เนื้อหานี้ได้รับการสนับสนุนโดย Hashicorpการย้ายไปยังระบบคลาวด์หมายความว่าทีมและองค์กรต้องคิดใหม่ว่าจะรักษาความปลอดภัยของแอปพลิเคชันและโครงสร้างพื้นฐานของตนอย่างไร การรักษาความปลอดภัยในระบบคลาวด์กำลังถูกสร้างใหม่จากแบบคงที่และอิงตาม IP – กำหนดโดยขอบเขต – เป็นแบบไดนามิกและอิงตามข้อมูลประจำตัว – โดยไม่มีขอบเขตที่ชัดเจน ไม่มีที่ใดเป็นจริงมากไปกว่าในภาครัฐ ซึ่งองค์กรต่าง ๆ ไม่เพียงแต่ปกป้องข้อมูลของตนเองเท่านั้น
แต่ยังรวมถึงประชาชนและองค์ประกอบต่าง ๆ ที่พวกเขาสาบานว่าจะรับ
ใช้อีกด้วย แนวคิดนี้เรียกว่า Zero Trust Security คำสั่งผู้บริหารฉบับล่าสุด เกี่ยวกับ การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ ตั้งแต่วันที่ 12 พฤษภาคม 2021 ระบุว่า “รัฐบาลกลางต้องนำแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยมาใช้ ก้าวไปสู่ Zero Trust Architecture; เร่งการเคลื่อนไหวเพื่อรักษาความปลอดภัยบริการคลาวด์ รวมถึง Software as a Service (SaaS), Infrastructure as a Service (IaaS) และ Platform as a Service (PaaS) รวมศูนย์และเพิ่มความคล่องตัวในการเข้าถึงข้อมูลความปลอดภัยทางไซเบอร์เพื่อขับเคลื่อนการวิเคราะห์สำหรับการระบุและจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ และลงทุนทั้งด้านเทคโนโลยีและบุคลากรเพื่อให้สอดคล้องกับเป้าหมายด้านความทันสมัยเหล่านี้”
ตามคำสั่งผู้บริหารนี้ Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำจำกัดความของซอฟต์แวร์ที่สำคัญดังต่อไปนี้ ซึ่งเห็นว่าจำเป็นต้องสอดคล้องกับข้อพิจารณาด้านความปลอดภัยแบบ Zero Trust ที่ใหญ่กว่านี้ และด้วยเหตุนี้จึงขึ้นอยู่กับข้อกำหนดเพิ่มเติมของคำสั่งผู้บริหาร (สกอ) .
ซอฟต์แวร์ที่มีความสำคัญต่อ EO หมายถึงซอฟต์แวร์ใด ๆ ที่มีหรือมีการพึ่งพาซอฟต์แวร์โดยตรงกับส่วนประกอบตั้งแต่หนึ่งอย่างขึ้นไปที่มีคุณลักษณะเหล่านี้อย่างน้อยหนึ่งอย่าง:
ได้รับการออกแบบให้ทำงานด้วยสิทธิ์ระดับสูงหรือจัดการสิทธิ์
มีสิทธิ์เข้าถึงทรัพยากรเครือข่ายหรือคอมพิวเตอร์โดยตรงหรือมีสิทธิพิเศษ
ถูกออกแบบมาเพื่อควบคุมการเข้าถึงข้อมูลหรือเทคโนโลยีการปฏิบัติงาน
ทำหน้าที่สำคัญต่อความไว้วางใจ หรือ,
ทำงานนอกขอบเขตความน่าเชื่อถือปกติด้วยการเข้าถึงพิเศษ
ด้วยเหตุนี้ หน่วยงานที่ได้รับคำสั่งให้ใช้ประโยชน์จากซอฟต์แวร์และระบบที่มีความสำคัญต่อ EO จำเป็นต้องเข้าใจอย่างถ่องแท้และน้อมรับการรักษาความปลอดภัยแบบ Zero Trust จากนั้นจึงวางแผนและดำเนินการตามกลยุทธ์การใช้งาน
ความท้าทายด้านความปลอดภัยทางไซเบอร์ของคลาวด์
การเปลี่ยนจากศูนย์ข้อมูลและสภาพแวดล้อมแบบ on-premises แบบเดิมไปสู่โครงสร้างพื้นฐานระบบคลาวด์แบบไดนามิกนั้นมีความซับซ้อนและนำเสนอความท้าทายใหม่ๆ สำหรับการรักษาความปลอดภัยขององค์กรภาครัฐ มีระบบให้จัดการมากขึ้น มี endpoint ให้ตรวจสอบมากขึ้น มีเครือข่ายให้เชื่อมต่อมากขึ้น และมีผู้คนจำนวนมากขึ้นที่ต้องการการเข้าถึง นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเมื่อองค์กรภาครัฐนำสภาพแวดล้อมแบบมัลติคลาวด์และไฮบริดคลาวด์มาใช้ ทำให้ความท้าทายเหล่านี้เพิ่มขึ้นอย่างทวีคูณ
เราคาดว่าแนวโน้มนี้จะดำเนินต่อไป เนื่องจากเอเจนซี่จำนวนมากขึ้นเรื่อยๆ ขยายบริการคลาวด์ของตนผ่านผู้จำหน่ายหลายราย เพื่อเพิ่มความยืดหยุ่นและเหมาะสมกับภารกิจที่สำคัญยิ่ง ตัวอย่างที่สำคัญของเรื่องนี้สามารถเห็นได้จาก CIA ซึ่งเพิ่ง ให้สัญญา Commercial Cloud Enterprise (C2E)แก่ ผู้ให้บริการ 5 ราย ได้แก่ Amazon , Google , IBM , Microsoftและ Oracle เมื่อการขยายตัวนี้ดำเนินต่อไป โอกาสที่จะเกิดการละเมิดเพิ่มขึ้นอย่างมาก และเป็นเพียงเรื่องของเวลาเท่านั้นหากปราศจากมาตรการรักษาความปลอดภัยที่ไม่เชื่อเรื่องพระเจ้าบนคลาวด์
credit : ฝากถอนไม่มีขั้นต่ำ
