มาทำให้ Security เป็นเรื่องง่าย
หลายๆท่านคงคิดเหมือนผม
หัวข้อนี้มัน “มั่ว/ยาก”
จริงๆ และมักปรึกษา/ถามใคร
ไม่ค่อยได้
ผมจำได้แม่นเลยว่า
ผมข้องใจกับเรื่องนี้มากจนยอมไปอ่านหนังสือ ของ IBM ขนาดเล่มไม่ใหญ่ แต่เนื้อหาส่วนใหญ่เป็นบรรยาย ... สำหรับคนที่ชอบดูแต่ภาพ
(ภาษาไม่แข็งแรง) ถือว่า งานหนัก
บทความนี้จะตอบคำถามนี้ครับ
Q: มีหลักการ (ย่อ) อย่างไร ? (ถ้าเข้าใจ น่าจะเดาต่อได้ง่าย)
Q: มี Template อธิบายเข้าใจง่ายๆ หรือไม่ ? (อยากได้ทางลัด)
อยากเข้าใจ แบบย่อ
ระบบรักษาความปลอดภัย = ใคร มีสิทธิ์ใช้
Resource อย่างไร ?
“นีราพร
ไม่มีสิทธิ์ใช้ Web ABC ได้ แต่ ชนิดาภรณ์, จุฑามาศ สามารถใช้ได้”
“เด็ก
ไม่มีสิทธิ์ ดูทีวีหลัง 22:00 แต่ผู้ใหญ่
(ทำงานแล้ว) มีสิทธิ์”
“ศศศรันย์ ดู File ได้ แต่แก้ไขไม่ได้ ประทีป ดูและแก้ไข File ได้”
ประโยคข้างต้น จัดกลุ่ม ต้องมี
“นิยาม” กันเล็กน้อย = User, Role (กลุ่ม), Resource (สิ่งที่ควบคุม),
Function (รายละเอียดการควบคุม)
ลองจัดกลุ่มจาก ต.ย. ข้างต้นดูจะได้ตามนี้ครับ
“นีราพร
ไม่มีสิทธิ์ใช้ Web ABC ได้ แต่ ชนิดาภรณ์, จุฑามาศ สามารถใช้ได้”
ใคร (User)
|
นีราพร
, ชนิดาภรณ์,
จุฑามาศ
|
กลุ่ม
(Role)
|
นีราพร
|
ชนิดาภรณ์,
จุฑามาศ
|
|
Resource
|
Web ABC
|
Function
|
เปิดใช้
|
“เด็ก ไม่มีสิทธิ์
ดูทีวีหลัง 22:00 แต่ผู้ใหญ่ ดูได้”
ใคร (User)
|
(ไม่มี)
|
กลุ่ม
(Role)
|
เด็ก
|
ผู้ใหญ่
|
|
Resource
|
ทีวี
|
Function
|
เปิดใช้
|
“ศศศรันย์ ดู File ได้
แต่แก้ไขไม่ได้ ประทีป ดูและแก้ไข File ได้”
ใคร (User)
|
ศศศรันย์ ,ประทีป
|
กลุ่ม
(Role)
|
(ไม่มี)
|
Resource
|
File
|
Function
|
เปิดใช้
|
กลับมาเรื่อง IT ต่อ
ผู้ใช้งาน IT
ระดับสังคม (องค์กร) ได้ “เข้าใจ”
ไม่ทางตรง/ทางอ้อม ของ “กฏ”
แล้ว เช่น
บัตร ATM,รหัสเข้าคอมพิวเตอร์, ระบบฯ, internet แต่ละคนมี
UserID และรหัสผ่าน
เมื่อสิ่งนั้นมีความสำคัญ
(เงินของเรา) ก็ไม่ควรให้ คนอื่น
ยืมบัตร, บอกรหัสผ่าน (เรามีสิทธ์ใช้ คนอื่นไม่มีสิทธิ์)
ผู้ที่เริ่มต้น IT มักจะได้รับ
“คำแนะนำ” (คำเตือน) “ก่อน”
เริ่มใช้
หมายเหตุ
บริษัทฯที่มีมาตรฐาน
จะอธิบายในขั้นตอนก่อนเริ่มทำงาน (Orientation) ... บริษัทได้อธิบาย/เตือนแล้ว
ต่างจาก เรื่องง่ายๆคุณน่าจะคิดได้เอง
คนที่สั่งให้ทำ Security ก็ต้องเป็น ผู้นำ(ระดับสูง) เช่น
เพื่อป้องกันเงิน,ข้อมูลความลับ เป็นต้น โดยมอบหมายให้ คนจัดการ Security (Admin) มักจะมี 1-3
คนเท่านั้นประกาศกฎ ส่วนคนที่เหลือทั้งหมด (99%) คือ ผู้ใช้งานตามกฏ ดังนั้นภาระจะตกกับ Admin ... คุ้นๆกับ กฏระเบียบในบริษัทฯ , กฏหมายของประเทศมั๊ยครับ (เรื่องใกล้ตัวมากเลย)
แล้วทำอย่างไร ล่ะ
1.
จัดกลุ่ม แบบง่าย
a.
กลุ่ม Role, User เช่น {
Admin, User } , { Account, Marketing, … } , { Manager, Member }
b.
กลุ่ม Resource เช่น { Folder, File } , { Menu , Program }
Tip : จัดให้หยาบ ,
Level ไม่เกิน 3 ระดับ (อย่านำ
ภาพ Org ที่ซับซ้อนทั้งหมดมาใส่)
ใช้ Mind Map, Organize Chart ช่วยวาดรูป
ถ้าทำงานสไตล์ “ไทย” Organize เขียนไว้แบบหนึ่ง แต่ทำงานจริง ทำข้ามกลุ่ม ให้จัดกลุ่มตามที่ทำงานจริง
ใช้ Mind Map, Organize Chart ช่วยวาดรูป
ถ้าทำงานสไตล์ “ไทย” Organize เขียนไว้แบบหนึ่ง แต่ทำงานจริง ทำข้ามกลุ่ม ให้จัดกลุ่มตามที่ทำงานจริง
2.
กำหนด Function
a.
ทำ Function แบบง่ายก่อน ใช้ได้ (Access), ใช้ไม่ได้
(Deny)
b.
Function
อย่างละเอียด
จะทำภายหลัง จะใช้กับ กลุ่ม “ใช้ได้” (ดูได้, แก้ไขได้, คัดลอก/ลบ File ได้)
3.
จากการจับคู่
(1.a.) และ (1.b.) ภายใต้ Function
(2)
a.
รวบรวม “ข้อยกเว้น” เฉพาะไว้ เช่น Manager ของทุก Role ทำได้ทุกอย่าง
Tip : ไม่มีแบบไหน
ที่ดีที่สุด อาจจะต้องรวม
หลายแบบเข้าด้วยกัน
อาจจะต้องจัดกลุ่ม (1.a.) และ (1.b.) ใหม่ (ถ้าทำไม่ซับซ้อน และเร็ว จะทำใหม่กี่รอบก็ได้)
อาจจะต้องจัดกลุ่ม (1.a.) และ (1.b.) ใหม่ (ถ้าทำไม่ซับซ้อน และเร็ว จะทำใหม่กี่รอบก็ได้)
4.
เช็ค ว่า
“กฏ” ที่กำหนด
ตรงตามต้องการหรือไม่ ?
Template
จาก Organize Chart
1. จัดกลุ่มแบบง่าย
1.a เปลี่ยนกำหนด Role/User เริ่มต้นจาก “ง่าย” ไปซับซ้อน ดังนี้
Figure 1
มี 3
Role 1 Level
- Manager และ Assistant
Manager
เป็นสมาชิกของ ทุก Role
- ทุกคนใน Role : Account มีสิทธิ์เหมือนกัน
หรือ เพิ่ม
Role : Manager (ดูดี) 4 Role 2 Level
ถ้าเลือก ภาพนี้สุดท้ายต้องทำ
1. สร้าง
3
Role
2. จัด
User
ทุกคนเข้าไปที่ Role (ถ้ามีพนักงาน 50 คนก็ป้อน
50 ครั้ง)
Figure 2
มี 7
Role 3 Level
คือ แยก Account เป็น Account_Head กับ Account_Member
1.b กำหนด/จัด Resource
Figure 3
จัด 3 กลุ่ม Resource
ตามแผนก เช่น แยก Folder , ชุดโปรแกรม ไว้ใน Folder, Lib, Database, …
อาจจะเพิ่ม
Role : All ไว้ด้านบน (ดูเป็น Organize)
ถ้าเลือกภาพนี้ สุดท้าย IT ต้องรวบรวมจัด
Folder Program,Library,
Database ให้
ตย. เช่น สร้างโปรแกรม Account ไว้ 1 Path เท่านั้น
ตย. เช่น สร้างโปรแกรม Account ไว้ 1 Path เท่านั้น
Figure 4
จัด 5 กลุ่ม
โดยแยก Resource ที่อนุญาตให้ทุกคนเข้าได้ ไว้ที่ Share เช่น โปรแกรมดูรายงานพื้นฐาน,
Table ที่ทุกคนต้องใช้ร่วมกัน (Master)
Figure 5
10 กลุ่ม โดยแทนที่จะแยก Share ไปเพิ่มกลุ่มย่อย
2. กำหนด Function แบบง่าย
(ที่สุดก่อน)
Figure 6
ใน ASP.net
การ
ACL แบบง่ายกำหนดไว้แค่นี้
(ผมว่าเพียงพอแล้ว)
เมื่อเริ่มต้น งานที่ซับซ้อน ก็จัดการยากแล้ว ขอให้ทดลองเล่นๆดูก่อน ว่า “จัดการได้หรือไม่” ก่อนจะเปิดใช้จริง ใน Windows, iSeries รองรับรายละเอียดดังนี้
ได้ เรียกใช้ (ดู,แก้ไข), จัดการ(สร้าง, คัดลอก,ลบ)
3. จับคู่ Mapping โดยมองเป็นตาราง
ดังนี้
Table 1
Resource
|
||||
Account
|
Marketing
|
HR
|
||
Role
|
Account
|
Access
|
Deny
|
Deny
|
Marketing
|
Deny
|
Access
|
Deny
|
|
HR
|
Deny
|
Deny
|
Access
|
แบบนี้ เข้าใจง่าย และ สร้าง
ง่ายที่สุด (ต้องระบุ/ป้อน 9 ช่อง)
ในระบบการกำหนดค่ามักจะอนุญาตให้ Default ค่าเริ่มเป็น “Deny” ทำให้ต้องป้อนแค่ 3 ช่องเท่านั้น (เร็ว + ง่าย)
แทนที่จะบอกว่า พนักงาน 50 คนเข้าใช้อะไรได้บ้าง ก็บอกเป็น “กลุ่ม Role” อะไร ใช้กับ “กลุ่ม Resource” อะไรได้บ้าง
เริ่มเห็นภาพน๊ะครับว่า
ถ้าทำข้อ 1,2 ไว้ ซับซ้อน ข้อ 3. จะยุ่งยากมาก
Table 2
Resource
|
||||
Account
|
Marketing
|
HR
|
||
Role
|
Manager
|
Access
|
Access
|
Access
|
Account
|
Access
|
Deny
|
Deny
|
|
Marketing
|
Deny
|
Access
|
Deny
|
|
HR
|
Deny
|
Deny
|
Access
|
เมื่อเลือกใช้ Role:Manager จะเพิ่ม การกำหนด (ป้อน 12 ช่อง)
Table 3
Resource
|
|||||
Account
|
Marketing
|
HR
|
|||
Role
|
Manager
|
Manger
|
Access
|
Access
|
Access
|
Account
|
Account_Head
|
Access
|
Deny
|
Deny
|
|
Account_Member
|
Access
|
Deny
|
Deny
|
||
Marketing
|
Marketing_Head
|
Deny
|
Access
|
Deny
|
|
Marketing_Member
|
Deny
|
Access
|
Deny
|
||
HR
|
HR_Head
|
Deny
|
Deny
|
Access
|
|
HR_Member
|
Deny
|
Deny
|
Access
|
จากตารางข้างต้น ถ้าแบ่ง Head
และ
Member โดยที่มีสิทธิ ใช้ “เท่ากัน” ไม่จำเป็นต้องแบ่ง Head, Member ให้เสียเวลา (ป้อนรวม
21 ช่อง)
ตารางข้างต้น อาจจะมีประโยชน์
ถ้ากำหนด หน้าที่แบบนี้ Account_Head สามารถเข้าไปดู Marketing ได้
Table 4
Resource
|
|||||
Account
|
Marketing
|
HR
|
|||
Role
|
Manager
|
Manger
|
Access
|
Access
|
Access
|
Account
|
Account_Head
|
Access
|
Access
|
Deny
|
|
Account_Member
|
Access
|
Deny
|
Deny
|
||
Marketing
|
Marketing_Head
|
Deny
|
Access
|
Deny
|
|
Marketing_Member
|
Deny
|
Access
|
Deny
|
||
HR
|
HR_Head
|
Deny
|
Deny
|
Access
|
|
HR_Member
|
Deny
|
Deny
|
Access
|
จำได้มั๊ยครับ! รวมรวม อะไรที่ยกเว้นเฉพาะ ไว้
ตย. ข้างต้น กรณีพิเศษ
เดียว เราจะไม่เพิ่มโครงสร้าง “เผื่อไว้”
(เพิ่ม 9 ช่อง เพื่อแก้ปัญหา ช่องเดียว)
เราจะแก้ปัญหาเฉพาะ โดย ระบุเพิ่ม ว่า User-K (ใน Role:Account) มีสิทธิใช้ Resource: Marketing
เราจะแก้ปัญหาเฉพาะ โดย ระบุเพิ่ม ว่า User-K (ใน Role:Account) มีสิทธิใช้ Resource: Marketing
ใน iSeries เรียกตัวนี้ว่า Grant Authorize (คำเตือน ห้ามใช้
โดยที่ไม่เข้าใจเป็นอันขาด ตย. Grant
ให้
User-J มีสิทธ์เท่า Admin สิ่งที่มันทำคือ
เข้าไปทีละ Object แล้วเพิ่มสิทธิ ในขณะที่เข้าไป “มันจะหยุดการใช้ Object ทั้งหมด” พูดง่ายๆ เครื่องจะ Hang ไป )
FAQ
Q: สร้าง Security เป็นของตนเอง หรือใช้ของ IBM, Microsoft ดี
A: (ความเห็นของผม) ใช้ของผู้ผลิตดีที่สุด
ลด/เพิ่มได้ (สร้างเอง
ไม่มีทางทำได้ครอบคลุม)
Q: สร้างไว้ใช้เอง อยู่แล้ว
ต้องเปลี่ยนมั๊ย ?
A: ถ้าคุณไม่โดน Audit หรือระบบคุณไม่มีปัญหา ไม่ต้องเปลี่ยนครับ ที่แนะนำไว้จะทำให้คุณชั่งน้ำหนักได้ว่าคุณขาดอะไร
?
Q: มีเรื่องอื่น อีกมั๊ย ?
A: มีครับ แต่จุกจิกและซับซ้อนตามสิ่งที่คุณพบ เช่น Role
แยกกลุ่มใหญ่อีก
(อ่านไม่ผิดกลุ่มใหญ่) ต้องจัดเข้าไปอยู่ใน
AD (windows) ของบริษัทแม่, ใช้หลาย Server
OS มี Role
ของตนเอง และ หลากหลาย Role
ใน
DB เป็นต้น
ไม่ง่ายที่จะสื่อสาร
คนส่วนใหญ่ไม่ค่อยอยากฟังเรื่องยาก/ปวดหัว กลายเป็น “หนีปัญหา” ไปผมเชื่อว่า
ถ้าเรา “หนี” ไม่ได้ ก็วิ่งเข้าใส่ เลยดีกว่า (ถ้ามันไม่ยาก แล้วมากลัวมัน ก็ต้องหนีกันชั่วชีวิต)
การบอก “กฏ”(วิธี) หรือ เปลี่ยนสิ่งที่รู้สึกว่า “ได้” / “ห้าม”
เป็นการ “เขียน” มันไม่ง่าย
“ไม่มีสิทธิ์ใช้” ... ต้องป้องกัน ไม่ให้รู้เลยว่ามี หรือ บอกให้รู้ แต่ห้ามไม่ให้ใช้
“ดูได้ แต่แก้ไขไม่ได้” ... File ใน Computer
ถ้าดูได้ ก็ต้อง Copy ได้น๊ะ แก้ไขนับรวม Copy หรือไม่ ?
เขียนสั้นไป
ก็ตีความได้หลากหลาย, เขียนบรรยายยาวเกินไป ก็ทำให้มากเกิน (ไม่อยากอ่าน = ไม่รู้กฏ)
Q: คุณเคยอ่านหนังสือ “กฏ” ของบริษัท,กฏหมาย รัฐธรรมนูญ มั๊ยครับ ?
(สิ่งที่ต้องรู้ แต่มันมีมาก)
A: มันน่าเบื่อ (เข้าใจยาก + ต้องใช้เวลา)
Tip : หลายที่ใช้เทคนิค
เพื่ออธิบาย ดังนี้
พูด/อธิบาย แทนการ
ให้อ่านเอง
ช่วงอธิบายยาว ก็พูดให้ “สั้น” โดย พูดโดยเน้นเฉพาะเรื่องที่
“ไม่คุ้นเคย” เช่น “เน้น”
กฏการขับรถ พูดให้คนต่างชาติ
(ประเทศเขาขับรถชิดเลนขวา) แต่คนไทย ไม่ต้องอธิบาย
ย้ายบางเรื่องไปพูดแทรก ในขณะอธิบาย
ชีวิตประจำวัน เช่น การใช้เครื่องจักร, ใช้ห้องสมุด
ก็แทรก “กฏ”
ค้นหา สิ่งผิดปรกติ
เช่น การใช้ห้องน้ำ
ของคนต่างจังหวัด กับในเมือง (นั่งยอง, นั่งโถ, มีระบบไฟฟ้า)
Q: คนไทยชอบคิดแบบ “ศรีธนชัย” –
ดูเป็นเรื่องสนุกดี (คนรุ่นใหม่ รู้จักกันหรือเปล่าครับ ถ้าไม่ได้เรียน คงเคยได้ยิน “กฏ มีไว้แหกกฏ” หรือ
ขอ “แถ” ไปจนได้)
A: ถ้า “กฏ” ถูกสร้างบนความจำเป็น + เข้าใจ คนส่วนใหญ่คงไม่ “แถ” ออกไปครับ
ความเห็นส่วนตัว
ทุกคนที่อยู่ในสังคม มีส่วนในการทำตาม “กฏ” และมีโอกาศเป็นคน “สร้าง” กฏ ...
เข้าใจซะ (อย่า ละเลย)
เมื่อเป็น
“ผู้สร้าง” กฏ ก็สร้าง “กฏ ที่ดี”
เข้าใจง่าย/รัดกุม
เมื่อต้อง
“ทำตาม” กฏ ก็ทำด้วยความเข้าใจ (มากกว่า จะแหกกฏ)
---คิดแบบนี้ “สังคม”
จะเป็นระเบียบ---
จริงหรือไม่ ?
ในชีวิตประจำวัน ก็มี “กฏ” เต็มไปหมด ถ้าเขียนออกมาคงมีมาก
“กฏ” = ข้อมูล
ที่การถ่ายทอด/สอน จาก คนหนึ่ง ไปอีก คนหนึ่ง
วิธีถ่ายทอด “ที่ง่าย + ดี” คือ
การถ่ายทอด ผ่านชีวิตประจำวัน
“กฏ”
พื้นฐาน จะสอนผ่าน “สังคม” ครอบครัว – เด็กๆ
ที่ถูกเลี้ยงด้วยทีวี, เกมส์
ไม่ค่อยมีเวลาคุยกับครอบครัว
ก็จะไม่รู้ “กฏ” ดังกล่าว ... คุ้นตามั๊ยครับ คนรุ่นใหม่ (Gen Y) ใช้มือถือขณะกินข้าวเป็นเรื่องปรกติ คนรุ่นเก่า ถือว่าเป็น “กฏ” ห้ามทำ ...
ระหว่างกินข้าว
ระดับถัดไป คือ “สังคม” ในโรงเรียน/มหาวิทยาลัย
และสุดท้าย “กฏ” เฉพาะด้าน จะถูกอธิบาย
“ก่อน” การใช้ เช่น
การขับขี่มอเตอร์ไซต์, ขับรถ, ใช้คอมพ์, เครื่องจักร เป็นต้น
เป็นหน้าที่ของ ผุ้สอน ที่ต้อง “อธิบาย”
(เริ่มต้นที่ ผู้สอน ก่อน)
ถ้าในแต่ละ
ช่วงเวลา – ไม่คุยกัน- -หนี/ไม่ฟัง- -เลี่ยง/ไม่สอน- จะเกิดอะไร
วันนี้ “คุณ” ได้ทำหน้าที่ “สื่อสารที่ดี” หรือยัง ? (เริ่มที่ตนเองก่อน)
สรุป
ถ้ามองอย่างกลางๆ จะพบว่า
“หลักการ” ไม่ยากอะไร ขั้นตอนการ “เลือก”
แบบที่จะทำ ต้องแยกแยะสิ่งที่อยากได้(คุ้นเคย) กับ
สิ่งที่ต้องทำ ออกจากกัน (ตย. ข้างต้นแสดงให้เห็นว่า เริ่มทำจาก Organize Chart ของบริษัท แต่สุดท้ายไม่จำเป็นต้องเหมือน) และเพื่อให้จัดการง่าย ควรเน้นความเข้าใจ รวมทั้งปรับวิธีการสื่อสารที่เหมาะสม