สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวที่เกี่ยวข้องกับ Security ครับ โดยบทความนี้ผมจะหยิบเอาเรื่องของการป้องกัน Identity (User Accounts) ให้มีความปลอดภัยมากขึ้นครับ
สิ่งผมอยากจะอธิบายให้ทุกท่านได้ทราบเบื้องต้นก่อน นั่นก็เรื่องราวต่างๆ ของ Security นั้นมีรายละเอียดเยอะมากครับ ซึ่งทาง Microsoft ก็ได้เตรียมเครื่องไม้เครื่องมือตลอดจน Services ต่างๆ เข้ามาช่วยทำให้ Environment ขององค์กร ไม่ว่าจะมีลักษณะเป็น Hybrid หรือ Multi-Cloud Environment ก็ตามให้มีความปลอดภัยมากขึ้นครับ นอกจากนี้แล้ว Microsoft ยังเตรียม Models ต่างๆ ซึ่งท่านสามารถนำไปเป็น Reference เพื่อนำไปประยุกต์ใช้งานในองค์กรได้ครับ เช่น Shared Resonsibility Model, Defense-In-Depth Model, Zero Trust Model, เป็นต้น
ขออนุญาตกลับมายัง สิ่งที่ผมโฟกัสสำหรับบทความนี้ นั่นก็คือ การป้องกัน Identity (Identity Protection) เหตุผลที่ผมหยิบเอาเรื่องดังกล่าวนี้มานำเสนอ ก็ด้วยเหตุผลที่ว่า Identity ถือว่าเป็นเป้าหมายอันดับต้นๆ ของ Attackers/Hackers ที่ต้องการจะแทรกตัวเข้ามาใน Environment ที่เป็นเป้าหมายของเค้าครับ ประกอบกับ Environment ณ ปัจจุบันขององค์กรส่วนใหญ่จะมีลักษณะเป็น Hybrid Cloud ส่งผลทำให้ผู้ใช้งานในองค์กรนั้นๆ สามารถเข้าถึง Applications และ Data ต่างๆ ที่อยู่ที่ไหนก็ได้ไม่ว่าจะอยู่ใน On-Premise หรือ Cloud ครับ แน่นอนว่าในมุมของผู้ใช้งาน ประเด็นดังกล่าวนี้ส่งผลดีต่อผู้ใช้งาน เพราะทำให้เกิดความสะดวกในการใช้งาน แต่ในมุมของ IT หรือ Security Teams ตลอดจนท่านที่มีบทบาทหน้าที่ที่เข้าไปเกี่ยวข้องกับเรื่องของ Security ของ Environment ดังกล่าว จากประเด็นเดียวกัน มันก่อให้เกิด Challenge ที่ IT หรือ Security Teams จะบริหารจัดการและป้องกัน Identity ของผู้ใช้งานอย่างไร และอย่างที่ผมได้เกริ่นไว้ข้างต้นของบทความว่า ทาง Microsoft ได้เตรียมหลายสิ่งหลายอย่างเอาไว้จัดการกับ Challenge ที่ว่านี้ครับ เช่น Azure MFA, Azure AD Condition Access, Passwordless, และอื่นๆ
ผมขอยกตัวอย่างของ Features, Tools, และ Services ต่างๆ ที่จะเข้ามาช่วยปกป้อง Identity ซึ่งทาง Microsoft ได้เตรียมไว้สำหรับให้องค์กรได้ทำการวางแผนและพิจารณาเพื่อนำไปประยุกต์ใช้งาน ดังรูปด้านล่าง โดยรูปดังกล่าวนี้ผมวาดขึ้นมาเพื่อใช้ในการอธิบายและ Discuss กับลูกค้าที่สนใจเรื่องของการปกป้อง Identity ครับ
.jpg)
-
สำหรับบทความนี้ ผมจะนำเสนอเรื่องราวของ Feature หนึ่ง (อ้างอิงจากรูปด้านบน) ใน Azure Active Directory (Azure AD) ที่มีชื่อว่า "Azure Active Directory Identity Protection" หรือ Azure AD Identity Protection โดย Feature ดังกล่าวนี้ไม่มีใน Azure AD Free Edition นะครับ จะมีอยู่ใน Azure AD Premium P2 Edition ครับ หรือดูรายละเอียดจากรูปด้านล่างและ Link นี้ครับ, https://www.microsoft.com/security/business/identity-access-management/azure-ad-pricing
Azure Active Directory Identity Protection คืออะไร?
Azure Active Directory Identity Protection หรือ Azure AD Identity Protection เป็น Feature ที่จะเข้ามาช่วยป้องกัน Identity หรือ Users ใน Environment ขององค์กรครับ โดย Azure AD Identity Protection จะทำการตรวจสอบดูว่าใน Environment ขององค์กรนั้นๆ มีเหตุการณ์ผิดปรกติหรือเหตุการณ์ที่น่าสงสัย ซึ่งมีความสุ่มเสี่ยงกับ Identity หรือ Users หรือไม่ สำหรับเหตุการณ์ผิดปรกติหรือเหตุการณ์ที่น่าสงสัย ซึ่งมีความสุ่มเสี่ยงกับ Identity ที่ผมเกริ่นไว้เมื่อซักครู่นั้น ยกตัวอย่างเช่น มีการ Sign-In จากผู้ใช้งานหรือ User จาก Location แปลก ซึ่งผู้ใช้งานท่านดังกล่าวไม่เคยเดินทางไปที่นั่น, ผู้ใช้งานเชื่อมต่อเข้ามาใน Environment นั้นๆ ด้วย IP Addresses แปลกๆ หรือน่าสงสัย, หรือเกิด Password Spray Attacks, และอื่นๆ ครับ
จากตัวอย่างเหล่านี้ ต้องบอกว่าโดยปรกติ เราไม่สามารถรู้ได้เลยครับ เพราะไม่มีเครื่องมือใดๆ ที่จะเข้ามาทำการตรวจสอบครับ แล้วท่านผู้อ่านตลอดจนองค์กรจะรับมือและจัดการกับภัยคุกคามหรือตัวอย่างที่ผมได้อธิบายไว้ข้างต้นอย่างไร? คำตอบ คือ สามารถจัดการได้ครับ โดยท่านผู้อ่านหรือองค์กรสามารถพิจารณานำเอา Azure AD Identity Protection เข้ามาช่วยครับ โดยตัวของ Azure AD Identity Protection ใช้ Threat Intelligence ซึ่งทาง Microsoft ได้ทำการรวบรวมข้อมูลต่างๆ จาก Microsoft เอง และจากลูกค้าของ Microsoft ทั่งโลก ในการดำเนินการครับ โดยจะมีหน้าที่หลักๆ ดังนี้:
- Automate Detection & Remediation (เกี่ยวข้องกับเหตุการณ์ผิดปรกติหรือที่น่าสงสัย ซึ่งมีความสุ่มเสี่ยง กับ Identity หรือ Users ดังรูปด้านล่าง)
- Investigate Risks (เกี่ยวข้องกับ Identity) โดย Azure AD Identity Protection จะมี Reports หรือ รายงาน เช่น Risky Users, Risky Sign-In, เป็นต้น
- Protect Users (Based-On Risks) เช่น บังคับ (Force) ให้ใช้ MFA, ให้ทำการเปลี่ยน Password, เป็นต้น
ใน Azure AD Identity Protection มี Detection ทั้งหมด 2 แบบ โดยท่านผู้อ่านสามารถเข้าไปทำการ Enable และกำหนดค่า Settings ต่างๆ หรือเราจะเรียกว่า Policy ให้กับ Dectection ทั้ง 2 แบบครับ
1. Sign-In Risk, จะเป็น Detection ที่ Azure AD Identity Protection ทำการค้นหาตรวจสอบว่ามีเหตุการณ์ผิดปรกติหรือที่น่าสงสัยเกี่ยวกับการ Sign-In ของผู้ใช้งานหรือไม่ เช่น มีคนที่พยายามทำการเดา Password ของผู้ใช้งานในองค์กร, มีการ Attack เข้ามาโดยใช้เทคนิคที่เรียกว่า Password Spray, และอื่นๆ
2. User Risk, จะเป็น Dectection ที่ Azure AD Identity Protection ทำการค้นหาตรวจสอบว่ามีเหตุการณ์ผิดปรกติหรือที่น่าสงสัยเกี่ยวกับ Leaked Credential (Identity หรือ User Account ถูก Compromised หรือถูกขโมย)
รายละเอียดเพิ่มเติมเกี่ยวกับ Azure AD Identity Protection สามารถไปที่ Link นี้ได้เลยครับ, Azure AD Identity Protection documentation | Microsoft Docs
ไม่มีความคิดเห็น:
แสดงความคิดเห็น