ศูนย์รวมความรู้ บทความ

หากเราใช้คลาวด์แล้ว การสำรองข้อมูลยังจำเป็นหรือไม่? แล้วต้องทำอย่างไร?

By สัญชัย รุ่งเรืองชูสกุล ITManagement, CloudComputing, CloudSecurity 18 มิถุนายน 2568 1,236
บ่อยครั้งที่ได้ยินว่า “หากใช้งานคลาวด์ก็ไม่จำเป็นต้องสำรองข้อมูล เพราะเป็นหน้าที่ของผู้ให้บริการคลาวด์ที่ต้องสำรองข้อมูลให้” “ข้อมูลอยู่ที่ผู้ให้บริการคลาวด์ก็ต้องเป็นหน้าที่ของผู้ให้บริการคลาวด์ที่ต้องดูแล” เป็นต้น แล้วจริงๆ แล้วหากเราจะใช้งานคลาวด์จำเป็นต้องสำรองข้อมูลหรือไม่? บทความนี้จะมาอธิบายเรื่องเหล่านี้กัน...

การสำรองข้อมูล (Backup) ยังจำเป็นหรือไม่?

การสำรองข้อมูล (Backup) นั้น หากให้ตอบแบบชัดเจนก็คือ “ขึ้นอยู่กับความสำคัญของข้อมูล” เป็นสำคัญ เหมือนในบทความก่อนหน้านี้ที่อธิบายเรื่องของความปลอดภัยของข้อมูล หรืออธิบายง่ายๆ ว่า “หากข้อมูลสำคัญมาก (หรืออธิบายแบบเป็นทางก็คือ หากข้อมูลมีระดับความสำคัญหรือ Data Classification ในระดับสูง มีความเสี่ยงสูง ความเสียหายร้ายแรง หากข้อมูลสูญเสียหรือใช้งานไม่ได้) ก็ต้องปกป้องให้มาก อย่าหวังพึ่งผู้ให้บริการแต่ต้องออกแบบและจัดการให้ดีเพียงพอเอง” “ข้อมูลของเรา เราก็ต้องดูแลเอง” “ตนเป็นที่พึ่งแห่งตน อย่าไปหวังพึ่งผู้ให้บริการคลาวด์” ก็อาจจะเป้นคำอธิบายที่สั้นๆ กระชับที่สุดนั่นเอง

สอดคล้องกับเอกสารเผยแพร่ของทาง Veeam ได้อธิบายสาเหตุที่จำเป็นต้องมีการสำรองข้อมูลเอาไว้ 7 สาเหตุดังรูปด้านล่าง (โดยข้อมูลอ้างอิงจากทาง Microsoft อีกทีหนึ่ง)

Cloud-8_001.png
จากรูป จะแสดงให้เห็นว่าการสำรองข้อมูลบนคลาวด์มีความจำเป็น โดยสรุปได้เป็นหัวข้อๆ ได้ดังนี้ (ในตัวอย่างเป็นเหตุผลในการสำรองข้อมูลในระบบ Microsoft 365 ซึ่งเป็นบริการคลาวด์แบบ SaaS)

  1. การลบโดยไม่ตั้งใจ (Accidental Deletion) หากผู้ใช้งานกดลบข้อมูลไปโดยไม่ตั้งใจ ผู้ให้บริการจะทราบได้อย่างไรว่าการลบไฟล์นั้นเป็นการลบจริงหรือเป็นการลบโดยไม่ตั้งใจ หากจะข้อกู้ไฟล์ผู้ให้บริการอาจจะเอาล็อกมาเป็นหลักฐานว่าผู้ใช้งานเป็นคนลบเอง ไม่เกี่ยวกับผู้ให้บริการคลาวด์
  2. การเก็บข้อมูลตามระยะเวลาที่กำหนดในองค์กร (Retention Policy Gaps and Confusion) บางองค์กรมีข้อกำหนดในการเก็บข้อมูลที่มากกว่ากรอบระยะการให้บริการของผู้ให้บริการคลาวด์ ดังนั้นองค์กรต้องดำเนินการเรื่องดังกล่าวเอง เช่นผู้ให้บริการเก็บข้อมูลเอาไว้ 30 วัน แต่ในองค์กรมีนโยบายเก็บข้อมูลเอาไว้ 6 เดือน เป็นต้น
  3. การบุกรุกภายในองค์กร (Internal Security Threats) เป็นกรณีที่พนักงานภายในองค์กร จงใจทำลายข้อมูลหรือลบข้อมูลเอง ซึ่งอาจจะเป็นความขัดแย้งส่วนตัวหรือกับองค์กร ก็ถือว่าเป็นความเสี่ยงขององค์กร ซึ่งบ่อยครั้งเรามักจะไม่คาดคิดถึงความเสี่ยงในข้อนี้
  4. การบุกรุกจากภายนอกองค์กร (External Security Threats) เป็นกรณีการโจมตีจากแฮกเกอร์ แรนซัมแวร์ หรือมัลแวร์อื่นๆ ระบบคลาวด์ไม่สามารถทราบได้ว่าการอ่านเขียนไฟล์ดังกล่าวเป็นการทำโดยมัลแวร์หรือผู้ใช้งาน
  5. ข้อกำหนดด้านกฎหมาย ข้อบังคับ ตามข้อกำหนด (Legal and Compliance Requirements) เป็นกรณีข้อกำหนดด้านกฎหมาย เช่น พรบ. คอมพิวเตอร์ของประเทศไทยมีการกำหนดระยะเวลาในการเก็บล็อกเอาไว้อย่างน้อย 90 วัน หรือการเก็บข้อมูลทางการเงินที่ต้องเก็บอย่างน้อย 10 ปี เป็นต้น
  6. การบริหารจัดการระบบแบบ Hybrid Cloud (Managing Hybrid Email Deployments and Migrations to Microsoft 365) หากมีการมีการใช้งานแบบ Hybrid Cloud ก็ต้องพิจารณาถึงการสำรองข้อมูลเอาไว้ (ในข้อนี้เป็นคนละเรื่องกับการสำรองข้อมูลมาที่คลาวด์หรือ Backup to Cloud ที่มีการใช้งานระบบภายในองค์กรและสำรองข้อมูลออกมาเก็บภายนอกที่คลาวด์)
  7. การจัดการข้อมูลในระบบสื่อสารภายในองค์กร (Teams Data Structure) หากมีการใช้งานโปรแกรมสื่อสารภายในองค์กร เช่น มีการใช้ Microsoft Teams เป็นโปรแกรมสื่อสารหลักและเกิดการส่งข้อความที่ไม่เหมาะสม ภายหลังพนักงานคนดังกล่าวอาจจะลบข้อความนั้นทิ้งไปแต่การร้องเรียนภายในจำเป้นต้องมีหลักฐานในการสอบสวน เป็นต้น

สอดคล้องกับรูปแบบการแบ่งความรับผิดชอบ (Shared Responsibility Model) ดังรูปด้านล่างก็อธิบายว่าส่วนของข้อมูล (Data) เป็นหน้าที่ของผู้ใช้บริการคลาวด์ในการดูแล และบริหารจัดการเอง
Cloud-8_002.png
เราอาจจะลองศึกษาและตรวจสอบ “ข้อตกลงระดับการให้บริการ” (Service Level Agreement) เพิ่มเติมทั้ง Global Cloud, Regional Cloud หรือ Local Cloud ก็จะพบว่าไม่มีผู้ให้บริการรายใดที่ปกป้องข้อมูลขององค์กรเรา ข้อมูลของเราก็ต้องดูแลเองแต่ผู้ให้บริการคลาวด์จะมีเครื่องมือหลากหลายเพื่อช่วยให้ข้อมูลของเราไม่สูญหาย ซึ่งจำเป็นต้องมีค่าใช้จ่ายในการดูแลเพิ่มเติม หรือถ้าเกิดผู้ให้บริการคลาวด์สัญญาว่าข้อมูลไม่สูญหายจริง แล้วเราจะมั่นใจได้อย่างไรว่าข้อมูลไม่สูญหายตามที่ผู้ให้บริการแจ้ง เพราะความสุญเสียที่เกิดขึ้นเป้นความสูญเสียขององค์กรเรา ไม่เกี่ยวข้องกับผู้ให้บริการคลาวด์แต่อย่างใด หากเกิดปัญหาไม่เป็นไปตามสัญญาที่เกิดขึ้นผู้ให้บริการคลาวด์อาจจะชดเชยตามมูลค่าของการให้บริการซึ่งมักจะเทียบไม่ได้กับความเสียหายที่เกิดขึ้นในองค์รของเรา

หากจะสำรองข้อมูลบนคลาวด์ต้องทำอย่างไร?

การสำรองข้อมุลบนคลาวด์ ในบทความนี้เป็นการใช้งานคลาวด์เป็นศูนย์ข้อมูลหลัก (Main Data Center) แล้งทำการสำรองข้อมูลออกมา โดยอาจจะเลือกการสำรองข้อมูลได้ตามกฎของการสำรองข้อมูล 3-2-1 ก็ได้ โดยกฎการสำรองข้อมูลแสดงได้ดังรูป

Cloud-8_003.png

โดยในบทความก่อนหน้านี้ได้มีอธิบายรายละเอียดเอาไว้ สามารถอ่านได้จากที่นี่ โดยสามารถ
  • ข้อมูลสำรอง 3 ชุด ในข้อนี้ส่วนมาก Global Cloud จะดำเนินการเก็บข้อมูลเอาไว้ลักษณะ 3 ชุดอยู่แล้ว แต่การเก็บข้อมูลดังกล่าวเป็นการดำเนินการของผู้ให้บริการคลาวด์เองซึ่งเราไม่สามารถควบคุมได้ การพิจารณาการสำรองข้อมูลภายนอกจากคลาวด์จึงมีความจำเป็น
  • ข้อมูลเก็บแตกต่างกัน 2 ชุด ในที่นี้เราอาจจะเลือกการสำรองข้อมูลมาเก็บเอาไว้ที่องค์กรของเรา (On-Premises) หรืออาจจะใช้การเก็บข้อมูลขึ้นคลาวด์ของผู้ให้บริการคนละที่ก็ได้
  • ข้อมูลเก็บภายนอก 1 ชุด ในที่นี้สอดคล้องกับข้อก่อนหน้านี้ที่สำรองข้อมูลเอาไว้ภายนอก
  • ระบบที่เก็บภายนอก อาจจะเป็นแบบ Air-gapped (ไม่สามารถเชื่อมต่อกันได้ตลอดเวลา มีช่องว่างของอากาศในการเชื่อมต่อกันหรือ Air-gapped) หรือเป็นระบบที่ไม่สามารถแก้ไขได้ (immutable) ในระยะเวลาที่กำหนดเพื่อป้องกันแรนซัมแวร์
  • ระบบสำรองข้อมูลต้องถูกต้อง มีการทดสอบการกู้คืนอย่างสม่ำเสมอ ไม่มีปัญหาในการกู้คืน

สำหรับในกรณีที่ข้อมูลที่เก็บมีความสำคัญมากๆ อาจจะพิจารณาการ “เข้ารหัส” หรือ Data Encryption ข้อมูลที่ใช้งานบนระบบคลาวด์เอาไว้อีกชั้นหนึ่ง (Data at rest) เพราะหากข้อมูลที่เราเก็บเอาไว้ไม่มีการเข้ารหัสก็อาจจะมีความเสี่ยงที่พนักงานของผู้ให้บริการคลาวด์อาจจะเข้าถึงข้อมูลดังกล่าวได้ ซึ่งในอดีตก็เคยมีเหตุการณ์ลักษณะดังกล่าวเกิดขึ้นมาก่อน ตามที่ผมได้อธิบายไปก่อนหน้านี้ว่าการปกป้องข้อมูลเป็นหน้าที่ของผู้ใช้บริการคลาวด์

ข้อควรพิจารณาในการเลือกการสำรองข้อมูลบนคลาวด์

ในการสำรองข้อมูลบนคลาวด์ อาจจะพิจารณาแง่มุมต่างๆ ได้ดังนี้

  1. ด้านเทคนิค พิจารณาการเข้ารหัสข้อมูลในระหว่างการเก็บข้อมูล (Data at rest) และระหว่างการส่งข้อมูล (Data in transit) การบีบอัดข้อมูล (Compression และ Deduplication) การสำรองข้อมูลแบบ Incremental Backup การสำรองข้อมูลข้ามระบบกัน เช่น สำรองข้อมูลจาก Microsoft 365 มายังระบบ NAS ภายในองค์กร หรือผู้ให้บริการคลาวด์รายอื่น
  2. ด้านการบริหารจัดการ พิจารณาการจัดการแบบรวมศูนย์ (Centralized Management) เพื่อให้มั่นใจว่าการสำรองข้อมูลทำงานได้ถูกต้องไม่พบปัญหาการใช้งาน การจัดการสิทธิในการเข้าถึงข้อมูลของผู้ดูแลระบบภายในองค์กร การเก็บล็อกการทำงานและการเข้าถึง การตรวจสอบการทำงานและแจ้งเตือนกรณีที่เกิดปัญหา รวมไปถึงการซักซ้อมการสำรองข้อมูลและการกู้คืนข้อมูล การจัดทำเอกสารคู่มือต่างๆ เพื่อให้สามารถทำงานได้อย่างราบรื่นหากมีการเปลี่ยนแปลงเจ้าหน้าที่ด้านไอที ในกรณีที่ข้อมูลมีความสำคัญมากอาจจะพิจารณาแผนความเสี่ยง Business Continuity Planning เพื่อวิเคราะห์ความเสี่ยง (Business Impact Analysis) รวมไปถึงการกำหนด RPO และ RTO เพื่อจัดทำแผนด้านการกู้คืนศูนย์สำรองข้อมูล (อ่านบทความ BCP ได้ที่นี่)
  3. ด้านค่าใช้จ่าย พิจารณาถึงค่าใช้จ่ายที่เกิดขึ้นในกรณีที่เลือกการสำรองข้อมูลไม่ว่าจะเป็นแบบ On-Premises หรือ On-Cloud รวมไปถึงค่าใช้จ่ายอื่นๆ ที่เกี่ยวข้องว่าคุ้มค่าหรือไม่ หากมีการขยายในอนาคตจะมีค่าใช้จ่ายเป็นอย่างไร

จากบทความนี้จะเห็นได้ว่า การสำรองข้อมูลบนคลาวด์ขึ้นอยุ่กับความสำคัญของข้อมูลเป็นสำคัญ หากสำคัญมากก็ต้องมีการปกป้องและป้องกันที่มากไปด้วย ในหลายครั้งที่มักจะพบปัญหาว่าไม่ได้มีการจัดลำดับความสำคัญของข้อมูลทำให้ไม่มีแผนในการบริหารจัดการข้อมูลอย่างเหมาะสมนั่นเอง

เอกสารอ้างอิง:
  • คลาวด์คอมพิวติ้ง (Cloud Computing) คืออะไร? แตกต่างกันบริการโฮสติ้ง หรือบริการอื่นๆ อย่างไร? https://www.ksc.net/th/km.aspx?id=21
  • เราจะการนำคลาวด์มาใช้ในองค์กรอย่างไรได้บ้าง? มีอะไรต้องคำนึงถึงบ้าง? https://www.ksc.net/th/km.aspx?id=22
  • คลาวด์คอมพิวติ้งแบบไหนที่เหมาะกับองค์กรของเรา? Local Cloud, Regional Cloud และ Global Cloud แตกต่างกันอย่างไร? แบบไหนถึงจะเหมาะสมกับเรา https://www.ksc.net/th/km.aspx?id=23
  • ถ้าองค์กรของเราจะเริ่มต้นใช้งานคลาวด์จะต้องเตรียมตัวอย่างไร? จะเริ่มต้นอย่างไรดี? https://www.ksc.net/th/km.aspx?id=24
  • Global Cloud เจ้าใหญ่ อย่าง Amazon AWS, Microsoft Azure หรือ Google Cloud Platform แตกต่างกันอย่างไร? ควรเลือกใช้งานเจ้าไหน? https://www.ksc.net/TH/km.aspx?id=25
  • นโยบาย "Cloud First Policy" คืออะไร? เกี่ยวข้องกับองค์กรของเราหรือไม่? https://www.ksc.net/TH/km.aspx?id=26
  • ระบบรักษาความปลอดภัยของคลาวด์ที่ควรจะมี ต้องมีอะไรบ้าง? https://www.ksc.net/TH/km.aspx?id=27
  • จะสำรองข้อมูลอย่างไรให้ปลอดภัย และเพียงพอเพื่อป้องกัน Ransomware ที่อาจจะโจมตีได้ https://www.ksc.net/TH/km.aspx?id=15
  • ทุกองค์กรต้องทำ BCP (Business Continuity Plan) หรือไม่ หากไม่ทำจะเป็นอย่างไร https://www.ksc.net/TH/km.aspx?id=16
  • 7 Critical Reasons for Microsoft 365 Backup https://www.veeam.com/resources/wp-why-backup-office-365-data.html
TAGS: ITManagement CloudComputing CloudSecurity

ABOUT THE AUTHOR

สัญชัย รุ่งเรืองชูสกุล

สัญชัย รุ่งเรืองชูสกุล

วิศวกรด้านไซเบอร์ซีเคียวริตี้และระบบปฏิบัติการ พร้อมทั้งการบริหารธุรกิจ ชอบคิดและเรียนรู้สิ่งใหม่ๆ ทั้งเรื่องไอที ท่องเที่ยว สุขภาพและการกิน