คำถามดีมากครับ และก็เป็นคำถามที่คนที่อยากใช้ Cloud เขาก็กังวลอย่างมาก เพราะ Cloud คือการฝากระบบไอที (บางส่วนหรือทั้งหมด) ไว้กับคนอื่น แน่นอน ข้อมูลของเราอยู่นอก firewall ของบริษัท และไปตกอยู่ในความดูแลของ Cloud Provider

ขอโทษด้วยนะครับ ที่แม้ว่าคุณขอถามหน่อย แต่ผมคงไม่ตอบหน่อยๆ ผมอยากเสนอข้อคิดในหลายๆกรณีครับ

เรื่องความปลอดภัย (security) กับความน่าเชื่อถือ (reliability) เป็นเรื่องที่คนกังวลมากว่า Cloud มันดีหรือ ? จริงๆเรื่อง Cloud มันไม่ต่างจากธุรกิจแบบ outsourcing หรือการที่เราจ้างบุคลากรหรือบริษัทอื่นๆเข้ามาทำงานแทนเรา เช่นดูแลระบบแทนเรา แม้แต่บริษัทการเงินกับธนาคารหลายๆแห่งก็ยังจ้างบริษัทอื่นๆมาดูแลไอทีให้ เป็นต้น

อีกกรณี ถ้าหากแม้เราไม่ outsourcing เราไปจ้างพนักงานมาดูแลระบบให้ ให้เป็นพนักงานเราเอง เรามั่นใจได้ไงว่าเขาจะไม่ทำข้อมูลเรารั่วไหล ถ้าพนักงานคนนั้นเป็น admin/root เรามั่นใจอย่างไรว่าเขาไม่แอบเก็บข้อมูลในเซิร์ฟเวอร์ไปขายที่อื่นหรือเอาไปใช้ประโยชน์เอง หรือบริษัทบัตรเครดิต หน่วยงานทะเบียนราษฎร์ คุณมั่นใจอย่างไรว่าเขาจะไม่เปิดเผยลูกค้าหรือประชาชน หรือแม้แต่ sale ที่ลาออกจากบริษัทไป เรามั่นใจได้อย่างไรว่าเขาจะไม่แย่งลูกค้าเดิมของบริษัทเดิมและเอาข้อมูลลับของบริษัทไปขาย นี่คือสัญญาน่ะครับ และก็จรรยาบรรณ ถ้าไม่งั้น ระบบธุรกิจคงล่มจมไปนานแล้วครับ เพราะเรากังวลไปหมด ท้ายสุดเราก็ต้องผลิตลูกหลาน ทำธุรกิจครอบครัวตั้งบริษัทเท่านั้น

อีกเคสคือเรื่องกองทัพทหาร แน่นอน กองทัพทหารควรต้องดูแล data center ตัวเอง แต่จะเชื่อใจได้อย่างไรว่าคนที่เราให้มาดูแล จะไม่ทำให้ข้อมูลรั่วไหล รั่วเมื่อไหร่ ประเทศก็ฉิบหาย ไม่ต้องคิดเลยว่าเขาจะเอาข้อมูลส่งผ่านเทคโนโลยีการสื่อสาร เอาแค่นาย X เข้าร่วมประชุมวางแผนยุทธศาสตร์การทหาร จากนั้น X เอาแผนคร่าวๆไปเล่าให้เมียฟังที่บ้าน แบบกระซิบข้างหูเบาๆ จากนั้นเมียไปเล่าให้เพื่อนๆฟังตอนเล่นไพ่ อ่าว ... รั่วแล้ว เป็นการรั่วที่ไม่พึ่งเทคโน

ว่าด้วยเรื่องความน่าเชื่อถือหรือ reliability เช่นธนาคารและประกันชีวิต ที่เราเอาเงินหรือทรัพย์สินไปฝาก เรามั่นใจได้อย่างไรว่าธนาคารจะดูแลเงินทองเราได้ตลอดรอดฝั่ง แม้บอกว่าที่ผ่านๆมารัฐก็ประคองตัวให้ แต่มองอีกแง่ว่ารัฐน่าเชื่อถือมากแค่ไหนล่ะครับ รัฐบาลก็เหมือนกับบริษัทประกันชีวิตและธนาคารที่ดูแลปากท้องคนทั้งชาติน่ะครับ เรามั่นใจรัฐได้มากแค่ไหน

แม้เราจะมีระบบ audit เพื่อติดตามว่าใครทำอะไร เปิดข้อมูลตรงไหน หรือติดกล้องวงจร ถ้าขโมยข้อมูลไปแล้ว เอาไปขายแล้ว แต่เรามาจับได้ภายหลัง เราก็คงทำได้แค่ลงโทษตามกฎบริษัทหรือส่งตัวดำเนินคดีตามกฎหมาย แต่ข้อมูลที่รั่วก็กู้ไม่ได้อยู่ดี

ผมกำลังชี้ให้เห็นว่า จะ outsource หรือไม่ outsource เราก็ไว้ใจอะไรไม่ได้ 100% (พวก Provider เลยโฆษณาว่าเชื่อใจได้ 99.999%) ดังนั้น โลกธุรกิจมันดำเนินไปได้ถึงทุกวันนี้ เพราะเราอาศัยความเชื่อใจและใช้จรรยาบรรณในการประกอบอาชีพ แต่ในมุมมองลูกค้าย่อมต้องการความเชื่อมั่นในเรื่องความปลอดภัยกันทุกคน ดังนั้น Cloud Provider ทำให้ได้ก็คือการรับประกัน เช่น การทำข้อตกลงหรือสัญญา เป็นต้น และอีกวิธีคือมาตรฐานการดูแลระบบที่บริษัทต้องยึดมั่นก่อนเปิดให้บริการ ควรมีกฎหมายการจดทะเบียนบริษัท Cloud Provider ว่าต้องมีเทคโนโลยีความปลอดภัยอะไรบ้าง มี certification อะไรบ้าง มี ISO อะไรบ้าง มีทรัพย์สินค้ำประกันแค่ไหน เป็นบริษัทที่ได้เครดิตทางการเงินมากน้อยแค่ไหน ถ้าไม่ผ่าน กฎหมายก็ไม่ให้เปิดบริษัท และอีกเรื่องคือรัฐจะคุ้มครองผู้บริโภคอย่างไร เช่นศูนย์ดูแลความประพฤติของ Cloud Provider และรับเรื่องร้องทุกข์ของ Cloud Consumer คล้ายๆ สคบ. แหละครับ

ในความคิดเห็นส่วนตัวของผมนะครับ ก่อนที่บริษัทหรือ Cloud Customer จะเลือกใช้ Cloud ต้องมาตัดสินใจดูก่อนว่า อะไรคือข้อมูลสำคัญ (sensitive data) และสำคัญต่อธุรกิจมากแค่ไหน หรือสำคัญจนกระทั่งขาดตกไปนิดแล้วทำให้องค์กรต้องล่ม หากเป็นข้อมูลสำคัญเช่นนี้ เราคงไม่เลือกฝากไว้กับ Cloud Provider ตลอดจนคำนึงถึงความคุ้มค่าว่าลงทุนกับ Cloud Provider หรือลงทุนเองแล้วจะคุ้มกว่ากัน และคุ้มที่จะเสียงมากน้อยแค่ไหน ดังนั้น ความเสี่ยงก็ต้องเอามาเป็นค่าใช้จ่ายในอนาคตที่คาดไม่ถึงด้วย ธุรกิจหรือตำแหน่งงานอย่างการให้คำปรึกษาการลงทุนและวิเคราะห์ความเสี่ยง (Risk Analysis) ก็เป็นอีกทางเลือกหนึ่งสำหรับผู้บริหารที่ต้องการคำตอบในเรื่องนี้

อีกกรณีคือ เราเป็นบริษัทที่มีกำลังซื้อไอทีอยู่แล้วและระบบไอทีคือหัวใจสำคัญของบริษัท โอเค เราไม่เลือก Cloud ครับ หรือแม้แต่เลือก Cloud เพื่อใช้สำหรับบางงาน เช่นบริการ Gmail ที่อนุญาติให้จด domain ของเมล์ให้เป็นขององค์กรอื่นได้ ไม่จำเป็นต้อง @gmail ถ้าเป็นบริษัทที่ต้องติดต่อกับพนักงาน มีการซื้อขายของ ประชุมผ่านอีเมล์ หลายบริษัทคงไม่เลือกใช้ webmail อย่าง Gmail แต่ถ้าเป็นมหาลัยหรือโรงเรียน ที่การติดต่อสื่อสารเน้นการเรียนการสอน และการสื่อสารระหว่างนักเรียน/นักศึกษา/อาจารย์ เขาอาจ outsource ระบบ mail ให้กับ Gmail ก็ได้ ซึ่งปัจจุบันมีมหาลัยหลายแห่งก็ทำเช่นนี้ (ไอเดียและข้อมูลนี้เป็นคำพูดของ CTO ของ Citrix พูดให้ผมฟัง) อีกกรณีอย่าง Google Video วิดีโอมันขนาดใหญ่มาก และหากเป็นวิดีโอแนะนำสินค้า หรือวิดีโอสำหรับสำรองข้อมูลจากกล้องรักษาความปลอดภัย บริษัทก็ฝากวิดีโอกับ Google Video ไปเถอะครับ (ไม่ได้โฆษณานะ ยกตัวอย่างเฉยๆ)

แต่หากเป็นข้อมูลที่สำคัญเช่นกัน เช่นเราเป็นบริษัทขายของออนไลน์ และเป็นสินค้าที่ไม่ใช่ผลิตภ้ณฑ์ของตนเอง หรือแม้แต่ของตนเองแต่ก็ยอมเปิดเผยข้อมูลได้ (เช่น ขายกล้วยออนไลน์ ขาย OTOP ออนไลน์) มีข้อมูลเช่น ข้อมูลสินค้า รูปภาพสินค้า วิดีโอสาธิตสินค้า ข้อมูลการซื้อขายสินค้า ข้อมูลการจัดส่งสินค้า ข้อมูลลูกค้า เป็นต้น เราก็มาตัดสินใจแล้วครับว่าจะยอมฝากระบบไอทีเช่นนี้ไว้กับตัวหรือไว้กับ Provider หากเราบวกลบคูณหารแล้วมันคุ้มค่าที่จะฝาก คุ้มกว่ามีเซิร์ฟเวอร์ตั้งที่บริษัท ไหนต้องจ่ายค่าไฟ ค่าแอร์ ค่า net ค่าเช่า lease line ค่า IP ค่า admin เป็นต้น โอเคเราเลือก Provider อ่า...มันก็ไม่ต่างจากธุรกิจ Web hosting เลยครับ เราไว้ใจ Web hosting ได้ ทำไมเราจะไว้ใจ Cloud Provider ไม่ได้ล่ะครับ ถ้ากลัวว่า Cloud Provider เขาจะขโมยข้อมูลเราเพื่อประโยชน์ของตน แล้ว Web hosting ไม่สามารถขโมยได้เลยหรือ ?

ส่วนการปกป้อง data center ให้ไกลจาก hacker อันนี้ Cloud Provider ก็ต้องใช้วิธีและเทคโนโลยีความปลอดภัยอย่าง Firewall, Cryptography, Digital Signature เป็นต้น และมองอีกแง่ว่าถ้าหากลูกค้าเป็น SME หรือมีทุนน้อย การลงทุนกับ security สำหรับ IT ของบริษัทคงไม่ใช่ถูกๆแน่นอน ต้องใช้คนมีความชำนาญดูแลระบบด้วย และก็กลับมาเรื่องเดิม เราเชื่อ admin ที่ดูแลระบบให้เรามากแค่ไหน ?

<B>ผมลืมกล่าวไปอีกเรื่อง คือ Virtualization กับ Security ครับ</B>

Virtualization สามารถเพิ่มความปลอดภัยได้ระดับหนึ่ง นั่นคือ

สำหรับ Provider ที่อนุญาตให้ Cloud Customer สร้าง Virtual Machine Image ด้วยตัวเอง แล้วอัพโหลดมารันที่ Provider (เช่นของ Amazon EC2) วิธีการนี้ Customer มีสิทธิ์เต็มที่ในการกำหนดความปลอดภัยให้กับ Machine ของตน (ที่เป็นคอมพิวเตอร์เสมือน) และ Customer เป็น admin ของ Virtual machine (ไม่ใช่ admin ของ Provider) ดังนั้น การที่ admin ของ Provider จะลักลอบ log-in เข้ามาที่เครื่องคอมของลูกค้าย่อมเป็นเรื่องยาก และการจะเปิดเผยข้อมูลของช่องทางการติดต่อสื่อสารระหว่าง Virtual Machine กับภายนอก ลูกค้าสามารถใช้ Encryption ขั้นสูงในการปกป้องข้อมูลได้ ดังนั้น ความปลอดภัยของระบบไอทีของ Customer จึงถูกคุ้มครองระดับหนึ่ง

เพื่อความปลอดภัยขั้นสูงอีกระดับ คือการใช้ระบบแจ้งเตือน (alert) และระบบ audit วิธีการนี้ต้องใช้กับ data center ที่มี admin มากกว่่า 1 คน แต่ละคนต้องตรวจสอบกันและกันผ่านระบบ audit และหาก admin คนหนึ่งพยายามแตะต้อง Virtual machine image ของ Customer ระบบสามารถแจ้งเตือนไปยัง admin คนอื่นๆให้ทราบได้ และการที่จะทำการอะไรสักอย่าง admin ทุกคนต้องใส่ password (หรือ scan ลายนิ้วมือ / smart card) พร้อมๆกัน ดังนั้น ควรมี admin เพิ่มมาอีกระดับ อาจจะเป็นผู้บริหารระดับสูงหรือคนที่ไว้ใจได้มากที่สุดของบริษัทให้ทำหน้าที่ตรวจสอบพฤติกรรมของ admin ระดับล่างผ่านระบบ alert + audit ดังกล่าว และเป็นคนเดียวที่สามารถควบคุมการเปิด/ปิดระบบ alert + audit ได้

<B> อีกวิธีคือ Monitoring ทั้งห้อง data center เลยครับ ซึ่งบริษัทหลายแห่งก็ทำกันอยู่</B>

คือ เอากล้องจับทุกจุดของห้อง + กล้อง omni นึกถึง Mission Impossible ภาคแรกไว้ครับ เรียกว่าใครเดินเข้าห้อง ไอน้ำลายกระเด็นก็สามารถจับได้ เอากล้องเล็กๆติดไว้ทุกจุดไม่ให้ใครเห็นก็ได้ และมีพนักงานรักษาความปลอดภัยนั่งจ้องตลอดเลยครับ ทำผิดเมื่อไหร่ก็เจอดี

บริษัทหลายบริษัท บังคับให้ data center สามารถถูกควบคุมผ่านคอมพิวเตอร์เครื่องเดียวหรือผ่าน subnet เดียวเท่านั้น และเครื่องพวกนี้จะถูกจับหน้าจอ (capture) ไว้ตลอดเวลา ดังนั้น admin พิมพ์อะไรไปก็เห็นหมดครับ

ยุค Cloud Computing อาชีพ admin จะถูกกดดันมากๆ แต่ก็รายได้ดีมากๆเช่นกัน โดนสอดส่องตลอดเวลา พิมพ์คำสั่งด่าเจ้านายบน shell ไม่ได้อีกต่อไป :) แน่... เคยทำใช่หรือเปล่า

มี blog ชื่อ Cloud Security ที่ถกกันเรื่องความปลอดภัยกับ Cloud โดยเฉพาะครับ เขามีข้อคิดหลายอย่างที่น่าสนใจมาก ว่างๆลองเข้าไปอ่านดูครับ

Sivadon Chaisiri (JavaBoom)
http://javaboom.wordpress.com