สวัสดีครับผู้อ่านทุกท่าน วันนี้ผมจะมาแชร์ความรู้ในเรื่องของ Access Control แบบภาพรวม เพื่อให้ผู้อ่านที่ยังมีความสับสนหรือยังไม่เห็นภาพของเรื่องนี้ ได้เข้าใจถึงภาพรวมของสิ่งนี้มากยิ่งขึ้น เพราะอาจจะมีบางคนที่ยังเข้าใจว่า การควบคุมการเข้าถึง คือเครื่องสแกนใบหน้าหรือสแกนนิ้วแค่นั้นเลย แม้จริง ๆ แล้วมันมีอะไรที่มากกว่านั้นครับ
Access Control คืออะไร
Access Control หรือ การควบคุมการเข้าถึง คือ มาตรการป้องกันหรือมาตรการตอบโต้ที่ออกแบบมาเพื่อรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้ามาภายในองค์กรได้ (Physical & Logical) ซึ่งเป็นสิ่งที่กำหนดว่าใครคือผู้ที่จะสามารถเข้ามากระทำการใด ๆ ภายในเครือข่ายหรือพื้นที่ขององค์กรได้ และยังสามารถระบุว่าบุคคลเหล่านั้นจะเข้าถึงทรัพยากรใดได้บ้าง เพื่อให้อยู่ในการควบคุมนั่นเอง ซึ่งแน่นอนว่าเป็นไปตาม CIA Triad (Confidential, Integrity, Availability)
Overall
โดยในบทความนี้ผมจะขอแบ่งหัวข้อออกเป็น 3 ส่วน ประกอบด้วย
- Access control มีส่วนประกอบอะไรบ้าง
- Access control มีกี่ประเภท (physical, logical)
- วิธีการป้องกัน
1. Access Control มีส่วนประกอบอะไรบ้าง
โดยก่อนที่เราจะไปสู่เนื้อหาของ Access Control ประเภทต่าง ๆ เราต้องรู้ก่อนว่า Access Control มีส่วนประกอบอะไรบ้าง เพื่อให้ง่ายต่อความเข้าใจ หรือง่ายการนิยามสิ่งต่าง ๆ โดย Access Control ประกอบไปด้วย 3 อย่าง ดังนี้
1.1 Subject (ผู้ขอเข้าถึง) หรือ สิ่งที่ขอเข้ามาใช้ทรัพยากร
ตัวอย่าง ผู้ใช้งานต้องการขอเข้ามาใช้พื้นที่ภายในองค์กร หรือผู้ใช้งานขอเข้ามาใช้ทรัพยากรภายในระบบเครือข่ายขององค์กร (ผู้ใช้งานคือ Subject)
1.2 Object (ทรัพยากรที่ถูกเข้าถึง) หรือ สิ่งที่ถูกนำไปใช้
ตัวอย่าง ผู้ใช้งานต้องการขอเข้ามาใช้พื้นที่ภายในองค์กร หรือ ผู้ใช้งานขอเข้ามาใช้ทรัพยากรภายในระบบเครือข่ายขององค์กร (พื้นที่ภายใน หรือทรัพยากรระบบเครือข่ายนั้น ๆ คือ Object)
1.3 Rule (กฎเกณฑ์การเข้าถึง) หรือ กฏเพื่อจำกัดสิทธิ์ว่าผู้ที่ขอเข้ามาใช้ทรัพยากร
มีสิทธิ์ที่จะเข้าถึงทรัพยากรนี้ได้ไหม ถ้าไม่มีสิทธิ์ก็ไม่สามารถใช้งานได้
ตัวอย่าง Firewall ที่ทำการป้องกันหรืออนุญาตให้ IP ไหนได้บ้างที่สามารถเข้าถึงทรัพยากรได้
2. Access Control มีกี่ประเภท (Physical, Logical)
อย่างที่ผมได้เกริ่นไปเบื้องต้นว่าบางคนอาจจะเข้าใจว่า Access Control คือ เครื่องสแกนใบหน้า ซึ่งจริง ๆ แล้วไม่ผิดครับ แต่ไม่ครบถ้วน เพราะการควบคุมการเข้าถึงไม่เพียงแต่ควบคุมในด้าน Physical ซึ่งก็คือ ควบคุมไม่ให้คนภายนอกมาเดินเพ่นพ่านภายในองค์กรได้ แต่รวมไปถึงการควบคุมในด้าน Logical ซึ่งก็คือ การควบคุมในด้านของระบบต่าง ๆ ไม่ให้คนภายนอกเข้ามาใช้งานระบบขององค์กรได้ อย่างเช่น แผนกบัญชี ไม่สามารถเข้าถึงทรัพยากรของ แผนก IT ที่สามารถจัดการระบบภายในได้ เป็นต้น โดย Access Control แบ่งออกได้เป็น 2 ประเภท คือ
2.1 Physical Access Control (การควบคุมการเข้าถึงทางกายภาพ)
คือ สิ่งที่คุณสามารถสัมผัสได้จริง ซึ่งรวมถึงกลไกทางกายภาพที่ใช้เพื่อป้องกัน ตรวจสอบ หรือตรวจจับการสัมผัสโดยตรงกับระบบหรือพื้นที่ภายในสถานที่
ตัวอย่างของการควบคุมการเข้าถึงทางกายภาพ ได้แก่
- เจ้าหน้าที่รักษาความปลอดภัย
- รั้ว
- เครื่องตรวจจับการเคลื่อนไหว
- ประตู/ประตูรั้วที่ล็อก
- หน้าต่างที่ปิดสนิท
- ระบบป้องกันสายเคเบิ้ล
- ล็อกแล็บท็อป
- บัตรผ่าน บัตรแตะ
- สุนัขเฝ้ายาม
- กล้อง
- กับดัก/ประตูหมุน
- สัญญาณเตือนภัย
ซึ่งการควบคุมการเข้าถึงทางกายภาพมีความจำเป็นในการปกป้องทรัพย์สินของบริษัท รวมถึงทรัพย์สินที่สำคัญที่สุดของบริษัท นั่นคือ บุคลากร เมื่อพิจารณาถึงการควบคุมการเข้าถึงทางกายภาพ ความปลอดภัยของบุคลากรต้องมาก่อนเสมอ ตามด้วยการรักษาความปลอดภัยของทรัพย์สินทางกายภาพอื่น ๆ
2.2 Logical Access Control (การควบคุมการเข้าถึงตามตรรกะ)
เป็นวิธีการทางอิเล็กทรอนิกส์ที่จำกัดไม่ให้บุคคลใดบุคคลหนึ่งเข้าถึงระบบได้ และบางครั้งอาจรวมถึงทรัพย์สินหรือพื้นที่ที่จับต้องได้ด้วย
ตัวอย่างของการควบคุมการเข้าถึงตามตรรกะ เช่น
- รหัสผ่าน
- เครื่องอ่านบัตรที่เชื่อมต่อกับระบบ
ซึ่งการควบคุมการเข้าถึงตามตรรกะยังแบ่งประเภทไปอีก ประกอบไปด้วย
2.2.1 Discretionary Access Control (DAC) (การควบคุมการเข้าถึงแบบดุลยพินิจ) — ระบบนี้ให้เจ้าของทรัพยากรมีอำนาจควบคุมสิทธิ์การเข้าถึงอย่างเต็มที่ โดยสามารถกำหนดสิทธิ์เข้าถึงให้กับผู้ใช้อื่นได้ ซึ่งก็คือตามดุลยพินิจของเจ้าของทรัพยากร
2.2.2 Mandatory Access Control (MAC) (การควบคุมการเข้าถึงแบบบังคับ) — ระบบนี้เป็นการควบคุมที่ถูกกำหนดตามนโยบายหรือระดับความปลอดภัยขององค์กร ผู้ใช้ไม่สามารถแก้ไขนโยบายเหล่านี้ได้
2.2.3 Role-Based Access Control (RBAC) (การควบคุมการเข้าถึงแบบบทบาท) — ระบบนี้จัดการสิทธิ์การเข้าถึงตามบทบาทหรีอหน้าที่ของผู้ใช้ ตามความเหมาะสมของบทบาทหน้าที่ โดยกำหนดสิทธิ์แตกต่างกันไปตามบทบาท ผู้ใช้หนึ่งคนอาจมีหลายบทบาทในระบบต่าง ๆ
3. วิธีการป้องกัน
ตามจริงแล้วในส่วนของ Physical Access Control และ Logical Access Control ก็คือการป้องกันในระดับนึงแล้ว เพราะมันคือการควบคุมการเข้าถึง แต่ว่าเราต้องมีการป้องกันในเชิงลึกขึ้นด้วยเพื่อป้องกันการผิดพลาดที่จะเกิดขึ้น หรือก็คือการนำ access control ทั้ง 2 รูปแบบนั้น มาประยุกใช้งานเพื่อให้มีปลอดภัยยิ่งขึ้น ซึ่งในส่วนนี้จะขอยกตัวอย่างวิธีการป้องกัน 2 อย่าง คือ
3.1 Defense in Depth (การป้องกันเชิงลึก หรือมีการเรียกอีกชื่อว่า Layered defense)
คือ การป้องกันหลาย ๆ ชั้นนั่นเอง ถ้าเรามีการป้องกันหลายชั้น แล้วชั้นแรกเสียหาย เรายังมีการป้องกันชั้นอื่นที่รองรับ ตัวอย่าง เช่น
- Physical Access Control ถ้ามีผู้ไม่หวังดีขโมยบัตรพนักงานทั่วไปเพื่อเข้าสู่พื้นที่ของพนักงานทั่วไปองค์กรได้ สามารถเข้าไปในองกรค์กรได้ แต่ก็ไม่สามารถเข้าถึงส่วน data center ขององค์กรได้เนื่องจาก ภายในห้องระบบที่สำคัญในองค์กรต้องมีบัตรแยกของสิทธิ์ผู้ควบคุมระบบถึงจะสามารถเข้าได้
- Logical Access Control ผู้ไม่หวังดีรู้ username password ของผู้ใช้งาน แต่ไม่สามารถเข้าถึงทรัพยากรได้ เนื่องจากติดการยืนยันตัวสองปัจจัย(2FA)
3.2 Principle of Least Privilege (หลักการของสิทธิพิเศษน้อยที่สุด)
คือ การให้สิทธิ์แก่ผู้ใช้หรือระบบเพียงเท่าที่จำเป็นต่อการปฏิบัติหน้าที่ เพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากการมีสิทธิ์มากเกินไป
สรุป
Access Control ไม่ใช่สิ่งของสิ่งใดสิ่งหนึ่ง หรือระบบใดระบบหนึ่ง แต่คือการรวมกันของไม่ว่าจะเป็น บุคลากร อุปกรณ์ ระบบความปลอดภัย และสถานที่ เพื่อวัตถุประสงค์ที่จะรักษาความปลอดภัยขององค์กร (ข้อมูล สิ่งของ และอื่น ๆ) และบุคลากร
สุดท้ายนี้ผมหวังว่าบทความนี้จะทำให้ผู้อ่านเข้าใจและเห็นภาพรวมของคำว่า “Access Control” มากขึ้น และนำความรู้ตรงนี้ไปต่อยอดและประยุกต์ใช้ต่อไปครับ
