Contact Us

แนวทางการเสริมความปลอดภัยให้ Ubuntu Server ตามหลัก PDPA

ในยุคดิจิทัลปัจจุบัน ข้อมูลส่วนบุคคลเป็นสิ่งที่มีค่าอย่างยิ่ง การรั่วไหลหรือการนำไปใช้โดยไม่ชอบด้วยกฎหมายสามารถสร้างความเสียหายอย่างใหญ่หลวง ทั้งต่อบุคคลและองค์กร ด้วยเหตุนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จึงถูกประกาศใช้เพื่อกำหนดแนวทางปฏิบัติในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้องและปลอดภัย

สำหรับองค์กรที่ใช้งาน Ubuntu Server ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล การเสริมสร้างความปลอดภัยของเซิร์ฟเวอร์ให้สอดคล้องกับหลัก PDPA จึงเป็นสิ่งสำคัญอย่างยิ่ง บทความนี้จะนำเสนอแนวทางปฏิบัติที่สามารถนำไปประยุกต์ใช้ได้ทันที

1. การอัปเดตระบบปฏิบัติการและซอฟต์แวร์อย่างสม่ำเสมอ

การอัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ เป็นสิ่งสำคัญอันดับแรกในการรักษาความปลอดภัยของเซิร์ฟเวอร์ การอัปเดตเหล่านี้มักจะมีการแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกค้นพบใหม่ ๆ การละเลยการอัปเดตอาจทำให้เซิร์ฟเวอร์ของคุณเสี่ยงต่อการถูกโจมตีได้

แนวทางปฏิบัติ:

  • ตั้งค่าให้ Ubuntu Server อัปเดตแพ็คเกจความปลอดภัยโดยอัตโนมัติ หรือทำการตรวจสอบและอัปเดตด้วยตนเองอย่างน้อยสัปดาห์ละครั้ง
  • ใช้คำสั่ง sudo apt update && sudo apt upgrade เพื่ออัปเดตแพ็คเกจทั้งหมด
  • พิจารณาใช้เครื่องมือจัดการการอัปเดต เช่น Landscape (สำหรับองค์กรขนาดใหญ่) เพื่อจัดการการอัปเดตในหลายเซิร์ฟเวอร์

2. การกำหนดค่า Firewall (ufw)

Firewall เป็นแนวป้องกันแรกสุดในการปกป้องเซิร์ฟเวอร์จากการเข้าถึงที่ไม่ได้รับอนุญาต การกำหนดค่า Firewall ที่เหมาะสมจะช่วยให้มั่นใจได้ว่าเฉพาะบริการที่จำเป็นเท่านั้นที่สามารถเข้าถึงได้จากภายนอก

แนวทางปฏิบัติ:

  • เปิดใช้งาน Firewall (ufw) โดยใช้คำสั่ง sudo ufw enable
  • อนุญาตเฉพาะพอร์ตที่จำเป็น เช่น SSH (พอร์ต 22), HTTP (พอร์ต 80), HTTPS (พอร์ต 443) และพอร์ตสำหรับฐานข้อมูลหรือแอปพลิเคชันที่ใช้งาน
    • sudo ufw allow ssh
    • sudo ufw allow http
    • sudo ufw allow https
  • ปฏิเสธการเชื่อมต่อทั้งหมดที่ไม่ได้ระบุไว้โดยชัดแจ้ง โดยใช้กฎเริ่มต้น (default rule) ของ ufw ที่ปฏิเสธการเชื่อมต่อขาเข้าทั้งหมด

3. การรักษาความปลอดภัย SSH

SSH (Secure Shell) เป็นช่องทางหลักในการเข้าถึงและบริหารจัดการเซิร์ฟเวอร์จากระยะไกล การรักษาความปลอดภัย SSH เป็นสิ่งสำคัญอย่างยิ่งเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต

แนวทางปฏิบัติ:

  • เปลี่ยนพอร์ต SSH เริ่มต้น (Default Port): เปลี่ยนจากพอร์ต 22 ไปยังพอร์ตอื่นที่ไม่ใช่ค่าเริ่มต้น เพื่อลดการโจมตีแบบ Brute-force
  • ปิดการใช้งานการเข้าสู่ระบบด้วยรหัสผ่านสำหรับ root: ควรเข้าสู่ระบบด้วยผู้ใช้ทั่วไปแล้วใช้ sudo เพื่อดำเนินการในฐานะ root
  • ใช้ SSH Key-based Authentication แทนรหัสผ่าน: การใช้คู่คีย์ (Public/Private Key) มีความปลอดภัยสูงกว่าการใช้รหัสผ่านเพียงอย่างเดียว
  • จำกัดการเข้าถึง SSH ด้วย IP Address ที่ระบุ: หากเป็นไปได้ ให้จำกัด IP Address ที่สามารถเชื่อมต่อ SSH ได้

bluesharp