วันอังคารที่ 26 กันยายน พ.ศ. 2566

Protecting Server ด้วย Microsoft Defender for Cloud - Defender for Servers

      สวัสดีครับทุกท่านกลับมาพบกันอีกเช่นเคยนะครับ สำหรับบทความนี้ผมจะนำเสนออีกความสามารถหนึ่งของ Microsoft Defender for Cloud (MDC) ซึ่งเป็น Service หนึ่งที่ให้บริการอยู่ใน Microsoft Azure โดยตัวของ MDC จะให้บริการ 2 หน้าที่หรือ Solutions หลักๆ คือ Cloud Security Posture Management (CSPM) และ Cloud Workload Protection Platform (CWPP) หรือ CWP ครับ และในช่วงที่ผ่านมาทาง Microsoft Azure ได้เพิ่มเติมความสามารถของ MDC ให้ครอบคลุมในส่วนของ DevOps อีกด้วย รายละเอียดเพิ่มเติมสำหรับท่านใดที่ยังไม่รู้จักหรือยังไม่ค่อยคุ้นเคยกับ MDC มากซักเท่าไร สามารถย้อนไปอ่านบทความของผมก่อนหน้าที่ได้เลยครับ



















สำหร้บบทความนี้ผมอยากจะนำเสนอการนำเอา MDC เข้ามาช่วยในการป้องกัน Servers หรือ VMs (Windows และ Linux) ไม่ว่าจะอยู่ใน On-Premise และ On Cloud โดยครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments ครับ โดยความสามารถที่ว่านี้เรียกกันสั้นๆ ว่า "Defender for Servers" ครับ


Defender for Servers คืออะไร?

อย่างที่ได้เกริ่นไว้เมื่อซักครู่ว่า Defender for Servers เป็นความสามารถหนึ่งของ MDC ที่เข้ามาช่วยป้องกันและสร้างความปลอดภัยให้กับ Servers หรือ VMs ขององค์กรไม่ว่าจะใช้ OS เป็น Windows หรือ Linux และไม่ว่าจะอยู่ที่ไหนก็ตาม (Hybrid หรือ Multi-Cloud Environments) โดย Defender for Servers ยังมาพร้อมกับฟีเจอร์หลายมากมายครับ ทั้งนี้ขึ้นอยู่ Defender Plans ที่เราเลือกครับ  โดยตัวของ MDC นัั้นถ้าเราต้องการใช้งานเราจะต้องทำการวางแแผนกันก่อนนะครับ หลังจากนั้นค่อยดำเนินการใช้งาน เนื่องจากเราจะต้องพิจารณาหลายปัจจัยรวมถึงความต้องการต่างๆ ที่จะต้องนำมาพิจารณา เบื้องต้นสำหรับท่านที่ยังไม่ค่อยคุ้นเคยของ MDC หากต้องการให้ MDC ทำงาน สิ่งที่เราจะต้องจะทราบก่อนเลยคือ MDC เป็น Service หนึ่งใน Microsoft Azure ที่ให้บริการในรูปแบบที่เรียกว่า "Subscription-Based" หมายความว่า ท่านผู้อ่านจะต้องทำการวางแผนและพิจารณามาก่อนว่าต้องการให้ MDC เข้าไปทำหน้าที่ของเค้า (CSPM และ CWPP) กับ Azure Subscriptions ใดที่อยู่ Tenant ของเรา  เมื่อเราเลือก Azure Subscriptions เรียบร้อย MDC ก็จะทำการ Secure และ Protect หรือทำหน้าที่ CSPM และ CWPP กับ Resources ต่างๆ เช่น Azure VMs, Azure Storage Accounts, Azure SQL, และอื่นๆ ที่อยู่ใน Azure Subscriptions นั้น


จากนั้นทำการเลือก Defender Plans ซึ่งตัวของ Defender for Servers ที่ผมกำลังนำเสนออยู่ ณ ขณะนี้ก็จะอยู่ใน Defender Plans ครับ รูปด้านล่างคือ Defender Plans ครับ













โดยใน Defender Plans จะมีให้เลือก 2 ส่วน คือ CSPM และ CWPP หรือ CWP  สำหรับ Defender for Servers ถือว่าเป็นส่วนหนึ่งของหน้าที่หรือ Solution หลักของ MDC ซึ่งก็คือ CWP ดังรูปครับ











ใน Defender for Servers ยังประกอบไปด้วย Plans ของเค้าให้พิจารณาอีก คือ  Microsoft Defender for Servers Plan 1 และ 2 ครับ โดยแต่ละ Plan จะมีความแตกต่างกันทั้งค่าใช้จ่ายและฟีเจอร์ครับ รูปด้านล่างเป็นรูปที่แสดงถึงค่าใช้จ่ายและราคาของแต่ละ Plan ครับ










โดยการที่จะเราจะเลือก Plan ใดของ Defender for Servers จะต้องมีการวางแผนและพิจารณามาก่อนนะครับ นอกจากนี้แล้วในแต่ละ Plan ยังสามารถใช้และทำงานร่วมกับ Microsoft Defender for Endpoint (MDE) หรือเรียกว่าแต่ละ Plan ของ Defender for Servers มาพร้อมกับ (Include) MDE License มาด้วยครับ นั่นหมายความว่าเราสามารถใช้ฟีเจอร์หรือความสามารถต่างๆ ของ MDE  เช่น EDR, Next-Generation Protection, ASR และอื่นๆ เข้ามาช่วยในการ Protect Servers หรือ VMs อีกด้วยครับ ถือว่าเป็น Benefits หนึ่งที่มีประโยชน์มากครับ เมื่อพิจารณาเลือกได้แล้วว่าจะต้องการใช้งาน Plan ใด ของ Defender for Servers ก็ทำการ On และเลือก Plan ที่ต้องการครับ ดังรูป







สำหรับ MDC หรือ Microsoft Defender for Cloud นั้น จะอาศัยการทำงานร่วมกับ Services ตัวอื่นๆ ใน Microsoft Azure ด้วยครับ Service หนึ่งที่จะต้องนำมาทำงานร่วมกับ MDC คือ "Azure Log Analytics Workspace" ครับ เพราะฉะนั้นในการทำงานจริงหรือใน Product Environments จะต้องมีการวางแผนและออกแบบ Azure Log Analytics Workspace ด้วยนะครับ และต้องบอกทุกท่านไว้ว่า Azure Log Analytics Workspace ถือว่าเป็นส่วนประกอบหลักของ Microsoft Security Solutions ครับ สำหรับหน้าที่หลักๆ ของ Azure Log Analytics Workspace เตรียมที่เอาไว้สำหรับให้เราทำการรวบรวมหรือ Collect Data เช่น Logs จาก Sources ต่างๆ เช่น Servers หรือ VMs ที่อยู่ใน On-Premise และ On Cloud, Firewall, และอื่นๆ  สำหรับข้อมูลที่เรารวบรวมมาและถูกเก็บไว้ในตัวของ Azure Log Analytics Workspace เราสามารถทำการ Query ข้อมูลได้ครับ โดยใช้ Query Language ที่ชื่อว่า "Kusto Query Language" หรือเรียกสั้นๆ ว่า KQL ครับ


การที่เราจะทำการ Secure และ Protect Servers หรือ VMs โดยใช้ MDC ด้วย Defender for Servers นั้น มีขั้นตอนหนึ่งที่จะต้องถูกนำมาวางแผนและทำการติดตั้ง นั่นก็คือ การติดตั้ง Agent ไปยัง Server หรือ VMs ที่เราต้องการให้ MDC เข้ามาทำ Secure และ Protect ครับ ดังรูป








สำหรับ Agent ที่จะดำเนินการติดตั้งจากรูปด้านบน แนะนำว่าให้เลือกเป็น Azure Monitor Agent หรือ AMA ครับ เพราะจะเป็น Agent ตัวใหม่ที่มาพร้อมกับความสามารถที่มากกว่าตัวปัจจุบันครับ การติดตั้ง Agent ที่จะทำงานร่วมกับ MDC และ Defender for Servers จะมีความแตกต่างในขั้นตอนเล็กน้อยครับ ทั้งนี้ขึ้นอยู่กับ Servers หรือ VMs ดังกล่าวนั้นอยู่ที่ไหน เช่น Servers หรือ VMs ดังกล่าวอยู่ใน Microsoft Azure (Azure VMs) วิธีการคือตามรูปด้านบนครับ แต่ถ้า Servers หรือ VMs ดังกล่าวนั้นไม่ได้อยู่ใน Microsoft Azure เช่น อยู่ใน On-Premise, AWS, GCP, เป็นต้น จะมีขั้นตอนการติดตั้งอีกแบบครับ ถ้าอ้างอิงตาม Best Practices หรือคำแนะนำของทาง Microsoft จะแนะนำให้เราใช้ Azure Arc-Enabled ครับ (*Azure Arc เป็นอีกหนึ่ง Service ใน Microsoft Azure ที่ถูกออกแบบมาสำหรับการบริหารและจัดการ Servers หรือ VMs ใน Multi-Cloud Environments ครับ รายละเอียดเพิ่มเติมสามารถย้อนไปอ่านบทความของผมได้เลยครับ)


หลังจากนั้น MDC ก็จะเริ่มทำงานโดยการเข้าไปตรวจสอบดูว่า Servers หรือ VMs ดังกล่าวมีช่องโหว่หรือมีความเสี่ยงอะไรบ้าง, การตรวจสอบค้นหาภัยคุกคามและป้องกัน (Threat Detection และ Protection) ในกรณีที่ MDC เจอสิ่งผิดปรกติหรือพฤติกรรมใดที่น่าสงสัยเกิดขึ้นกับ Servers หรือ VMs (ที่ถูก Protected โดย MDC) MDC จะทำการแจ้งเตือนเป็น Alerts (ใน MDC เรียกว่า Security Alerts) เพื่อให้ Security หรือ SOC Teams เข้าไปดำเนินการ Response หรือจัดการต่อไปครับ


สิ่งที่ผมได้อธิบายทั้งหมดข้างต้นเป็นเพียงภาพรวมของคอนเซปตลอดจนขั้นตอนหลักๆ ที่เกี่ยวข้องกับการนำเอา MDC เข้ามาช่วยในการ Protect Servers หรือ VMs โดยใช้  Defender for Servers เท่าน้้นนะครับ ขั้นตอนโดยละเอียดจะมีอยู่ในเอกสารของทาง Microsoft อยู่แล้วครับ แต่สิ่งสำคัญมากที่สุดสำหรับการนำเอา MDC มาใช้งานคือ การ Planning และ Designing เพื่อเตรียมความพร้อมกันก่อนครับ เพราะ MDC ไม่ใช่เป็น Service ที่เราสามารถ Enable ใช้งานทันทีโดยไม่ได้มี Planning และ Designing ล่วงหน้าครับ เพราะถ้าทำเช่นนั้นอาจจะก่อให้ปัญหาและความยุ่งยากตามมาภายหลังครับ


และทั้งหมดนี้คือเรื่องราวของ MDC ในส่วนของ Defender for Servers ครับผม.....





เขียนโดย ที่ ไม่มีความคิดเห็น:

วันเสาร์ที่ 2 กันยายน พ.ศ. 2566

Protecting Storages ด้วย Microsoft Defender for Cloud - Defender for Storage

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับอีกหนึ่งความสามารถของ Microsoft Defender for Cloud กันครับ สำหรับท่านใดที่ยังไม่รู้จักกับ Microsoft Defender for Cloud ผมขออธิบายคร่าวๆ นะครับ สำหรับ Microsoft Defender for Cloud ถือว่าเป็น Service หนึ่งที่อยู่ใน  Microsoft Azure ครับ โดย Service นี้มีความสำคัญมากเพราะถือว่าเป็นส่วนประกอบหนึ่งของ Microsoft Cybersecurity Solutions ของทาง Microsoft ครับ โดย Microsoft Defender for Cloud จะมีหน้าที่หลักๆ คือ Cloud Security Posture Management (CSPM) และ Cloud Workload Protection Platform (CWPP) ครับ สำหรับท่านใดที่อยากรู้จัก Microsoft Defender for Cloud ให้มากกว่านี้ ท่านผู้อ่านสามารถไปค้นหาบทความเก่าๆ ของผมก่อนหน้านี้ได้เลยครับ


โดยความสามารถหรือฟีเจอร์ของ Microsoft Defender for Cloud ที่พบหยิบยกมานำเสนอให้กับทุกท่านในบทความนี้ก็ คือ "Microsoft Defender for Cloud - Defender for Storage" โดยเราสามารถใช้ความสามารถที่ว่านี้ในการป้องกัน Azure Storage Account ครับ และสำหรับท่านใดที่ยังไม่คุ้นเคยกับ Azure Storage Account ผมขออธิบายเพิ่มเติมนะครับ Azure Storage Account ถือว่าเป็น Core Service หรือเป็น Service หลักใน Microsoft Azure ที่หลายๆ องค์กรนำไปประยุกต์ใช้งาน ในการเก็บข้อมูลครับ โดยข้อมูลที่ถูกเก็บไว้ใน Azure Storage Account สามารถอยู่ในรูปแบบ Structure หรือ Un-Structure ก็ได้ครับ เพราะตัวของ Azure Storage Account มี Storage Types หลายรูปแบบเอาไว้รองรับกับความต้องการ เช่น Blob, Table, Files, เป็นต้นครับ และตัวของ Azure Storage Account ถูกออกแบบมาให้บริการในรูปแบบของ PaaS ครับ นั่นหมายความว่าเราสามารถทำการ Deploy Azure Storage Account ได้ทันเลย โดยที่ไม่ต้องมีส่วนของ IaaS (เช่น Azure Virtual Machines) เข้ามาเกี่ยวข้อง อีกทั้งยังมาพร้อมกับความสามารถต่างๆ เช่น  Availability, Security, เป็นต้น ประมาณนี้นะครับสำหรับเรื่องราวที่มาที่ไปของ Azure Storage Account 


และในช่วงที่ผ่านมาถ้าท่านผู้อ่านท่านใดติดตามข้อมูลข่าวสารต่างๆ ที่เกี่ยวข้องกับ Cybersecurity ท่านจะทราบว่า เริ่มมีการ Attack มาที่ Azure Storage Account โดย Attackers อาศัยช่องโหว่ที่อาจจะเกิดจากการกำหนดค่าบางอย่างที่ไม่ถูกต้อง และอาจจะส่งผลทำให้ Azure Storage Account กลายเป็นจุดที่ Malware เข้ามาหรืออาจจะกลายเป็นจุดที่กระจาย Malware ก็ได้ เพราฉะนั้นจะต้องมีการป้องกัน เช่น การ Scanning Malware สำหรับข้อมูลต่างๆ ก่อนที่จะถูกเข้าถึงจาก Azure Storage Account ตลอดจนมีการป้องกันอื่นๆ เพิ่มเติม


Microsoft Defender for Cloud - Defender for Storage คืออะไร?













คือ Azure-Native Layer สำหรับการป้องกัน Storage (Azure Storage Account) ซึ่งเป็นความสามารถหรือฟีเจอร์หนึ่งที่อยู่ใน Microsoft Defender for Cloud โดย ณ ขณะนี้ Microsoft Defender for Cloud - Defender for Storage supported Storage Types ของ Azure Storage Account  ดังนี้:

- Azure Files (Azure File Share)

- Blob

- Azure Data Lake Storage Gen 2



Microsoft Defender for Cloud - Defender for Storage มาพร้อมกับฟีเจอร์หรือความสามารถต่างๆ เช่น

- Activity Monitoring
- Malware Scanning
- Sensitive Data Threat Detection
- Others







ในกรณีที่ท่านผู้อ่านต้องการใช้งานก็สามารถได้โดยการ Enable หรือ On Microsoft Defender for Cloud -  Defender for Storage ดังรูปด้านล่าง Microsoft Defender for Cloud - Defender for Storage จะทำหน้าที่ในการ Detect และ Identify (โดยใช้ Malware Scanning, Near-Real Time Scanning, และอื่นๆ) Attacks ต่างๆ  ที่เข้ามายัง Azure Storage Account โดยที่ท่านผู้อ่านไม่ต้องมีการกำหนดค่าต่างๆ (Configuration) เพิ่มเติม นอกจากนี้แล้วเรายังสามารถ Integrate Microsoft Defender for Cloud รวมถึง Defender for Storage เพื่อทำงานร่วมกับ SIEM เช่น Microsoft Sentinel ได้อีกด้วย












ตัวอย่างของ Attacks เช่น Malware Upload (มีการ Upload Malware เข้าไปยัง Azure Storage Account แล้วใช้งาน ซึ่งถือว่าเป็นทางเข้าและจุดที่กระจาย Malware ไปยังส่วนต่างๆ ใน Environment นั้น), Data Exfiltration (การย้ายข้อมูลจาก Azure Storage Account ออกไปภายนอก), และ Ransomware (ทำการ Encrypt ข้อมูลที่อยู่ใน Azure Storage Account) เป็นต้น


Scenarios ที่เราสามารถนำเอา Microsoft Defender for Cloud - Defender for Storage ไปประยุกต์ใช้งานเพื่อทำการป้องกัน Azure Storage Account เช่น 

- ใช้งานร่วมกับ Web Applications ที่มีการ Upload ข้อมูลไปยัง Azure Storage Account

- ใช้งานร่วมกับ CDNs เพื่อทำหน้าที่เป็น Content Protection

- Compliant/Regulatory 

- อื่นๆ 













รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Defender for Cloud - Defender for Storage สามารถไปที่ Link นี้ได้เลยครับผม, Microsoft Defender for Storage - the benefits and features - Microsoft Defender for Cloud | Microsoft Learn














และทั้งหมดนี้คือเรื่องราวของความสามารถหนึ่งของ Microsoft Defender for Cloud ที่ผมนำมาฝากครับผม.....

เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)