หลังจากที่เราได้ทำความรู้จักกับ “ตัวตน” ซึ่งเป็นด่านแรกในการเข้าถึงระบบไปแล้วในตอนที่ผ่านมา วันนี้ AdminTee จะพาทุกท่านขยับลึกเข้ามาภายในระบบเครือข่าย เพื่อดูว่าหากวันหนึ่งมีผู้บุกรุกสามารถเล็ดลอดด่านแรกเข้ามาได้ เราจะมีวิธีจัดการอย่างไรไม่ให้ความเสียหายลุกลามไปทั่วทั้งหน่วยงานครับ
1. เกริ่นนำ
ในอดีต ระบบเครือข่ายคอมพิวเตอร์มักจะเชื่อมต่อถึงกันหมดเหมือนห้องโถงขนาดใหญ่ หากแฮกเกอร์เข้ามาได้ห้องหนึ่ง เขาก็จะสามารถเดินไปได้ทุกที่ในบ้าน แต่ในแนวคิด Zero Trust เราจะเปลี่ยนบ้านหลังนี้ให้กลายเป็นอาคารที่มีประตูกั้นนิรภัยในทุก ๆ ห้อง ซึ่งเทคนิคนี้เราเรียกว่า “Micro-segmentation” หรือการแบ่งส่วนเครือข่ายย่อยนั่นเองครับ
2. เนื้อหาหลัก
จุดประสงค์ เพื่อให้บุคลากรเข้าใจถึงกลไกการสกัดกั้นภัยคุกคามภายในระบบ และเห็นความสำคัญของการแยกส่วนจัดเก็บข้อมูลสำคัญออกจากกัน เพื่อลดความเสี่ยงที่ข้อมูลทั้งหมดจะถูกทำลายหรือขโมยไปพร้อมกันในคราวเดียว
ความต้องการ หน่วยงานต้องการโครงสร้างเครือข่ายที่ยืดหยุ่นและปลอดภัย สามารถจำกัดขอบเขตความเสียหาย (Blast Radius) ให้อยู่ในวงแคบที่สุด และป้องกันการเคลื่อนที่ของผู้บุกรุกภายในระบบเครือข่าย (Lateral Movement)
3 รายละเอียด
- การลดขอบเขตความเสียหาย (Blast Radius): เปรียบเสมือนการออกแบบ “เรือสำราญ” ครับ เรือที่ทันสมัยจะมีการกั้นห้องใต้ท้องเรือเป็นส่วนๆ หากห้องหนึ่งเกิดรอยรั่วและน้ำไหลเข้า น้ำจะถูกจำกัดอยู่แค่ในห้องนั้นและไม่ไหลไปท่วมห้องอื่นจนเรือจมทั้งลำ ระบบเครือข่ายก็เช่นกันครับ หากเครื่องคอมพิวเตอร์เครื่องหนึ่งติดไวรัส การแบ่งส่วนย่อยจะช่วยไม่ให้ไวรัสนั้นแพร่กระจายไปยังแม่ข่าย (Server) สำคัญของหน่วยงาน
- การสกัดกั้นการเคลื่อนที่ (Lateral Movement): เมื่อแฮกเกอร์เจาะเข้าเครื่องพนักงานได้ สิ่งแรกที่เขาจะทำคือการ “แอบไปดูห้องอื่น” เพื่อหาข้อมูลที่สำคัญกว่า แต่การทำ Micro-segmentation จะสร้างกำแพงดิจิทัลกั้นระหว่างแผนกไว้ ทำให้แม้จะเข้าเครื่องหนึ่งได้ ก็ไม่สามารถกระโดดไปเครื่องของฝ่ายการเงินหรือฝ่ายยุทธการได้โดยง่าย
- การควบคุมระดับซอฟต์แวร์: ต่างจากการแบ่งโซนแบบสมัยก่อนที่ต้องใช้สายแลนหรืออุปกรณ์ราคาแพง การแบ่งส่วนย่อยยุคใหม่ใช้ซอฟต์แวร์ควบคุม ทำให้เราสามารถกำหนดนโยบายความปลอดภัยได้ละเอียดถึงระดับแอปพลิเคชันหรือระดับรายเครื่อง
4. ตัวอย่างการดำเนินการ หน่วยงานอาจดำเนินการแบ่งส่วนเครือข่ายตามภารกิจ เช่น:
- โซนบริการประชาชน: แยกออกจากระบบฐานข้อมูลภายในอย่างเด็ดขาด
- โซนอุปกรณ์สำนักงาน: คอมพิวเตอร์ของพนักงานแต่ละกอง/ฝ่าย จะมีกำแพงกั้นระหว่างกัน
- โซนความมั่นคงสูง: ระบบงบประมาณหรือระบบข้อมูลลับ จะถูกจัดอยู่ในโซนพิเศษที่มีการตรวจสอบซ้ำซ้อนในทุกครั้งที่มีการเข้าถึงจากโซนอื่น
5. สรุปเนื้อหา
Micro-segmentation คือการยอมรับความจริงที่ว่า “ความปลอดภัย 100% ไม่มีจริง” แต่เราสามารถเตรียมพร้อมรับมือได้ด้วยการแบ่งเครือข่ายเป็นส่วนเล็กๆ เหมือนห้องกั้นน้ำในเรือสำราญ เพื่อให้มั่นใจว่าหากเกิดปัญหาที่จุดใดจุดหนึ่ง ส่วนที่เหลือของหน่วยงานจะยังคงปฏิบัติงานต่อไปได้ตามปกติครับ
6. ติดตามในตอนต่อไป
เมื่อเรากั้นห้องเสร็จเรียบร้อยแล้ว คำถามถัดมาคือ “แล้วคนในแต่ละห้องควรมีอำนาจแค่ไหน?” พบกับคำตอบได้ใน “ตอนที่ 5: การให้สิทธิ์เข้าถึงน้อยที่สุด (Least Privilege Access)” ติดตามกันต่อนะครับ!
7. เอกสารอ้างอิง
- NIST: Micro-segmentation in Software-Defined Networks
6. ลิงก์เว็บไซต์ที่เกี่ยวข้อง
7. คำถามเพื่อการมีส่วนร่วม
- หากท่านเปรียบหน่วยงานเป็น “อาคาร” ท่านคิดว่า “ห้อง” ไหนสำคัญที่สุดที่ต้องมีประตูนนิรภัยกั้นไว้?
- ท่านคิดว่าการที่พนักงานทุกแผนกสามารถเข้าถึงแชร์ไดรฟ์ (Shared Drive) เดียวกันทั้งหมด มีข้อดีหรือข้อเสียมากกว่ากันในมุมมองความปลอดภัย?
- ท่านเคยมีประสบการณ์คอมพิวเตอร์เครื่องหนึ่งติดไวรัสแล้วลามไปติดเครื่องข้างๆ หรือไม่?
Talk is cheap. Show me the code.