แนะนำบริการออกใบรับรองอิเลคทรอนิกส์ (Digital Certificate) จาก CAT Certification Authority

ด้วยการทำธุรกรรมทางอิเล็กทรอนิกส์ในปัจจุบัน ความเชื่อถือในการติดต่อสื่อสารระหว่างกันนั้นสำคัญมาก และการสร้างความเชื่อมั่นในการทำธุรกรรมฯ ก็คือการนำใบรับรองอิเล็กทรอนิกส์มาใช้ควบคู่กับการทำธุรกรรมฯ ดังกล่าว โดยใบรับรองที่กล่าวถึงนั้นเป็นข้อมูลในรูปแบบอิเล็กทรอนิกส์ที่ใช้ยืนยันว่าข้อมูลมิได้มีการเปลี่ยนแปลงแก้ไขระหว่างทาง และบ่งบอกถึงความมีตัวตน ของผู้ใช้งาน หรืออุปกรณ์เครือข่ายนั้นๆ  ทำให้มั่นใจได้ว่าธุรกรรมฯ ที่กำลังติดต่ออยู่นั้นมีตัวตนจริง ใบรับรองอิเล็กทรอนิกส์จะออกโดยผู้ให้บริการออกใบรับรอง (Certification Authority หรือ CA) โดยอาศัยเทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public – Key Infrastructure หรือ PKI) เพื่อนำไปใช้ในการรักษาความลับของข้อมูล การรักษาความถูกต้องของข้อมูล การยืนยันตัวบุคคลผู้เป็นเจ้าของใบรับรอง และการห้ามปฏิเสธความรับผิดชอบ ในขั้นตอนการยืนยันตัวตนในการทำธุรกรรม

บมจ. กสท โทรคมนาคม จัดให้มีบริการออกใบรับรองอิเล็กทรอนิกส์ (CAT Certification Authority) ภายใต้ชื่อ บริการ CAT CA ซึ่งมีทั้งหมด 2 ประเภท คือ

  • Personal Certificate ใบรับรองอิเลคทรอนิกส์ที่ออกให้บุคคลธรรมดาหรือนิติบุคคล เพื่อนำไปใช้สำหรับรับ-ส่งอีเมลแบบเข้ารหัสและลงรายมือชื่อดิจิตอลได้ (Secure e-mail, Digital Signature) หรือผ่าน Application ที่รองรับมาตรฐาน X.509
  • Web server Certificate ใบรับรองอิเลคทรอนิกส์ที่ออกให้แก่เครื่องคอมพิวเตอร์ที่ทำหน้าที่ให้บริการ

การดำเนินงานของผู้ให้บริการออกใบรับรองในช่วงของการออกใบรับรอง (CA Actions during Certificate Issuance)

  1. เจ้าหน้าที่รับลงทะเบียนตรวจสอบความถูกต้อง ความสมบูรณ์ของสาระสำคัญในใบคำขอและเอกสารประกอบคำขอใช้ใบรับรองที่ผู้ใช้บริการแสดงไว้ เพื่อพิจารณาอนุมัติหรือปฏิเสธคำขอใบรับรอง และแจ้งผลการพิจารณาให้ผู้ใช้บริการรับทราบ
  2. เมื่อเจ้าหน้าที่รับลงทะเบียนอนุมัติคำขอใบรับรองแล้ว จะร้องขอและตรวจสอบ CSR File (กรณีที่จำเป็นต้องใช้) จากผู้ใช้ใบรับรอง จากนั้นจะบันทึกข้อมูลตามใบคำขอ และออกใบรับรอง
  3. เจ้าหน้าที่รับลงทะเบียน แจ้งผู้ใช้ใบรับรองให้ทำการตรวจสอบความถูกต้องใบรับรองที่ออกให้ก่อนส่งมอบใบรับรอง
  4. เจ้าหน้าที่รับลงทะเบียนส่งมอบใบรับรอง ให้ผู้ใช้บริการผ่านช่องทางที่เหมาะสม และจะแจ้งผลการออกใบรับรองเป็นเอกสาร หรือผ่านทางจดหมายอิเล็กทรอนิกส์ เพื่อให้ผู้ใช้ใบรับรองทราบเป็นการต่อไป

การออกใบรับรองทั้ง Personal Certificate และ Web server Certificate มีความแตกต่างในการการให้บริการดังนี้

ประเภท Personal Certificate

เป็นบริการที่มีไว้สำหรับรับรองความมีตัวตนของ Entity ดังนี้

  1. รับรองความมีตัวของบุคคลธรรมดา จะตรวจสอบจากบัตรประจำตัวประชาชน และ/หรือสำเนาทะเบียนบ้านเป็นต้น
  2. รับรองความมีตัวตนของนิติบุคคล/องค์กร จะตรวจสอบจากหนังสือบริคณห์สนธิ/หนังสือรับรองการจัดตั้งองค์กร , หนังสือแต่งตั้งผู้ดำเนินการแทนองค์กร รับรองโดยผู้มีอำนาจลงนาม และ สำเนาบัตรประจำตัวประชาชนของผู้ดำเนินการแทนองค์กร เป็นต้น

ประเภท Web Server Certificate (SSL)

เป็นการให้บริการแบบ Dedicated SSL โดยจะตรวจสอบความถูกต้องเจ้าของโดเมนและตัวตนขององค์กรที่ระบุไว้ในการสมัครขอใช้บริการ และต้องยื่นเอกสารจัดตั้งหน่วยงานหรือหนังสือรับรองหน่วยงานประกอบการขอใช้บริการเพื่อเจ้าหน้าที่รับลงทะเบียนนำไปพิจารณาอนุมัติสำหรับการออกใบรับรองต่อไป

ใบรับรองทั้ง Personal Certificate และ Web Server Certificate เป็นการออกให้โดย CAT Certification Authority (CAT CA) ในฐานะผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ ซึ่งใช้เครื่องมือในการออกใบรับรองของ Entrust ซึ่ง CAT CA ได้เลือกใช้ใบรับรองที่ออกโดย Entrust ซึ่งถูกจัดลำดับความน่าเชื่อถือระดับสูง และเป็นที่ยอมรับในระดับสากล เพื่อสร้างความเชื่อมั่นให้แก่ผู้ใช้บริการ

โดยขั้นตอนการ issue, reissue และ revoke ทั้ง Personal Certificate และ Web Server Certificate มีขั้นตอนตามแผนภาพด้านล่างนี้

catca

จากทั้งหมดที่กล่าวมานั้น การออกใบรับรองเป็นการดำเนินการโดยเจ้าหน้าที่ผู้เชี่ยวชาญจาก CAT CA โดยเป็นเจ้าหน้าที่ของ CAT ที่ผ่านการอบรมเพื่อให้เกิดความเชี่ยวชาญต่อการให้บริการ และยังประหยัดค่าใช้จ่าย ไม่ต้องลงทุนสูง เพียงลงทุนเพิ่มในส่วนของค่าใช้จ่ายบริการรายปี ถือว่าเป็นการลงทุนที่ต่ำมาก เมื่อเทียบกับประโยชน์ที่จะได้รับจากการนำใบรับรองอิเลคทรอนิกส์มาใช้

มารู้จักกับ CAT Data Center และพาเยี่ยมชมภายใน ที่นี่มีอะไรน่าสนใจบ้าง

เมื่อต้นเดือนผมได้ไปเยี่ยมชม CAT Data Center ที่บางรักมา เลยมีเรื่องมาเล่าให้ฟังกันยาวๆ สักหน่อย โดยส่วนที่ผมเข้าไป เป็นโซนชั้นที่ 14 ซึ่งตกแต่งสวยงามเป็นระบบดีครับ

สำหรับคนที่ยังไม่เข้าใจว่าที่แห่งนี้ให้บริการอะไร ก็ต้องอธิบายไว้ว่า บริการ Data Center เป็นการให้เช่าพื้นที่ภายในศูนย์ข้อมูล ซึ่งประกอบไปด้วยระบบคอมพิวเตอร์ ที่มีทั้งอุปกรณ์เครือข่าย ชุดวงจรสื่อสารทั้งใน-ต่างประเทศ และอุปกรณ์ที่เกี่ยวข้องที่จะควบคุมสภาพแวดล้อมภายในไว้ให้คงที่ เช่น ระบบป้องกันการเกิดอัคคีภัย อุณหภูมิ การไหลเวียนอากาศ ระบบสำรองไฟฟ้า การเชื่อมต่ออินเตอร์เน็ต และระบบรักษาความปลอดภัย

Front-2

Front-1 meeting room-1

Reception-1 Reception-2

สำหรับที่ CAT Data Center แห่งนี้ ผ่านการรับรองมาตรฐานการให้บริการ ISO 27001: 2013 มั่นใจได้ทั้งระบบรักษาความปลอดภัย และมีระบบไฟฟ้าที่รับไฟฟ้าจากโรงไฟฟ้าถึง 2 แหล่งจ่าย พร้อมระบบชุดสำรองไฟ (UPS) 2 ชุด ที่จ่ายไฟสำรองได้นานกว่า 30 นาทีและมีระบบสำรองไฟแบบ Generator จ่ายไฟสำรองได้นานกว่า 48 ชม.ในกรณีเกิดเหตุฉุกเฉิน

CAT data center มีให้บริการหลากหลาย มาดูกันว่ามีอะไรบ้าง

บริการให้เช่าพื้นรับฝากเซิร์ฟเวอร์ (Server Co-location) มีตั้งแต่ 1 U จนถึง 42-U Rack ทั้ง Shared Rack และ Full Rack

1 image

โดยมีบริการขั้นต้นคือ

  • เชื่อมต่อ Internet ด้วย Port ขนาด 10/100 Mbps (สามารถเพิ่มเป็น 1Gbps ได้)
  • การเชื่อมต่อทั้ง International และ Domestic รวมทั้ง Data Center มี bandwidth ให้ที่ระดับ 10 Gbps
  • บริการ IP Address
  • บริการ Traffic Monitoring
  • บริการจัดการโดเมนเนม
  • กระแสไฟฟ้าสูงสุด 32 Amp ต่อ 1 Rack
  • เจ้าหน้าที่พร้อมให้บริการตลอด 24 ชั่วโมง

ทำความรู้จักกับ ISO 27001: 2013 ที่นำมาใช้ใน CAT Data Center

เป็นมาตรฐานระบบความปลอดภัยที่แน่นหนา และเข้มงวดโดยเน้นการปกป้องข้อมูลสารสนเทศ (Information) ให้มีคุณสมบัติ 3 ประการคือ

  • Confidential การปกป้องสารสนเทศให้เข้าถึงได้เฉพาะผู้ที่มีสิทธิ
  • Integrity: ปกป้องความถูกต้องสมบูรณ์ของสารสนเทศไม่ให้ถูกแก้ไขเปลี่ยนแปลงผิดไปจากความเป็นจริง
  • Availability :สร้างความเชื่อมั่นว่าระบบสารสนเทศพร้อมใช้งาน

ฉะนั้นการเข้า-ออก CAT Data Center จะมีกระบวนการตามแบบที่ ISO 27001 กำหนดไว้โดยลูกค้าสามารถเข้า-ออกได้ตลอด24 ชม.โดยแต่ละบริษัทจะมีผู้ที่มีสิทธิ์ในการเข้าถึงระบบ (Contact Point) จำนวน 2 ท่านโดยพื้นฐานและสามารถเพิ่มเติมได้ โดยการสแกนนิ้วมือและมีการ์ดเพื่อเข้าถึงระบบ กรณีมีผู้ติดตามจะต้องแจ้งรายชื่อกับเจ้าหน้าที่ก่อนเสมอ การนำอุปกรณ์เข้าออกต้องกรอกแบบฟอร์มและได้รับการตรวจสอบจากเจ้าหน้าที่เสมอกรณีที่ผู้ที่มีสิทธิ์มิได้มาด้วยต้วเองจะต้องส่งอีเมลหรือแฟกส์ล่วงหน้า 1 วัน

พอเรารู้ข้อกำหนดแล้วมาชมภาพภายในกันดีกว่าโดยภาพทั้งหมดนี้ได้รับการอนุญาตจากทาง CAT Data Center แล้วว่าสามารถเผยแพร่ได้

image

Co-lo1-1 247247

ทางเข้านั้นมีการกำหนดให้ใช้รหัส และการแสกนนิ้วก่อนเข้า เพื่อควบคุมการเข้าถึงภายในผ่านเจ้าหน้าที่ และผู้มีสิทธิ์ในการเข้าถึงเท่านั้น ภายนอก มีโต๊ะ และเก้าอี้สำหรับจัดเตรียมอุปกรณ์ต่างๆ ก่อนนำเข้าห้อง พร้อมชุด console สำหรับต่อกับเครื่องภายในห้องไว้ให้บริการด้วย

Co-lo1-5 Co-lo1-4

เครื่องต่างๆ ที่ลูกค้าวางไว้ภายใน จะอยู่ใน Rack ที่มีกรงป้องกันการเข้าถึงหน้าเครื่องอีกชั้นหนึ่ง เพื่อป้องกันการเข้าถึงโดยมิได้รับอนุญาตจากลูกค้ารายอื่น ที่เข้ามาใช้บริการ

Co-lo1-6 Co-lo1-3

แน่นอนว่านอกจาก Rack ตามข้างต้นแล้ว ยังมีบริการแบบ

บริการห้องเปล่าที่ล้อมด้วยกรง หรือ Cage Co-Location

บริการห้องวีไอพี หรือ Suite Co-Location ที่มาพร้อมกล้อง CCTV และ Proximity Card Access Control สำหรับแต่ละห้อง

Co-Lo2 Carrier zone-1 Co-Lo2 Carrier zone-2

Co-Lo2 Carrier zone-3 Co-lo1-2

CAT ยังมีบริการห้อง Carrier room สำหรับวางวงจรสื่อสารที่เชื่อมต่อไปภายนอกโดยผู้ให้บริการ internet (ISP) รายอื่น ๆ ซึ่งเปิดให้ผู้ใช้สามารถเลือกเชื่อมต่อไปยังผู้ให้บริการโครงข่ายรายอื่นได้อย่างอิสระ

พื้นที่สำหรับให้เช่าพื้นที่สำนักงานชั่วคราว (Temporary Office) พร้อมอุปกรณ์สำนักงาน และ Internet ความเร็วสูงสำหรับลูกค้ามีความต้องการ

โดยบริการสำนักงานชั่วคราวขั้นต้นนั้นจะมีดังนี้

  • มีสายสัญญาณ Internet ความเร็วสูง
  • เฟอร์นิเจอร์ (ตู้เก็บของ โต๊ะ เก้าอี้)
  • ระบบไฟฟ้า แสงสว่าง ตลอด 24 ชั่วโมง
  • ระบบน้ำ และระบบปรับอากาศ ตลอด 24 ชั่วโมง

247242 247241

Temp office-5 Temp office-4

Temp office-1 Temp office-2

image

สำหรับการเข้าไปชมพื้นที่ในชั้น 14 นี้ ถือเป็นของใหม่ของผมพอสมควรเพราะปรกติผมเข้าไปชั้น 13 มากกว่า ส่วนในชั้น 14 นี้ถือว่าเป็นเฟสใหม่กว่าชั้น 13 (เปิดตัวประมาณปี 2554) จุดเด่นเท่าที่ได้สัมผัสคือ แอร์เย็นมาก ระบบไฟต่างๆเป็นแบบวางใหม่ ปลั๊กไฟ 2 เฟสเฟสละ 5 ช่อง การเดินสายสัญญาณสื่อสารไม่ได้เดินจากด้านใต้ของ Rack แต่เดินบนเพดานแทนทำให้การเดินสายทำได้ง่ายกว่ามาก แบ่งโซนระบบดับเพลิงด้วยสารเคมีที่แบ่งเป็นโซนแทนทั้งห้อง

และภายหลังจากเหตุไฟดับเมื่อ 2 ปีก่อน CAT data center ได้ปรับปรุงระบบรักษาความปลอดภัยและระบบไฟฟ้าใหม่

image image

image image

นอกจากนี้ CAT ยังสร้างศูนย์ Data Center แห่งใหม่ ในชื่อ CAT data center Nonthaburi II ที่มีการออกแบบและก่อสร้างให้มีเสถียรภาพสูงเพื่อเป็นอาคารที่ให้บริการ Data Center โดยเฉพาะ ผ่านการรับรองมาตรฐาน Trusted Site Infrastructure Certificate (TSI Certificate) Level 3 แห่งแรกและแห่งเดียวใน ASEAN รองรับการใช้งานในลักษณะ Mission Critical ได้อย่างสมบูรณ์แบบ

image

image

สำหรับ CAT Data Center ในพื้นที่อื่นๆ ก็จะมีที่ นนทบุรี, ศรีราชา, เชียงใหม่, ขอนแก่น, ภูเก็ต และสุราษฎร์ธานี

ซึ่งต้องอธิบายสักนิดว่า Data Center แบ่งออกเป็น 4 Tier ด้วยกันคือ

  • Tier I: Basic Capacity
    มีระบบส่ง-จ่ายไฟฟ้า, ระบบส่งน้ำเย็น, ระบบปรับอากาศ ระบบลิ้งค์ต่างๆ เพียงพอที่จะรองรับ Data Center ทั้งระบบได้ แต่ด้านจำนวนอุปกรณ์ ไม่มีสำรองไว้รองรับ
  • Tier II: Redundant Capacity Components
    ระบบการทำงานมีพื้นฐานจาก Tier I และรวมไปถึง มีอุปกรณ์ชุดสำรองในระบบที่สำคัญ ระบบที่มีชุดสำรอง แบบ N+1 เช่น UPS และ Generator โดยที่ +1 คือ มีระบบสำรองไว้รองรับ
  • Tier III: Concurrently Maintainable
    ระบบการทำงานมีพื้นฐานจาก Tier I และ Tier II โดยรวมไปถึงระบบที่ยังสามารถทำงานอยู่ได้ ในขณะที่ซ่อมบำรุงหรือเปลี่ยนอุปกรณ์ทดแทนเข้ามา และมีระบส่งไฟฟ้าที่แยกอิสระออกจากกัน ช่วยให้การบำรุงรักษาระบบไฟฟ้าทำได้โดยไม่ต้องปิดระบบทั้งหมด
  • Tier IV: Fault Tolerance
    ระบบการทำงานมีพื้นฐานจาก Tier I, Tier II และ Tier III ที่ยังคงสามารถทำงานอยู่ได้ เมื่อมีปัญหาจากความผิดพลาดเกิดขึ้น จุดสำคัญคือ ระบบทั้งหมด ยังสามารถทำงานอยู่ได้ ทุกส่วนหากมีอุปกรณ์ใดๆ เสีย เพราะมีการสำรองอุปกรณ์ไว้แบบ N+1 เสมอทุกๆ ส่วน

อ้างอิงจาก Explaining the Uptime Institute’s Tier Classification System

โดยหากเราระบุเป็น SLA ภายใน 1 ปีนั้น ยอมให้ระบบไม่สามารถให้บริการได้ตามปรกติ หรือมี  down time ได้ดังนี้

  • Tier I ให้ SLA ที่ 99.671% หรือที่ 28.817 ชั่วโมงต่อปี
  • Tier II ให้ SLA ที่ 99.741% หรือที่ 22.688 ชั่วโมงต่อปี
  • Tier III ให้ SLA ที่ 99.982% หรือที่1.5768 ชั่วโมงต่อปี
  • Tier IV ให้ SLA ที่ 99.995% หรือที่ 26.28 นาทีต่อปี

หากดูจากแต่ละพื้นที่ ที่ CAT data center ได้ให้บริการแล้วนั้น จะผ่านมาตรฐานตั้งแต่ Tier II ขึ้นไป ในเขตพื้นที่กรุงเทพ โดยเฉพาะส่วนที่ผมได้เข้าเยี่ยมชมคือ CAT data center บางรัก ชั้นที่ 14 นั้น อยู่ในระดับ Tier IV ซึ่งเป็นระดับสูงสุดเลยทีเดียว

image

จากทั้งหมดที่ได้เล่ามานั้น ช่วยให้การเยี่ยมชมในครั้งนี้ ได้รับทราบข้อมูลเพิ่มเติมสำหรับส่วนของเฟสใหม่ของ CAT Data Center ชั้น 14 มากขึ้น โดยทาง CAT คาดหวังว่าการเข้าไปเยี่ยมชมและนำข้อมูลเหล่านี้นำมาเผยแพร่ จะช่วยให้ลูกค้า และคนที่กำลังตัดสินใจในการเลือก Data Center เพื่อนำระบบเข้าไปวางภายใน ได้มั่นใจในมาตรฐานต่างๆ ที่ทาง CAT ได้ผ่านการตรวจสอบ และพัฒนาระบบเพื่อให้บริการลูกค้าบนมาตรฐานสูงสุด

เรื่องเล่าจาก CAT ไฟดับ เมื่อวันที่ 30 พฤศจิกายน 2556

เพิ่งจะว่างๆ นั่งเคลียร์สมองเพื่อมาเล่าเหตุการณ์แบบสรุปๆ ให้ได้อ่านกัน

อ่านข้อมูลเพิ่มเติมเรื่องนี้ได้ที่ ทำไมตึก กสท บางรัก ไฟดับแล้วทำให้ระบบเน็ตป่วนทั้งประเทศ เป็นข้อมูลความรู้เพิ่มเติมครับ

ต้องบอกก่อนว่า ระบบที่ผมดูแลมันไม่ได้เยอะอะไรหรอก Server ยี่ห้อ Dell อยู่ 7 ตัวใน CAT บางรัก วางใน IDC เจ้าหนึ่ง ไม่ใช่เครื่องผมโดยตรง มูลค่าเครื่องทั้งหมดก็หลายแสน ระบบและข้อมูลภายในบริการลูกค้าเยอะพอตัวเลย

โดยไฟดับในวันที่ 30 พฤศจิกายน 2556 ที่ผ่านมานั้น ดับไปประมาณ 6 ชั่วโมง เสียหายไปรวมเกือบ 5 แสนบาท โดยประเมิณค่าเสียหายจาก transaction เก่าในวันเดียวกันของอาทิตย์ก่อนๆ (เก็บเงินจากใคร!!!)

WP_20131123_22_54_23_Pro

การตรวจสอบการ up/down time ของระบบที่ดูแลผมใช้แบบ International และ Domestic connection คือส่วนของ International นั้นผมใช้ uptimerobot ในการตรวจสอบการมีอยู่ของระบบจากภายนอกประเทศ ส่วน Domestic จะติดตั้งและทำงานผ่าน nagios ซึ่งทำงานภายใน local switch ที่อยู่ใน IDC เลย เพราะฉะนั้น ถ้ามีปัญหาระบบแจ้งเตือนทั้งสองจุดจะแจ้งพร้อมกัน (หรือใกล้เคียงกัน) แต่ระบบทั้ง 2 ส่วนนั้น มีการวิ่งตรวจสอบไขว่กัน เพราะระบบ nagios  ที่ติดตั้งนั้น ได้เช็คระบบที่ไว้ที่ต่างประเทศด้วย ตามแผนภาพด้านล่างด้วย

image

แต่ในวันนั้น ระบบ uptimerobot แจ้งเตือน เวลา 15:20 และค่อยๆ ไล่ส่งการแจ้งเตือนมาทุกเครื่องที่อยู่ในตึก CAT บางรัก (ส่งมาเป็นสิบฉบับเลย)

โอเค ปรกติ link ของ International ในตึก CAT บางรัก อาจมีปัญหาบ้าง เพราะผมได้แจ้งเตือนแบบนี้บ่อย เพราะ link ของ International ล่ม แต่รอบนี้แปลกมากๆ เพราะในทางกลับกัน ส่วนของ nagios  มันก็ต้องแจ้งเตือนว่า Server ที่อยู่เมืองนอกมันล่มด้วย เพราะวิ่งออกไป International ไม่ได้ แต่รอบนี้ไม่มี uptimerebot ส่งเพียงฝ่ายเดียวเท่านั้น

Uptime Robot alert@uptimerobot.com

ส. 30/11/2556 15:20

Hi,
The monitor xxx – HTTP (xxx)  is currently DOWN (Connection Timeout).

Uptime Robot will alert you when it is back up.

Cheers,
Uptime Robot
http://www.uptimerobot.com
http://twitter.com/uptimerobot
(sent from new engine)

เวลาประมาณ 15:25 ผมเลยกดเข้าเว็บที่ดูแลอยู่ ทุก link ทุก IP ทุก port ที่สามารถจะเข้าได้ แต่ทุกอย่างไร้การตอบสนอง…

Read more