Cloud Security → Compliance Assessments

การประเมินความสอดคล้องบนคลาวด์

การรีวิวสถานะความปลอดภัยของระบบคลาวด์ในระดับผู้ตรวจสอบ เทียบกับมาตรฐานกำกับดูแลและมาตรฐานอุตสาหกรรม โดยยึดตาม Shared Responsibility Model

การประเมินความสอดคล้องตามมาตรฐานคลาวด์ช่วยสร้างหลักฐานที่หน่วยงานกำกับดูแล ผู้ตรวจสอบ และลูกค้าคาดหวังมากขึ้นเรื่อย ๆ สำหรับ Workload ที่อยู่บนคลาวด์ ในขณะที่ "Health Check" คลาวด์ทั่วไปเพียงไล่รายการทุกอย่างที่เครื่องมือสแกนพบ การประเมินของเราจะอ้างอิงไขว้ช่องโหว่ที่พบกับมาตรฐานเฉพาะที่องค์กรของคุณต้องรับผิดชอบ พร้อมจัดทำ Coverage Matrix ที่ยื่นให้ผู้ตรวจสอบได้โดยตรง

โดยทั่วไปการดำเนินงานครอบคลุมหนึ่ง Tenant หรือกลุ่มบัญชีต่อหนึ่งแพลตฟอร์มคลาวด์ โดยประเมินการตั้งค่าด้าน Identity บริการ เครือข่าย Logging การเข้ารหัส และ Governance เทียบกับ CIS Benchmarks และแนวทางเฉพาะของผู้ให้บริการ ในกรณีที่หน่วยงานกำกับดูแล (เช่น CSA สิงคโปร์, OJK อินโดนีเซีย, ธนาคารแห่งประเทศไทย) ประกาศข้อกำหนดเฉพาะสำหรับคลาวด์ Finding ที่พบจะเชื่อมโยงเข้ากับกรอบเหล่านั้นด้วย

การประเมินเหล่านี้ออกแบบมาไม่ให้รบกวนการทำงานของระบบ เพียงสิทธิ์เข้าถึงแบบ Read-Only ก็เพียงพอ ผลที่ได้ใช้เป็นหลักฐานประกอบการ Audit และเป็นแผนการแก้ไขที่ทีมวิศวกรนำไปทำต่อได้จริง

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

ผู้ตรวจสอบบัญชีต้องการหลักฐานเฉพาะสำหรับระบบคลาวด์

หลักฐานทั่วไปตามมาตรฐาน ISO 27001 ไม่เพียงพอสำหรับระบบงานที่ทำงานบนคลาวด์อีกต่อไป เนื่องจากผู้ตรวจสอบบัญชีเริ่มหันมาเรียกขอหลักฐานการจัดการความปลอดภัยเฉพาะระบบคลาวด์ที่สอดคล้องกับแนวทางของ CIS หรือ CCM มากยิ่งขึ้น

Configuration คือ Compliance Baseline ใหม่

การละเมิดความปลอดภัยบนคลาวด์ส่วนใหญ่มีจุดเริ่มต้นมาจากความผิดพลาดในการตั้งค่า ซึ่งการประเมินการปฏิบัติตามข้อกำหนด (Compliance assessments) จะช่วยเผยให้เห็นจุดเสี่ยงเหล่านี้ พร้อมทั้งสร้างร่องรอยหลักฐานเพื่อพิสูจน์ว่าช่องโหว่ดังกล่าวได้รับการจัดการและควบคุมดูแลแล้ว

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

Areas of assessment

สิทธิ์ IAM และสถานะความปลอดภัยของ Identity
Service configuration
การเปิดเผย Storage และข้อมูลสู่สาธารณะ
การเข้าถึงทรัพยากรสำคัญด้วยสิทธิ์ระดับต่ำ
Misconfigurations against CIS Benchmarks
Logging, Monitoring และการจัดการ Key

Compliance mapping

CIS Benchmarks (AWS, Azure, GCP, AliCloud)
CSA Cloud Controls Matrix
GDPR, HIPAA, PCI DSS ตามขอบเขตที่เกี่ยวข้อง
Regional regulator requirements
การเชื่อมโยงนโยบายภายในและมาตรการควบคุม

รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

CIS Benchmarks

CSA CCM

ISO 27001:2022

PCI DSS v4.0

CSA Singapore

OJK Indonesia

Bank of Thailand

คำถามที่พบบ่อย

คำถามจากผู้สนใจใช้บริการ

บริการนี้ต่างจาก AWS / Azure / GCP Penetration Test อย่างไร? +

การประเมินความสอดคล้องตามมาตรฐานจะเน้นการตรวจสอบตามมาตรฐานและเกณฑ์เปรียบเทียบ โดยใช้สิทธิ์การเข้าถึงแบบอ่านอย่างเดียว ในขณะที่ Penetration Testing เฉพาะแพลตฟอร์มเป็นการทดสอบเชิงรุกที่จำลองเส้นทางการโจมตีจริง ลูกค้าส่วนใหญ่จึงทำการประเมินความสอดคล้องเป็นประจำทุกปี และเสริมด้วย Penetration Testing เป็นระยะ ๆ

คุณจำเป็นต้องใช้สิทธิ์การเข้าถึงระดับใด? +

สิทธิ์การเข้าถึงสำหรับตรวจสอบแบบอ่านอย่างเดียวก็เพียงพอแล้ว เราไม่ต้องใช้สิทธิ์เขียน ไม่แก้ไขการตั้งค่าใด ๆ และไม่กระทบบริการที่กำลังทำงานอยู่

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ