Reply to comment

เทคโนโลยี Data Leak Prevention (DLP) ที่ Firewall

Submitted by Kew on Wed, 06/24/2009 - 18:20

เทคโนโลยี Data Leak Prevention สำคัญอย่างไร

เนื่องด้วยทุกวันนี้มีเรื่องราวเกี่ยวกับการรั่วไหลของข้อมูลในองค์กร ( Data Leaks ) อาจจะด้วยความบังเอิญหรือด้วยเจตนาของใครบางคน ซึ่งมันเกิดขึ้นอย่างมากมายและต่อเนื่อง ทำให้เทคโนโลยี DPL ( Data Leak Prevention ) กลายเป็นที่ต้องการ เพื่อใช้ในการแก้ไขปัญหานี้ แต่ด้วยความที่ข้อมูลในองค์กรใหญ่ๆ นั้นมีขอบเขต, ขนาดข้อมูลและการกระจายของข้อมูลที่ทำให้เราสามารถรู้ได้เพียงว่า

  • ข้อมูลนั้นอยู่ที่ไหน
  • ใครเป็นเจ้าของข้อมูลนั้น

ผลลัพธ์คือ ความก้าวหน้าของโปรเจค DLP นั้นเป็นไปอย่างล่าช้า ยิ่งไปกว่านั้น บริษัทส่วนมากขาดการควบคุมการใช้งานในระดับ Application ทำให้เกิดความไม่ชัดเจนว่าเทคโนโลยี DLP นั้นจะสามารถช่วยเหลือการรั่วไหลของข้อมูลได้จริง ?? โดยมีเหตุการ์ณตัวอย่างที่เคยเกิดขึ้นจริงอย่างเช่นกรณีของ US Army, Pfizer เป็นต้น

บางองค์กรนั้นใช้ความพยายามที่จะ implement ระบบ Data Leak Prevention ที่มีขนาดใหญ่ เพื่อรองรับกับโมเดลทางธุรกิจของตัวเองหรือเพื่อรองรับกับเหตุผลขององค์กรเอง แต่โดยทั่วไปในองค์กรส่วนใหญ่นั้นจะควบคุมการใช้ Application แทน ซึ่งแม้ว่าจะควบคุมสักเพียงใดก็ตาม ต่างก็เคยประสบปัญหาข้อมูลรั่วไหล ทำให้เกิดผลเป็นที่ยอมรับโดยทั่วกันว่า ควรจะหยุดส่งข้อมูลข้อมูลต่างๆ ที่ควรเป็นความลับไปภายนอกองค์กร อย่างเช่น credit card หรือ social security number ดังนั้น ความพยายามที่จะควบคุมขอบเขตของข้อมูลนั้นเป็นเรื่องที่สมควรทำอย่างยิ่ง ไม่ว่าจะเป็นการแบ่งขอบเขตข้อมูลระหว่างภายนอกและภายในองค์กร หรือ user ภายในกับ resource ภายใน data center ขององค์กร โดยตำแหน่งที่กล่าวมานี้ เป็นตำแหน่งที่เหมาะสมในการวาง firewall มากที่สุด เพราะจะสามารถเห็นทุกๆ traffic ได้

แต่เนื่องด้วยในปัจจุบัน firewall ส่วนใหญ่จะกำหนด policy ที่ขึ้นอยู่กับ port และ protocol ทำให้ไม่สามารถช่วยแก้ปัญหารั่วไหลของข้อมูลได้ เพราะว่า firewall เองไม่สามารถรู้ได้ว่าเป็น user คนใดที่กำลังใช้งาน application นั้นอยู่ และมี content เป็นอย่างไรบ้าง

การรั่วไหลของข้อมูลยังเป็นปัญหาที่แก้ไม่ตกสำหรับหลายๆองค์กร

                ในแต่ละวัน มีการเปิดเผยข้อมูลส่วนตัวไปสู่สาธารณะด้วยอัตราที่สูงขึ้น อย่างเช่น ข่าวของเลขบัตรเครดิต 10 ใบใน 1000 ใบ มีการรั่วไหลไปจากผู้ขายสินค้าสู่สาธารณะในแต่ละสัปดาห์ หรือว่า social security number มีการรั่วไหลออกจากหน่วยงานของรัฐบาลอเมริกา, องค์กรด้านสุขภาพต่างๆหรือจากตัวเจ้าของบัตรเอง และก็มีตัวอย่างเกิดขึ้นไม่นานมานี้ ( เดือนธันวาคม 2008 ) ว่า เนื่องจากการตั้งค่า server เพื่อบลอคการใช้งาน p2p ผิดพลาด ทำให้ฐานข้อมูลของทหารสหรัฐจำนวน 24,000 คนถูกเปิดเผย หรือเหตุการณ์ของ Walter Reed Medical Center ที่ข้อมูลของผู้ป่วยถูกเผยแพร่ออกไป ตัวอย่างเหล่านี้แสดงให้เห็นว่าการบลอคตัว application ด้วย policy ของ firewall เพียงอย่างเดียวนั้น ไม่สามารถช่วยแก้ปัญหาการรั่วไหลของข้อมูลได้

เทคโนโลยี DLP ที่แสนจะแพง ยุ่งยาก และไม่สมบูรณ์ !!!!

            เทคโนโลยี DLP นั้นได้เสนอความน่าสนใจให้แก่หลายๆ องค์กร IT ด้วยความเชื่อที่ว่า จะช่วยให้องค์กรนั้นสามารถปกปิดข้อมูลที่เป็นความลับต่างๆ ไม่ให้รั่วไหลได้ ซึ่งทาง provider ที่ให้บริการเทคโนโลยีด้านนี้ก็ยังติดปัญหาอยู่ เพราะคำถามที่ว่าหากเราต้องการทั้ง access control, reporting, data classification, data at-rest vs. data in-transit, data ownership, desktop agents, server agents,และ encryption นั้น มันจะทำให้โปรเจค DLP เกิดความล่าช้าในการดำเนินการให้แต่ละองค์กร

             ดังนั้นผู้ลงทุนที่กล้าเสี่ยงกับเทคโนโลยี DLP ได้ใช้เงินไปกับ DLP vendor ต่างๆ มากมาย และกลับกลายมาเข้าเป็นผู้เข้ายึดบริษัทด้าน security นั้นๆเอง ซึ่งได้มีการเจริญเติบโตขึ้นเรื่อยๆ ทำให้ผู้ลงทุนเหล่านี้ได้ขยายขอบเขตฟังก์ชัน DLP อย่างไม่มีที่สิ้นสุด บาง vendor ในตลาดนั้นกลายเป็น data loss prevention แทน เพราะว่าได้รวมเอาฟังก์ชันข้อมูล security  มาใส่ไว้ในอุปกรณ์ แม้กระทั่งรวมส่วนของ storage management ไว้ด้วย  สิ่งเหล่านี้เป็นขอบเขตของ DLP ที่ขยับขยายขึ้น ถึงแม้จะมีประโยชน์ แต่มันก็เพิ่มความซับซ้อน, เวลาของผู้ดูแล และค่าใช้จ่ายมากขึ้น เป็นที่น่าแปลกกว่านั้นคือ การรั่วไหลของข้อมูลนั้นบางครั้งเกิดจากการไม่อนุญาตให้ใช้งาน p2p file sharing application และการตั้งค่าผิด ปัญหานี้ไม่ได้รับการแก้ไขในเทคโนโลยี DLP ที่มีจำหน่ายอยู่ในตลาดปัจจุบัน เนื่องจากไม่ได้สนใจการควบคุมการใช้งาน application นั่นเอง

Palo Alto NetworksTM ... firewall ตัวแรกที่มีฟังก์ชัน DLP

PAN สามารถมองเห็นทุก traffic ในระบบเครือข่าย และสามารถควบคุมการใช้งาน application ของแต่ละ user ได้  รวมทั้งสามารถตรวจสอบ content ของ application ด้วยเทคโนโลยีที่สำคัญ 3 ตัวก็คือ App-ID, Content-ID, and User-ID ประกอบกับ hardware ที่มีการออกแบบโดยเฉพาะ ทำให้การควบคุม application ภายในองค์กรนั้นเป็นไปอย่างมีประสิทธิภาพ

                App-IDTM นั้นจะช่วยในการแยกแยะ application โดยที่ไม่สนใจว่า application นั้นจะรันอยู่ที่ port, protocol หรือมีการ encryption อย่างไร โดย App-ID สามารถแยกแยะได้มากกว่า 750 application โดยทาง Palo Alto Networks ได้เพิ่มเติม application 3-5 ตัวในทุกๆสัปดาห์ ทำให้องค์กรนั้นสามารถควบคุมการใช้งาน application ได้โดยตรง ไม่ใช่แค่เพียงกำหนด port

Content-ID ช่วยในการระบุ content โดยประกอบไปด้วยส่วนสำคัญด้านระบบความปลอดภัย 3 ตัวคือ confidential data ( คือฟังก์ชัน DLP นั่นเอง ),threat prevention และ URL filtering โดย Content-ID นั้นเป็น engine ที่ตรวจสอบข้อมูลในรูปแบบ stream โดยใช้ signature รูปแบบต่างๆ ซึ่งหมายถึงว่ามันไม่จำเป็นต้องใช้ buffer และทำการสแกนแค่เพียงครั้งเดียว, PAN-OS นั้นทำให้การ implement DLP สามารถทำได้ง่ายใน firewall ดังแสดงในภาพด้าล่าง เราสามารถกำหนด  data filtering profile ของ policy ได้ โดยพิจารณาว่าข้อมูลประเภทใดที่ต้องการตรวจสอบและสามารถกำหนด weight  ( คือการกำหนดลำดับว่าหาก content ใน packet ไปตรงกับ pattern ที่มี weight มากกว่าก่อน ก็จะนำ Pattern นั้นไปตรวจสอบกับ policy ต่อไป ) ซึ่ง data pattern นี้ เรายังสามารถกำหนดได้เองเป็น regular expression ได้อีกด้วย

 DLP Firewall 

User-ID ที่สามารถเชื่อมต่อกับ Active Directory ขององค์กรได้ ทำให้แต่ละ policy นั้นครอบคลุมไปถึงการใช้งาน application, ความปลอดภัยของ content และกำหนดได้ว่า  user ในองค์กรคนไหนหรือกลุ่มไหนที่สามารถใช้งาน application ได้ เนื่องด้วย Platform ของ PAN firewall ที่มีประสิทธิภาพ ที่ไม่เคยมีมาก่อนในอุปกรณ์ใดๆ โดยมี throughput ถึง 5 Gbps เมื่อเปิดใช้การ scan application traffic เพื่อตรวจสอบการรั่วไหลข้อมูล สาเหตุที่สามารถให้ throughput ได้ถึงขนาดนี้เป็นเพราะว่าเหตุผล 2 อย่างคือ

- hardware architecture

            มีการแบ่งส่วนของ data ซึ่งควบคุมเกี่ยวกับประมวลผล traffic และส่วนของ control ที่ควบคุมในเรื่องการจัดการตัวอุปกรณ์ ทำให้เมื่อมีการประมวลผลอย่างหนักในทั้งสองฝั่ง จะไม่ส่งผลกระทบซึ่งกันและกัน สังเกตจากรูปด้านล่าง

DLP Firewall

โดยแต่ละส่วนจะมี cpu เป็นของตัวเอง โดย bandwidth ในการเชื่อมต่อระหว่างกัน 10 Gb ใน PA-4000 series และ 1 GB ใน PA-2000 series

single pass software

            วิศวกรของ Palo Alto Networks กำหนดรูปแบบการประมวลผล traffic โดยผ่าน engine ต่างๆ ภายใน device เพียงครั้งเดียว โดย engine แบ่งเป็น networking engine, classification engine, pattern matching engine และ policy engine ทำให้ไม่เกิดปัญหา delay เหมือน firewall ทั่วไปๆ ที่แต่ละ engine จะอยู่คนละอุปกรณ์กัน ทำให้เราสามารถกำหนด policy เพื่อควบคุม application, user และ content ต่างๆ ได้ ( รวมทั้งข้อมูลที่เป็นความลับและ threat ) ดังรูปด้านล่าง

DLP Firewall

บทสรุปของการใช้ PAN firewall เพื่อรองรับ DLP

            เทคโนโลยี DLP นั้นเป็นสิ่งที่คุ้มค่ามากสำหรับองค์กร แต่ด้วยเหตุจากความซับซ้อน ราคาที่สูงและใช้เวลาในการ implement ระยะหนึ่ง ซึ่งในขณะเดียวกัน firewall โดยทั่วๆไป นั่นก็อยู่ในตำแหน่งที่สามารถช่วยแก้ปัญหา data leak ได้ แต่เนื่องจาก firewall นั้นไม่สามารถที่จะมองเห็นถึงขึ้น application, user และ content ได้ ทำให้ไม่สามารถทำอะไรได้เลย ดังนั้น firewall จึงควรมีความาสามารถ

            1) บลอค application ที่ไม่ต้องการให้ใช้งาน

            2) สามารถตรวจสอบ application ที่ใช้งานว่า มีข้อมูลควรปกปิดเป็นความลับหรือไม่

            3) มองเห็น traffic ในระบบเครือข่ายและสามารถกำหนด policy ของทุกๆ user และกลุ่มของ user ได้ ไม่เพียงเฉพาะ IP address

            ด้วยความต้องการทั้งหมดนี้ Palo Alto Networks firewall สามารถทำได้ด้วยประสิทธิภาพที่ดี โดยสามารถมองเห็นและควบคุม application ในระบบเครือข่ายได้ ประกอบกับเทคนิค data filtering จึงเป็นเรื่องง่ายที่ใช้ฟังก์ชัน DLP ได้ ช่วยหยุดการรั่วไหลข้อมูลที่เป็นความลับต่างๆ ไม่ให้เกิดได้ดังเช่นอดีต และยังช่วยลดจำนวน staff ที่ดูเรื่องโปรเจค DLP อีกด้วย ……. มันเป็น firewall ที่น่าสนใจจริงๆ นะครับ

Reply

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.

Who's online

There are currently 0 users and 1 guest online.

Monthly archive

User login