xs
xsm
sm
md
lg

ไฟร์วอลล์หมดยุคแล้ว? อย่างน้อยก็ยังไม่ใช่ในศตวรรษนี้! / ซิดดาร์ท เดชปันเด

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์


บทความโดย ซิดดาร์ท เดชปันเด  ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีภาคสนามประจำเอเชียแปซิฟิกและญี่ปุ่น พาโล อัลโต้ เน็ตเวิร์กส์
ผมมีโอกาสได้บรรยายเรื่อง SASE (Secured Access Service Edge หรือสถาปัตยกรรมการใช้งานระบบคลาวด์อย่างมั่นคงปลอดภัยให้ประสบความสำเร็จได้ง่ายยิ่งขึ้น) ให้บริษัทขนาดใหญ่ต่างๆ กว่า 100 แห่ง ในช่วง 1 ปีที่ผ่านมา และเชื่ออย่างยิ่งว่าระบบเครือข่ายที่ให้บริการผ่านคลาวด์ตลอดจนบริการระบบรักษาความปลอดภัยจะช่วยพลิกโฉมธุรกิจ

ผมยังเชื่อด้วยว่าไฟร์วอลล์ยังคงเป็นองค์ประกอบที่สำคัญในการทำธุรกิจบนโลกดิจิทัล นักวิเคราะห์เองก็เห็นด้วยกับเรื่องนี้ อย่างเช่นที่ การ์ทเนอร์ระบุไว้ว่า องค์กรกว่า 60% จะติดตั้งใช้งานไฟร์วอลล์มากกว่า 1 ประเภท ภายในปี 2569 ซึ่งจะทำให้เกิดการหันมาใช้ HMF (Hybrid Mesh Firewall) มากขึ้น

ประกอบกับกระแสเรื่องการประมวลผลผ่านคลาวด์ในองค์กรต่างๆ ยิ่งทำให้ไฟร์วอลล์กลายเป็นองค์ประกอบที่สำคัญมากขึ้นกว่าในอดีต ข้อมูลที่น่าสนใจที่ผมได้จากการสนทนากับ CISO และ CIO จำนวนนับไม่ถ้วนในเรื่องความสำคัญเชิงกลยุทธ์ของไฟร์วอลล์ในอนาคตมีดังนี้ 

ไฟร์วอลล์ในแบบที่ไม่เหมือนเดิม

ไฟร์วอลล์ไม่ได้ล้มหายตายจากไปไหน แต่มีการปรับปรุงใหม่ โดยในช่วงหลายปีที่ผ่านมา สถาปัตยกรรมไฟร์วอลล์ชั้นนำได้เปลี่ยนไปจากเดิมที่ตรวจสอบเพียงในระดับเครือข่ายมาเป็นระดับแอปพลิเคชัน จากที่เคยรองรับฟังก์ชันด้านความปลอดภัยพื้นฐานก็สามารถตรวจสอบและป้องกันการโจมตีซีโรเดย์ที่ค้นพบล่าสุดได้ทันที

หรือจากที่เคยปกป้องแค่ระบบ IT ก็สามารถรองรับได้ทั้ง OT และ IoT เป็นต้น ที่สำคัญไฟร์วอลล์ยังเป็นองค์ประกอบที่ขาดไม่ได้ในการปกป้องเครือข่าย 5G และมีการพัฒนาให้มีคุณสมบัติด้านพร็อกซีในตัว จึงไม่จำเป็นต้องจัดการกับสถาปัตยกรรมและการติดตั้งระบบรักษาความปลอดภัยเครือข่ายหลากหลายรูปแบบ 

วันนี้แนวคิดเรื่อง Hybrid Mesh Firewall (HMF) หรือโครงข่ายไฟร์วอลล์รูปแบบตาข่ายในลักษณะไฮบริดกำลังเป็นที่สนใจ เพราะมองว่าไฟร์วอลล์ไม่ใช่เพียงอุปกรณ์ฮาร์ดแวร์เท่านั้น ลูกค้าต้องการคุณสมบัติด้านไฟร์วอลล์ที่พร้อมใช้งานไม่ว่าจะอยู่ในรูปแบบใดก็ตาม ทั้งฮาร์ดแวร์ ซอฟต์แวร์ คอนเทนเนอร์ และไฟร์วอลล์ในแบบบริการ โดยทั้งหมดควรได้รับการจัดการผ่านคอนโซลควบคุมเดียวกันเพื่อให้กลยุทธ์ HMF เป็นไปอย่างมีประสิทธิภาพที่สุด

ไฟร์วอลล์ไม่ใช่เพียงเครื่องประดับ

การติดตั้งไฟร์วอลล์ไม่ควรเป็นเพียงสิ่งที่ต้องทำเพราะอยู่ในรายการข้อควรปฏิบัติ ไฟร์วอลล์จะมีประโยชน์เฉพาะเมื่อคุณใช้ในการป้องกันการโจมตีที่ซุกซ่อนตัวและรองรับสถาปัตยกรรมแบบซีโรทรัสต์

หากผู้จำหน่ายไฟร์วอลล์ไม่สามารถประยุกต์ใช้เทคโนโลยีการเรียนรู้เชิงลึกและโมเดลแมชีนเลิร์นนิงเพื่อวิเคราะห์ทราฟฟิกต่างๆ นั่นแสดงว่าไฟร์วอลล์ที่มีอยู่ก็อาจเป็นเพียงเครื่องประดับไร้ค่า

การปกป้องระบบจากการโจมตีในแบบเรียลไทม์ไม่เพียงแต่ต้องใช้ไฟร์วอลล์ซึ่งมีฟังก์ชันรักษาความปลอดภัยขั้นสูงเท่านั้น แต่ยังต้องทำงานได้ดีจริงเมื่อเปิดใช้ฟังก์ชันเหล่านั้นด้วย ดังนั้น จึงควรพิจารณาเอกสารรายละเอียดผลิตภัณฑ์ของผู้จำหน่ายไฟร์วอลล์ให้ถี่ถ้วนและผ่านการทดสอบกับกรณีที่เกิดขึ้นจริง

ที่ผ่านมามีรายงานว่า ประสิทธิภาพการทำงานของไฟร์วอลล์บางรุ่นลดลงเกือบ 75% เมื่อเปิดใช้คุณสมบัติการตรวจสอบความปลอดภัยหลักๆ ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องประเมินและคัดเลือกผู้จำหน่ายไฟร์วอลล์ให้รอบคอบ

ไฟร์วอลล์มีบทบาทในสถาปัตยกรรม SASE

สถาปัตยกรรมความปลอดภัยเครือข่ายหนึ่งๆ ยากที่จะตอบโจทย์ความต้องการได้ทั้งหมด เช่นเดียวกับ SASE/SSE ที่มีประโยชน์กับลูกค้าที่ต้องการตรวจสอบทราฟฟิกในคลาวด์โดยใช้สถาปัตยกรรม "ระบบรักษาความปลอดภัยในแบบบริการ" แทนที่จะหันไปพึ่งพาอุปกรณ์แบบรวมศูนย์ที่ศูนย์ข้อมูล ระบบดังกล่าวทำงานได้ดีในหลายกรณี

อย่างเช่น ทราฟฟิกระหว่างสาขา ผู้ใช้งานจากทางไกล และการเข้าถึงแอปพลิเคชันคลาวด์แบบปลอดภัย เช่นเดียวกับอุปกรณ์ไฟร์วอลล์และระบบรักษาความปลอดภัยเครือข่ายที่มีประโยชน์สำหรับองค์กรที่ต้องการรองรับลักษณะการใช้งานแบบเฉพาะทาง เช่น การทำงานในศูนย์ข้อมูลที่มีแบนด์วิดท์มหาศาล การปกป้องโครงสร้างระบบที่สำคัญ การรักษาความปลอดภัยให้ 5G การตรวจสอบทราฟฟิกระหว่างเซิร์ฟเวอร์ในศูนย์ข้อมูล ระบบรักษาความปลอดภัยบนคลาวด์ และระบบรักษาความปลอดภัยสำหรับ IoT เป็นต้น

 ไฟร์วอลล์ไม่ได้ล้มหายตายจากไปไหน แต่มีการปรับปรุงใหม่
คำถามสำคัญที่ควรหาคำตอบก็คือ SASE ในสถาปัตยกรรมระบบรักษาความปลอดภัยเครือข่ายสามารถใช้คอนโซลจัดการเดียวกับไฟร์วอลล์และพร็อกซีของคุณหรือไม่ หากเทคโนโลยีทั้งสองทำงานต่างกันทั้งในเรื่องการกำหนดนโยบายและคอนโซลควบคุม นั่นเป็นต้นเหตุแห่งความไร้ประสิทธิภาพและปัญหาด้านระบบรักษาความปลอดภัยที่ไม่ดีพอ

ดังนั้น ลูกค้าควรเลือกพาร์ตเนอร์ด้านระบบรักษาความปลอดภัยเครือข่ายที่เป็นผู้นำทั้งในเรื่อง HMF และ SASE ควบคู่กัน

เส้นทางสู่การทำไซเบอร์ทรานส์ฟอร์เมชัน

ไฟร์วอลล์เป็นองค์ประกอบสำคัญในกลยุทธ์ความปลอดภัยขององค์กรและไม่สามารถแยกออกไปได้ โดยจะต้องเชื่อมโยงกับส่วนอื่นๆ ในกระบวนการความปลอดภัยเพื่อให้สามารถปกป้องระบบทั้งหมดได้เต็มศักยภาพ

ที่ผ่านมาเราเห็นลูกค้าจำนวนมากย้ายไปสู่ XDR โดยมีการเชื่อมต่อระบบรักษาความปลอดภัยเครือข่ายไปยังอุปกรณ์ปลายทาง และใช้การรักษาความปลอดภัยบนคลาวด์เพื่อรวมศูนย์ภัยคุกคามและรองรับการตรวจสอบและจัดการกับภัยต่างๆ ได้เร็วขึ้น

ดังนั้น คำถามสำคัญต่อผู้จำหน่ายไฟร์วอลล์ก็คือ XDR ทำงานอย่างไร และจะดูข้อมูลวิเคราะห์ทั้งเครือข่าย อุปกรณ์ปลายทาง และคลาวด์ในหนึ่งเดียวได้อย่างไร

อีกหนึ่งเรื่องที่ควรให้ความสนใจก็ คือ การผสานคลาวด์ไฟร์วอลล์เข้ากับแพลตฟอร์มการรักษาความปลอดภัยบนคลาวด์ให้ครอบคลุมยิ่งขึ้น หรือที่เรียกว่า CNAPP (Cloud-Native Application Protection Platform หรือแพลตฟอร์มการปกป้องแอปพลิเคชันบนคลาวด์)

ดังนั้นให้ตั้งคำถามกับผู้จำหน่ายไฟร์วอลล์ว่า กลยุทธ์ CNAPP ที่ใช้เป็นอย่างไร และคลาวด์ไฟร์วอลล์ดังกล่าวจะผสานการทำงานกับสถาปัตยกรรมสถาปัตยกรรมความปลอดภัยบนคลาวด์โดยรวมของคุณได้อย่างไร

การติดตั้งไฟร์วอลล์ใน CSP (Cloud Service Provider หรือผู้ให้บริการระบบคลาวด์)

ความเข้าใจผิดที่พบบ่อยข้อหนึ่งก็คือ ไม่จำเป็นต้องใช้ไฟร์วอลล์บนบริการระบบคลาวด์สาธารณะ เช่น Azure, AWS และ GCP แต่ประสบการณ์ของผมบอกอีกอย่างหนึ่ง เพราะ CISO ทุกคนที่ผมเคยพูดคุยเรื่องกลยุทธ์ระบบคลาวด์อย่างจริงจังล้วนติดตั้งใช้งานไฟร์วอลล์เวอร์ชันเวอร์ชวล (หรือบางครั้งเรียกว่าแบบคอนเทนเนอร์) ใน VPC บนคลาวด์

อีกทั้งนี่ไม่ใช่แค่เรื่องระบบหรือรูปแบบ แต่ยังรวมถึงการตรวจสอบและจัดการระบบรักษาความปลอดภัยในเชิงลึก ดังนั้น จึงจำเป็นที่จะต้องใช้แนวทางเชิงกลยุทธ์ในการจับมือกับผู้นำด้าน CSP เพื่อให้เทคโนโลยีไฟร์วอลล์ของเราสามารถทำงานได้กับบริการบนคลาวด์ภายในคอนโซลจัดการของ CSP

โดยสรุปแล้วไฟร์วอลล์ยังคงใช้งานแพร่หลายและมีพัฒนาการไปสู่ HMF เพื่อให้ลูกค้ามีตัวเลือกว่าควรใช้คุณสมบัติด้านระบบรักษาความปลอดภัยไซเบอร์ที่สำคัญเหล่านี้ที่ใดและอย่างไร อีกทั้ง CIO, CISO และผู้บริหารที่ดูแลเรื่องเครือข่ายควรเลือกสถาปัตยกรรมไฟร์วอลล์อย่างรอบคอบ และมองหาผู้จำหน่ายที่มีความสามารถในการรองรับความต้องการทางธุรกิจดิจิทัล

ท้ายสุดผมหวังว่าบทความนี้จะช่วยมอบแนวทางที่เป็นประโยชน์ให้ทุกคนที่ดูแลในเรื่องเหล่านี้ครับ


กำลังโหลดความคิดเห็น