สำหรับคนที่ทำงานด้าน devOps หรือมีส่วนเกี่ยวข้องกับงานเครือข่ายและโครงสร้างพื้นฐาน จำเป็นมากที่ต้องดำเนินการทั้งป้องกัน การปรับปรุง โครงสร้างพื้นฐานและระบบที่ดูแลอยู่ให้มีความปลอดภัยเสมอ ผมได้แยกไว้เป็นข้อๆดังนี้
- ยกเลิกการเข้าถึง server ทาง ftp และ sftp โดยนำ code มาไว้บน git server ซึ่งทีมสามารถทำงานด้วยกัน เพื่อป้องกันความเสี่ยงในการทำงานซ้ำซ้อน ปิดช่องทางการถูกโจมตี และสามารถนำไปใช้งานอัตโนมัติด้วยการทำ automate tasks ผ่าน CI/CD
- ถ้าเป็น git server ของบริษัท ผู้ใช้งานต้องสามารถเข้าถึง server จากไอพีที่ได้รับอนุญาตเท่านั้น เพื่อป้องกันการใช้งานผ่านเครือข่ายที่ไม่ปลอดภัยหรือมีความเสี่ยงสูง เช่น internet cafe, ร้านกาแฟ, บริการ public internet หรือตามห้างร้านต่างๆ วิธีที่ง่ายสุดและนิยมกันก็คือเข้าใช้งานผ่านทาง VPN
- เว็บเก่าๆโบราณๆที่มันยังทำงานอยู่ แม้ว่าจะทำงานบน runtime environment เก่าๆที่มีความเสี่ยงสูง เช่น รันบน PHP5 (คุยกับ Sathit Seethaphon ต๊ะเล่าให้ฟังว่าของผมเป็น PHP4 ก็มี) เว็บพวกนี้ควรถูกเรียกใช้งานผ่าน proxy อย่าง nginx หรือ openResty ที่เปิดฟังชั่น WAF (web application firewall) ซึ่งจะป้องกันการโจมตีด้วยวิธี inject data หรือการผ่าน parameters ไปยังเว็บข้างหลัง
- มีการเตรียมพร้อมรับมือ DNS Flag Day ก่อนวันที่ 1 กุมภาพันธ์ 2562 นี้ ซึ่งเป็นการเริ่มต้นใช้งานมาตราฐาน EDNS สามารถตรวจสอบโดเมนของเราได้ที่นี่
- เลิกใช้งาน hardware เก่าประเภทสามวันดีสี่วันป่วย ที่ต้องเสียเวลาในการซ่อมบำรุงรักษา เลิกใช้เหอะยังไงก็ไม่คุ้ม
- มีระบบ monitor ที่มีระบบแจ้งเตือนความเสียหาย ยิ่งสามารถพยากรณ์ล่วงหน้าได้ยิ่งดี ตัวอย่างเช่นการใช้งาน public cloud ที่มีทรัพยากรจำกัด ใช้ไปสามวันเจ็ดวัน log file กินพื้นที่จัดเก็บเต็มซะแล้ว อันนี้ระบบแจ้งเตือนจะมีประโยชน์มาก
ขอได้รับความขอบคุณจาก แมวพิกเจอร์