Saturday, November 23, 2024
ArticlesCloud

การปรับแต่งแอปพลิเคชันและ แพลตฟอร์มคลาวด์ ให้ตรงความต้องการทางธุรกิจ

แพลตฟอร์มคลาวด์

ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและ แพลตฟอร์มคลาวด์ ให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

ม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน

ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและ แพลตฟอร์มคลาวด์ ให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

ปลายทางที่มัลติคลาวด์

มูลนิธิ Cloud Native Computing Foundation (CNCF) ซึ่งรวมกลุ่มโอเพ่นซอร์สในการพัฒนาแอปพลิเคชันบนคลาวด์เนทีฟ ชี้เป้าให้ มัลติคลาวด์ เป็นหนึ่งในเครื่องมือมาตรฐานกลางชิ้นสำคัญสำหรับพัฒนาอินฟราสตรัคเจอร์ หรือซอฟต์แวร์แอปพลิเคชันยุคใหม่ให้สามารถทำงานกับคลาวด์ได้หลายประเภท

บทความโดย: นครินทร์ เทียนประทีป ผู้จัดการฝ่ายการตลาด บริษัท ยิบอินซอย จำกัด

อาทิ vSphere โดยวีเอ็มแวร์ ไมโครซอฟท์อาซัวร์ เอดับบลิวเอส กูเกิล คลาวด์ ตลอดจนคลาวด์เนทีฟอื่นๆ ด้วยมุมมองเชิงกลยุทธ์การลงทุนที่เปลี่ยนจากการเลือกใช้งานคลาวด์เป็นอันดับแรก มาเป็นการจัดกลุ่มแอปพลิเคชันที่จำเป็นใช้งานในองค์กรเสียก่อน

จากนั้น จึงพิจารณาว่าจะโยกย้ายขึ้นสู่คลาวด์ประเภทไหนตามความเหมาะสม เช่น แอปพลิเคชันตัวไหนควรเป็นออนเพรม ตัวไหนที่น่าจะย้ายขึ้นบริการคลาวด์สาธารณะ อย่างไหนควรเขียนใหม่ทั้งหมดให้ใช้งานบนคลาวด์แบบเต็มตัว หรือคงไว้เหมือนเดิมเพราะไม่กระทบต่อธุรกิจมากพอให้ต้องเปลี่ยน เป็นต้น

เพราะถ้าองค์กรวางแผนการใช้งานคลาวด์ได้ไม่ดี จะกลับกลายเป็นทำให้ค่าใช้จ่ายสูงขึ้น อีกทั้งมาตรฐานของเครื่องมือที่เลือกใช้ต่างกันจะทำให้การจัดการยิ่งยุ่งเหยิง

แพลตฟอร์ม เอ็นจิเนียริ่งกับการพัฒนาแอปฯ ยุคใหม่

ในอดีต กรอบการพัฒนาแอปพลิเคชันถูกเขียนขึ้นเพื่อตอบโจทย์งานหน้าบ้าน หลังบ้าน และการจัดการฐานข้อมูลสำหรับการทำงานอย่างใดอย่างหนึ่ง

แต่ในโลกของคลาวด์ แอปพลิเคชันถูกสร้างให้อยู่ในรูปแบบไมโครเซอร์วิส หรือแพลตฟอร์มให้ตรงโจทย์ทางธุรกิจมากขึ้น เกิดการใช้งานแบบไร้เซิร์ฟเวอร์บนคลาวด์อินฟราสตรัคเจอร์รูปแบบต่างๆ เกิดการตั้งศูนย์ข้อมูลหลายจุดเพื่อกระจายการทำงาน เริ่มนำแอปพลิเคชันไปวางใกล้ๆ กับแหล่งต้นทางของข้อมูล เช่น เทคโนโลยีเอดจ์ เป็นต้น

ซึ่งคลาวด์แต่ละแบรนด์ก็มีแนวทางการบริหารจัดการเทคโนโลยีที่ต่างกัน แพลตฟอร์ม เอ็นจิเนียริ่ง (Platform Engineering) จึงเป็นสิ่งที่มาขยายมุมคิดของ DevOps หรือ DevSecOps ของการพัฒนาแอปฯ หรือแพลตฟอร์มที่เดิมเป็นแค่ทูลตัวหนึ่งให้กลายเป็นเสมือนผลิตภัณฑ์ที่ต้องพัฒนาร่วมกันอย่างต่อเนื่องระหว่างทีมนักพัฒนา ทีมปฏิบัติงานด้านไอที ทีมเน็ตเวิร์ค และซีเคียวริตี้

ข้อดี คือ ลดการใช้เครื่องมือในการพัฒนาที่ต่างกันไปแต่ละทีมมาเป็นการมองหาแพลตฟอร์มกลางเพื่อตอบโจทย์การพัฒนาจากทุกทีม มีทีมพัฒนากลางที่เดินไปในทิศทางเดียวกันเพื่อให้การออกแบบและสร้างแอปพลิเคชันหรือแพลตฟอร์มเพียงครั้งเดียวแต่สามารถรันบนอินฟราสตรัคเจอร์ได้ทุกที่เพื่อลดภาระงาน เกิดระบบล่มแต่น้อย

ทั้งยังขยายระบบหรือเขียนบริการธุรกิจใหม่ๆ ได้ตลอดเวลา ถ้าเจอปัญหาเร็ว แก้ไขไวและถูกจุด ซึ่งนอกจากจะทำให้การบริหารงานด้านไอทีดีขึ้น ยังทำให้องค์กรสามารถแตะถึงเป้าหมายทางธุรกิจได้รวดเร็วมากขึ้นอีกด้วย

ความปลอดภัยแบบซีโร่ทรัสต์

แม้การโจมตีในปัจจุบันจะเปลี่ยนไปหลากหลายรูปแบบ แต่เป้าหมายยังเป็นเรื่องเดิมคือ การขโมยสิ่งที่ใช้ยืนยันตัวตน (Credentials) เพื่อเจาะเข้าสู่ระบบและขโมยข้อมูลที่ต้องการ ซึ่งแรนซัมแวร์ที่เก่งๆ บางตัวอาจจะเข้า-ออก หรือฝังตัวในระบบไอทีนานนับปีก่อนแผลงฤทธิ์โดยที่เราไม่รู้ตัว ซึ่งวีเอ็มแวร์ได้ให้กรอบความปลอดภัยแบบซีโร่ทรัสต์ (Zero Trust)

โดยมี ข้อมูล เป็นแกนกลาง และมองความเชื่อมโยงเรื่องความไว้วางใจลงไปสู่ระบบไอทีในลำดับชั้นต่างๆ อาทิ ผู้ใช้งานปลายทาง (User Trust) อุปกรณ์ (Device Trust) แอปพลิเคชัน (Application Trust) เน็ตเวิร์ค (Network Trust) ตัวอย่างเช่น

Endpoint Trust / Device Trust ในช่วงวิกฤตโควิด เราพบว่า หลายองค์กรประสบปัญหาอย่างมากจากการถูกขโมยครีเดนเชียลในการยืนยันตัวตนผ่านการใช้งานอุปกรณ์ปลายทาง วีเอ็มแวร์บอกกับเราว่า ทุก 11 วินาทีจะมีองค์กรทั่วโลกตกเป็นเหยื่อของสแปมและฟิชชิ่ง 59% เจอภัยคุกคามแบบสองเด้ง (Double Extortion) คือ ไฟล์ถูกล็อครหัสให้เข้าถึงไม่ได้หนำซ้ำยังดึงข้อมูลออกไปปล่อยในเว็บมืด

แถมปล่อยดี-ดอสตามมารบกวนให้ระบบไม่ปกติ และ 77% มาจากการโจมตีผ่านช่องทางเชื่อมต่อของแอปพลิเคชันต่างๆ (Application Programming Interface-API) ทั้งบนออนเพรม คลาวด์สาธารณะ หรือ ไฮบริดคลาวด์ ซึ่งตรงเข้าสู่ดาต้าเซ็นเตอร์ได้ไม่ต้องผ่านไอพีสาธารณะ (Public IP) และไม่ต้องยืนยันตัวตน ซึ่งทำให้อาชญากรไซเบอร์สามารถแทรกตัวผ่านรอยรั่วของข้อต่อนี้เข้าไปถึงซิสเต็มส์และข้อมูลเชิงลึกขององค์กรได้เลย

Application Trust เป็นจุดที่ควรแก่การวางระบบความปลอดภัยทั้งซัพพลายเชนลงถึงระดับโปรดักชัน เช่น การเขียนโค้ดดิ้ง การทำเฟรมเวิร์ค การสแกนโค้ด การเลือกใช้โค้ดโปรแกมต้นทางที่ควรมีเทมเพลตเรื่องความปลอดภัยติดมาด้วย เพราะ

หนึ่ง แอปฯ ที่พัฒนาบนคลาวด์มีทั้งที่เขียนโค้ดขึ้นเองเป็นเนทีฟ และใช้โอเพ่นซอร์ส หากซัพพลายเออร์หรือโอเพ่นซอร์สที่หยิบมามีช่องโหว่ ก็จะสร้างความน่าสะพรึงยิ่งกว่าแอปพลิเคชันที่เขียนขึ้นเอง

สอง นักพัฒนาไม่ควรมองข้ามช่องโหว่ความปลอดภัยที่เกิดขึ้นขณะเขียนโค้ด จังหวะโยนเข้าอิมเมจ นำไปทดลองปฏิบัติ หรือเชื่อมต่อกับคนอื่น

ถ้าระบบความปลอดภัยถูกเจาะตั้งแต่ตรงนี้ก็จะกลายเป็นจุดบอดเล็กๆ ที่ซ่อนอยู่ในโค้ดโปรแกรมต้นทางหรือไลเบอรี่ต่างๆ ในระดับคอนเทนเนอร์ และกลายเป็นช่องโหว่ที่ใหญ่ขึ้นเมื่อคอนเทนเนอร์โตขึ้นเมื่อเกิดการใช้งานแอปพลิเคชันจากทั้งยูสเซอร์ไปคลาวด์ ลูกค้าไปคลาวด์ คลาวด์สู่คลาวด์ หรือคลาวด์ในตัวมันเอง

เพราะต้องไม่ลืมว่าการใช้งานคลาวด์ จุดเชื่อมต่อไม่ได้อยู่แค่ช่องจราจรบนเน็ตเวิร์ค แต่ยังหมายถึงเอพีไอที่กล่าวถึงข้างต้น รวมถึงคูเบอร์เนเตสที่ต้องถูกอัพเดทแก้ไขเมื่อถูกส่งขึ้นไปดูแลคอนเทนเนอร์ต่างๆ

Network Trust ที่แตกออกเป็น 2 ระดับ ได้แก่ ระดับการจัดการอุปกรณ์และระบบต่างๆ และระดับความปลอดภัยที่เกี่ยวข้องเวอร์ช่วลไลเซชันบนเน็ตเวิร์คที่ต้องมีการกำหนดกรอบการทำงานให้ชัดเจน ซึ่งไม่ใช่การป้องกันข้อมูลรั่วไหล ความปลอดภัยในการขนถ่ายข้อมูลบนเวอร์ช่วลแมชชีน คอนเทนเนอร์ การป้องกันการแฝงตัวเข้ามาทางเอพีไอ

โดยมีเอไอมาช่วยวิเคราะห์พฤติกรรมและรูปแบบของแอปพลิเคชันแต่ละตัว (App Behavior) และแยกแยะปัญหาให้แน่ใจว่า เกิดจากการโจมตีทางไซเบอร์ หรือเน็ตเวิร์คล่มเพราะตั้งค่าการทำงานที่ผิดพลาด เป็นต้น

ซึ่ง SD-Wan ถือเป็นหนึ่งในตัวช่วยการจัดการเน็ตเวิร์ค ขณะที่เทคโนโลยีพื้นฐานอย่างไฟร์วอลล์ หรือแอนตี้ไวรัสยังคงอยู่แต่ต้องปรับเปลี่ยนให้รองรับสภาพแวดล้อมใหม่ เช่น สร้างระบบตรวจจับและตอบสนองการบุกรุกทั้งกับเครื่องเอนด์พอยต์ (EDR) และเน็ตเวิร์ค (NDR) ต่อทุกภาระงานที่วิ่งเข้ามาสู่รระบบผ่านไฟร์วอลล์หลายชั้นสักหน่อย

หรือการคัดกรองเส้นทางจราจรที่ผิดปกติ (Network Traffic Analysis) เพื่อตรวจจับยูสเซอร์ที่มีการใช้งานและการเคลื่อนไหวแปลกๆ เช่น เครื่องตัวเองติดไวรัสแล้วพยายามแฮ็คไปหาเครื่องอื่นในระบบ เพื่อไม่ให้เกิดความเสียหายจนเกินควบคุม หากโชคร้ายเจาะเข้าสู่ระบบได้ ก็ต้องมีการตอบสนองและแก้ไขอย่างรวดเร็ว

Featured Image: Image by Freepik