Bay Newsletter_issue 8 2009.pmd
1
26/10/2552, 11:23
EDITOR’S NOTE & CONTENTS
ปจจัยรอบดานในการดำเนินธุรกิจ สงผลใหทุกองคกรทั่วโลกใหความสำคัญกับ ความปลอดภัยของขอมูลที่สำคัญขององคกร อาทิเชน ขอมูลทางดานการเงิน ขอมูลลูกคา รวมถึงขอมูลทรัพยสินสำคัญอื่นๆ เนื้อหาใน Newsletter ฉบับนี้ จึงรวบรวมเรือ่ งราวเกีย่ วกับ Guardium ผลิตภัณฑ Database Security อันดับหนึง่ ทีเ่ ปนเสมือน ผรู กั ษาความปลอดภัยของขอมูล คอยสังเกตพฤติกรรมทีน่ า สงสัยของทัง้ บุคคลภายในและภายนอก องคกร โดยตัวแทนจากประเทศสหรัฐอเมริกาเขาเยีย่ มลูกคา พรอมดวยทีมงานเบย เพือ่ แนะนำ ผลิตภัณฑและแลกเปลีย่ นประสบการณของลูกคา Guardium ทัว่ โลก นอกจากนี้ Bay Computing มีความยินดีเรียนเชิญทุกทานทีส่ นใจ เขารวมงาน “โครงการอบรม ดานความปลอดภัยขอมูลเกี่ยวกับคอมพิวเตอร 2552” (The 9 th - Cyber Defense Initiative Conference 2009 : CDIC) ในวันที่ 10-11 พฤศจิกายน 2552 ณ หองบอลลูม ศูนยประชุม แห ง ชาติ สิ ริ กิ ติ์ ซึ่ ง ภายในงานจะมี ก ารจั ด ประชุ ม สั ม มนาและการออกบู ธ นิ ท รรศการจาก บริษทั ไอทีชนั้ นำมากมาย อยาลืมแวะไปรวมกิจกรรมทีบ่ ธู ของ เบย คอมพิวติง้ นะคะ z
นิดา ตัง้ วงศศริ ,ิ ผจู ดั การทัว่ ไป
2 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
2
26/10/2552, 11:23
NEWS UPDATE
Bay Computing Newsletter l 8th Issue l 3 Bay Newsletter_issue 8 2009.pmd
3
26/10/2552, 11:23
SUCCESS STORY
ทีโอที
เสริมศักยภาพความปลอดภัย และประสิทธิภาพการใชงานอินเทอรเน็ต ดวยระบบ ISAACS จากเบย คอมพิวติง้ ของแผนแมบทดานไอที ซึ่งไดรับการสนับสนุนจากฝาย บริหารและบอรดเปนอยางดี รวมถึงมีการประกาศเปนคำสัง่ ใหพนักงานทัง้ ในสวนกลางและสวนภูมภิ าครับทราบ และมี การรณรงคใหทกุ คนตระหนักถึงความสำคัญและปฏิบตั ติ าม”
มากกวาแคความปลอดภัย
คุณกิตติพงศ เตมียะประดิษฐ รองกรรมการผจู ดั การใหญ สายงานประสิทธิผลองคกร บริษทั ทีโอที จำกัด (มหาชน)
สำหรับผใู หบริการสือ่ สารโทรคมนาคมรายใหญ ซึ่งใหบริการที่ครบวงจร ทั้งบริการดานเสียง อินเทอรเน็ต ขอมูล มัลติมเี ดีย คอนเท็นต และบริการอืน่ ๆ เพื่อตอบสนองความตองการของลูกคาทุกกลุม ไมวา จะเป น ลู ก ค า ทั่ ว ไป หรื อ ลู ก ค า ธุ ร กิ จ รวมไปถึ ง การ ใหบริการเพือ่ สาธารณประโยชนอยาง “ทีโอที” การรักษา ความปลอดภัยของขอมูลถือเปนนโยบายหลักที่ทาง องคกรใหความสำคัญเปนอยางมาก คุณกิตติพงศ เตมียะประดิษฐ รองกรรมการผจู ดั การใหญ สายงานประสิทธิผลองคกร บริษทั ทีโอที จำกัด (มหาชน) ซึ่ ง รั บ ผิ ด ชอบดู แ ลระบบไอที ใ นส ว นของระบบแบ็ ก ออฟฟศ ซึ่งประกอบดวย ระบบบิลลิ่ง ระบบซีอารเอ็ม ระบบ SAP และระบบดาตาแวรเฮาส กลาววา “ทางทีโอทีถือวานโยบายดานการรักษาความปลอดภัย ดานไอทีภายในองคกรเปนเรือ่ งทีส่ ำคัญ เพราะหากขอมูล สำคัญอยางขอมูลลูกคาหรือขอมูลทางการเงินมีการ รัว่ ไหลหรือถูกแฮกขอมูลออกไป ก็จะสงผลเสียตอธุรกิจ ทั้งในเรื่องของภาพลักษณและความไวเนื้อเชื่อใจของ ลูกคาที่มีตอองคกร หรือหากขอมูลในดาตาแวรเฮาส เสียหาย ก็จะสงผลทำใหผบู ริหารไมสามารถนำขอมูลไป วิเคราะหเพือ่ ประกอบการตัดสินใจไดอยางมีประสิทธิภาพ ดังนัน้ ทางทีโอทีจงึ กำหนดใหเรือ่ ง IT Security เปนสวนหนึง่
นอกจากระบบรักษาความปลอดภัยหลักอยาง Firewall, IDS, IPS ที่ทางทีโอทีนำมาใชปกปองขอมูลที่สำคัญของ องคกรแลว ทางทีโอทียังไดนำระบบ ISAACS (Internet Service And Authentication Control System) ของบริษทั เบย คอมพิวติง้ จำกัด มาใชควบคุมการใชงานอินเทอรเน็ต ขององคกรดวย โดยระบบควบคุมการใชงานอินเทอรเน็ต ISAACS เปนระบบยืนยันตัวตน (Identity) ที่ออกแบบมาเพื่อปองกัน การใชงานอินเทอรเน็ตโดยไมไดรับอนุญาต ทำใหองคกรสามารถให บริการอินเทอรเน็ตแกพนักงานไดอยางถูกตองตามพระราชบัญญัติ วาดวยการกระทำความผิดเกีย่ วกับคอมพิวเตอร พ.ศ. 2550 ประกอบดวย ระบบจัดการ bandwidth ระบบจัดเก็บ Log และระบบยืนยันตัวตน (Authentication) คุณสมชัย เอือ้ ปยฉัตร ผจู ดั การฝายเทคโนโลยีสารสนเทศ บริษทั ทีโอที จำกัด (มหาชน) กลาวถึงประเด็นสำคัญที่ทางทีโอทีนำระบบควบคุม การใชงานอินเทอรเน็ตมาใชวา “ประเด็นแรกคือ เรื่องความปลอดภัย ประเด็นที่ 2 คือ เรือ่ งการปฏิบตั ติ าม พ.ร.บ. วาดวยการกระทำความผิด ทางคอมพิวเตอร พ.ศ. 2550” เนื่องจากทีโอที ถือเปนผูใหบริการ อินเทอรเน็ต (ISP) รายหนึง่ ซึง่ ใหบริการอินเทอรเน็ตทัง้ กับผใู ชภายใน องคกรและลูกคาภายนอก “นอกจากนี้สิ่งที่เราไดเพิ่มคือ เราสามารถ ควบคุม bandwidth หรือทราฟฟกการใชอนิ เทอรเน็ตได ทำใหยสู เซอร มีการใชงานอินเทอรเน็ตทีถ่ กู ตองขึน้ ไมไปดาวนโหลดไฟลหรือเขาเว็บไซต ทีไ่ มปลอดภัย ฉะนัน้ ภายในเครือขายเองก็จะมีความปลอดภัยมากขึน้ ”
ตอบทุกโจทยสำหรับองคกรขนาดใหญ
สำหรับเกณฑในการพิจารณาเลือกใชระบบควบคุมการใชงานอินเทอรเน็ต สำหรับองคกรที่มีผูใชจำนวนมากอยางทีโอทีนั้น คุณสมชัยอธิบายวา “เกณฑพจิ ารณาคือ ตองตอบความตองการของเราได หนึง่ คือ ระบบตอง สามารถเก็บ Log ไดตามที่ พ.ร.บ. ทัง้ ในแงของทรานสแอ็กชัน ในแงของ สตอเรจ วาตองใชขนาดเทาใดจึงจะรองรับปริมาณทราฟฟกที่ตองเก็บ
4 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
4
26/10/2552, 11:23
SUCCESS STORY
คุณสมบัตเิ บือ ้ งตนของระบบ ISAACS ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
ควบคุมสิทธิก์ ารเขาใชอนิ เทอรเน็ต ควบคุมปริมาณและความเร็วในการใชงาน (Bandwidth) เปนรายคน หรือรายกลมุ แสดงปริมาณการใชงาน เพือ่ การออกนโยบาย หรือจัดเก็บคาใชจา ย ตรวจหาและควบคุมการใชงานทีไ่ มเหมาะสม เชน Bit Torrent Drill-down รายละเอียดการใชงาน ไดแบบเรียลไทมและยอนหลัง แจงเตือนการกระทำทีผ่ ดิ ปกติในระบบ (Alert) ตรวจสอบการยืนยันตัวบุคคลกับระบบฐานขอมูลภายนอกชนิดตางๆ ไดหลากหลายรูปแบบ ระบบมีความยืดหยนุ สามารถปรับแตงใหสอดคลองกับความตองการ
บันทึกไวไดตามระยะเวลาที่ พ.ร.บ. กำหนด โดยประเมินจากปริมาณทราฟฟกของยูสเซอร ของเราทีม่ เี ปนหมืน่ ซึง่ ตองเก็บทุกวันทุกวินาทีทมี่ ที ราฟฟกผานเขา-ออก และไหนๆ เราซือ้ คุณสมชัย เอือ้ ปยฉัตร ผจู ดั การฝายเทคโนโลยีสารสนเทศ ระบบพวกนีม้ าแลว อีกคุณสมบัตหิ นึง่ ทีร่ ะบบตองรองรับคือ ตองสามารถควบคุมทราฟฟกได บริ ษทั ทีโอที จำกัด (มหาชน) เพือ่ จัดสรรปริมาณและความเร็วในการใชงาน (Bandwidth) ใหแตละคนหรือแตละกลมุ ไดอยาง เหมาะสม ทราฟฟกไหนไมจำเปนก็ปด เชน Bit Torrent ซึ่งกิน bandwidth แทบทั้งหมด ขององคกร จากเดิมที่ bandwidth เต็มเร็ว อินเทอรเน็ตชา คนทีจ่ ะทำงาน เขาระบบไมได ซึง่ กระทบกับงานหลักของเรา” ความคม ุ คา..คำตอบสุดทาย “แตเมื่อนำระบบนี้มาควบคุม bandwidth ทำใหตอนนี้ไมมีปญหาเขา อินเทอรเน็ตไมได คนทีท่ ำงานก็สามารถใชงานไดอยางทีต่ อ งการ นอกจากนี้ ระบบยังชวยใหเรามี bandwidth เพียงพอ ไมตอ งเสียคาใชจา ยในการ เพิม่ bandwidth โดยปจจุบนั เรามี bandwidth ทีร่ บั ไดถงึ 400 Mbps แตเราสามารถบริหารจัดการใหใชแค 100-200 Mbps ได เนื่องจาก เมือ่ ปด Bit Torrent แลว ทราฟฟกหายไปถึง 70-80 เปอรเซ็นตเลยทีเดียว และไวรัสยังนอยลงอยางเห็นไดชัดอีกดวย ดานผูดูแลระบบก็ทำงาน งายขึ้น ไมตองมานั่งคอยรับโทรศัพทและแกปญหาเน็ตเวิรก ซึ่งแบ็ก ออฟฟศทัว่ ประเทศแจงเขามา”
สำหรับการตัดสินใจ
บริการเหนือระดับ
เนือ่ งจากทีโอที เปนหนวยงานภาครัฐ ดังนัน้ การจัดซือ้ ระบบตางๆ จึงตอง มีการเขียน TOR และจัดซื้อผานระบบ e-Auction โดยทีโอทีจะเนน ผลิตภัณฑทมี่ ชี อื่ เสียงอันดับ 1-2 ในตลาด สำหรับระบบควบคุมการใช อินเทอรเน็ตนัน้ ทางเบย คอมพิวติง้ สามารถนำเสนอระบบทีถ่ กู ตองตาม สเปก และราคาสามารถแขงขันกับรายอืน่ ได จึงไดรบั เลือกใหเปนผตู ดิ ตัง้ ระบบนีใ้ หกบั ทีโอที ซึง่ เบยกไ็ มทำใหทโี อทีผดิ หวัง ดวยทีมงานทีม่ คี วาม เชีย่ วชาญ และการบริการทีเ่ ต็มที่ จึงสามารถติดตัง้ ระบบควบคุมการใช งานอินเทอรเน็ต ซึง่ เปนระบบทีม่ คี วามซับซอนคอนขางมาก ทัง้ จากการ กำหนดคาใหกบั อุปกรณทหี่ ลากหลายและตองปรับจูนใหเขากับหนาจอที่ มีกวาหมืน่ หนาจอของระบบตางๆ ของทีโอที ไดอยางประสบความสำเร็จ
เรื่องการรักษาความปลอดภัย นับวันยิ่งมีความสำคัญ มากขึน้ สิง่ ตางๆ ทีม่ ใี นปจจุบนั ก็อาจลาสมัย ดังนัน้ เรา ตองเตรียมตัวใหพรอม แตดวยสภาพเศรษฐกิจที่ชะลอ เชนในปจจุบนั ทีม่ กี ารลดงบประมาณในทุกดาน รวมถึง ดานไอที การจะตัดสินใจลงทุนระบบอะไรเพิม่ นัน้ เปนเรือ่ ง ทีต่ อ งพิจารณากันอยางรอบคอบ ซึง่ คุณกิตติพงศไดให แงคดิ สำหรับเรือ่ งนีว้ า “สำหรับทีโอที เรายังคงยึดตามแผน แมบทดานการรักษาความปลอดภัยที่วางไวถึงป 2556 ซึ่งเปนแผนระยะยาว และในแตละป เราจะมีการเสนอ ขอซือ้ อุปกรณหรือซอฟตแวรทจี่ ำเปนเขามา โดยเฉพาะใน สภาวะเศรษฐกิจแบบนี้ ทำใหเราตองจัดสรรงบประมาณ ตามความจำเปน โดยพิจารณาจากความคมุ คาเปนสำคัญ และตองมีความรวมมือกับพารตเนอรและเลือกใชทลู สทดี่ ี เพราะถาเรามีทลู สทดี่ ี เราก็สามารถลดจำนวนคนลงได ขณะที่เรายังสามารถทำงานไดอยางมีประสิทธิภาพ หาเรือ่ ง ซึง่ จำเปนกับเราซึง่ เปนหนวยงานภาครัฐทีม่ กั มีปญ การขาดแคลนบุคลากร อยางระบบ ISAACS ของเบย ผมยอมรับวาเราพึงพอใจในระดับหนึง่ เนือ่ งจากคอนขาง ไดประโยชนทคี่ มุ คา ระบบนีช้ ว ยเราไดเยอะ เพราะเรามี บุคลากรดานซีเคียวริตี้แค 3-4 คน แตสามารถดูแล องคกรไดทวั่ ประเทศ”
คุณกิตติพงศ กลาวถึงความประทับใจที่ไดรับจากการใหบริการของ เบย คอมพิวติง้ วา “เบยมศี กั ยภาพทางดานผเู ชีย่ วชาญดานเทคโนโลยี และใหบริการทีด่ แี ละเต็มที่ แคโทรศัพทไปแจงปญหาก็มที มี งานเขามา แกไขระบบใหอยางรวดเร็ว ขณะทีบ่ างรายมีทมี ซัพพอรตนอย ทำใหไม หาใหเราไดอยางทันการณ ซึง่ เราพึงพอใจในเรือ่ งนี”้ สามารถเขามาแกปญ
“การทีเ่ รามีบคุ ลากรทีม่ คี วามสามารถ จริงใจ และจริงจัง กับงาน ไดรบั ความรวมมือจากผขู าย และไดรบั นโยบาย สนับสนุนจากผบู ริหารระดับสูง ทำใหงานทุกอยางราบรืน่ ” คุณกิตติพงศกลาวสรุปถึงองคประกอบสำคัญทีท่ ำใหการ ติดตัง้ ระบบประสบความสำเร็จ Bay Computing Newsletter l 8th Issue l 5
Bay Newsletter_issue 8 2009.pmd
5
26/10/2552, 11:23
IT SECURITY
ทิปความปลอดภัยในสังคมออนไลน สำหรับธุรกิจขนาดเล็ก เครือขายสังคมออนไลน เปนเว็บไซตที่ถูกออกแบบมาเพื่อใหผูใชงานไดมีสวนรวมในการใชงานเว็บไซต (Human Interaction) โดยเปดโอกาสใหผูใชงานสามารถติดตอกับผูอื่น แลกเปลี่ยนประสบการณ ขอมูล ความคิดเห็น ซึ่งเว็บไซตเหลานี้สามารถขามขอบเขตระหวางการติดตอเชิงสังคมทั่วไปกับธุรกิจ เพราะเปนการ อนุญาตใหผคู นจากทุกแหงในโลกใบนีส้ ามารถเขามาสเู ครือขายของตนและติดตอสือ่ สารกันได
z โดย เทรนด ไมโคร
เครือขายทัง้ หมดนีก้ อ ตัวขึน้ ไดอยางงายดาย นัน่ คือ ผใู ชงานสามารถสรางเครือขายของ Contacts ภายใตความเชือ่ ใจ ซึง่ กันและกัน นอกจากนี้ ผใู ชงานสามารถสรางหัวขอและเนือ้ หาตางๆ (Contents) เพือ่ ใหกลมุ เพือ่ นของตนไดเขามา เยี่ยมชม ในทางกลับกันผูใชงานก็สามารถเขาไปเยี่ยมชมหัวขอและเนื้อหาที่เพื่อนสรางขึ้นไดดวย ซึ่งปกติแลว หัวขอและเนือ้ หาจะมีความหลากหลาย เชน รูปภาพกิจกรรมในวันหยุด สิง่ ทีต่ นสนใจ ขาวสารลาสุด ความคิดเห็น และขอเสนอแนะ รวมถึงขอมูลสวนบุคคลทีส่ ำคัญตางๆ ในขณะที่แนวโนมการกอกวนและมุงรายที่มีเพิ่มขึ้น ทั้ง จากเพื่อนในกลุม contacts หนึ่งหรือมากกวาหนึ่งที่ หักหลังกันเอง หรือจากความพยายามเขามาควบคุม ระบบโดยไมไดรับอนุญาต (Compromised) ซึ่งเปน สิง่ ทีส่ ามารถเกิดขึน้ ไดเมือ่ มีบางคนทีพ่ ยายามเพิม่ หรือไดรบั สิทธิในการควบคุม account ของคุณ คุณเพิม่ ชือ่ ผตู ดิ ตอโดยเขาใจผิดวาเปนคนทีร่ จู กั เขามา ในเครือขายของตน คุณเพิ่มชื่อผูติดตอที่คิดวาไวใจไดเขามาในเครือขาย ของตน ทัง้ ทีค่ วามจริงแลวเปนคนทีไ่ วใจไมได การตั้ ง ค า ระบบป อ งกั น ความเป น ส ว นตั ว ไม ดี พ อ จนเปนเหตุใหขอ มูลหลุดไปยังผทู ไี่ มเกีย่ วของ ผลกระทบของรอยรั่ ว เหล า นี้ เริ่ ม จากการที่ ข อ มู ล สวนบุคคลหลุดรอดออกไปแลวสรางความอับอายใน เชิงบุคคล ไปจนถึงระดับธุรกิจ โดยตัวอยางงายๆ ใน การรั่วไหลของขอมูลสวนบุคคลที่มีการเขียน (Post) ขอความสวนตัวใหกับเพื่อนในเครือขายสังคมออนไลน โดยพรรณนาถึงแผนในการสรางความประทับใจกับแฟน ของตนเรื่องการขอเธอแตงงาน แตโชคไมดีที่การลง ข อ ความนั้ น ทุ ก คนสามารถเห็ น ได รวมถึ ง แฟนของ เคาดวย ดังนัน้ หากพิจารณาในเชิงธุรกิจทีข่ อ มูลสำคัญ ทางธุ ร กิ จ รั่ ว ไหล หรื อ ข อ ความที่ ตำหนิ ผู บ ริ ห ารหรื อ เพื่ อ นร ว มงานอย า งรุ น แรงที่ รั่ ว ไหลออกไป ย อ มส ง ผลกระทบตอภาพลักษณขององคกรอยางแนนอน 6 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
6
26/10/2552, 11:23
IT SECURITY
เมือ่ พิจารณาถึงความเปนไปไดทฐี่ านขอมูล Contacts ที่ อยูบนเครือขายสังคมออนไลนเหลานี้จะเปนแหลงที่ ผูไมประสงคดีตองการนำไปใชงาน อยางแรกก็คงเปน การนำมาใชเปนชองทางการโฆษณา ถัดมาก็เพือ่ รวบรวม ขอมูลสวนตัวของแตละ Contact เชน อีเมล เบอรโทรศัพท เปนตน และอยางที่สามเปนความพยายามในการทำ Phishing หรือติดตั้งมัลแวร เพื่อสรางชองทางใหเหลา แฮกเกอรสามารถเขารวบรวมขอมูลตางๆ โดยเฉพาะ หากมีการเก็บขอมูลของพนักงานไว แลวนำไปใชดำเนินการ อยางอืน่ ตอไป เชน การเจาะ Login และรหัสผาน การ หลอกลวง (Social Engineering) เพือ่ ใหไดขอ มูลสวนตัว ของบุคคลนัน้ หรือผทู เี่ กีย่ วของเพิม่ ขึน้ เปนตน ซึง่ ในสวน ที่แฮกเกอรสามารถติดตั้งมัลแวรไดบนเครื่องของคุณ นัน่ หมายถึง แฮกเกอรจะสามารถเพิม่ สิทธิใหตนเองในการ เขาสรู ะบบและควบคุมระบบทัง้ หมด รวมทัง้ ขโมยขอมูล ที่ เ ป น ความลั บ ทุ ก อย า งผ า นเครื่ อ งมื อ ที่ เ ก็ บ ข อ มู ล ที่ พิมพบนแปนพิมพ (Keyloggers) ไวทงั้ หมด ตัวอยางเมื่อเร็วๆ นี้ของภัยคุกคามที่มุงเปาไปที่สังคม ออนไลน นัน่ คือ KOOBFACE ซึง่ เปนมัลแวรรปู แบบใหม ที่สามารถทำงานและแพรกระจายผานเครือขายสังคม ออนไลนไดสำเร็จ ในขณะทีม่ ลั แวรรปู แบบเดิมๆ ไมสามารถ ทำได โดย 1 ปทผี่ า นมานับตัง้ แตพบ KOOBFACE ตัวแรก มัลแวรก็ทวีความแข็งแกรงขึ้นจนสามารถขยายมาถึง เครือขายสังคมออนไลนไดในทีส่ ดุ และคงแพรกระจายได ในเวลาไมนกั ซึง่ หากตองการศึกษารายละเอียดเกีย่ วกับ ภัยคุกคามนี้ สามารถศึกษาเพิม่ เติมไดที่ http://us.trendmicro.com/us/trendwatch/researchand-analysis/index.html
สำหรับธุรกิจขนาดเล็กอยาเพิ่งสิ้นหวัง เพราะมีขั้นตอน งายๆ ที่จะปองกันตนเองและพนักงานของตน นำมา ฝากกัน ดังนี้ ประการแรก ตองวางนโยบายในการใชงานเครือขาย สังคมออนไลนในชวงเวลางาน และตองสรางความรคู วาม เขาใจในเรือ่ งของความเสีย่ งในการใชอนิ เทอรเน็ตทัว่ ๆ ไป และวิธกี ารใชอนิ เทอรเน็ตทีป่ ลอดภัย และทีส่ ำคัญจะตอง ทำใหพนักงานตระหนักถึงขอมูลและรูปภาพขององคกร ทีจ่ ะนำไปเปดเผยไวในเครือขายสังคมออนไลน เรือ่ งถัดมา คือ การติดตัง้ ซอฟตแวรรกั ษาความปลอดภัย บนเครือ่ งคอมพิวเตอรทงั้ เครือ่ งพีซแี ละแลปทอปทุกเครือ่ ง และต อ งมั่ น ใจว า มี ขั้ น ตอนในการบริ ห ารจั ด การที่ ดี เพียงพอ ตลอดจนมีการอัพเดตระบบและความปลอดภัย ใหทนั สมัยอยเู สมอ สุดทาย จะตองมั่นใจวาสามารถบังคับใชนโยบายที่ วางไว รวมถึงจำกัดการใชงานอินเทอรเน็ตทีเ่ ปนอันตราย และไมเกีย่ วของกับการทำงานในชวงเวลางานได เพราะ ไมใชเพียงแตจะสรางความปลอดภัยใหกบั ระบบโดยรวม แตยงั ชวยเพิม่ ศักยภาพในการทำงานของพนักงานได อีกดวย ซึง่ จำเปนตองมี URL Filtering ชวยในการ จัดการในเรือ่ งนี้ และหากมีแลปทอปทีต่ อ งนำไป ใชงานภายนอก ก็ตอ งมัน่ ใจวาระบบทีม่ เี พียงพอ ในการรักษาความปลอดภัยได สามารถอานทิป ขอมูล และคำแนะนำเพิม่ เติมได จาก Trend Micro Threat Resource Centre ที่ http://us.trendmicro.com/us/trendwatch/ Bay Computing Newsletter l 8th Issue l 7
Bay Newsletter_issue 8 2009.pmd
7
26/10/2552, 11:23
ISMS STANDARD
เสริมมาตรการความปลอดภัยไอที ดวย ISO 27001:2005 ตอนที่ 6
“Annex A”
z โดย ภัคณัฏฐ โพธิท ์ องบวรภัค, Senior Network and Security Engineer, บริษทั เบย คอมพิวติง้ จำกัด
สวัสดีทา นผอู า นทุกทาน พบกันในตอนที่ 6 ของ ISO 27001:2005 มาตรฐานความปลอดภัย ขอมูลสารสนเทศ ซึง่ เนือ้ หากำลังทวีความเขมขนขึน้ เปนลำดับ สำหรับตอนที่ 1 ถึงตอนที่ 5 ได กลาวถึง Introduction, Definitions และ Section 4-8 สวนตอนที่ 6 นีจ้ ะกลาวถึง Annex A ซึง่ ไดแก ภาคผนวกที่รวบรวมเอาตัวควบคุมตางๆ ไว เพื่อใหแตละองคกรเลือกนำไปใชตามความเหมาะสม เรา มาเขาเรือ่ งกันเลยดีกวานะครับ เพือ่ ไมใหเสียเวลา ตัวควบคุมใน Annex A แตกตางจากใน Section 4-8 ตรงที่ใน Section 4-8 บังคับใหตองมีการจัดทำทุกตัว สวนใน Annex A เราสามารถเลือกไมทำไดใน บางขอ ในกรณีทอี่ งคกรไมไดมีการดำเนินธุรกิจทีเ่ กีย่ วของในตัวควบคุมขอนัน้ ๆ ครับ และ Annex A คือ สวนหนึง่ ของเอกสารทีต่ อ งจัดทำขึน้ ทีเ่ รียกวา SoA หรือ Statement of Applicability ซึง่ เปนการประกาศ นโยบายวาจะนำเอาตัวควบคุมใดบางมาใชกบั องคกรของเรา เนือ้ หาของ Annex A มีอยู 11 ขอ โดยจะ เริม่ จากขอ 5 สำหรับฉบับนีเ้ ราจะมาดูรายละเอียดในขอ 5 ถึงขอ 7 กันกอนนะครับ
A.6.1.1 การใหความสำคัญของผูบริหารและ กำหนดใหมีการบริหารจัดการทางดานความ มัน่ คงปลอดภัย (Management commitment to information security) ตัวควบคุม : ระดับบริหารตองมีความตืน่ ตัวอยางสูง ในการทีจ่ ะสนับสนุนการรักษาความปลอดภัยของ ขอมูลสารสนเทศภายในองคกร วาสามารถดำเนิน ไปไดอยางประสบความสำเร็จและถูกทิศทาง มีการ มงุ เสนอขอพิจารณา มีการแตงตัง้ ผทู ไี่ ดรบั มอบหมาย อยางชัดเจน และมีประกาศผรู บั ผิดชอบในการดูแล เรื่องการรักษาความปลอดภัยขอมูลใหรับทราบ
A.5 นโยบายความมัน ่ คง ปลอดภัย (Security policy)
อนุมัติโดยระดับบริหารและประกาศใชอยางเปน ทางการ และมีการสือ่ สารใหทางพนักงานทัง้ หมด รับทราบ รวมถึงบริษทั หรือผมู สี ว นเกีย่ วของกับทาง องคกร
A.5.1 นโยบายความมัน่ คงปลอดภัย สารสนเทศสำหรับองคกร (Information security policy)
A.5.1.2 การทบทวนนโยบายความมั่นคง ปลอดภัยสารสนเทศ (Review of the information security policy) ตัวควบคุม : นโยบายการรักษาความปลอดภัย ขอมูลสารสนเทศจะตองมีการทบทวนในระหวาง ขัน้ ตอนการจัดทำ หรือเมือ่ มีการแกไขเปลีย่ นแปลง ตองแนใจวา นโยบายการรักษาความปลอดภัย ขอมูลสารสนเทศมีความเหมาะสมเพียงพอและมี ประสิทธิผล
A.6.1.2 การประสานงานความมัน่ คงปลอดภัย ภายในองคกร (Information security co-ordination) ตัวควบคุม : กิจกรรมดานการรักษาความปลอดภัย ขอมูลสารสนเทศตองมีการดำเนินงานโดยมีตวั แทน ของหนวยงานตางๆ ขององคกรทีม่ บี ทบาทหนาที่ และการทำงานที่เกี่ยวของ
นโยบายด า นการรั ก ษาความปลอดภั ย ข อ มู ล สารสนเทศ
วั ต ถุ ป ระสงค : มีการกำหนดแนวทางในการ บริหารจัดการและสนับสนุนนโยบายการรักษา ความปลอดภัยขอมูลสารสนเทศ ใหสอดคลองกับ ความตองการในการดำเนินธุรกิจขององคกรและ สอดคลองกับขอกฎหมายและขอกำหนดตางๆ A.5.1.1 เอกสารนโยบายความมัน่ คงปลอดภัย สารสนเทศที่เปนลายลักษณอักษร (Information security policy document) ตัวควบคุม : นโยบายการรักษาความปลอดภัย ขอมูลสารสนเทศ จะตองไดรบั การ
A.6 โครงสรางทางดานความ มัน่ คงปลอดภัยสำหรับองคกร (Organization of information security) A.6.1 โครงสรางทางดาน ความปลอดภัยภายในองคกร (Internal organization)
วัตถุประสงค : มีการบริหารจัดการการรักษา ความปลอดภัยขอมูลสารสนเทศภายในองคกร
A.6.1.3 การกำหนดหนาที่ความรับผิดชอบ ทางดานความมัน่ คงปลอดภัย (Allocation of information security responsibilities) ตัวควบคุม : หนาที่ความรับผิดชอบในดานการ รักษาความปลอดภัยขอมูลสารสนเทศตองมีการ กำหนดอยางชัดเจน A.6.1.4 กระบวนการในการอนุมัติการใชงาน อุปกรณประมวลผลสารสนเทศ (Authorization process for information processing facilities) ตัวควบคุม : ขัน้ ตอนในการอนุมตั สิ ำหรับการใชงาน สิ่งอำนวยความสะดวกสารสนเทศใหม จะตองมี การจัดเตรียมและจัดทำ A.6.1.5 การลงนามมิใหเปดเผยความลับของ องคกร (Confidentiality agreements) ตัวควบคุม : มีการกำหนดขอตกลงและปองกัน สำหรั บ ข อ มู ล ที่ เ ป น ความลั บ และไม ส ามารถ
8 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
8
26/10/2552, 11:23
ISMS STANDARD เปดเผยได ทีม่ ผี ลกระทบตอองคกร และตองมีการ บงชีแ้ ละทบทวนอยเู สมอ A.6.1.6 การมีรายชือ่ และขอมูลสำหรับติดตอ กับหนวยงานอืน่ (Contact with authorities) ตัวควบคุม : ตองมีรายชือ่ และขอมูลสำหรับติดตอ กั บ หน ว ยงานอื่ น ๆ เพื่ อ ใช สำหรั บ การติ ด ต อ ประสานงานทางดานความมัน่ คงปลอดภัยในกรณี ที่มีความจำเปน A.6.1.7 การมีรายชือ่ และขอมูลสำหรับการติดตอ กับกลมุ ทีม่ คี วามสนใจเปนพิเศษในเรือ่ งเดียวกัน (Contact with special interest groups) ตัวควบคุม : ตองมีรายชื่อและขอมูลสำหรับการ ติดตอกับกลุมตางๆ ที่มีความสนใจพิเศษในเรื่อง เดี ย วกั น กลุ ม ที่ มี ค วามสนใจด า นความมั่ น คง ปลอดภัยสารสนเทศ หรือสมาคมตางๆ ทีอ่ งคกรมี สวนเกีย่ วของ A.6.1.8 การทบทวนดานความมัน่ คงปลอดภัย สำหรับสารสนเทศโดยผูตรวจสอบอิสระ (Independent review of information security) ตัวควบคุม : องคกรจะตองเขาถึงการจัดการและ จัดทำการปองกันความปลอดภัยขอมูลสารสนเทศ เชน วัตปุ ระสงคในการควบคุม ตัวควบคุม นโยบาย ขั้นตอน และขอปฏิบัติ สำหรับการปองกันความ ปลอดภัยขอมูลสารสนเทศ และตองมีการทบทวน อยางเปนกลางในขั้นตอนการจัดเตรียม และเมื่อ มีการเปลีย่ นแปลงแกไข
A.6.2 โครงสรางทางดานความ มัน ่ คงปลอดภัยทีเ่ กีย ่ วของกับลูกคา หรือหนวยงานภายนอก (External parties)
วัตถุประสงค : เพื่อบำรุงรักษาความปลอดภัย ขอมูลสารสนเทศขององคกร และสิง่ อำนวยความ สะดวกตางๆ ที่ถูกเขาถึง ประมวลผล และการ ติดตอสือ่ สารกับลูกคาหรือหนวยงานภายนอก A.6.2.1 การประเมินความเสีย่ งของการเขาถึง ส า ร ส น เ ท ศ โ ด ย ห น ว ย ง า น ภ า ย น อ ก (Identification of risks related to external parties) ตัวควบคุม : ตองกำหนดใหมีการประเมินความ เสี่ยงอันเกิดจากการเขาถึงสารสนเทศ หรือสิ่ง อำนวยความสะดวกตางๆ ทีใ่ ชในการประมวลผล โดยหนวยงานภายนอก และกำหนดมาตรการ รองรับหรือแกไขที่เหมาะสมกอนที่จะอนุญาตให สามารถเขาถึงได
A.6.2.2 การระบุขอกำหนดสำหรับลูกคาหรือ ผใู ชบริการทีเ่ กีย่ วของกับความมัน่ คงปลอดภัย สำหรับสารสนเทศขององคกร (Addressing security when dealing with customers) ตัวควบคุม : ตองระบุขอกำหนดทางดานความ มัน่ คงปลอดภัยสำหรับสารสนเทศขององคกร เมือ่ มีความจำเปนตองใหลูกคาหรือผูใชบริการเขาถึง สารสนเทศหรือทรัพยสินสารสนเทศขององคกร กอนที่จะอนุญาตใหสามารถเขาถึงได A.6.2.3 การระบุและจัดทำขอกำหนดสำหรับ หนวยงานภายนอกทีเ่ กีย่ วของกับความมัน่ คง ปลอดภัยสำหรับสารสนเทศขององคกร (Addressing security in third party agreements) ตัวควบคุม : ตองระบุและจัดทำขอกำหนดหรือ ขอตกลงทีเ่ กีย่ วของกับความมัน่ คงปลอดภัยสำหรับ สารสนเทศระหวางองคกรและหนวยงานภายนอก เมื่ อ มี ค วามจำเป น ต อ งให ห น ว ยงานนั้ น เข า ถึ ง สารสนเทศหรืออุปกรณประมวลผลสารสนเทศของ องคกร กอนทีจ่ ะอนุญาตใหสามารถเขาถึงได
A.7 การบริหารจัดการ ทรัพยสน ิ ขององคกร (Asset management)
A.7.1.3 การใชงานทรัพยสินที่เหมาะสม (Acceptable use of assets) ตัวควบคุม : ตองจัดทำกฎระเบียบ หรือหลักเกณฑ เปนลายลักษณอกั ษรสำหรับการใชงานสารสนเทศ และทรั พ ย สิ น ที่ เ กี่ ย วข อ งกั บ การประมวลผล สารสนเทศอย า งเหมาะสม เพื่ อ ป อ งกั น ความ เสี ย หายต อ ทรั พ ย สิ น เหล า นั้ น อั น เกิ ด จากการ ขาดความระมัดระวัง ขาดการดูแล และเอาใจใส เปนตน
A.7.2 การจัดหมวดหมส ู ารสนเทศ (Information classification)
A.7.1 หนาทีค ่ วามรับผิดชอบตอ ทรัพยสน ิ ขององคกร (Responsibility for assets)
วัตถุประสงค : เพือ่ ปองกันทรัพยสนิ ขององคกรจาก ความเสียหายที่อาจเกิดขึ้นได A.7.1.1 การจัดทำบัญชีทรัพยสนิ (Inventory of assets) ตัวควบคุม : ตองมีการจัดทำและปรับปรุงแกไขบัญชี ทรัพยสนิ ทีม่ คี วามสำคัญตอองคกรใหถกู ตองอยเู สมอ
A.7.1.2 การระบุผูเปนเจาของทรัพยสิน (Ownership of assets) ตัวควบคุม : ตองมีการระบุผเู ปนเจาของสารสนเทศ แตละชนิด และทรัพยสนิ ทีเ่ กีย่ วของกับการประมวลผล สารสนเทศตามที่กำหนดไวในบัญชีทรัพยสิน
วัตถุประสงค : เพื่อกำหนดระดับของการปองกัน สารสนเทศขององคกรอยางเหมาะสม A.7.2.1 การจัดหมวดหมทู รัพยสนิ สารสนเทศ (Classification guidelines) ตัวควบคุม : ตองจัดใหมีกระบวนการในการจัด หมวดหมูของทรัพยสินสารสนเทศตามระดับชั้น ความลับ คุณคา ขอกำหนดทางกฎหมาย และ ระดับความสำคัญที่มีตอองคกร ทั้งนี้ เพื่อจะได หาวิธีปองกันไดอยางเหมาะสม A.7.2.2 การจัดทำปายชื่อ และการจัดการ ทรัพยสินสารสนเทศ (Information labeling and handling) ตัวควบคุม : ตองมีขั้นตอนในการปฏิบัติในการ จัดทำปายชื่อและการจัดการทรัพยสินสารสนเทศ ที่ไดจัดหมวดหมูไวแลว
สำหรับฉบับนี้เราไดกลาวถึงบทหนึ่งใน ISO 27001:2005 ในสวนของ Annex A ซึ่งเปนตัว ควบคุมหนึ่งที่นำมาใชในการจัดทำ SoA (Statement of Applicability) และใชในการควบคุม ตรวจสอบองคกร เพื่อใหสามารถดำเนินกิจกรรมเกี่ยวกับ ISO 27001:2005 มาตรฐานความ ปลอดภัยขอมูลสารสนเทศ โดยกลาวถึงหัวขอ 5 ถึงขอ 7 ในฉบับหนาเราจะกลาวถึงสวนทีเ่ หลือ กันตอนะครับ สำหรับฉบับนี้คงตองขอลากันกอน พบกันใหมฉบับหนา สวัสดีครับ Bay Computing Newsletter l 8th Issue l 9
Bay Newsletter_issue 8 2009.pmd
9
26/10/2552, 11:23
TECHNOLOGY UPDATE
Virtualization Technology Fundamental Part II z โดย อวิรท ุ ธ เลีย้ งศิริ Enterprise Solution Manager, บริษทั เบย คอมพิวติง้ จำกัด
ปจจุบนั แนวโนมทางเทคโนโลยีเสมือน (Virtualization Technology) กำลังเปนแนวโนมใหมทใี่ นหลายๆ สาขา ของเทคโนโลยีสารสนเทศ กำลังนำไปปรับใช โดยบทความนี้จะนำเสนอภาพรวมของเทคโนโลยีเสมือน เพือ่ ใหเขาใจถึงทีม่ า ลักษณะพิเศษ และประโยชนทจี่ ะไดรบั สำหรับการศึกษาเพิม่ เติม หรือ นำเทคโนโลยีมาปรับใช กับการทำงานตอไป ภาพแสดงการทำงานของ เทคโนโลยี Virtualization
ตัวอยางของประโยชนทไี่ ดรบั จากการทำ Virtualization 1. Server consolidation โดยลดจำนวนเครือ่ งลง เพือ่ ให เกิดประสิทธิภาพสูงขึน้ 2. Green-IT initiative ลดปริมาณการใชพลังงานไฟฟา ทัง้ ในสวนของการประมวลผล และการทำความเย็น 3. เพิม่ Availability ของฮารดแวรและแอพพลิเคชัน 4. Utility computing สามารถเพิม่ ประสิทธิภาพของระบบ ไดตามตองการ และเมือ่ ตองการ เทคโนโลยี Virtualization ทีค่ วรจับตา 1. Virtual Appliance 2. Data center virtualization หรือ Cloud computing
Virtual Appliance
เทคโนโลยีใหมทนี่ ำการทำ Virtualization มาประยุกตใชใน การสราง Appliance เสมือนขึน้ โดยใช Server Hardware ทีห่ าไดทวั่ ไป โดยตัดปญหาเรือ่ งการติดตัง้ ระบบปฏิบตั กิ าร (Operating System) ลดเวลา และการบริหารจัดการที่ ติดตามมา เชน Patch, Configuration, Maintenance เปนตน โดยการทำงานคือ จะมีเลเยอรทที่ ำหนาทีท่ ำให Server Hardware ทีร่ องรับ และตรงตามขอกำหนดของ แตละเวนเดอร ซึ่งแตกตางกันไปในแตละยี่หอ ใหถูก จำลองเปน Server Hardware Virtual Platform เดียวกัน ในแงของผผู ลิต Appliance เอง คือ ทำใหผผู ลิต Appliance ไมจำเปนตองออกแบบและปรับ แตงซอฟตแวรใหรองรับฮารดแวรทหี่ ลากหลาย แตใหรองรับ เพียง Virtual Platform เดียว ทำใหไดประสิทธิภาพสูงกวา ลดเวลาในการคิดคนพัฒนา ลดปญหาในการใหบริการและซัพพอรต เพราะผลิต เพียงแคซอฟตแวร ไมจำเปนตองบริหารจัดการ inventory ของฮารดแวร ประหยัดคาใชจา ยยิง่ ขึน้ ในแงของผใู ชกไ็ ดประโยชนเชนกัน คือ ดวยการทีไ่ ดใชเซิรฟ เวอรเดิมทีม่ อี ยเู ดิม หรือหาไดงา ย ทัว่ ไปในตลาด แกไข ซอมแซม ปรับแตงไดงา ย โดยไมตอ ง
10 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
10
26/10/2552, 11:23
TECHNOLOGY UPDATE หวงเรือ่ งการรับประกันของผผู ลิต Appliance แบบเดิมๆ เพราะสามารถใชบริการของผูคา เซิรฟ เวอรตา งๆ เชน IBM, HP, Dell ไดอยาง เต็มที่ ซึง่ ปจจุบนั สวนใหญกจ็ ะรับประกัน 3 ป ทำใหประหยัดคาใชจา ยในการเตรียม stand-by Appliance หรือการซื้อ warranty ราคาสูง จากผูผลิต Appliance แบบเดิม ซึ่งภายใน ก็เปนเพียงฮารดแวรแบบเซิรฟ เวอรทวั่ ไป แกไขปญหาที่เกิดทั้งในแงฮารดแวรและ ซอฟตแวรไดเร็ว ในกรณีตอ งสราง Appliance ใหม ก็เพียงแคบตู เซิรฟ เวอรนนั้ ๆ ดวย CD หรือ DVD ทีไ่ ดรบั มาจากผผู ลิต และติดตัง้ ซอฟตแวร ทัง้ หมดตามขัน้ ตอนทีก่ ำหนด โดยใชเวลาทัว่ ไป ไมเกิน 10 นาที จากนั้นเซิรฟเวอรนั้นๆ ก็จะ สามารถทำงานไดเปนปกติอีกครั้ง ทำใหลด เวลาดาวนไทมเปนอยางมาก สามารถเพิม่ Scalability ไดงา ย โดย Appliance แบบเดิมนัน้ จะถูก lock เรือ่ งของการคอนฟก ฮารดแวร (hardware configuration) เชน CPU และ Memory เปนตน ทำใหประสิทธิภาพใน การทำงานถูกจำกัดที่รุนนั้นๆ แตในกรณีของ Virtual Appliance การทีส่ ามารถเลือกฮารดแวร ไดเอง ทำใหสามารถปรับเปลี่ยนฮารดแวรได งายกวา รวมถึงสามารถปรับเพิม่ ความสามารถ ไดเอง เชน เพิม่ หนวยความจำ (RAM) หรือพืน้ ที่ จัดเก็บ (Storage หรือ HDD) เปนตน ปจจุบนั ผผู ลิตเทคโนโลยี Virtualization หลายๆ แหง กำลังอยูในชวงของการผลักดันใหเทคโนโลยี Virtual Appliance เปนที่ยอมรับมากขึ้น ซึ่ง ประกอบดวย VMWare และ Novell SUSE Linux และผูผลิต Appliance บางราย เชน Symantec และ Trend Micro ก็ไดเลิกผลิต Appliance แบบเดิมๆ และนำเทคโนโลยี Virtual Appliance มาใชกบั ผลิตภัณฑในตลาด
Virtual Datacenter/ Cloud Computing
เป น เทคโนโลยี ที่ อ อกมารองรั บ คอนเซ็ ป ต “SAAS” หรือ Software As A Service ซึง่ เปน การเปลี่ ย นแปลงแนวคิ ด ในการใช ง าน ซอฟตแวรและแอพพลิเคชันจากเดิม โดยมองวา การบริหารจัดการดาตาเซ็นเตอร โดยการใช บริการจากผูใหบริการภายนอก และใชงาน
ระบบผานเครือขายแทน ทำใหสามารถเนน การบริหารจัดการไอทีในดานอื่นที่เกี่ยวของ โดยตรงกับธุรกิจไดดกี วา Cloud computing เปนแบบอยางของการทำ ใหเกิดความสะดวก สามารถเขาถึงเครือขายได เมือ่ ตองการ (on-demand network access) เพื่อเขาถึงทรัพยากรในการประมวลผลกลาง เชน Network, Server, Storage, Application และ Services ซึง่ สามารถเพิม่ ขยายไดรวดเร็ว และใชการบริหารจัดการหรือเกีย่ วของจากผใู ห บริการนอยมาก โดยการให บ ริ ก ารในลั ก ษณะนี้ มี ทั้ ง เป น ลักษณะใหบริการภายใน (Internal/Private) ภายนอก (External / Internet / Public) และ แบบผสม (Hybrid) มาตรฐานทีเ่ กีย่ วของกับ Virtual Datacenter และ Cloud Computing ประกอบดวย Application a. Communications (HTTP, XMPP) b. Security (OAuth, OpenID, SSL/TLS) c. Syndication (Atom) Client a. Browsers (AJAX) b. Offline (HTML) Implementations a. Virtualization (OVF) Platform a. Solution stacks (LAMP) Service a. Data (XML, JSON) b. Web Services (REST, SOAP) Storage a. SNIA Cloud Data Management Interface ประโยชนทไี่ ดรบั คือ สามารถเพิ่มความสามารถของระบบได ไมจำกัด ตราบเทาทีผ่ ใู หบริการสามารถรองรับได ไมจำเปนตองมีความรหู รือรับรถู งึ การทำงาน เบือ้ งหลัง สามารถเนนไปทีก่ ารใชระบบใหเกิด ประโยชนสูงสุด โดยไมตองกังวลในสวนของ Service Management และ Provisioning
การใชงานเทคโนโลยี Virtualization ใน อนาคต สิง่ ทีส่ ามารถยืนยันไดในขณะนีค้ อื รูปแบบของซอฟตแวรและแอพพลิเคชันใน อนาคต จะมีการเชือ่ มโยงกันระหวางแตละชิน้ ของเซอรวสิ เขาหากัน และมีการทำงานประสาน กันมากขึ้นเรื่อยๆ เชน เมื่อตองการภาพและ ขอมูลเกี่ยวกับแผนที่บนเว็บไซตของบริษัท ก็สามารถเชือ่ มโยงไปยัง maps.google.com เพือ่ ใชบริการ “นำทาง” “แสดงแผนที”่ และอืน่ ๆ ทีเ่ กีย่ วของได เปนตน โดย Gartner กลาววา ใน อนาคต Cloud Computing จะเปนสิง่ ทีม่ คี วาม สำคัญ เทียบเทากับ E-Business ในปจจุบนั การใชงานทรัพยากรในการประมวลผลจะ เพิ่มการทำงานในแบบเสมือนมากขึ้นเรื่อยๆ จนกระทัง่ การติดตัง้ หรือใชงานซอฟตแวรแบบ เดิมๆ จะลดนอยลง เหลือเพียงการบริหาร จัดการ “Image” ของระบบปฏิบตั กิ ารตางๆ และ การทีร่ ะบบสามารถ migrate “Image” เหลานัน้ ไดอยางอิสระ จะทำใหดาวนไทมอันเกิดจาก ฮารดแวรลดนอยลง การศึกษาและเรียนรเู ทคโนโลยีทจี่ ะเปนสิง่ สำคัญในอนาคตอันใกลนี้ เปนสิง่ จำเปนที่ ทุกทานพึงตระหนักและเตรียมตัว รวมถึงใช ประโยชนจากเทคโนโลยีใหมอยางเหมาะสม เมือ่ ถึงเวลาทีถ่ กู ตอง ทีม่ า 1 www.vmware.com 2 www.citrix.com 3 www.wikipedia.org Bay Computing Newsletter l 8th Issue l 11
Bay Newsletter_issue 8 2009.pmd
11
26/10/2552, 11:23
SOLUTION UPDATE
Guardium 7
การบริการจัดการความปลอดภัยของฐานขอมูล และวงจรการปฏิบัติตามขอบังคับตางๆ องคกรระดับโลกนับพันแหง ไดใหความไววางใจตอ Guardium ในการรักษาความปลอดภัยขอมูลทีส่ ำคัญๆ ขององคกร ซึง่ เรา ไดจดั เตรียมโซลูชนั ทีแ่ ข็งแกรงและงายตอการใชงาน เพือ่ ปกปองขอมูล ทางดานการเงิน ขอมูลอีอารพี ขอมูลเกีย่ วกับลูกคา ขอมูลผถู อื บัตรเครดิต รวมไปถึงทรัพยสนิ ทางปญญาอืน่ ๆ ขององคกรของคุณ แพลตฟอรมความปลอดภัยระดับองคกรของเราสามารถปองกันพฤติกรรม ทีน่ า สงสัย หรือกิจกรรมใดๆ ทีก่ ระทำโดยไมไดรบั สิทธิหรือไมมสี ทิ ธิได ซึง่ พฤติกรรมหรือกิจกรรมดังกลาว อาจจะกระทำโดยคนในองคกรเองหรือ แฮกเกอรจากภายนอกก็ได แพลตฟอรมของเราสามารถสอดสองดูแล (monitoring) ไมใหเกิดการฉอฉลหรือกลโกงใดๆ ทีก่ ระทำโดยผใู ชงาน แอพพลิเคชันตางๆ ขององคกร ไมวาแอพพลิเคชันนั้นจะเปน Oracle
E-Business Suite, PeopleSoft, SAP หรือเปน แอพพลิเคชันอืน่ ๆ ทีอ่ งคกรพัฒนาขึน้ มาใชเอง ในเวลาเดียวกัน โซลูชนั ของเราสามารถปรับให ประสิทธิภาพในการดำเนินงานสูงขึ้นได ดวย สถาปตยกรรมมัลติเทียร (multi-tier architecture) ทีท่ ำใหแอพพลิเคชันและโครงสรางพืน้ ฐานทาง ดานฐานขอมูลภายในองคกรของคุณมีความ เป น อั ต โนมั ติ และมี ค วามสอดคล อ งกั บ กฎระเบียบหรือขอบังคับ (compliance) ของ หนวยงานตางๆ เปนอยางดี โดยผานการบริหาร จัดการจากศูนยกลางเปนหลัก
โซลูชนั ทีค่ รบวงจร
ด ว ยพื้ น ฐานของการ ทำงานบนคอนโซลที่ ครบวงจร และคลั ง ข อ มู ล ที่ อ ยู เ บื้ อ งหลั ง Guardium เสนอโมดูล ที่ผนึกกำลังและทำงาน รวมกัน เพือ่ การบริหาร จัดการความปลอดภัย ของฐานขอมูลทั้งหมด รวมไปถึงบริหารจัดการ วงจรการปฏิ บั ติ ต าม ขอบังคับตางๆ ดวย
Guardium 7 เปนโซลูชนั ทีจ่ ะสามารถแกไขปญหาความปลอดภัยของฐานขอมูลและวงจรการปฏิบตั ติ ามกฎระเบียบหรือ นโยบายตางๆ (compliance lifecycle) ไดดว ยเว็บคอนโซลทีท่ ำงานไดอยางครอบคลุมและครบวงจร รวมไปถึงระบบคลังขอมูล เบือ้ งหลัง (back-end data store) และการทำงานอัตโนมัตแิ บบเวิรก โฟลว (workflow automation) ซึง่ ชวยใหคณ ุ สามารถ : ระบุตำแหนงและจัดกลมุ ขอมูลทีม่ คี วามออนไหว ภายในฐานขอมูลขององคกรคุณได เขาถึงชองโหวหรือจุดออนทางดานฐานขอมูล รวมไปถึงความบกพรองหรือผิดพลาดในการกำหนดคา Configuration ตางๆ ดวย แนใจไดวา คา Configuration ตางๆ ถูกเก็บไวเปนความลับ โดยเฉพาะอยางยิง่ เมือ่ มีการเปลีย่ นแปลงคาตางๆ 12 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
12
26/10/2552, 11:23
SOLUTION UPDATE จั ด เตรี ย มระดั บ การมองเห็ น และการ เขาถึงทุกทรานสแอ็กชันของฐานขอมูล เพือ่ เขาถึงแพลตฟอรมและโพรโตคอลตางๆ ได อยางปลอดภัย ดวยวิธี tamper-proof audit trail ทีร่ องรับการแบงระดับการเขาถึงตามหนาที่ รับผิดชอบ สอดสองดูแลและบังคับใชนโยบาย โดย เฉพาะในแงของการเขาถึงขอมูลทีอ่ อ นไหว การ ดำเนินการของผูใชงานที่ไดรับสิทธิบางอยาง การควบคุมการเปลีย่ นแปลง กิจกรรมของผใู ช งานทัว่ ไป และกรณีพเิ ศษดานความเปลอดภัย เชน การล็อกอินลมเหลว เปนตน ทำใหกระบวนการตรวจสอบการปฏิบตั ติ าม กฎระเบียบหรือนโยบายตางๆ (compliance auditing process) เปนไปอยางอัตโนมัติ โดย รวมไปถึงการแจกจายรายงานใหทีมงาน การ ยกระดับรายงานดวยรายงานทีก่ ำหนดลวงหนา (pre-configured reports) สำหรับ SOX, PCI-DSS และความเปนสวนตัวของขอมูล (data privacy) สรางคลังในการตรวจสอบแบบรวมศูนย (centralized audit repository) เพือ่ ประโยชน ทางดานการรายงานการปฏิบตั ติ ามกฎระเบียบ หรือนโยบายขององคกร การปรับปรุงประสิทธิภาพ การสืบสวนสอบสวนไปจนกระทั่งถึงการใช ประโยชนในกรณีทถี่ งึ กับตองขึน้ โรงขึน้ ศาล ปรับขนาดไดงายดาย ตั้งแตการปกปอง ฐานขอมูลแบบเดีย่ วๆ (single database) ไปจนถึง การปกปองฐานขอมูลนับพันๆ ในดาตาเซนเตอร แบบกระจาย (distributed data centers) ทีอ่ ยู ทัว่ โลก
สำรวจและจัดกลม ุ
เคยผานการควบรวมกิจการมากอน หรือองคกร ทีม่ รี ะบบดัง้ เดิมทีต่ กทอดกันมาอยางยาวนาน (legacy systems) จนกระทั่งหาตัวผูพัฒนา ระบบดังกลาวไมพบแลว หรือแมแตในกรณีที่ ดีกวานั้นมาก นั่นคือในระบบที่มีพัฒนาการ อยางตอเนือ่ งทัง้ โครงสรางของแอพพลิเคชันและ ฐานขอมูล เพื่อสนับสนุนความตองการใหมๆ ทางธุรกิจนั้น ก็ยังอาจจะทำใหนโยบายความ ปลอดภัยทีไ่ มมแี รงสนับสนุนมากพอ กลายเปน เรื่องที่ถูกมองขามไปได และเปนสาเหตุให ขอมูลทีส่ ำคัญถูกปลอยทิง้ ไวโดยไมไดรบั ความ คมุ ครองในทีส่ ดุ
ดวย Guardium นัน้ คุณสามารถใชคณ ุ สมบัตใิ น การสำรวจฐานขอมูลแบบอัตโนมัติ (database auto-discovery) และคุณสมบัติการจัดกลุม ขอมูล (information classification) เพือ่ ระบุวา ขอมูลทีม่ คี วามสำคัญอยทู ใี่ ดบาง จากนัน้ ก็ใช เครื่องหมายหรือปายที่สามารถปรับแตงได (customizable classification labels) เพือ่ บังคับ ใชนโยบายดานความปลอดภัยอยางอัตโนมัติ ซึง่ จะเปนการแบงระดับความสำคัญของขอมูล ไปในตั ว และวิ ธี ก ารดั ง กล า วก็ จ ะเป น การ รั บ ประกั น ว า ผู ใ ช ง านที่ มี สิ ท ธิ เ ท า นั้ น ที่ จ ะ สามารถดูหรือแกไขขอมูลทีส่ ำคัญดังกลาวได
องคกรตางๆ พบวา เปนเรือ่ งยากมากทีจ่ ะ :
คุณสามารถกำหนดใหการคนหาหรือสำรวจ หาขอมูลที่สำคัญนั้นทำงานเปนระยะๆ ตาม เวลาที่กำหนด (regular basis) ไดดวย เพื่อ ปองกันเซิรฟเวอรบางตัวที่ทำงานในแบบที่เรา ไมไดตองการ อีกทั้งเปนการทำใหแนใจวาจะ ไมมขี อ มูลใดๆ ทีส่ ำคัญถูกลืมหรือตกหลนไปดวย
จัดทำแผนผังหรือรายละเอียดของดาตาเบส เซิรฟ เวอรทมี่ ขี อ มูลทีส่ ำคัญๆ อยไู ดอยางสมบูรณ และเห็นภาพไดอยางชัดเจน รวมทั้งเปนเรื่อง ยากดวย ที่จะเขาใจวามีการเขาถึงดาตาเบส เซิรฟเวอรดังกลาวมาจากแหลงใดบาง (เชน จากแอพพลิเคชันธุรกิจ จากการประมวลผล แบตช จากการคิวรีข่ อ มูลโดยตรง จากผพู ฒ ั นา แอพพลิเคชัน หรือจากผดู แู ลระบบ เปนตน) รักษาความปลอดภัยใหกบั ขอมูลและบริหาร จัดการความเสีย่ ง ในเมือ่ ไมรหู รือไมตระหนักถึง ระดับความสำคัญหรือความออนไหวของขอมูล ทีเ่ ก็บอยอู ยางแทจริง แนใจไดวาทุกอยางเปนไปตามกฎระเบียบ และนโยบาย ในเมื่ อ ยั ง ไม เ ป น ที่ ชั ด เจนว า ขอมูลใดอยภู ายใตการบังคับหรือการดูแลของ กฎระเบียบและนโยบายใดบาง
ประเมิน และสรางความแข็งแกรง
ประเมินจุดออน คากำหนด และพฤติกรรม การประเมินความปลอดภัยของฐานขอมูลนั้น Guardium จะสแกนโครงสร า งฐานข อ มู ล ทั้งหมดของคุณเพื่อหาจุดออน และจัดเตรียม การประเมินสถานการณความปลอดภัยของ ฐานขอมูลของคุณในโอกาสตอไป โดยการใช ทัง้ ขอมูลแบบเรียลไทมและขอมูลในอดีต
กำหนดตำแหนง จัดกลมุ และเพิม่ ความ ปลอดภัยใหขอมูลที่ออนไหว ในขณะที่องคกรตางๆ ไดสรางและคงไวซึ่ง อัตราการเพิม่ ขึน้ ของปริมาณขอมูลดิจติ อลนัน้ พวกเขาพบวาเปนเรื่องที่ยากขึ้นเรื่อยๆ ที่จะ กำหนดตำแหนง (locate) และแยกแยะหรือ จัดกลุม (classify) ขอมูลที่มีความสำคัญๆ หรือขอมูลทีม่ คี วามออนไหวตอความปลอดภัย (sensitive information) ไดอยางแมนยำ เรื่องดังกลาวเปนเรื่องที่ทาทายสำหรับองคกร เปนจำนวนมาก โดยเฉพาะอยางยิ่งองคกรที่ Bay Computing Newsletter l 8th Issue l 13 Bay Newsletter_issue 8 2009.pmd
13
26/10/2552, 11:23
SOLUTION UPDATE Guardium จะจัดเตรียมไลบรารี่ที่ครอบคลุม และสมบูรณแบบของการทดสอบทีก่ ำหนดคา เอาไวลว งหนา (a comprehensive library of preconfigured tests) โดยตั้งอยูบนแนวทาง ปฏิบตั ทิ ดี่ ที สี่ ดุ ของธุรกิจ (industry best practices) นัน้ ๆ เชนเดียวกับความไมมนั่ คงเฉพาะแพลตฟอรม (platform-specific vulnerabilities) ที่มีการ อั พ เดตอย า งสม่ำ เสมอผ า นบริ ก ารบอกรั บ สมาชิก (subscription service) ของ Guardium ซึ่งคุณสามารถปรับแตงการทดสอบใหตรงกับ ความตองการที่เฉพาะเจาะจงได ในขณะที่ โมดูลสำหรับการประเมิน จะทำเครื่องหมาย (flags) ช อ งโหว ที่ เ กี่ ย วกั บ การปฏิ บั ติ ต าม กฎระเบียบตางๆ ดวย เชน การเขาถึงโดยไมมี สิทธิ เปนตน ทั้งนี้ เพื่อเก็บรักษาหรือสงวน (reserved) ตารางฐานขอมูล (database table) ของ Oracle EBS และ SAP เพือ่ ใหเปนไปตาม ขอกำหนดของ SOX and PCI-DSS นัน่ เอง การประเมินจะถูกแบงออกเปน 2 ประเภท กวางๆ ดวยกัน นัน่ คือ : การทดสอบจุดออนและคา Configuration ตางๆ เพือ่ มองหาชองโหวตา งๆ เชน การขาด การอัพเดตแพตช และการกำหนดสิทธิอยาง ไมถกู ตอง เปนตน การทดสอบดานพฤติกรรม เพื่อระบุจุด บกพรองบนพื้นฐานของการเขาถึงและจัดการ ฐานขอมูล เชน จำนวนครั้งที่มีการ ล็อกอินผิดพลาด คำสั่งตางๆ ที่
มีการสัง่ จากไคลเอ็นต หรือการล็อกอินหลังเวลา เลิกงาน เปนตน ทั้งนี้ โดยการสอดสองดูแล ทราฟฟกฐานขอมูลแบบเรียลไทมนนั่ เอง นอกจากนี้ เพื่อที่จะจัดทำรายงานตางๆ ที่มี รายละเอียดและเรียกดูไดงา ย โมดูลสำหรับการ ประเมินยังไดจดั ทำการดรายงานความสมบูรณ ของความปลอดภัย (security health report card) ดวยตัวชีว้ ดั แบบถวงน้ำหนัก (weighted metrics) ซึง่ ตัง้ อยบู นพืน้ ฐานของแนวทางในการ ดำเนินการที่ดีที่สุด และเปนการแนะนำแผน ปฏิบตั กิ ารทีแ่ ข็งแกรง เพือ่ เพิม่ ระดับความมัน่ คง ใหกบั ฐานขอมูล ควบคุมคากำหนด และติดตามการเปลี่ยนแปลง เมื่ อ คุ ณ ได อิ ม พลี เ มนต ก ารดำเนิ น การหรื อ ปฏิบตั กิ ารทีแ่ นะนำ (recommended actions) ซึ่ ง จั ด ทำขึ้ น มาจากการประเมิ น จุ ด อ อ น (vulnerability assessment) นัน้ ในตอนนีค้ ณ ุ สามารถกำหนดขอบเขตคากำหนดทีป่ ลอดภัย (secured configuration baseline) ไดแลว ซึง่ ดวยการใชระบบตรวจสอบการเปลี่ยนแปลง (change audit system) ของ Guardium นัน้ คุณ สามารถสอดสองดูแลความเปลี่ยนแปลงใดๆ ทีเ่ กิดภายในขอบเขตดังกลาวได และมัน่ ใจได ว า การเปลี่ ย นแปลงที่ เ กิ ด ขึ้ น จะไม ไ ด อ ยู นอกเหนือนโยบายและกระบวนการควบคุม การเปลีย่ นแปลงดวย
สอดสองดูแลและบังคับใช
สอดสองดูแลและบังคับใชนโยบายเพือ ่ ความปลอดภั ย ของฐานข อ มู ล และ ควบคุมการเปลี่ยนแปลง Guardium จะจัดเตรียมนโยบายการเขาถึงแบบ เรียลไทม เพือ่ ปองกันการดำเนินการใดๆ ทีไ่ มมี สิทธิหรือเปนที่นาสงสัยของแอ็กเคานตฐาน ขอมูลทีม่ สี ทิ ธิพเิ ศษ เชนเดียวกับการโจมตีจาก ผู ใ ช ง านที่ ไ ม ซื่ อ ตรง หรื อ จากผู บุ ก รุ ก จาก ภายนอกก็ตาม คุณสามารถระบุตัวผูใชงาน แอพพลิเคชันที่เปลี่ยนแปลงฐานขอมูลโดยที่ ไมมีสิทธิได ผานแอพพลิเคชันแบบมัลติเทียร (multi-tier applications) ทีเ่ ขาถึงฐานขอมูลผาน แอ็กเคานตบริการทั่วไป เชน Oracle EBS, PeopleSoft, Siebel, SAP และระบบทีป่ รับแตง ไดอื่นๆ ที่อยูบนแอพพลิเคชันเซิรฟเวอร เชน IBM WebSphere, BEA WebLogic และ Oracle AS เปนตน โซลูชันดังกลาว สามารถบริหารจัดการโดย พนั ก งานฝ า ยความปลอดภั ย ของข อ มู ล (information security personnel) โดยทีไ่ มตอ ง ไปเกีย่ วของกับผบู ริหารฐานขอมูล (database administrators) แตอยางใด คุณสามารถ กำหนดนโยบายการเขาถึงที่จำกัดการเขาถึง ตารางทีเ่ ฉพาะเจาะจง (specific tables) ได โดย ตัง้ อยบู นพืน้ ฐานของสิง่ ตางๆ เชน การล็อกอิน เขาสโู อเอส ไอพี แมคแอดเดร็ส แอพพลิเคชัน ต น ทาง ช ว งเวลาในแต ล ะวั น โพรโตคอล เครือขาย และชนิดของคำสัง่ เอสคิวแอล เปนตน วิเคราะหทราฟฟก ของฐานขอมูลทัง้ หมดอยางตอเนือ ่ ง Guardium สามารถสอดสองดูแลการดำเนิน กิ จ กรรมใดๆ ของฐานข อ มู ล ทั้ ง หมดแบบ เรียลไทมไดอยางตอเนือ่ ง โดยใชการวิเคราะห เชิงภาษา (linguistic analysis) เพือ่ ดักจับการ เขาถึงทีไ่ มมสี ทิ ธิ โดยอาศัยขอมูลทีอ่ ยแู วดลอม (contextual information) หรือบริบทรอบขาง นัน่ เอง ซึง่ ขอมูลดังกลาวจะใหรายละเอียดไดวา ใคร ทำอะไร ทีไ่ หน เมือ่ ไร และอยางไร ในแตละ เอสคิวแอล ทรานสแอ็กชัน (SQL transaction) ได ซึ่งวิธีการที่เปนเทคนิคเฉพาะตัวนี้เชนนี้ จะชวยลดผลบวกลวง (false positives) และ
14 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
14
26/10/2552, 11:23
SOLUTION UPDATE ผลลบลวง (false negatives) ได ในขณะที่ จะเปนการจัดเตรียมระดับของการควบคุมใน แบบใหมที่ไมเคยมีมากอนได ซึ่งจะตางจาก วิ ธี ก ารแบบเดิ ม ที่ จ ะมองหาเพี ย งรู ป แบบ (pattern) หรือเครื่องหมาย (signature) ที่มี การกำหนดเอาไวแลวเทานัน้ กำ ห น ด ข อ บ เ ข ต เ พื่ อ ต ร ว จ จั บ พฤติกรรมที่ผิดที่ผิดทางและกำหนด นโยบายเพือ ่ ความเปนอัตโนมัติ โดยการกำหนดขอบเขตและการระบุ ทั้ ง กระบวนการทางธุ ร กิ จ ตามปกติ แ ละสิ่ ง ที่ ดูเหมือนจะเปนกิจกรรมที่ไมปกติ ระบบจะ แนะนำนโยบายที่คุณสามารถใชเพื่อปองกัน การจโู จมอยาง SQL Injection ไดโดยอัตโนมัติ ในขณะที่คุณสามารถเพิ่มนโยบายเพื่อการ ปรับแตง (custom policies) เขาไปไดอยาง งายดาย ผานดรอปดาวนเมนูที่ชาญฉลาด (intuitive drop-down menus) ความปลอดภัยแบบเรียลไทมเชิงรุก Guardium ไดจัดเตรียมคลังของสวนควบคุม แบบเรียลไทม (arsenal of real-time controls) เพือ่ ตอบสนองตอพฤติกรรมทีไ่ มมสี ทิ ธิหรือผิดที่ ผิดทางไดอยางเชิงรุก การดำเนินการโดยตั้ง อยูบนพื้นฐานของนโยบาย (policy-based actions) สามารถรวมการเตือนความปลอดภัย แบบเรียลไทมได โดยการใช SMTP, SNMP หรือ Syslog เปนตน รวมไปถึงสามารถสะกัดกั้น (ผานการรีเซต TCP หรือเทคนิคของไฟรวอลลใน ระดับ In-line Data) และยอมใหมกี ารล็อกอิน โดยสมบูรณดว ย นอกจากนี้ ยังรวมไปถึงการ ดำเนินการตามความตองการ เชน การล็อก แอ็กเคานตโดยอัตโนมัติ การปดพอรตวีพีเอ็น และการประสานการทำงานรวมกับระบบไอดีเอส หรือไอพีเอสทีอ่ ยรู อบขาง (Perimeter IDS/IPS) เปนตน
ติดตอกับผใู ชในสวนของธุรกิจ (business user interface) และการทำงานแบบอัตโนมัติดวย เวิรก โฟลว (workflow automation) เพือ่ วิเคราะห และแกปญ หาความไมปลอดภัยทีเ่ กิดขึน้ รวมดวย สวนควบคุมทีเ่ ปนกราฟก (graphical dashboard) เพือ่ การติดตามตัวชีว้ ดั ทีส่ ำคัญๆ เชน จำนวน ครัง้ ทีเ่ กิดเหตุการณตา งๆ ระดับของความรุนแรง และระยะเวลาทีเ่ กิดเหตุการณขนึ้ เปนตน
ตรวจสอบและรายงานผล
ติดตามรองรอยกิจกรรมตางๆ Guardium สรางรองรอยกิจกรรมตางๆ ของ ฐานข อ มู ล ทั้ ง หมด ซึ่ ง จะถู ก วิ เ คราะห แ ละ คัดกรองตามนัยทีม่ ี (contextually analyzed and filtered) แบบเรียลไทมอยางตอเนือ่ ง เพือ่ เสริมความแข็งแกรงใหสวนควบคุมที่ทำงาน เชิงรุก (proactive controls) และสรางขอมูลที่ เฉพาะเจาะจงทีเ่ ปนทีต่ อ งการของผตู รวจสอบ รายงานผลการดำเนินงาน (resulting reports) จะแสดงใหเห็นถึงการปฏิบัติตามกฎระเบียบ โดยจะมีการจัดเตรียมโปรไฟลทมี่ รี ายละเอียด เกี่ยวกับกิจกรรมของฐานขอมูลทั้งหมด เชน การล็อกอินที่ลมเหลว การยกระดับสิทธิ การ เปลี่ยนแปลงแผนงาน การเขาถึงในชวงนอก เวลางาน การเขาถึงจากแอพพลิเคชันทีไ่ มมสี ทิ ธิ และการเขาถึงตารางทีม่ คี วามออนไหว เปนตน ตัวอยางเชน ระบบจะสอดสองดูแลสิ่งตางๆ เหลานี้ :
ขอยกเวนดานความปลอดภัย เชน คำสั่ง เอสคิวแอลที่ผิดพลาด และล็อกอินลมเหลว เปนตน คำสัง่ DDL เชน Create, Drop หรือ Alter ที่ ทำกับตาราง ซึง่ เปนการเปลีย่ นโครงสรางฐาน ขอมูล ซึ่งเปนสิ่งสำคัญเปนพิเศษตอขอบังคับ ทีเ่ กีย่ วกับความโปรงใสของขอมูล เชน ขอบังคับ ของ SOX เปนตน คำสั่งเรียกดูขอมูล SELECT ซึ่งสำคัญเปน พิเศษ สำหรับขอบังคับที่เกี่ยวกับความเปน สวนตัวของขอมูล เชน PCI เปนตน คำสัง่ DML (Insert, Update, Delete) รวม ไปถึงตัวแปรทีผ่ กู อยู (bind variables) ดวย คำสั่ง DCL ที่ควบคุมแอ็กเคานต บทบาท และการอนุญาต (GRANT, REVOKE) ภาษาโพรซิเยอร (procedural languages) ที่สนับสนุนโดยแพลตฟอรม DBMS แตละ แพลตฟอรม เชน PL/SQL (Oracle) และ SQL/ PL (IBM) เปนตน การเอ็กซีควิ ต XML โดยฐานขอมูล รายงานที่ชาญฉลาด โซลูชนั Guardium มีนโยบายทีก่ ำหนดเอาไว ลวงหนา (preconfigured policies) กวา 100 นโยบาย และมีรายงานทีอ่ งิ ตามแนวทางปฏิบตั ิ ทีด่ ที สี่ ดุ และประสบการณในการทำงานรวมกับ บริษทั ชัน้ นำระดับโลกทีต่ ดิ อันดับ Global 1000 รวมไปถึงบริษทั ตรวจสอบบัญชียกั ษใหญทงั้ 4 และทีป่ รึกษากฎหมายทัว่ โลก รายงานเหลานี้
ติดตามเหตุการณดา นความปลอดภัย การปฏิบตั ติ ามกฎระเบียบตางๆ ทำใหองคกร ตองแสดงใหเห็นวา เหตุการณตา งๆ มีการถูก บันทึก วิเคราะห และพิจารณาดวยวิธีการที่ เหมาะสม อี กทั้ งตองมี การรายงานตอฝา ย บริหารดวย ซึ่ง Guardium ไดจัดเตรียมสวน Bay Computing Newsletter l 8th Issue l 15 Bay Newsletter_issue 8 2009.pmd
15
26/10/2552, 11:23
SOLUTION UPDATE European Data Centers S-TAPs
S-TAPs
America Data Centers
Internet
Remote Locations
Database Firewall
S-TAPs Customers, Partners, Outsourcers
S-TAPs
Asia Pacific Data Centers
Z-TAPs
Collector Appliance
Master Aggregation Server & Central Manager in HQ
Collector Appliance S-TAPs
โซลูชน ั ทีค ่ รบวงจร
ดวยพื้นฐานของการทำงานบนคอนโซลที่ครบวงจร และคลังขอมูลทีอ่ ยเู บือ้ งหลัง Guardium เสนอโมดูลที่ ผนึกกำลังและทำงานรวมกัน เพือ่ การบริหารจัดการ ความปลอดภัยของฐานขอมูลทั้งหมด รวมไปถึง บริหารจัดการวงจรการปฏิบตั ติ ามขอบังคับตางๆ ดวย
ชวยจัดการในเรื่องความตองการปฏิบัติตาม ขอบังคับตางๆ เชน SOX, PCI และกฎหมาย ความเปนสวนตัวของขอมูล รวมไปถึงทำใหเกิด ประสิทธิภาพในแผนงานดานความรับผิดชอบ และความเปนสวนตัวของขอมูลดวย นอกเหนือไปจากเทมเพลตรายงานทีจ่ ดั เตรียม มาใหแลว Guardium ยังมีสวนติดตอกราฟก แบบลากแลวปลอย (drag-and-drop interface) ทีช่ ว ยใหคณ ุ สามารถสรางรายงานรูปแบบใหมๆ หรือดัดแปลงรายงานทีม่ อี ยแู ลวไดอยางงายดาย รายงานตางๆ สามารถถูกสงผานอีเมลไปยังผใู ช ในรูปของไฟล PDF ไดโดยเปนไฟลแนบ หรือ อาจจะเปนลิงกเชือ่ มโยงสเู ว็บเพจ HTML ก็ได เวิรก โฟลวอต ั โนมัติ ดวยความแตกตางทีไ่ มเหมือนใคร แอพพลิเคชัน Compliance Workflow Automation ของ Guardium ทำใหกระบวนการทีเ่ ปน Compliance Workflow ทัง้ หมด มีประสิทธิภาพและงายขึน้
ช ว ยให ก ระบวนการต า งๆ เช น การจั ด ทำ รายงานเพือ่ การตรวจสอบ มีความเปนอัตโนมัติ มากขึน้ ดวย
ปรับขนาดได ตามองคกรของคุณ
ไรซึ่งการบุกรุก ดวยความสามารถในการ มองเห็นทุกธุรกรรมของฐานขอมูล รวมถึงการ เขาถึงจากโลคัล (local access) โดยผใู ชงานที่ มีสทิ ธิ ทีไ่ มสง ผลกระทบตอประสิทธิภาพ หรือ สรางความเปลีย่ นแปลงใหเกิดกับฐานขอมูล ความเปนอิสระของ DBMS ดวยโซลูชัน ข า มแพลตฟอร ม ที่ ไ ม จำเป น ต อ งพึ่ ง พาการ ล็อกอินหรือการตรวจสอบแบบเดิมๆ อีกตอไป ทำงานแบบฮารดแวร ดวยชุดซอฟตแวรที่ ทำงานในลักษณะโมดูล ซึง่ พัฒนาบนเคอรเนล ของลีนุกซ เพื่อการติดตั้งใชงานที่รวดเร็วผาน อุปกรณฮารดแวร (black box appliances) ซึง่ มีทงั้ อุปกรณทมี่ สี ตอเรจในตัว อุปกรณทตี่ ดิ ตัง้ แอพพลิเคชันมาแลว และอุปกรณที่มีระบบ บริหารจัดการอยใู นนัน้ มีการมอนิเตอรที่ยืดหยุน ผานเครื่องมือ ตรวจสอบแบบ Host-based รวมไปถึง SPAN port และ Network TAP เปนตน ความพรอมของโครงสรางพื้นฐาน ซึ่ง สนับสนุน SNMP, SMTP, Syslog, LDAP, Kerberos, RSA SecureID, ระบบเปลีย่ นการ
ติดปาย (change ticketing systems) เชน BMC Remedy, CEF และการผนวกรวมเข า กั บ แพลตฟอรม SIEM หลักๆ ทุกแพลตฟอรม เปนมัลติเทียร Guardium เปนเจาเดียวใน วงการ ทีร่ วบรวม (aggregate) และนอรมอไลซ (normalize) ขอมูล เพื่อการตรวจสอบอยาง อัตโนมัติ จากหลากหลายระบบและตำแหนง แลวเก็บไวในคลังหรือหนวยเก็บ (repository) ที่ เปนศูนยกลางเพือ่ การตรวจสอบ บริหารจัดการจากศูนยกลาง ดวยการ บริหารจัดการนโยบายความปลอดภัยทีค่ รอบคลุม ทัง้ องคกรผานเว็บคอนโซล (web console) ปรับขนาดได เมื่อจำนวนเซิรฟเวอรหรือ ปริ ม าณทราฟฟ ก ที่ ต อ งมอนิ เ ตอร มี ม ากขึ้ น ระบบนี้สามารถเพิ่มอุปกรณเพื่อจัดการกับ โหลดทีเ่ พิม่ ขึน้ ไดอยางงายๆ และดวยอัลกอริธมึ ของสตอเรจที่ชาญฉลาด และไดรับการจด สิทธิบัตรนั้น จะชวยเพิ่มประสิทธิภาพใหกับ สตอเรจไดกวา 100 เทา เมือ่ เทียบกับสตอเรจ แบบ Flat file-based ทัว่ ๆ ไป คลังเก็บขอมูลสำหรับตรวจสอบทีเ่ ชือ่ ถือ ได (Tamper-Proof Audit Repository) โดยมี การรับรองทีเ่ ขมแข็ง ซึง่ ไมใหใครสามารถเขาถึง ขอมูล รวมถึงมีการเขารหัสขอมูลไวดว ย ทำงานตามหนาทีท่ ไี่ ดรบั โดยการเขาถึงโมดูล ตางๆ และขอมูลจะถูกควบคุมโดยบทบาท หนาทีท่ ไี่ ดรบั ภายในองคกร
16 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
16
26/10/2552, 11:23
SOLUTION UPDATE โซลูชันครบวงจร สำหรับสภาพแวดลอมทีแ่ ตกตาง
สนับสนุน DBMS ทีห ่ ลากหลาย โซลูชนั ขามแพลตฟอรมของ Guardium สนับสนุนแพลตฟอรม DBMS ตัวหลักๆ ไดทุกตัว รวมไปถึงสนับสนุนโพรโตคอลที่ทำงานบนระบบ ปฏิบตั กิ ารหลักทุกๆ ตัวดวย เชน Windows, UNIX, Linux และ z/OS เปนตน
สอดสองดูแลแบบ Host-Based S-TAP เปนเครือ่ งมือทางดานซอฟตแวรทมี่ ขี นาดไมเล็กไมใหญ ซึง่ ทำหนาที่ มอนิเตอรทงั้ เครือขายและโพรโตคอลฐานขอมูลแบบโลคัล (local database protocol) เชน shared memory และ named pipes เปนตน โดยจะทำงาน ในระดับโอเอสของดาตาเบสเซิรฟ เวอร และ S-TAP จะสรางผลกระทบตอ ประสิทธิภาพของเซิรฟ เวอรใหนอ ยทีส่ ดุ โดยการสงผานทราฟฟกทัง้ หมด ไปยังอุปกรณ Guardium คนละตัวกัน เพือ่ การวิเคราะหและการรายงาน แบบเรียลไทม มากกวาการใหฐานขอมูลดำเนินการและจัดเก็บขอมูล log ดวยตัวเอง S-TAP มักไดรบั การใหความสำคัญในลำดับแรก เพราะ S-TAP ชวยขจัดความจำเปนในการใชอุปกรณฮารดแวรเฉพาะ (dedicated hardware appliance) ในพืน้ ทีห่ า งไกล (remote location) หรือ SPAN port ในดาตาเซ็นเตอรของคุณ
Pooling” (เปนการเปดคอนเน็กชันฐานขอมูลเอาไวลว งหนาจำนวนหนึง่ ) ซึ่งในสภาพแวดลอมดังกลาว ทราฟฟกของผูใชงานทั้งหมดจะถูกรวม อยใู นคอนเน็กชันของฐานขอมูลเพียงไมกคี่ อนเน็กชันเทานัน้ และมีการ ระบุเพียงชือ่ แอ็กเคานตแอพพลิเคชันทัว่ ไป (generic application account name) เทานัน้ ซึง่ เปนการปดซอนตัวตนทีแ่ ทจริงของผใู ชงาน นอกจากนี้ Guardium ยังสนับสนุนการมอนิเตอรแอพพลิเคชันสำหรับทุกแอพพลิเคชัน ระดับองคกรตัวหลักๆ ที่มีในตลาด และสนับสนุนแอพพลิเคชันอื่นๆ รวมถึงแอพพลิเคชันทีอ่ งคกรพัฒนาขึน้ เอง ทีใ่ ชมอนิเตอรทรานสแอกชัน ทีร่ ะดับแอพพลิเคชันเซิรฟ เวอรดว ย
เกีย ่ วกับ Guardium
Guardium เปนบริษทั ดานความปลอดภัยของฐานขอมูล ทีม่ อบโซลูชนั ที่มีการใชงานกันอยางกวางขวาง เพื่อใหคุณแนใจถึงความมั่นคงของ ขอมูลองคกร และสามารถปองกันไมใหขอมูลที่สำคัญรั่วไหลออกจาก ดาตาเซ็นเตอรได แพลตฟอรมดานความปลอดภัยระดับองคกรของ Guardium ไดถกู ติดตัง้ ไปแลวในดาตาเซ็นเตอรกวา 350 แหงทั่วโลก รวมไปถึงบริษัทที่อยูใน Grobal 500 และ Fortune 1000 อีกกวา 60 แหง นอกจากนี้ ลูกคา ของ Guardium ยังประกอบดวย 3 ใน 4 ของธนาคารชัน้ นำระดับโลก หนึง่ ในผผู ลิตเครือ่ งพีซรี ายใหญทสี่ ดุ ของโลก หนึง่ ในบริษทั น้ำอัดลมชือ่ ดัง หนึง่ ในบริษทั คาปลีกทีต่ ดิ ท็อป 3 ของโลก หนึง่ ในบริษทั บัตรเครดิตชัน้ นำ และผคู า ซอฟตแวรบสิ เิ นสอินเทลลิเจนตระดับแนวหนาของโลกรายหนึง่ Guardium เปนพันธมิตรทางธุรกิจกับ Oracle, Microsoft, IBM, Sybase, BMC, EMC, RSA, Accenture, NetApp, McAfee และ NEON โดยรวม กับ Cisco ในฐานะ Strategic Investor และเปนหนึง่ ในสมาชิกของ Data Governance Council อันทรงเกียรติของ IBM และเปนสมาชิกของ PCI Security Standards Council ดวย
การสอดสองดูแลแอพพลิเคชัน Guardium ระบุความฉอฉลหรือกลโกงทีอ่ าจเกิดขึน้ ได โดยการติดตาม กิจกรรมของผูใชงานที่เขาถึงตารางขอมูล (tables) ที่สำคัญๆ ผาน แอพพลิเคชันองคกรแบบมัลติเทียร แทนทีจ่ ะเปนเพียงการเขาถึงขอมูล แบบตรงๆ คุณสมบัติดังกลาวเปนเรื่องจำเปน เนื่องจากแอพพลิเคชัน ขององคกรมักจะใชกลไกในการออปติไมเซชันที่เรียกวา “Connection
บริษทั กอตัง้ ในป 2002 และเปนบริษทั แหงแรกทีพ่ ยายามแกปญ หาชองวาง ดานความปลอดภัยขอมูลในระดับแกนกลาง (core data security gap) โดยการสงมอบแพลตฟอรตองคกรทีป่ รับขนาดได (scalable) ซึง่ สามารถ ปกปองฐานขอมูลแบบเรียลไทมและทำใหกระบวนการตรวจสอบและ การปฏิบตั ติ ามขอบังคับตางๆ เปนไปโดยอัตโนมัตมิ ากยิง่ ขึน้ Bay Computing Newsletter l 8th Issue l 17
Bay Newsletter_issue 8 2009.pmd
17
26/10/2552, 11:23
DATA CENTER KNOW-HOW
Tier Classification การแบงระดับมาตรฐานสำหรับ หองศูนยขอ มูลคอมพิวเตอร z โดย
การกอสรางศูนยขอมูลคอมพิวเตอร (Data Center) ใหเปนไปตามเปาหมาย ขององคกรนัน้ ควรมีการวางแผนใหสอดคลอง กับมาตรฐานสากลและประหยัดคาใชจา ย แต ในขณะเดียวกัน ก็ตอ งมีความยืดหยนุ ตอการ ขยายตัวและการเปลี่ยนแปลงของเทคโนโลยี ในอนาคต หากพูดถึงการจัดระดับความนา เชื่อถือของหองศูนยขอมูลแลว สำหรับผูดูแล ศูนยขอ มูล นาจะคนุ เคยกับคำวา Tier I, Tier II Tier III และ Tier IV โดยในบทความของเรา ฉบับนีจ้ ะขอแนะนำความหมายและประโยชน ของการจัดระบบหองศูนยขอ มูลคอมพิวเตอร Tier Classification กำหนดจาก Uptime Institute โดย Uptime เปนสถาบันที่มีจุดประสงคเพื่อ เผยแพรความรูเกี่ยวกับหองศูนยขอมูลทั้งใน ดานงานระบบและงานสารสนเทศ โดยปจจุบนั ยังคงเปนสถาบันเดียวทีส่ ามารถใหการรับรอง (Certify) หองศูนยขอมูล โดยการรับรองของ Uptime นั้น ถูกแยกออกเปน 3 สวน ตั้งแต ขั้ น ตอนการออกแบบ ขั้ น ตอนการติ ด ตั้ ง จนกระทัง่ ขัน้ ตอนการใชงานอยางถูกตอง ดังนี้ 1 Design Certificate (prerequisite) 2 Constructed Facility Certification 3 Operational Sustainability Rating การแบงระดับมาตรฐานของทุกแบบขางตน จะถูกแบงออกเปน 4 ระดับดวยกัน คือ Tier I, Tier II, Tier III และ Tier IV เรียงความเสถียรภาพ และความนาเชื่อถือตั้งแตนอยที่สุดไปยังมาก ที่สุด โดยการจำแนกนั้นตองประกอบไปดวย คุณสมบัตหิ ลายสวน เชน การเตรียมการรองรับ สำหรั บ เหตุ ก ารณ วิ ก ฤตต า งๆ หรื อ รองรั บ แผนการสำหรับการเขาไปซอมแซมอุปกรณ ซึ่งในการเตรียมการเหลานี้จะตองประกอบ ไปดวยวิศวกรทีม่ คี วามเชีย่ วชาญเฉพาะดานใน
สาขาตางๆ เนือ่ งจากในหองศูนยขอ มูลหองหนึง่ นัน้ ประกอบไปดวยงานระบบตางๆ มากมาย เชน งานระบบไฟฟา งานระบบทำความเย็น งานระบบโครงขายสายสัญญาณ งานระบบ ปองกันเพลิงไหม งานสังเกตการณและควบคุม เหตุการณตา งๆ โดยทีส่ ถาบัน Uptime Institute ไดใหคำจำกัดความของ Tier ตางๆ ไว ดังนี้
Tier I
Basic Site Infrastructure เริ่มตนประมาณป 1960 เปนหองศูนยขอมูล พื้ น ฐานสำหรั บ กลุ ม งานที่ ส ามารถยอมรั บ ความเสี่ยงในการเกิดขอผิดพลาดไดโดยไม กระทบตอธุรกิจตางๆ ขององคกร โดยหอง ศู น ย ข อ มู ล ในระดั บ นี้ จ ะถู ก ออกแบบให มี อุปกรณดา นไฟฟาและแหลงจายความเย็น แต อาจจะครบถวนในบางระบบ เชน งานระบบ ยกพื้น หรือระบบจายพลังงานไฟฟาฉุกเฉิน โดยอุปกรณทั้งหมดที่มีจะมีเพียงแคชุดเดียว ดังนัน้ ระบบแบบนีจ้ งึ สามารถเกิดการดับของ ระบบไดหลายจุด และจะตองปดระบบทัง้ หมด เมือ่ มีการบำรุงรักษาเกิดขึน้
Tier II
Redundant Capacity Components Site Infrastructure เริม่ ตนประมาณป 1970 เปนหองศูนยขอ มูลทีม่ ี การปรับปรุงระบบใหมคี วามเสถียรมากยิง่ ขึน้ โดยมีการเพิ่มอุปกรณสำรองใหแกระบบหลัก เปนลักษณะ N+1 เพือ่ ปองกันความเสียหายแก อุปกรณที่สำคัญ หรือสลับการใชงานเพื่อยืด อายุของอุปกรณนั้นๆ แตในการออกแบบที่ เปนลักษณะ Tier II ระบบไฟฟาทีก่ ระจายใหแก load จะยังคงมีเพียงเสนทางเดียว จึงมีโอกาส เกิดการปดระบบเมือ่ ซอมบำรุงอยหู ากไมมกี าร วางแผนทีด่ พี อ
Tier III
Concurrently Maintainable Site Infrastructure เริม่ ตนเมือ่ ประมาณป 1980 เปนหองศูนยขอ มูล ที่ มี จุ ด ประสงค เ พื่ อ ให ส ามารถบำรุ ง รั ก ษา อุปกรณตา งๆ ไดโดยไมกระทบตอการทำงาน ออกแบบ เปนระบบที่ N+1 แตจะแตกตางจาก Tier II เนือ่ งจากจะมี Distribution Part เขาสู IT Load 2 แหลงจาย โดยทำงานเปนลักษณะ Active-Standby
Tier IV
Fault Tolerant Site Infrastructure เริม่ ตนประมาณป 1994 โดยโครงการแรกเปน หองศูนยขอ มูลของธุรกิจจัดสงพัสดุของ United Parcel Service Windward ระบบนีเ้ ปนระบบ หองศูนยขอ มูลทีม่ เี สถียรภาพสูงสุด ออกแบบ ใหโครงสรางพืน้ ฐานสามารถรองรับวิกฤติทจี่ ะ เกิดขึน้ หรือเรียกวา Single Point of Failure ได โดยไมกระทบตอระบบการทำงาน การออกแบบ หองศูนยขอ มูลลักษณะนีจ้ ะเปนระบบที่ Active ทัง้ 2 ดาน และอุปกรณทตี่ อ งรองรับ Critical Load จะตองถูกใชงานทีไ่ มเกิน 90 เปอรเซ็นต ของประสิทธิภาพของอุปกรณนนั้ ๆ สุดทายนี้ การเลือกระดับมาตรฐานสำหรับ หองศูนยขอ มูลของแตละองคกร คงจะขึน้ อยกู บั ความเหมาะสมของธุรกิจขององคกรเปนสำคัญ เนือ่ งจากการสรางหองศูนยขอ มูลมีการลงทุน ที่สูง องคกรจึงควรมีการวิเคราะหการลงทุน (Total Cost of Owner Ship) และตรวจสอบ ขัน้ ตอนของการใชงานและบำรุงรักษาใหเปนไป ตามมาตรฐานดวย เพราะเมือ่ หองศูนยขอ มูล สรางเสร็จตามมาตรฐานขางตนแลว การใชงาน ทีถ่ กู ตองก็มคี วามสำคัญไมแพกนั
18 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
18
26/10/2552, 11:23
Bay Computing Newsletter l 8th Issue l 19 Bay Newsletter_issue 8 2009.pmd
19
26/10/2552, 11:23
20 l Bay Computing Newsletter l 8th Issue Bay Newsletter_issue 8 2009.pmd
20
26/10/2552, 11:23