รุ่นการรักษาความปลอดภัยแบบครบวงจรของเรา

แพลตฟอร์มและกระบวนการรักษาความปลอดภัยของเราใช้ประโยชนมาจากหลายระดับของความปลอดภัย ซึ่งประกอบด้วยระบบและอุปกรณ์รักษาความปลอดภัย1 ร่วมกับขั้นตอนและแนวปฏิบัติด้านความปลอดภัย2 และกระบวนการตรวจสอบ3 เพื่อรับรองความปลอดภัยที่เหนือกว่าและไม่มีใครเทียบได้สำหรับบริการทั้งหมดที่เราให้บริการ แพลตฟอร์มนี้จัดการด้านความปลอดภัยใน 7 ระดับที่แตกต่างกัน

ระดับที่ 1 ความปลอดภัยของศูนย์ข้อมูล

ความเป็นพาร์ทเนอร์ด้านศูนย์ข้อมูลทั่วโลกของเราเป็นผลมาจากกระบวนการตรวจสอบอย่างละเอียด (Due Diligence) อย่างครบวงจร ความปลอดภัยและเสถียรภาพคือตัวแปรที่สำคัญที่สุดสองประการในกระบวนการตรวจสอบของเรา ศูนย์ข้อมูลทั้งหมดมีอุปกรณ์มาตรฐาน เช่น กล้องติดวัดร่วมสายนิ้วมือ, ล็อกที่ใช้การยืนยันตัวตน, นโยบายตามระดับการเข้าถึง, การจำกัดการเข้าถึงศูนย์ข้อมูลให้น้อยที่สุด, เจ้าหน้าที่คอยดูแล, และอุปกรณ์ กระบวนการและการดำเนินงานมาตรฐานด้านความปลอดภัยที่คล้ายกัน

สิ่งที่ทำให้เราแตกต่างจากคนอื่นคือข้อเท็จจริงที่ว่ากระบวนการตรวจสอบอย่างละเอียดของเรายังรวมถึงมาตรการวัดระดับความกระตือร (proactiveness) ที่ศูนย์ข้อมูลแสดงออกมาเกี่ยวกับความปลอดภัย สิ่งนี้ถูกวัดจากการประเมินวิธีปฏิบัติในอดีต, กรณีศึกษณลูกค้า, และปริมาณเวลาที่ศูนย์ข้อมูลทุ่มเทไปกับการวิจัยและศึกษาด้านความปลอดภัย

ระดับที่ 2 ความปลอดภัยเครือข่าย

การนำเสนอโครงสร้างพื้นฐานทั่วโลกของเราได้ผสานรวมเครื่องบรรเทาง DDOS, ระบบตรวจจับการบุกรุก และไฟร์วอลล์ทั้งที่ระดับขอบ (Edge) และระดับแร็ค (Rack) การนำเสนอของเราทนทาการแฮกและความพยายามในการโจมตี DDOS บ่อย (บางครั้งมากถึง 3 ครั้งในหนึ่งวัน) โดยไม่มีการลดลดประสิทธิภาพ

การป้องกันไฟร์วอลล์ - ระบบป้องกันไฟร์วอลล์ตลอด 24 ชั่วโมงของเราช่วยป้องกันพื้นที่ (Perimeter) และส่งมอบแนวรบันแรกที่ดีที่สุดในการป้องกัน มันใช้เทคโนโลยีการตรวจสอบที่มีความยืดหยุ่นและทันสมัยเพื่อคุ้มครองข้อมูล เว็บไซต์ และแอปพลิเคชันบนเว็บของคุณ โดยปิดกั้นการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต มันช่วยควบคุมการเชื่อมต่อระหว่างเซิร์ฟเวอร์ที่เก็บข้อมูลของคุณและอินเทอร์เน็ตผ่านการบังคับใช้นโยบายด้านความปลอดภัยที่ผู้เชี่ยวชาญกำหนด

ระบบตรวจจับการบุกรุกเครือข่าย - ระบบตรวจจับ ป้องกัน และจัดการช่องโซ่อ (Vulnerability) ของเครือข่ายของเราให้การป้องกันที่รวดเร็ว ถูกต้อง และครอบคลุมจากการโจมตีที่มุ่งเป้า, ความผิดปกติของการจราจร, "หนอนไม่รู้จัก" หรือไวรัสประเภทิอดัง, ไวรัสเครือข่าย, แอปพลิเคชันที่ไม่ได้รับอนุญาต และการใช้ช่องโซ่อรุ่นวัน (Zero-day exploits) มันใช้เครือข่ายเครือข่ายเครือข่าย (Network Processors) ที่ทันสมัยมากซึ่งดำเนินการตรวจสอบพันๆ ครั้งบนแพ็กเก็ตไหลเดียวกันโดยที่ไม่ทำให้เกิดความล่าช้าที่สังเกตได้ เมื่อแพ็กเก็ตผ่านเข้าสู่ระบบของเรา พวกมันจะถูกตรวจสอบอย่างละเอียดเพื่อพิจารณาว่าเป็นแพ็กเก็ตที่ถูกต้องหรือเป็นอันตราย วิธีการป้องกันแบบทันทีนี้คือกลไกที่มีประสิทธิภาพมากที่สุดในการรับประกันว่าการโจมตีที่เป็นอันตรายจะไม่ถึงเป้าหมาย

การป้องกันการโจมตีแบบปฏิเสธารณ์การปฏิเสธ (DDoS) - การปฏิเสธ (Denial of Service) ปัจจุบันเป็นแหล่งที่มากที่สุดของการสูญเสียทางการเงินเนื่องจากอาชญากรรมทางไซเบอร์ เป้าหมายของการโจมตีปฏิเสธคือการขัดขวางกิจกรรมของคุณโดยหยุดการทำงานของเว็บไซต์ อีเมล หรือแอปพลิเคชันบนเว็บของคุณ ซึ่งทำได้โดยการโจมตีเซิร์ฟเวอร์หรือเครือข่ายที่โฮสต์บริการเหล่านี้และทำให้ทรัพยากรณ์สำคัญเช่น แบนดวิดท์, CPU และแรมเกินพิกัด (Overload) แรงจูงที่อยู่เบื้องหลักการดังกล่าวเหล่านี้คือ การฉวดผลาย, อวดสิทธิ, การแถลงแถลงทางการเมือง, การทำร้ายแข่งขัน ฯลฯ แทบทุกองค์กรที่เชื่อมต่อกับอินเทอร์เน็ตล้วกระที่เสี่ยงต่อการโจมตีเหล่านี้ ผลกระทบทางธุรกิจของการโจมตี DoS ขนาดที่ยั่วนใหญ่น่าตกใจ เพราะจะนำไปสู่กำไรง ความไม่พอใจของลูกค้า การสูญเสียประสิทธิภาพ ฯลฯ ทั้งนี้เนื่องมาจากบริการขัดข้องหรือมีคุณภาพลดลง ในกรณีส่วนใหญ่ การโจมตี DoS อาจทำให้คุณได้รับใบแจ้งค่าบริการแบนด์วิดท์ที่มีการใช้เกินมากที่สุดที่คุณเคยเห็น

ระบบป้องกันการโจมตีแบบกระจายของเราให้การป้องกันปฏิเสธที่เหนือกว่าและไม่มีใครเทียบได้สำหรับการโจมตี DoS และ DDoS บนโครงสร้างพื้นฐานที่เผชิญต่ออินเทอร์เน็ตของคุณ คือ เว็บไซต์ อีเมล และแอปพลิเคชันบนเว็บที่สำคัญทางธุรกิจ โดยใช้เทคโนโลยีที่ซับซ้อนซับซ้อนที่ทันสมัยซึ่งจะเริ่มทำงานอัตโนมัติทันทีเมื่อเกิดการโจมตี ระบบกรองและการกรองของอุปกรณ์บรรเทาง DDoS จะบล็อกการจราจจรเกือบทั้งหมดและรับรองให้การจราจจรที่ถูกต้องได้ผ่านได้มากที่สุด ระบบเหล่านี้ได้ป้องกันเว็บไซต์หลายแห่งจากการหยุดบริการครั้งใหญ่ที่เกิดจากการโจมตีพร้อมกันมากถึง 300+ Mbps ในอดีต จึงทำให้องค์กรสามารถมุ่งเน้นไปที่ธุรกิจของตนเองได้

ระดับที่ 3 ความปลอดภัยของโฮสต์

ระบบตรวจจับการบุกรุกฐานโฮสต์ (Host Based Intrusion Detection System) - ด้วยการถือกำเนิดของเครื่องมือที่สามารถเลี่ยงผ่านระบบป้องกันรอบนิค (Perimeter) เช่น ไฟร์วอลล์ จึงกลายเป็นสิ่งจำเป็นสำหรับองค์กรที่จำต้องติดตั้งระบบตรวจจับการบุกรุกฐานโฮสต์ (HIDS) ซึ่งเน้นไปที่การตรวจสอบและวิเคราะภายในของระบบคอมพิวเตอร์ ระบบตรวจจับการบุกรุกฐานโฮสต์ของเราช่วยในการตรวจจับและระบุตำแหน่งการเปลี่ยนแปลงไฟล์และการกำหนดค่าระบบ - ไม่ว่าจะเกิดจากอุบัติ, การดัดแก้ที่เป็นอันตราย หรือการบุกรุกจากภายนอก - โดยใช้เครื่องสแกนเชิง (Heuristic scanners), ข้อมูลบันทึกของโฮสต์ และโดยการติดตามกิจกรรมของระบบ การค้นพบการเปลี่ยนแปลงอย่างรวดเร็วช่วยลดความเสี่ยงของความเสียหายที่อาจเกิด และยังช่วยลดเวลาในการแก้ปัญหาและกู้คืนสภาพการ จึงช่วยลดผลกระทบโดยรวมและปรับปรุงความปลอดภัยและความพร้อมใช้งานของระบบ

มาตรฐานฮาร์ดแวร์ - เราได้กำหนดมาตรฐานผู้ขายฮาร์ดแวร์ที่มีประวัติการรักษาความในระดับสูงและการสนับสนุงที่ดี ส่วนใหญ่ของโครงสร้างพื้นฐานและคู่หมือองค์กรของศูนย์ข้อมูลของเราใช้อุปกรณ์จาก Cisco, Juniper, HP, Dell ฯลฯ

ระดับที่ 4 ความปลอดภัยของซอฟต์แวร์

แอปพลิเคชันของเราทำงานบนระบบปฏิบัติการ (Systems) มากมายและด้วยซอฟต์แวร์เซิร์ฟเวอร์มากมายหลายแบบ ระบบปฏิบัติการรวมถึงรุ่น (Flavors) ต่างๆ ของ Linux, BSD, Windows ซอฟต์แวร์เซิร์ฟเวอร์รวมถึงรุ่นและแบบ (Versions and flavors) ของ Apache, IIS, Resin, Tomcat, Postgres, MySQL, MSSQL, Qmail, Sendmail, Proftpd ฯลฯ เราจึงรับรองความปลอดภัยแม้ว่าเราจะใช้ผลิตภัณฑ์ซอฟต์แวร์ที่หลากหลายโดยปฏิบัติตามกระบวนการที่เน้นไปที่กระบวนการ

การติดตั้งอัปเดต, การแก้ไขบั๊ก และแพตช์ความปลอดภัยอย่างทันท่วง - เซิร์ฟเวอร์ทั้งหมดถูกลงทะเบียนไว้สำหรับอัปเดตอัตโนมัติเพื่อรับรองว่าพวกเขาจะมีการติดตั้งแพตช์ความปลอดภัยล่าสุดเสมอและว่าช่องโซ่อด้านความปลอดภัยใหม่ใดๆ จะได้รับการแก้ไขโดยเร็วที่สุดเท่าที่ทำได้ จำนวนการบุกรุกส่วนใหญ่มักเกิดจากการใช้ช่องโซ่อด้านความปลอดภัยที่รู้จัก, ข้อผิดพลาดในการกำหนดค่าระบบ หรือการโจมตีไวรัส ซึ่งมีมาตรการตอบโต้ (Countermeasures) อยู่แล้ว ตาม CERT ระบบและเครือข่ายได้รับผลกระทบจากเหตุการณ์เหล่านี้เพราะพวกมี "ไม่สม่วน" ติดตั้งแพตช์ที่ถูกปล่อยออกมา

เราเข้าใจความต้องการของกระบวนการจัดการแพตช์และอัปเดตที่แข็งแรงอย่างสมบูรณ์ เมื่อระบบปฏิบัติการและซอฟต์แวร์เซิร์ฟเวอร์มีความซับซ้อนและซับซ้อนมากขึ้น แต่ละรุ่นที่ออกใหม่มักจะเต็มไปด้วยช่องโซ่อด้านความปลอดภัย ข้อมูลและอัปเดตสำหรับภัยความปลอดภัยใหม่ถูกปล่อยออกเกือบรายวัน เราได้สร้างกระบวนการที่สม่วน ทำซ้ำได้ และเชื่อถือได้ซึ่งพร้อมเชื่อถือซึ่งพร้อมเชื่อถือในการตรวจสอบและรายงาน ซึ่งรับรองว่าระบบทั้งหมดของเราจะทันสมัยเสมอ

การสแกนหาความปลอดภัยเป็นระยะ - การตรวจสอบบ่อยๆ ดำเนินการโดยใช้ซอฟต์แวร์รักษาความระดับองค์กร (Enterprise grade) เพื่อตรวจสอบดูว่ามีเซิร์ฟเวอร์ใดๆ ที่มีช่องโซ่อด้านความปลอดภัยที่รู้จักหรือไม่ เซิร์ฟเวอร์จะถูกสแกนเทียบกับฐานข้อมูลที่ครอบคลุมและทันสมัยที่สุดของช่องโซ่อด้านความปลอดภัยที่รู้จัก สิ่งนี้ทำให้เราสามารถป้องกันเซิร์ฟเวอร์จากการโจมตีได้อย่างเชิง (Proactive) และรับรองความต่อเนื่องของธุรกิจโดยระบุช่องโซ่อด้านความปลอดภัยหรือจุดอ่อนก่อนที่จะเกิดการโจมตี

กระบวนการทดสอบก่อนอัปเกรด - การอัปเกรดซอฟต์แวร์จะถูกปล่อยออกบ่อยๆ โดยผู้ขายซอฟต์แวร์รายต่างๆ ในขณะที่ผู้ขายแต่ละรายจะปฏิบัติกระบวนการทดสอบของตนเองก่อนการปล่อยอัปเกรด แต่พวกเขาไม่สามารถทดสอบปัญหาความเข้ากันได้ระหว่างซอฟต์แวร์ต่างๆ ได้โดยตรง เช่น รุ่นใหม่ของฐานข้อมูลอาจะถูกทดสอบโดยผู้ขายฐานข้อมูล อย่างไรก็ตามแต่ผลกระทบของการนำรุ่นนี้ไปใช้กับระบบเพรอดักชัน (Production) ที่ทำงานด้วยซอฟต์แวร์อื่นๆ อย่างเช่น FTP, Mail, Web Server Software ไม่สามารถกำหนดได้โดยตรง ทีมงานผู้ดูแลระบบของเราจัดทำการวิเคราะผลกระทบของการอัปเกรดซอฟต์แวร์ต่างๆ และหากมีอันใดถูกมองว่ามีความเสี่ยงสูง พวกมันจะถูกทดสอบแบบเบต้า (Beta-test) ในแล็บของเราก่อนการนำไปใช้งานจริง (Live deployment)

ระดับที่ 5 ความปลอดภัยของแอปพลิเคชัน

ซอฟต์แวร์แอปพลิเคชันทั้งหมดที่ใช้บนแพลตฟอร์มของเราสร้างขึ้นโดยเรา เราไม่ได้มอบหมานอกการพัฒนาซอฟต์แวร์ ผลิตภัณฑ์หรือส่วนประกอบฝั่งที่ 3 ทุกชิ้นจะต้องผ่านการฝึกอบรมและกระบวนการทดสอบที่ครอบคลุม ซึ่งซึ่งทุกองค์ประกอบของผลิตภัณฑ์ดังกล่าวถูกแยกย่อยและมีการถ่ายทอดความรู้เกี่ยวกับสถาปัตยกรและการนำไปใช้งานให้ทีมของเรา สิ่งนี้ทำให้เราสามารถควบคุมตัวแปรทั้งหมดที่เกี่ยวข้องกับผลิตภัณฑ์ใดๆ ทุกแอปพลิเคชันได้รับการวิศวกรร์โดยใช้กระบวนการวิศวกรรมผลิตภัณฑ์ของเราซึ่งเป็นไปในทางเชิง (Proactive) เกี่ยวกับความปลอดภัย

แอปพลิเคชันแต่ละตัวจะถูกแยกออกเป็นส่วนประกอบต่างๆ เช่น ส่วนติดต่อผู้ใช้ (User Interface), Core API, ฐานข้อมูลแบ็กเอนด์ (Backend Database) ฯลฯ ทุกชั้นของการนำความเป็นนามธรรม (Abstraction layer) มีการตรวจสอบความปลอดภัยของตัวเอง แม้จะมีการตรวจสอบความปลอดภัยจากชั้นการนำความเป็นนามธรรมที่สูงกว่า ข้อมูลที่ละเอียดทั้งหมดจะถูกเก็บไว้ในรูปแบบเข้ารหัส (Encrypted format) แนวทางวิศวกรรมและการพัฒนาซอฟต์แวร์ของเรารับรองระดับความปลอดภัยที่สูงที่สุดเกี่ยวกับซอฟต์แวร์แอปพลิเคชันทั้งหมด

ระดับที่ 6 ความปลอดภัยบุคคลากร

วงจรปลอดภัยที่อ่อนแอ่ที่สุดเสมอคือคนที่คุณไว้ใจ บุคคลากร ทีมงานพัฒนาซอฟต์แวร์ ผู้ขาย (Vendors) หรือแทบๆ ที่มีสิทธิพิเศษในการเข้าถึงระบบของคุณ แนวทางการรักษาความปลอดภัยแบบครบวงจรของเราพยายามลดความเสี่ยงด้านความปลอดภัยที่เกิดจาก "ปัจจัยของมนุษย์" (Human Factor) ข้อมูลจะถูกเปิดเผยเฉพาะในกรณีที่ "จำเป็นต้องรู้" (Need-to-know) การให้สิทธิพิเศษจะสิ้นสุดเมื่อความต้องการสิ้นสุด บุคคลากรได้รับการสอนเชื่อเป็นพิเศษเกี่ยวกับมาตรการรักษาความและความเข้มงามสำคัญของการสังเกต

พนักงานทุกคนที่มีสิทธิพิเศษผู้ดูและกับเซิร์ฟเวอร์ใดๆ ของเราจะต้องผ่านการตรวจสอบประวัติบุคคลาอย่างครอบคลุม บริษัทที่ข้ามส่วนนี้ได้นำความเสี่ยงทั้งหมดและข้อมูลสำคัญและสำคัญของลูกค้าไว้ภายใจที่จะเสี่ยง เพราะไม่ว่าจะลงทุนด้วยเท่าไหรในโซลูชันรักษาความระดับสูง การจ้างคนคนเดียวที่ผิดพลาด - ที่มีสิทธิพิเศษในปริมาณที่เหมาะสม - อาจะก่อให้เกิดความเสียหายมากกว่าการโจมตีจากภายนอก

ระดับที่ 7 กระบวนการตรวจสอบความปลอดภัย

ในการนำเสนอโครงสร้างเซิร์ฟเวอร์กระจายอยู่ทั่วโลก จำเป็นต้องมีกระบวนการตรวจสอบ (Audit processes) เพื่อรับรองการทำงานซ้ำและวินัยธรรม ทุกเซิร์ฟเวอร์ได้รับการติดตั้งแพตช์อย่างสม่วนไหมหรือไม่? สคริปต์สำรองข้อมูลทำงานอย่างสม่วนไหมหรือไม่? ข้อมูลสำรองข้อมูลนอกเครื่องมีการสับเปลี่ยนตามที่ต้องการหรือไม่? มีการทำการตรวจสอบอ้างอิง (Reference checks) ที่เหมาะสมกับบุคลลากรทุกคนหรือไม่? อุปกรณ์รักษาความมีการส่งการแจ้งเตือนออกได้ทันเวลาหรือไม่?

คำถามและปัญหาอื่นๆ อีกมากมากเหล่านี้จะได้รับการตรวจสอบเป็นประจำเป็นระยะอย่างสม่วน (Out-of-band process) ซึ่งเกี่ยวข้องกับการสอบสวน, การสำรวจ, การพยายามแฮกโดยวิธีทางจริยธรรม การสัมภาะผู้คน ฯลฯ กลไกการตรวจสอบของเราจะแจ้งเตือนเราเกี่ยวกับจุดที่พังของกระบวนการรักษาความของเราก่อนที่ผู้ใช้ภายนอกจะค้นพบ