำให้หน่อยได้ไหมครับ
    ขอบคุณมากครับ
    เต้

  3. สวัสดีครับ คุณ boom ขอแสดง ความยินดีกับต่างๆ ของคุณที่ประสบความสำเร็จด้วยนะครับ ผมเพิ่งเริ่มเข้ามาอ่าน คุณ boom เป็นคนเก่งนะครับ ขอชื่นชมและเอาเป็นแบบอย่าง

    ตอนนี้ ผม สนใจ Cloud Computing ผมกำลังจะเริ่มเรียนปริญญาโท นะครับ ตอนนี้คิดจะทำงาน วิจัย นะครับ คุยกับอาจารย์ว่าจะงาน ทาง Cloud Computing อาจารย์ ก็ให้ไปทำรายงาน เกี่ยวด้านใดด้านหนึ่ง ของ Cloud Computing แล้วบอก ว่าจะพูดถึง
    security in Cloud Computing ต้อง ทำรายงาน และ นำเสนอ ด้วย ครับ วันที่ 15/10/09

    แต่ตอนนี้ผมมีปัญหา นะครับ ผมอ่านมาเยอะนะครับ แต่ก็ยังสรุปไม่ได้ซีกที่ ว่าควรจะ
    ลำดับเนื้อหาความสำคัญ ยังไงดี รบกวน คุณ boom ช่วย แนะนำให้หน่อยได้ไหมครับ
    ขอบคุณมากครับ
    เต้

    • สวัสดีครับ

      ถ้าจะให้ผมแนะนำ คงแนะนำแบบละเอียดไม่ได้น่ะครับ เดี๋ยวผมตอบทางอีเมลแล้วกันนะครับ

  4. Tae says:

    ขอบคุณนะครับ ผมกำลังหาข้อมูลไปทำรายงานอยู่พอดี อ่านไปก็เพลินได้ความรู้ด้วย

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s