ชั้นที่ 1 — Fence (รั้วรอบที่ดิน)#

Fence (รั้วเขตที่ดิน) = รั้วโลหะรอบเขตที่ดินของ data center. ปกติสูง 2-3 เมตร + ลวดหนามด้านบน. มี กล้อง + motion sensor บนรั้ว ที่ detect ใครพยายามปีน

ถามว่ารั้วช่วยอะไรครับ — ช่วย delay. โจรปีนได้ — แต่ใช้เวลา. เวลา = detect + respond. รั้วที่ดีไม่ใช่รั้วที่กั้น 100% (ไม่มีหรอก) — แต่เป็นรั้วที่ทำให้โจรใช้เวลา 5-10 นาที + ส่ง alert ให้ยามมาจัดการ

ชั้นที่ 2 — Gate + Vehicle barrier#

Gate (ประตูทางเข้า) + Bollard (เสากันรถ) = ทางเข้ารถ. มี guardhouse (ป้อมยาม) ที่ตรวจคนขับ + ตรวจรถ + lift ประตูเข้า

ที่ data center ระดับสูง — มี anti-ram bollard — เสาเหล็กที่กันรถขนาด 7 ตันชนเข้ามาที่ความเร็ว 80 km/h. มาตรฐาน K12 / M50 ของ ASTM

ชั้นที่ 3 — Lobby (ล็อบบี้รับแขก)#

เข้าตึกแล้ว — เจอ lobby ที่มี reception desk + ระบบ check-in. แขกต้อง

1. แสดงบัตรประชาชน
2. ลงทะเบียนกับ host ในบริษัท
3. ได้ visitor badge ที่ติดบนตัวตลอดเวลา
4. ผ่าน metal detector (บางที่)

ที่ data center ระดับ Tier IV (ที่จะคุยข้างหน้า) — บางที่มี X-ray scan ของที่เอาเข้า. เพราะ USB / harddisk ที่เอาเข้าได้ = ความเสี่ยงระดับ Stuxnet

ชั้นที่ 4 — Mantrap (airlock ของยานอวกาศ)#

ตรงนี้คือ control ที่ผู้บริหารต้องจำชื่อให้ได้ครับ — Mantrap

Mantrap (ห้องดักคน / airlock) = ห้องเล็กๆ มี 2 ประตู ที่ เปิดได้ทีละบาน. คุณเดินเข้าประตูแรก — ประตูปิดล็อก — เครื่องตรวจ identity (บัตร + biometric) — ถ้าผ่าน ประตูที่สองเปิด. ถ้าไม่ผ่าน — ติดอยู่ในห้องนั้น จนยามมาจัดการ

ลองเทียบกับ airlock ของยานอวกาศ ครับ. นักบินอวกาศจะออกไปนอกยาน — เข้าห้อง airlock — ปิดประตูด้านใน — เปิดประตูด้านนอก. ไม่มีตอนไหนที่ทั้ง 2 ประตูเปิดพร้อมกัน — เพื่อกันอากาศไม่ให้หลุดออก

mantrap ใช้หลักเดียวกัน — กัน คนที่ไม่มีสิทธิ์ ไม่ให้หลุดเข้าไป + กัน tailgating (จะคุยทันที)

ที่ data center บางที่ — mantrap เป็น scale ชั่งน้ำหนัก ด้วย — เพื่อ detect ว่าคนเดียวเข้าจริงๆ ไม่ได้พาคนอื่นเข้ามาด้วย (ถ้าน้ำหนักรวมเกิน 90 kg ของคนหนึ่งคน — alert)

ชั้นที่ 5 — Cage (กรงเหล็กของแต่ละลูกค้า)#

ในห้อง data center — เซิร์ฟเวอร์ของบริษัทต่างๆ อยู่ใน rack (ตู้ขนาด 42U). บริษัทใหญ่ที่เช่า colocation จะมี cage — กรงเหล็กรอบกลุ่ม rack ของตัวเอง + กุญแจที่บริษัทเก็บเอง

cage = แม้พนักงานของ data center provider เข้าห้องได้ — ก็เข้า rack ของลูกค้าโดยตรงไม่ได้. ต้องมีตัวแทนของลูกค้ามาเปิด

นี่เป็น defense in depth physical — 5 ชั้น. แต่ละชั้นทำหน้าที่ของตัวเอง. ถ้าชั้นไหนพัง — ชั้นถัดไปยังกันได้

มุมผู้บริหาร: ก่อนเซ็นสัญญา colocation — ขอ physical security tour แล้วถามคำถามเดียว — “ถ้าผมขอเข้าไปที่ rack ของผมตอน 3 นาฬิกาเช้า — process ใช้เวลาเท่าไหร่?” ถ้า > 30 นาที = response time แย่. ค่าเช่า Tier III ในไทย 8,000-15,000 บาท/rack/เดือน — Tier IV 15,000-30,000. ถ้า colocation ไม่มี mantrap = Tier ต่ำเกินสำหรับข้อมูล sensitive อยู่แล้ว ไม่ต้องคุยต่อ

Badge — บัตรที่บอกว่าใครเป็นใคร#

Badge (บัตรเข้า) = บัตรที่มี RFID หรือ NFC chip ฝังอยู่. แตะที่เครื่องอ่าน — ระบบเช็คฐานข้อมูลว่า badge นี้มีสิทธิ์เข้าประตูนี้ไหม + ทำ log

• RFID = Radio-Frequency Identification (ระบุตัวด้วยคลื่นวิทยุ) — chip ที่ส่งคลื่นวิทยุระยะ 10-30 cm
• NFC = Near-Field Communication (สื่อสารระยะใกล้) — เหมือน RFID แต่ระยะสั้นกว่า (4-10 cm) + 2 way communication

ระบบ badge ที่ดีจะ:

1. บันทึก timestamp ทุกครั้งที่แตะ
2. link กับ HR system — พนักงานลาออก = badge revoke ทันที (joiner / mover / leaver จาก EP.10 IAM)
3. time-based rule — badge ของผู้รับเหมาเข้าได้แค่ จันทร์-ศุกร์ 8:00-18:00 เท่านั้น
4. anti-passback — ถ้าแตะเข้า แล้วยังไม่แตะออก — แตะเข้าอีกที่ประตูเดียวกันไม่ได้ (กัน badge แชร์)

Biometric — สิ่งที่ปลอมได้ยากกว่า#

ที่ห้องสำคัญมากๆ (data center / server room / vault) — เพิ่ม biometric ครับ

ใน EP.13 เราคุยเรื่อง biometric แล้ว — ลายนิ้วมือ / ม่านตา / หน้า / ลายเสียง. ที่ data center จริง — ที่นิยมคือ

• Fingerprint — ราคาถูก แต่ปลอมได้ด้วย silicone mold
• Iris scan — แม่นมาก ปลอมยาก แต่แพง
• Hand geometry — สแกนรูปทรง 3D ของมือ — เก่าแก่แต่ทนทาน
• Palm vein — สแกนเส้นเลือดในฝ่ามือ — ปลอมแทบไม่ได้ (เพราะต้องมี blood flow)

หลักการใช้คือ MFA แบบ physical — บัตร (have) + biometric (are) ที่ประตู. กัน badge ถูกขโมยใช้

Tailgating + Piggybacking — เทคนิคโจรที่ใช้ความสุภาพของคน#

มี 2 คำที่นักวิเคราะห์ security ใช้ — และเป็น attack vector ที่ใช้บ่อยที่สุด ในวงการ physical pen test

Tailgating (เดินตามหลัง) = โจรเดินตามหลังพนักงานที่แตะ badge เปิดประตู — พนักงานไม่รู้ ว่ามีคนตาม

ลองนึกฉาก — พนักงานเดินเข้าประตู — ได้ยินเสียงคนเดินมา หันมาเห็นชายแต่งสูทถือกาแฟ 2 แก้ว มือไม่ว่าง. พนักงานสุภาพ — เปิดประตูค้างไว้ให้. ชายแต่งสูทยิ้ม “Thanks”. เดินเข้า

ชายนั้นคือโจร. ที่ทำได้เพราะวัฒนธรรมไทย/สากล — เปิดประตูให้คนอื่นเป็นมารยาท

Piggybacking (ขี่หลัง) = เหมือน tailgating แต่ พนักงานรู้ + ยอมให้เข้า. เช่น โจรอ้างว่าลืม badge / เป็น vendor / IT support

ทั้งสองอย่างนี้ — กันด้วย mantrap (ทีละคน) + CCTV + awareness training ของพนักงานให้กล้าถาม “ขอดู badge ก่อนนะคะ” ไม่ใช่เปิดประตูค้างไว้เพราะเกรงใจ

ในวงการ pen test มีเรื่องเล่าคลาสสิคของ Kevin Mitnick — hacker ชื่อดังที่บอกว่า — “social engineering + tailgating สามารถ bypass firewall มูลค่า 10 ล้านได้ในเวลา 30 วินาที”. หลักเดียวกันที่บริษัทไทยติดบ่อย — IT มี budget ใส่ firewall เป็นล้าน แต่ลืม กัน physical access ของห้อง network closet

มุมผู้บริหาร: ทำ physical pen test ปีละครั้ง — จ้างทีม external มาลอง tailgating + piggybacking + lock picking ในตึกของบริษัท. งบประมาณบริษัทขนาดกลาง — 150,000-400,000 บาท/ครั้ง. ทีมจะพยายามเข้าตึก / server room / executive floor ด้วยเทคนิคจริง. รายงานที่ได้ — เจอ ช่องโหว่ที่ digital pen test ไม่เจอ — เช่น พนักงาน reception ที่ไม่ตรวจบัตร / ประตู server room ที่ไม่ปิด / กล้อง CCTV ที่มุมเอียงไม่เห็นทางเข้าจริง. อย่างที่ pattern ของวงการคือ — บริษัทใหญ่ของไทยที่ทำ pen test แบบนี้ส่วนใหญ่ ผ่าน digital control แต่ fail physical เพราะ awareness ของพนักงาน front-line ต่ำเกินไป. คนที่จะ approve ค่านี้ — CISO + Head of Facility. ไม่ใช่ IT คนเดียว

CCTV + IP camera — กล้องที่เห็นทุกมุม#

CCTV = Closed-Circuit Television (โทรทัศน์วงจรปิด) — กล้องที่ส่ง video ไปเฉพาะ monitor ในระบบของบริษัท ไม่ broadcast ออก. ปี 2026 ที่ใช้กันคือ IP camera — กล้องที่ส่ง video ผ่าน network ไปเก็บที่ NVR (Network Video Recorder) หรือ cloud

มาตรฐานของ data center —

• Resolution ขั้นต่ำ 1080p ที่ทุก choke point (mantrap / lobby / loading dock)
• Retention 90-180 วัน ตาม policy
• Coverage — ทุกประตู + ทุก aisle ของ data hall + มุมที่ไม่มี blind spot
• PTZ (Pan-Tilt-Zoom) camera — กล้องที่ขยับ + zoom ได้ ในจุดที่ต้องตามวัตถุ

Motion detection + Analytics#

กล้องที่ดีไม่ใช่แค่บันทึก — ต้อง detect ความผิดปกติ

• Motion detection — alert เมื่อมี motion ในจุดที่ไม่ควรมีคน (เช่น data hall ตอน 3 นาฬิกาเช้า)
• Loitering detection — ตรวจว่ามีคนยืนอยู่นาน > 5 นาทีในจุดที่ไม่ควรยืน
• Object left behind — กระเป๋า / ของวางทิ้งไว้

ปี 2024-2025 — AI-based video analytics เริ่มใช้กันแพร่หลาย — detect behavior ผิดปกติ (เช่น มีคนพยายามถอด casing ของ server)

Guard tour — ยามที่ต้องเดินตรวจ#

แม้กล้องดีแค่ไหน — guard ที่เดินตรวจ ยังจำเป็น

Guard tour (รอบตรวจของยาม) = ระบบที่บังคับให้ยามเดินตรวจตามจุดที่กำหนด — แตะ checkpoint ทุกจุด เพื่อพิสูจน์ว่ามาตรวจจริง. ปัจจุบันใช้ NFC tag ที่ยามแตะด้วยมือถือของบริษัท — บันทึก timestamp + GPS

ที่ data center Tier III/IV — guard tour ทุก 2-4 ชั่วโมง 24/7

เคส Verkada 2021 — กล้อง 150,000 ตัวที่กลายเป็นจุดบุก#

แต่ surveillance เองก็มี dark side ครับ. มาที่เคสที่เปลี่ยน mindset วงการ — Verkada breach 2021

Verkada = บริษัท IP camera ของอเมริกา. ขายระบบกล้อง + cloud platform ที่ลูกค้าดู feed ผ่าน browser. ลูกค้าเป็น โรงพยาบาล / โรงเรียน / โรงงาน Tesla / เรือนจำ / สถานีตำรวจ

มีนาคม 2021 — กลุ่ม hacktivist กลุ่มหนึ่งเจอ credentials ของ super-admin ที่ Verkada ลืมไว้ใน DevOps script บนอินเทอร์เน็ต. login เข้า — ได้สิทธิ์ดู feed กล้อง 150,000 ตัว ของลูกค้า Verkada ทั่วโลก แบบ real-time

hacker ได้:

• ดู feed ใน factory ของ Tesla — เห็น production line
• ดู feed ใน prison + interrogation room ของตำรวจอเมริกัน
• ดู feed ใน hospital + ICU
• ดาวน์โหลด video archive จำนวนมาก

บทเรียน — กล้อง CCTV ที่ต่อ cloud = attack surface ใหม่. ถ้า cloud platform โดน hack — กล้องทุกตัวของทุกลูกค้า อาจถูกดูได้

หลังเคสนี้ — มาตรฐานวงการเปลี่ยน — สำหรับ data center ที่ sensitive สูง

1. Camera feed ห้ามออก internet — เก็บใน on-prem NVR เท่านั้น
2. Vendor access ต้องผ่าน VPN + MFA + audit log
3. Credential ของ vendor ห้ามใช้ shared super-admin — ต้องเป็น per-user

มุมผู้บริหาร: ก่อนซื้อระบบ CCTV cloud — ถาม vendor คำถามเดียว — “employee ของคุณกี่คนเข้าดู feed ลูกค้าได้ + มี audit log ไหม?” ถ้าตอบไม่ได้ทันที = privacy risk ที่ผู้บริหารไม่อยากเซ็น. ถ้าบริษัทคุณมีของ sensitive (R&D / vault / data hall) — on-prem NVR ดีกว่า cloud เรื่อง attack surface. cloud เหมาะกับพื้นที่ทั่วไป — แค่ต้อง vetting vendor ให้ดี

HVAC — Heating / Ventilation / Air Conditioning#

HVAC = Heating, Ventilation, and Air Conditioning (ระบบความร้อน ระบายอากาศ และปรับอากาศ) = ระบบควบคุม

• Temperature (อุณหภูมิ) — มาตรฐาน ASHRAE ของ data center 18-27 องศาเซลเซียส (เป้าหมาย 22-24)
• Humidity (ความชื้น) — 40-60% RH (Relative Humidity). ต่ำเกิน = static electricity เสียง่าย. สูงเกิน = corrosion + condensation
• Airflow (การไหลของอากาศ) — direct flow จาก cold aisle ไป hot aisle (จะคุยใน power section)

ที่ data center สมัยใหม่ — มี CRAC (Computer Room Air Conditioning) units รอบ data hall + chiller + cooling tower ภายนอก

Target 2013 — เมื่อ HVAC vendor กลายเป็น attack vector#

ที่นี่จะตอบคำถามที่หลายคนอาจเริ่มสงสัยครับ — “HVAC เกี่ยวอะไรกับ cybersecurity?”

มาที่เคสคลาสสิคที่วงการทุกคนอ้างถึง — Target 2013

ปลายปี 2013 — Target (chain ห้างใหญ่ของอเมริกา) ถูก hack — เสียข้อมูลบัตรเครดิต 40 ล้านใบ + ข้อมูลส่วนตัว 70 ล้านราย

จุดเริ่มของ attack — ไม่ใช่ระบบ POS ของ Target. ไม่ใช่ firewall ของ Target. เป็น Fazio Mechanical Services — บริษัทรับเหมาที่ดูแล ระบบ HVAC ของห้าง Target

attacker ส่ง phishing email ไป Fazio — ติด malware — ขโมย credential ของ Fazio ที่ login เข้า Target vendor portal (ที่ Fazio ใช้ส่งบิล + รายงานสถานะระบบแอร์)

ปัญหาคือ — vendor portal ของ Target ไม่ได้ segment จาก network ของ POS. attacker pivot จาก vendor portal → corporate network → POS network → installed malware ที่ POS terminal → ขโมยข้อมูลบัตรขณะลูกค้ารูดบัตร

ความเสียหาย — ค่าใช้จ่ายรวม (settle หลายคดี + investigation + lawsuit ของธนาคารและลูกค้า) มูลค่ารวมที่ Target รายงานในงบการเงินภายหลังประมาณ $200-290 ล้านดอลลาร์. CEO Gregg Steinhafel ลาออก (พ.ค. 2014) และ CIO Beth Jacob ก็ลาออก (มี.ค. 2014) หลังเหตุการณ์

บทเรียน — HVAC vendor ที่ดูแลห้องเซิร์ฟเวอร์ ไม่ควรมี network access ที่เดียวกับ business network. ใน EP.28 (Segmentation) เราคุยเรื่อง microsegmentation — Target คือเคสคลาสสิคที่ทำให้วงการตื่นตัว

อ้าว — แค่ HVAC ก็โดน hack ทั้งบริษัทได้

Fire suppression — ดับเพลิงโดยไม่ทำลายเซิร์ฟเวอร์#

อีกระบบที่สำคัญไม่แพ้กันครับ — ระบบดับเพลิง

ปัญหาของ data center — ดับเพลิงปกติใช้ น้ำ. แต่น้ำ + เซิร์ฟเวอร์เปิดอยู่ = ไฟฟ้าลัดวงจร + ทำลายเซิร์ฟเวอร์ทั้งห้อง

วงการเลยพัฒนา fire suppression system หลายแบบสำหรับ data center ครับ

1. FM-200 (HFC-227ea) — gas suppression. ฉีดแก๊สที่ดูดความร้อนจาก fire — ไฟดับโดย:

• ไม่ทำลายอุปกรณ์อิเล็กทรอนิกส์
• ไม่ทำให้คนในห้องตาย (concentration ที่ใช้ปลอดภัยสำหรับคน ภายในเวลาอพยพ)
• ดับไฟภายใน 10 วินาที

นี่คือมาตรฐาน data center สมัยใหม่. แพง — แต่จำเป็น

2. Halon (1301) — gas suppression รุ่นเก่า. ใช้ในยุค 70s-90s. ดับไฟดี แต่ ทำลายโอโซน — ถูก ban โดย Montreal Protocol. ปัจจุบัน data center ใหม่ทุกที่ใช้ FM-200 หรือ alternative (Novec 1230 / Inergen)

3. Pre-action sprinkler — ระบบ sprinkler ที่ ท่อแห้ง จนกว่าจะมี 2 trigger พร้อมกัน:

• smoke detector ตรวจเจอควัน → ปั๊มน้ำเข้าท่อ
• heat detector ตรวจเจอความร้อน → sprinkler head เปิด → น้ำพ่นออก

ที่ใช้ pre-action เพราะกัน false alarm + accidental discharge — ถ้าใช้ระบบปกติ (wet pipe) แล้ว sprinkler head แตกเพราะคนสะดุดท่อ — น้ำสาดเซิร์ฟเวอร์ทั้งห้อง

4. Wet pipe vs Dry pipe —

• Wet pipe = ท่อมีน้ำตลอดเวลา — เร็วแต่เสี่ยง leak
• Dry pipe = ท่อมีลมอัดไว้ — เปิดเมื่อ trigger → น้ำเข้า. ช้ากว่า 30-60 วินาที แต่ปลอดภัยเรื่อง leak

data center ใหญ่ — FM-200 ในห้อง + pre-action sprinkler เป็น backup. ระบบไหนสำคัญที่สุด — FM-200 จะดับก่อน. ถ้าไฟใหญ่จน FM-200 เอาไม่อยู่ — sprinkler ทำงานเป็น last resort (ในตอนนั้น ห้องคงพังหมดแล้ว)

Power & Cooling — UPS / Generator / Redundant feed#

อีก 3 หัวข้อใหญ่ของ data center ครับ — ที่ไม่มีไม่ได้

UPS = Uninterruptible Power Supply (เครื่องสำรองไฟ) = battery bank ขนาดใหญ่ที่จ่ายไฟทันทีถ้าไฟ utility ดับ. ปกติจ่ายได้ 5-30 นาที — เวลาเพียงพอให้ generator ติดเครื่อง

Generator (เครื่องปั่นไฟ) = generator น้ำมัน/แก๊สขนาดใหญ่ที่ติดเครื่องอัตโนมัติเมื่อไฟดับ + UPS รับช่วง. data center Tier IV มี generator + fuel ที่จ่ายไฟได้ 72 ชั่วโมง โดยไม่ต้องเติม

Redundant feed (สาย feed ไฟฟ้าหลายสาย) = data center Tier ที่สูงรับไฟจาก 2 substation ของการไฟฟ้าที่แยกอิสระจากกัน + 2 path เข้าตึก. กันได้ขนาดสาย feed ตัวหนึ่งโดนรถชน

Hot aisle / Cold aisle (ทางเดินร้อน / เย็น) = layout การวาง rack ใน data hall

• Cold aisle — ทางเดินที่ CRAC เป่าอากาศเย็นออกจากใต้พื้น. เซิร์ฟเวอร์ดูดอากาศเย็นเข้าด้านหน้า
• Hot aisle — ทางเดินที่เซิร์ฟเวอร์ปล่อยอากาศร้อนออกด้านหลัง — ดูดกลับเข้า CRAC

หลักการ — ไม่ให้อากาศร้อน + เย็นผสมกัน. ทำให้ cooling efficient — ประหยัดไฟ + อุณหภูมิคงที่

AWS Iceland HVAC overheat 2022 — เมื่อ environmental fail แล้ว#

มาที่เคสล่าสุดที่เกิดในปี 2022 ครับ — AWS Iceland (Reykjavík region) HVAC failure

ปลายปี 2022 — AWS region ที่ Iceland (region code eu-west-3 ในบางช่วงเวลา + ส่วนของ availability zone ของ AWS Europe ที่อยู่ที่นั่น) เจอ HVAC malfunction ใน data hall — อุณหภูมิเริ่มขึ้น

AWS engineer ตัดสินใจ shutdown server บางส่วน เพื่อลดความร้อน — service ที่ host ใน zone นั้นล่ม หลายชั่วโมง

บทเรียนของวงการ — แม้บริษัทขนาด AWS ที่มี SRE ดีที่สุดในโลก + budget ไม่จำกัด — HVAC fail = service fail. ไม่มี firewall ไหนกัน thermal ได้

Stuxnet 2010 — เคสที่ physical isolation พังเพราะ USB#

ก่อนปิดหัวข้อ environmental — มาที่เคสคลาสสิคที่สุดของวงการครับ — Stuxnet 2010

อิหร่านมี uranium enrichment facility ที่ Natanz — มี centrifuge ที่หมุนยูเรเนียมเพื่อแยก isotope. ระบบควบคุม centrifuge เป็น SCADA (industrial control system) ที่รัน Siemens PLC

facility นี้ถือว่า secure ที่สุดในโลก เพราะ —

1. Air-gapped — ไม่ต่อ internet เลย
2. มี physical guard 24/7
3. ระบบควบคุมแยก network 100% จาก IT

แต่ปี 2010 — เซิร์ฟเวอร์ใน facility โดน malware ที่ทำให้ centrifuge หมุนเร็วเกินจนพัง — เสีย 1,000 ตัว ทำให้โครงการ enrichment ของอิหร่านช้าไป 2 ปี

malware นั้น = Stuxnet — ที่นักวิเคราะห์เชื่อว่าสร้างโดย US + Israel (Operation Olympic Games)

แล้ว malware เข้าไปได้ยังไงในระบบที่ ไม่ต่อ internet ครับ?

คำตอบ — USB drive. CIA จัดให้ผู้รับเหมาที่ทำงานในโรงงาน — มี USB ที่ติด Stuxnet ไปด้วย. พนักงานเสียบ USB เข้าเซิร์ฟเวอร์ — Stuxnet replicate ผ่าน USB ไปทุกเครื่องในระบบ — หา PLC ที่ตรงรุ่น — แก้คำสั่งให้ centrifuge หมุนเร็วผิดปกติ

บทเรียนอันใหญ่ของวงการ — air-gap ไม่ใช่ control 100%. ถ้ามี physical access (ผ่าน USB / supply chain / employee insider) — air-gap ก็ข้ามได้

ปัจจุบัน data center sensitive (military / nuclear / R&D) บังคับ:

• No USB port — physically remove ที่ทุกเครื่อง หรือ disable BIOS
• USB block policy ที่ Windows/Linux level
• ใช้ data diode (one-way network) แทน air-gap ในบางกรณี

มุมผู้บริหาร: environmental control ของ data center — บริษัทระดับกลางต้องมี UPS อย่างน้อย 15 นาที + generator 8 ชั่วโมง + FM-200 + redundant power feed. แต่ control ที่สำคัญที่สุดและราคา 0 บาท — “ใครเข้าถึง vendor portal + segmentation ของ vendor network เป็นยังไง?” เคส Target 2013 — โจรเข้ามาผ่าน HVAC vendor — ป้องกันได้ฟรีแค่เปลี่ยน network design

Tier I — Basic Capacity#

Uptime 99.671% — downtime สูงสุด 28.8 ชั่วโมง/ปี

• Single path ของ power + cooling — ไม่มี redundancy
• ห้าม maintenance ตอนระบบ run = ต้อง shutdown
• เหมาะกับ — บริษัทเล็ก / dev environment / non-critical workload

Tier II — Redundant Capacity Components#

Uptime 99.741% — downtime สูงสุด 22 ชั่วโมง/ปี

• Single path แต่มี redundant components (UPS + generator + chiller สำรอง)
• ยัง shutdown สำหรับ maintenance อยู่
• เหมาะกับ — บริษัทกลาง / internal applications

Tier III — Concurrently Maintainable#

Uptime 99.982% — downtime สูงสุด 1.6 ชั่วโมง/ปี

• Multiple paths ของ power + cooling (แต่ active แค่ path เดียว path อื่นเป็น standby)
• สามารถ maintenance ระบบหนึ่งโดยไม่ shutdown service (concurrently maintainable)
• เหมาะกับ — บริษัทไทยขนาดใหญ่ / e-commerce / SaaS / fintech ส่วนใหญ่. นี่เป็นมาตรฐาน sweet spot

Tier IV — Fault Tolerant#

Uptime 99.995% — downtime สูงสุด 26.3 นาที/ปี

• Multiple active paths ของ power + cooling — ทั้งสองทำงานพร้อมกัน
• Fault tolerant — ถ้า component ตัวหนึ่ง fail (ไม่ใช่แค่ maintenance) — service ไม่กระทบ
• มี compartmentalization — แบ่งห้องเป็น fire zone แยก
• 96-hour fuel storage ของ generator
• เหมาะกับ — financial trading / hyperscale cloud / mission-critical

ที่ต้องเข้าใจ — ความต่างหลักของ Tier III vs IV คือ:

• Tier III = Concurrently Maintainable — กัน planned downtime (maintenance ทำได้โดยไม่กระทบ service)
• Tier IV = Fault Tolerant — กัน unplanned failure (component พังเอง service ไม่กระทบ)

ราคาความต่างประมาณ — Tier IV แพงกว่า Tier III 50-100% + ใช้พื้นที่มากกว่า

Uptime ที่ผู้บริหารต้องเข้าใจ — math ง่ายๆ#

ลองคิดดูครับ — ถ้าธุรกิจของคุณเสียเงิน 1 ล้านบาท/ชั่วโมง เมื่อ down:

• Tier I = 28.8 ล้านบาท/ปี
• Tier III = 1.6 ล้านบาท/ปี
• Tier IV = 0.43 ล้านบาท/ปี

ความต่างระหว่าง Tier I → IV = 28.4 ล้านบาท/ปี ของ avoided loss. ค่าเช่า Tier IV แพงกว่า Tier I ราว 3-4 เท่า — ถ้า business impact ของ downtime สูง — Tier IV คุ้มทันที

เคส Equinix outages — แม้ Tier ดี ก็ยังมี edge case#

ปิดด้วยเคส Equinix ครับ — บริษัทยักษ์ใหญ่ของวงการ colocation. มีสาขาทั่วโลก รวมที่ไทยด้วย (Equinix BK1)

แม้ Tier IV และ certification ครบ — Equinix ก็เคย down เป็นช่วงๆ ในรอบ 10 ปีที่ผ่านมา —

• ปี 2014 — EQ SY3 Sydney ดับเพราะ power transfer failure
• ปี 2017 — DC1 (Reston) ดับเพราะ generator ติดไม่ทันตอนไฟดับ
• ปี 2022 — LD8 London ดับเพราะ cooling system + UPS failure cascade

บทเรียน — ไม่มี Tier ไหนการันตี 100%. Tier IV ลด probability ของ unplanned failure — แต่ไม่กำจัด. นี่คือทำไม business continuity ต้องคิดข้าม data center — ใช้ multi-region / multi-AZ / hybrid strategy (ที่คุยใน EP.32 Cloud)

ผู้บริหารต้องเลือก — โหลด workload ตัวไหนใน Tier ไหน. ไม่ใช่ทั้งบริษัทใน Tier IV. ไม่ใช่ทั้งบริษัทใน Tier I

มุมผู้บริหาร: วิธีเลือก Tier ของบริษัทไทย — ส่วนใหญ่บริษัทขนาดกลาง Tier III + multi-region เป็น sweet spot. บริษัท fintech / trading = Tier IV + multi-region (must). e-commerce ทั่วไป = Tier III + cloud backup เพียงพอ. คำถามเดียวที่ขอตอนเซ็นสัญญา — “last unplanned downtime เมื่อไหร่ + เพราะอะไร?” คำตอบบอก operational maturity จริงๆ มากกว่าใบ certificate