Cloud Storage: Dropbox, OneDrive, Google Drive และ iCloud ปลอดภัยแค่ไหน?

จะเป็นอย่างไรเมื่อมีการเปรียบเทียบระหว่างผู้ให้บริการคลาวด์รายใหญ่ ในเรื่องของการเข้ารหัสและปกป้องข้อมูลของคุณ

ระบบคลาวด์ (Cloud) นั้นจัดว่ามีอนาคตที่ดีมากในช่วงระยะเวลาหนึ่ง เกี่ยวกับการแบ่งปัน (Information Sharing) และจัดเก็บข้อมูล (Storage) แต่ความปลอดภัยของแพลตฟอร์มการจัดเก็บข้อมูล (Storage Platform) บนคลาวด์ที่เราคาดว่าจะปลอดภัยนั้น เราจะเชื่อถือข้อมูลของเราได้มากน้อยแค่ไหน?

มีเสียงวิพากษ์วิจารณ์มากมายเกี่ยวกับช่องโหว่ด้านความปลอดภัย (Gaping Security Hole) ที่เกิดขึ้นเป็นครั้งคราว ซึ่งคุณอาจจะพบเห็นได้ในแพลตฟอร์มการจัดเก็บข้อมูลบนคลาวด์ ตั้งแต่การพยายามเจาะเข้าระบบไปจนถึงข้อมูลในฐานข้อมูล (database) ที่มีการรั่วไหล อย่างไรก็ตาม หากคุณกำลังได้รับผลกระทบจากการรายงานข่าวเหล่านี้ ย่อมมีโอกาสที่คุณจะไม่กล้ายุ่งเกี่ยวกับ Cloud อีกเลย

อย่างไรก็ตาม เราคิดว่าระบบเหล่านี้ก็ยังมีความปลอดภัยในระดับหนึ่ง และมันก็ยังดูมีน้ำหนักมากขึ้นกับข้อโต้แย้งที่ว่า แพลตฟอร์มประเภทเดียวกันกับ iCloud ไปจนถึง OneDrive มีแรงจูงใจที่จะทำให้ระบบของพวกเขาปลอดภัยที่สุดเท่าที่จะทำได้ และพวกเขายังมีเงินและทรัพยากรต่างๆ ในการที่จะทำให้ข้อมูลของลูกค้าปลอดภัย มากกว่าที่ลูกค้าของพวกเขาจะสามารถทำได้ด้วยตนเอง

เราได้ตัดสินใจที่จะทำการตรวจสอบ Security Credentials ของ Cloud Hosting Platforms ที่สำคัญๆ ซึ่งคุณจะสามารถเชื่อถือได้เพื่อรักษาข้อมูลของคุณให้ปลอดภัย สำหรับการตรวจสอบเพิ่มเติมในเชิงลึกของบริการเหล่านี้ โดยจะมีการแสดงรายละเอียดอย่างครบถ้วนทั้งข้อดีและข้อเสียของแต่ละบริการให้คุณได้พิจารณา ดังนั้น เพื่อให้มั่นใจยิ่งขึ้นเราลองมาดูกันว่า ระหว่าง Dropbox, iCloud, Google Drive และ OneDrive บริการจัดเก็บข้อมูลบนคลาวด์แบบไหน? ที่จะเหมาะกับคุณมากที่สุด

Dropbox

Dropbox ได้ทำพลาดในเรื่องที่ไม่น่าเกิดขึ้น ในปี 2012 ถึงขั้นที่เจ้าหน้าที่รักษาความปลอดภัยต้องเกิดความกังวล เมื่อพวกเขายอมรับว่ามีการใช้รหัสผ่านที่เป็นข้อมูลที่หลุดออกมา (Compromised Data) เพื่อเข้าถึงบัญชี Dropbox ของพนักงาน ที่ให้สิทธิ์การเข้าถึงเอกสารที่ประกอบไปด้วยอีเมลของผู้ใช้บางส่วน ซึ่งเป็นกลุ่มคนที่ได้รับสแปม (Spam) หลังจากนั้น

ถึงแม้ว่าข้อมูลที่ถูกจัดเก็บจะไม่ได้ตกอยู่ในความเสี่ยง แต่พวกเขาก็ได้ออกมาทำหน้าที่เตือนล่วงหน้าถึงผลร้ายที่กำลังจะตามมา เพื่อที่จะบอกว่าความเสียหายด้านชื่อเสียงที่จะเกิดขึ้นนั้นสามารถส่งผลกระทบต่อธุรกิจคลาวด์อย่างไร ตั้งแต่นั้นมา Dropbox ก็ได้เพิ่มเกมในหน้า Login พร้อมด้วยตัวเลือกสำหรับยืนยันตัวตนแบบสองขั้นตอน (ผ่านข้อความหรือแอปพลิเคชั่นรหัสผ่านครั้งเดียวในเวลาที่กำหนด) เพื่อเป็นการเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้

เช่นเดียวกับบริการคลาวด์ส่วนใหญ่ เพราะพนักงานของ Dropbox เองก็ไม่สามารถดูเนื้อหาของไฟล์ที่คุณจัดเก็บไว้ได้ แต่พวกเขาก็ยังสามารถเข้าถึง Metadata ได้ ในกรณีที่พวกเขาจำเป็นต้องให้การสนับสนุนด้านเทคนิค อย่างไรก็ตาม Dropbox ได้มีการชี้แจงอย่างชัดเจนว่า ในกรณีที่จำเป็นมีพนักงานเพียงไม่กี่คนที่สามารถเข้าถึงไฟล์ที่เก็บไว้ได้ เพื่อเหตุผลทางกฎหมาย

ข้อมูลที่ทำการโอนย้ายระหว่างอุปกรณ์ หรือ ระหว่างระบบ (Data in Transit) จะเข้ารหัสโดยการใช้ Secure Sockets Layer (SSL) และส่วนที่เหลือก็จะเข้ารหัสโดยใช้มาตรฐานการเข้ารหัสลับขั้นสูง AES ที่ใช้คีย์เข้ารหัสลับ 256-bit ซึ่งคีย์ในการเข้ารหัสและถอดรหัสไฟล์นั้น Dropbox จะเป็นผู้เก็บเอาไว้

Dropbox Pro ในเวอร์ชั่นธุรกิจ (Business Version) ได้เพิ่มความสามารถในการเปิดใช้สิทธิ์ของผู้ชม สำหรับการใช้งานร่วมกันและการตั้งค่า ทั้งในส่วนของรหัสผ่านและวันหมดอายุสำหรับลิงค์ที่แชร์ ซึ่งก็จะเป็นการเสริมความแข็งแกร่งทางโลกไซเบอร์ให้กับองค์กรโดยรวมอีกทางหนึ่ง สำหรับผู้ใช้งานระดับ Power User

iCloud

iCloud ของ Apple ต้องเผชิญกับการตรวจสอบข้อเท็จจริงในปี 2560 เมื่ออาชญากรไซเบอร์ได้ทำการขโมยภาพถ่ายของคนดังและนำไปเผยแพร่บนโลกออนไลน์ อย่างไรก็ตามนี่เป็นปัญหาที่มีโอกาสเกิดขึ้นน้อยมากกับระบบรักษาความปลอดภัยของ iCloud และยังมีผู้ให้บริการอื่นๆ อีกมากมายที่เกี่ยวข้องกับบุคคลเหล่านี้ ซึ่งส่งผลให้ข้อมูลประจำตัวของพวกเขาต้องตกอยู่ในอันตรายจากการโจมตีแบบฟิชชิ่ง (Phishing Attacks) ถึงแม้ว่า Apple จะมีชื่อเสียงโด่งดังในด้านการรักษาความปลอดภัยของอุปกรณ์ต่างๆ ก็ตาม แต่สำหรับระบบรักษาความปลอดภัยในบริการคลาวด์ พวกเขาจะให้คำอธิบายเกี่ยวกับเรื่องนี้อย่างไร?

ทางฝ่าย Apple ก็ได้ออกมาพูดเกี่ยวกับเรื่องนี้ว่า ข้อมูลถูกเข้ารหัส (Encrypted) ทั้งในระหว่างการขนส่งข้อมูล (โดยใช้ SSL) และขณะพักอยู่บนเซิร์ฟเวอร์ ซึ่งแทนที่จะใช้การเข้ารหัสแบบ AES 256 bit เหมือนกันทั้งหมด แต่พวกเขากลับใช้การเข้ารหัสแบบ "AES ขั้นต่ำ 128 bit" ซึ่งมีความปลอดภัยน้อยกว่ามาก และมีเพียงสิ่งเดียวที่เราเห็นว่าพวกเขาใช้ 256-bit นั่นก็คือ การนำมาใช้กับ iCloud Keychain (ใช้ในการจัดเก็บและส่ง Passwords และข้อมูลบัตรเครดิต นอกจากนี้ ก็ยังใช้การเข้ารหัสในรูปแบบ Elliptic Curve ที่เป็นการเข้ารหัสแบบอสมมาตร หรือ Asymmetric Cryptography โดยกุญแจที่ใช้เข้ารหัสจะแตกต่างกับกุญแจที่ใช้ถอดรหัส รวมถึงการทำ Key Wrapping ซึ่งก็ถือว่าเป็นเรื่องที่ดี) ดังนั้น ต้องถือว่าข้อมูลอื่นๆ ทั้งหมดได้รับการคุ้มครองโดยการเข้ารหัสที่อ่อนแอกว่า ซึ่งไม่ได้ให้การสนับสนุนเป็นพิเศษ

อย่างไรก็ตาม กุญแจการเข้ารหัส (Encryption Key) ของ iCloud Keychain นั้น ถูกสร้างขึ้นบนอุปกรณ์ของคุณเองและ Apple ก็ไม่สามารถเข้าถึงได้ โดย Apple ได้กล่าวว่ามันไม่สามารถเข้าถึงเนื้อหาสำคัญใดๆ ที่สามารถใช้ในการถอดรหัสข้อมูลนั้นได้ จะมีก็เพียงแต่อุปกรณ์ที่เชื่อถือได้ที่คุณอนุมัติเท่านั้น ที่จะสามารถเข้าถึง iCloud Keychain ได้

นอกจากนี้ ก็ยังมีการใช้โทเค็นความปลอดภัย (Secure Token) เพื่อยืนยันตัวตนทางอิเล็กทรอนิกส์ (Authentication) เมื่อเข้าถึง iCloud จากแอปพลิเคชั่นอื่นๆ ของ Apple (เช่น Mail และ Calendar) และยังมีตัวเลือกการยืนยันตัวตนแบบสองขั้นตอน หรือ Two-step Verification (ซึ่งสามารถเปิดใช้งานได้ที่ https://appleid.apple.com/account/home) โดยยืนยันตัวตนผ่านทาง Text Message หรืออุปกรณ์ Generate Code ที่สร้างขึ้นมาเพื่อการเปลี่ยนแปลงข้อมูลบัญชี หรือลงชื่อเข้าใช้ iCloud จากอุปกรณ์ใหม่

Google Drive

Google เองก็ยังเคยตกเป็นเหยื่อที่เกิดจากความปลอดภัยของรหัสผ่านที่เสี่ยงต่อการโจมตี (Password Compromise) ซึ่งส่งผลกระทบต่อบริการต่างๆ มากมายของพวกเขา เนื่องจากเมื่อปีที่ผ่านมาได้มีรายงานว่าบัญชี Gmail เกือบ 5 ล้านบัญชีถูกแฮ็ก ขณะที่มีการ Dump Database ใน Russian Security Forum

เนื่องจาก Google Drive ใช้บัญชี Google เดียวกัน เพื่อลงชื่อเข้าใช้ด้วย Gmail ดังนั้นผลที่ตามมาก็คือ ทุกสิ่งทุกอย่างมีโอกาสที่จะได้รับอันตรายจากการบุกรุก อย่างไรก็ตาม กลับกลายเป็นว่าการ Dump ข้อมูลในครั้งนั้นเป็น Passwords เก่าที่ถูก Phishing และมีอย่างน้อย 2% ที่อาจจะยังใช้งานได้ แต่ทั้งหมดก็ได้ถูก Google รีเซ็ตไปเรียบร้อยแล้ว

เรื่องนี้แสดงให้ว่าการรักษาความปลอดภัยของการให้บริการนั้นมีความสำคัญมากน้อยแค่ไหน ยกตัวอย่างเช่น Google Drive ที่ใช้บัญชีเดียวกันในการเข้าถึงบริการต่างๆ ทั้งนี้ก็คงต้องขึ้นอยู่กับการป้องกันของผู้ใช้ในการที่จะ Login เข้าสู่ระบบนั้นๆ และในขณะนี้ Google ก็ได้เปลี่ยนมาใช้ HTTPS กับบริการทั้งหมด ซึ่งก็ต้องขอปรบมือให้กับการแก้ไขปัญหาในครั้งนี้ และพวกเขาก็ยังใช้มาตรการภายในเพื่อจับตาดูกิจกรรมการเข้าสู่ระบบของบัญชีที่เสี่ยงต่อการถูกโจมตี (Compromised Account) ด้วยเช่นกัน

นอกจากนี้ ทาง Google ก็ยังนำเสนอการยืนยันตัวตนแบบสองขั้นตอน (Two-step Verification) เช่นเดียวกับบริการอื่นๆ ที่กล่าวถึงในบทความนี้ ในส่วนของข้อมูลของคุณนั้น สิ่งนี้จะถูกเข้ารหัสในระหว่างการขนส่ง (ทั้งไปและกลับจากอุปกรณ์ของคุณ และระหว่างศูนย์ข้อมูลของ Google) โดยใช้ SSL แต่ก็ยังมีบางส่วนอย่างเช่น iCloud ที่ยังคงใช้ AES 128 บิต

OneDrive

แม้ว่า Microsoft Windows จะถูกยกให้เป็นแพลตฟอร์มเป้าหมายอันดับหนึ่งสำหรับแฮกเกอร์และอาชญากรคอมพิวเตอร์ (Cybercriminal) ก็ตาม ถึงตอนนี้ OneDrive (ซึ่งก่อนหน้านี้เราเรียกกันว่า SkyDrive) ก็ยังคงรอดพ้นจากพาดหัวข่าวเกี่ยวกับการละเมิดร้ายแรงต่างๆ (Serious Breach)

นี่คงหมายความว่ามันเป็นบริการที่ปลอดภัยที่สุด ถ้าเทียบจากทั้งหมดที่เราได้กล่าวมาอย่างนั้นใช่หรือไม่? ซึ่งหากจะพูดแบบนั้นก็ไม่ถูก เพราะจริงๆ แล้วก็ไม่มีใครที่ได้รับความเสียหายจากการละเมิดข้อมูลโดยตรง แต่จะพบในรูปแบบของการเข้าถึง User ที่ถูกใช้โดยผู้อื่น (User Compromised) เสียมากกว่า ซึ่งนั่นก็ถือเป็นอีกหนึ่งที่มาของความสนใจในเรื่องนี้ของเรา

ความกังวลของประชาชนส่วนใหญ่เกี่ยวกับความปลอดภัยของ OneDrive นั้น แท้จริงแล้วเป็นความผิดพลาดจากความรู้เท่าไม่ถึงการณ์ของผู้ใช้งาน (User Error) ที่เพิ่มเข้าไปใหม่ ตลอดจนสิทธิ์การแชร์ไฟล์ที่ไม่ถูกต้องและความไม่แข็งแกร่งของรหัสผ่าน ซึ่งอันที่จริงแล้วไฟล์ต่างๆ จะไม่ถูกแชร์กับบุคคลอื่น เว้นแต่คุณจะบันทึกไว้ในโฟลเดอร์สาธารณะ หรือเลือกที่จะแชร์พวกมันเอง

ไมโครซอฟท์ขอสงวนสิทธิ์ในการสแกนไฟล์ของคุณสำหรับ "เนื้อหาที่ไม่เหมาะสม" (เช่นเดียวกับ Apple iCloud) ซึ่งอาจนำไปสู่การลบข้อมูลและ Account ของคุณ อย่างไรก็ตามหลายคนยังมองว่า นี่เป็นเหตุผลที่ต้องมองหาผู้ให้บริการรายอื่นๆ เนื่องจากไม่มีอะไรที่จะรับประกันความปลอดภัยให้กับไฟล์ของพวกเขาได้ หากผู้ให้บริการเห็นว่าเนื้อหานั้นไม่เหมาะสม

ในส่วนของความปลอดภัยของข้อมูลที่นอกเหนือขอบเขตการสอดแนม (Snooping) ขณะที่ข้อมูลถูกเข้ารหัสระหว่างการขนส่งโดยใช้ SSL นั้น มันจะยังคงไม่มีการเข้ารหัสส่วนที่เหลือ นอกจากคุณจะเป็นผู้ใช้ประเภท OneDrive for Business เนื่องจาก เมื่อปลายปีที่แล้ว Microsoft ได้เปิดตัวการเข้ารหัสข้อมูลแต่ละไฟล์ (Per-file Encryption) ซึ่งเป็นการเข้ารหัสไฟล์แต่ละไฟล์ด้วยคีย์เฉพาะ ดังนั้นในกรณีที่คีย์มีความเสี่ยง (Compromised) มันก็จะสามารถเข้าถึงได้เพียงแค่ไฟล์เดียวเท่านั้น แทนที่จะเป็นไฟล์ทั้งหมดที่ได้รับการจัดเก็บ

อย่างไรก็ดี ผู้ใช้ OneDrive ทุกคนสามารถเข้าถึงการยืนยันตัวตนแบบสองขั้นตอนได้ ซึ่งจะเลือกเป็นการเพิ่มการปกป้อง Login ผ่านแอปพลิเคชั่น One Time Code หรือ Text Message ก็ได้เช่นกัน

สรุป "Cloud Storage" ปลอดภัยแค่ไหน

แม้ว่าระบบ Cloud อื่นๆ ที่เราไม่ได้พูดถึงจะมีหลายๆ เรื่องที่ยังคงคลุมเครืออยู่เกี่ยวกับระบบรักษาความปลอดภัย แต่ข้อเท็จจริงก็คือ ระบบรักษาความปลอดภัยของข้อมูลนั้นไม่เคยที่จะชัดเจน และคุณเองก็ไม่สามารถที่จะเห็นได้ครบในทุกแง่มุมของมันได้

การที่จะได้มาซึ่งโซลูชั่นการจัดเก็บข้อมูลที่ปลอดภัย 100% นั้นเป็นเรื่องที่เป็นไปไม่ได้ แต่ถ้าจะให้เปรียบเทียบก็คงจะคล้ายกับการวิ่งไล่จับเงาตัวเอง เพราะดูเหมือนว่าคุณจะเข้าใกล้มันไปทุกที แต่ก็จะไม่มีวันทำเช่นนั้นได้ ดังนั้น คุณต้องพิจารณาว่าผู้ให้บริการรายใดบ้างที่ "ใกล้เคียง" กับบริการคลาวด์ที่ทำให้คุณต้องกังวล อย่างไรก็ตาม การตัดสินใจครั้งนี้คุณอาจจะต้องพิจารณาอย่างรอบคอบ เพราะถ้าหากคุณเป็นธุรกิจที่จะต้องได้รับการควบคุมและจำเป็นต้องปฏิบัติตามข้อกำหนด นั่นอาจหมายความว่า ข้อมูลบางอย่างของคุณไม่สามารถที่จะเก็บไว้ในระบบคลาวด์ได้

อย่างไรก็ดี สำหรับผู้บริโภคและผู้ใช้งานที่เป็นกลุ่มธุรกิจขนาดเล็ก ทุกวันนี้เราพบว่าระบบคลาวด์ส่วนใหญ่ก็ค่อนข้างที่จะปลอดภัย ประเด็นสำคัญก็คือ การเข้ารหัสข้อมูล (Data encryption) เพราะผู้ให้บริการระบบจัดเก็บข้อมูลผ่านระบบคลาวด์เกือบจะทุกค่ายจะเข้ารหัสข้อมูลระหว่างทาง กล่าวคือระหว่างที่ถูกถ่ายโอนเข้าและออกจากระบบคลาวด์ และผู้ให้บริการบางราย (โดยปกติถ้าคุณซื้อบริการในเวอร์ชั่นธุรกิจ) ก็จะเข้ารหัสในส่วนที่เหลือหรือขณะที่มันกำลังถูกจัดเก็บ ด้วยเช่นกัน

ในส่วนของข้อมูลที่ไม่ถูกเข้ารหัสส่วนที่เหลือ ซึ่งหากเป็นไปได้ผู้ให้บริการคลาวด์จะทำการจัดการคีย์ (Key) นั่นก็หมายความว่า ข้อมูลสามารถจัดทำดัชนี (Index), กำจัดข้อมูลที่ซ้ำซ้อน (De-duplicated), บีบอัด (Compressed) และกู้คืน (Restored) ได้ง่ายๆ ในสถานการณ์ที่เลวร้ายที่สุด นอกจากนี้ก็ยังเป็นการบ่งบอกด้วยว่าข้อมูลของคุณนั้นไม่ปลอดภัยเท่าที่ควร

หากคุณต้องการทำให้แน่ใจว่าข้อมูลของคุณจะไม่มีใครสามารถแอบดูได้ ให้เข้ารหัสด้วยตัวคุณเองก่อนที่จะส่งไปยังผู้ให้บริการระบบจัดเก็บข้อมูลแบบคลาวด์ (Cloud Storage) ของคุณ และในกรณีที่คุณควบคุมกุญแจได้แล้ว บุคคลผู้ไม่ประสงค์ดีก็ไม่สามารถแอบดูในขณะที่คุณไม่รู้ตัว อีกต่อไป

การควบคุมความปลอดภัยของข้อมูลที่เป็นของคุณเองโดยใช้บริการการเข้ารหัสแบบ Fly Encryption อย่างเช่น BoxCryptor นั้น เป็นขั้นตอนที่ดีในการลดความเสี่ยงในระบบคลาวด์

อีกสิ่งหนึ่งที่ควรระวังไว้ก็คือ Security Link ที่อ่อนแอที่สุดไม่ใช่ผู้ให้บริการคลาวด์ แต่เป็นตัวคุณเอง ดังนั้น ผู้ใช้งานจะต้องดำเนินตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในแง่ของการสร้าง Password และการใช้งาน (อย่าใช้รหัสผ่านซ้ำๆ ในบริการต่างๆ) รวมถึงการใช้ระบบการยืนยันตัวตนผ่านสองขั้นตอน (Two-factor Authentication) ในกรณีที่สามารถทำได้ นอกจากนี้ระดับของการลดความเสี่ยง หรือ Risk Mitigation ของคุณ ก็จะดีขึ้นตามลำดับ

ที่มา: https://bit.ly/30vgjtY