เพราะ Cloud เสี่ยงต่อการโดน Cyberattack ได้ง่าย ถ้าไม่มีการจัดการระบบ Security ที่ดีพอ และการรับมือภัยคุกคาม Cloud ที่ดีที่สุดก็คือ ระบบป้องกันที่มาในรูปของกลยุทธ์การรักษาความปลอดภัย (Security Strategy) ซึ่งต้องรู้ก่อนว่าคนร้ายจะโจมตีมาทางไหน ในที่นี้ก็จะเป็นส่วนของ API, Container และ Application ที่สร้างโดย DevOps และต่อไปนี้คือ 5 ขั้นตอนพื้นฐานที่ต้องรู้!


1. ลดความเสี่ยงการโดนจู่โจมที่ Cloud API


API เป็นส่วนสำคัญของ Cloud Application แต่ขณะเดียวกันก็ถูกโจมตีได้ง่าย ซึ่งการป้องกันนั้น Software Developer จะต้องพุ่งความสนใจไปที่ระบบความปลอดภัยของ API โดยเฉพาะ ใช้ Sessionless Security อย่าง HTTP Authentication, Token-Based Authentication, หรือ Web Service Security เป็นต้น


นอกจากนี้องค์กรควรมีระบบป้องกันเสริมให้กับ API Platform อีกชั้นหนึ่ง โดยการทำ API Testing จะช่วยให้ Cloud Provider และ Developer เข้าใจความคิดของ Hacker และรู้ว่าส่วนไหนของระบบที่ยังมีจุดอ่อนอยู่ อีกทั้งยังสามารถป้องกันภัยทั่วไปอื่นๆ ได้ เช่น Injection Attack เป็นต้น และขั้นต่อไปก็คือ การติดตั้ง Logging System เพื่อ Monitor ระบบการทำงาน


2. ปิดล็อคระบบ Cloud ให้อยู่หมัดด้วย Penetration Testing Plan

วิธีที่ดีที่สุดเมื่อจะตั้งระบบ Security ให้กับ Cloud คือต้องคิดในมุมของ Hacker สามารถทำได้ด้วย Penetration Testing หรือ การทดสอบเจาะระบบโดยแฮ็คเกอร์ โดยการทดสอบนี้จะลดความเสี่ยงด้านความปลอดภัย และทำให้องค์กรสามารถระบุช่องโหว่ของตนได้


แต่การทำ Penetration Testing คล้ายกับการจู่โจม ควรติดต่อกับทาง Cloud Provider ก่อนทุกครั้งเพื่อป้องกันการเข้าใจผิด หลังจากนั้นก็วางแผนต่อไปโดยสร้างสิ่งที่จะทดสอบขึ้นมา เช่น Server และ Application ต่างๆ


หากไม่แน่ใจว่าอะไรเป็นจุดอ่อนของระบบ หรือจะเริ่มที่ตรงไหน ขอแนะนำให้อ้างอิงกับลิสต์รายการใน Open Web Application Security Project ซึ่งเป็น Top 10 ช่องโหว่ด้าน Security ใน WebApplication นอกจากนี้ Tool อย่าง Metasploit หรือ Tinfoil Security Scanning ก็สามารถนำมาช่วยทำ Penetration Test ได้เป็นอย่างดี


การทำ Penetration Test นั้น สามารถเกิดอันตรายจากภายในร้ายแรงไม่แพ้อันตรายจากภายนอกเช่นกัน


3. การรักษาความปลอดภัย Docker จัดว่าต้องทำ


ปัจจุบันมีการนำ Docker ไปใช้มากขึ้นเรื่อยๆ เช่นเดียวกันกับความกังวลด้านการรักษาความปลอดภัย Container ก็เพิ่มมากตามไปด้วย แม้ว่า Developer จะสามารถสั่งการทำงาน Container Instance หลายตัวได้ แต่ Container ก็มี Security Patch ในระดับที่แตกต่างกัน ดังนั้นจึงมีการพัฒนาเครื่องมือและระบบมาแก้ปัญหาความปลอดภัยโดยเฉพาะ


ตัวอย่างเช่น Docker Content Trust จะใช้ Public Key Infrastructure เพื่อป้องกันไม่ให้ Malicious Container สร้างความเสียหายเป็นวงกว้าง โดยในการรักษาความปลอดภัยให้กับ Docker นั้น จำเป็นต้องอ่านเอกสาร  Docker security benchmark เพื่อหาวิธีที่ตอบโจทย์ที่สุด และต้องวางแผนการรักษาความปลอดภัยให้ดี เลือกใช้ Tool รวมทั้งรูปแบบวิธีการให้ถูกต้องและเหมาะสม


4. ระวังความเสี่ยง Shadow IT จะสูงขึ้นในระบบ Hybrid Cloud


Shadow IT หรือ ภัยคุกคามเบื้องหลังของระบบ IT เข้ามาใน Cloud ทุกรูปแบบ แต่มันอาจจะเป็นอันตรายมากเป็นพิเศษใน Hybrid Cloud เพราะ Workflow ในลักษณะของ Hybrid Cloud จะทำให้ SaaS Application ที่เป็น Shadow IT สามารถเชื่อมต่อกับ Structure Application และก่อความเสียหายให้กับ Compliance Requirement ได้ หรือที่เรียกกันว่า “Bandit Hybridization”


ความเสี่ยงการเกิด Bandit Hybridization เพิ่มมากขึ้นตามจำนวนการใช้งาน SaaS ส่วนวิธีป้องกัน คือ ต้องทำ Compliance Review ตรวจสอบ contract, services, และ interface ของ  SaaS ทั้งหมด หรืออีกหนทางหนึ่ง คือ การให้ User ใช้งาน SaaS ภายใต้เงื่อนไขว่า SaaS จะต้องไม่มีการเชื่อมต่อหรือแลกเปลี่ยนข้อมูลกับ Application ตัวอื่นขององค์กร


5. ในขั้นตอน DevOps ต้องมีระบบ Security อยู่ด้วย


ระบบรักษาความปลอดภัยไม่ควรเป็นส่วนที่เสริมเข้ามาภายหลัง แต่ต้องเป็นส่วนหนึ่งของ DevOps Process เลย ระบบรักษาความปลอดภัยควรใส่ลงไปในทุกขั้นตอนของการพัฒนา Application และในแต่ละส่วนของ Application ถึงแม้ว่าอาจมีค่าใช้สูงในตอนเริ่มต้น แต่มันก็คุ้มค่า เพราะนอกจากจะลดความเสี่ยงแล้ว ยังทำให้มีระบบรักษาความปลอดภัยที่นำไปปรับใช้ได้ง่ายด้วย


ระบบรักษาความปลอดภัยจำเป็นต้องแทรกอยู่ใน 5 ขั้นตอนหลักของ DevOps คือ Development, Testing, Integration, Deployment และ Operation นอกจากนี้ Developer ไม่เพียงแค่ออกแบบ Application ให้มีความปลอดภัยเท่านั้น ยังต้อง Operate มันในเชิงรุกอีกด้วย โดยการป้องกันเพิ่มอีกชั้นจะช่วยลดความเสี่ยงของ Cloud ไปได้มาก