การปกป้องตัวตนบนคลาวด์ไม่ใช่เรื่องง่าย แต่ละองค์กรต้องรวบรวมรายการสิทธิ์ทั้งหมดที่มีอยู่เพื่อให้มั่นใจว่าตั้งค่าได้ถูกต้องเหมาะสม ต้องสามารถมองเห็นข้อมูลตัวตนได้อย่างชัดเจนและครอบคลุม ที่สำคัญคือ การทำให้เคลียร์ว่าใครทำอะไรได้ และสิทธิ์ที่มีไม่ได้เป็นอันตราย
แต่ด้วยข้อดีของคลาวด์ที่ทำให้เราขยับขยายได้ง่ายและรวดเร็ว ยิ่งถ้าให้สิทธิ์โกลบอลแอดมินหรือเป็น Root ก็ทำได้หมดทุกอย่าง รวมถึงทุกอย่างที่อันตราย ดังนั้นเพื่อไม่ต้องคอยอนุญาตที่ละคำขอ พับลิกคลาวด์ใหญ่ๆ จึงมีรายการสิทธิ์อนุญาตให้ตั้งค่ากับแอดมินแต่ละแบบมากถึง 35,000 รายการ
ปัญหาหลักเกี่ยวกับการจัดการตัวตนก็คือ สิทธิ์ที่นักพัฒนาทั้งหลายสามารถจัดสรรเสกทั้งวีเอ็ม สตอเรจ ฐานข้อมูลได้ด้วยตัวเอง ทำให้เรามองไม่เห็นไม่ครอบคลุมว่าแต่ละอย่างมีอะไรรันบ้าง และมีแนวโน้มที่จะให้สิทธิ์มากเกินจำเป็นเพราะปัญหาความซับซ้อนของระบบคลาวด์ ทำให้เสี่ยงเข้าไปอีก
สำหรับความผิดพลาดที่พบบ่อยในการจัดการ Cloud Identity ได้แก่:
- การตั้งค่าผิดพลาด กุญแจที่แก้ปัญหานี้คือความสามารถในการมองเห็นที่ครอบคลุมทุกจุดจากศูนย์กลาง เช่น ระบบค้นพบทรัพยากรและบริการบนคลาวด์อัตโนมัติ พร้อมเข้าถึงการตั้งค่าที่เกี่ยวกับความเสี่ยงอย่างการใช้รหัสผ่านดีฟอลต์หรืออ่อนแอ การฮาร์ดโค้ดซีเคร็ต หรือการให้สิทธิ์แบบดอกจัน
- การเปิดให้ใช้ IaC โดยไม่คำนึงถึงความปลอดภัย การที่ DevOps มีเป้าหมายในการออกแอพและบริการให้เร็วที่สุด จนอาจเกิดการตั้งค่าผิดพลาดและช่องโหว่ ยิ่งใช้ Infrastructure as Code ที่ทำให้ติดตั้งง่ายและเร็วกว่าเดิม เราต้องใช้การทดสอบอัตโนมัติ และการจัดการโพลิซีอย่างทั่วถึง
- การไม่ได้ตรวจสอบสิทธิ์ที่แต่ละคนได้เป็นประจำ ไม่ได้ทำตามหลักการ Least-Privilege ยิ่งยุคนี้ที่ต่างแข่งขันกันทำงานให้เร็วที่สุด ทางแก้นอกจากการเพิ่ม Visibility ในทรัพยากรต่างๆ ก็ต้องวิเคราะห์รูปแบบพฤติกรรมการใช้งานเพื่อจำกัดสิทธิ์เข้าถึงเฉพาะที่ใช้ประโยชน์กันจริงด้วย
- แค่ Least Privilege ไม่ได้แปลว่าปลอดภัย ไม่ใช่ว่ารหัสผ่านของแอดมินจะไม่หลุดรั่ว จึงต้องมีระบบป้องกันและตรวจจับอันตรายอยู่ตลอด สังเกตพฤติกรรมที่ผิดปกติด้วยชุดเครื่องมือแบบอัตโนมัติที่รวบรวมและวิเคราะห์ข้อมูลพวกนี้อย่างต่อเนื่อง
อ่านเพิ่มเติมที่นี่ – HNS
ที่มา – ระวัง 4 กับดักทางตันเวลาจัดการเรื่องการจัดการตัวตนบนคลาวด์ Cloud Identity Management – Enterprise IT Pro