ไฟร์วอลล์ ที่ยังคงเป็นองค์ประกอบสำคัญในการทำธุรกิจบนโลกดิจิทัล
“หลายคนเข้าใจว่า ไฟร์วอลล์หมดยุคแล้ว เมื่อเข้าสู่โลกของคลาวด์ บทความนี้จะอธิบายถึงความสำคัญเชิงกลยุทธ์ของไฟร์วอลล์ที่ยังคงมีความสำคัญในอนาคต
ผู้เขียนมีโอกาสได้บรรยายเรื่อง SASE (Secured Access Service Edge) หรือ สถาปัตยกรรมการใช้งานระบบคลาวด์ อย่างมั่นคงปลอดภัยให้ประสบความสำเร็จได้ง่ายยิ่งขึ้น ให้กับบริษัทขนาดใหญ่ต่างๆ กว่า 100 แห่ง ในช่วง 1 ปีที่ผ่านมา และเชื่ออย่างยิ่งว่าระบบเครือข่ายที่ให้บริการผ่านคลาวด์ตลอดจนบริการระบบรักษาความปลอดภัยจะช่วยพลิกโฉมธุรกิจ และยังเชื่อด้วยว่าไฟร์วอลล์ยังคงเป็นองค์ประกอบที่สำคัญในการทำธุรกิจบนโลกดิจิทัล
นักวิเคราะห์เองก็เห็นด้วยกับเรื่องนี้ อย่างเช่นที่ การ์ทเนอร์ระบุไว้ว่า องค์กรกว่า 60% จะติดตั้งใช้งาน ไฟร์วอลล์ มากกว่า 1 ประเภท ภายในปี 2569 ซึ่งจะทำให้เกิดการหันมาใช้ HMF (Hybrid Mesh Firewall) มากขึ้น ประกอบกับกระแสเรื่องการประมวลผลผ่านคลาวด์ในองค์กรต่างๆ ยิ่งทำให้ไฟร์วอลล์กลายเป็นองค์ประกอบที่สำคัญมากขึ้นกว่าในอดีต
ข้อมูลที่น่าสนใจที่ผมได้จากการสนทนากับ CISO และ CIO จำนวนนับไม่ถ้วนในเรื่องความสำคัญเชิงกลยุทธ์ของไฟร์วอลล์ในอนาคตมีดังนี้
ไฟร์วอลล์ในแบบที่ไม่เหมือนเดิม
ไฟร์วอลล์ไม่ได้ล้มหายตายจากไปไหน แต่มีการปรับปรุงใหม่ โดยในช่วงหลายปีที่ผ่านมา สถาปัตยกรรมไฟร์วอลล์ชั้นนำได้เปลี่ยนไปจากเดิมที่ตรวจสอบเพียงในระดับเครือข่ายมาเป็นระดับแอปพลิเคชัน จากที่เคยรองรับฟังก์ชันด้านความปลอดภัยพื้นฐานก็สามารถตรวจสอบและป้องกันการโจมตีซีโรเดย์ที่ค้นพบล่าสุดได้ทันที
หรือจากที่เคยปกป้องแค่ระบบ IT ก็สามารถรองรับได้ทั้ง OT และ IoT เป็นต้น ที่สำคัญไฟร์วอลล์ยังเป็นองค์ประกอบที่ขาดไม่ได้ในการปกป้องเครือข่าย 5G และมีการพัฒนาให้มีคุณสมบัติด้านพร็อกซีในตัว จึงไม่จำเป็นต้องจัดการกับสถาปัตยกรรมและการติดตั้งระบบรักษาความปลอดภัยเครือข่ายหลากหลายรูปแบบ
วันนี้แนวคิดเรื่อง Hybrid Mesh Firewall (HMF) หรือโครงข่ายไฟร์วอลล์รูปแบบตาข่ายในลักษณะไฮบริด กำลังเป็นที่สนใจ เพราะมองว่าไฟร์วอลล์ไม่ใช่เพียงอุปกรณ์ฮาร์ดแวร์เท่านั้น
องค์กรต้องการคุณสมบัติด้านไฟร์วอลล์ที่พร้อมใช้งานไม่ว่าจะอยู่ในรูปแบบใดก็ตาม ทั้งฮาร์ดแวร์ ซอฟต์แวร์ คอนเทนเนอร์ และไฟร์วอลล์ในแบบบริการ โดยทั้งหมดควรได้รับการจัดการผ่านคอนโซลควบคุมเดียวกันเพื่อให้กลยุทธ์ HMF เป็นไปอย่างมีประสิทธิภาพที่สุด
ไฟร์วอลล์ไม่ใช่เพียงเครื่องประดับ
การติดตั้งไฟร์วอลล์ไม่ควรเป็นเพียงสิ่งที่ต้องทำเพราะอยู่ในรายการข้อควรปฏิบัติ ไฟร์วอลล์จะมีประโยชน์เฉพาะเมื่อคุณใช้ในการป้องกันการโจมตีที่ซุกซ่อนตัวและรองรับสถาปัตยกรรมแบบซีโรทรัสต์ หากผู้จำหน่ายไฟร์วอลล์ไม่สามารถประยุกต์ใช้เทคโนโลยีการเรียนรู้เชิงลึกและโมเดลแมชีนเลิร์นนิงเพื่อวิเคราะห์ทราฟิกต่างๆ นั่นแสดงว่าไฟร์วอลล์ที่มีอยู่ก็อาจเป็นเพียงเครื่องประดับไร้ค่า
การปกป้องระบบจากการโจมตีในแบบเรียลไทม์ไม่เพียงแต่ต้องใช้ไฟร์วอลล์ซึ่งมีฟังก์ชันรักษาความปลอดภัยขั้นสูงเท่านั้น แต่ยังต้องทำงานได้ดีจริงเมื่อเปิดใช้ฟังก์ชันเหล่านั้นด้วย
ดังนั้นจึงควรพิจารณาเอกสารรายละเอียดผลิตภัณฑ์ของผู้จำหน่ายไฟร์วอลล์ให้ถี่ถ้วนและผ่านการทดสอบกับกรณีที่เกิดขึ้นจริง เพราะที่ผ่านมามีรายงานว่า ประสิทธิภาพการทำงานของไฟร์วอลล์บางรุ่นลดลงเกือบ 75% เมื่อเปิดใช้คุณสมบัติการตรวจสอบความปลอดภัยหลักๆ ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องประเมินและคัดเลือกผู้จำหน่ายไฟร์วอลล์ให้รอบคอบ
ไฟร์วอลล์มีบทบาทในสถาปัตยกรรม SASE
สถาปัตยกรรมความปลอดภัยเครือข่ายหนึ่งๆ ยากที่จะตอบโจทย์ความต้องการได้ทั้งหมด เช่นเดียวกับ SASE/SSE ที่มีประโยชน์กับลูกค้าที่ต้องการตรวจสอบทราฟิกในคลาวด์โดยใช้สถาปัตยกรรม “ระบบรักษาความปลอดภัยในแบบบริการ” แทนที่จะหันไปพึ่งพาอุปกรณ์แบบรวมศูนย์ที่ศูนย์ข้อมูล
ระบบดังกล่าวทำงานได้ดีในหลายกรณี เช่น ทราฟิกระหว่างสาขา ผู้ใช้งานจากทางไกล และการเข้าถึงแอปพลิเคชันคลาวด์แบบปลอดภัย เช่นเดียวกับอุปกรณ์ไฟร์วอลล์และระบบรักษาความปลอดภัยเครือข่ายที่มีประโยชน์สำหรับองค์กรที่ต้องการรองรับลักษณะการใช้งานแบบเฉพาะทาง
เช่น การทำงานในศูนย์ข้อมูลที่มีแบนด์วิดธ์มหาศาล การปกป้องโครงสร้างระบบที่สำคัญ การรักษาความปลอดภัยให้ 5G การตรวจสอบทราฟิกระหว่างเซิร์ฟเวอร์ในศูนย์ข้อมูล ระบบรักษาความปลอดภัยบนคลาวด์ และระบบรักษาความปลอดภัยสำหรับ IoT เป็นต้น
คำถามสำคัญที่ควรหาคำตอบก็คือ SASE ในสถาปัตยกรรมระบบรักษาความปลอดภัยเครือข่ายสามารถใช้คอนโซลจัดการเดียวกับไฟร์วอลล์และพร็อกซีของคุณหรือไม่ หากเทคโนโลยีทั้งสองทำงานต่างกันทั้งในเรื่องการกำหนดนโยบายและคอนโซลควบคุม
นั่นเป็นต้นเหตุแห่งความไร้ประสิทธิภาพและปัญหาด้านระบบรักษาความปลอดภัยที่ไม่ดีพอ ดังนั้น ควรเลือกพาร์ทเนอร์ด้านระบบรักษาความปลอดภัยเครือข่ายที่เป็นผู้นำทั้งในเรื่อง HMF และ SASE ควบคู่กัน
เส้นทางสู่การทำไซเบอร์ทรานส์ฟอร์เมชัน
ไฟร์วอลล์เป็นองค์ประกอบสำคัญในกลยุทธ์ความปลอดภัยขององค์กรและไม่สามารถแยกออกไปได้ โดยจะต้องเชื่อมโยงกับส่วนอื่นๆ ในกระบวนการความปลอดภัยเพื่อให้สามารถปกป้องระบบทั้งหมดได้เต็มศักยภาพ ที่ผ่านมาเราเห็นลูกค้าจำนวนมากย้ายไปสู่ XDR โดยมีการเชื่อมต่อระบบรักษาความปลอดภัยเครือข่ายไปยังอุปกรณ์ปลายทาง และใช้การรักษาความปลอดภัยบนคลาวด์เพื่อรวมศูนย์ภัยคุกคามและรองรับการตรวจสอบและจัดการกับภัยต่างๆ ได้เร็วขึ้น
ดังนั้น คำถามสำคัญต่อผู้จำหน่ายไฟร์วอลล์ก็คือ XDR ทำงานอย่างไร และจะดูข้อมูลวิเคราะห์ทั้งเครือข่าย อุปกรณ์ปลายทาง และคลาวด์ในหนึ่งเดียวได้อย่างไร
อีกหนึ่งเรื่องที่ควรให้ความสนใจก็ คือ การผสานคลาวด์ไฟร์วอลล์เข้ากับแพลตฟอร์มการรักษาความปลอดภัยบนคลาวด์ให้ครอบคลุมยิ่งขึ้น หรือที่เรียกว่า CNAPP (Cloud-Native Application Protection Platform หรือแพลตฟอร์มการปกป้องแอปพลิเคชันบนคลาวด์) ดังนั้นให้ตั้งคำถามกับผู้จำหน่ายไฟร์วอลล์ว่า กลยุทธ์ CNAPP ที่ใช้เป็นอย่างไร และคลาวด์ไฟร์วอลล์ดังกล่าวจะผสานการทำงานกับสถาปัตยกรรมความปลอดภัยบนคลาวด์โดยรวมของคุณได้อย่างไร
การติดตั้งไฟร์วอลล์ใน Cloud Service Provider (CSP)
ความเข้าใจผิดที่พบบ่อยข้อหนึ่งก็คือ ไม่จำเป็นต้องใช้ไฟร์วอลล์บนบริการระบบคลาวด์สาธารณะ เช่น Azure, AWS และ GCP แต่ประสบการณ์ของผมบอกอีกอย่างหนึ่ง เพราะ CISO ทุกคนที่ผมเคยพูดคุยเรื่องกลยุทธ์ระบบคลาวด์อย่างจริงจังล้วนติดตั้งใช้งานไฟร์วอลล์เวอร์ชันเวอร์ชวล (หรือบางครั้งเรียกว่าแบบคอนเทนเนอร์) ใน VPC บนคลาวด์
อีกทั้งนี่ไม่ใช่แค่เรื่องระบบหรือรูปแบบ แต่ยังรวมถึงการตรวจสอบและจัดการระบบรักษาความปลอดภัยในเชิงลึก ดังนั้น จึงจำเป็นที่จะต้องใช้แนวทางเชิงกลยุทธ์ในการจับมือกับผู้นำด้าน CSP เพื่อให้เทคโนโลยีไฟร์วอลล์ของเราสามารถทำงานได้กับบริการบนคลาวด์ภายในคอนโซลจัดการของ CSP
โดยสรุปแล้ว ไฟร์วอลล์ ยังคงใช้งานแพร่หลายและมีพัฒนาการไปสู่ HMF เพื่อให้องค์กรมีตัวเลือกว่าควรใช้คุณสมบัติด้านระบบรักษาความปลอดภัยไซเบอร์ที่สำคัญเหล่านี้ที่ใดและอย่างไร อีกทั้ง CIO, CISO และผู้บริหารที่ดูแลเรื่องเครือข่ายควรเลือกสถาปัตยกรรมไฟร์วอลล์อย่างรอบคอบ และมองหาผู้จำหน่ายที่มีความสามารถในการรองรับความต้องการทางธุรกิจดิจิทัล ท้ายสุดผมหวังว่าบทความนี้จะช่วยมอบแนวทางที่เป็นประโยชน์ให้กับทุกคนที่ดูแลในเรื่องเหล่านี้
Featured Image: Image by Freepik