Data State & Data Protection — ทำความเข้าใจกับ Data State และการปกป้องข้อมูล
โดยทั่วไปเรามักคุ้นเคยกับอุปกรณ์ประเภท Security Control ต่างๆ ที่ถูกนำมาใช้งานในด้านการป้องกัน หรือรักษาความปลอดภัยให้กับองค์กร ซึ่งในแต่ละองค์กรมีความต้องการที่ไม่เหมือนกันซะทีเดียว ความต้องการที่แตกต่างนี้จะขึ้นอยู่กับลักษณะของธุรกิจ หรือ Business Objective ที่แตกต่างกัน ไม่มีสูตรสำเร็จที่สามารถนำไปใช้งานสำหรับแต่ละธุรกิจได้ 100% แต่ก็ยังมี Guideline หรือ Best Practice ให้พอที่จะสามารถนำมาประยุกต์ใช้ได้อยู่บ้าง ทำให้เราพอที่จะอุ่นใจได้บ้าง ยังพอที่จะมีแนวทางในการออกแบบระบบรักษาความปลอดภัยให้กับองค์กร แต่ในการที่เราจะนำเอา Guideline หรือ Best Practice มาใช้ให้เกิดประสิทธิผลสูงสุดนั้น ขึ้นอยู่กับว่าเราทำการบ้านมาดีพอหรือไม่
เราจะต้องเตรียมข้อมูลอะไรบ้าง ต้องรู้อะไรบ้าง ความรู้ความเข้าใจในโครงสร้าง และลักษณะของธุรกิจขององค์กร เป็นสิ่งแรกที่ต้องทำความเข้าใจ โดยจะต้องคำนึงถึง Business Objective เป็นหลัก ระบบจะต้องมีความสมดุลย์ หรือ Balance กันระหว่า Business กับ Security ระบบรักษาความปลอดภัยที่ดีจะต้องไม่สร้างปัญหา และส่งผลกระทบต่อธุรกิจ สิ่งนี้เป็นสิ่งที่สำคัญในอันดับแรกๆ ในการวางโครงสร้างของระบบ IT Security โดยเราจะต้องนึกเสมอว่า “Security need to be align with Business Objective” สำหรับเรื่องที่ผมจะพูดถึงในบทความนี้จะเป็นเรื่องของ Data State ซึ่งเป็นส่วนที่สำคัญอย่างหนึ่งที่พวกเราจะต้องเข้าใจเพื่อให้สามารถเลือกใช้ Security Control ได้อย่างถูกต้องเหมาะสม และมีวัตถุประสงค์ชัดเจนในการออกแบบ/วางโครงสร้างระบบ IT Security
สำหรับ Data State ที่เราพบเห็นกันประจำจะมีอยู่ 3 ส่วน คือ Data at Rest, Data in Transit, Data in Use โดยหากเราทำความเข้าใจถึงคุณลักษณะของ Data แต่ละประเภทแล้วก็จำทำให้สามารถเลือกใช้ Security Control ได้อย่างถูกต้องเกิดประสิทธิผลสูงสุด
ประเภทของข้อมูลแต่ละชนิดแบ่งตามลักษณะการใช้งาน
Data at Rest เป็น Data หรือ ข้อมูล ที่ถูกจัดเก็บอยู่ใน Storage ขององค์กร อาจเป็น Storage Server, Files Server, Database หรือ ในรูปแบบของ Backup Image เป็นต้น ซึ่งในส่วนนี้อาจเก็บอยู่ในเครื่องคอมพิวเตอร์ของผู้ใช้งานได้เช่นกัน แต่ในที่นี้เราจะกล่าวถึง Data ที่ถูกจัดเก็บบน Server ส่วนกลาง ความต้องการในส่วนนี้จะเป็นเรื่องของความพร้อมในการใช้งานของข้อมูล (Availability), ความถูกต้องของข้อมูลที่ถูกจัดเก็บอยู่บน Server/Storage แต่ละเครื่อง (Data Integrity), และ Confidentiality ที่ว่าด้วยเรื่องของนโยบายของการเข้าถึงข้อมูล โดยจะต้องเป็นผู้ที่ได้รับ authorized เท่านั้น
Data in Transit เป็น Data หรือ ข้อมูลที่ทำการโอนย้ายข้อมูล (data transfer) ระหว่างอุปกรณ์ หรือ ระหว่างระบบ อาทิเช่น การส่งข้อมูลจากคอมพิวเตอร์เครื่องหนึ่ง ไปยังอีกเครื่องหนึ่ง ความต้องการในส่วนนี้จะเป็นเรื่องของการป้องกันข้อมูลระหว่างการจัดส่ง เช่นการใช้ VPN เพื่อป้องกันการดักขโมยข้อมูลระหว่างทาง ในลักษณะของ Man-in-the-Middle เป็นต้น
Data in Use เป็นข้อมูลที่ใช้งานอยู่บนเครื่องคอมพิวเตอร์ของผู้ใช้งาน บางครั้งเราจะเรียกว่าข้อมูลที่อยู่บน Endpoint ของผู้ใช้งาน ในส่วนนี้จะเป็นเรื่องของการใช้งานของผู้ใช้งาน จะพูดในเรื่องของ Confidentiality และ Integrity คือ ข้อมูลจะต้องมีความถูกต้อง และไม่มีการใช้งานผิดวัตถุประสงค์ การใช้งานข้อมูลในส่วนนี้จะเป็นเรื่องของ Email, Internet และการรับ-ส่งข้อมูลผ่านช่องทางต่างๆ โดยใช้คอมพิวเตอร์ของผู้ใช้งาน
การเลือกใช้ Security Control สำหรับข้อมูลแต่ละชนิด
สำหรับ Security Control นั้นมีหลากหลายชนิด แต่ละชนิดจะมีรูปแบบและวัตถุประสงค์ที่แตกต่างกันออกไป เช่น Data Encryption หรือการเข้ารหัสข้อมูลในรูปแบบต่างๆ เป็น Control ที่เกี่ยวข้องกับ Confidentiality ส่วน HASH Functionality จะเป็น Control ที่เกี่ยวข้องกับการตรวจสอบความถูกต้องของข้อมูล หรือ Integrity Proof และ RAID Architecture เป็น Control ที่เกี่ยวข้องกับ Availability
อย่างที่กล่าวมาในข้างต้น เราจะต้องรู้ก่อนว่าข้อมูลแต่ละประเภทตามการใช้งานมีความต้องการอะไรบ้าง
- Data at Rest มีความต้องการในด้าน Availability หรือ จะต้อง Meet Acceptable Level of Performance หมายความว่า ข้อมูลจะต้องพร้อมใช้งานเสมอ
- Data in Transit จะคำนึงถึงเรื่องของความปลอดภัยในการรับ-ส่งข้อมูล การป้องกัน Man-in-the-Middle หรือ การดักขโมยข้อมูลระหว่างการรับ-ส่งข้อมูล โดยที่เราไม่รู้ และ Data in Transit จะคำนึงถึงเรื่องของความถูกต้องไม่ถูกปรับเปลี่ยนแก่ไขระหว่างการรับ-ส่งโดย Unauthorized Modification
- Data in Use จะคำนึงถึงวิธีการใช้งานข้อมูลที่ถูกต้อง ไม่ใช้งานในทางที่ผิด เช่น การเผยแพร่ข้อมูลที่เป็นความลับขององค์กร, การยืนยัน หรือ ป้องกันไม่ให้เกิดการปฏิเสธความรับผิดชอบของข้อมูลที่ทำการส่งไป เรียกว่า Non-Repudiation
เมื่อเราพอเข้าใจถึงข้อมูลที่แบ่งตามประเภทของการใช้งานแล้ว การเลือก Security Control ที่เหมาะสมก็จะเป็นเรื่องง่ายขึ้น โดยในส่วนต่อไปจะเป็น ลักษณะของ idea คร่าวๆ ของการ Mapping Control แต่ละประเภท
Control ที่เกี่ยวข้องกับ Confidentiality
- Encryption ในส่วนของ Data at Rest (Whole Disk Encryption, Database Encryption)
- Encryption ในส่วนของ Data in Transit (IPSec, TLS, PPTP, SSH)
- การกำหนด ACL (Access Control List) สำหรับการเข้าถึงข้อมูล
- และอื่นๆ
Control ที่เกี่ยวข้องกับ Integrity
- Hashing (Data Integrity)
- Configuration Management (System Integrity)
- Physical Access Control
- Digital Signing (Software)
- CRC Function
- และอื่นๆ
Control ที่เกี่ยวข้องกับ Availability
- RAID
- Load Balancing
- Clustering
- Redundancy, Backup และ Recovery
- Co-Location และ DR Site
- Rollback Functions
- Failover Configuration
- และอื่นๆ
Control ต่างๆ ที่กล่าวมาเป็นความสามารถที่มีอยู่บนอุปกรณ์ IT ทั่วไปที่สามารถหยิบจับ เลือกนำมาใช้ได้ อาทิเช่น การใช้ Firewall ในการกำหนด ACL, การใช้งาน VPN เพื่อรักษาความปลอดภัยในการรับ-ส่งข้อมูล, การติดตั้ง Raid Controller หรือ เลือกใช้ Storage ที่มีความสามารถในการรองรับ Raid และระบบ Redundancy, การนำเอา SIEM เข้ามาใช้งานเพื่อ Monitor เหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ หรือแม้กระทั่งการนำเอา Cloud เข้ามาช่วยในเรื่องของการรองรับเหตุการณ์ภัยภิบัติต่างๆ การใช้งาน Backup/Recovery Software สำหรับการป้องกันข้อมูล การเข้ารหาสข้อมูลต่างๆ
จะเห็นว่าการเลือกใช้ Control ต่างๆ ให้เหมาะสมจะมีผลอย่างมากกับ การออกแบบระบบความมั่นคงและความปลอดภัยด้าน IT ประสิทธิภาพ และประสิทธิผล เป็นเรื่องที่สำคัญที่ต้องนำมาประเมินในแง่ของการลงทุน ดังนั้น หากว่าเราทราบว่าเรากำลังวางแผนเพื่อปกป้องอะไร ที่ส่วนไหน และป้องกันอันตรายจากอะไร ก็จะสามารถออกแบบระบบให้สามารถทำงานได้อย่างมีประสิทธิภาพ และตรงตามเป้าหมาย
สุดท้ายนี้มีสิ่งสำคัญอีกสิ่งหนึ่งที่เราจะต้องคำนึงถึง เมื่อต้องการที่จะมีระบบรักษาความปลอดภัยที่ดีๆ สักระบบหนึ่ง สิ่งนั้นคือ ระบบ Security จะต้องไม่ Against Business Objective เด็ดขาด ทั้งคู่จะต้องมีความสมดุลย์ และ Security จะต้องมีความสอดคล้องกับ Business Objective
Pornsit Palilai
Technical Service Manager — Security Consultant
Ingram Micro (Thailand)
