จากตอนที่แล้ว AdminTee ได้พาทุกท่านไปทำความรู้จักกับจุดจบของระบบความปลอดภัยแบบ “กำแพงล้อมเมือง” และความเสี่ยงจากการใช้ VPN แบบเดิมกันไปแล้ว วันนี้เราจะมาเจาะลึกกันต่อว่า หากเราเลิกเชื่อใจระบบเครือข่ายแบบเดิมแล้ว เราจะใช้หลักการอะไรมาทดแทนเพื่อให้ข้อมูลของหน่วยงานปลอดภัยที่สุดครับ
1. บทเกริ่นนำ
หลายคนอาจเข้าใจผิดว่า Zero Trust คือชื่อซอฟต์แวร์ตัวใหม่หรืออุปกรณ์ล้ำสมัยที่เราต้องซื้อมาติดตั้ง แต่ในความเป็นจริงแล้ว Zero Trust คือ “หลักการและแนวคิด” ในการบริหารจัดการความปลอดภัยครับ หัวใจสำคัญของมันไม่ได้อยู่ที่ว่าคุณใช้อุปกรณ์ยี่ห้ออะไร แต่อยู่ที่ว่าคุณมีกระบวนการคิดอย่างไรในการอนุญาตให้ใครคนหนึ่งเข้าถึงข้อมูลของหน่วยงาน โดยมี 3 เสาหลักที่เปรียบเสมือนฐานรากที่แข็งแกร่งดังนี้ครับ
2. เนื้อหาหลัก
2.1 จุดประสงค์
เพื่อให้บุคลากรเข้าใจถึงหัวใจสำคัญ 3 ประการของ Zero Trust และสามารถนำไปปรับใช้ในวิธีคิดและการปฏิบัติงานประจำวัน เพื่อยกระดับความมั่นคงปลอดภัยสารสนเทศของหน่วยงานให้เป็นมาตรฐานสากล หน่วยงานต้องการสร้างวัฒนธรรมความปลอดภัยที่เน้นการตรวจสอบอย่างต่อเนื่อง (Continuous Verification) และการจำกัดสิทธิ์ให้เหมาะสมกับหน้าที่ เพื่อลดโอกาสที่ข้อมูลสำคัญจะรั่วไหลหรือถูกเข้าถึงโดยไม่ได้รับอนุญาต
2.2 รายละเอียด (3 เสาหลักสำคัญ)
- Verify Explicitly (ตรวจสอบทุกอย่างให้ชัดเจน): ไม่ว่าจะเชื่อมต่อมาจากภายในหรือภายนอกหน่วยงาน ระบบจะต้องตรวจสอบตัวตน (Identity) ตำแหน่งที่ตั้ง (Location) สภาพของอุปกรณ์ (Device Health) และประเภทข้อมูลที่ขอเข้าถึงเสมอ “ไม่มีการยกเว้น” แม้จะเป็นผู้บริหารหรือเจ้าหน้าที่ไอทีก็ตาม
- Use Least Privilege Access (ให้สิทธิ์เท่าที่จำเป็น): การให้สิทธิ์ผู้ใช้งานต้องเป็นแบบ “พอดีกับงาน” และ “จำกัดเวลา” (Just-in-Time) หากพนักงานฝ่ายบุคคลต้องการดูข้อมูลสวัสดิการ ระบบก็ไม่ควรให้สิทธิ์เขาเข้าไปดูฐานข้อมูลการงบประมาณ เพื่อป้องกันไม่ให้ความเสียหายลุกลามหากบัญชีถูกขโมย
- Assume Breach (คิดเสมอว่าเราอาจถูกเจาะแล้ว): เราต้องทำงานบนสมมติฐานว่าระบบอาจมีช่องโหว่ หรือมีผู้บุกรุกแฝงตัวอยู่แล้ว ดังนั้นเราจึงต้องแบ่งส่วนเครือข่ายเป็นส่วนย่อย ๆ (Micro-segmentation) และมีการเข้ารหัสข้อมูลเสมอ เพื่อให้ผู้บุกรุกเคลื่อนที่ไปส่วนอื่นได้ยากที่สุด
2.3 ตัวอย่างการดำเนินการ
ในทางปฏิบัติ AdminTee ขอยกตัวอย่างดังนี้ครับ: เมื่อเจ้าหน้าที่ต้องการเข้าใช้งานระบบฐานข้อมูลจากที่บ้าน ระบบจะไม่เพียงแค่ถามหา Password แต่จะส่งรหัส OTP ไปที่มือถือ (MFA) พร้อมตรวจสอบว่าโน้ตบุ๊กที่ใช้มีการอัปเดต Antivirus หรือไม่ และเมื่อเข้าใช้งานได้แล้ว เจ้าหน้าที่ท่านนั้นจะเห็นเฉพาะเมนูที่ตนเองมีหน้าที่รับผิดชอบเท่านั้น ไม่สามารถเข้าไปดูส่วนงานอื่นได้เลย
3. สรุปเนื้อหาพอสังเขป
3 เสาหลักของ Zero Trust คือการเปลี่ยนจากความไว้วางใจมาเป็นการตรวจสอบอย่างเข้มงวด การให้สิทธิ์ที่จำกัด และการเตรียมพร้อมรับมือเหตุร้ายอยู่ตลอดเวลา สิ่งเหล่านี้ไม่ใช่แค่เรื่องทางเทคนิค แต่เป็นวิธีการทำงานร่วมกันเพื่อให้มั่นใจว่าข้อมูลของหน่วยงานเราจะปลอดภัยในทุกสถานการณ์
4. ติดตามในตอนต่อไป
ในตอนต่อไป AdminTee จะพาไปดูด่านแรกที่สำคัญที่สุดของระบบนี้ นั่นคือเรื่องของ “ตัวตน” ในหัวข้อ “ตอนที่ 3: Identity is the New Perimeter (ตัวตนคือด่านแรก)” แล้วพบกันครับ!
5. เอกสารอ้างอิง
6. ลิงก์เว็บไซต์ที่เกี่ยวข้อง
- สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA)
- สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA)
- กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Thailand)
7. คำถามเพื่อการมีส่วนร่วม
- ใน 3 เสาหลักนี้ ท่านคิดว่าข้อใดทำได้ยากที่สุดในทางปฏิบัติของหน่วยงานเรา?
- ท่านเห็นด้วยหรือไม่กับการ “Assume Breach” หรือการคิดว่าเราโดนแฮกไว้ก่อนเพื่อเตรียมแผนรับมือ?
- ท่านรู้สึกอย่างไรหากระบบต้องขอรหัสผ่านหรือการยืนยันตัวตนบ่อยขึ้นเพื่อความปลอดภัย?
Talk is cheap. Show me the code.