Securing Azure Storage Account Part 2

     สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความนี้เป็นตอนที่ต่อเนื่องจากเรื่องราวของการสร้างความปลอดภัยให้กับ Azure Storage Account ตอนที่ 1 ที่ผมได้เขียนเอาไว้ก่อนหน้านี้ครับ สำหรับท่านใดยังไม่ได้อ่านตอนที่ 1 ผมแนะนำให้ไปอ่านก่อนนะครับ สำหรับ Azure Storage นั้นต้องถือว่าเป็นฟีเจอร์หรือเซอร์วิสที่สำคัญมากตัวหนึ่งของ Microsoft Azure เพราะไม่ว่าท่านผู้อ่านจะใช้ฟีเจอร์หรือเซอร์วิสใดก็ตามใน Microsoft Azure ส่วนใหญ่จะต้องเข้าไปยุ่งเกี่ยวกับ Azure Storage ไม่ว่าจะเป็นทางตรงหรือทางอ้อมครับ สำหรับ Azure Storage ณ ตอนนี้ได้เตรียมความสามารถที่เกี่ยวข้องกับเรื่องราวของความปลอดภัยดังนี้ครับ

1. สร้างความปลอดภัย Azure Storage โดยใช้ Role-Based Access Control (RBAC) และ Azure AD
2. สร้างความปลอดภัยให้กับข้อมูลในขณะที่มีการส่งผ่านกันระหว่าง Application กับ Microsoft Azure โดยใช้ Client-Side Encryption, HTTPS, หรือ SMB 3.0
3. กำหนดให้ข้อมูลถูกเข้ารหัสโดยอัตโนมัติเมื่อข้อมูลถูกเขียนหรือถูกบันทึกใน Azure Storage โดยใช้

Storage Service Encryption (SSE)

4. กำหนดให้ OS และ Data Disks ที่ใช้งานกับ Azure Virtual Machine ถูกเข้ารหัสโดย Azure Disk Encryption  
5. กำหนดสิทธิ (Delegation) การเข้าถึงข้อมูลใน Azure Storage โดยใช้ Shared Access Signatures (SASs)
6. ใช้ Storage Analytic ติดตาม (Tracking) การวิธีการ Authentication ของผู้ใช้งานที่เข้าถึง Azure Storage

สำหรับบทความนี้ผมขอหยิบยกเอาความสามารถที่เกี่ยวข้องกับเรื่องของความปลอดภัยมาซัก 2 ข้อนะครับ เริ่มกันที่ข้อแรกเลย ผมขอหยิบข้อ 3. ซึ่งเป็นการกำหนดให้ข้อมูลถูกเข้ารหัสโดยอัตโนมัติเมื่อข้อมูลถูกเขียนหรือบันทึกใน Azure Storage โดยใช้ Storage Service Encryption หรือ SSE  สำหรับ SSE นั้นจะถูกเอ็นเอเบิ้ลให้อยู่แล้วและไม่สามารถดีสเอเบิ้ลได้ครับ นอกจากนี้แล้ว SSE จะทำการเข้ารหัส (Encrypt) ข้อมูลโดยอัตโนมัติ เมื่อข้อมูลถูกเขียนหรือถูกบันทึกใน Azure Storage และเมื่อมีการอ่านข้อมูล Azure Storage ก็จะทำการถอดรหัส (Decrypt) ข้อมูลให้โดยอัตโนมัติเมื่อผู้ใช้งานเข้าถึงข้อมูล โดยท่านผู้อ่านสามารถเลือกใช้ Key ในการเข้ารหัสได้ว่าจะใช้เป็น Microsoft-Managed Key หรือ Your Own Custom Key (หรือ Key ที่ผู้ใช้งานสร้างขึ้นเอง) รูปด้านล่าง เป็นรูปแสดงถึง ตัวอย่างของ Azure Storage ที่ผมได้สร้างขึ้นมา และ SSE ได้ทำการเข้ารหัสข้อมูลให้โดยอัตโนมัติ ตามที่ผมได้อธิบายไปก่อนหน้านี้ครับ

ในกรณีที่ต้องการใช้ Key ของตัวเอง ให้คลิ๊กที่เช็คบ๊อกซ์ Use Your Own Key ครับ

ข้อต่อมาที่ผมจะหยิบยกมานำเสนอให้กับท่านผู้อ่านคือ ข้อ 4. ครับ ซึ่งเป็นข้อที่ ให้ท่านผู้อ่านสามารถกำหนดให้ OS และ Data Disks ที่ใช้งานกับ Azure Virtual Machine ถูกเข้ารหัสโดยใช้ฟีเจอร์ที่ชื่อว่า Azure Disk Encryption ครับ ในกรณีที่ Azure Virtual Machine ที่สร้างขึ้นมี OS เป็น Windows, OS และ Data Disks จะถูกเข้ารหัสโดยใช้ BitLocker เทคโนโลยี แต่ถ้า Azure Virtual Machine ที่สร้างขึ้นมี OS และ Data Disks เป็น Linux, จะถูกเข้ารหัสโดยใช้ DM-Crypt ครับ รูปด้านล่างเป็น รูปที่แสดงถึง Disk ของ Azure Virtual Machine ที่ผมได้สร้างขึ้นมาและใช้ Azure Disk Encryption ในการเข้ารหัส Disks ครับ

สำหรับวิธีการในการเข้ารหัสโดยใช้ Azure Disk Encryption ที่ผมใช้นั้น ท่านผู้อ่านสามารถดูรายละเอียดได้จาก Link นี้ครับ https://docs.microsoft.com/en-us/azure/virtual-machines/windows/encrypt-disks

ส่วนรายละเอียด Azure Storage กับเรื่องของความปลอดภัย ท่านผู้อ่านสามารถเข้าไปดูได้จาก Link นี้ครับ
https://docs.microsoft.com/en-us/azure/security/security-storage-overview  และทั้งหมดนี้คือเรื่องราวของการ Securing Azure Storage Account ครับผม…..

ปกป้อง Azure Virtual Machine ด้วย Microsoft AntiMalware

     สวัสดีครับทุกท่าน สำหรับบทความตอนนี้จะเป็นเรื่องราวของการปกป้อง Azure Virtual Machine ครับ ซึ่งถือว่าเป็นสิ่งสำคัญเรื่องหนึ่งที่จะต้องทำนะครับ เพราะเมื่อเวลาที่ท่านผู้อ่านได้ทำการสร้าง Azure Virtual Machine บน Microsoft Azure เพื่อใช้งานและให้บริการต่างๆ นั้น ในเรื่องของการจัดการและดูแล Virtual Machine เป็นเรื่องที่ผู้ดูแลจะต้องทำครับ โดยคอนเซปหรือแนวทางการดูแลและจัดการ Virtual Machine ที่รันและทำงานอยู่บน Microsoft Azure นั้นก็ไม่ได้มีความแตกต่างจาก Virtual Machine ที่รันและทำงานอยู่ใน On-Premise Datacenter ครับ ดังนั้นเมื่อท่านผู้อ่านท่านใดมี Virtual Machine อยู่บน Microsoft Azure แล้ว อย่าลืมดูแลและจัดการด้วยนะครับ สำหรับบทความนี้เป็นเพียงสิ่งหนึ่งที่ผมหยิบยกมาสำหรับเรื่องของการจัดการและดูแล Virtual Machine ที่รันและทำงานอยู่บน Microsoft Azure เท่านั้นครับ สิ่งที่ว่านี้คือ การปกป้อง Azure Virtual Machine ด้วย Microsoft Antimalware ครับ ซึ่งโดยปรกติแล้วพื้นฐานของการปกป้องเครื่องไม่ว่าจะเป็น Physical หรือ Virtual Machines คือ การติดตั้งระบบ Anti-Virus ครับ ไม่ว่าเครื่องเหล่านี้จะอยู่ ณ ที่แห่งใดก็ตามครับ แม้กระทั่งบน Microsoft Azure ครับ

และจากประสบการณ์ที่ผมได้มีโอกาสไปสอนหรืออบรมหลักสูตรต่างๆ ของ Microsoft Azure รวมถึงเข้าไปให้คำปรึกษาให้กับลูกค้า ยังมีหลายๆ ท่านเลยครับ เข้าใจว่าเรื่องของการปกป้อง Azure Virtual Machine เช่น การติดตั้ง Anti-Virus จะเป็นหน้าที่ของ Microsoft ครับ ซึ่งผมต้องเป็นความเข้าใจที่ไม่ถูกต้องครับ เพราะถ้าท่านผู้อ่านใช้งาน Cloud Services ยี่ห้อใดๆ ก็แล้วแต่รวมถึง Microsoft Azure และได้มีการสร้างและใช้งาน Virtual Machines ซึ่งถ้าผมอ้างอิงตามคอนเซปของ Cloud Service Models ก็แปลว่าท่านผู้อ่านหรือผู้ใช้บริการกำลังใช้งาน IaaS (Infrastructure as a Service) ครับ และด้วย IaaS Model นี้ท่านผู้อ่านจะเป็นผู้รับผิดชอบดูแล Virtual Machines ต่างๆ ที่ได้ทำการสร้างขึ้นมาเองครับ แน่นอนรวมถึงการติดตั้ง Anti-Virus ครับ ในส่วนของผู้ให้บริการหรือเรียกว่า Cloud Provider จะรับผิดชอบในส่วนของ Infrastructure ซึ่งประกอบไปด้วยส่วนประกอบต่างๆ เช่น Computes, Storages, Networks และอื่นๆ ครับ ผมขออธิบายคร่าวๆ ประมาณนี้นะครับ กลับมาที่เรื่องของการปกป้อง Azure Virtual Machine ด้วย Microsoft Antimalware กันต่อครับ


ในส่วนของการติดตั้ง Microsoft Antimalware นั้นท่านผู้อ่านสามารถทำการติดตั้งในตอนที่ทำการสร้าง Azure Virtual Machine หรือหลังจากสร้าง Azure Virtual Machine เสร็จเรียบร้อยก็ได้ครับ โดยมีรายละเอียดดังนี้ครับ:

การติดตั้ง Microsoft Antimalware ไปพร้อมกับการสร้าง Azure Virtual Machine
สำหรับกรณีท่านผู้อ่านกำลังสร้าง Azure Virtual Machine ขึ้นมาใหม่ แล้วทำการติดตั้ง OS เช่น Windows Server 2016 ซึ่งจะมีขั้นตอนและรายละเอียดต่างๆ สำหรับกระบวนการสร้าง Azure Virtual Machine ครับ แต่จะมีขั้นตอนหนึ่งที่ชื่อว่า "Guest config" จะเป็นขั้นตอนที่ให้ทำการ Add Azure Extensions เข้าไปใน Azure Virtual Machine ที่กำลังสร้างอยู่นี้ สำหรับ Azure Extensions นั้น ผมขออธิบายคร่าวๆ คือ ส่วนที่เสริมการทำงานต่างๆ ของ Azure Virtual Machine ครับซึ่งจะมี Extensions ต่างๆ ให้เลือกมากมายครับ และแน่นอนหนึ่งในคือ Microsoft Antimalware ครับ ดังรูป

จากรูปด้านบนให้คลิ๊กที่ Select an extension to install ครับ จากนั้นให้เลือก Microsoft Antimalware ดังรูปด้านล่างครับ

จากนั้นให้คลิ๊ก Create จากนั้นจะเข้าสู่การกำหนดค่าต่างๆ ให้กับ Microsoft Antimalware ดังรูปด้านล่างครับ

โดยค่าต่างๆ ที่กำหนดนั้น ผมเชื่อว่าท่านผู้อ่านน่าจะมีความคุ้นเคยอยู่แล้วสำหรับเรื่องราวของ Anti-Virus ครับ เมื่อกำหนดเสร็จเรียบร้อยแล้วให้กดปุ่ม OK ก็เป็นอันเสร็จเรียบร้อยสำหรับในส่วนของการติดตั้ง Azure Extensions ครับ จากนั้นท่านผู้อ่านก็ดำเนินการขั้นตอนต่อไปในส่วนของการสร้าง Azure Virtual Machine ครับ หลังจากที่ Azure Virtual Machine ดังกล่าวที่ได้ถูกสร้างขึ้นและทำงานเรียบร้อยแล้ว ตัวของ Microsoft Antimalware ก็ติดตั้งและทำงานเช่นเดียวกันครับ


การติดตั้ง Microsoft Antimalware หลังจากที่ Azure Virtual Machine ได้ถูกสร้างและใช้งานแล้ว
สำหรับกรณีคือ การติดตั้ง Microsoft Antimalware ไปยัง Azure Virtual Machine ที่มีอยู่แล้วหรือที่ได้สร้างไปแล้วก่อนหน้านี้ครับ โดยเริ่มจากการที่ให้ท่านผู้อ่านไปที่ Azure Portal แล้วไปเลือก Azure Virtual Machine ที่ต้องการติดตั้ง Microsoft Antimalware ครับ ไปคลิ๊กที่ Extensions ดังรูปด้านล่างครับ

จากนั้นให้คลิ๊ก Add ดังรูปด้านล่างครับ

จากนั้นท่านผู้อ่านเลือก Microsoft Antimalware ซึ่งขั้นตอนและหน้าตาจะคล้ายกับการติดตั้ง Microsoft Antimalware ที่ผมได้อธิบายไปก่อนหน้านี้ครับ

สำหรับความสามารถของ Microsoft Antimalware มีคร่าวๆ ดังนี้ครับ:

- Real-Time Protection
- Scheduled Scanning
- Malware Remediation
- Signature Updates
- Antimalware Engine Updates
- Antimalware Platform Updates
- Active Protection
- Sample Reporting
- Exclusions
- Antimalware Event Collection

สำหรับ Azure Virtual Machine ที่มี OS เป็น Windows Server 2016 นั้น  Microsoft Antimalware ที่ติดตั้งไปนั้นจะเป็น "Windows Defender" ครับ ดังรูปด้านล่างครับ

รูปด้านล่างคือ หน้าตาของ Microsoft Antimalware หรือ Windows Defender ครับ

สำหรับในส่วนของ Extensions ที่เป็น Anti-Virus นั้น ท่านผู้อ่านสามารถเลือกติดตั้งและใช้งานของยี่ห้ออื่นๆ ก็ได้เช่นกันครับ แต่ท่านผู้อ่านจะต้องมี License นะครับ แต่สำหรับ Microsoft Antimalware หรือ Windows Defender นั้นทาง Microsoft ให้ติดตั้งและใช้งานฟรีครับ  และทั้งหมดนี้คือเรื่องราวของการปกป้อง Azure Virtual Machine ด้วย Microsoft Antimalware ครับผม…..

การเซ็ทอัพและตัวอย่างการใช้งาน Microsoft Azure Alerts

     สวัสดีครับท่านผู้อ่านทุกท่าน กลับมาพบกันเหมือนเช่นเคย หลังจากที่หายไปช่วงหนึ่งเนื่องจากผมติดงานในส่วนของงาน Training และ Consulting ครับ เอาล่ะครับมากันที่บทความของผมตอนนี้ จะเป็นเรื่องราวของ Microsoft Azure เหมือนเช่นเคยครับ แต่ครั้งนี้ผมจะหยิบเอาฟีเจอร์หนึ่งใน Microsoft Azure นั่นก็คือ "Alerts" ซึ่งถือว่าเป็นฟีเจอร์ที่มีประโยชน์มากครับ และโดยส่วนตัวผมเองก็มีโอกาสใช้งานและได้เข้าไปติดตั้งฟีเจอร์ดังกล่าวนี้ให้กับลูกค้าใช้งานครับ ผมขอยกตัวอย่างการนำเอา Alerts ไปใช้งานรวมถึงขั้นตอนการติดตั้งและกำหนดค่าต่างๆ ของ Alert มาให้ท่านผู้อ่านได้ทำความเข้าใจและนำไปประยุกต์ใช้งานต่อไปครับผม

โดยผมเริ่มจากลูกค้าของผมรายหนึ่งอยากทราบการทำงานของ Virtual Machines ที่ได้สร้างขึ้นมาบน Microsoft Azure และได้ให้บริการต่างๆ มาซักระยะหนึ่งแล้ว โดยสิ่งที่ลูกค้าอยากทราบคือ การใช้งาน System Resources ต่างๆ เช่น CPU, Memory, Network, และอื่นๆ เป็นอย่างไรบ้างใน Virtual Machines เครื่องนัั้นๆ จากคำถามนี้ ท่านผู้อ่านสามารถดูรายละเอียดการใช้งานของ System Resources ดังกล่าวได้โดยเข้าไปที่ Azure Portal จากนั้นไปยัง Resource Group ที่มี Virtual Machines ที่ต้องการ จากนั้นให้ทำการคลิ๊กที่ Virtual Machine ที่ต้องการ จากนั้นท่านผู้อ่านจะเห็นในส่วนของ Overview ซึ่งจะเป็นส่วนที่แสดงรายละเอียดต่างๆ ของ Virtual Machine เครื่องด้งกล่าว รวมถึงในส่วนของการใช้งาน System Resources ซึ่งจะแสดงเป็น Metrics ต่างๆ ดังรูปด้านล่างครับผม

คำถามต่อมาที่ลูกค้าสอบถามผมเพิ่มเติมคือ อยากจะให้มีการแจ้งเตือนเมื่อ Virtual Machine เครื่องนั้นมีการใช้งาน System Resources เช่น CPU เกินกว่าค่าที่กำหนดเอาไว้ และให้ Microsoft Azure แจ้งมายังตัวของลูกค้า สามารถทำได้หรือไม่ คำตอบที่ผมตอบลูกค้า คือ ได้ครับ โดยสามารถใช้ฟีเจอร์ของ Microsoft Azure ที่ชื่อว่า Alerts ครับ และสามารถเข้าไปกำหนดค่าต่างๆ ได้ดังนี้ครับ

โดยเริ่มจากให้ท่านผู้อ่านไปที่ Azure Portal จากนั้นให้คลิ๊กที่ Monitor ดังรูป

จากนั้นในส่วนของ Azure Monitor ให้คลิ๊กที่ Alerts ดังรูปด้านล่างครับ

จากนั้นท่านผู้อ่านจะเข้าสู่การสร้างและกำหนดค่าต่างๆ ของ Alerts ดังรูปด้านล่างครับ

จากนั้นให้คลิ๊กที่ New alert rule เพื่อทำการสร้าง Alerts  ดังรูปครับ

จากนั้นจะเริ่มด้วยการกำหนดในส่วนของ Resource ให้ทำการคลิ๊ก Select จากนั้นให้ท่านผู้อ่านกำหนด Azure Subscription, Resource Type, และ Virtual Machine ที่ต้องการ ดังรูปด้านล่างครับ

โดยในบทความนี้ผมเลือก Resource Type เป็น Virtual Machine ตามสิ่งที่ลูกค้าของผมได้สอบถามไว้ในข้างต้นครับ โดย Virtual Machine ที่ผมต้องการ คือ DC1 ครับ เมื่อกำหนดค่าต่างๆ เสร็จเรียบร้อยแล้วให้กดปุ่ม Done ครับ  จากนั้นในส่วนต่อมาคือ ส่วนของการกำหนด Condition ให้ทำการคลิ๊ก Add condition ดังรูปด้านล่างครับ

จากรูปข้างบน ในส่วนของ All signals ผมเลือก Percentage CPU จากนั้น ให้ทำการกำหนดเงื่อนไขต่างๆ ดังรูปด้านล่างครับ

จากรูปข้างต้น ผมได้กำหนดเงื่อนไขว่า ถ้าโดยเฉลี่ย CPU มีการใช้งานมากกว่า 80% ครับ จากนั้นให้กดปุ่ม Done ครับ จากนั้นผมจะทำการกำหนดในส่วนสุดท้ายคือ ส่วนของ Action Groups ครับ โดยผมจะทำการสร้าง Action Groups ใหม่ โดยการคลิ๊ก Create New  ดังรูป

จากนั้นให้ทำการกำหนดค่าต่างๆ ไม่ว่าจะเป็น Action group name, Short name, Subscription, Resource group, ตลอดจน Action Name, Action Type และอื่นๆ โดยในที่นี้ผมเลือก Action Type เป็น Email/SMS/Push/Voice  เพื่อให้ Microsoft Azure Alerts ทำการส่งเมล์ไปแจ้งเตือนผม ดังรูปครับ

จากนั้นให้กดปุ่ม OK สองครั้งครับ จากนั้นในส่วนของ Alert Details ให้ท่านผู้อ่านกำหนดรายละเอียดต่างๆ ดังรูปด้านล่างครับ แล้วกดปุ่ม Create alert rule ครับ

จากนั้นให้รอซักครู่ครับ Microsoft Azure จะทำการสร้าง Alerts ตามที่ผมได้กำหนดค่าต่างๆ ไปก่อนหน้านี้ครับ และจากนี้ไปเมื่อไรก็ตามที่ Virtual Machine ของผมที่ชื่อว่า DC1 มีการใช้งาน CPU เกินกว่า 80% ตามที่ได้กำหนดไว้ Alerts ก็จะทำการส่งเมล์แจ้งผมครับ ซึ่งก็เป็นไปตามความต้องการหรือคำถามที่ลูกค้าได้ถามผมเอาไว้ในข้างต้นครับ  แต่ในอันที่จริงแล้ว Alerts ยังมีเงื่อนไขให้กำหนดได้อีกเยอะเลยครับ ดังนั้นท่านผู้อ่านสามารถนำไปประยุกต์ใช้ได้ตามความต้องการเลยครับ และทั้งหมดนี้คือเรื่องราวของ Alerts ใน Microsoft Azure ที่ผมอยากให้ท่านผู้อ่านได้ทำความรู้จักครับผม.....