บทความนี้เป็นส่วนหนึ่งของวิชา ITM 633: การจัดการความมั่นคงปลอดภัยสารสนเทศ
โดยมีอาจารย์ พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ เป็นผู้สอน
บทนำ
ปัจจุบันระบบเทคโนโลยีสารสนเทศและข้อมูลสารสนเทศ ได้รับการยอมรับในระดับสากลว่ามีบทบาทสำคัญในด้านการสนับสนุนพัฒนาและขับเคลื่อนองค์กรในทุกภาคส่วน ให้สามารถดำเนินงานได้อย่างมีประสิทธิภาพและประสิทธิผล สร้างศักยภาพในการบริหารจัดการ สร้างความได้เปรียบในการแข่งขัน สร้างมูลค่าในผลิตภัณฑ์และบริการรวมทั้งสร้างรายได้ให้แก่องค์กร ซึ่งสอดคล้องกับการพัฒนาเศรษฐกิจของโลกในปัจจุบันให้ความสำคัญต่อสารสนเทศและองค์ความรู้อย่างมาก ปัจจุบันเศรษฐกิจของโลกอยู่ในเศรษฐกิจแบบองค์ความรู้ (Knowledge-based Economy) ดังนั้นสารสนเทศและระบบเทคโนโลยีสารสนเทศจึงกลายเป็นทรัพย์สินหลักขององค์กร ซึ่งปัจจุบันแต่ละองค์กรให้ความสำคัญและมีการจัดสรรงบประมาณในการพัฒนา ปรับปรุง และบำรุงรักษาสำหรับงานด้านเทคโนโลยีสารสนเทศในอัตราที่สูงขึ้นเมื่อสารสนเทศและระบบเทคโนโลยีสารสนเทศมีความสำคัญมากขึ้นย่อมส่งผลให้การรักษา ความมั่นคงปลอดภัยต้องเกิดขึ้นตามมา เพราะหากมีความเสียหายเกิดขึ้นกับระบบหรือสารสนเทศ ย่อมส่งผลกระทบที่รุนแรงต่อองค์กร ซึ่งอาจมีความเสี่ยงจากภัยคุกคามต่าง ๆ อาทิ ภัยธรรมชาติ,ไวรัสคอมพิวเตอร์, Hacker, Cyber terrorist ความผิดพลาดในขั้นตอนการปฏิบัติงาน เป็นต้น
องค์ประกอบหลักของเทคโนโลยีสารสนเทศและการสื่อสาร คือระบบสื่อสารโทรคมนาคม(Telecommunications) ฮาร์ดแวร์และชิ้นส่วน (Hardware and Components) ซอฟต์แวร์และบริการ (Software and Services) อุปกรณ์อิเล็กทรอนิกส์เพื่อผู้บริโภค (Consumer Electronics) และเนื้อหาสาระและสื่อ (Content and Media) อย่างไรก็ตาม ในรอบ 10 ปีที่ผ่านมา ความเชื่อมโยงขององค์ประกอบเหล่านี้ปรากฏออกมาในรูปของระบบอินเทอร์เน็ต ซึ่งอาจนับได้ว่าได้เปลี่ยนโลกไปอย่างสิ้นเชิงภายในระยะเวลาสั้นๆ
การใช้งานระบบอินเทอร์เน็ตในประเทศไทยนั้น มีจำนวนผู้ใช้งานมากกว่า 10 ล้านคน (ข้อมูลจาก NECTEC และสำนักงานสถิติแห่งชาติ) ส่วนใหญ่จะมีช่วงอายุที่ยังไม่มากนัก เช่น เด็กมัธยมและวัยรุ่น ยกตัวอย่างเช่น การเล่นเกมส์ออนไลน์ผ่านอินเทอร์เน็ตทุกครัวเรือน จากความนิยมของเทคโนโลยีอินเทอร์เน็ตความเร็วสูง (ADSL) ผู้ใช้งานอินเทอร์เน็ตส่วนใหญ่ในวันนี้กำลังเพลิดเพลินไปกับเทคโนโลยี Web 2.0 ที่เรารู้จักกันในนามของ Social Network เช่น Hi5 ,My Space และ Face Book เป็นต้น ภัยอินเทอร์เน็ตสมัยใหม่จึงมุ่งไปยังกลุ่มผู้ใช้งานตามบ้านหรือในองค์กร ผ่านทางการเข้าเว็บไซต์ Social Network ดังกล่าว อีกทั้งในปัจจุบันนิยมชำระเงินและทำธุรกรรมผ่านทางระบบออนไลน์ เช่น ระบบ Internet Banking และระบบ Pay-Online ทำให้กลุ่มผู้ไม่หวังดีหันมาปล้นเงินผ่านทางระบบออนไลน์เพิ่มมากขึ้น ด้วยวิธีการล่อลวงในแบบต่างๆ เช่น Phishing และ Pharming
ในปัจจุบัน ความก้าวหน้าของเทคโนโลยีด้านสารสนเทศเป็นไปอย่างรวดเร็วและเข้ามามีบทบาทสำคัญอย่างมากในการดำเนินธุรกิจปัจจุบัน โดยที่ในปัจจุบันนี้เทคโนโลยีที่เป็นที่หน้าจับตามองคงหนีไม่พ้น Virtualization Technology ซึ่งเป็นเทคโนโลยีการทำงานเสมือนจริงของ PC และ Cloud Computing ซึ่งเป็นการประมวลผลโดยใช้ทรัพยากร และบริการจากเครือข่ายขนาดใหญ่ให้ตรงตามความต้องการผู้ใช้งานทำให้ช่วยเพิ่มความสามารถการทำงาน และอำนวยความสะดวกให้กับผู้ใช้งาน
ในบทความนี้จะกล่าวถึงเทคโนโลยีเวอร์ชวลไลเซชั่น (จักรกลเสมือน) และคลาวด์คอมพิวติ้ง มาตรฐานที่เกี่ยวข้องกับการบริหารการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และการจัดการเรื่องความมั่นคงปลอดภัยของการนำเทคโนโลยีเวอร์ชวลไลเซชั่น (จักรกลเสมือน) และ คลาวด์คอมพิวติ้งมาใช้ในองค์กร (Virtualization and Cloud Computing Security
เทคโนโลยีเวอร์ชวลไลเซชั่น (จักรกลเสมือน)
ในโลกของวงการไอที เรามักจะเห็นวงจรการพัฒนาที่ค่อนข้างเหมือนเดิมซ้ำๆ มาเป็นสิบ ๆ ปีแล้ว นั่นคือการพัฒนาในส่วนของฮาร์ดแวร์และซอร์ฟแวร์ ที่ดูเหมือนจะแข่งกันว่าใครจะล้ำหน้ากว่าใคร บางทีฮาร์ดแวร์สามารถพัฒนาจนมีความเร็ว และหน่วยความจำมากพอเกินกว่าที่ซอร์ฟแวร์ต้องการใช้ บางครั้งก็เป็นจังหวะที่ซอร์ฟแวร์มีความล้ำหน้า จนไม่สามารถหาฮาร์ดแวร์ที่เร็วพอจะวิ่งได้ อย่างไรก็ตามด้วยเทคโนโลยีปัจจุบันนี้ ที่มีฮาร์ดแวร์ซึ่งถูกพัฒนามาจนมีสมรรถนะสูง และหน่วยความจำมากมายจนเกินพอ สำหรับซอร์ฟแวร์หรือแอพพลิเคชั่นหลาย ๆ ตัวเลยทีเดียว แต่ในขณะเดียวกัน ก็ยังมีซอร์ฟแวร์ หรือแอพพลิเคชั่นอีกมากที่ยังต้องการฮาร์ดแวร์ ที่มีประสิทธิภาพสูงๆ เพื่อให้เพียงพอกับภาวะการใช้งานที่มีผู้ใช้จำนวนมหาศาล หรือมีทำรายการอย่างต่อเนื่องไม่สะดุดได้ ทำให้เริ่มเกิดช่องว่างระหว่างแอพพลิเคชั่น ที่ต้องการทรัพยากรมากๆ (อันเกิดจากภาวะการใช้งานจริง) กับแอพพลิเคชั่นอื่น ๆ ทั่วไป ด้วยเหตุนี้จึงเกิดแนวความคิดที่จะพัฒนาอุปกรณ์ “เสมือนจริง” เพื่อเติมเต็มช่องว่างของแอพพลิเคชั่น และฮาร์ดแวร์ต่างๆ ขึ้น และด้วยเทคโนโลยีนี้ยังสามารถพัฒนา ต่อยอดให้เกิดการให้บริการ “เสมือนจริง” จากทางด้านแอพพลิเคชั่นให้แก่ผู้ใช้ด้วย
แนวคิดของเทคโนโลยีเสมือนจริง คือการที่จะรักษาระดับการให้บริการ หรือที่มักเรียกติดปากว่า “
เครื่องเสมือนจริงที่วิ่งแอพพลิเคชั่นอยู่นั้น สามารถที่จะดึงกำลังของซีพียู ของเครื่องจริงเครื่องใดที่ยังเหลือ หรือว่างอยู่มาใช้งานได้ และในทำนองเดียวกันมันสามารถเก็บข้อมูลลงบน “ฮาร์ดดิสก์เสมือนจริง” ซึ่งที่จริงก็คือเก็บข้อมูลลงบนฮาร์ดดิสก์จริงที่อยู่ที่ไหนก็ได้ ด้วยหลักการทำงานแบบนี้จะเห็นว่า แอพพลิเคชั่นสามารถวิ่งให้บริการผู้ใช้ อยู่บนฮาร์ดแวร์จริงได้หลายๆ เครื่อง ทำให้เกิดความต่อเนื่องในการบริการอย่างสูง ถึงแม้จะมีฮาร์แวร์จริงบางเครื่องที่มีปัญหา หรือเสียจนใช้งานไม่ได้ก็ไม่มีผลกระทบต่อการให้บริการ นอกจากนี้แอพพลิเคชั่นเองยังมีประสิทธิภาพ ของการให้บริการที่ดีอีกด้วย โดยลักษณะการใช้งานในปัจจุบันเรา มักจะจัดกลุ่มของเซิร์ฟเวอร์ไว้อยู่ด้วยกัน เป็นเซิร์ฟเวอร์ฟาร์มอยู่แล้ว เทคโนโลยีเสมือนจริงนี้จะเข้ามาช่วย ให้การใช้งานเซิร์ฟเวอร์เหล่านี้มีประสิทธิภาพสูงสุด และเรายังอาจขยายการใช้งานติดตั้งเซิร์ฟเวอร์ฟาร์ม ออกไปยังศูนย์สำรองได้อีกด้วย เรายังใช้ลักษณะเดียวกันนี้ กับระบบจัดเก็บข้อมูลซึ่งสามารถออกแบบ ให้มีระบบจัดเก็บข้อมูลจริงอยู่สองถึงสามชุด ที่ศูนย์หลัก และศูนย์สำรองได้ด้วยเช่นกัน โดยแอพพลิเคชั่นหรือเซิร์ฟเวอร์จะมองเห็น เป็นระบบจัดเก็บข้อมูลเพียงชุดเดียว
แพล็ตฟอร์มเวอร์ชวลไลเซชั่น คือการจำลองการทำงานของคอมพิวเตอร์หรือระบบปฏิบัติการ เพื่อซ่อนการทำงานแพล็ตฟอร์มของคอมพิวเตอร์จากผู้ใช้งาน การเกิดเวอร์ชวลไลเซชั่นเป็นการรวมการทำงานของเครื่องแม่ข่าย เพื่อเพิ่มการทำงานให้กับทรัพยากร ซีพียู ระบบปฏิบัติการ แต่ละระบบปฏิบัติการจะทำงานกันไปบนเซิร์ฟเวอร์เพื่อแปลงสู่การทำงานบนเครื่องเวอร์ชวลที่กำลังทำงานอยู่ ระบบเซิร์ฟเวอร์จะมีขนาดใหญ่ที่สามารถมองโฮสต่าง ๆ เป็น guest หรือการแปลง Physical-to-Virtual (P2V)เครื่องเวอร์ชวลจะสามารถควบคุมและตรวจสอบได้อย่างง่ายโดยมองเห็นเป็นกายภาพเดียวกัน และคอนฟิกได้อย่างง่าย ๆ รวมไปถึงการพัฒนาเคอร์แนล การทำงานเต็มรูปแบบของเวอร์ชวลไลเซชั่น โดยการจำลองการทำงานของโอเอส เช่นในเครื่องเมนเฟรมประกอบด้วย Parallels Workstation, Parallels Desktop for Mac, VirtualBox, Virtual Iron, Oracle VM, Virtual PC, Virtual Server, Hyper-V, VMware Workstation, VMware Server (formerly GSX Server), QEMU, Adeos, Mac-on-Linux, Win4BSD, Win4Lin Pro, Egenera vBlade technology ทางด้านฮาร์ดแวร์ที่ทำงานในแบบเวอร์ชวลไลเซชั่น เช่น Linux KVM, VMware Workstation, VMware Fusion, Microsoft Virtual PC, Xen, Parellels Desktop for Mac, VirtualBox and Parallels Workstation เวอร์ชวลไลเซชั่นจะกำหนดระบบทรัพยากร เช่น โวลลูมการจัดเก็บ, ชื่อสเปค และเน็ตเวิร์กทรัพยากร เป็นต้น
· หน่วยความจำเวอร์ชวลยอมให้คอนฟิกแอดเดรสโดยการแบ่งหรือไม่คอนฟิกหน่วยความจำและพื้นที่ดิสก์
· แหล่งจัดเก็บข้อมูลเวอร์ชวลไลเซชั่นเป็นโปรเซสในการจัดเก็บอย่างสมบูรณ์แบบมีเหตุมีผลทางด้านการจัดเก็บทั้งแบบRAID มีการใช้อะเรย์ของแต่ละดิสก์, ดิสก์ พาร์ติชั่น เป็นการแบ่งทรัพยากรเดีย เช่น พื้นที่ดิสก์ หรือเน็ตเวิร์กบรอดแบนด์,ให้มีจำนวนทรัพยากรน้อยลง, ง่ายต่อการจัดการทรัพยากรประเภทเดียวกัน
· การจัดการโวลลูมลอจิคอล เพื่อรวมดิสก์ต่าง ๆ ให้เป็นดิสก์ตรงกลางที่มีขนาดใหญ่และมีการแบ่งดิสก์ออกไป
· เน็ตเวิร์กเวอร์ชวลไลเซชั่นจะสร้างพื้นที่แอดเดรสเน็ตเวิร์กเวอร์ชวลไลเซชั่นภายใน หรือซับเน็ตของเน็ตเวิร์กตรงกันข้าม
· การผูกมัดกับช่องสัญญาณ โดยการใช้มัลติลิงก์เพื่อไปผสมกับการทำงานที่รองรับสัญญาณเดียว และลิงก์ในแบบแบนด์วิดธ์สูง
· อินพุท เอาต์พุท เวอร์ชวลไลเซชั่น เช่น vNICs, vHBAs
· การรวมหน่วยความจำเวอร์ชวลไลเซชั่นจากทรัพยากรหน่วยความจำต่าง ๆ เช่น ระบบเน็ตเวิร์กไปเป็นหน่วยความจำตรงกลาง
การทำ Virtualization แบ่งออกเป็น 2 แบบ
1. โดยการแบ่งย่อยทรัพยากรโดยเฉพาะบนฮาร์ดแวร์ขนาดใหญ่ให้เป็นอุปกรณ์เสมือนขนาดเล็ก ให้เกิดประสิทธิภาพสูงสุด เช่น การรวมศูนย์การทำงานของระบบเซิร์ฟเวอร์ (Server Consolidation) แล้วนำมาติดตั้งบนเครื่องเสมือน (Virtual Machine) หลายๆ เครื่อง โดยใช้เครื่องหลักหนึ่งเครื่องที่มีสมรรถนะของเครื่องสูง ทำให้ประหยัดต้นทุนในแง่ของฮาร์ดแวร์ ลดจำนวนอุปกรณ์ให้น้อยลง ใช้พลังงานและพื้นที่น้อยลง
2. โดยการนำอุปกรณ์เล็กๆ มาช่วยกันทำงานเสมือนเป็นฮาร์ดแวร์ใหญ่ตัวหนึ่ง เช่น การทำกริด คอมพิวติ้ง (Grid Computing) หรือการทำ High performance Computing เครื่องคอมพิวเตอร์ช่วยกันประมวลผลของลักษณะงานที่ต้องการศักยพภาพในการประมวลผลสูงมาก ๆ ร่นระยะเวลาในการทำงานให้น้อยลง
การทำ Virtualization สามารถทำได้ใน 3 ส่วนหลัก คือ
1. Server Virtualization - เซิร์ฟเวอร์ เวอร์ชวลไลเซชั่น เป็นการสร้างเซิร์ฟเวอร์เสมือนขึ้นมา เพื่อให้เกิดการใช้ทรัพยากรทางการคำนวณสูงสุด
2. Storage Virtualization - สตอเรจ เวอร์ชวลไลเซชั่น เป็นการจัดสรรส่วนเก็บข้อมูลเป็นส่วนย่อย ๆ หลายส่วนทำให้ใช้งานได้คุ้มค่ามากยิ่งขึ้น เช่นในกรณีของบริษัทซิสโก้ ทำการรวมสตอเรจ (consolidate) แล้วทำ Virtualization ซึ่งสามารถประหยัดรายจ่ายได้การลงทุนด้านฮาร์ดแวร์มากถึงปีละหลายสิบล้านเหรียญสหรัฐ
3. Network Virtualization - เน็ตเวิร์ค เวอร์ชวลไลเซชั่น ทำการแบ่งแยกระบบ LAN ออกเป็นหลายระบบแยกจากกันโดยเด็ดขาด เพิ่มความปลอดภัยให้กับระบบและการส่งข้อมูลไม่รบกวนกัน
ถึงจุดนี้จะเห็นว่าเทคโนโลยีเสมือนจริง จำเป็นอย่างยิ่งจะต้องมีระบบเครือข่าย ที่มีประสิทธิภาพ และความอัจฉริยะเพียงพอที่จะรองรับการทำงานเหล่านี้ เพื่อเชื่อมต่อทรัพยากรจริงทั้งหลาย ให้กลายเป็นทรัพยากรเสมือนได้ ฉะนั้นปัจจัยหลักพื้นฐานที่จะสร้างระบบเสมือนจริง ที่จะเกิดขึ้นในอนาคตก็คือ การเตรียมระบบเครือข่ายอัจฉะริยะเสียตั้งแต่วันนี้
ตอนนี้คงมองเห็นถึงการเกิดเซิร์ฟเวอร์ และระบบเก็บข้อมูลเสมือนจริงกันแล้ว ในอนาคตตัวแอพพลิเคชั่นเอง หรือบริการของแอพพลิเคชั่นที่ให้กับผู้ใช้ หรือให้กับแอพพลิเคชั่นอื่นๆ ก็จะเป็นแบบเสมือนจริงได้ด้วย กล่าวคือการเรียกใช้บริการต่างๆ จากแอพพลิเคชั่น ผู้ใช้ (หรือแอพพลิเคชั่นอื่นที่เรียกใช้บริการ) ไม่จำเป็นต้องรู้ว่าบริการเหล่านั้น อยู่ที่ใด หรืออยู่บนเซิร์ฟเวอร์เครื่องไหน แต่จะเรียกใช้บริการจากเครือข่ายได้โดยตรง โดยระบบเครือข่ายเองจะเป็นผู้มีหน้าที่ จัดหาบริการเหล่านั้นมาบริการให้เอง ซึ่งจะเห็นว่าระบบเครือข่ายเริ่มที่จะขยายขอบเขต การบริการล้ำเข้าไปในฝั่งของแอพพลิเคชั่นมากขึ้น เราอาจเรียกระบบเครือข่ายนี้ว่า “เครือข่ายเชิงแอพพลิเคชั่น” หรือ AON (Application Oriented Network)
เทคโนโลยีประมวลผลกลุ่มเมฆ (Cloud Computing)
ระบบประมวลผลกลุ่มเมฆเป็นแนวคิดสำหรับแพลทฟอร์มของระบบคอมพิวเตอร์ในยุคหน้า เพื่อเป็นทางเลือกให้แก่ผู้ใช้ในการลดภาระด้านการลงทุนในเทคโนโลยีสารสนเทศ (Information Technology: IT) ทั้งการใช้งานในระดับองค์กรธุรกิจ (Corporate Users) และ ผู้ใช้ระดับส่วนบุคคล (Individual Users) โดยเป็นหลักการนำทรัพยากรของระบบไอที ทั้งฮาร์ดแวร์ และซอฟต์แวร์มาแบ่งปันในรูปแบบการให้บริการ (Software As A Services: saas) ในระดับการประมวลผลผ่านเครือข่ายอินเตอร์เน็ต โดยผู้ใช้ไม่จำเป็นต้องมีเครื่องคอมพิวเตอร์ประสิทธิภาพสูง หรือติดตั้งซอฟต์แวร์ระบบ ตลอดจนซอฟต์แวร์แอพพลิเคชั่นจำนวนมาก ๆ เพื่อการทำงานที่ซับซ้อน แต่สามารถใช้บริการประมวลผล และแอพพลิเคชั่นต่าง ๆจากผู้ให้บริการระบบประมวลผลกลุ่มเมฆ และชำระค่าบริการตามอัตราการใช้งานที่เกิดขึ้นจริง
ดังนั้นในอนาคตบริการด้านไอทีจะมีลักษณะเป็นบริการสาธารณูปโภคพื้นฐานเช่นเดียวกับบริการไฟฟ้า หรือโทรศัพท์ (Utilities Services) ตัวอย่างเช่น บริการโฮสต์เว็บไซต์ ในอดีตจะถูกกำหนดด้วยขนาดของพื้นที่ และความสามารถในการรองรับจำนวนผู้เข้าชมพร้อมกัน แต่ในสภาพแวดล้อมการให้บริการโอสต์เว็บไซต์บนกลุ่มเมฆ ขนาดของพื้นที่และความสามารถในการรองรับจำนวนผู้เข้าชมจะสามารถปรับเพิ่มลดขนาดได้มาก ๆ (Massively Scalable) และอัตราค่าบริการจะถูกคำนวณตามขนาดพื้นที่ที่ใช้งานจริง และจำนวนผู้เข้าชมเว็บไซต์ที่เกิดขึ้นจริง ในแต่ละรอบบิล
สภาพแวดล้อมของระบบประมวลผลกลุ่มเมฆ จำเป็นต้องพัฒนาประสิทธิภาพและความสามารถของการสื่อสารข้อมูลบนเครือข่ายอินเตอร์เน็ตให้มีศักยภาพด้านอัตราความเร็วและเสถียรภาพเพื่อยกระดับการแลกเปลี่ยน (Share) จากระดับการแลกเปลี่ยนข้อมูล (Data Share) บนสภาพแวดล้อมในปัจจุบัน สู่การแลกเปลี่ยนในระดับแอพพลิเคชั่น (Application Share) บนสภาพแวดล้อมแบบกลุ่มเมฆในอนาคต
คำจำกัดความของระบบประมวลผลกลุ่มเมฆ เป็นที่ยอมรับกันทั่วไปในวงการไอทีตั้งแต่ช่วงปลายทศวรรษ 1990 โดยเมื่อต้นปี 2007 เดลล์ได้ยื่นขอจดทะเบียนเครื่องหมายการค้า "Cloud Computing" สำหรับผลิตภัณฑ์ฮาร์ดแวร์ประเภทศูนย์ข้อมูล (Data Center) และสภาพแวดล้อมของระบบประมวลผลที่ปรับเปลี่ยนขนาดได้ขนาดใหญ่ (Mega-scale computing environment) แต่ในที่สุดเมื่อ สำนักสิทธิบัตรและเครื่องหมายการค้าแห่งสหรัฐอเมริกา (United States Patent and Trademark Office : USPTO) ได้ใช้เวลาพิจารณากว่า 1 ปี การยื่นขอจดทะเบียนของเดลล์ได้รับการปฎิเสธโดย USPTO ระบุว่า ระบบปฏิบัติการกลุ่มเมฆเป็นคำที่ใช้กันโดยทั่วไปในอุตสาหกรรมไอที หมายถึงแอพพลิเคชั่นการประมวลผลทางไกล (Remote Computing Applications)
ทั้งนี้กลุ่มเมฆเปรียบเสมือน เครือข่ายอินเตอร์เน็ต กลุ่มเมฆที่ปกคลุมท้องฟ้ามีการเชื่อมโยงกันเป็นผืนเมฆเดียวกันห่อหุ้มโลกใบนี้ไว้ เช่นเดียวกับเครือข่ายอินเตอร์เน็ตที่มีการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์จำนวนมากหลายเครื่องจากทั่วทุกมุมโลกเป็นเครือข่ายใยแมงมุมขนาดใหญ่
นอกจากนี้กลุ่มเมฆยังทำหน้าที่ "ปิดบังซ่อนเร้น" ไม่ให้เรามองเห็นสิ่งที่เกิดขึ้นณ จุดที่สูงขึ้นไป กระบวนการควบแน่นไอน้ำเป็นปุยเมฆ ปรากฎการณ์ฟ้าร้อง ฟ้าแล่บ ฟ้าผ่า เกิดขึ้นได้อย่างไร เป็นสิ่งที่มนุษย์บนพื้นโลกไม่มีส่วนเกี่ยวข้อง เพียงแต่ได้รับผลลัพท์ที่เกิดเป็นปริมาณน้ำฝน ได้ยินเสียงฟ้าร้อง ได้เห็นแสงฟ้าแล่บ และฟ้าผ่า โดยไม่จำเป็นต้องรับรู้ หรือเกี่ยวข้องกับกิจกรรมเบื้องบนนั้น เปรียบเสมือนระบบเสมือนจริง (Virtualization) ที่เครื่องคอมพิวเตอร์ของผู้ใช้ ทำหน้าที่เพียงติดต่อส่วนของผู้ใช้ (User Interface) เพื่อแสดงผลและรับคำสั่ง และสื่อสารไปยังบริการต่าง ๆ บนกลุ่มเมฆคอมพิวเตอร์ เพื่อการจัดเก็บและเรียกใช้ข้อมูล ประมวลผล และ ใช้โปรแกรมประยุกต์ (Application Programs) ที่หลากหลาย
ในสภาพแวดล้อมของระบบประมวลผลกลุ่มเมฆ การจัดการงานหนึ่งชิ้น ผู้ใช้ไม่จำเป็นต้องมีซอฟต์แวร์โปรแกรมแอพพลิเคชั่น เพียงแต่ต้องมีอุปกรณ์ (Device) ที่สามารถเชื่อมต่อเข้าสู่เครือข่ายอินเตอร์เน็ต เช่นเครื่องคอมพิวเตอร์ โทรศัพท์แบบ VOIP โทรศัพท์เคลื่อนที่ หรือ PDA ก็จะสามารถใช้บริการซอฟต์แวร์จากผู้ให้บริการผ่านเซิร์ฟเวอร์หลายเครื่องบนเครือข่าย ในรูปแบบการประมวลผลแบบกระจาย (Distributed Computing) เช่นเริ่มต้นจากการดึงข้อมูล (Data) อาจถูกเรียกจากดาต้าเบสเซิร์ฟเวอร์ที่อยู่ในประเทศ จากนั้นข้อมูลชุดดังกล่าวจะถูกส่งไปประมวลผลด้วยซอฟต์แวร์บนเซิร์ฟเวอร์อีกตัวหนึ่งในต่างประเทศ หมายความว่ากระบวนการทำงานใด ๆ ก็ตามจะเริ่มรับคำสั่ง (Input) จากผู้ใช้ การประมวลผลที่ซับซ้อนมาก ๆ อาจเกิดบนเซิร์ฟเวอร์มากกว่า 1 เครื่องบนอินเตอร์เน็ต จากนั้นจึงนำผลที่ได้ส่งกลับไปเป็นผลลัพท์ (Output) บนหน้าจอของผู้ใช้ อุปกรณ์ของผู้ใช้จึงทำหน้าที่เป็นเพียงเทอร์มินัลแบบกราฟฟิกที่ติดต่อผู้ใช้ผ่านเว็บบราว์เซอร์
ระบบประมวลกลุ่มเมฆ อาจสับสนว่าเหมือนหรือแตกต่างจากระบบประมวลแบบกริด (Grid Computing) ไอบีเอ็มได้ให้ความเห็นไว้ว่าระบบประมวลผลแบบกริด เป็นการนำความสามารถของคอมพิวเตอร์หลาย ๆ เครื่องมาเชื่อมต่อกันเพื่อแบ่งปันประสิทธิภาพเช่นเดียวกับระบบประมวลผลกลุ่มเมฆ อย่างไรก็ตามระบบประมวลผลแบบกริดเป็นเครือข่ายคอมพิวเตอร์สำหรับงานเฉพาะทาง กล่าวคือเป็นการสร้างเครือข่ายเพื่องานใดงานหนึ่ง สำหรับองค์กรใดองค์กรหนึ่งเท่านั้น แต่ระบบประมวลผลกลุ่มเมฆ เป็นเครือข่ายคอมพิวเตอร์ที่เชื่อมโยงกันหมดทั้งอินเตอร์เน็ต และทำงานร่วมกัน เพื่อให้บริการที่หลากหลายรูปแบบแก่ผู้ใช้ทั่วทุกมุมโลก
ที่มาของระบบประมวลผลกลุ่มเมฆคือแนวคิดการแบ่งงานกันทำ โดยผู้ใช้ในระดับองค์กรธุรกิจและระดับบุคล ไม่จำเป็นต้องให้ความสำคัญกับงานไอทีในองค์กร แต่สามารถโฟกัสไปยังธุรกิจหลัก (Core Business) ของตนเองได้อย่างเต็มที่ และสามารถถ่ายโอนงานด้านไอทีทั้งหมด (Outsource) ไปยังผู้ให้บริการไอทีผ่านเครือข่ายอินเตอร์เน็ต ซึ่งจะก่อให้เกิดการประหยัดต่อขนาด (Economies of scale) ของไอทีทั้งด้านประสิทธิภาพในการประมวลผลและขนาดของพื้นที่จัดเก็บข้อมูล จึงไม่จำเป็นต้องลงทุนด้วยเม็ดเงินจำนวนมาก ๆ เพื่อติดตั้งระบบไอที หรือว่าจ้างบุคลากรมาบริหารจัดการเทคโนโลยีที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา และที่สำคัญคือเมื่อเทคโนโลยีไอทีมีการพัฒนาต่อยอดขึ้นไป ผู้ใช้จะมีความยืดหยุ่นที่จะสามารถใช้บริการเทคโนโลยีใหม่ ๆ ได้ทันที ขณะที่ผู้ให้บริการก็สามารถอัพเกรดเทคโนโลยีการให้บริการได้อย่างยืดหยุ่นบนสถาปัตยกรรม Service-oriented architecture
สถาปัตยกรรมของ Cloud Computing และเทคโนโลยีที่เกี่ยวข้อง
Cloud computing คือรูปแบบของคอมพิวเตอร์ในแบบไดนามิกและทรัพยากรในแบบเวอร์ชวลที่ให้บริการผ่านทางอินเทอร์เน็ตผู้ใช้ไม่ต้องมีความรู้ ประสบการณ์ หรือการควบคุม โครงสร้างเทคโนโลยีในแบบ Cloud เป็นคอนเซ็ปต์การรวบรวม infrastructure as a service (IaaS), platform as a service (PaaS) และ software as a service (SaaS) ทิศทางของเทคโนโลยีจะมีรูปแบบเป็น theme บนอินเทอร์เน็ต บริการ Cloud computing จะใช้งานกับแอพพลิเคชั่นทางด้านธุรกิจออนไลน์โดยจะใช้งานผ่านทางเว็บเบราเซอร์ โดยจะนำเอาซอฟต์แวร์และข้อมูลเก็บไว้บนเซิร์ฟเวอร์
หัวใจสำคัญของ Cloud computing
· การทำงานที่รวดเร็ว ปรับปรุงกับผู้ใช้งานให้สามารถทำงานได้รวดเร็วและค่าใช้จ่ายไม่สูง ไม่ต้องแก้ไขโครงสร้างเทคโนโลยีทรัพยากรใหม่
· อุปกรณ์และตำแหน่ง ผู้ใช้งานจะต้องเข้าใช้งานระบบได้ผ่านทางเว็บเบราเซอร์ไม่ว่าจะอยู่ในสถานที่ใด หรือใช้อุปกรณ์ใด เช่น เครื่องคอมพิวเตอร์ มือถือ ทั้งภายนอกบริษัทโดยการเข้าใช้งานผ่านทางอินเทอร์เน็ตจากที่ใดก็ได้
· การทำงานหลายๆ อย่างไม่ว่าจะเป็นการแชร์ข้อมูลของทรัพยากรและใช้ค่าใช้จ่ายที่ต่ำสำหรับผู้ใช้งาน
· มีความน่าเชื่อถือ เพิ่มการทำงานได้มากขึ้นทั้งทางด้านการทำงานทางด้านธุรกิจและการกู้คืนข้อมูลที่หายไป การให้บริการโดยทั่วไปของ Cloud computing จะรองรับการทำงานทางด้านไอทีและการจัดการทางด้านธุรกิจ
· ทางด้านความปลอดภัย เพิ่มความสามารถในการใช้ข้อมูลร่วมกันโดยเน้นการเพิ่มระบบความปลอดภัยให้กับทรัพยากร การเพิ่มความปลอดภัยถือว่าดีและเยี่ยมสำหรับระบบ
คอมโพเนนต์ของเทคโนโลยี
ภาพแสดง 6 เลเยอร์คอมโพเนนต์ของ Cloud computing / Cloud computing Layer (Source: www.wikimedia.org)
1. ไคลเอนต์ Cloud computing ไคลเอนต์ของคอมพิวเตอร์ฮาร์ดแวร์และคอมพิวเตอร์ซอฟต์แวร์ relies บน Cloud computing สำหรับแอพพลิเคชั่นที่ส่งให้ หรือกำหนดการออกแบบสำหรับการรับบริการ Cloud ตัวอย่างได้แก่ มือถือ เช่น Android, iPhone Windows Mobile, Thin client เช่น CheeryPal, Zonbu, ระบบ gOS, Thick client หรือ Web browser เช่น Microsoft Internet Explorer, Google Chrome, Mozilla Firefox
2. เซอร์วิสการบริการของ Cloud computing ประกอบด้วย ผลิตภัณฑ์, บริการและโซลูชั่นที่ส่งและใช้งานในแบบเรียลไทม์โดยผ่านทางอินเทอร์เน็ตตัวอย่างเช่น Web Service ที่ออกแบบมาเพื่อให้สนับสนุนการทำงานโต้ตอบระหว่างเครื่องกับเครื่องผ่านทางเน็ตเวิร์ก ตัวอย่างของบริการเช่น Identity (OAuth, OpenID), Integration (Amazon Simple Queue Service), Payments (Amazon Flexible Payments Service, Google Checkout, Paypal), Mapping (Google Maps, Yahoo! Maps), Search (Alexa, Google Custom Search, Yahoo! BOSS), Others (Amazon Mechanical Turk)
3. แอพพลิเคชั่น Cloud computing จะมีสถาปัตยกรรมซอฟต์แวร์ไม่ต้องการติดตั้งและรันแอพพลิเคชั่นบนเครื่องคอมพิวเตอร์ของลูกค้า เพื่อแบ่งเบาการดูแลรักษาซอฟต์แวร์ การจัดการ และฝ่ายสนับสนุน ตัวอย่างเช่น Peer-to-peer และ volunteer computing (เช่น โปรแกรม Bittorrent, BOINC Projects, Skype), เว็บแอพพลิเคชั่น (เช่น Facebook), การบริการซอฟต์แวร์ (เช่น Google Apps, SAP และ Salesforce), Software plus services (เช่น Microsoft Online Services)
4. แพล็ตฟอร์มในส่วนของ Cloud computing แพล็ตฟอร์ม เช่น แพล็ตฟอร์มการให้บริการ, การส่งของแพล็ตฟอร์มคอมพิวเตอร์, บริการของโซลูชั่นทำให้สะดวกกับผู้ใช้บริการ ไม่ต้องไปกังวลเรื่องราคา การซับซ้อนในการจัดซื้อและการจัดการ ความเข้าใจทางด้านเลเยอร์ของฮาร์ดแวร์และซอฟต์แวร์ ตัวอย่างเช่น เว็บแอพพลิเคชั่นเฟรมเวิร์ก (Python Django (Google App Engine), Ruby on Rails (Heroku), .NET (Azure Services Platform), Web hosting (Mosso), Proprietary (Force.com)
5. แหล่งจัดเก็บข้อมูล จะส่งข้อมูลไปจัดเก็บผ่านทางบริการ ทั้งการบริการทางด้านฐานข้อมูล ไม่ว่าจะเป็น ฐานข้อมูล (Amazon SimpleDB, Google App Engine’s BigTable datastore), เน็ตเวิร์กเชื่อมต่อกับแหล่งจัดเก็บ (MobileMe iDisk, Nirvanix CloudNAS), การซิงก์โครไนต์ (Live Mesh Live Desktop component, MobileMe push functions), เว็บเซอร์วิส (Amazon Simple Storage Services, Nirvanix SDN), การแบ็กอัพ (Backup Direct, Iron Mountain Inc services)
6. พื้นฐานของโครงสร้าง Cloud computing เช่น พื้นฐานของโครงสร้างการบริการ, การส่งไปยังโครงสร้างคอมพิวเตอร์, สภาพแวดล้อมทั่วไปจะมีรูปแบบเป็นเวอร์ชวลไลเซชั่น ตัวอย่างเช่น บริการเต็มรูปแบบเวอร์ชวลไลเซชั่น (เช่น GoGrid, Skytap), Grid computing (เช่น Sun Grid), Management (เช่น RightScale), Compute (เช่น Amazon Elastic Compute Cloud), แพล็ตฟอร์ม (เช่น Force.com)
รูปแบบต่าง ๆ ของ Cloud computing
Public cloud หรือ External Cloud จะอธิบายถึง Cloud computing จะใช้ทรัพยากรที่ได้จัดเตรียมเอาไว้ให้ใช้บริการผ่านทางอินเทอร์เน็ต เว็บแอพพลิเคชั่น หรือเว็บเซอร์วิส ให้บริการการแชร์ทรัพยากรและยูทีลิตี้ขั้นพื้นฐาน
Hybrid cloud ในรูปแบบของ Hybrid cloud จะประกอบไปด้วยสภาพแวดล้อมที่เกิดจากจากผู้ให้บริการหลาย ๆแหล่งทั้งภายในและภายนอก โดยส่วนใหญ่จะเน้นไปทางระบบเอ็นเตอร์ไพรส์ หรือเน้นทางด้านกิจกรรมต่าง ๆ
Private cloud และ Internal cloud เป็นการจำลอง Cloud computing ขึ้นมาเพื่อใช้งานบนเน็ตเวิร์กส่วนตัวโดยทำงานบนความสามารถที่มีระบบป้องกันความปลอดภัยของข้อมูล ซึ่งจะมีการสร้างและจัดการด้วยตนเอง
สถาปัตยกรรมกรรมของ Cloud computing
สถาปัตยกรรมของ Cloud computing คือระบบสถาปัตยกรรมของระบบซอฟต์แวร์รวมถึงการขนส่งของ Cloud computing ประกอบด้วยฮาร์ดแวร์และซอฟต์แวร์ที่ออกแบบด้วยสถาปัตยกรรม Cloud computing โดยการรวมการติดต่อผ่านคอมโพเนนต์ของ Multi Cloud ผ่านทางแอพพลิเคชั่นโปรแกรมมิ่ง อินเทอร์เฟสผ่านทางเว็บเซอร์วิสรูปแบบจะใกล้เคียงกับระบบยูนิกซ์ โดยมีโปรแกรมต่าง ๆ ที่ทำงานผ่านทางอินเทอร์เฟส จะรองรับการทำงานที่ซับซ้อนทั้งการควบคุมและผลลัพธ์ที่ได้จากระบบสถาปัตยกรรม Cloud จะแตกขยายไปยังไคลเอนต์ เว็บเบราเซอร์ และซอฟต์แวร์แอพพลิเคชั่น
ลักษณะของระบบประมวลผลกลุ่มเมฆ
- ลดค่าใช้จ่ายด้านการลงทุนในระบบไอที โดยผู้ให้บริการจะเป็นผู้ลงทุนในโครงสร้างพื้นฐานของระบบไอที และผู้ใช้ไม่จำเป็นต้องลงทุนติดตั้งหรือซื้อไลเซนส์ของซอฟต์แวร์ ซึ่งจะมีค่าใช้จ่ายเพิ่มขึ้นหากองค์กรธุรกิจจะเพิ่มจำนวนพนักงาน (ผู้ใช้) หรือต้องการอัพเกรดซอฟต์แวร์
- เพิ่มความสามารถในการแบ่งปันทรัพยากรแบบ Multitenancy เป็นการรวมศูนย์ของโครงสร้างพื้นฐานเพื่อลดต้นทุนทั้งค่าเช่าสถานที่ และค่าใช้จ่ายอื่น ๆ และเพิ่มความสามารถรองรับช่วงเวลาทำงานหนัก (Peak - load capacity) รวมทั้งช่วยปรับปรุงประโยชน์ใช้สอยและประสิทธิภาพ (Utilization and efficiency) ของทรัพยากรไอที
- ความสามารถในการปรับเปลี่ยนขนาด (Scalability) สามารถเลือกใช้ทรัพยากรได้อย่างยืดหยุ่นตามความต้องการใช้งานจริงในแต่ละช่วงเวลา
- ความเชื่อถือได้ (Reliability) การมีมาตรการป้องกันระบบล่ม เพื่อให้ระบบพร้อมให้บริการตลอดเวลา(Redundant)
- ความปลอดภัย (Security) สำหรับข้อมูลและทรัพยากรของระบบ อย่างไรก็ตามยังมีความกังวลเกี่ยวกับการสูญเสียความสามารถในการกำกับดูแลการเข้าถึงและความปลอดภัยของข้อมูลอ่อนไหว
- ประสิทธิภาพ (Performance) สามารถกำกับดูแลและมีความเสถียร แต่อาจได้รับผลกระทบจากการสื่อสารบนอินเตอร์เน็ตที่ไม่มีประสิทธิภาพ หรือช่วงเวลาที่มีการใช้งานพร้อมกันจำนวนมาก
- อุปกรณ์และสถานที่ตั้งไม่ขึ้นต่อกัน (Device and location independence) ผู้ใช้สามารถเข้าถึงระบบจากสถานที่ใดก็ตาม และสามารถใช้อุปกรณ์ได้หลากหลายรูปแบบ (คอมพิวเตอร์ หรือโทรศัพท์เคลื่อนที่)
องค์ประกอบของระบบประมวลผลกลุ่มเมฆ
ระบบประมวลผลกลุ่มเมฆ จำเป็นต้องอาศัยองค์ประกอบที่สำคัญคือ อินเตอร์เน็ตที่มีช่องสัญญาณสูงจนเกือบจะไม่มีจำกัด (Nearly unlimited bandwidth) เทคโนโลยีระบบเสมือนจริง (Increasingly sophisticated virtualization technologies) สถาปัตยกรรมเครือข่ายที่รองรับการเข้าถึงพร้อมกันจำนวนมาก (Multitenant Architectures) ลักษณะการใช้งานได้ของเซิรฟ์เวอร์ประสิทธิภาพสูง (Availability of extremely powerful servers)
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
ในยุคที่เทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทในการทำงานของคนในทุกองค์กรสิ่งหนึ่งที่ไม่สามารถมองข้ามไปได้คือ ระบบรักษาความปลอดภัยของข้อมูลภายในองค์กร (Information Security) เพราะข้อมูลถือเป็นสิ่งสำคัญที่สุด ในการทำธุรกิจ และง่ายต่อการถูกคุกคาม เนื่องจากปัจจุบันได้มีการคุกคามความปลอดภัยของข้อมูลบนเครือข่าย (Network )เกิดขึ้นทั้งภายในและภายนอกองค์กรในรูปแบบต่าง เช่น ไวรัสคอมพิวเตอร์, Hacker , Network Attach อีกทั้งรูปแบบการคุกคามความปลอดภัยของข้อมูลยังได้มีการเปลี่ยนแปลงและพัฒนารูปแบบการโจมตีไปอย่างรวดเร็ว ดังนั้นหากองค์กรไม่ให้ความสำคัญและเตรียมการรองรับอย่างมีแบบแผนอาจก่อให้เกิดความเสียหายต่อองค์กรที่มิอาจประเมินค่าได้
Computer Security จึงกลายเป็นเรื่องสำคัญที่ผู้ใช้คอมพิวเตอร์ทุกคนต้องให้ความสำคัญนับตั้งแต่อินเทอร์เน็ตเข้ามาเปลี่ยนแปลงการใช้งานคอมพิวเตอร์อย่างสิ้นเชิง เมื่อคอมพิวเตอร์ของเราต่อเชื่อม on-line เข้าสู่ระบบอินเทอร์เน็ต ทั้งแฮกเกอร์, ไวรัส ตลอดจนโปรแกรมมุ่งร้ายต่าง ๆ ที่แอบแฝงอยู่ในบาง Web site หรือ e-mail ก็พร้อมที่จะเข้าสู่คอมพิวเตอร์ของเราหากเรามีการใช้งานคอมพิวเตอร์อย่างไม่ระมัดระวัง
ดังนั้นควรมีการ "เตรียมตัว" และ "เตรียมเครื่องมือ" ให้พร้อมรับภัยทางอินเทอร์เน็ตที่จะเข้ามาสู่เครื่องหรือระบบของเรา ซึ่งการ "เตรียมตัว" หมายถึง การที่เราต้องมีวินัยและกำหนดพฤติกรรมของตัวเราเอง และ มีความรู้ความเข้าใจภัยอินเทอร์เน็ตระดับหนึ่งที่จะสามารถใช้อินเทอร์เน็ตอย่างปลอดภัย "เตรียมเครื่องมือ" หมายถึง เราต้องลงโปรแกรม software - Hardware ต่าง ๆ ที่มีความสามารถในการป้องกันภัยต่าง ๆ ทางอินเทอร์เน็ตได้
มาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศ
ปัจจุบันองค์กรไม่ว่าจะเป็นภาครัฐหรือเอกชนเริ่มตระหนักและให้ความสำคัญต่อการสร้างระบบและวางมาตรการป้องกันด้านการรักษาความมั่นคงปลอดภัยสารสนเทศในองค์กรมากขึ้น มีการนำมาตรฐานการรักษาความมั่นคงปลอดภัยมาประยุกต์ใช้กับระบบสารสนเทศในองค์กร และในปัจจุบันมีการออก พรบ. ว่าด้วยการทำธุรกรรมอิเล็กทรอนิกส์ และพรบ. ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ เพื่อเป็นมาตรการควบคุม อีกทั้งมีการจัดทำแผนแม่บท ICT Security แห่งชาติ และมีการจัดทำมาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศ ทั้งนี้จะเห็นได้ว่ามาตรฐานที่ได้รับการยอมรับจากหลายประเทศในการนำไปใช้บริหารจัดการระบบสารสนเทศขององค์กรปัจจุบันได้แก่ มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799 เป็นต้น
มาตรฐานการจัดการด้านความปลอดภัยของข้อมูล BS7799 และ ISO/IEC17799
BS7799 และ ISO/IEC17799 คือมาตรฐานการจัดการด้านความปลอดภัยของข้อมูล ซึ่งเป็นการรักษาความปลอดภัยของข้อมูลให้แก่องค์กรวิธีหนึ่ง ที่เน้น “ระบบการบริหารจัดการ” ไม่ใช่เน้นที่การใช้เทคโนโลยี Hardware หรือ Software ต่างๆเข้ามาช่วย นั่นหมายความว่า มาตรฐานนี้จะมีข้อกำหนดต่างๆเพื่อการรักษาความปลอดภัยของข้อมูลครอบคลุมกระบวนการทำงานในองค์กรในส่วนที่เกี่ยวข้องกับการนำข้อมูลมาใช้และจัดเก็บข้อมูลทั้งหมด รวมถึงการมีแผนรับมือ เมื่อเกิดเหตุฉุกเฉินขึ้นกับข้อมูล เช่น ไฟฟ้าดับ, ฮาร์ดดิสก์เสีย หรือพายุ เพื่อให้องค์กรสามารถ ปฏิบัติการรับมือได้อย่างถูกต้อง เกิดความสูญเสียน้อยที่สุด และสามารถกู้ข้อมูลกลับมาดำเนินงาน ตามปกติได้เร็วที่สุดในปัจจุบัน
ในปัจจุบัน มาตรฐานนี้มีการนำไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศอังกฤษ และแถบยุโรปและเป็นที่น่าสนใจว่า ในอนาคตมาตรฐานด้านความปลอดภัยของข้อมูลนี้ อาจได้รับการยอมรับและนำไปใช้งานกันอย่างแพร่หลายในประเทศไทย ไม่แพ้ระบบการบริหาร จัดการคุณภาพ (ISO9001) ก็เป็นได้ เพราะการพัฒนา IT ที่เจริญรุดหน้าอย่างรวดเร็วและ การดำเนินธุรกิจแบบดิจิตอลที่แพร่หลายอยู่ในประเทศไทย
จุดเด่นที่สำคัญอีกอย่างหนึ่งสำหรับมาตรฐานการจัดการด้านความปลอดภัยของข้อมูลนี้ก็คือมาตรฐาน BS7799 นี้ได้ถูกปรับปรุงขึ้นเพื่อให้สามารถเข้ากันได้กับมาตรฐาน ISO9001 และ ISO14001ซึ่งจะทำให้องค์กรที่มี ISO9001 หรือ ISO14001 อยู่แล้ว สามารถใช้ระบบ เอกสารที่องค์กรคุ้นเคยอยู่แล้วนั้นกับมาตรฐาน BS7799 ได้ และยังมีระบบในด้านของการทบทวน โดยผู้บริหาร (Managementreview) และการตรวจติดตามระบบภายใน (Internal audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย
ความเป็นมาของมาตรฐาน BS7799 และ ISO/IEC 17799
มาตรฐาน BS7799 เริ่มต้นพัฒนาขึ้นโดย BSI (British Standard Institute) ของประเทศอังกฤษ มีทั้งหมด 2 parts ดังนี้
BS7799 part 1 ถูกพัฒนาขึ้นครั้งแรกในปี ค.ศ. 1995 หลังจากนั้นได้มีการปรับปรุงแก้ไข โดยผู้เชี่ยวชาญอีกหลายครั้งใน ปี ค.ศ. 1998 และ 1999 ต่อจากนั้น BS7799-1:1999 นี้ได้ถูกยื่นเสนอให้เป็นมาตรฐานสากล (International Standard) ด้านการจัดการความปลอดภัย ของข้อมูล หลังจากการพิจารณาและปรับปรุงโดย ISO (International Organization for Standardization) และ IEC (International Electrotechnical Commission) BS ISO/IEC17799:2000 ได้ถูกประกาศใช้อย่างเป็นทางการในวันที่ 1 ธันวาคม ค.ศ. 2000 โดยประกอบไปด้วยหัวข้อของการควบคุมด้านความปลอดภัยของข้อมูลทั้งหมด 127 หัวข้อ แบ่งออกเป็น 10 หมวดหลัก
BS7799 part 2 ได้มีการประกาศใช้ครั้งแรกในปี ค.ศ.1998 ซึ่งเนื้อหาจะประกอบไปด้วยข้อกำหนดและแนวทางในการจัดตั้ง “ ระบบการจัดการความปลอดภัยของข้อมูล ” (Information Security Management Systems – ISMS) ขึ้นใช้ในองค์กรและการให้การรับรองระบบ (Certification) BS7799 part 2 นี้ได้ถูกปรับปรุงแก้ไขในปี ค.ศ. 1999 และ 2001 จนมาถึง ฉบับปัจจุบัน BS7799- 2:2002 ซึ่งได้ถูกประกาศใช้เมื่อ 5 กันยายน ค.ศ.2002 โดยมีการปรับปรุงแก้ไขโครงสร้างของมาตรฐานให้เข้ากันได้กับ ISO9001:2000 และ ISO14001:1996
ความแตกต่างระหว่างมาตรฐาน ISO/IEC17799:2000 และ BS7799-2:2002
ISO/IEC17799:2000 – Code of practice for information security management หรือก็คือ BS7799 part 1 นั้นจะประกอบไปด้วยหัวข้อของการควบคุม ทางด้านการจัดการความปลอดภัยของข้อมูลที่ควรปฏิบัติเพื่อให้เกิดความปลอดภัยต่อข้อมูล ขององค์กรซึ่งจะมีทั้งหมด 127 หัวข้อการควบคุมใน 10 หมวดหลัก
BS7799-2:2002 Information security management systems – Specification with guidance for use ก็คือ BS7799 part 2 มีเนื้อหา ว่าด้วยการจัดตั้ง “ ระบบการจัดการด้านความปลอดภัยของข้อมูล ” ขึ้นในองค์กร โดยเริ่มตั้งแต่การริเริ่มทำระบบ, การนำไปใช้, การทบทวน, การปรับปรุงอย่างสม่ำเสมอ ซึ่งในส่วนนี้จะมีการประยุกต์เพื่อนำแนวคิดของวงล้อ PDCA (Plan-Do-Check-Act) เข้าใช้ในการจัดตั้งและพัฒนาระบบด้วย ในส่วนของเนื้อหาของระบบ ISMS ที่จะจัดตั้งขึ้นนั้นก็จะต้องอ้างอิงตามหัวข้อของการควบคุมทั้ง 127 หัวข้อในมาตรฐาน ISO/IEC17799
มาตรฐาน ISO/IEC17799:2000 Code of practice for information security management
หัวข้อต่อไปนี้คือ 10 หมวดหมู่หลักที่ครอบคลุมโดยมาตรฐาน ISO/IEC17799
1.Security policy ครอบคลุมถึงเรื่องของนโยบายการจัดการด้านความปลอดภัยของข้อมูลในองค์กรการเล็งเห็น ถึงความสำคัญของนโยบายฯ และการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำนโยบายฯไปใช้อย่างมีประสิทธิภาพ
2.Organizational security ครอบคลุมถึงเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษาความปลอดภัยของข้อมูล
3. Asset classification and control ครอบคลุมถึงเรื่องของการจัดจำแนกประเภทของข้อมูลตามระดับความสำคัญ ควบคุมการเข้าถึง ข้อมูลแต่ละประเภท รวมถึงการควบคุมทรัพย์สินต่างๆขององค์กรที่เกี่ยวกับงานด้าน IT
4.Personnel security ครอบคลุมถึงเรื่องของการให้ความรู้แก่พนักงานถึงภัยคุกคามต่างๆและแนะนำวิธีการปฏิบัติงานที่ถูกต้องและเหมาะสม เช่น การตั้ง password และใช้งาน password อย่างปลอดภัยการปฏิบัติเมื่อพบสิ่งผิดปกติในระบบ
5.Physical and environmental security ครอบคลุมถึงการรักษาความปลอดภัยของพื้นที่ทำงานการควบคุมการเข้า-ออก และการนำสิ่งของ เข้า-ออก เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและป้องกันการเสียหาย / สูญหายของทรัพย์สิน
6.Communications and Operations management ครอบคลุมถึงการรักษาความปลอดภัยให้แก่คอมพิวเตอร์ ระบบเครือข่ายและการประมวลผลข้อมูล เช่น การป้องกันไวรัสคอมพิวเตอร์, การทำ Back-up ข้อมูล, การจัดการเมื่อเกิดเหตุการณ์ฉุกเฉิน, การควบคุมความปลอดภัยของระบบเครือข่าย,การกำจัดสื่อบันทึกข้อมูล, การควบคุมความปลอดภัย ในการใช้งาน E-mail ฯลฯ
7. Access control ครอบคลุมถึงการควบคุมการเข้าถึงข้อมูลและป้องกันการเข้าถึงข้อมูลโดยผู้ไม่ได้รับอนุญาตทั้งจาก การเข้าใช้งานทางคอมพิวเตอร์ภายในบริษัท ทางระบบเครือข่ายและทางระบบการเข้าถึงทางไกล (Remote access)
8.Systems development and maintenance ครอบคลุมถึงการพัฒนาระบบคอมพิวเตอร์ ระบบเครือข่าย Software และ Hardware เริ่มตั้งแต่การจัดซื้อ / จัดจ้าง ติดตั้งระบบ การใช้งานจริง และการบำรุงรักษาอย่างสม่ำเสมอ รวมถึงการควบคุมการใช้รหัสลับ (Cryptographic control)
9. Business continuity management ครอบคลุมถึงการจัดทำแผนการจัดการให้ธุรกิจดำเนินได้อย่างต่อเนื่อง (Business continuity Plan-BCP) ซึ่งก็คือวิธีปฏิบัติในการรับมือในกรณีที่เกิดความผิดพลาดขึ้นกับระบบ หรือภัยธรรมชาติ เพื่อให้เกิดความเสียหายน้อยที่สุด และเพื่อให้ธุรกิจสามารถฟื้นตัวกลับมา ดำเนินงานตามปกติได้เร็วที่สุด
10. Compliance ครอบคลุมถึงการปฏิบัติงานที่ถูกต้องตามกฎหมาย เช่นการใช้ Software ที่มีลิขสิทธิ์(License)
มาตรฐาน BS7799-2:2002 Information security management systems
เนื้อหาของมาตรฐาน BS7799-2:2002 เกี่ยวข้องกับวิธีการปฏิบัติเพื่อให้เกิด “ระบบการจัดการด้านความปลอดภัยของข้อมูล ” (Information security management systems - ISMS) ขึ้นในองค์กรซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญสำหรับองค์กรที่ต้องการนำระบบ ISMS ไปปรับใช้เพื่อป้องกันความปลอดภัยให้แก่ข้อมูล ขององค์กร เนื้อหาของมาตรฐาน BS7799-2:2002 แบ่งออกเป็น 7 ส่วนดังนี้
Forword
0 Introduction
1 Scope
2 Normative reference
3 Terms and definitions
4 Information security management system
5 Management responsibility
6 Management review of the ISMS
7 ISMS improvement
มาตรฐานนี้ได้ถูกจัดทำขึ้นโดยยึดตามแนวคิดของวงล้อ PDCA (Plan-Do-Check-Act) เพื่อให้เกิดวิธีการปฏิบัติงานที่เป็นระบบ และมีการพัฒนาขึ้นอย่างต่อเนื่อง (Continuous improvement)เริ่มต้นตั้งแต่การจัดตั้ง (Establish), การนำระบบไปใช้ (Implement), การดำเนินงาน (Operate), การวัดผล (Monitor), การทบทวน (Review), การบำรุงรักษา ระบบ (Maintain) และการปรับปรุงพัฒนาระบบ (Improve)
ประเด็นเรื่องความปลอดภัยที่ต้องระวังจากการใช้เทคโนโลยีเวอร์ชวลไลเซชั่น (จักรกลเสมือน) และ คลาวด์คอมพิวติ้งมาใช้ในองค์กร (Virtualization and Cloud Computing Security)
ลักษณะการให้บริการตามแนวคิด “Cloud Computing” ที่มีอยู่ในปัจจุบันจะแบ่งได้เป็น 3 แบบ ดังนี้
1. HaaS (Hardware as a Service) คือ การให้บริการด้านฮาร์ดแวร์ หมายถึง ความสามารถของ CPU และหน่วยความจำผ่านทางอินเตอร์เน็ต ตัวอย่างเช่น บริการ EC2 (Elastic Compute Cloud), S3 (Simple Storage Service) ของAmazon.com
2. PaaS (Platform as a Service) คือ การให้บริการแพลตฟอร์มที่เป็นโฮสติงของแอพพลิเคชั่นผ่านอินเตอร์เน็ต ตัวอย่างเช่น แพลตฟอร์ม Force.com ของค่าย Salesforce.com และ Google App Engine ของ Google
3. SaaS (Software as a Service) คือ การให้บริการความสามารถของแอพพลิเคชั่นซอฟต์แวร์ผ่านอินเตอร์เน็ต ตัวอย่างเช่น CRM/SFA ของ Salesforce.com และ ERP/CRM/ecommerce ของ NetSuite
ทั้งนี้จะเห็นว่าการใช้บริการทั้ง 3 รูปแบบ ผู้ใช้บริการไม่ต้องลงทุนในการซื้อเครื่องแม่ข่าย (Servers) อุปกรณ์จัดเก็บข้อมูล (Storage) และ อุปกรณ์โครงสร้างพื้นฐานด้าน Network และ Security รวมทั้งไม่ต้องซื้อ Software อย่างที่เคยทำมาในอดีต เรียกได้ว่าเป็นการ “เช่าใช้” แทบทุกอย่าง เข้ายุคสมัยที่องค์กรต้องรัดเข็มขัด ประหยัดค่าใช้จ่ายในการบำรุงรักษาระบบ ทั้งค่าใช้จ่ายของบุคลากร ตลอดจนฮาร์ดแวร์และซอฟท์แวร์ต่างๆ ซึ่งผู้ให้บริการ “Cloud Computing providers” เป็นผู้รับผิดชอบค่าใช้จ่ายทั้งหมด โดยจะคิดค่าใช้จ่ายในลักษณะการให้บริการเป็นรายวัน รายเดือน หรือ รายปีกับผู้ใช้บริการ ทำให้ผู้ใช้บริการมีความคล่องตัวและมีอิสระในการเลือกใช้ Infrastructure และ Platform ต่างๆทั้ง Hardware และ Software เพราะทุกอย่างถูกมองเป็น Service ทั้งสิ้น เรียกว่า Everything as a Service (EaaS)
นอกจากนี้ใน ไมโครซอฟต์เองได้ประกาศว่าในครึ่งแรกปี 2009 จะออกบริการ SQL Server Data Service (SSDS) ซึ่งเป็นการให้บริการระบบจัดการฐานข้อมูลในรูปแบบของคลาวด์ (Database as a service) และที่กำลังพัฒนาอยู่คือ BizTalk Service ซึ่งสามารถเชื่อมโยงกับแอพพลิเคชันได้ จึงอาจกล่าวได้ว่า การให้บริการ IT Resource จะมีรูปแบบหลากหลายมากขึ้นในอนาคต
สำหรับเทคโนโลยี Virtualization นั้นมีหลายประเภท โดยเทคโนโลยี Virtualization ประเภทที่กำลังได้รับความนิยมมากขึ้นเรื่อยๆ คือ การทำ Server Consolidation สังเกตได้จาก Data Center ทั่วโลกกำลังพยายามลดการใช้พลังงาน และลดจำนวน Server ลงตามแนวคิด Green IT โดยการนำเทคโนโลยี “Network Virtualization” และ “Server Virtualization”มาใช้ใน Data Center สำหรับฝั่ง client ในมุมมองของ Endpoint Security ก็มีการนำเทคโนโลยี Virtualization มาใช้เช่นกัน ได้แก่ เทคโนโลยี “Desktop Virtualization” หรือ “Virtual Desktop Infrastructure” (VDI) ยกตัวอย่างเช่น CITRIX XenDesktop (พัฒนามาจาก XenSource Open source Virtualization), VMware View, Microsoft Virtual PC และ เทคโนโลยี “Application Virtualization” ยกตัวอย่างเช่น CITRIX XenApp, Microsoft Application Virtualization หรือ App-V (ชื่อเก่า Microsoft SoftGrid), VMware ThinApp ซึ่ง Desktop Virtualization นั้นไม่เหมือนกับ Application Virtualization เพราะ Application Virtualization ไม่จำเป็นต้องจำลอง Desktop Environment ของ Operating System เหมือน Desktop Virtualization แต่เป็นการจำลองเฉพาะ Application ที่ทำงานบน Desktop เดียวกัน หรือ เรียกได้ว่า ทำงานบน Operating System เดียวกัน สำหรับผู้ให้บริการ “Cloud Computing Provider” สามารถให้บริการ Desktop Virtualization ที่เรียกว่า “Desktop as a Service” (DaaS)
ดังนั้นเรื่องของความปลอดภัยบนสภาพแวดล้อมแบบเสมือน หรือ “Virtualization Security” ตลอดจนความปลอดภัยบน “Cloud” ตามแนวคิด “Cloud Computing” หรือ “Cloud Computing Security” จึงกลายเป็นประเด็นสำคัญสำหรับองค์กรที่ต้องการนำเทคโนโลยีทั้งสองมาใช้งานอย่างจริงจัง
ประเด็นเรื่องความปลอดภัยที่ต้องระวังจากการใช้เทคโนโลยีและแนวคิดดังกล่าว สรุปได้ดังนี้
· ปัญหาเรื่องความปลอดภัยจากช่องโหว่ในตัวระบบ Virtualization เอง (Virtualization Vulnerability)
ปัญหาเกิดจากการค้นพบช่องโหว่ของโปรแกรมประเภท Virtualization เช่น โปรแกรม VMware Workstation และ VMware ESX Server โดยที่ในปัจจุบันมีการค้นพบช่องโหว่ของ VMware แล้ว 85 ช่องโหว่ สามารถเข้าไปดูได้ที่ http://nvd.nist.gov/ (National Vulnerability Database (NVD)), Xen Hypervisor และ Microsoft Hypervisor (ปัจจุบันเรียกว่า Microsoft Hyper-V) มีการค้นพบช่องโหว่ (Vulnerability) ใหม่ๆอย่างต่อเนื่อง ยกตัวอย่าง Exploit ที่ใช้ในการโจมตี Virtualization บน Windows Vista ได้แก่ “Blue Pill Exploit” หรือ “Subvert Rootkit”
ดังนั้นองค์กรที่ใช้เทคโนโลยี Virtualization ควรติดตั้ง Patch ให้กับระบบ Virtualization ทุกครั้งที่มีการค้นพบช่องโหว่ใหม่ๆของโปรแกรมประเภทนี้
· ปัญหาเรื่องความปลอดภัยภายในโครงสร้างพื้นฐานของระบบ “Cloud Computing” เอง และปัญหาเรื่องการรักษาความลับและความถูกต้องของข้อมูลภายในระบบ “Cloud Computing
ปัญหาเรื่องความปลอดภัยข้อมูลกลายเป็นปัญหาใหญ่สำคัญสำหรับผู้ให้บริการและผู้ใช้บริการ “Cloud” เพราะข้อมูลทุกอย่างอยู่ใน “Cloud” ทำให้ต้องมีการรักษาความปลอดภัยอย่างดีเยี่ยม เริ่มจากการรับ - ส่ง ข้อมูลใน Cloud ต้องมีการเข้ารหัสข้อมูลที่มีปลอดภัยสูง รวมทั้งการรักษาความปลอดภัยของโครงสร้างพื้นฐานใน Cloud ไม่ว่าจะเป็น Server, Storage และ Network Device ต่างๆ เพราะข้อมูลสำคัญขององค์กรล้วนถูกประมวลใน “Cloud” ทั้งสิ้น การกำหนด “User Privilege” ในการเข้าถึงข้อมูลจึงเป็นเรื่องสำคัญ รวมทั้งเรื่อง “Regulatory Compliance” หรือ การปฏิบัติตามระเบียบข้อบังคับและกฎหมาย ก็เป็นอีกเรื่องที่ไม่ควรมองข้าม เช่น การเก็บ Log ตาม พรบ. การกระทำผิดฯ เป็นต้น มีการเข้ารหัสข้อมูลที่เก็บอยู่ใน Cloud และ มีการบริหารจัดการที่ดี เช่น การทำ Data Classification และ Data Segregation ตลอดจนการมีระบบสำรอง (Data Backup) และ ระบบกู้คืนข้อมูล (Data Recovery) ที่ได้มาตรฐาน ประเด็นสุดท้าย คือ ความน่าเชื่อถือและความมั่นคงของ Cloud Computing Provider ก็เป็นอีกเรื่องที่ควรนำมากประเมินเวลาที่องค์กรต้องเลือกใช้บริการด้วย
บทสรุป
กล่าวโดยสรุปจะเห็นว่าผลกระทบของภัยจากการใช้เทคโนโลยีใหม่ๆ เป็นสิ่งที่ผู้บริหารระบบสารสนเทศระดับสูงต้องคำนึงถึง โดยเริ่มจากการทำความเข้าใจ และ รับทราบถึงภัยและปัญหาด้านความปลอดภัยข้อมูล ตลอดจนสนับสนุนการดำเนินการแก้ไขปิดช่องโหว่ให้ถูกต้องตามแนวคิด GRC (Governance, Risk Management and Compliance) ที่ผู้บริหารระดับสูงควรยึดถือเป็นหลักการในการบริหารจัดการองค์กรที่ดี (เรื่อง Governance ยังแบ่งออกเป็น Corporate Governance (CG) IT Governance (ITG) และ Information Security Governance) ซึ่งการสนับสนุนจากผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งในการช่วยป้องกันความมั่นคงปลอดภัยของการนำเทคโนโลยีเวอร์ชวลไลเซชั่น (จักรกลเสมือน) และคลาวด์คอม พิวติ้งมาใช้ในองค์กร เพราะหากปราศจากความช่วยเหลือและการสนับสนุนจากผู้บริหารระดับสูงขององค์กรแล้ว ปัญหาด้านความปลอดภัยข้อมูลระบบสารสนเทศก็คงยังไม่สามารถกำจัดให้หมดสิ้นไปจากองค์กรได้ และจะส่งผลกระทบในการดำเนินธุรกิจธุรกรรมต่างๆขององค์กรที่ใช้ระบบดังกล่าวอย่างหลีกเลี่ยงไม่ได้
เอกสารอ้างอิง
1. http://www.thaicert.nectec.or.th/
2.http://www.thaicert.nectec.or.th/paper/basic/Book_2.5_FullVersion.pdf
3. http://www.cisco.com/web/TH/about/articles/virtualisation.html
4. http://www.acisonline.net/article/?p=6
5. http://www.acisonline.net/article/?p=7
6. http://www.acisonline.net/article/?p=8
7. http://www.vcharkarn.com/vblog/38307/1
8. http://www.vcharkarn.com/vblog/38307/2
9. http://www.vcharkarn.com/vblog/38307/3
10. http://www.vcharkarn.com/vblog/38307/4
11. http://www.vcharkarn.com/vblog/38307/5
12. http://www.vcharkarn.com/vblog/38378/1
13. http://www.vcharkarn.com/vblog/38378/2
14. http://www.vcharkarn.com/vblog/38378/3
15. http://www.vcharkarn.com/vblog/38378/4
16. http://www.vcharkarn.com/vblog/38378/5
17. http://www.mvt.co.th/viewnews.php?cid=3&nid=347
18.http://www.ksc.net.th/upload/TH/Newsletter/189200914757_vol31.pdf
19.http://www.ksc.net.th/upload/TH/Newsletter/21102009135653_vol32.pdf
20.http://www.ksc.net/upload/TH/Newsletter/17112009143152_vol33.pdf
21. http://www.oknation.net/blog/weblog/2009/02/27/entry-4
22. http://www.thaiall.com/security/indexo.html
23. http://www.windowsitpro.net/main/index.php
24. เอกสารประกอบการเรียนการสอนทางอินเทอร์เน็ต วิชา ITM 633 ครั้งที่ 9 พ.อ.รศ.ดร. เศรษฐพงค์ มะลิสุวรรณ, มหาวิทยาลัยรังสิต
