วันอังคารที่ 16 กรกฎาคม พ.ศ. 2556

ไปหรือไม่ไป Cloud Computing

หลายองค์กรเริ่มสนใจในเรื่อง Cloud Computing ว่าจะเป็นประโยชน์กับองค์กรของเรามากน้อยแค่ไหน พวก Cloud Service ต่างๆ เช่น SaaS, PaaS และ IaaS ต่างก็น่าจะสร้างประโยชน์ให้กับองค์กรในด้านของ Cost Saving, On-Demand และ Economy of Scale ซึ่งลักษณะการใช้งานแบบ Pay-per-use นั้นต่างเป็นที่สนใจของใครต่อใครหลายคน เพราะนั้นหมายความว่าองค์กรเองสามารถวางแผนสำหรับอนาคตได้โดยไม่จำเป็นต้องลงทุนมหาศาลในตอนแรก เริ่มแต่เล็กแล้วค่อยๆ ขยายความสามารถออกไปเรื่อยๆ ตามความต้องการหรือการเติบโตของธุรกิจ
แต่ว่าองค์กรใหญ่ๆ ก็ยังลังเลในเรื่องการย้ายทุกอย่างไปอยู่บน Cloud ผลจากการสำรวจบริษัทใน Fortune 1000 ผลส่วนใหญ่ระบุว่าในช่วงเวลา 2-3 ปีข้างหน้าจะยังไม่เปลี่ยนไปใช้ Public Cloud Storage เพื่อเก็บข้อมูลขององค์กร ผลสำรวจระบุว่าองค์กร 75% ยังมีปัญหาเรื่องความเชื่อมั่นในด้าน Reliability, Security, Availability และ การควบคุมข้อมูลต่างๆ ขององค์กร ตัวอย่างเช่น องค์กรกังวลเรื่องการเก็บข้อมูลของบริษัทตัวเองภายใน Storage ของ Cloud อาจจะไปปะปนกับข้อมูลขององค์กรอื่นๆ รวมถึงปัญหาความมั่นใจในการเข้าถึงข้อมูลว่าจะให้มั่นใจได้อย่างไรว่าข้อมูลของเรานั้นเราสามารถเข้าได้เพียงคนเดียว บางรายอาจจะคำนึงถึงเรื่องการย้ายข้อมูลจาก Cloud Service Provider กลับมาที่องค์กรเอง ในกรณีเราเลิกใช้บริการ หรือการย้ายไป Service Provider เจ้าอื่น ในกรณีที่เราต้องการเปลี่ยนผู้ให้บริการว่าทำได้หรือไม่
สิ่งต่างๆ เหล่านี้อาจจะไม่เกิดขึ้นถ้าทางผู้ให้บริการหรือ Service Provider เองให้ความมั่นใจกับผู้ใช้บริการว่าการบริการของตนนั้นรับรองว่ามั่นคงปลอดภัย มีความสามารถที่ทำได้ในด้านต่างๆ หรือจำเป็นต้องมีมาตรฐานสากลรับรองเพื่อความมั่นใจของผู้ใช้งานมากขึ้น เพราะเพียงแต่คำบอกกล่าวของ Service Provider เองคงจะไม่มีน้ำหนักพอ ก็คงต้องให้คนกลางเข้ามาช่วย
การตัดสินใจ    
ในแง่ขององค์กรเองคงจำเป็นต้องทำการศึกษาข้อมูลของ Service Provider อย่างละเอียดว่า Service Provider รายไหนสามารถตอบสนองความต้องการขององค์กรเราได้อย่างครบถ้วน แต่ก่อนจะไปถึงจุดนั้นตัวองค์กรเองต้องตัดสินใจก่อนว่าเราจะเปลี่ยนไปใช้ Cloud หรือจะใช้งานแบบเดิม ผมอยากจะขอนำเสนอวิธีตัดสินใจง่ายๆ ว่าองค์กรของท่านควรหรือไม่ควรย้ายไปบน Cloud กันแน่ เพื่อให้เข้าใจง่ายๆ ขอนำเสนอเป็น Flow การคิดดังนี้




ขั้นแรกเราต้องมองให้ออกว่าสินทรัพย์ขององค์กรเราที่จะย้ายไปอยู่บน Cloud มีอะไรบ้าง จากนั้นก็ต้องทำการประเมินความสำคัญของ Asset เรา จากนั้นก็ต้องไปศึกษาว่า Cloud Service ที่ให้บริการอยู่นั้นตัวไหนมีความสามารถตรงตามที่เราต้องการ และประเมินความเหมาะสมในการให้บริการของผู้ให้บริการรายนั้น และต้องอย่าลืมเรื่องการไหลของข้อมูลว่าข้อมูลขององค์กรเราจะมี flow การทำงานอย่างไร
Identify Asset
เรื่องแรกก็คือการที่แต่ละองค์กรต้องแยกให้ออกว่า Asset ของเราที่เราจะย้ายไปอยู่บน Cloud นั้นมีอะไรบ้าง ซึ่งในความเป็นจริงแล้ว Asset ก็สามารถแบ่งออกได้เป็น 2 ประเภทคือ
1.     Data
2.     Applications/Functions/Processes
เพราะสิ่งที่เราทำในการย้ายไปทำงานบน Cloud ก็คือการย้ายข้อมูลเดิมที่มีในองค์กรไปรันอยู่บน Application สำเร็จรูปที่มีอยู่แล้วบน Cloud หรือการย้ายกระบวนการบางอย่างที่ทำงานอยู่เดิมขึ้นไปไว้บน Cloud หรือแม้กระทั้งย้ายทั้งหมดก็คือย้ายทั้ง Application ขึ้นไปไว้บน Cloud เลย
ซึ่งตาม Concept ของ Cloud แล้ว ทั้งตัว Application และข้อมูลไม่จำเป็นต้องอยู่ในที่ๆเดียวกัน เราสามารถเลือกที่จะย้ายบางส่วนของการทำงานไปอยู่บน Cloud ได้ เช่น เรายังเก็บทั้ง Application และ Data ไว้ภายใน Data Center ขององค์กรแต่เลือกที่จะ Outsource บางส่วนของฟังก์ชั่นการทำงานใน Application ไปอยู่ที่บน Cloud ผ่านทาง Platform as a Service
ซึ่งงานแรกที่จะต้องทำก็คือการหาให้ได้ว่า Data ส่วนไหน หรือ Function ส่วนใด หรือแม้แต่ Application ตัวไหนที่สามารถย้ายไปอยู่บน Cloud ได้

Evaluate Asset
ขั้นตอนต่อไปก็คือการประเมินความสำคัญของ Data หรือ Function ที่เราจะย้ายไป Cloud ต่อองค์กร ถ้าองค์กรของท่านมีวิธีการประเมินความเสี่ยงของ Asset อยู่แล้วก็สามารถใช้วิธีการขององค์กรท่านได้ แต่ถ้าหากยังไม่มีก็สามารถใช้คำถามเหล่านี้ในการประเมินความเสี่ยงของ Asset แต่ละตัวที่เราจะย้ายไปทำงานอยู่บน Cloud ได้
คำถามที่กล่าวมีทั้งหมด 6 ข้อ ซึ่งแต่ละคำถามก็จะเริ่มด้วย “จะเกิดความเสียหายกับองค์กรอย่างไรถ้า...”

1  จะเกิดความเสียหายกับองค์กรอย่างไรถ้าAsset เกิดถูกเปิดเพยออกสู่สาธารณะและถูกแจกจ่ายไปทั่ว”
2.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า  “พนักงานของผู้ให้บริการ Cloud เข้าถึง Asset นั้น”
3.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า Process หรือ Function ดังกล่าวถูกควบคุมโดยคนนอกองค์กร”
4.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า Process หรือ Function มีการทำงานที่ไม่ตรงตามที่ต้องการ”
5.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า “ข้อมูลถูกทำการแก้ไขเปลี่ยนแปลงโดยไม่ได้คาดหวัง”
6.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า Asset ไม่สามารถให้บริการได้ช่วงเวลาหนึ่ง”
สิ่งที่เราทำการประเมินความต้องการของแต่ละ Asset ก็คือ Confidentiality, Integrity และ Availability นั่นเอง รวมไปถึงความเสี่ยงของการที่เราปล่อยให้บางส่วนหรือทั้งหมดของ Asset เราออกไปอยู่ใน Cloud


Select Cloud Model
เมื่อผ่านมาถึงจุดนี้องค์กรเองควรจะตระหนักถึงความสำคัญของ Asset ขององค์กรเอง ขั้นต่อไปก็คือการเลือกว่า Cloud Service Model ไหนถึงจะเหมาะกับความต้องการของเรา ซึ่งองค์กรเองก็ควรจะศึกษาลงลึกลงไปในแต่ละ Model ว่ามีลักษณะอย่างไร และแต่ละแบบมีความเสี่ยงหรือจะมีผลกระทบอย่างไรกับองค์กร
Model ที่ว่าก็คือ Software as a Service (SaaS), Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS) นั่นเอง ผมคิดว่าท่านผู้อ่านคงคุ้นกับทั้งสาม Model นี้อยู่แล้ว



นอกจากจะเลือก Model ว่าจะ Deploy ตัว Model นั้นไว้ที่ไหน ภายในหรือภายนอกองค์กร
1.     Public คือระบบ Infrastructure ของ Cloud นั้นเป็นของสาธารณะที่ใครๆ ที่ต้องการใช้งาสามารถเข้าถึงได้และดูแลโดยผู้ให้บริการ Cloud Provider
2.     Private คือระบบ Infrastructure ของ Cloud ที่ถูกจัดสรรไว้ให้สำหรับองค์กรใดองค์กรหนึ่งเท่านั้นไม่แบ่งให้องค์กรอื่นๆ มาใช้งานร่วมกัน โดยการบริหารงานอาจจะบริหารงานโดยตัวองค์กรเอง หรือโดยผู้ให้บริการ และจะวางระบบทั้งระบบไว้ภายในองค์กร(On-Premise) หรือภายนอกองค์กรก็ได้ (Off-Premise)
3.     Community คือระบบ Infrastructure ของ Cloud ที่ใช้ร่วมกันหลายองค์กรที่รวมกลุ่มกันเป็นชุมชนเพื่อทำงานเรื่องใดเรื่องหนึ่ง หรือเพื่อจุดประสงค์ใดจุดประสงค์หนึ่ง โดยการบริหารงานระบบ Infrastructure อาจจะบริหารงานโดยตัวองค์กรใดองค์กรหนึ่ง หรือโดยผู้ให้บริการ และจะวางระบบทั้งระบบไว้ภายในองค์กร(On-Premise) หรือภายนอกองค์กรก็ได้ (Off-Premise)
4.     Hybrid คือระบบ Infrastructure ของ Cloud ที่เป็นการนำหลายๆ Model มาผสมกันไม่ว่าจะเป็น Public, Community หรือ Private



แต่ละ Model ก็มีความเสี่ยงแตกต่างกันไป ขึ้นอยู่กับว่าองค์กรรับได้มากน้อยแค่ไหน เพราะแต่ละ Model เราก็ต้องมาเลือกอีกว่าเราจะวาง Model ที่เราเลือกนั้นไว้ที่ไหนและให้ใครบริหารจัดการ วางไว้ที่ภายในองค์กรหรือว่าไว้ข้างนอกดี ซึ่งจากตารางก็น่าจะพอช่วยให้เห็นภาพได้บ้าง

Evaluate Cloud Model & Provider
วิธีการหนึ่งที่ทำให้เราจะมั่นใจได้ว่าข้อมูลของเราหรือระบบของเราที่ไปใช้บริการอยู่บน Cloud Service นั้นมีความปลอดภัยเพียงพอกับความต้องการของเราหรือไม่ก็คือการสอบถามจากทางผู้ให้บริการ Cloud Service ว่ากระบวนการทำงานต่าง ๆ หรือพวกระบบที่ให้บริการ Cloud Service นั้นมีการวางแผนไว้อย่างไรบ้าง มีกระบวนการทำงานอย่างไร มีการป้องกันอย่างไรบ้าง ซึ่งเกณฑ์ในการตัดสินที่ดีที่สุดในตอนนี้ก็คงหนีไม่พ้นเกณฑ์ของ ISO 27001 ซึ่งว่าด้วยเรื่องของ Information Security การดึงเอา ISO 27001 มาเป็นหลักในการตั้งคำถามจะทำให้เราสามารถตรวจสอบได้ว่าผู้ให้บริการ Cloud ที่เรากำลังสนใจเขาอยู่นี้เขาใส่ใจในเรื่องของ Information Security มากน้อยเพียงใด กลุ่มของคำถามสามารถแบ่งออกได้เป็นหลายเรื่องด้วยกันคือ
              Personal Security
              Supply-Chain Assurance
              Operational Security
              Identity and Access Management
              Asset Management
              Data and Service Portability
              Business Continuity Management
              Physical Security
              Environment Controls
              Legal Requirements
ตัวอย่างคำถามจากทาง ENISA ในเรื่องของ Physical Security
              Do you carry out regular risk assessments which include things such as neighboring buildings?
              Do you control or monitor personnel (including third parties) who access secure areas?
              What policies or procedures do you have for loading, unloading and installing equipment?
              Are deliveries inspected for risks before installation?
              Is there an up-to-date physical inventory of items in the data centre?
              Do network cables run through public access areas?
              Do you use armored cabling or conduits? 
              Do you regularly survey premises to look for unauthorized equipment?
              Is there any off-site equipment?
              How is this protected?

นี่เป็นเพียงแค่ส่วนหนึ่งของคำถามที่เราสามารถใช้เป็นเครื่องมือในการวัดความน่าเชื่อถือของผู้ให้บริการ Cloud Service ปัจจุบันหลายองค์กรได้นำมาตรฐาน ISO 27001 มาใช้ในองค์กร แต่ถึงแม้ว่าผู้ให้บริการ Cloud Service นั้นจะได้รับการรับรองว่าผ่าน ISO 27001 แล้วแต่เพื่อความมั่นใจแล้วเราก็ไม่ควรละเลยคำถามเหล่านี้ เพราะถ้าผู้ให้บริการได้ทำตามมาตรฐานเหล่านี้มาแล้วเขาก็น่าจะยินดีที่จะตอบคำถามของเราเพราะนั่นคือการแสดงให้เห็นถึงความพร้อมในการให้บริการของเขาด้วย ถ้าจะให้ดียิ่งไปกว่านั้นผมคิดว่าทางผู้ให้บริการ Cloud  Service เองน่าจะเตรียมคำตอบเหล่านี้เอาไว้เลย ไม่ต้องรอให้ผู้ใช้บริการต้องถามด้วยซ้ำ

ส่งท้าย
เทคโนโลยีของ Cloud ถือได้ว่าผ่านร้อนผ่านหนาวผมพอสมควรแล้ว ระดับของเทคโนโลยีค่อนข้างจะเสถียรแล้ว ก็คงเหลือแต่ในส่วนของผู้ใช้ว่าพร้อมหรือยัง ลองใช้วิธีการที่นำเสนอมาในตอนต้นเป็นตัวช่วยในการตัดสินใจขององค์กรดูก็ได้ครับว่า ตอนนี้องค์กรของเราพร้อมหรือยังสำหรับ Cloud Computing

อ้างอิง
Cloud Security Alliance (CSA), http://www.cloudsecurityalliance.org

European Network and Information Security Agency (ENISA), http://www.enisa.europa.eu