การย้ายสู่คลาวด์สร้างพื้นผิวการโจมตีที่แตกต่างออกไป ระบบความปลอดภัยแบบเดิมที่เน้นขอบเขตเครือข่ายไม่สามารถปรับใช้ได้อย่างมีประสิทธิภาพ เมื่อโครงสร้างพื้นฐานครอบคลุมทั้ง AWS, Azure และ GCP และผู้ใช้งานรวมถึงพนักงาน คู่ค้า บัญชีบริการ (service accounts) และ API คำถามจึงเปลี่ยนจากการที่ว่า "ใครอยู่ในเครือข่าย" ไปสู่ "คำขอทุกรายการจากทุกตัวตน (identity) ได้รับการอนุญาตอย่างแท้จริงหรือไม่"

องค์กรส่วนใหญ่ที่เร่งย้ายสู่คลาวด์มักจะพบปัญหาที่สะสมมาตลอดทาง เช่น การตั้งค่าสิทธิ์ที่ไม่ถูกต้อง, กลุ่มความปลอดภัยที่เปิดกว้างเกินไป, ข้อมูลรับรองที่ฝังอยู่ในโค้ด และช่องว่างในการบันทึกข้อมูล (logging gaps) แพลตฟอร์มคลาวด์มีเครื่องมือในการแก้ไขปัญหาเหล่านี้ แต่สิ่งที่มักขาดหายไปคือเวลาของทีมวิศวกรและวินัยในการแก้ไขปัญหาอย่างเป็นระบบ

Gradion ได้ส่งมอบงานโครงสร้างพื้นฐานและความปลอดภัยบนคลาวด์ให้กับลูกค้าหลายราย รวมถึง ผู้ดำเนินตลาด B2B ชั้นนำ โดยมีการติดตั้ง AWS WAF และนโยบายคลาวด์แบบหลายชั้น ซึ่งเป็นส่วนหนึ่งของโครงการเสริมความแข็งแกร่งโครงสร้างพื้นฐาน ทำให้ระบบมีความพร้อมใช้งาน 99.9% พร้อมสถานะความปลอดภัยที่แข็งแกร่งยิ่งขึ้น นอกจากนี้ เรายังได้ทำงานกับผู้ให้บริการเทคโนโลยีธนาคารในสวิตเซอร์แลนด์ ซึ่งเราได้ออกแบบสถาปัตยกรรมแบบ Multi-cloud บน Azure และ GCP ที่ผ่านการตรวจสอบด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดจาก Big Four โดยไม่มีการแก้ไขใดๆ และเป็นไปตามข้อกำหนดด้านอธิปไตยทางข้อมูล (data sovereignty) ของ FINMA อย่างเคร่งครัด งานเหล่านี้คือสิ่งที่เราจะอธิบายในหน้านี้

การประเมินและเสริมความแข็งแกร่งความปลอดภัยบนคลาวด์

เราประเมินสภาพแวดล้อมคลาวด์ของคุณตามมาตรฐาน CIS, NIST, PCI DSS หรือ SOC 2 ขึ้นอยู่กับข้อกำหนดด้านการปฏิบัติตามกฎระเบียบขององค์กรคุณ ใช้เวลา 3-5 วันสำหรับการประเมิน และ 1-2 สัปดาห์สำหรับการเสริมความแข็งแกร่ง ผลลัพธ์ที่ส่งมอบ: รายงานสถานะความปลอดภัย (Security Posture Report), แผนงานเสริมความแข็งแกร่ง (Hardening Roadmap) และการตั้งค่าระบบเฝ้าระวัง (Monitoring Setup) การเสริมความแข็งแกร่งเป็นส่วนหนึ่งของบริการของเรา เราไม่เพียงแค่จัดทำรายงานแล้วปล่อยให้การแก้ไขเป็นหน้าที่ของผู้อื่น

สิ่งที่พบบ่อย: ทรัพยากรที่เปิดเผยต่อสาธารณะแต่ควรเป็นส่วนตัว, นโยบาย IAM ที่เปิดกว้างเกินไป, พื้นที่จัดเก็บข้อมูลที่ไม่ได้เข้ารหัส, การบันทึกข้อมูลที่ไม่สมบูรณ์หรือขาดหายไป, ข้อมูลรับรองที่ฝังอยู่ใน CI/CD pipelines สิ่งเหล่านี้ไม่ใช่ช่องโหว่ที่ซับซ้อน แต่เป็นผลจากการเร่งดำเนินการโดยไม่มีพื้นฐานความปลอดภัยที่ชัดเจน

การจัดการตัวตนและการเข้าถึง

การกระจายสิทธิ์ที่มากเกินไปเป็นช่องว่างที่เราพบบ่อยที่สุด เช่น บัญชีบริการ (service accounts) ที่มีสิทธิ์ผู้ดูแลระบบ, การไม่บังคับใช้ MFA กับผู้ใช้ที่มีสิทธิ์พิเศษ, และไม่มีนโยบายการหมุนเวียนข้อมูลรับรองที่มีอายุการใช้งานยาวนาน เราตรวจสอบการตั้งค่า IAM ทั้งในระบบคลาวด์และ On-premises, บังคับใช้หลักการเข้าถึงด้วยสิทธิ์ขั้นต่ำ (least-privilege access), ติดตั้ง MFA ในจุดที่ขาดหายไป และกำกับดูแลสิทธิ์ของบัญชีบริการ สำหรับสภาพแวดล้อมที่มีการกำกับดูแล เช่น การเงิน, Healthtech, และ Digital Identity เราจะปรับการตั้งค่าให้สอดคล้องกับข้อกำหนดของ FINMA, NIS2 และ ISO 27001 ดังเช่นที่เราได้ดำเนินการให้กับลูกค้าผู้ให้บริการเทคโนโลยีธนาคารในสวิตเซอร์แลนด์ที่อยู่ภายใต้การกำกับดูแลของ FINMA

การแบ่งส่วนเครือข่าย

เครือข่ายคลาวด์แบบราบทำให้การเคลื่อนที่ในแนวนอน (lateral movement) ทำได้ง่าย เราแบ่งส่วน Workload ตามสภาพแวดล้อมและความอ่อนไหวของข้อมูล เช่น การแยก VPCs หรือ VNets ตามแต่ละระดับชั้น, การใช้ Private Endpoints แทนการเปิดเผยบริการสู่สาธารณะ และการควบคุมทราฟฟิก East-West เพื่อจำกัด Workload ที่ถูกบุกรุกไม่ให้แพร่กระจาย การตรวจสอบการแบ่งส่วนเครือข่ายยังเป็นส่วนหนึ่งของบริการ Cybersecurity & Infrastructure Safety Check ที่ครอบคลุมของเรา สำหรับองค์กรที่ต้องการประเมินทั้งระบบ IT และ OT ร่วมกัน

การจัดการข้อมูลลับและการเสริมความแข็งแกร่ง Pipeline

ข้อมูลรับรองที่ฝังอยู่ในโค้ดแอปพลิเคชันและ CI/CD pipelines เป็นความเสี่ยงที่คงอยู่และมักถูกประเมินต่ำไป เราตรวจสอบการกระจายของข้อมูลลับ, นำระบบจัดการข้อมูลลับแบบรวมศูนย์มาใช้ (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) และเสริมความแข็งแกร่งสิทธิ์ของ Pipeline นี่มักจะเป็นการแก้ไขที่มีผลกระทบสูงที่สุดในโครงการ เนื่องจากเป็นปัญหาที่พบบ่อยและง่ายต่อการมองข้ามในการตรวจสอบมาตรฐาน

ทำไมต้อง Gradion

Gradion ได้รับการรับรองมาตรฐาน ISO 27001 งานด้านความปลอดภัยบนคลาวด์ของเราดำเนินการโดยผู้ปฏิบัติงานจริงที่มีประสบการณ์ในการบริหารจัดการโครงสร้างพื้นฐานคลาวด์ขนาดใหญ่ ไม่ใช่ที่ปรึกษาที่เพียงแค่จัดทำรายงานช่องว่างให้ทีมอื่นไปแก้ไข Jan Moser หัวหน้าที่ปรึกษาด้าน Cloud, Security และ DevSecOps ของเรา ได้รับการรับรองในฐานะ Azure Administrator, Solution Architecture Expert และ Cybersecurity Expert

แจ้งให้เราทราบถึงสภาพแวดล้อมที่คุณต้องการความมั่นใจ เราจะกำหนดขอบเขตการประเมินและระบุจุดเสี่ยงที่แท้จริงให้คุณทราบ