ตรวจสุขภาพ Google Apps (security check) สำหรับผู้ดูแลระบบ

Google Apps คือชุดเครื่องมือในการสื่อสาร และทำงานร่วมกัน (messaging and collaboration tools) ที่องค์กรจำนวนมากเลือกใช้บริการ เนื่องจากเป็นบริการ Software-as-a-Service ที่ทำให้องค์กรได้ใช้งานเทคโนโลยีล่าสุด ด้วยต้นทุนที่ต่ำได้ ลดค่าใช้จ่ายและเพิ่มประสิทธิภาพการทำงานในองค์กร ทั้งยังมีความปลอดภัยสูง

Google Apps เปิดให้องค์กรแต่ละที่ สามารถกำหนดค่าต่างๆ ของระบบ เพื่อให้เหมาะสมกับองค์กรนั้นๆ ได้ เช่น แบ่งกลุ่มผู้ใช้เป็นหลายๆ ระดับ ปิดบาง service ในกลุ่มผู้ใช้บางกลุ่ม หรือกำหนดค่าสูงสุดในการแชร์เอกสาร โดยการกำหนดค่าต่างๆ เหล่านี้ มีรายละเอียดอีกมาก และด้วยการพัฒนาอย่างต่อเนื่อง ก็ทำให้จะมีการตั้งค่าแบบใหม่ๆ เพิ่มขึ้นมาอยู่ตลอด

องค์กรที่มีการจัดการอย่างดี ควรจะมีบุคคล และ ขั้นตอน ในการสอบทานการกำหนดค่าต่างๆ เพื่อให้แน่ใจได้ว่า เมื่อมีความสามารถใหม่ๆ เพิ่มขึ้นมา องค์กรนั้นจะสามารถปรับใช้เพื่อให้เกิดประโยชน์กับองค์กรได้อย่างเหมาะสม และเพื่อให้แน่ใจว่าการตั้งค่าต่างๆ ไม่ได้ถูกเปลี่ยนแปลงจนเกิดความเสี่ยงเพิ่มขึ้น โดยอาจจะกำหนดเป็น คณะบุคคล และมีรอบการตรวจสอบการตั่งค่า เป็นรายเดือนหรือรายไตรมาส

การประชุมหารือแนวทางการปรับใช้ความสามารถใหม่ๆ ใน Google Apps อยู่เสมอ ช่วยให้องค์กรประยุกต์ใช้งานได้ทันที
(ภาพจาก: lebischenberg.com)

สำหรับใครที่มีส่วนรับผิดชอบตรงนี้อยู่ ทั้งทางตรงและทางอ้อม สามารถใช้แนวทางในการประเมินความปลอดภัยตามหัวข้อด้านล่างนี้ได้เลย โดยรายการต่อไปนี้ จะเป็นหัวข้อ และการตั้งค่าที่แนะนำ หากการตั้งค่าขององค์กรไม่ตรงกับที่แนะนำไว้ ก็ลองพิจารณาเพื่อปรับเปลี่ยน ดำเนินการตามความเหมาะสมได้

หัวข้อที่จะกล่าวถึงในบทความ มีดังต่อไปนี้

  • Strong passwords + 2SV
  • Role access
  • Disable automatic mail forwarding
  • Disable POP/IMAP
  • Review approved sender list
  • SPF/DKIM/DMARC
  • Enforcing device policies

Strong passwords + 2SV

ตรวจสอบความแข็งแรงของ password ของ user แต่ละคน สามารถดูได้ที่
Admin console >  Security > Password monitoring

รวมถึงการเปิด 2-step verification และโปรโมทการใช้งาน เพื่อเพิ่มความปลอดภัยให้ account user


Role access

องค์กรที่มี admin หลายคน ไม่ควรให้สิทธิ์ super admin โดยไม่จำเป็น และควรจะให้สิทธิ์เท่าที่ต้องใช้งานเท่านั้น สามารถเข้าไปจัดการสิทธิ์ admin ได้ที่
Admin console > Admin role

super admin ควรจะมีแค่ account เดียวเท่านั้น (และควรจะเป็น account แยกออกมาโดยเฉพาะ ไม่ใช่ account ที่ใช้งานทุกวัน) admin ทุกคนควรจะเปิดใช้ 2-step verification

Disable automatic mail forwarding

ปิดไม่ให้ user สามารถตั้ง forwarding rule เพื่อถ่ายอีเมลออกไปที่อื่นๆ โดยที่ user บางคนมีพฤติกรรม forward อีเมลงานทั้งหมด ไปเข้าอีเมลส่วนตัว นั่นทำให้ admin ไม่สามารถให้ความปลอดภัยกับข้อมูลชุดนั้นได้ เช่น ในกรณี account ส่วนตัวนั้นถูก phishing ไป ข้อมูลองค์กรก็จะรั่วไหลโดยที่ admin ไม่สามารถทำอะไรได้เลย

สามารถเข้าไปจัดการได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > Automatic forwarding

Disable POP/IMAP

คล้ายกับหัวข้อที่แล้ว การเปิดให้ใช้ POP/IMAP นั้น ทำให้ข้อมูลถูกเก็บไว้ที่ mail client ซึ่ง admin ไม่สามารถให้ความปลอดภัยกับข้อมูลชุดนั้นได้ เช่น ในกรณีเครื่องที่มี mail client นั้น ถูกเข้าถึงโดยไม่ได้รับอนุญาติ

สามารถเข้าไปจัดการได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > POP and IMAP access > Disable POP and IMAP access for all users.

Review approved sender list

Approved sender list คือรายชื่อโดเมน หรืออีเมล ที่เราใส่ไว้ เพื่อข้ามการกรอง spam (เรียกว่า spam whitelist อาจจะเข้าใจง่ายกว่า) ทั้งนี้ ไม่ควรใส่ whitelist มากจนเกินไป เพราะนั่นหมายถึงความเสี่ยงที่เราจะได้รับ spam ที่ปลอมเป็นโดเมนนั้นๆ ได้ง่ายขึ้นด้วย ทางออกที่ดีกว่าการทำ whitelist ก็คือ ฝั่งผู้ส่งควรจะ implement SPF, DKIM, DMARC

ตรวจสอบ approved sender list ได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > Spam

SPF/DKIM/DMARC

เราสามารถป้องกัน spammer ที่จะมาสวมรอยโดเมนเราได้ ด้วยการใช้ SPF, DKIM, DMARC หากองค์กรมีหลายโดเมน ก็ให้ตรวจสอบทุกโดเมน ว่ามีการ implement

เราจะมาตรวจสอบกันว่าการตั้งค่าปลอดภัยหรือไม่ SPF, DKIM, DMARC เรียบร้อยในทุกโดเมนหรือไม่ อ่านรายละเอียดเพิ่มเติมได้ที่ ป้องกันอีเมลสวมรอย (Email spoofing) ด้วย SPF, DKIM และ DMARC

Enforcing device policies

การใช้งานจาก mobile device (จำพวก smartphone, tablet) นั้น ช่วยให้ user ทำงานได้สะดวกขึ้นมาก ทั้งนี้หาก device ดังกล่าว ถูกเข้าถึงได้ง่าย ก็จะเป็นความเสี่ยงเช่นกัน admin สามารถกำหนดค่าเพื่อบังคับเครื่องปลายทาง ให้ตั้งค่าความปลอดภัยได้ เช่น บังคับตั้ง passcode หน้า lock screen รวมถึงการที่ admin สามารถสั่ง factory reset ไปที่เครื่อง user ได้ในกรณีที่เครื่องสูญหาย

เข้าไปตั้งค่าได้ที่
Admin console > Device management > Set up


การกำหนดค่าในกลุ่มนี้ เป็นส่วนที่องค์กรสามารถออกแบบและบังคับใช้ เพื่อให้เกิดความเสี่ยงน้อยที่สุด ทั้งนี้การออกแบบที่ครอบคลุม จะต้องรวมถึงขั้นตอนในการ monitor เหตุการณ์ผิดปกติ และแนวทางปฏิบัติสำหรับเหตุการณ์แต่ละอย่าง หากมีโอกาสจะมาเล่าให้ฟังเพิ่มเติมนะครับ

สำหรับคนที่สนใจใช้งาน Google Apps หรืออยากขอคำปรึกษาด้านการตั้งค่าในส่วนต่างๆ เพื่อให้เหมาะสมกับความต้องการขององค์กร สามารถติดต่อได้ที่ tangerine ครับ

Comments

Popular posts from this blog

ป้องกันอีเมลสวมรอย (Email spoofing) ด้วย SPF, DKIM และ DMARC

แนวทางการใช้ Spreadsheet เป็น Directory ด้วย Google Apps Script

การเรียกใช้งาน Google Apps Script