EDITOR’S NOTE & CONTENTS
เทศกาลสงกรานต หรือประเพณีปใ หมไทย เพิง่ ผานพนไป ทุกทานคงไดสนุกกัน อยางเต็มที่ ขอใหเปนการเริม่ ตนสิง่ ใหมๆ ทีด่ ตี ลอดไปคะ สำหรับ Bay Newsletter ฉบับนี้ยังคงเต็มไปดวยขอมูลและขาวสารที่เปนประโยชนตอองคกรของทาน เชนเดิม โดยเราไดนำเสนอ ISAACS ซึง่ เปนระบบยืนยันตัวตน (Identity) ทีอ่ อกแบบมาเพือ่ ปองกัน การใชงานอินเทอรเน็ตโดยไมไดรับอนุญาต เหมาะสำหรับองคกรที่ตองการควบคุมการใชงาน และยกระดับการใหบริการอินเทอรเน็ตไดอยางมีประสิทธิภาพ ทานสามารถติดตามรายละเอียด เกีย่ วกับโซลูชนั ดังกลาวนีไ้ ดจากเนือ้ หาดานใน นอกจากนี้ เราขอเปดตัวธุรกิจใหมในนาม Green Cabling เพื่อตอบสนองความตองการของ ลูกคาทางดานดาตาเซ็นเตอรไดอยางครบวงจร (turnkey-data center total-solutions) ดวยทีมงาน ที่มีประสบการณมาอยางยาวนาน เพื่อใหทานไดรับบริการที่ดีที่สุดจากเรา โดยเรามุงเนนการ อนุรกั ษสงิ่ แวดลอมใหควบคไู ปกับความกาวหนาดานเทคโนโลยี z
2 l Bay Computing Newsletter l 6rd Issue
นิดา ตัง้ วงศศริ ,ิ ผจู ดั การทัว่ ไป
NEWS UPDATE
Bay Computing Newsletter l 6rd Issue l 3
COVER STORY
การจัดการชองโหวอยางมีประสิทธิภาพ
ดวยกระบวนการแบบบูรณาการ z โดย Matt Mosher, Senior Vice President Lumension Security
แปลและเรียบเรียงโดย เบย คอมพิวติง้ ผจู ดั จำหนายอยางเปนทางการประจำประเทศไทย
ในบทความนี้ Matt Mosher รองประธานอาวุโสของ Lumension Security จะสรุปความใหคุณเขาใจถึงกระบวนการที่ผสานกันระหวางการสแกนชองโหว (vulnerability scanning) กับความสามารถในการแกไขปญหา (remediation capabilities) ทีป ่ ระสบผลสำเร็จ เพือ ่ ใหแนใจวา องคกรของคุณจะยังคงรักษา สภาพแวดลอมทีป ่ ลอดภัยเอาไวได ในขณะทีส ่ ามารถปฏิบต ั ต ิ ามนโยบายดาน ความปลอดภัย ทัง้ จากภายในและภายนอกองคกรไดดว ย ตลอดหลายปที่ผานมา มีการตรวจพบ ชองโหวทางดานความปลอดภัยเพิ่มขึ้น เปนจำนวนมากในทุกๆ แพลตฟอรม และการใช ประโยชนจากชองโหวดังกลาวของบุคคลบางกลุม ก็ไดทำใหฝายรักษาความปลอดภัยดานไอที (IT Security) และฝ า ยดำเนิ น การด า นไอที (IT Operations) ตกอยูในสถานการณที่ลำบากอยาง ทีไ่ มเคยเปนมากอน ในอดี ต ที่ ผ า นมา ทั้ ง สองที ม ถู ก แยกให ทำงาน ของใครของมัน แบบตางคนตางทำ ฝายรักษา
ความปลอดภัยอาจจะถูกมอบหมายใหพยายามคนหาชองโหวตางๆ ของระบบที่ อ าจเป น สาเหตุ ทำให ร ะบบและโครงสร า งพื้ น ฐานของ องคกรถูกเปดเผยตอบุคคลภายนอกได แลวเมือ่ เขาพบชองโหวเหลานัน้ พวกเขาก็จะสงตอปญหาดังกลาวใหฝายดำเนินการดานไอที ดวยวิธี ที่เปรียบไดเหมือนกับการหวดลูกเทนนิสขามตาขายไปยังผูเลนที่อยู อีกดานหนึ่งโดยไมสนใจใยดี ดานฝายดำเนินการดานไอทีก็อาจจะ ถูกขอใหแกปญ หาดังกลาวในระหวางทีม่ ภี ารกิจทีจ่ ะตองทำในแตละวัน เพื่อทำใหระบบและโครงสรางพื้นฐานขององคกรยังคงทำงานตอไปได ตามปกติ และนั่นอาจจะเปนสิ่งที่ใชไดผลมาตลอดในอดีตที่ผานมา แตสำหรับปญหาของวันนี้ ภัยคุกคามตางๆ เริ่มปรากฏเปนรายชื่อที่ ยาวมากขึน้ เรือ่ ยๆ เอาแคเฉพาะในชวง 3 ปลา สุดก็พอ เพราะจากการ วิจยั ของ McAfee นัน้ ไดพบวาชองโหวทพี่ บในวินโดวสไดเพิม่ ขึน้ กวา 75 เปอรเซ็นต สวนทางฝงแมคอินทอชก็พบชองโหวเพิ่มขึ้นถึงกวา 228 เปอรเซ็นตเลยทีเดียว “ในป 2006 เราไดเห็นการเพิ่มขึ้นของการโจมตีที่ใชประโยชนจาก Zero-day Vulnerability มากขึ้นอยางมีนัยสำคัญ ซึ่งเปนสาเหตุที่ ทำใหระบบและผใู ชงานไมสามารถปกปองตนเองจากการโจมตีดงั กลาว ได เนื่องจากไมมีแพตชสำหรับชวยเหลือนั่นเอง” มาคัส แซชส ได บันทึกเอาไวในชวงปลายป 2006 ในรายงานชือ่ SANS Top 20 ดังนัน้ ไมเพียงแตเจาหนาที่ฝายดำเนินการดานไอทีจะตองแกปญหาเพิ่มขึ้น เทานั้น แตพวกเขายังจะตองแกปญหาดังกลาวภายในกรอบเวลาที่ สั้นลงดวย ในขณะที่จะตองรักษาระดับความพรอมใชงานและความ นาเชือ่ ถือของระบบเอาไวใหไดภายในระดับเดิม ผูเชี่ยวชาญสวนมากตางเชื่อวา หนทางเดียวในการไลตามภัยคุกคาม ใหมๆ ใหทันก็คือ การพัฒนาชุดวิธีการเชิงรุก (proactive set of methodologies) ทีช่ ว ยประสานทีมงานทัง้ 2 ฝายใหมคี วามสัมพันธทดี่ ี
4 l Bay Computing Newsletter l 6rd Issue
COVER STORY ยิ่งขึ้น ดวยการกำจัดคำวา “นั่นเขา นี่เรา” ออกไปจากทัศนคติของ ฝายรักษาความปลอดภัยดานไอทีและฝายดำเนินการดานไอทีเสียใหหมด
อยาหวังพึง่ การ “สแกนแลวแพตช” เพียงอยางเดียว
พอล ซิมสกี้ ผอู ำนวยการอาวุโสฝายการตลาดและกลยุทธ ผลิตภัณฑ ของ Lumension Security มีความเห็นวา กาวแรกในการสรางความ รวมมืออันดีระหวางฝายรักษาความปลอดภัยกับฝายดำเนินการก็คอื การ เปลีย่ นทัศนคติเกีย่ วกับการสแกนหาชองโหว (vulnerability scanning) กับการแกปญหา (remediation) ขององคกรเสียใหม เหตุผลสวนหนึ่ง ทีท่ ำใหวธิ กี ารทีใ่ ชอยใู นปจจุบนั ใชไมไดอกี ตอไปก็เพราะวิธกี ารบริหาร จัดการชองโหวแบบเดิมนัน้ ไมมปี ระสิทธิภาพ “คุณหนีไมพนตองลงเอยกับการที่มีทีมหนึ่งคอยสแกนหาชองโหวและ อีกทีมหนึง่ คอยติดตัง้ แพตช แลวอีกทีมหนึง่ ก็คอยสแกน ...” ในความเปนจริง ชองโหวที่คนพบไมอาจแกไดดวยแพตชเสมอไป บางครั้งตองแกดวย การเปลี่ยนคาคอนฟกูเรชันของระบบ หรือเปลี่ยนนโยบายดานความ ปลอดภัยเสียใหม กลาวคือ แทนที่จะตองมานั่งหาชองโหวที่แตละคนภายในองคกรมีอยู วิธกี ารทีเ่ ปนระบบมากกวานาจะเปนการโฟกัสไปทีก่ ารบังคับใชนโยบาย ที่สามารถลดความเสี่ยงใหกับทรัพยสินขององคกรไดมากกวา โดย ใหระดับความสำคัญไปทีค่ วามวิกฤติของระบบและลำดับความจำเปน หรือความสำคัญทางดานธุรกิจเปนหลัก ซึง่ องคกรจำเปนตองถามตัวเอง วาสถานะดานความปลอดภัยในระดับใดทีพ่ วกเขาตองการ ประสิทธิภาพทีเ่ พิม่ ขึน้ จะชวยใหองคกรไดรบั ผลตอบแทนทีค่ มุ คา รายงาน ของ Gartner เมือ่ ไมนานมานีร้ ะบุวา การอิมพลีเมนตระบบบริหารจัดการ ชองโหวแบบองครวม (integrated vulnerability management program) สามารถชวยองคกรลดอัตราความสำเร็จจากการโจมตีจากภายนอกได ถึงกวา 60 เปอรเซ็นตเลยทีเดียว อยางไรก็ตาม การบริหารจัดการชองโหวจะแตกตางกันออกไปในแตละ ธุรกิจ แตโดยทั่วไปจะมีลักษณะสำคัญที่คลายกันอยูบาง ประการแรก คือจะตองมีการดึงเอาผูมีสวนไดเสียเขามามีสวนรวมใหไดตลอดทั้ง กระบวนการ โดยจะตองเปนผูมีสวนไดเสียที่ถูกตัวถูกคนดวย อันดับ ตอมาก็คือ จะตองมีการกำหนดนโยบายในการรักษาความปลอดภัย เพื่อการบังคับใชภายในองคกร และประการที่สามคือ จะตองมีการใช เครือ่ งมือและวิธกี ารทีจ่ ะทำใหกลมุ งานดานไอทีทงั้ หมดสามารถทำงาน ประสานกันไดดว ยดี
ทำใหผม ู ส ี ว นไดเสียเขามามีสว นรวม
เพื่อใหสามารถดำเนินการไดอยางถูกตอง ผูที่จะมากำหนดนโยบาย จะตองไมเพียงแตเขาใจธุรกิจเทานั้น แตตองเขาใจดวยวา โครงสราง
ประการแรกคือ ตองมีการดึงเอาผมู สี ว นไดเสีย เขามามีสวนรวมใหไดตลอดทั้งกระบวนการ โดยจะตองเปนผูมีสวนไดเสียที่ถูกตัวถูกคน ดวย อันดับตอมาก็คอ ื จะตองมีการกำหนด นโยบายในการรักษาความปลอดภัย เพือ ่ การ ่ ามคือ บังคับใชภายในองคกร และประการทีส จะตองมีการใชเครื่องมือและวิธีการที่จะทำให กลุ ม งานด า นไอที ทั้ ง หมดสามารถทำงาน ประสานกันไดดวยดี พืน้ ฐานทางไอทีสามารถตอบสนองตอธุรกิจไดอยางไร บาง และเนือ่ งจากคงไมมใี ครเพียงคนเดียวทีส่ ามารถ มีความเขาใจเรือ่ งดังกลาวไดทงั้ หมดโดยไมตอ งพึง่ พา ใครเลย ดังนัน้ วิธที ดี่ ที สี่ ดุ ก็คอื การตัง้ คณะกรรมการ ทีม่ สี มาชิกทีม่ คี วามหลากหลายขึน้ มา เพือ่ ขับเคลือ่ น การพัฒนาโปรแกรม บริหารจัดการชองโหวใหสำเร็จ ตัวแทนจากหนวยธุรกิจตางๆ อาจจะไมไดมคี วามรู ดานเทคนิคมากนัก แตพวกเขาก็สามารถใหความ เขาใจทางดานกระบวนการทางธุรกิจได ในขณะที่ กรรมการทีม่ าจากฝายดำเนินการดานไอทีสามารถ ระบุ ไ ด ว า ระบบใดบ า งที่ จ ะสามารถช ว ยเหลื อ กระบวนการทางธุรกิจไดดีที่สุด และกรรมการที่ มาจากฝายรักษาระบบความปลอดภัยสามารถแจง ตอคณะกรรมการไดวา จะทำอยางไรถึงจะสามารถ รั ก ษาสมดุ ล ระหว า งความพร อ มใช ง านและ ประสิทธิภาพของระบบไดดที สี่ ดุ ความเขาใจตางๆ ทีม่ รี ว มกันจะชวยใหคณะกรรมการ สามารถพัฒนาระบบรักษาความปลอดภัยในระดับ ขัน้ ต่ำทีส่ ดุ ทีอ่ งคกรจะยอมรับไดอยางไมลำบากใจ และนาจะเปนจุดเริม่ ตนทีด่ ใี นการกำหนดนโยบาย ดานไอทีที่จะสามารถทำใหแนใจไดวา กฎเกณฑ ทางดานการรักษาความปลอดภัยตางๆ ยังคงถูก รักษาเอาไวอยางเหนียวแนน ในทันทีทขี่ นั้ ตอนตางๆ ไดเริม่ ตนขึน้ คณะกรรมการ อาจจะตองการประเมินระดับความสำคัญหรือความ เร ง ด ว นทางธุ ร กิ จ อี ก ครั้ ง รวมถึ ง ต อ งการทราบ ภาพกวางๆ ของภัยคุกคามทั้งหลายที่มีอยูดวย เพือ่ ใหแนใจวา นโยบายของพวกเขาจะถูกตองและ เหมาะกับองคกรอยางแทจริง Bay Computing Newsletter l 6rd Issue l 5
COVER STORY เครื่องมือในการประเมินชองโหวสวนใหญจะ อางอิงถึงชองโหวใดชองโหวหนึ่ง ดวยโคด อุดชองโหว (vulnerability codes) ทีใ่ ชโดย มืออาชีพทางดานความปลอดภัย ในขณะที่ โซลู ชั น ในการแก ป ญ หา (remediation solutions) มักอางอิงถึงชองโหวดังกลาว ดวยโคดที่แตกตางกันอยางสิ้นเชิง ซึ่งโคด ดังกลาวจะถูกใชโดยเจาหนาที่ฝายดำเนินการ ดานไอทีเปนหลัก บทบาทของคณะกรรมการดังกลาวก็คอื จะเปนผวู าง กฎเกณฑที่สำคัญสำหรับโปรแกรมบริหารจัดการ ชองโหว แตกค็ วรจะมีคณะทำงานกลมุ ทีเ่ ล็กลงมา อี ก กลุ ม หนึ่ ง เพื่ อ ประสานงานให ก ฎเกณฑ ที่ คณะกรรมการชุดใหญวางไวสามารถเกิดขึน้ ไดและ บั ง คั บ ใช ไ ด จ ริ ง คณะทำงานชุ ด นี้ อ าจจะต อ งมี สมาชิ ก ที่ มี ค วามรู ด า นเทคนิ ค มากขึ้ น กว า คณะกรรมการชุดใหญ แตกค็ วรจะยังมีผมู สี ว นไดเสีย รวมอยดู ว ยเหมือนกัน นอกจากนี้ คณะทำงานชุดนี้ ควรจะทำตัวเปนผปู ระสานงานทีด่ รี ะหวางฝายรักษา ความปลอดภัยและฝายดำเนินการดานไอทีดว ย เมือ่ จะตองกำหนดนโยบายความปลอดภัยดานไอที รวมถึงนโยบายการบริหารจัดการชองโหวดวยนั้น เปนเรื่องสำคัญที่จะตองดำเนินการภายใตความ เขาใจทีว่ า ธุรกิจไมไดกำลังมองหาความสมบูรณแบบ ชนิดไรทตี่ แิ ตอยางใด เปาหมายทีแ่ ทจริงไมไดอยทู ี่ การควบคุมทุกสิง่ ไดราวกับใชมนตสะกด แตเปนเรือ่ ง ของการสรางความสมดุลระหวางความปลอดภัยและ ความสามารถในการดำเนินธุรกิจตอไปไดเทานัน้
ขอกำหนดขัน ้ ต่ำ นโยบาย และวิธก ี ารจัดการ
แนนอนวา การทีเ่ ราจะสามารถมีสภาพแวดลอมทีม่ ี การเคารพและปฏิบตั ติ ามนโยบายไดจริงนัน้ องคกร คงไมสามารถพึง่ พิงเพียงแคนโยบายและกระบวนการ ตางๆ ไดเทานัน้ แตจำเปนตองมีเครือ่ งมือทีส่ ามารถ ทำใหการปฏิบตั ติ ามนโยบายดังกลาวเปนเรือ่ งงาย ขึน้ ดวย ปญหาก็คือ เครื่องมือเหลานี้ตางก็มีพัฒนาการที่ แยกออกจากกัน พวกมันอาจจะไมไดถูกพัฒนา 6 l Bay Computing Newsletter l 6rd Issue
ขึ้นมาใหพูดภาษาที่เกี่ยวกับการอุดชองโหวดวยภาษาเดียวกัน ซึ่ง ในทางตรงกันขาม เครือ่ งมือในการประเมินชองโหวสว นใหญจะอางอิงถึง ชองโหวใดชองโหวหนึง่ ดวยโคดอุดชองโหว (vulnerability codes) ทีใ่ ช โดยมืออาชีพทางดานความปลอดภัย ในขณะทีโ่ ซลูชนั ในการแกปญ หา (remediation solutions) มักจะอางอิงถึงชองโหวดังกลาวดวยโคดที่ แตกตางกันอยางสิ้นเชิง ซึ่งโคดดังกลาวจะถูกใชโดยเจาหนาที่ฝาย ดำเนินการดานไอทีเปนหลัก ในเรื่องนี้ทาง Gartner ใหความเห็นและเนนย้ำวา สิ่งสำคัญที่สุดก็คือ เครื่องมือทั้งหลายจะตองสามารถเปนสะพานเชื่อมตอชองวางระหวาง ทีมงานทัง้ สองทีมได “ผลิตภัณฑประเมินชองโหวควรประเมินชองโหวของ องคกรตามนโยบายดานการกำหนดคาความปลอดภัย (security configuration policy) และเชือ่ มโยงชองโหวทเี่ กีย่ วของทัง้ หลายเอาไวดว ย” นักวิเคราะหของ Gartner ใหคำแนะนำเอาไว โดยแนวคิดแลว องคกรควรมองหาโซลูชนั ในการประเมินชองโหวทรี่ วม ความสามารถในการแกไขปญหาไวดว ยกันและสรางรายงานทีผ่ ใู ชงาน ทั้งสองกลุมสามารถใชงานรวมกันเพื่อแกไขปญหาได การมีโซลูชันที่ ทำงานรวมกันอยางแทจริงทำใหองคกรเห็นภาพทีเ่ ปนจริง สามารถระบุ จุดทีเ่ ปนความเสีย่ งสูงสุดไดอยางแมนยำ และตัดสินใจบนพืน้ ฐานของ ขอมูลทีถ่ กู ตอง ทัง้ ยังชวยใหองคกรของคุณสามารถปฏิบตั ติ ามกฎหมาย ตางๆ ไดทงั้ ในระยะสัน้ และระยะยาวดวย ในปจจุบนั นี้ องคกรจำนวนมากกำลังวนุ วายอยกู บั รายงาน การสแกน ชองโหวทมี่ รี ายละเอียดมากมาย และพยายามจับคกู บั รายงานการแกไข ตางๆ ทีม่ กั จะไมสมบูรณนกั แลวนำมาเรียบเรียงเพือ่ นำเสนอตอผตู รวจสอบ ซิมสกี้กลาววา วิธีการนี้ไมมีทางสำเร็จไดดวยดี “คุณไมอาจมีรายงาน การปฏิบตั ติ ามกฎระเบียบ (Compliance Report) ทีส่ มบูรณ จากการ ใชเทคโนโลยีสแกนชองโหวและแพตชทที่ ำงานแยกออกจากกัน เพราะ คุณจะเปนเหมือนคนตาบอดคลำชาง ที่จะมองเห็นเฉพาะเหตุการณ บางเหตุการณเทานัน้ มันไมใชสถานการณทเี่ กิดขึน้ ทัง้ หมด คุณจำเปน ตองมีรายงานทีร่ วบยอดจากการประเมินชองโหวและจากการแกไขตางๆ อีกทั้งตองผนวกขอมูลที่ไดทั้งจากการตรวจสอบทางระบบเครือขาย และทางซอฟตแวรทตี่ ดิ ตัง้ ในเครือ่ ง” ดวยหนทางนี้ องคกรไมเพียงสามารถ แสดงใหผูตรวจสอบเห็นวา องคกรรูวามีชองโหวในจุดใดบาง แตยัง สามารถแสดงใหเห็นวา องคกรไดขจัดความเสี่ยงที่เกิดจากชองโหว เหลานัน้ แลว ดวยวิธดี งั กลาว จะเกิดการทำงานรวมกันระหวางฝายรักษาความ ปลอดภัยและฝายดำเนินการ และทำใหเกิดโครงการบริหาร จั ด การช อ งโหว ที่ มี ป ระโยชน อ ย า งแท จ ริ ง และทำให อ งค ก ร พรอมตอการบังคับใชนโยบายความปลอดภัย อีกทัง้ สามารถรับมือ ตอภัยคุกคามทีม่ กี ารเปลีย่ นแปลงรูปแบบใหมๆ อยตู ลอดเวลา
TECHNOLOGY UPDATE
Business Continuity Technology ตอนที่ 3 z
โดย อวิรทุ ธ เลีย้ งศิร,ิ Enterprise Solution Manager, บริษทั เบย คอมพิวติง้ จำกัด
ในตอนทีแ่ ลวเราไดกลาวถึง กระบวนในการออกแบบ Business Continuity Plan และเทคโนโลยีทมี่ ใี หเลือกใช รวมถึง Scope ทีส่ ามารถไดรบั การปกปองจากแตละเทคโนโลยีไปแลว ในตอนสุดทายนี้ เราจะมาลงรายละเอียดในสวนของแนวโนมเทคโนโลยีของการทำ Business Continuity อื่นๆ และการประยุกตใชเพื่อใหเกิดประโยชน สูงสุดสำหรับแตละแอพพลิเคชัน ในการประเมินความเสี่ยงที่สงผลตอธุรกิจ มีมุมมองที่เกี่ยวของกันอยู หลายดาน ทัง้
Recovery Profile ในแงของผลกระทบทีเ่ กิดจาก การสูญหายของขอมูล (data), Transaction, เวลาที่ ระบบไมสามารถใหบริการได จากบทความในตอนที่ 1 สำนักวิจยั ชัน้ นำตางๆ เชน Gartner, IDC ตางก็ไดแบงระดับของ Availability Level หรือระดับของความตอเนือ่ งในการใหบริการ ระบบหลักของธุรกิจ โดยปกติแบงออกเปน 5 ระดับ ดังแผนภาพที่ 1 และตารางที่ 1 ตอไปนี้
ตนทุน (Cost) ทีต่ อ งใชในการจัดหา ซอมบำรุง (Maintenance) และ คาแรงทีใ่ ชเพือ่ ดำเนินการ ขอบเขตของการปกปอง ที่ไดจากการใชคอมโพเนนทที่ครอบคลุม สิง่ ทีย่ งั ไมไดรบั การปกปอง Operational Profile ของ Administrative overhead, การพึง่ พาการ ทำงานโดยมนุษย (ความเปนระบบอัตโนมัตมิ ากนอย) และอืน่ ๆ
Business Risk Perspective แผนภาพที่ 1 แสดง Availability Level ของ Gartner
ภาพแสดงมุมมองทีส่ ง ผลถึงความเสีย่ งทางธุรกิจทีเ่ กีย่ วของกัน
ตารางที่ 1 รายละเอียดแตละระดับของ Level of Availability (สำนัก IDC) Bay Computing Newsletter l 6rd Issue l 7
TECHNOLOGY UPDATE จะเห็นวาโดยรวมแลว ทัง้ Gartner และ IDC กำหนด รายละเอียดของ Availability Level ไวใกลเคียงกัน มาก ปจจุบนั เทคโนโลยีในการทำ High Availability ทีเ่ ปนทีน่ ยิ มกัน เชน Backup Software, Bare Metal Recovery, Replication, Cluster และอืน่ ๆ โดยมี รายละเอียดของแตละเทคโนโลยี ดังนี้ Backup / Recovery โดยสวนใหญเปนโซลูชนั ที่ พืน้ ฐานทีส่ ดุ มักอยคู กู บั ระดับของ AL0 RAID เปนเทคโนโลยีของการประยุกตใชดิสก ซึง่ มีหลายระดับ เชน RAID level 0 หรือเรียกสัน้ ๆ วา RAID-0 โดยมีระดับตางๆ ทีส่ ำคัญ ดังนี้
fault tolerance ใหมากขึน้ โดยการเพิม่ parity disk ขึน้ มา ทำใหเมือ่ ดิสกลกู ใดลูกหนึง่ เสียหายทางกายภาพ ระบบทัง้ หมดยังทำงานตอเนือ่ ง ไดโดยขอมูลไมสญ ู หาย ผผู ลิตบางรายไดเพิม่ parity disk เปน 2 ลูก แลวเรียก RAID-6 หรือ RAID-5 ADG เปนตน Replication เปนเทคโนโลยีทชี่ ว ยในการสรางขอมูลทีเ่ หมือนๆ กัน ใน 2 เครือ่ ง หรือ 2 สถานที่ เชน On-Site และ Off-Site หรือ DR site สำหรับ ป อ งกั น เหตุ ที่ เ กิ ด จากภั ย พิ บั ติ (Disaster Recovery) นอกจากนี้ Replication ยังนิยมใชกับขอมูลในหลากหลายรูปแบบ โดยเริ่มจาก การทำ Transactional Replication ของ RDBMS จนถึง File Based Replication ของ File Server เปนตน โดย Replication ปจจุบนั แบง ออกเปน 2 ระดับ คือ
RAID-0 เปนการทำ disk striping ซึง่ เสมือนกับ นำดิสกมากกวา 1 ลูกมาเชือ่ มตอใหเปนลูกเดียวกัน ใน level 0 นีไ้ มรองรับการทำ availability ของระบบ
Data Replication เชน การ replicate transaction ของ RDBMS ซึง่ หากเกิดปญหากับ RDBMS นั้นๆ จะมั่นใจไดวามีขอมูลสำเนาที่แทบ ไมสูญหาย แตระบบจะไมไดใหบริการไดอยางตอเนื่อง เนื่องจากทำ สำเนาของขอมูลเทานัน้
RAID-1 เปนการทำ disk mirroring ซึง่ ทำซ้ำขอมูล ในดิสกมากกวา 1 ลูก ทำใหเมื่อเกิดปญหาทาง กายภาพกั บ ดิ ส ก ใ ดดิ ส ก ห นึ่ ง ยั ง มี อี ก ตั ว หนึ่ ง ทำงานตอเนือ่ งได ขอดีของ RAID-1 คือ มีความเร็ว เหมือนกับดิสกธรรมดา เหมาะกับงานที่ตองการ ความเร็วเทาดิสกปกติ เชน เก็บฐานขอมูล (database) เปนตน แตขอ เสียคือ สิน้ เปลืองมากกวาแบบอืน่ ๆ
Application Replication เปนการพัฒนาเพิม่ เติมจาก Data Replication โดยเหมาะสมกับการใชงานผาน WAN link เนือ่ งจากมีการใชแบนดวดิ ธ ต่ำ และยังคงความสามารถในการใหบริการไดอยางตอเนื่อง ถึงแม เครื่องตนแบบจะไมสามารถทำงานได โดยมีระยะเวลาในการกูคืน ของระบบจากปญหาต่ำมาก และสามารถทำงานแบบอัตโนมัตไิ ด โดย ผใู ชงานทัว่ ไปไมตอ งปรับเปลีย่ นระบบใดๆ เชน Marathon EverRun HA และ Neverfail
RAID-5 เปนการทำ disk striping with parity เปนการเพิม่ availability อีกระดับหนึง่ โดยการนำ ดิสกหลายๆ ลูกมาเชื่อมกันเปนลูกเดียว แตเพิ่ม
Clustering เปนเทคโนโลยีที่ใชเครื่องที่เหมือนกัน 2 เครื่อง ทำงาน รวมกัน โดยมีการ Synchronize ขอมูลระหวางเครื่องที่กำลังทำงาน (Active/Primary) กับเครือ่ งทีร่ อทำงานแทนเมือ่ เครือ่ งหลักไมสามารถ ทำงานตอไปได (Passive/Standby/Secondary) โดยปกติแลวจะตองใช คอมโพเนนทบางสวนรวมกัน เชน Shared Disk ผานเทคโนโลยี SAN (Storage Area Network) เปนตน ซึง่ ตองเสียคาใชจา ยสูง และเปน singlepoint of failure ได หากระบบดิสกเกิดปญหาขึน้ เชน SAN controller ขัดของ โดยระดับ Availability ของเทคโลยี Cluster คือระดับ AL2 และ AL3 โดยทัง้ 2 ระดับตางกันทีค่ วามสามารถของระบบงานในการโอนยาย transaction และ session ของผใู ช และคงขอมูลไว ขณะเกิดการโอนยาย ระบบจากเครือ่ งหนึง่ ไปอีกเครือ่ งหนึง่ Fault Tolerant หรือ Continuity Availability เปนเทคโนโลยีทพี่ ฒ ั นา เพื่อรองรับระดับ Availability ที่ AL4 คือ สามารถใหบริการไดอยาง ตอเนื่อง ไมวาจะเกิดปญหาเพียงเครื่องเดียว หรือทั้ง 2 เครื่อง เชน Network Interface ของเครื่องที่ 1 มีปญหา และดิสกของเครื่องที่ 2 มีปญ หา ระบบก็ยงั สามารถใหบริการไดอยางตอเนือ่ งไมตดิ ขัด จนกวา จะเกิดเหตุขดั ของในคอมโพเนนทเดียวกันในฮารดแวรทงั้ 2 เครือ่ งเทานัน้
8 l Bay Computing Newsletter l 6rd Issue
TECHNOLOGY UPDATE โดยผูใชจะมองเห็นเหมือนกับกำลังใชงานเครื่องปกติธรรมดาเพียง เครือ่ งเดียว โดยทัง้ 2 เครือ่ งจะมี Redundancy ในทุกชิน้ สวน และไมจำเปน ตองติดตั้งทั้งสองเครื่องอยูในสถานที่เดียวกัน โดยตองการเพียงการ เชือ่ มตอของเครือขายเทานัน้ โดยปจจุบนั ผลิตภัณฑทจี่ ดั อยใู นกลมุ ของ Fault Tolerant หรือ Continuity Availability ยังมีอยูไมมากนัก เชน Marathon EverRun FT เปนตน
แตกอ นมาก โดยใชความสามารถพิเศษเฉพาะของ ระบบระดับ Fault Tolerant
แผนภาพที่ 3 แสดงสวนประกอบทีใ่ ชในระบบ Marathon FT
ตารางที่ 2 แสดงการเปรียบเทียบความสามารถของแตละเทคโนโลยี จากตารางขางตนจะเห็นวา การบำรุงรักษา (Maintenance) ของเทคโนโลยี Microsoft Cluster มีสงู กวา รวมถึงตองมีการเซตอัพทีซ่ บั ซอน และใช ความชำนาญเฉพาะ ในขณะทีร่ ะบบใหมๆ ในปจจุบนั เชน Marathon everRun FT/HA และ Neverfail มีความสามารถในการทำงานอยาง ตอเนือ่ ง และใชงานไดงา ย โดยไมจำเปนตองใชผชู ำนาญการแตอยางใด และตัดปญหาทีเ่ กิดจากเหตุขดั ของของฮารดแวรออกไดทงั้ หมด
แผนภาพที่ 2 แสดงการเปรียบเทียบความสามารถของแตละผลิตภัณฑ จากแผนภาพที่ 2 จะเห็นไดวา เทคโนโลยีในปจจุบนั มีหลากหลายระดับ และรูปแบบใหเลือกใชไดตามความเหมาะสม และงบประมาณ โดยเฉพาะ ปจจุบนั การมีระบบทีท่ ำงานในระดับ AL4 สามารถเอือ้ มถึงไดงา ยขึน้ กวา
การใชงานระบบ Marathon FT มีความสามารถใน การทำงานรวมกับ Microsoft Windows Server และซอฟตแวรใดๆ ก็ได โดยไมยดึ ติดกับการสือ่ สาร ผาน API ของซอฟตแวรหนึง่ ๆ โดย Marathon FT จะทำงานเปน layer ทีเ่ ชือ่ มระหวางระบบปฏิบตั กิ าร และฮาร ด แวร ดั ง นั้ น จึ ง รองรั บ การทำงานกั บ แอพพลิเคชันใดๆ ก็ไดทงั้ สิน้ รวมถึงสามารถรองรับ การทำงานรวมกับระบบ Virtualization ดวย เทคโนโลยีสำหรับการทำงานในระดับ Availability Level ต า งๆ เหมาะสมกั บ ความต อ งการ และ งบประมาณของแตละองคกรแตกตางกันไป ดังนัน้ การทำความเขาใจ และเลือกใหเหมาะสมกับลักษณะ ของระบบงาน และสภาพปจจัยแวดลอม จึงเปน สิง่ ทีส่ ำคัญ เพือ่ ใหระบบงานตางๆ สามารถใหบริการ กับผูใชไดอยางตอเนื่อง และไมสงผลกระทบและ ความเสีย่ งทีร่ า ยแรงทางธุรกิจแกองคกร รวมถึงเพิม่ ประสิทธิผลทีไ่ ดอยางเต็มที่ ตามวัตถุประสงคและได ประโยชนครบตามที่ออกแบบไว และขอขอบคุณ สำหรับการติดตามบทความ Business Continuity ทัง้ 3 ตอนมาอยางตอเนือ่ งจนถึงตอนสุดทายนี้ ขอมูลอางอิง
Marathon everRun : http://www.marathontechnologies.com/ Neverfail : http://www.neverfailgroup.com/ Bay Computing Newsletter l 6rd Issue l 9
DATA CENTER KNOW-HOW หองดาตาเซ็นเตอร (Data Center) คือ หองที่ เก็บคอมพิวเตอรแมขา ย (Server) และอุปกรณ เครื่องมือที่ทำหนาที่อำนวยความสะดวกเกี่ยวกับการ ควบคุมระบบคอมพิวเตอรทสี่ ำคัญและองคประกอบอืน่ ๆ ที่เกี่ยวของกับระบบคอมพิวเตอร ซึ่งโดยทั่วไปแลวจะ รวมถึงระบบควบคุมสภาวะแวดลอมทีเ่ กีย่ วของกับระบบ คอมพิวเตอรดว ย เชน ระบบปรับอากาศ (Air Conditioning) และความชืน้ (Humidity) ระบบปองกันอัคคีภยั (Fire Suppression) ระบบไฟฟาสำรอง (Generator, UPS) ระบบเชือ่ มตอเครือขายสำรอง ระบบปองกันการเขาออกประตู (Access Control)
หนวยงานทีม่ ดี าตาเซ็นเตอร คือ หนวยงานทีต่ อ งอาศัย ขอมูลเปนสวนสำคัญในการประกอบการดำเนินงานของ องคกร เชน หนวยงานราชการ บริษัทเอกชน ธนาคาร จะมีดาตาเซ็นเตอรเปนของตนเอง โดยขอมูลทีเ่ ก็บรักษา จะเปนขอมูลทีส่ ำคัญ
องคประกอบของดาตาเซ็นเตอร
ดานกายภาพ (Physical Layout) ดาตาเซ็นเตอร สามารถอยใู นหองเพียงหองเดียว พืน้ ที่ 1 ชัน้ หรือหลายชัน้ ของตึกๆ หนึง่ หรืออาจมีขนาดใหญ เทากับตึก 1 ตึกก็ได โดยมากอุปกรณเหลานี้จะอยูใน รูปของแร็คเซิรฟ เวอร ซึง่ มีความกวาง 19 นิว้ เซิรฟ เวอร จะมีขนาดแตกตางกันตั้งแต 1U จนถึงขนาดใหญ ซึ่ง กินเนือ้ ทีม่ าก โดย 1U จะแทนดวยแร็ค 1 ยูนติ และ 1 ยูนติ
มารจู ก ั หองดาตาเซ็นเตอร z
โดย ทีมงาน Green Cabling Company Limited
10 l Bay Computing Newsletter l 6rd Issue
DATA CENTER KNOW-HOW มีขนาดสูง 1.75 นิว้ (44.49 mm) ทัง้ นี้ สิง่ ภาพแวดลอม ของดาตาเซ็นเตอร จะตองมีสงิ่ ตอไปนี้ แอรคอนดิชนั (Air Conditioning) ติดตัง้ ไวเพือ่ ใหหอ ง ดังกลาวมีความเย็น ควบคุมอุณหภูมใิ หอยทู ี่ 20-22 องศา เซลเซียส ระบบสำรองไฟฟา (Backup Power) เพื่อสำรอง ระบบไฟฟา ไมใหกระแสไฟฟาหยุดชะงักลง โดยจะตอง มีเครือ่ งปน ไฟ (Power Generators) ทำหนาทีป่ น ไฟดวย การปองกันปญหา Single Points of Failure ปญหา การทำงานอาจจะเกิดขึ้นไดหากมีอุปกรณหลักเพียง ชุดเดียว เชน มีเซิรฟเวอรเพียงเครื่องเดียว หรือสวิตช (Switch) หลักเพียงเครื่องเดียว ทั้งนี้ อุปกรณเกี่ยวกับ ระบบไฟฟาทัง้ หมดควรจะมี 2 ชุด เปนระบบสำรองแบบ Fully Duplicated มีการเชือ่ มตอระบบไฟฟาเปน 2 สาย คือ A-side และ B-side หองดาตาเซ็นเตอร จะตองมีพนื้ ยกสูงจากพืน้ ระดับปกติ 60 เซนติเมตร (2 ฟุต) เพือ่ ใหเครือ่ งปรับอากาศเปาลมเย็น จากดานลางของพื้นขึ้นสูดานบน ชวยในการระบาย ความรอนไดเปนอยางดี และเพื่อใหมีชองวางสำหรับ เดิ น สายไฟลอดใต พื้ น ดาต า เซ็ น เตอร บางแห ง ที่ มี งบประมาณนอยหรือมีขนาดเล็ก อาจใชพนื้ ชนิดปองกัน กระแสไฟฟาสถิตย เปนวัสดุสำหรับปูพนื้ แทนได ดาตาเซ็นเตอร จะตองมีระบบปองกันอัคคีภยั ซึง่ สามารถ แจงเตือนไดหากเกิดความรอนหรืออัคคีภัยขึ้น สารที่ใช ดับไฟไมควรเปนน้ำ เพราะจะสรางความเสียหายกับ อุปกรณไฟฟาได ควรเปนกาซ เชน กาซฮาลอน (Halon) ซึง่ ไมสรางความเสียหายกับอุปกรณไฟฟา แตเนือ่ งจาก กาซดังกลาวไดทำลายชั้นบรรยากาศ ดังนั้น ปจจุบัน จึงไดใชกาซชนิดอื่นแทน เชน Argonite และ FM-200 เปนตน ความปลอดภัยทางกายภาพอืน่ ๆ เชน กลองวิดโี อ (CCTV System) และระบบจัดเก็บภาพ ใชเพื่อจับภาพผูบุกรุก เขาสหู อ งดาตาเซ็นเตอรโดยไมไดรบั อนุญาต ดานเครือขาย (Network) การสือ่ สารในปจจุบนั ภายในดาตาเซ็นเตอรจะเปนลักษณะ ของโพรโตคอลไอพี (IP protocol) ภายในดาตาเซ็นเตอร ประกอบดวย เราเตอร (Router) และสวิตช (Switch)
จำนวนหนึ่ง สำหรับการนำขอมูลจากเซิรฟเวอรออกสู ภายนอก ดังนั้น จึงตองมีการระวังดานความปลอดภัย ของระบบเครือขายดวย ซึง่ ในดาตาเซ็นเตอร จะประกอบ ไปดวย ไฟรวอลล (Firewall) วีพีเอ็น (VPN) และไอดีเอส (Intrusion detection systems) เพื่อทำหนาที่ระวังปองกันการบุกรุกและโจรกรรมจาก ภายในและภายนอกองคกร ดานแอพพลิเคชัน (Applications) วัตถุประสงคหลักของดาตาเซ็นเตอร คือ ใชปฏิบัติงาน แอพพลิเคชันดานตางๆ ขององคกร ซึง่ โปรแกรมทีใ่ ชงาน จะแตกตางกันไปตามบริบทขององคกรแตละแหง บางแหง มีทีมพัฒนาเอง บางแหงอาจซื้อจากผูผลิตซอฟตแวร ขนาดใหญ โดยทัว่ ไป แอพพลิเคชันจะประกอบดวย ระบบทีเ่ รียกวา ERP และ CRM ซึง่ ประกอบดวยหลายๆ เซิรฟ เวอร โฮสต แตละโฮสตจะทำงานโปรแกรมใดโปรแกรมหนึง่ เชน ดานฐานขอมูล (Database) ดานไฟลเซิรฟ เวอร (File Server) แอพพลิเคชันเซิรฟเวอร มิดเดิลแวร (Middleware) เปนตน สนใจระบบหอง Data Center และงานเดินสายสัญญาณระบบคอมพิวเตอร กรุณาติดตอ คุณกริช หิรัญนิธิปรีดา / Cabling Manager
Green Cabling Company Limited บริษท ั ในเครือ Bay Computer Co., Ltd. โทรศัพท 0-2926-2223 อีเมล krich@green-cabling.com
Bay Computing Newsletter l 6rd Issue l 11
IT SECURITY
คุณคิดวาอุปกรณปลายทางของคุณ มีความปลอดภัยหรือไม? z โดย เทรนด ไมโคร
ทบทวนอีกครั้ง
อยาเดิมพันธุรกิจของคุณดวยระบบ รักษาความปลอดภัย ณ อุปกรณปลายทาง (endpoint security) ทีอ่ อกแบบมาเพือ่ ปกปอง คุณจากภัยคุกคามเมื่อปที่แลว แตใชกับภัย คุกคามในปนไี้ มได เทรนดไมโครใชนวัตกรรมใหม ทีเ่ หนือชัน้ กวาเพือ่ ปกปองขอมูลและทรัพยากร อันมีคา ของคุณ ชวยใหสามารถลดความเสีย่ ง ที่อุปกรณปลายทางของคุณตองเผชิญอยูได อยางมหาศาล และสามารถลดตนทุนลงได โซลูชนั ระบบรักษาความปลอดภัย ณ อุปกรณ ปลายทางของเทรนดไมโครจะมอบการปองกัน ของวันนี้ใหแกคุณ พรอมกับความงายในการ ติดตั้งและใชงาน รวมถึงแนวทางที่ยืดหยุน สำหรับรองรับอนาคตที่จะมาถึงดวย และนั่น ก็เปนการยืดอายุการใชงานโซลูชันของคุณ ออกไป อีกทั้งเปนการประหยัดงบลงทุนใน อนาคตของคุณไดอกี ทางหนึง่
อุปกรณของคุณ ยังปลอดภัยอยห ู รือไม?
ป จ จุ บั น นี้ อุ ป กรณ ป ลายทางกลายเป น จุ ด ลอแหลมที่สุดจุดหนึ่งภายในเครือขาย เพราะ แคชว งเวลาเพียง 1 นาที จะมีมลั แวรตวั ใหมๆ กวา 13 ตัวที่พยายามจะเขาจูโจมเครือขาย ของคุณ ทำใหในปนอี้ ปุ กรณปลายทางกวา 2 ใน 3 ของอุปกรณปลายทางทั้งหมดที่องคกร ของคุ ณ มี จ ะต อ งพบกั บ ป ญ หาเรื่ อ งความ 12 l Bay Computing Newsletter l 6rd Issue
ปลอดภัยอยางหลีกเลีย่ งไมได และแนนอนวา ยอมสงผลใหคาสูญเสียโอกาสในการทำงาน ของธุรกิจของคุณสูงขึ้นอยางรวดเร็ว และถา บังเอิญปญหาดังกลาวเกิดขึ้นในจุดที่สำคัญ คาสูญเสียโอกาสดังกลาวก็อาจคิดเปนมูลคาได นับลานเหรียญเลยทีเดียว
ปกปองอุปกรณปลายทาง ทุกชิ้น
ระบบรักษาความปลอดภัยของอุปกรณปลายทาง แบบเดิมๆ จะพยายามใชการอัพเดต Signature File บอยๆ เพื่อตอสูกับภัยคุกคามที่เพิ่มมาก ขึ้นเรื่อยๆ ซึ่งวิธีการนี้คงทำใหเราไดเห็นกัน บางแลววาไมคอ ยไดผลสักเทาไรนัก เนือ่ งจาก การอัพเดตนั้นตองใชเวลามากเกินไป กวาที่ จะทำไดไฟลครบในเซิรฟเวอรและไคลเอ็นต ทุ ก เครื่ อ ง ซึ่ ง ช ว งเวลาดั ง กล า วก็ ทำให เ กิ ด ชองโหวดา นความปลอดภัยได และนอกจากนี้ Signature File ทีใ่ หญมากขึน้ เรือ่ ยๆ ก็เปนภาระ ตออุปกรณปลายทางของคุณดวย ซึง่ สุดทายแลว มันก็คงสงผลตอความสามารถในการทำงาน ของพนักงานในองคกรของคุณไดในทีส่ ดุ โซลูชนั ระบบรักษาความปลอดภัย ณ อุปกรณ ปลายทางจะปกปองคุณจากมัลแวรและภัย คุกคามตางๆ รวมทัง้ สามารถลาง (clean) อุปกรณ ปลายทางของคุณโดยอัตโนมัตไิ ดถา คุณตองการ นอกจากนีย้ งั สามารถปกปองขอมูลไมใหรวั่ ไหล
ไดอกี ดวย ดวยสถาปตยกรรมทีถ่ อื เปนนวัตกรรม อยาง Smart Protection Network นั้น จะ จั ด เตรี ย มการปกป อ งเอาไว ไ ด ร วดเร็ ว กว า พรอมกับสามารถเขาถึงเครือขายปองกันภัย คุกคามทีช่ าญฉลาดกวาไดอยางรวดเร็วดวย
ลดความซับซอน พรอมลดตนทุน
ในขณะทีร่ ะบบรักษาความปลอดภัย ณ อุปกรณ ปลายทางเติบโตขึ้นเพื่อไลตามใหทันกับภัย คุกคามลาสุด ทวาการจัดการระบบดังกลาว ก็กลายเปนความทาทายชนิดใหมที่อาจจะ ยงุ ยากกวาตัวภัยคุกคามเองเสียอีก แตเนือ่ งจาก Smart Protection Network ประมวลผลจาก เครือขายภายนอกทีม่ คี วามฉลาดและรเู ทาทัน ภัยคุกคาม ดังนั้น ความจำเปนในการอัพเดต ไคลเอ็นตของคุณจึงมีเพียงเล็กนอยเทานัน้ ชวย ลดภาระทางดานการบริหารจัดการ Signature File ลงไปไดเปนอันมาก อีกทัง้ File Reputation Service จะชวยปลดปลอยอุปกรณปลายทาง ของคุณใหเปนอิสระดวย เปนการชวยเพิ่ม ประสิทธิภาพ ความเสถียร และผลผลิตได เปนอยางดี และการทีส่ ามารถบล็อกภัยคุกคาม ไดตงั้ แตเนิน่ ๆ นัน้ คุณจะเสียคาใชจา ยและเวลา น อ ยมากในการดู แ ลความปลอดภั ย ให กั บ อุปกรณปลายทางของคุณ
IT SECURITY นอกจากนี้ คุณยังจะเสียคาใชจายนอยมาก ในการติดตั้งใชงานและการดูแลรักษาระบบ โดยรวม เพราะโซลูชันรักษาความปลอดภัย ณ อุปกรณปลายทางของเทรนดไมโครไมเพียง สามารถติดตั้ง ใชงาน และบริหารจัดการได จากศูนยกลางเทานัน้ แตยงั สามารถ Uninstall ผลิตภัณฑรักษาความปลอดภัย ณ อุปกรณ ปลายทางรนุ เกาๆ ไดอยางรวดเร็วและเงียบเชียบ อีกดวย
เลือกความยืดหยน ุ เพือ ่ สราง ความปลอดภัยใหเติบโต ไปพรอมกับองคกรของคุณ
ธุรกิจแตละแหงมีความแตกตางกันออกไป และ การเติบโตของโครงสรางพืน้ ฐาน สภาพแวดลอม แบบกระจาย รวมทัง้ แบนดวดิ ธระยะไกล ก็ได ทำใหเกิดความซับซอนมากยิง่ ขึน้ แตไมวา ธุรกิจ ของคุณจะมีขนาดเล็กหรือใหญก็ตาม เทรนด ไมโครไดจดั เตรียมโซลูชนั รักษาความปลอดภัย ณ อุปกรณปลายทางเอาไวใหกับธุรกิจของ คุณแลว พรอมทั้งไดเตรียมความยืดหยุนและ ความงายในการประยุกตดัดแปลงการใชงาน ภายในอนาคตเอาไวดว ย
ในขณะที่ชวยลดภาระดานการบริหารจัดการ ทรัพยากรผาน Smart Protection Network ได นอกจากนี้ เรายังใหความยืดหยนุ ในการเลือก โซลูชนั รักษาความปลอดภัยอุปกรณปลายทาง ทีพ่ รอมจะเติบโตและพัฒนาไปพรอมกับธุรกิจ ของคุณดวย
OfficeScan ความปลอดภัย ณ อุปกรณปลายทาง สำหรับองคกรขนาดกลาง และขนาดใหญ
ดวยเทคโนโลยีที่ถูกออกแบบมาเพื่อตอสูกับ ภัยคุกคามทั้งหลาย OfficeScan ไดปกปอง อุ ป กรณ ป ลายทางนั บ ล า นชิ้ น มาแล ว กว า ทศวรรษ และปจจุบันนี้ไดขยายการปกปอง ดวยหนวยควบคุมอุปกรณตัวใหมสำหรับการ บริหารจัดการสื่อที่เคลื่อนที่ได (removable media) นอกจากนี้ OfficeScan ยังเสนอการ ปกปองเดสกทอป แลปทอป เซิฟเวอร สตอเรจ และสมารตโฟน ดวยการปกปองจากจุดเดียว เพื่อใหแนใจไดถึงความปลอดภัยในอนาคต อีกทัง้ OfficeScan ยังไดปรับปรุงสถาปตยกรรม ใหเปนแบบ Plug-in เพื่อใหคุณสามารถเพิ่ม เทคโนโลยีตอ ไปนีเ้ ขาไปไดเมือ่ คุณตองการ
โซลูชนั รักษาความปลอดภัย ณ อุปกรณปลายทาง ของเทรนดไมโคร เสนอทางเลือกในการทีจ่ ะลด ตนทุนและเพิม่ ประสิทธิภาพใหกบั ธุรกิจของคุณ โดยโครงสรางพื้นฐานที่เปน Modular และ Plug-in ของเทรนดไมโคร จะชวยใหคณ ุ เลือก เครื่องมือที่คุณตองการติดตั้งใชงานไดอยาง ถูกตองเหมาะสม และเมือ่ สภาพแวดลอมทาง การคุกคามหรือความตองการขององคกรของ คุณเปลี่ยนแปลงไป คุณก็สามารถเพิ่มเติม เทคโนโลยีใหมๆ เขาไปไดอยางงายดายและ รวดเร็ว ซึ่งเปนการชวยปกปองการลงทุนของ คุณใหคมุ คามากยิง่ ขึน้
Virtualization Security ทีช่ ว ยบริหารจัดการ Security Agents บนเวอรชวลแมชีน (virtual machine)
ถึงเวลาทีต ่ อ งคิดใหม เกีย ่ วกับความปลอดภัย ณ อุปกรณปลายทาง
Security for Macintosh สำหรับการปกปอง ไคลเอ็นตของเครือ่ งแมคอินทอชทีอ่ ยใู นเครือขาย ของคุณ
เทรนดไมโครจะชวยคุณคิดหาวิธีที่จะทำให ความปลอดภัย ณ อุปกรณปลายทางของคุณ กาวล้ำหนาอยูเสมอ และมีเพียงเทรนดไมโคร เทานั้นที่มอบการปกปองแบบฉับพลันใหคุณ
Intrusion Defense Firewall ที่สนับสนุน Host-based Intrusion Prevention Service (HIPS) และชวยอุดชองโหวตา งๆ
Trend Micro Endpoint Security Platform เพิม่ การปกป อ งและลดความซั บ ซ อ นโดยการ กระจายพลังในการประมวลผลเหตุการณสู อุปกรณปลายทางที่อยูภายในเครือขาย ซึ่ง ดวยการใชเอเจนตอันชาญฉลาดนั้น ถือเปน การจัดเตรียมการควบคุมและสอดสองในระดับ ที่แตเดิมเปนเรื่องที่เปนไปไมได และระบบที่ มีความยืดหยุนดังกลาวก็สามารถสนับสนุน ผใู ชงานไดกวา 250,000 คน โดยการใชเซิรฟ เวอร สำหรับการบริหารจัดการเพียงเครือ่ งเดียวเทานัน้ ชวยใหทีมรักษาความปลอดภัยและบริหาร จั ด การระบบสามารถดู แ ลจั ด การอุ ป กรณ ปลายทางไดอยางมัน่ ใจและถูกตอง Core Protection Module ชวยปองกันภัย จากมัลแวรทงั้ หลายไดอยางครอบคลุม Patch Management Module ชวยเพิ่ม ประสิทธิภาพในการบริหารจัดการแพตชสำหรับ แอพพลิเคชันตางๆ ไดเปนอยางดี Web Protection Module ชวยปกปองผใู ชงาน จากการเขาถึงเนือ้ หา (content) ทีร่ นุ แรงและ ไมเหมาะสม Data Leak Prevention Module ปกปอง ขอมูลไมใหสญ ู หายหรือถูกขโมย
Trend Micro LeakProof Mobile Security ที่ชวยปกปองขอมูลและ เสนอนวัตกรรมการปองกัน ่ ไหลของขอมูลแบบ แอพพลิเคชันบนสมารตโฟนและพีดเี อของคุณ การรัว Endpoint-based ไดทกุ ทีท่ กุ เวลา
แพลตฟอรมความปลอดภัย ณ อุปกรณปลายทางแบบ ผสมผสาน
Trend Micro LeakProof ปกปองความเปน ส ว นตั ว และทรั พ ย สิ น ทางป ญ ญาโดยการ ปองกันไมใหขอ มูลรัว่ ไหลออกจากองคกรจาก ชองทางตางๆ ไมวา จะเปน Email, IM, USB, CD, DVD หรืออุปกรณอื่นใดก็ตาม Trend Micro LeakProof ปกปองขอมูลดวยวิธกี ารที่ มี ลั ก ษณะเฉพาะตั ว ซึ่ ง เป น การร ว มมื อ กั น ระหว า งการบั ง คั บ ใช ท างด า นนโยบายกั บ อุปกรณปลายทาง พรอมดวยเทคโนโลยีในการ อานลายนิว้ มือ (fingerprinting) ทีม่ คี วามถูกตอง สูง รวมไปถึงเทคโนโลยีในการเปรียบเทียบ เนือ้ หา (content matching) ทีเ่ ชือ่ ถือไดดว ย
Bay Computing Newsletter l 6rd Issue l 13
ISMS STANDARD
เสริมมาตรการความปลอดภัยไอทีดวย ISO 27001:2005 ตอนที่ 4
“Compliance”
โดย ภัคณัฏฐ โพธิท์ องบวรภัค, Senior Network and Security Engineer, บริษทั เบย คอมพิวติง้ จำกัด
สวัสดีทา นผอู า นกันอีกครัง้ นะครับ กลับ มาพบกันกับตอนที่ 4 ของ ISO 27001: 2005 มาตรฐานเกีย่ วกับระบบบริหารความมัน่ คง ปลอดภัยของสารสนเทศ จากตอนที่แลวเราได ทราบคำจำกั ด ความคำศั พ ท ที่ มี ก ารใช ง านใน มาตรฐาน ซึ่งอยูในขอ 3 เนื้อหาในตอนนี้จะเปน เนือ้ หาโดยสรุปของมาตรฐานโดยแบงเปนขอๆ เพือ่ เปนประโยชนของทานผอู า นทีม่ คี วามสนใจ กำลังเริม่ หรือเริ่มตนในการจัดทำ ISO 27001:2005 โดย เริ่มตนจาก องคกรจัดทำบทนำและวัตถุประสงค ในการจัดทำ ISO 27001:2005 มาตรฐานเกีย่ วกับ ระบบบริหารความมัน่ คงปลอดภัยของสารสนเทศ เพือ่ แจงใหทางพนักงานรับทราบความคาดหวังของ ทางองคกรในการจัดทำมาตรฐาน เรามาเขาสู ขัน้ ตอนในการจัดทำ ISO 27001:2005 มาตรฐาน เกี่ยวกับระบบบริหารความมั่นคงปลอดภัยของ สารสนเทศ (Plan-Do-Check-Act) โดยขั้นตอน ตางๆ จะเริม่ ในขัน้ ตอนที่ 4-8 ในมาตรฐาน
4. จัดทำ ISMS ขององคกร
4.1 เปนการกลาวถึงเรือ ่ งทัว่ ไป สิง่ ทีต ่ อ งทำในการจัดทำ ISMS ขององคกร
ตองมีการกำหนดขอบเขตในการจัดทำ ISMS ขององคกร ตองมีการจัดทำ ISMS ขององคกร ตองมีการปฏิบัติใชงาน ISMS ในองคกร ตองมีการตรวจสอบการใชงาน ISMS ในองคกร ตองมีการทบทวน ISMS ในองคกร ตองมีการรักษาการใชงาน ISMS ในองคกร อยางสม่ำเสมอ ตองมีการปรับปรุงแกไข ISMS ในองคกร ตองมีการจัดทำเอกสารเกีย่ วกับ ISMS ขององคกร
4.2 ขัน้ ตอนในการจัดทำ ISMS ของ องคกร
4.2.1 กำหนดขอบเขตและวางแผนในการจัดทำ ISMS กำหนดขอบเขตในการจัดทำ ISMS 14 l Bay Computing Newsletter l 6rd Issue
กำหนดนโยบายขององคกรในการใชงาน ISMS กำหนดวิธใี นการจัดการเรือ่ ง Risk Assessment ระบุและบงชีค้ วามเสีย่ งดานความปลอดภัยทีม่ ี ผลกระทบตอการดำเนินธุรกิจขององคกร วิเคราะหและประเมินคาความเสี่ยงดานความ ปลอดภัยทีม่ ผี ลกระทบตอการดำเนินธุรกิจของ องคกร ระบุ แ ละบ ง ชี้ แ ละประเมิ น การป อ งกั น ความ ปลอดภัยของขอมูลขององคกรและวิธกี ารในการ ใชปอ งกัน เลือกสิ่งที่จะใชในการควบคุมและจัดการกับ ความเสีย่ งทีอ่ าจเกิดขึน้ กับองคกร ฝายบริหารตองมีการรับทราบและยอมรับใน สวนของความเสี่ยงที่เหลืออยู หลังจากมีการ จัดทำการปองกันความเสี่ยงที่อาจเกิดขึ้นกับ องคกร ไดรับอำนาจในการตัดสินใจจากฝายบริหาร กอนที่จะเริ่มจัดทำและจัดการ ISMS ในองคกร จัดเตรียม Statement of Applicability (SoA) ที่องคกรจะใชในการควบคุมตามวัตถุประสงค ขององคกร 4.2.2 ขั้นตอนในการพัฒนาและจัดการ ISMS ขององคกร พั ฒ นาแผนการป อ งกั น ความปลอดภั ย จาก ความเสี่ยงที่มีผลกระทบตอองคกรเพื่อใชใน การจัดการกับความเสี่ยงดานความปลอดภัย ขอมูลขององคกร จั ด ทำแผนการป อ งกั น ความปลอดภั ย จาก ความเสีย่ งทีม่ ผี ลกระทบตอองคกร จัดทำตัวควบคุมดานความปลอดภัยสำหรับ องคกร จัดทำตารางการอบรมเพือ่ ใหพนักงานและฝาย บริหารมีความรเู กีย่ วกับระบบ ISMS ขององคกร บริหารและจัดการระบบ ISMS ขององคกร บริหารทรัพยากรที่จำเปนตองใชในการจัดทำ ระบบ ISMS จั ด ทำขั้ น ตอนในการปฏิ บั ติ ด า นการรั ก ษา ความปลอดภัยขอมูลขององคกร
4.2.3 ขั้นตอนในการตรวจสอบและทบทวน ISMS ขององคกร ใชงานขั้นตอนในการปฏิบัติและตัวควบคุมใน การใชตรวจสอบ ISMS ขององคกร ใชงานขั้นตอนในการปฏิบัติและตัวควบคุมใน การใชทบทวน ISMS ขององคกร มีขั้นตอนในการปฏิบัติเพื่อการทบทวน ISMS ขององคกร ตรวจสอบระบบทีใ่ ชการปองกันความปลอดภัย วาตรงตามความตองการขององคกร มีการทบทวนการวิเคราะหความเสี่ยงและการ ประเมินคาความเสี่ยงอยางสม่ำเสมอ มีการทบทวนความเสี่ยงที่ยังคงเหลืออยูอยาง สม่ำเสมอ มี ก ารทบทวนระดั บ ของความเสี่ ย งที่ อ งค ก ร ยอมรับไดอยางสม่ำเสมอ มีการจัดเตรียมผูตรวจสอบภายในเพื่อใชงาน การตรวจสอบการใชงานระบบ ISMS มีการจัดเตรียมกลมุ ผรู บั ผิดชอบในการทบทวน ระบบ ISMS มีการทบทวนแผนการปองกันความปลอดภัย ของขอมูลใหทนั กับสถานการณทอี่ าจเกิดขึน้ มีการเก็บบันทึกเหตุการณและวิธีที่ใชสำหรับ ระบบ ISMS 4.2.4 ขั้นตอนในการบำรุงรักษาและปรับปรุง ISMS ขององคกร มีการปรับปรุงระบบ ISMS ขององคกรอยาง สม่ำเสมอ เลือกแนวทางการแกไขปญหากับเหตุการณที่ เกิดขึน้ อยางเหมาะสม เลือกแนวทางในการปองกันปญหาทีอ่ าจเกิดขึน้ อยางเหมาะสม นำแนวทางในการแกไขเหตุการณที่เกิดขึ้นมา ประยุกตใชเพือ่ ไมใหเกิดเหตุการณเดิม สือ่ สารเกีย่ วกับการเปลีย่ นแปลงของระบบ ISMS กับองคกรอืน่ หรือกลมุ ทีต่ อ งเกีย่ วของกับองคกร ต อ งแน ใ จว า การแก ไ ขปรั บ ปรุ ง ระบบ ISMS เปนไปตามวัตถุประสงคที่ตั้งไวขององคกร
ISMS STANDARD 4.3 ขั้ น ตอนในการจั ด ทำเอกสาร สำหรับ ISMS ขององคกร
4.3.1 พัฒนาเอกสารและบันทึกเกีย่ วกับระบบ ISMS จัดทำบันทึกเอกสารเกีย่ วกับเรือ่ งการตัดสินใจ จัดทำเอกสารที่เกี่ยวของกับระบบ ISMS ของ องคกร 4.3.2 ควบคุมการใชงานเอกสาร ISMS ของ องคกร มีการปองกันและควบคุมเอกสารเกีย่ วกับระบบ ISMS จัดทำขั้นตอนในการควบคุมเอกสารเกี่ยวกับ ระบบ ISMS 4.3.3 ควบคุมบันทึกเหตุการณ ISMS ของ องคกร จัดทำบันทึกเหตุการณ ISMS ขององคกร บำรุงรักษาบันทึกเหตุการณ ISMS ขององคกร
5. ขัน้ ตอนการจัดการ ISMS ภายในองคกร
5.1 มีการแสดงวาทางองคกรใหการ สนับสนุนการจัดทำ ISMS เชน
มีการแสดงใหเห็นวาการจัดเตรียม ISMS ไดรบั การสนับสนุนจากผบู ริหารระดับสูงขององคกร มีการแสดงใหเห็นวาการจัดทำ ISMS ไดรบั การ สนับสนุนจากผบู ริหารระดับสูงขององคกร มีการแสดงใหเห็นวาการบริหารจัดการ ISMS ไดรับการสนับสนุนจากผูบริหารระดับสูงของ องคกร มีการแสดงใหเห็นวาการควบคุม ISMS ไดรับ การสนับสนุนจากผบู ริหารระดับสูงขององคกร มีการแสดงใหเห็นวาการทบทวน ISMS ไดรับ การสนับสนุนจากผบู ริหารระดับสูงขององคกร มีการแสดงใหเห็นวาการบำรุงรักษา ISMS ไดรบั การสนับสนุนจากผบู ริหารระดับสูงขององคกร มีการแสดงใหเห็นวาการพัฒนา ISMS ไดรับ การสนับสนุนจากผบู ริหารระดับสูงขององคกร
5.2 การบริหารจัดการทรัพยากรที่ ใชในการจัดทำ 5.2.1 การจัดเตรียมทรัพยากรสำหรับ ISMS ตองมีการระบุทรัพยากรขององคกรทีจ่ ำเปนตอ การทำ ISMS ตองมีการจัดเตรียมทรัพยากรที่จำเปนตอการ ทำ ISMS ตองมีการระบุทรัพยากรขององคกรที่จำเปน
เพือ่ ทีจ่ ะตอบสนองตอกระบวนการความมัน่ คง ปลอดภัยของขอมูลที่ทางองคกรไดทำไว เพื่อ ทีจ่ ะสนับสนุนความตองการในการดำเนินธุรกิจ ของทางองคกร ตองมีการระบุทรัพยากรขององคกรที่จำเปน เพือ่ ทีจ่ ะทำใหเปนไปตามขอบังคับทางกฎหมาย กฎเกณฑ มาตรฐานตางๆ รวมถึงขอบังคับทาง สัญญาที่ใชในการดำเนินธุรกิจรวมกัน ตองมีการระบุทรัพยากรทีจ่ ำเปนเพือ่ ทีจ่ ะทำให แนใจวามีการปองกันดานความมัน่ คงทีเ่ หมาะสม และนำไปใชอยางถูกตอง ตองมีการระบุทรัพยากรทีจ่ ำเปนเพือ่ ทีจ่ ะทำให แนใจวามีการทบทวนการบริหารจัดการ ISMS อยางสม่ำเสมอ ตองมีการระบุทรัพยากรทีจ่ ำเปนเพือ่ ทีจ่ ะทำให แนใจวามีการแกไขปญหาทีเ่ หมาะสมจากผลลัพธ ของการทบทวนการบริหารจัดการ ISMS ตองมีการระบุทรัพยากรที่จำเปนเพื่อที่จะทำ ใหแนใจวาจะมีการพัฒนา ISMS ไดอยางมี ประสิทธิภาพ 5.2.2 ต อ งมี ก ารทำให แ น ใ จว า บุ ค ลากรที่ เกี่ยวของกับ ISMS มีการพัฒนาตัวเองอยาง สม่ำเสมอ มี ก ารทำให แ น ใ จว า บุ ค ลากรที่ เ กี่ ย วข อ งกั บ ISMS มีความสามารถดำเนินงานตามหนาที่ที่ ตัวเองไดรับมอบหมายได มีการประเมินผลของการฝกอบรมและกิจกรรม ตางๆ มี ก ารเก็ บ บั น ทึ ก ที่ ร ะบุ ถึ ง ความสามารถของ บุ ค ลากรที่ ดำเนิ น การทำงานที่ เ กี่ ย วข อ งกั บ ISMS ตองทำใหบคุ ลากรตระหนักถึงความสำคัญของ ความมั่นคงของขอมูล
6. มีการจัดทำการตรวจสอบ ISMS ขององคกร
จัดเตรียมกระบวนการสำหรับการตรวจสอบ ภายในองคกร มี ก ารจั ด เตรี ย มกระบวนการสำหรั บ การ ตรวจสอบภายในองคกร บันทึกและทำเอกสารทีเ่ กีย่ วของกับกระบวนการ สำหรับการตรวจสอบภายในองคกร การวางแผนกระบวนการสำหรับการตรวจสอบ ภายในองคกร มีการวางแผนสำหรับโครงการและกิจกรรม ตางๆ สำหรับการตรวจสอบ ISMS ภายใน องคกร
ตองระบุความถีส่ ำหรับการตรวจสอบ ISMS ภายในองคกร มีการระบุตารางเวลาและระยะเวลาสำหรับ การตรวจสอบ ISMS ภายในองคกร ตองมีการกำหนดขอบเขตของการตรวจสอบ ISMS ภายในองคกรใหชดั เจน ตองระบุเกณฑในการตรวจสอบสำหรับการ ตรวจสอบภายในแตละระบบ กำหนดวิธที จี่ ะใชในการตรวจสอบ ISMS ภายใน องคกร มีการเลือกผตู รวจสอบภายในองคกร ดำเนินการตรวจสอบภายใน ดำเนิ น การการตรวจสอบ ISMS ภายใน องคกรอยางสม่ำเสมอ ตรวจสอบจุ ด ประสงค ข องวิ ธี ป อ งกั น ที่ ไ ด จัดทำใน ISMS ตรวจสอบวิธีปองกันที่ไดจัดทำใน ISMS ตรวจสอบขั้นตอนและกระบวนการ ISMS ขององคกร ดำเนินการแกไขปญหา ขจัดสิง่ ทีไ่ มเปนไปตามขอกำหนดและสาเหตุ ของปญหา ดำเนินการติดตามอยางตอเนือ่ งเพือ่ ทีจ่ ะทำให แนใจวาสิ่งที่ไมเปนไปตามขอกำหนดและ สาเหตุนั้นไดถูกขจัดอยางรวดเร็ว ตรวจสอบวิธีการที่ใชในการแกปญหาที่ได ดำเนินการไป รายงานผลลัพธทไี่ ดจากการตรวจสอบ ฉบับนีท้ า นผอู า นไดเขาสขู นั้ ตอนในการจัดทำ ISO 27001:2005 มาตรฐานเกี่ยวกับระบบ บริหารความมั่นคงปลอดภัยของสารสนเทศ (Plan-Do-Check-Act) มาแลวครึง่ ทาง คือ ขัน้ ตอน ที่ 4-6 ในมาตรฐาน สำหรับในฉบับหนาอยาลืม ติดตามกันตอในรายละเอียดอีก 2 ขั้นตอน ที่เหลือ คือขั้นตอนที่ 7 และ 8 นะครับ Bay Computing Newsletter l 6rd Issue l 15
SOLUTION UPDATE
ISAACs ระบบการยืนยันตัวบุคคล เพือ ่ ใชงานอินเทอรเน็ต z โดย อวิรท ุ ธ เลีย้ งศิริ Enterprise Solution Manager, Bay Computing
ป จ จุ บั น กฎระเบี ย บและกฎหมายที่ ใ ห ความสำคัญในการปกปองสิทธิแ์ ละความ เปนสวนตัวของผใู ช รวมถึงการปองกันปญหาและ การกระทำผิดทีเ่ กิดขึน้ ผานอินเทอรเน็ต เชน พ.ร.บ. วาดวยการกระทำความผิดเกี่ยวกับคอมพิวเตอร พ.ศ. 2550 เป น ต น นอกจากกฎระเบี ย บหรื อ กฎหมายที่ใหความสำคัญในการสืบคนตัวบุคคล และผกู ระทำผิดพลาด การยืนยันตัวบุคคลเปนสิง่ ที่ พบเห็นกันโดยทัว่ ไปในหลากหลายรูปแบบ โดยในทาง สารสนเทศ การยืนยันตัวบุคคลสามารถแบงออก เปนหลายชนิด คือ Based on Realm, User, Role, Module, Service, Organization นอกจากนีย้ งั สามารถแบงออกตามปจจัย (Factor) หลักๆ คือ Application factor เปนปจจัยที่ใชสำหรับงาน เฉพาะบางอยางหรือบางระบบ เชน ปายหรือเลข ทะเบียนรถยนต, RFID และอืน่ ๆ Ownership factor เปนปจจัยที่ใชเพื่อแสดง ความเปนเจาของ เชน บัตรประชาชน, Token, ซิมการดโทรศัพทเคลือ่ นที่ เปนตน Knowledge factor เปนปจจัยที่ใชเพื่อยืนยัน สิง่ ทีร่ ู เชน Password, รหัส PIN เปนตน Inherence factor เปนปจจัยทีไ่ ดรบั สืบทอดเปน เอกลักษณ เชน ลายนิว้ มือ (Fingerprint), มานตา (Retina), รหัสพันธุกรรม (DNA) เปนตน
พ.ร.บ. วาดวยการกระทำความผิดเกีย ่ วกับ คอมพิวเตอร พ.ศ. 2550
แผนภาพแสดงอุปกรณทสี่ ามารถเกีย่ วของและใชในการรองรับ พ.ร.บ.ฯ อยางที่ทุกทานคงไดผานหูผานตาถึงสิ่งที่ตองกระทำสำหรับการรองรับ การปฏิบัติตาม พระราชบัญญัติวาดวยการกระทำความผิดเกี่ยวกับ คอมพิวเตอร พ.ศ. 2550 มาบางแลวไมมากก็นอ ย สิง่ หนึง่ ทีห่ ลายๆ คน พบวาเปนปญหาอยางมากคือ การยืนยันตัวบุคคล (Identity Identification หรือ Authentication) เนือ่ งจากสวนใหญองคกรทัง้ ขนาดกลางและขนาด เล็ก มักขาดระบบฐานขอมูลผใู ชกลาง เชน Active Directory, LDAP เปนตน เพื่อเปนศูนยกลางในการยืนยันและระบุตัวบุคคล นอกจากนี้ การทำงานร ว มกั น ของอุ ป กรณ ที่ ห ลากหลายให ทำงานร ว มกั น กั บ ฐานขอมูลผใู ชกลาง ก็เปนกระบวนการทีย่ งุ ยากและคอนขางซับซอน
ระบบ ISAACs (Internet Service and Authentication Control System)
แผนภาพแสดงกระบวนการทำงานและเชือ่ มตอ 16 l Bay Computing Newsletter l 6rd Issue
SOLUTION UPDATE ระบบ ISAACs ถูกออกแบบมาเพื่อรองรับการยืนยันตัวบุคคล โดยมี ขอดี คือ Neutral to any Network topology ติดตั้งไดกับการวางเน็ตเวิรก ทุกๆ แบบ Flexible ยืดหยุน ปรับแตงงาย รองรับฐานขอมูลผูใชอยางกวางขวาง ทั้ง Radius, LDAP, Active Directory, Text File, Excel และอืน่ ๆ รองรับการทำงานทัง้ บนแพลตฟอรม Linux, Unix และ Windows Visibility เห็นภาพการใชงานในแบบรายบุคคล รายกลมุ และภาพรวม ทัง้ ในแบบเรียลไทม และสถิติ (statistical) รวมถึงขอมูลทีเ่ ห็นในแบบลึก ถึง Layer 7 Control ควบคุม ทัง้ Shape bandwidth และ Block / Filter content แบบ Layer 7 ประโยชนทไี่ ดรบ ั จากระบบ ISAACs คือ ควบคุมการใชงานอินเทอรเน็ตลึกถึงระดับตัวบุคคล และประเภทของ การใชงาน สามารถจัดเก็บปริมาณการใชงาน ทั้งในภาพรวมและรายละเอียด สำหรับใชในการกำหนดนโยบาย แจงเตือนเมือ่ เกิดเหตุผดิ ปกติขนึ้ ในระบบเครือขาย ยืนยันตัวบุคคล พรอมทั้งผูกรวมขอมูลและปริมาณการใชงานเปน รายบุคคล เพือ่ การตรวจสอบแบบเรียลไทมและแบบสถิตยิ อ นหลัง รองรับปริมาณผใู ชจำนวนมากๆ ไดอยางสบาย สวนประกอบของระบบ ISAACs Web Application Portal Server (Authentication Server) User Directory (LDAP, Radius, Database, etc) Traffic Management System (Procera Networks Packetlogic) Logging Server (Database, Procera Statistics Appliance) กระบวนการทำงานของระบบ ISAACs ระบบ Traffic Management System Redirect unauthorized user (IP) ไปยังเว็บพอรทลั เพือ่ ทำการ authentication
อนุญาตผใู ชทไี่ ดยนื ยันตัวตนแลว ใหสามารถ ใชงานอินเทอรเน็ตได และเก็บ activities log ไว ตรวจสอบ จัดเก็บสถิตกิ ารใชงาน ทัง้ รายผใู ช กลมุ กลมุ ไอพี และตามภูมศิ าสตร คัดกรองทราฟฟกทีไ่ มตอ งการออก ตามนโยบาย (Policy) ทีก่ ำหนด ควบคุมและเรงทราฟฟกทีเ่ หมาะสม (Shape bandwidth) ระบบ Web Authentication Portal แสดงหนา Login และหนา Logout แสดงหนานโยบายการใชงานอินเทอรเน็ต เพือ่ ใหผูใชยืนยันการรับทราบถึงนโยบายกอน จึง จะใชงานได ตรวจสอบ Credential กับฐานขอมูลผูใช ภายนอก เชน Radius, Ldap, Database, Text และอืน่ ๆ สื่ อ สารกั บ ระบบ Traffic Management System เพื่ออนุญาตหรือไมอนุญาตใหแตละ user (IP) วา สามารถออกไปอินเทอรเน็ตไดหรือไม ตรวจสอบผใู ชทไี่ มไดใชงานเกินเวลาทีก่ ำหนด และ logout อัตโนมัติ ด ว ยการทำงานที่ ยื ด หยุ น ไม ต อ งปรั บ แต ง ระบบ เครือขายเดิม สามารถปองกันการใชอินเทอรเน็ต สำ ห รั บ ผู ใ ช ที่ ยั ง ไ ม ยื น ยั น ตั ว บุ ค ค ล ไ ด ทุ ก แอพพลิเคชัน ไมเฉพาะเว็บเทานั้น แถมยังรองรับ การเชือ่ มตอกับฐานขอมูลผใู ชในหลายๆ แบบ ทัง้ database, LDAP, Radius เปนตน ดังนัน้ องคกร ทีก่ ำลังมองหาระบบการยืนยันตัวบุคคลทีใ่ ชงานงาย มีความยืดหยนุ และงายในการปรับใช จึงสามารถ ไดประโยชนสงู สุดจากระบบ ISAACs เชนกัน Bay Computing Newsletter l 6rd Issue l 17
18 l Bay Computing Newsletter l 6rd Issue
Bay Computing Newsletter l 6rd Issue l 19
20 l Bay Computing Newsletter l 6rd Issue