ตรวจสุขภาพ Google Apps (security check) สำหรับผู้ดูแลระบบ
Google Apps คือชุดเครื่องมือในการสื่อสาร และทำงานร่วมกัน (messaging and collaboration tools) ที่องค์กรจำนวนมากเลือกใช้บริการ เนื่องจากเป็นบริการ Software-as-a-Service ที่ทำให้องค์กรได้ใช้งานเทคโนโลยีล่าสุด ด้วยต้นทุนที่ต่ำได้ ลดค่าใช้จ่ายและเพิ่มประสิทธิภาพการทำงานในองค์กร ทั้งยังมีความปลอดภัยสูง
Google Apps เปิดให้องค์กรแต่ละที่ สามารถกำหนดค่าต่างๆ ของระบบ เพื่อให้เหมาะสมกับองค์กรนั้นๆ ได้ เช่น แบ่งกลุ่มผู้ใช้เป็นหลายๆ ระดับ ปิดบาง service ในกลุ่มผู้ใช้บางกลุ่ม หรือกำหนดค่าสูงสุดในการแชร์เอกสาร โดยการกำหนดค่าต่างๆ เหล่านี้ มีรายละเอียดอีกมาก และด้วยการพัฒนาอย่างต่อเนื่อง ก็ทำให้จะมีการตั้งค่าแบบใหม่ๆ เพิ่มขึ้นมาอยู่ตลอด
องค์กรที่มีการจัดการอย่างดี ควรจะมีบุคคล และ ขั้นตอน ในการสอบทานการกำหนดค่าต่างๆ เพื่อให้แน่ใจได้ว่า เมื่อมีความสามารถใหม่ๆ เพิ่มขึ้นมา องค์กรนั้นจะสามารถปรับใช้เพื่อให้เกิดประโยชน์กับองค์กรได้อย่างเหมาะสม และเพื่อให้แน่ใจว่าการตั้งค่าต่างๆ ไม่ได้ถูกเปลี่ยนแปลงจนเกิดความเสี่ยงเพิ่มขึ้น โดยอาจจะกำหนดเป็น คณะบุคคล และมีรอบการตรวจสอบการตั่งค่า เป็นรายเดือนหรือรายไตรมาส
สำหรับใครที่มีส่วนรับผิดชอบตรงนี้อยู่ ทั้งทางตรงและทางอ้อม สามารถใช้แนวทางในการประเมินความปลอดภัยตามหัวข้อด้านล่างนี้ได้เลย โดยรายการต่อไปนี้ จะเป็นหัวข้อ และการตั้งค่าที่แนะนำ หากการตั้งค่าขององค์กรไม่ตรงกับที่แนะนำไว้ ก็ลองพิจารณาเพื่อปรับเปลี่ยน ดำเนินการตามความเหมาะสมได้
หัวข้อที่จะกล่าวถึงในบทความ มีดังต่อไปนี้
Admin console > Security > Password monitoring
รวมถึงการเปิด 2-step verification และโปรโมทการใช้งาน เพื่อเพิ่มความปลอดภัยให้ account user
องค์กรที่มี admin หลายคน ไม่ควรให้สิทธิ์ super admin โดยไม่จำเป็น และควรจะให้สิทธิ์เท่าที่ต้องใช้งานเท่านั้น สามารถเข้าไปจัดการสิทธิ์ admin ได้ที่
Admin console > Admin role
super admin ควรจะมีแค่ account เดียวเท่านั้น (และควรจะเป็น account แยกออกมาโดยเฉพาะ ไม่ใช่ account ที่ใช้งานทุกวัน) admin ทุกคนควรจะเปิดใช้ 2-step verification
สามารถเข้าไปจัดการได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > Automatic forwarding
สามารถเข้าไปจัดการได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > POP and IMAP access > Disable POP and IMAP access for all users.
ตรวจสอบ approved sender list ได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > Spam
เราจะมาตรวจสอบกันว่าการตั้งค่าปลอดภัยหรือไม่ SPF, DKIM, DMARC เรียบร้อยในทุกโดเมนหรือไม่ อ่านรายละเอียดเพิ่มเติมได้ที่ ป้องกันอีเมลสวมรอย (Email spoofing) ด้วย SPF, DKIM และ DMARC
เข้าไปตั้งค่าได้ที่
Admin console > Device management > Set up
การกำหนดค่าในกลุ่มนี้ เป็นส่วนที่องค์กรสามารถออกแบบและบังคับใช้ เพื่อให้เกิดความเสี่ยงน้อยที่สุด ทั้งนี้การออกแบบที่ครอบคลุม จะต้องรวมถึงขั้นตอนในการ monitor เหตุการณ์ผิดปกติ และแนวทางปฏิบัติสำหรับเหตุการณ์แต่ละอย่าง หากมีโอกาสจะมาเล่าให้ฟังเพิ่มเติมนะครับ
สำหรับคนที่สนใจใช้งาน Google Apps หรืออยากขอคำปรึกษาด้านการตั้งค่าในส่วนต่างๆ เพื่อให้เหมาะสมกับความต้องการขององค์กร สามารถติดต่อได้ที่ tangerine ครับ
Google Apps เปิดให้องค์กรแต่ละที่ สามารถกำหนดค่าต่างๆ ของระบบ เพื่อให้เหมาะสมกับองค์กรนั้นๆ ได้ เช่น แบ่งกลุ่มผู้ใช้เป็นหลายๆ ระดับ ปิดบาง service ในกลุ่มผู้ใช้บางกลุ่ม หรือกำหนดค่าสูงสุดในการแชร์เอกสาร โดยการกำหนดค่าต่างๆ เหล่านี้ มีรายละเอียดอีกมาก และด้วยการพัฒนาอย่างต่อเนื่อง ก็ทำให้จะมีการตั้งค่าแบบใหม่ๆ เพิ่มขึ้นมาอยู่ตลอด
องค์กรที่มีการจัดการอย่างดี ควรจะมีบุคคล และ ขั้นตอน ในการสอบทานการกำหนดค่าต่างๆ เพื่อให้แน่ใจได้ว่า เมื่อมีความสามารถใหม่ๆ เพิ่มขึ้นมา องค์กรนั้นจะสามารถปรับใช้เพื่อให้เกิดประโยชน์กับองค์กรได้อย่างเหมาะสม และเพื่อให้แน่ใจว่าการตั้งค่าต่างๆ ไม่ได้ถูกเปลี่ยนแปลงจนเกิดความเสี่ยงเพิ่มขึ้น โดยอาจจะกำหนดเป็น คณะบุคคล และมีรอบการตรวจสอบการตั่งค่า เป็นรายเดือนหรือรายไตรมาส
 |
| การประชุมหารือแนวทางการปรับใช้ความสามารถใหม่ๆ ใน Google Apps อยู่เสมอ ช่วยให้องค์กรประยุกต์ใช้งานได้ทันที (ภาพจาก: lebischenberg.com) |
สำหรับใครที่มีส่วนรับผิดชอบตรงนี้อยู่ ทั้งทางตรงและทางอ้อม สามารถใช้แนวทางในการประเมินความปลอดภัยตามหัวข้อด้านล่างนี้ได้เลย โดยรายการต่อไปนี้ จะเป็นหัวข้อ และการตั้งค่าที่แนะนำ หากการตั้งค่าขององค์กรไม่ตรงกับที่แนะนำไว้ ก็ลองพิจารณาเพื่อปรับเปลี่ยน ดำเนินการตามความเหมาะสมได้
หัวข้อที่จะกล่าวถึงในบทความ มีดังต่อไปนี้
- Strong passwords + 2SV
- Role access
- Disable automatic mail forwarding
- Disable POP/IMAP
- Review approved sender list
- SPF/DKIM/DMARC
- Enforcing device policies
Strong passwords + 2SV
ตรวจสอบความแข็งแรงของ password ของ user แต่ละคน สามารถดูได้ที่Admin console > Security > Password monitoring
รวมถึงการเปิด 2-step verification และโปรโมทการใช้งาน เพื่อเพิ่มความปลอดภัยให้ account user
Role access
องค์กรที่มี admin หลายคน ไม่ควรให้สิทธิ์ super admin โดยไม่จำเป็น และควรจะให้สิทธิ์เท่าที่ต้องใช้งานเท่านั้น สามารถเข้าไปจัดการสิทธิ์ admin ได้ที่Admin console > Admin role
super admin ควรจะมีแค่ account เดียวเท่านั้น (และควรจะเป็น account แยกออกมาโดยเฉพาะ ไม่ใช่ account ที่ใช้งานทุกวัน) admin ทุกคนควรจะเปิดใช้ 2-step verification
Disable automatic mail forwarding
ปิดไม่ให้ user สามารถตั้ง forwarding rule เพื่อถ่ายอีเมลออกไปที่อื่นๆ โดยที่ user บางคนมีพฤติกรรม forward อีเมลงานทั้งหมด ไปเข้าอีเมลส่วนตัว นั่นทำให้ admin ไม่สามารถให้ความปลอดภัยกับข้อมูลชุดนั้นได้ เช่น ในกรณี account ส่วนตัวนั้นถูก phishing ไป ข้อมูลองค์กรก็จะรั่วไหลโดยที่ admin ไม่สามารถทำอะไรได้เลยสามารถเข้าไปจัดการได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > Automatic forwarding
Disable POP/IMAP
คล้ายกับหัวข้อที่แล้ว การเปิดให้ใช้ POP/IMAP นั้น ทำให้ข้อมูลถูกเก็บไว้ที่ mail client ซึ่ง admin ไม่สามารถให้ความปลอดภัยกับข้อมูลชุดนั้นได้ เช่น ในกรณีเครื่องที่มี mail client นั้น ถูกเข้าถึงโดยไม่ได้รับอนุญาติสามารถเข้าไปจัดการได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > POP and IMAP access > Disable POP and IMAP access for all users.
Review approved sender list
Approved sender list คือรายชื่อโดเมน หรืออีเมล ที่เราใส่ไว้ เพื่อข้ามการกรอง spam (เรียกว่า spam whitelist อาจจะเข้าใจง่ายกว่า) ทั้งนี้ ไม่ควรใส่ whitelist มากจนเกินไป เพราะนั่นหมายถึงความเสี่ยงที่เราจะได้รับ spam ที่ปลอมเป็นโดเมนนั้นๆ ได้ง่ายขึ้นด้วย ทางออกที่ดีกว่าการทำ whitelist ก็คือ ฝั่งผู้ส่งควรจะ implement SPF, DKIM, DMARCตรวจสอบ approved sender list ได้ที่
Admin console > Apps > Google Apps > Gmail > Advanced settings > Spam
SPF/DKIM/DMARC
เราสามารถป้องกัน spammer ที่จะมาสวมรอยโดเมนเราได้ ด้วยการใช้ SPF, DKIM, DMARC หากองค์กรมีหลายโดเมน ก็ให้ตรวจสอบทุกโดเมน ว่ามีการ implementเราจะมาตรวจสอบกันว่าการตั้งค่าปลอดภัยหรือไม่ SPF, DKIM, DMARC เรียบร้อยในทุกโดเมนหรือไม่ อ่านรายละเอียดเพิ่มเติมได้ที่ ป้องกันอีเมลสวมรอย (Email spoofing) ด้วย SPF, DKIM และ DMARC
Enforcing device policies
การใช้งานจาก mobile device (จำพวก smartphone, tablet) นั้น ช่วยให้ user ทำงานได้สะดวกขึ้นมาก ทั้งนี้หาก device ดังกล่าว ถูกเข้าถึงได้ง่าย ก็จะเป็นความเสี่ยงเช่นกัน admin สามารถกำหนดค่าเพื่อบังคับเครื่องปลายทาง ให้ตั้งค่าความปลอดภัยได้ เช่น บังคับตั้ง passcode หน้า lock screen รวมถึงการที่ admin สามารถสั่ง factory reset ไปที่เครื่อง user ได้ในกรณีที่เครื่องสูญหายเข้าไปตั้งค่าได้ที่
Admin console > Device management > Set up
การกำหนดค่าในกลุ่มนี้ เป็นส่วนที่องค์กรสามารถออกแบบและบังคับใช้ เพื่อให้เกิดความเสี่ยงน้อยที่สุด ทั้งนี้การออกแบบที่ครอบคลุม จะต้องรวมถึงขั้นตอนในการ monitor เหตุการณ์ผิดปกติ และแนวทางปฏิบัติสำหรับเหตุการณ์แต่ละอย่าง หากมีโอกาสจะมาเล่าให้ฟังเพิ่มเติมนะครับ
สำหรับคนที่สนใจใช้งาน Google Apps หรืออยากขอคำปรึกษาด้านการตั้งค่าในส่วนต่างๆ เพื่อให้เหมาะสมกับความต้องการขององค์กร สามารถติดต่อได้ที่ tangerine ครับ
ความคิดเห็น
แสดงความคิดเห็น