เดือนที่แล้วมีประเด็นอื้อฉาวในวงการโทรคมนาคมและความปลอดภัยไซเบอร์ในบ้านเรา กรณีที่โอเปอเรเตอร์ทำข้อมูลบัตรประชาชนลูกค้าหลุด จากการเปิด bucket บน S3 เป็นพับลิกแล้วอ้างว่าถูกแฮก
วันนี้ Blognone ได้มีโอกาสพูดคุยกับ Santanu Dutt ตำแหน่ง Senior Manager ฝั่ง Solution Architecture ของ AWS ในอาเซียน ซึ่งคุณ Santanu ยืนยันว่ากรณีดังกล่าว AWS ไม่ได้ถูกแฮกและระบบก็มีโซลูชันความปลอดภัยที่แน่นหนา หลายชั้น รวมถึงมีการแจ้งเตือนความผิดพลาดหรือความเสี่ยงต่างๆ อยู่ตลอดเวลา
คุณ Santanu บอกว่า AWS ถูกพัฒนาขึ้นโดยมีประเด็นด้านความปลอดภัยเป็นหนึ่งในปัจจัยตั้งต้นอันดับแรกๆ ขณะเดียวกันบริษัทก้ได้รับมาตรฐานด้านความปลอดภัยระดับโลกมากมาย โซลูชันด้านความปลอดภัยหลังบ้านก็ค่อนข้างครอบคลุมและหลากหลาย อย่างการยืนยันตนด้วย 2FA, ระบบบันทึก log ทุกอย่างที่เกิดขึ้นในระบบ, ระบบ Machine Learning ที่ตรวจสอบความปลอดภัยต่างๆ เป็นต้น
ที่สำคัญที่สุดคือ AWS มีการแจ้งเตือนประเด็นหรือความเสี่ยงต่างๆ บนหน้า Dashboard ที่เห็นได้ชัดและจะไม่หายไปจนกว่าจะแก้ไข โดยใช้สีเป็นตัวบอกระดับความร้ายแรง ตั้งแต่สีเขียวคือปลอดภัย, สีส้มคือเสี่ยงและสีแดงคือร้ายแรง และการแก้ไขก็ง่ายแค่ไม่กี่คลิ๊ก
ส่วนกรณีที่เกิดขึ้นกับ bucket บน S3 ที่ถูกเปิดเป็นสาธารณะนั้น คุณ Santanu เล่าว่าการสร้าง bucket บน S3 จะถูกตั้งให้เป็น private โดยดีฟอลต์ รวมถึงมีตัวเลือกให้เข้ารหัส (encrypt) bucket ด้วย ดังนั้นจึงไม่มีทางจะเปิดเป็นสาธารณะได้โดยไม่มีคนกดตั้งค่า โดยการตั้งค่าเป็นสาธารณะก็มีหลายขั้นตอน กว่าที่การตั้งค่า bucket ให้เป็นสาธารณะจะเสร็จสิ้น รวมถึงในแต่ละขั้นตอน จะมีการแจ้งเตือนที่เห็นได้ชัด ว่าคุณกำลังเปิดการตั้งค่าเป็นสาธารณะ
แน่นอนว่าหาก bucket ถูกเปิดเป็นสาธารณะหรือไม่มีการเข้ารหัส บนหน้า Dashboard จะมีการแจ้งเตือนดังที่กล่าวไปข้างต้น
ด้วยเหตุดังกล่าวคุณ Santanu จึงยืนยันว่าลูกค้าของ AWS รายนั้นไม่มีทางถูกแฮกแน่นอน ขณะเดียวกัน AWS ก็พยายามประสานงานอย่างแข็งขันกับลูกค้าหลังเกิดเรื่อง ส่วนประเด็นเรื่อง กสทช. ได้เชิญ AWS ไปสอบถามหรือไม่นั้น ตัวแทน AWS ประเทศไทยบอกว่ายังไม่มีการเชิญ แต่บริษัทก็ยินดีที่จะไป
from Blognone https://www.blognone.com/node/102070
via IFTTT
