แม้จะเป็นเรื่องที่ใครก็พูดถึงหรือเอามาเขียนเป็นบทความกระหน่ำเป็นว่าเล่นในช่วงที่คลาวด์ฮ็อตฮิตเยี่ยงนี้ แต่ก็ต้องย้ำอีกครั้งว่า ความปลอดภัยสำหรับผู้ให้บริการบนคลาวด์ไม่ใช่เรื่องเดียวกับการรักษาความปลอดภัยของดาต้าเซ็นเตอร์ภายในองค์กรธรรมดา ต้องใช้กฎและแนวคิดที่แตกต่างจากเดิมถ้าคุณคิดจะรักษาความปลอดภัยโครงสร้างพื้นฐานที่ไม่ได้มีขอบเขตหรือสามารถควบคุมจำกัดวงทางกายภาพได้
ดังนั้น NetworkWorld.com ได้รวบรวมแนวทางปฏิบัติที่ได้รับการแนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยบนคลาวด์ส่วนใหญ่ไว้ดังต่อไปนี้
1. เข้ารหัสข้อมูลที่รับส่งให้ครอบคลุมตลอดทาง อย่างน้อยก็ต้องใช้ SSL (TLS 1.2) เพื่อให้ได้ระดับความปลอดภัยสูงสุด จะถอด SSL ออกได้ก็ต่อเมื่ออยู่ภายในเครือข่ายของผู้ให้บริการคลาวด์เท่านั้น
2. เข้ารหัสข้อมูลที่เก็บที่อื่นด้วย โดยเฉพาะข้อมูลที่อ่อนไหว แม้จะเป็นข้อมูลที่จัดเก็บอยู่นิ่งๆ ไม่เคลื่อนไหวก็ตาม อย่างน้อยก็ควรใช้การเข้ารหัสแบบ AES-256 แล้วคอยหมุนสับเปลี่ยนกุญแจถอดรหัสเป็นประจำ นอกจากนี้ผู้ให้บริการก็ควรให้ทางเลือกการเข้ารหัสข้อมูลตามที่ลูกค้าต้องการระบุเป็นพิเศษด้วย เช่น เลขบัตรเครดิต
อ่านข่าว : 5 ทางรอด !! ในการรับมือกับคลาวด์ AWS ที่อาจจะล่มอีกในคราวหน้า !
3. ต้องคอยทดสอบหาช่องโหว่อย่างเข้มข้นตลอดเวลา ผู้ให้บริการบนคลาวด์ต้องใช้เครื่องมือตรวจสอบและตอบสนองต่อช่องโหว่ในระดับชั้นนำของวงการ เช่น ใช้โซลูชั่นที่สามารถตอบสนองด้านความปลอดภัยอย่างอัตโนมัติ และทดสอบช่องโหว่เป็นประจำด้วยความถี่ตามความสำคัญของบริการนั้นๆ
4. บังคับใช้โพลิซีบังคับลบข้อมูลเมื่อหมดช่วงเวลาหรือสัญญาใช้งาน แน่นอนว่าพอผู้ใช้เลิกใช้ ก็ต้องตั้งโปรแกรมให้ลบข้อมูลดังกล่าวอัตโนมัติเพื่อรักษาความเป็นส่วนตัว
5. สร้างระบบป้องกันความปลอดภัยของข้อมูลผู้ใช้เพิ่มขึ้นจากปกติอีกระดับ อย่างน้อยก็ต้องใช้ฟีเจอร์ควบคุมการเข้าถึงตามบทบาทหน้าที่หรือ RBAC เพื่อให้ลูกค้าตั้งค่าการเข้าถึงที่จำเพาะกับผู้ใช้แต่ละคนได้ และต้องตั้งค่าได้อย่างละเอียดเพียงพอ
6. ใช้เครือข่ายและคลาวด์แบบเวอร์ช่วลไพรเวท เช่น VPN แทนที่จะยกระดับมาใช้ Instance แบบ Multi-Tenant นั้น บริการสตอเรจบนคลาวด์ หรือ SaaS ของคุณก็ควรสามารถหมุนสับเปลี่ยนสภาพแวดล้อมบนคลาวด์ที่ใช้งานได้เฉพาะคุณ และเปิดให้คุณควบคุมและเข้าถึงข้อมูลได้อย่างสมบูรณ์ ตัวอย่างเช่นบริการ Virtual Private Cloud (VPC) ของ Amazon Web Services (AWS)
7. รักษาระดับการตรวจสอบใบประกาศรับรองทางไซเบอร์อย่างเข้มข้นที่สุด โดยเฉพาะใบประกาศรับรองที่สำคัญที่สุดสองประเภทอย่าง PCI DSS และ SOC 2 Type II
