Trusted Launch-Secure Azure Virtual Machines

      สวัสดีครับทุกท่าน มาพบกันอีกเช่นเคยนะครับ สำหรับบทความของผมตอนนี้จะเป็นเรื่องราวของฟีเจอร์ใหม่ใน Microsoft Azure ที่ชื่อว่า "Trusted Launch" ครับ โดยฟีเจอร์ดังกล่าวนี้จะเข้ามาช่วยทำให้ Azure Virtual Machines (Windows และ Linux) มีความปลอดภัยมากขึ้นครับ เรื่องราวจะเป็นอย่างไร เชิญติดตามกันได้เลยครับผม

Trusted Launch คืออะไร?

เป็นฟีเจอร์ทางด้านความปลอดภัยที่นำมาใช้กับ Azure Virtual Machines (Generation 2 เท่านั้น) และยังสามารถทำงานร่วมกับ Microsoft Defender for Cloud (ชื่อเดิม คือ Azure Security Center)  สำหรับท่านผู้อ่านท่านใดที่ใช้งานและมีความคุ้นเคยกับ Hyper-V ซึ่งเป็น Virtualization Technology ของทาง Microsoft น่าจะทราบว่า VM Generation 2 (Gen 2) คืออะไรนะครับ  แต่สำหรับท่านใดที่ไม่คุ้นเคย ผมขออนุญาตอธิบายสั้นๆ นะครับว่า ตอนที่เราสร้าง VM ใน Hyper-V เราสามารถเลือกได้ว่า VM ที่กำลังสร้างจะเป็น Generation 1 หรือ Generation 2 ครับ โดยความแตกต่างระหว่างสอง Generations นั่นคือ ฟีเจอร์ต่างๆ และอื่นๆ ซึ่งมีรายละเอียดคร่าวๆ ดังนี้:

ความแตกต่างระหว่าง Hyper-V VM Gen 1 และ Gen 2

OS ที่รองรับ

 

Boot Methods ของ Hyper-V VM Gen 1 และ Gen 2

Device Support ของ Hyper-V VM Gen 1 และ Gen 2

รายละเอียดเพิ่มเติมสามารถดูได้จาก Link นี้ครับ, Should I create a generation 1 or 2 virtual machine in Hyper-V? | Microsoft Docs

สำหรับใน Microsoft Azure,  ถ้าท่านผู้อ่านมีการสร้างและ Deploy Azure VMs ก็จะมีให้เลือก Generation 1 และ 2 เช่นเดียวกันครับ แต่มีรายละเอียดที่แตกต่างกันพอสมควรระหว่าง Hyper-V VM กับ Azure VM โดยมีรายละเอียดคร่าวๆ ดังนี้ครับ

ฟีเจอร์ของ Azure VM Gen 1 และ Gen 2

รายละเอียดเพิ่มเติมสามารถดูได้จาก Link นี้ครับ, Azure support for generation 2 VMs - Azure Virtual Machines | Microsoft Docs

เอาล่ะครับ เรากลับมาที่เรื่องราวของ Trusted Launch กันต่อครับ และอย่างที่ผมได้เกริ่นไว้ข้างต้นว่า Trusted Lanuch เป็นฟีเจอร์ที่เกี่ยวกับความปลอดภัยที่นำมาใช้งานกับ Azure VMs (Gen 2)  โดยจะมาทำการป้องกัน (Protect) จาก Advanced และ Persistent Attacks Techniques ครับ ในส่วนของประโยชน์ (Benefits) ที่เราได้จากการนำเอา Launch Trusted มาใช้งานกับ Azure VMs (Gen 2) มีดังนี้ครับ

- ทำให้การ Deploy Azure VMs มีความปลอดภัยมากขึ้นด้วยการตรวจสอบ Verified Boot Loader,                OS Kernels, และ Drivers

- ป้องกัน Keys, Certificates, และ Secrets ใน Azure VMs

- มั่นใจว่า Workloads มีความน่าเชื่อถือและตรวจสอบได้

- อื่นๆ

Trusted Launch มี Options ให้เลือกในการ Configuration ดังนี้ครับ

1. Secure Boot, ทำให้มั่นใจว่าเฉพาะ Signed OSs และ Drivers เท่านั้นที่สามารถ Boot ได้

2. vTPM, มันคือ Virtual TPM ซึ่ง Compliant กับ TPM 2.0 โดย vTPM จะทำการรับรอง (Attestation)           โดยการประเมิน (Measuring) ทั้ง Boot Chain ของ Azure VMs (UEFI, OS, System, และ Drivers)  

        

วิธีการ Configure Trusted Launch

1. ไปที่ Azure Portal จากนั้นให้ท่านผู้อ่านทำการเลือก OS ที่ต้องการติดตั้งและ Deploy Azure VM ดังกล่าว จากนั้นให้ทำการ Click Drop-Down List เพื่อทำการเลือก Generation ดังรูปด้านล่างครับ

 

จากนั้นในส่วนของ Security Type สามารถเลือก Options สำหรับ Trusted Launch ได้ว่าจะเป็น Secure Boot หรือ vTPM ดังรูปด้านล่างครับ

จากนั้นก็เข้าสู่ขั้นตอนการสร้างและ Deploy Azure VMs ปรกติอย่างที่เราคุ้นเคยกันครับ สำหรับรายละเอียดของการ Deploy Azure VMs กับ Trusted Launch ท่านผู้อ่านสามารถเข้าไปดูรายละเอียดได้จาก Link นี้ครับ, Deploy a trusted launch VM - Azure Virtual Machines | Microsoft Docs

สำหรับรายละเอียดของ Trusted Launch เพิ่มเติม สามารถดูได้จาก Link นี้ครับ, Trusted launch for Azure VMs - Azure Virtual Machines | Microsoft Docs  และทั้งหมดนี้คือเรื่องราวของฟีเจอร์ Trusted Launch ซึ่งเป็นฟีเจอร์ที่ช่วยป้องกันและทำให้ Azure VMs ที่ท่านผู้อ่านได้มีการติดตั้งและ Deploy ใช้งานนั้นมีความปลอดภัยมากขึ้นครับผม.....

Microsoft Defender for Cloud

      สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความตอนนี้ของผมจะมาอัพเดทความเปลี่ยนแปลงกับ Service ตัวหนึ่ง ที่อยู่ใน Microsoft Azure ครับ และผมเชื่อว่าหลายๆ ท่านน่าจะรู้จัก Service นี้กันอยู่แล้ว Service ที่ว่านี้ก็คือ "Azure Security Center" แต่ ณ วันนี้ Service ดังกล่าวนี้เค้าเปลี่ยนชื่อแล้วนะครับ ชื่อใหม่ของเค้าคือ "Microsoft Defender for Cloud" ครับ  

ดังนั้นท่านผู้อ่านท่านใดที่ใช้งาน Microsoft Azure กันอยู่แล้ว และใช้ Azure Security Center อาจจะงงในช่วงที่ผ่านมาว่า Azure Security Center หายไปไหน!!!!! นอกจากนี้จะมีอีกส่วนประกอบหนึ่งหรือจะเรียกว่าฟีเจอร์ก็ได้ครับที่ชื่อว่า "Azure Defender" ซึ่ง ณ วันนี้ก็ไม่มีชื่อนี้แล้วเช่นกันครับ โดย ณ วันนี้ชื่อใหม่คือ Workload Protections ครับ สำหรับท่านผู้อ่านท่านใดยังไม่รู้จักทั้ง Azure Security Center รวมถึง Azure Defender ตลอดจนท่านใดที่เคยใช้งานหรือพอจะคุ้นเคยอยู่แล้ว บทความนี้จะพาท่านไปทำความรู้จัก Microsoft Defender for Cloud ครับ

Microsoft Defender for Cloud คืออะไร?

อย่างที่ผมเกริ่นไว้ในข้างต้นว่า Azure Security Center และ Azure Defender ณ วันนี้จะถูกนำมารวมกันภายใต้ชื่อใหม่ นั่นก็คือ "Microsoft Defender for Cloud" ครับ และยังมีอีกหลายๆ อย่างที่เปลี่ยนไปจากเดิมครับ ซึ่งก่อนที่ผมจะพาท่านผู้อ่านเข้าไปดูนั้น เรามาทำความรู้จักกับ Microsoft Defender for Cloud กันก่อนนะครับ โดยหน้าที่ของ Service นี้จะเข้ามาช่วยองค์กรในเรื่องของความปลอดภัยครับ โดย Microsoft Defender for Cloud จะทำหน้าที่ในการทำ Security Posture Management และ Threat Protection ครับ 

แต่ถ้าจะอ้างอิงตาม Cloud Security Reference Framework ตัวของ Microsoft Defender for Cloud จะมี 2 หน้าที่ครับ

1. Cloud Security Posture Management (CSPM), โดย Microsoft Defender for Cloud จะเข้ามาทำการรวบรวมข้อมูลต่างๆ จาก Existing Environment ขององค์กร จากนั้นจะนำเอาข้อมูลที่ได้ไปทำการวิเคราะห์, ตรวจสอบ, ประเมินว่า Environment ดังกล่าวนั้นเป็นอย่างไรบ้างในแง่ของความปลอดภัย มีจุดใดที่สุ่มเสี่ยงต่อความไม่ปลอดภัยหรือไม่

2. Cloud Workload Protection Platform (CWPP), โดย Microsoft Defender for Cloud จะเข้ามาทำการค้นหาและป้องกัน Threats หรือภัยคุกคามครับ

โดยทั้ง 2 หน้าที่ที่ Microsoft Defender for Cloud ที่ผมได้อธิบายไปเมื่อซักครู่นั้น ครอบคลุมทั้ง On-Premise, Hybrid และ Multi-Cloud Environment ครับ และรูปด้านล่างเป็นหน้าตาของ Microsoft Defender for Cloud ครับ

จากรูปด้านบนจะเห็นว่าจะไม่มีชื่อ Azure Security Center เหมือนก่อนหน้านี้ครับ จากนั้นผมจะทำการคลิ๊กที่ Microsoft Defender for Cloud เพื่อจะพาท่านผู้อ่านเข้าไปดูด้านในว่าหน้าตาเป็นอย่างไร ดังรูปด้านล่างครับ

จากนั้นผมคลิ๊กที่ Environment settings ซึ่งจะเป็นส่วนที่เราจะต้องทำการกำหนดว่าจะให้ Microsoft Defender for Cloud ทำหน้าที่อะไรบ้าง รวมถึงฟีเจอร์ต่างๆ ที่เราสามารถใช้งานได้ครับ และแน่นอนมีผลกับเรื่องของค่าใช้จ่ายด้วยนะครับ ดังรูปครับ

จากนั้นท่านผู้อ่านคลิ๊กที่ Tenant Root Group แล้วทำการเลือก Azure Subscriptions ครับ ว่าต้องการให้ Microsoft Defender for Cloud เข้าไปดำเนินการตามหน้าที่ที่ผมได้อธิบายไว้ก่อนหน้านี้กับ Azure Subscriptions ใดบ้างครับ เมื่อเลือก Azure Subscriptions ที่ต้องการแล้ว จากนั้นท่านผู้อ่านจะต้องทำการเลือก Defender Plans ดังรูปด้านล่างครับ

ซึ่งโดย Defautl ในส่วนของ Defender Plans จะเป็น Enhanced security off และมีฟีเจอร์ที่สามารถใช้งานได้อยู่ 2 ฟีเจอร์ คือ Continuous assessment and security recommendations กับ Secure score ตามรูปด้านบนครับ นั้นหมายความว่า Microsoft Defender for Cloud ทำหน้าที่ใน การรวบรวมข้อมูลต่างๆ จาก Existing Environment ขององค์กร จากนั้นจะนำเอาข้อมูลที่ได้ไปทำการวิเคราะห์, ตรวจสอบ, ประเมินว่า Environment ดังกล่าวนั้นเป็นอย่างไรบ้างในแง่ของความปลอดภัย และมีคำแนะนำมาให้เพื่อนำเอาไปปรับปรุง Environment ดังกล่าวนั้นให้มีความปลอดภัยมากขึ้นครับ รวมถึงมีการประเมินเป็นคะแนนให้ด้วยครับ ดังรูปด้านล่างครับ โดยไม่มีค่าใช้จ่ายครับ!!!!!

แต่ถ้าเราทำการเปลี่ยน Defender Plans มาเป็น Enable all Microsoft Defender for Cloud plans ก็จะเป็นการกำหนดให้ Microsoft Defender for Cloud ทำหน้าที่เพิ่มเติมจากก่อนหน้านี้ นั่นก็คือ การค้นหาและป้องกัน Threats หรือภัยคุกคาม บวกกับฟีเจอร์ต่างๆ ครับ โดย Plan ดังกล่าวนี้สามารถทดลองใช้งานได้ 30 วัน หลังจากนั้นมีค่าใช้จ่ายนะครับ ดังรูปด้านล่างครับ

เพราะฉะนั้น สิ่งสำคัญที่ผมอยากจะแนะนำท่านผู้อ่านทุกท่าน คือ เราจะต้องมีการวางแผนและเตรียมตัวกันก่อนนะครับว่า เราจะใช้ Microsoft Defender for Cloud ทำการป้องกัน Workloads ต่างๆ ใน Enviroment (On-Premise, Hybird, และ Multi-Cloud) ของเรามีอะไรบ้างและเป็นอย่างไร จากนั้นมาทำการพิจารณาในส่วนของ Defender Plans และอื่นๆ ครับ เพราะเราจะได้ประเมินค่าใช้จ่ายของ Microsoft Defender for Cloud ได้ครับ

ฟีเจอร์ต่อมาที่ผมอยากพาท่านผู้อ่านไปดู นั่นก็คือ Security Alerts ครับ โดยฟีเจอร์ดังกล่าวนี้จะทำการแจ้งเตือนเมื่อ Microsoft Defender for Cloud เจอ Threats ครับ ดังรูปด้านล่าง โดยรูปด้านล่างเป็นการแจ้งเตือนว่า Azure VM (WTADDSD2) ของผมถูก RDP Attacks ครับ

สามารถเข้าไปดูรายละเอียดของการแจ้งเตือนได้ ตามรูปครับ

จากข้อมูลข้างต้น Microsoft Defender for Cloud ก็จะแนะนำวิธีการที่จะ Mitigate ให้เราครับ ซึ่งในความเป็นจริงแล้ว Microsoft Defender for Cloud ยังมีความสามารถอีกเยอะเลยครับ บทความนี้เป็นเพียงแค่ส่วนหนึ่เท่านนั้นครับ  สำหรับท่านผู้อ่านท่านใดสนใจสามารถไปเข้าดูที่ Link นี้ได้เลยครับผม Microsoft Defender for Cloud - an introduction | Microsoft Docs

และทั้งหมดนี้คือเรื่องราวเกี่ยวกับ Microsoft Defenfer for Cloud ที่ผมมาให้อัพเดทความเปลี่ยนแปลงของ Service ดังกล่าวนี้ให้ทุกท่านได้ทราบกันครับผม.....

Data Encryption ใน Microsoft Azure

      สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวเกี่ยวกับความปลอดภัยใน Microsoft Azure ครับ โดยบทความนี้จะโฟกัสไปที่เรื่องของ "Data Encryption" ครับ ซึ่งถือเป็นเรื่องที่แทบทุกองค์กรให้ความสนใจ เพื่อวางแผนและจัดการเรื่องดังกล่าวนี้ครับ เอาล่ะครับเรื่องราวจะเป็นอย่างไร สามารถติดตามกันได้เลยครับผม

โดยผมขอเริ่มจากในช่วงหลายปีที่ผ่านมาจนถึงปัจจุบัน หลายๆ องค์กรมีการนำเอา Microsoft Azure เข้ามา Adopt ใช้งาน สิ่งที่เกิดขึ้นตามมาแน่นอน นั่นก็คือการติดตั้งและใช้งาน Services ต่างๆ ใน Microsoft Azure เช่น Azure Virtual Machine, Azure Virtual Network, Azure Storage, Azure SQL และอื่นๆ ครับ  ดังนั้นเมื่อองค์กรใดต้องการที่จะทำการวางแผนเพื่อดำเนินการเรื่องของ Security นั้นก็จะต้องเริ่มต้นจากการรวบรวมและรีวิวข้อมูลต่างๆ ดูว่า ณ ปัจจุบันเป็นอย่างไร, เช่น Environment ขององค์กรเป็น Hybrid หรือ Multi-Cloud Environment, องค์กรของเราได้มีการติดตั้งและใช้งาน Services ใน Microsoft Azure ใดไปบ้าง และอื่นๆ และสุดท้ายคือ ความต้องการหรือ Requirements ครับ ข้อมูลและรายละเอียดต่างๆ ที่ได้รวบรวมมานั้น ก็จะนำเอามาทำการวิเคราะห์, วางแผน, ออกแแบบ, และดำเนินการต่อไปครับ 

สำหรับองค์กรที่สนใจเรื่องราวดังกล่าวนี้ ทาง Microsoft ได้เตรียม Models, Guidances, และอื่นๆ มาช่วยองค์กรที่ต้องการที่จะดำเนินการเรื่องดังกล่าวนี้ครับ เช่น Zero Trust Model, Defense-In-Depth Model, และอื่นๆ ครับ สำหรับบทความนี้ผมจะโฟกัสเรื่องของ Data Encryption นะครับ 

โดยผมขอแนะนำ Defense In-Depth Model มาใช้เป็น Reference ในการวางแผนและดำเนินการได้ครับ เพราะใน Defense-In-Depth จะประกอบไปด้วย Layers ต่างๆ ซึ่งองค์กรสามารถทำการพิจารณา, วางแผนและดำเนินการเรื่องของ Security ได้ในแต่ละ Layers ครับ โดยแต่ละ Layers ทาง Microsoft ได้เตรียม Services ตลอดจนฟีเจอร์ต่างๆ ใน Microsoft Azure เข้ามาช่วยในเรื่องของ Security ครับ เพื่อทำให้ภาพรวมของ Environment ขององค์กรมีความปลอดภัยและลดความสุ่มเสี่ยงต่อการถูกโจมตีจากภัยคุกคามครับ รูปด้านล่างคือ รูปที่แสดงถึง Layers ต่างๆ ของ Defense-In-Depth ครับ

Defense-In-Depth Model

มาดูกันครับว่าในแต่ละ Layers ของ Defense-In-Depth มีรายละเอียดอย่างไรครับ

Physical Sercurity, Layer นี้จะโฟกัสที่ความปลอดภัยของ Physical Data Center ตลอดจน Hardware ต่างๆ ครับ ในกรณีที่องค์กรได้มีการติดตั้งและใช้งาน Services ต่างๆ ใน Microsoft Azure ใน Layer นี้ก็จะเป็นหน้าที่ความรับผิดชอบของทาง Microsoft ครับ ในทางกลับกัน ถ้า Workloads หรือระบบต่างๆ รันใน On-Premise Data Center ก็จะเป็นหน้าที่ความรับผิดชอบขององค์กรสำหรับเรื่องของ Security นะครับ

Identity & Access, Layer นี้จะโฟกัสที่ความปลอดภัยของ Identity ของผู้ใช้งานในองค์กรครับ เนื่องจาก ณ ป้จจุบ้น ผู้ใช้งานในองค์กรสามารถเข้าถึง Data หรือ Applications ต่างๆ ที่อยู่ที่ไหนก็ได้ (On-Premise หรือ On Cloud) ดังนั้นองค์กรจะต้องมีการวางแผนในเรื่องของความปลอดภัยของ Identity หรือ User Accounts ของผู้ใช้งานด้วยครับ โดยองค์กรสามารถนำเอาฟีเจอร์ต่างๆ ใน Azure Active Directory (Azure AD) มาช่วยได้ครับ ทั้งนี้ขึ้นอยู่กับ Azure AD Edition ที่องค์กรใช้งานด้วยนะครับ

Perimeter, Layer นี้จะโฟกัสเรื่องความปลอดภัย โดยพิจารณาเรื่องการควบคุมและจัดการ Traffics ที่เข้าและออกขององค์กร โดยเฉพาะองค์กรที่มีลักษณะเป็น Hybrid Cloud Envrionment เช่น มีการเชื่อมต่อระหว่าง On-Premise กับ Microsoft Azure ผ่านทาง VPN เป็นต้น ดังนั้นองค์กรควรจะมีการพิจารณาวางแผนนำเอา Firewall เข้ามาใช้งาน, รวมถึงการป้องกันการโจมตี เช่น DDos เป็นต้นครับ

Network, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Networks โดยเฉพาะ Azure Virutal Networks หรือ Azure VNets ครับ เช่น การควบคุมหรือการ Filter Traffics ระหว่าง Subnets หรือระหว่าง Azure Virtual Networks ครับ

Compute, Layer นี้จะโฟกัสเรื่องความปลอดภัยเกี่ยวกับ Services ของ Microsoft Azure ครับ เช่น Azure Virtual  Machines, Azure Containers เป็นต้น ยกตัวอย่าง เช่น การเข้ารหัส Disks, การติดตั้ง Anti-Virus, การอัพเดท Patches, และอื่นๆ ของ Azure Virtual Machines เป็นต้นครับ

Application, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Applications เช่น การตรวจสอบช่องโหว่ (Vulnerabilities), การเก็บรักษา Secrets, และอื่นๆ เป็นต้นครับ

Data, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Data ครับ โดยในบทความนี้ของผมจะโฟกัสที่ Layer นี้ครับผม

เอาล่ะครับ มาถึงจุดที่องค์กรของเราหรือตัวของท่านผู้อ่านเองต้องการที่จะดำเนินการเรื่องดังกล่าวนี้ (Data Encryption) สิ่งที่ผมแนะนำก่อนเลยและถือเป็นเรื่องที่สำคัญ นั่นก็คือ ท่านผู้อ่านจะต้องทำความเข้าใจก่อนว่าการทำ Data Encryption ใน Microsoft Azure นั้นมีคอนเซปเป็นอย่างไร โดยผมขอเริ่มจากลำดับแรกเลย คือ Data ครับ โดย Data ดังกล่าวที่เราต้องการจะทำ Encryption นั้นเกี่ยวข้องกับ Services ใดใน Microsoft Azure เช่น Azure Virtual Network, Azure Storage, Azure Virtual Machine เป็นต้น เพราะแต่ละ Services ใน Microsoft Azure จะมีฟีเจอร์ในการทำ Encyrpiton ครับ ผมยกตัวอย่าง เช่น ใน Azure Virtual Machines จะมีฟีเจอร์ที่ชื่อว่า "Azure Disk Encryption" หรือ ADE เพื่อใช้ในการเข้ารหัส Data นั่นก็คือ Disks ของ Azure Virtual Machines เป็นต้นครับ  ลำดับถัดมา เราจะต้องทำการเข้าใจเกี่ยวกับสถานะ หรือ State ของ Data ที่เราต้องการทำ Encryption ครับ โดยจะมีรายละเอียดดังนี้ครับ

1. Data At-Rest, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ที่ Physical Drives เพื่อสร้างความมั่นใจว่า ถ้าเกิดเหตุการณ์ที่มีบุคคลใดๆ เข้าไปขโมยหรือนำเอา Physical Drives (Disks) ออกมาจาก Azure Data Center จะไม่สามารถทำการอ่านข้อมูลที่อยู่ใน Physical Drives ดังกล่าวได้ครับ

2. Data In-Transit, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ในการติดต่อสื่อสาร (Communication) กันระหว่างผู้ใช้งานกับ Services เช่น การใช้ HTTPS เป็นต้นครับ

3. Data In-Memory, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ใน Memory ของ Azure Virtual Machine เป็นต้น เพื่อป้องกันการเอา Data ที่อยู่ใน Memory ออกไปครับ

4. File-Level, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ในระดับของ File (File-Level) ที่อยู่ภายใน Azure Virtual Machines หรือ Azure Services (PaaS) เช่น ถ้ามีบุคคลที่สามารถทำการเข้าถึง Azure Virtual Machines (SQL หรือ File Servers เป็นต้น) ได้ นั่นหมายความว่าบุคคลดังกล่าวก็สามารถทำการ Read /Copy File หรือ Content ได้ ดังนั้นถ้าเรามีการทำ Data Encryption ใน State หรือสถานะดังกล่าวได้ก็จะทำให้มีความปลอดภัยมากขึ้น

5. Server Side, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) เพื่อช่วยทำให้ Data มีความปลอดภัยจากกรณีการเข้าถึงโดยการใช้ API/Portal  ยกตัวอย่างเช่น มีบุคคล Sign-In โดยใช้ Azure Portal แล้วทำการดาวน์โหลด Virtual Hard Disk (Disks ของ Azure Virtual Machines) ดังนั้นการทำการ Encryption ใน State หรือสถานะดังกล่าวนี้ก็จะช่วยป้องการการรั่วไหลของข้อมูลได้อีกทางครับ

เอาล่ะครับ เมื่อมาถึงตรงนี้หลังจากที่ผมได้อธิบายเรื่องราวของ Defense-In-Depth Model และ State หรือ สถานะของ Data แล้ว ในขั้นตอนถัดไป ก็จะเป็นการเริ่มวางแผน, ออกแบบ, และดำเนินการครับ ซึ่งจะทำตรงไหนอย่างไร ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ แต่สิ่งสำคัญคือ ความเข้าใจกับคอนเซปตลอดจนเรื่องราวต่างๆ ที่ผมได้นำเสนอไปครับ

และทั้งหมดนี้คือเรื่องราวภาพรวมและคอนเซปต่างๆ ที่เกี่ยวกับเรื่องของ Data Encryption ใน Microsoft Azure ครับผม.....

Azure Active Directory Identity Governance

     สวัสดีครับทุกท่านกลับมาพบกันอีกเช่นเคย สำหรับบทความนี้จะเป็นเรื่องราวเกี่ยวกับ Identity ใน Microsoft Azure ครับ พอพูดหรือนึกถึงเรื่องของ Identity ก็จะเกี่ยวข้องกับ Service ที่ชื่อว่า Azure Active Directory หรือเรียกกันสั้นๆ ว่า Azure AD ซึ่งถือว่าเป็น Service ที่สำคัญมาก Service หนึ่งใน Microsoft Azure และ Cloud Services อื่นๆ ของ Microsoft เช่น Microsoft 365 เพราะเป็น Service ที่จะเข้ามาช่วยบริหารและจัดการ Identity หรือที่เรียกว่า Identity and Access Management (IAM) ครับ และแถบจะทุกองค์กรที่มีการนำเอา Microsoft Azure หรือ SaaS App ของ Microsoft เช่น Microsoft 365 ก็จะต้องวางแผนและพิจารณาการใช้งาน Azure AD เพื่อทำ Hybrid Cloud (Identity) เพื่อทำให้ผู้ใช้งานในองค์กรดังกล่าวสามารถเข้าถึงและใช้งาน Applications และ Data จากที่ไหนก็ได้ โดยใช้ Identity เดียวหรือที่เรียกว่า "Single Sign-On" หรือ SSO ครับ สำหรับท่านผู้อ่านท่านใดยังไม่คุ้นเคยกับ Azure AD ผมแนะนำให้ไปอ่านบทความของผมเกี่ยวกับเรื่องนี้ก่อนครับ  WT Blog (ITGeist): Azure Active Directory (Azure AD) (itgeist5blog.blogspot.com)

เอาล่ะครับเกริ่นมาพอสมควรแล้ว มาเข้าเรื่องกันเลยดีกว่าครับ สำหรับบทความตอนนี้ของผมจะเป็นเรื่องของ "Azure Active Directory Identity Governance" ครับ ซึ่งจะเป็นเรื่องราวที่ต่อยอดหรือเกี่ยวข้องกับการที่องค์กรได้ดำเนินการติดตั้งและใช้งาน Hybrid Cloud (Identity) โดยมีการ Sync Identities (User Accounts) จาก Active Directory Domain Service (AD DS) ซึ่งติดตั้งในเครื่องที่ทำหน้าที่เป็น Domain Controller ซึ่งอยู่ใน On-Premise Data Center ขององค์กร มายัง Azure AD Tenant เพื่อให้เราสามารถใช้ประโยชน์จาก SSO ตามที่ผมได้อธิบายไว้เมื่อซักครู่ครับ 

โดยเรื่องราวของ Azure Active Directory Identity Governance นั้นเป็นเรื่องที่หลายๆ องค์กรให้ความสนใจมากครับ และมีรายละเอียดค่อนข้างเยอะมากครับ โดยส่วนตัวผมได้มีโอกาสไปบรรยายตลอดจนให้คำปรึกษาอยู่หลายครั้งครับ แต่ในขณะเดียวกันยังมีอีกหลายๆ ท่านยังไม่ทราบหรือรู้จัก Azure Active Directory Identity Governance ผมจึงถือโอกาสนี้นำเอาเรื่องนี้มาเล่าสู่กันฟังครับ

Azure Active Directory Identity Governance คืออะไร?

Azure AD Identity Governance จะเป็นส่วนที่เข้ามาช่วยให้องค์กรปรับหรือรักษาสมดุลย์ทั้งในส่วนของการบริหารจัดการและความปลอดภัยครับ โดยคอนเซปของ Azure AD Identity Governance ตลอดจนฟีเจอร์ต่างๆ จะทำให้องค์กรมีความมั่นใจได้ว่าผู้ใช้งานได้รับสิทธิ์และเข้าถึง Applications หรือ Data ได้ตามที่กำหนดและถูกต้อง ตลอดจนไม่มีผู้ใช้งานคนใดสามารถเข้าถึง Applications หรือ Data ได้ทั้งๆ ที่ในการทำงานจริงผู้ใช้งานดังกล่าวไม่เกี่ยวข้องครับ เพราะถ้าเกิดเหตุการณ์ดังกล่าวจริงก็จะทำให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยครับ เพราะฉะนั้น Azure AD Identity Governance จะทำให้องค์กรสามารถบริหารและจัดการงานต่างๆ ครอบคลุมทั้ง ผู้ใช้งานในองค์กร,  Business Partners และ Vendors ในการเข้าถึง Resources ต่างๆ ขององค์กรไม่ว่าจะอยู่ใน On-Premise และ Cloud ครับ โดยสิ่งที่ Azure AD Identity Governance จะเข้ามาช่วยดำเนินการสิ่งต่างๆ ดังต่อไปนี้ครับ:

- ควบคุมและดูแล Identity Lifecycle

- ควบคุมและดูแล Access Lifecycle

- ควบคุมและดูแล Privileged Access Lifecycle

นอกจากนี้แล้ว Azure AD Identity Governance ยังช่วยมาช่วยจัดการและตอบคำถามต่างๆ ด้านล่างสำหรับกรณีเหล่านี้อีกด้วยครับ:

- คำถามที่สอบถามว่า มีผู้ใช้งานท่านนี้ ณ ตอนนี้สามารถเข้าถึงResources ใดได้บ้าง (ซึ่งในความเป็นจริง

  ควรจะ เป็น Resources ที่เกี่ยวข้องกับหน้าที่การทำงานของผู้ใช้งานเท่านั้น)

- คำถามที่สอบถามว่า ผู้ใช้งานมีสิทธิ์อะไรบ้าง สำหรับเข้าถึงและใช้งาน Resources นั้นๆ

- คำถามที่สอบถามว่า ณ ปัจจุบันองค์การเข้าใจถึง Concept ของการทำ Access Control ได้อย่างถูกต้อง

   ตลอดจนได้นำเอาฟีเจอร์หรือ Services ต่างๆ เข้ามาช่วยหรือไม่

- คำถามที่สอบถามว่า ณ ปัจจุบันการทำ Access Control ขององค์กรนั้นสามารถให้ ผู้ตรวจสอบทำการ

  ตรวจสอบได้หรือไม่

คราวนี้เรามาไล่เรียงกันในแต่ละ Lifecycle ตามที่ผมได้เกริ่นไว้ในตอนต้นครับ

รู้จักกับ Identity Lifecycle

Identity Lifecycle จะเข้ามาช่วยองค์กรให้สามารถบริหารจัดการรวมถึงความปลอดภัยในอย่างสมดุลย์และเหมาะสม เช่น เมื่อมีพนักงานใหม่เข้ามาในองค์กร พนักงานดังกล่าวสามารถมี Identity เพื่อใช้ในการเข้าถึง Applications หรือ Data ตามหน้าที่ของเขาทันทีหรือไม่ ตลอดจนในเวลาต่อมาถ้ามีการเปลี่ยนบทบาทและนหน้าที่ของพนักงานคนดังกล่าว ผู้ดูแลระบบหรือผู้ที่มีหน้าที่เกี่ยวข้องสามารถดำเนินการจัดการได้ทันที โดยที่พนักงานดังกล่าวจะต้องได้รับสิทธิ์ที่ควรจะได้ตามบทบาทและหน้าที่เท่านั้น เพื่อเข้าถึง Resources ต่างๆ เช่น ถ้าพนักงานดังกล่าวมีการย้ายแผนก พนักงานดังกล่าวควรจะเข้าถึง Resources ต่างๆ ของแผนกใหม่เท่านั้น และไม่สามารถเข้าถึง Resources ต่างๆ ของแผนกเดิมที่เคยเข้าถึงได้อีกต่อไป

Identity Lifecycle ถือว่าเป็นหลักพื้นฐานหรือ Foundation ที่สำคัญสำหรับ Azure AD Identity Governance ในการควบคุมและดูแล รักษาความสมดุลย์และความเหมาะสมในส่วนของการบริหารจัดการและความปลอดภัย ในการเข้าถึง Resources ต่างๆ ไม่ว่าจะเป็น Applications และ Data ครับ และมีความเป็นไปได้ในองค์กรส่วนใหญ่ที่จะมีการ Integrate การทำงานร่วมกันระหว่าง Identity Lifecycle กับระบบ HCM (Human Capital Management) เช่น SAP, Oracle eBusiness, Oracle PepoleSoft เป็นต้น ซึ่งจะต้องดำเนินการด้วยความระมัดระวังมากขึ้นอีกครับ 

และยิ่งไปกว่านั้นการควบคุมและดูแลการเข้าถึง Resources ต่างๆ ณ ปัจจุบัน มิใช่ควบคุมเฉพาะพนักงานหรือผู้ใช้งานภายในองค์กรเท่านั้น ยังต้องควบคุมและดูแลบุคคลจากภายนอกที่จะเข้าถึง Resources ต่างๆ ในองค์กรอีกด้วย 

ซึ่งใน Azure AD ได้เตรียม Azure AD B2B หรือ B2C และ Azure AD Entitlement Management (เป็นฟีเจอร์ใน Azure AD Identity Governance) 

เข้ามาช่วยจัดการ, ควบคุมและดูแลสำหรับการที่องค์กรมีความต้องการแชร์ Resources ต่างๆ ให้กับบุคคลภายนอก (Guest Users หรือ External Partners) ครับ

รู้จักกับ Access Lifecycle

องค์กรโดยส่วนใหญ่มีความต้องการกระบวนการหรือ Process ในการบริหารจัดการการเข้าถึง Resources ต่างๆ มากกว่าแค่การสร้างหรือ Provisioning User Accounts เพราะองค์กรต้องการคอยตรวจสอบและสั

เกตถึงความเปลี่ยนแปลงการเข้าถึง Resources ต่างๆ  เช่น  Applications และ Data ของผู้ใช้งานนั้นๆ ว่าเป็นอย่างไร ดังนั้นจากประเด็นนี้ องค์กรจะมีการเตรียมวางแผนและดำเนินการต่างๆ เช่น การนำเอา Policy เข้ามาใช้ในการควบคุม, มีการ Delegate สิทธิ์ให้กับผู้ใช้งานและบุคคลภายนอก (External หรือ Guest Users) และอื่นๆ เป็นต้น โดยใน Access Lifecycle จะเกี่ยวข้องกับหลาย Services และฟีเจอร์ เช่น Azure AD B2B, B2C, Azure AD Entitlement Management, RBAC, และอื่นๆ เป็นต้น เพื่อมาช่วยตอบโจทย์ความต้องการขององค์กรข้างต้นครับ

รู้จักกับ Privileged Access Lifecycle

ที่ผ่านมาสิทธิ์ในการเข้าถึง Resources ต่างๆ นั้น องค์กรจะเป็นผู้กำหนดโดยจะมีแผนกหรือทีมงานที่เกี่ยวข้องเข้ามาวางแผน, จัดการ, และดำเนินการ เพื่อให้ผู้ใช้งานทั้งภายในและภายนอกเข้าถึงหรือมีสิทธิ์ในการเข้าถึง Resources ต่างๆ ตามที่องค์กรกำหนดเท่านั้น แต่ในการทำงานจริงมีความเป็นไปได้ที่ จะมีการเพิ่มหรือ Add สิทธิ์ให้กับผู้ใช้งานเพื่อดำเนินงานต่างๆ ตามความต้องการ ตามช่วงเวลาใดเวลาหนึ่ง, หรือจะมีการปรับเปลี่ยนเพิ่ม/ลด สิทธิ์ผู้ใช้งาน เนื่องจากมีการย้ายแผนก, และอื่นๆ เป็นต้น จากตัวอย่างที่ผมได้ยกขึ้นมานั้น สิ่งที่สะท้อนให้เห็นคือ องค์กรจะมีวิธีการในการบริหารจัดการประเด็นดังกล่าวนี้อย่างไร เพราะมีความเกี่ยวข้องกับความปลอดภัยกับ Resources ต่างๆ ขององค์กร  ซึ่งที่ผ่านมาจากประสบการณ์ของผมเอง องค์กรจะมีการนำเอา Solution อื่นๆ เข้ามาช่วยจัดการประเด็นดังกล่าวนนี้ครับ ซึ่งทำให้องค์กรหรือทีมที่เกี่ยวข้องจะต้องมีการเตรียมความพร้อมเพื่อเรียนรู้เครื่องมือเหล่านั้นเพื่อนำมาใช้จัดการกับประเด็นที่ผมได้เกริ่นไว้ครับ จากจุดนี้ทาง Microsoft คิดว่าควรจะมีการนำเอาประเด็นดังกล่าวนี้เข้ามาอยู่ใน Azure AD Identity Governance ด้วย เพื่อทำให้องค์กรหรือทีมงานที่เกี่ยวข้องสามารถบริหารจัดการและควบคุมทั้งหมดในรูปแบบที่เป็น Centralized Management เพื่อทำให้ง่ายและมีความยืดหยุ่นกับการนำไปใช้งานองค์กรครับ โดยใน Privileged Access Lifecycle จะเกี่ยวข้องกับ Services และฟีเจอร์ต่างๆ เช่น Azure AD, RBAC, Azure AD Privileged Identity Management (Azure AD PIM), และอื่นๆ เป็นต้น

รายละเอียดเพิ่มเติมสำหรับเรื่องของ Azure Active Directory Identity Governance สามารถไปที่ Link นี้ได้เลยครับ Identity Governance - Azure Active Directory | Microsoft Docs

และทั้งหมดนี้คือเรื่องราวเบื้องต้นของ Azure Active Directory Identity Governance ครับ เอาไว้โอกาสต่อไป ผมจะมานำเสนอเรื่องราวของฟีเจอร์ที่สำคัญใน Azure Active Directory Identity Governance นั่นก็คือ Azure AD Entitlement Management ครับ โปรดติดตามครับผม..... 

รู้จักกับ Windows 365 Cloud PC

      สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความนี้ผมมานำเสนอเรื่องราวที่หลายๆ ท่านให้ความสนใจกันมากเลยครับในช่วงเดือนที่ผ่านมา นั่นก็คือเรื่องราวของ Service ใหม่ของ Microsoft ที่มีชื่อว่า "Windows 365" หรือที่เรียกกันว่า Cloud PC ครับ และช่วงที่ผ่านตัวผมเองก็ได้มีโอกาสทำการศึกษาหาข้อมูลและทำการทดสอบ Windows 365 ดังนั้นผมจึงคิดว่าจะนำเอาเรื่องราวของ Windows 365 มานำเสนอและเล่าสู่กันฟังเหมือนเช่นเคยครับ

Windows 365 คืออะไร?

Windows 365 คือ Service ที่ทาง Microsoft ให้บริการ PC (ซึ่งติดตั้ง OS เป็น Windows 10  หรือ Windows 11 ในอนาคต)  ให้กับผู้ใช้งาน โดยทำการสตรีม PC (Windows 365) หรือที่เรียกกันว่า Cloud PC มายังเครื่องหรือ Device ของผู้ใช้งาน ไม่ว่าผู้ใช้งานจะอยู่ที่ใด หรือจะใช้ Device ใดครับ ซึ่งคล้ายคลึงกับการที่องค์กรนำเอา SaaS หรือ Cloud Applications เช่น Micrsoft 365 และอื่นๆ มาใช้งานในองค์กร โดยที่ไม่ต้องเตรียมเครื่องเพื่อทำการติดตั้ง SaaS หรือ Cloud Applications ดังกล่าวครับ โดยคอนเซปของ Windows 365 ที่ผมได้อธิบายเมื่อซักครู่นั้น สามารถเรียกได้ว่า Windows 365 (Cloud PC) ให้บริการในรูปแบบที่เรียกว่า Desktop-as-a-Service หรือ DaaS ครับ 

ผมขออนุญาตอธิบายเพิ่มเติมทางด้านเทคนิคอีกซักนิดสำหรับ Windows 365 ครับ  นั่นก็คือตัวของ Windows 365 นั้นทาง Microsoft ได้ทำการพัฒนาและต่อยอดมาจาก Service หนึ่งใน Microosft Azure ที่ชื่อว่า "Azure Virtual Desktop" หรือ AVD ซึ่งเป็น Service ที่ให้บริการ VDI Solution บน Microsoft Azure ซึ่งทำให้องค์กรที่สนใจ VDI Solution มีทางเลือกเพิ่มเติมจากเดิมที่จะต้องเตรียมเครื่องหรือ Servers และ Components ต่างๆ เพื่อทำการติดตั้ง VDI Solution ดังกล่าวที่ On-Premise Data Center ขององค์กร ซึ่งต้องใช้เวลาในการติดตั้งรวมถึงค่าใช้จ่ายค่อนข้างสูงครับ  แต่ ณ วันนี้องค์กรใดที่สนใจ VDI Solution สามารถใช้ติดตั้งและใช้งาน Solution ดังกล่าวบน Microsoft Azure โดยใช้ Azure Virtual Desktop หรือ AVD ซึ่งติดตั้งง่ายและเร็วกว่าแบบเดิม อีกทั้งค่าใช้จ่ายโดยรวมก็ยังถูกกว่าเมื่อนำไปเปรียบเทียบกับการติดตั้งและใช้งาน VDI Solution ก่อนหน้านี้ครับ  

ในส่วนของ Windows 365 จะให้บริการในรูปแบบของ Single User หรือ Single Session (ซึ่งแตกต่างจาก Azure Virtual Desktop ที่ให้บริการแบบ Multi-Sessions) เพื่อให้ทำงานเหมือนกันเป็น PC ของผู้ใช้งานแต่ละคนครับ โดยทาง Microsoft ได้พัฒนา Windows 365 ให้ง่ายและสะดวกต่อการติดตั้งและใช้งานมากขึ้นครับ โดยที่ผู้ดูแลระบบไม่ต้องไปทำการเตรียมและสร้าง Virtual Machine ใดๆ เลยเพื่อให้ผู้ใช้งานเข้ามาใช้งาน Windows 365 รวมถึงตัวของผู้ดูแลระบบก็ไม่สามารถทำการ Remote ไปที่ Windows 365 ได้ครับ เนื่องจากทาง Microsoft เป็นคนจัดการให้ครับ แต่นั่นก็ไม่ได้หมายความว่าผู้ดูแลระบบไม่ต้องทำอะไรกับ Windows 365 นะครับ ในเรื่องของการบริหารและจัดการ เช่น เรื่องของ Security และอื่นๆ ก็ยังคงเป็นหน้าที่ที่ผู้ดูแลระบบจะต้องดำเนินการนะครับ 

ผมอยากให้ทุกท่านมอง Windows 365 คือ Windows 10 หรือต่อไปจะมี Windows 11 ที่ทาง Microsoft ได้จัดการเบื้องหลังสำหรับในส่วนของ System หรือ Infrastrusture เพื่อให้ Windows 365 ดังกล่าวนั้นสามารถให้บริการกับเราได้ครับ ในส่วนของผู้ใช้งานอย่างตัวผมหรือทุกท่าน เราก็จะได้เครื่องหรือ PC มาตัวหนึ่ง ซึ่งโดยปรกติเราจะได้มาในรูปแบบของ Physical เช่น PC หรือ Notebook จากนั้นเราก็จะทำการติดตั้ง Applications และกำหนดค่าต่างๆ ตามที่เรารวมถึงองค์กรต้องการครับ แต่ในมุมของ Windows 365 คือเราจะได้ PC มาเช่นกันครับแต่เป็นแบบ Virtual ครับ ผมหรือท่านผู้อ่านสามารถใช้งาน Windows 365 ผ่านทาง Device ของเรา เช่น Notebook, Tablet , และอื่นๆ ผ่านทาง Browser ครับ และอย่างที่ผมได้อธิบายไว้ข้างต้น คือ ท่านผู้อ่านสามารถใช้งาน Windows 365 จากที่ใดหรือ Device ใดก็ได้ครับ เพราะตัวของ Windows 365 อยู่บน Cloud (Microsoft Azure) ครับ เราจึงเรียกว่า Windows 365 คือ Cloud PC นั่นเองครับผม

และจากที่ผมได้อธิบายเกี่ยวกับคอนเซปของ Windows 365 ไว้ข้างต้น ทำให้องค์กรสามารถที่จะนำเอา Windows 365 มาให้ผู้ใช้งานในองค์กรใช้งานได้อย่างสะดวกและง่ายกว่าแต่ก่อน เพราะองค์กรไม่ต้องเตรียมหรือซื้อเครื่อง PC หรือ Notebook และทำการติดตั้ง OS และอื่นๆ มาให้ผู้ใช้งานเหมือนที่ผ่านมาครับ ดังนั้นทำให้องค์กรมีความยืดหยุ่นในการบริหารและจัดการรวมถึงประหยัดค่าใช้จ่ายด้วยครับ ในมุมของผู้ใช้งานนั้นแทบจะไม่ต้องปรับตัวหรือเรียนรู้มากซักเท่าไรกับ Windows 365 (OS เป็น Windows 10 หรือ Windows 11 ในอนาคต) เพราะผู้ใช้งานคุ้นเคยการใช้งาน Windows 10 (หรือ Windows 11) ที่ใช้งานกันอยู่แล้วครับ

Windows 365 Requirements & Options

ณ ขณะนี้ Windows 365 มีให้เลือกใช้งาน 2 แบบ หรือ 2 Options ครับ คือ แบบ Business กับ Enterprise ครับ โดยจะเลือกแบบใดนั้นขึ้นอยู่กับความต้องการครับ *สำหรับบทความนี้ผมจะนำเสนอ Windows 365 แบบ Business นะครับ 

Option 1: Windows 365 Business

สำหรับ Windows 365 แบบ Business นั้นถูกออกแบบมารองรับกับองค์กรขนาดเล็กหรือกลางที่มีผู้ใช้งาน 300 Users หรือน้อยกว่าครับ  องค์กรหรือท่านผู้อ่านสามารถดำเนินการซื้อ Windows 365 Business ได้เลยครับ โดยสั่งซื้อโดยตรงจาก Windows 365 Portal หรือจาก Microsoft 365 admin center ครับ ไม่ต้องซื้อ Azure Subscription นะครับ รองรับและสามารถนำไปใช้กับองค์กรที่มีหรือไม่มี Azure Active Directory (Azure AD) Tenant ก้อได้ครับ นั่นหมายความว่า Windows 365 Business อาศัยการทำงานร่วมกับ Azure AD เป็นหลักหรือจะเรียกว่า Windows 365 หรือ Cloud PC รองรับแบบ Native Azure AD Support ครับ 

Option 2: Windows 365 Enterprise

สำหรับ Windows 365 แบบ Enterprise นั้นถูกออกแบบมาสำหรับองค์กรขนาดใหญ่ ที่มีลักษณะเป็น Hybrid Cloud (Hybrid Identity) โดย Windows 365 Enterprise จะทำงานร่วมกับ Azure Active Directory (Azure AD) และ Active Directory Domain Service (AD DS) ไม่สามารถติดต่อหรือ Reomote ไปยัง Windows 365 เช่นกันครับ แต่สามารถกำหนดค่าให้ Windows 365 Enterprise ดังกล่าวสามารถเชื่อมต่อเข้ามายัง Azure Virtual Network (Azure VNet) ขององค์กรได้ เพราะฉะนั้นองค์กรที่สนใจ Windows 365 Enterprise จะต้องเตรียม Windows 365 Enterprise Licenses, Microsoft Azure Subscription, และอื่นๆ

รายละเอียดเพิ่มเติมสามารถดูได้จาก Link นี้ครับ, Windows 365 requirements | Microsoft Docs

รูปด้านล่างแสดงถึงความแตกต่างด้านเทคนิคระหว่าง Windows 365 Business กับ Enterprise ครับ

สำหรับ Applications ต่างๆ ที่สามารถใช้งานได้ใน Windows 365 ณ ขณะที่ผมเขียนบทความอยู่นี้ มีเยอะเลยครับ โดยส่วนใหญ่ท่านผู้อ่านจะคุ้นเคยกันดีอยู่แล้ว เช่น Microsoft 365, Microsoft Dynamics 365, Microsoft Power Platform, Line of Business (LOB), และอื่นๆ ครับ 

Windows 365 Pricing

สำหรับราคาหรือค่าใช้จ่ายของ Windows 365 นั้นคิดเป็นต่อ User ต่อเดือนครับ ไม่ได้มีการคิดค่าใช้จ่ายค่า Compute หรือ Azure Virtual Machine ของตัว Cloud PCs (Windows 365) ครับ เช่น ถ้าองค์กรหรือออฟฟิศของท่านผู้อ่านมีผู้ใช้งานที่วางแผนต้องการใช้งาน Windows 365 สมมติว่า 50 Users ก็ซื้อ Windows 365 จำนวน 50 Licenses ครับ  ค่าใช้จ่ายของ Windows 365 จะสูงหรือไม่ขึ้นอยู๋กับจำนวนผู้ใช้งานและสปเค (Specification) ของ Windows 365 ครับ ซึ่งมีให้เลือกหลายแบบครับ โดยจะคิดต่าใช้จ่ายข้างต้นเป็นรายเดือนตามที่แจ้งไว้ในตอนต้นครับ  รูปด้านล่างเป็นตัวอย่างของรายละเอียดและราคาของ Windows 365 ครับ

รายละเอียดเพิ่มเติมสามารถเข้าไปที่ Link นี้ได้ครับ Windows 365 Plans and Pricing | Microsoft

Windows 365 Security

ทาง Microsoft ได้ทำการออกแบบและพัฒนา Windows 365 โดยรองรับกับคอนเซปของ "Zero Trust"  ในส่วนของ User Experience นั้นก็ถูกออกแบบมาให้รองรับและคำนึงถึงเรื่องของความปลอดภัยเช่นกันครับ ข้อมูลทุกอย่างของ Windows 365 จะถูกเก็บไว้บน Cloud (Microsoft Azure) ไม่ได้มีการเก็บไว้ที่อุปกรณ์หรือ Device ของผู้ใช้งาน ตลอดจนได้มีการเข้ารหัส (Encryption) ตลอดการใช้งานไม่ว่าจะเป็น Network Traffics จนถึงข้อมูล (Disk ของ Windows 365) ครับ  Windows 365 รองรับกับเทคโนโลยีที่ทาง Microsoft ได้มีการคิดค้นและพัฒนาอย่างต่อเนื่องที่เรียกว่า "Passwordless Technology" ครับ นอกเหนือจาก MFA ครับ ตัวของ Windows 365 ยังสามารถทำงานร่วมกับ Microsoft Security Services อื่นๆ เช่น Microsoft Endpoint Manager (MEM), Microsoft Defender, เป็นต้นครับ

และนี่คือเรื่องราวและคอนเซปของ Windows 365 ในเบื้องต้นครับ สิ่งที่สำคัญที่ผมอยากจะแนะนำเพิ่มเติมก่อนที่ท่านผู้อ่านทุกท่านหรือองค์กรใดที่สนใจจะเริ่มนำเอา Windows 365 ไปใช้งาน ก็คือ การวางแผนและเตรียมความพร้อมอย่างรอบคอบครบถ้วนครับ โดยเริ่มเก็บข้อมูลต่างๆ เช่น ระบบหรือ Environment ณ ปัจจุบันขององค์กรเป็นอย่างไร, มีการใช้งาน Cloud Services ใดของ Microsoft เช่น Microsoft Azure, Microsoft 365, เป็นต้น, รวมถึงความต้องการครับ จากนั้นนำเอาสิ่งเหล่านี้มาพิจารณาควบคู่ไปกับความรู้และความเข้าใจเกี่ยวกับ Windows 365 ไม่ว่าจะเป็น คอนเซปการทำงานของ Windows 365, Windows 365 Options (Business และ Enterprise), ค่าใช้จ่าย, และอื่นๆ ครับ เมื่อพิจารณทุกอย่างครบถ้วนแล้ว ก็จะเข้าสู่ขั้นตอนการดำเนินการจัดซื้อและตามด้วยขั้นตอนการ Deploy Windows 365 ครับผม.....

รู้จักกับ Zero Trust Model

     สวัสดีครับทุกท่าน เรื่องของปลอดภัย (Security) เป็นเรื่องสำคัญเรื่องหนึ่งที่ทุกๆ องค์กรให้ความสนใจ และวางแผนเพื่อเตรียมความพร้อมสำหรับการดำเนินการในเรื่องดังกล่าวครับ แต่หลายๆ องค์กรรวมถึงท่านผู้อ่านด้วย อาจจะมีคำถามครับว่าจะเริ่มต้นเรียนรู้และเตรียมความพร้อมอย่างไร, ทาง Microsoft มี Best Practices, เครื่องมือ, Models และอื่นๆ ที่จะช่วยองค์กรกับเรื่องดังกล่าวนี้หรือไม่ คำตอบ คือ มีครับ โดยทาง Microsoft ได้เตรียมสิ่งต่างๆ ที่ผมเกริ่นไว้เมื่อซักครู่ให้แล้วครับ และจึงเป็นที่มาของบทความนี้ ซึ่งผมจะพาทุกท่านไปทำความรู้จักและทำความเข้าใจเกี่ยวกับคอนเซปของ Security, Compliance, และ Identity กันครับ โดยบทความนี้ผมขอเริ่มจาก Model ที่ชื่อว่า "Zero Trust Model" ครับ

Zero Trust Model คืออะไร?

โดยคอนเซปของ Zero Trust Model มองว่า Data หรือ Resources ทุกอย่างที่องค์กรมีและเปิดให้ผู้ใช้งานเข้าถึงนั้น ไม่ว่า Data หรือ Resources ดังกล่าวนั้นจะอยู่ที่ใดก็ตาม เช่น ใน Cloud (Microsoft Azure, SaaS Apps, เป็นต้น) ตลอดจน Resources ใน On-Premise Data Center และอยู่หลัง Firewall ขององค์กร ในมุมของ Zero Trust ถือว่า ไม่มีที่ใดที่เชื่อถือหรือไว้ใจได้ เพราะฉะนั้นจะต้องมีการตรวจสอบทุกสิ่งทุกอย่างครับ เป็นไปตามกฏของ Zero Trust ที่ใช้ในการปฏิบัติการที่เรียกว่า "Trust no one, Verify everything" ครับ

มาดูกันในฝั่งของ Attackers กันบ้างครับ ในช่วงที่ผ่านมาจนถึง ณ ปัจจุบันได้ Attackers ได้มีการพัฒนาเทคนิคและวิธีการต่างๆ อย่างต่อเนื่อง เพื่อที่จะใช้ในการโจมตีเป้าหมาย เช่น Resources หรือข้อมูลต่างๆ ขององค์กร โดยพยายามหาวิธีการเข้าถึงและ Bypass การควบคุมในการเข้าถึงข้อมูลหรือ Resources ต่างๆ ใน On-Premise Data Center รวมถึง Cloud (เช่น Microsoft Azure เป็นต้น) ซึ่งที่ผ่านมาทุกท่านที่ติดตามข่าวสารก็จะเห็นว่า มีการโจมตีและเข้าถึงข้อมูลต่างๆ ในองค์กร แม้ว่าองค์กรนั้นๆ จะมีการควบคุมและจัดการในเรื่องของความปลอดภัย เช่น มีการแบ่ง Networks ออกเป็นวงย่อยๆ (Segmented Networks), มีการควบคุมการเข้าถึง (Access Control), มีการใช้ Firewall ในการควบคุม Traffics ที่เข้า-ออกทั้งภายในและภายนอก แต่องค์กรดังกล่าวก็ยังถูกโจมตีหรือ Attack ครับ นั่นหมายความว่าแนวทางและวิธีการจัดการในเรื่องของความปลอดภัยที่ใช้กันก่อนหน้านี้ ไม่เพียงพอหรือไม่สามารถป้องกันหรือลดความเสี่ยงที่จะถูกโจมตีจากภัยคุกคามต่างๆ ได้ครับ เพราะฉะนั้นจะทำอย่างไรเพื่อที่จะเตรียมความพร้อมและจัดการในเรื่องของความปลอดภัย จากประเด็นดังกล่าวนี้ จึงเป็นที่มาของการนำเอา Zero Trust Model เข้ามาประยุกต์ใช้งานในองค์กรครับ 

โดยคอนเซปของ Zero Trust Model นั้น จะต้องทำการตรวจสอบทุกอย่างที่จะเข้าถึงข้อมูลหรือ Resources ต่างๆ ไม่ว่าจะอยู่ที่ใดก็ตามครับ และที่ผ่านมาหลายๆ องค์กรได้ดำเนินการตาม Best Practices ไปบ้าง เช่น มีการนำเอาคอนเซปและเทคโนโลยีที่เรียกว่า Multi-Factor Authentication เข้ามาเพื่อช่วยทำให้กระบวนการในการตรวจสอบ Identity (Authentication) นั้นมีความแข็งแรงหรือปลอดภัยมากขึ้น เสริมการ Authentication ในรูปแบบปรกติ นั่นก็คือ การ Sign-In โดยใช้ Username และ Password ครับ แต่ยังไม่ครบถ้วนทั้งหมดครับ ดังนั้นผมจะพาทุกท่านเข้าสู่รายละเอียดของ Zero Trust Model กันมากขึ้นครับ

Zero Trust Model (Principles)

มีหลักปฏิบัติด้วยกัน 3 ข้อ ดังนี้:

1. Verify Explicitly ทำการ Authenticate และ Authorize Data Points และ Endpoints เช่น  User, Location, Device, Service หรือ Workload, Data Classification, และอื่นๆ ตลอดเวลา

2. Least Privileged Access จำกัดการเข้าถึงข้อมูล Resources ต่างๆ ด้วย Just-in-time และ Just-enough access (JIT/JEA), Policies, Data Protection เป็นต้น

3. Assume Breach ทำการแยกหรือแบ่งการเข้าถึงโดยกำหนดตาม Network, User Devices,  Application,

เป็นต้น ใช้การการเข้ารหัส (Encryption) เพื่อป้องกันข้อมูล, ทำการค้นหาตรวจสอบและวิเคราะห์ภัยคุกคาม (Threats) เพื่อปรับปรุงความปลอดภัยให้ดีขึ้น

Zero Trust Model (6 Foundation Components)

ใน Zero Trust Model นั้นประกอบไปด้วย ส่วนประกอบหรือ Components ต่างๆ ที่จะต้องทำงานร่วมกันเพื่อทำ End-to-End Security โดยส่วนประกอบที่ทำงานร่วมกันนี้ถือเป็นพื้นฐานสำคัญของ Zero Trust Model ซึ่งประกอบไปด้วย 6 ส่วนประกอบโดยมีรายละเอียดดังนี้:

Identities เป็นสิ่งที่ Attackers ต้องการเพื่อใช้ในการเข้าถึง โดยส่วนประกอบนี้ (Identities)  คือ Users, Services และ Devices เมื่อ Identity เหล่านี้พยายามที่จะเข้าถึงข้อมูลหรือ Resources ต่างๆ ก็จะต้องมีการตรวจสอบโดยใช้ Authentication ที่มีความแข็งแรงและปลอดภัย เช่น MFA (Multi-Factor Authentication) และต้องดำเนินการตามหลักปฏิบัติที่อยู่ในหัวขัอก่อนหน้านี้ นั่นก็คือ Least Privileged Access ครับ

Devices เป็นสิ่งที่ Attackers ต้องการเช่นเดียวกันกับ Identities โดย Attackers พยายามค้นหาช่องโหว่ของเครื่องของผู้ใช้งาน (Devices) เพื่อใช้ Devices ดังกล่าวในการเข้าถึงข้อมูลหรือ Resources ใน On-Premise หรือ Cloud  ดังนั้นจะต้องมีการวางแผนและจัดการโดยการ Monitoring Health และ Compliance ของ Devices เหล่าน้้นว่าเป็นไปตามที่กำหนดไว้หรือไม่

Applications ถือว่าเป็นช่องทางหนึ่งที่สามารถเข้าถึงข้อมูลได้ เพราะฉะนั้นจะต้องทำการตรวจสอบสิทธิ์ในการเข้าถึงของ Applications กับข้อมูลที่เกี่ยวข้องกับ Applications นั้นๆ ด้วย

Data ควรมีการวางแผนดำเนินสร้างความปลอดภัยให้กับข้อมูล เช่น การแบ่งแยกประเภทข้อมูล (Classification), การกำหนดคำอธิบายข้อมูล (Labeling), และการเข้ารหัสข้อมูล (Encryption) เพื่อทำการปกป้องข้อมูล (Data Protection) ให้มีความปลอดภัย ไม่ว่าจะมีการเข้าถึงจากทีใด, อุปกรณ์ใด, และจากใคร

Infrastructure จะต้องมีการปรับปรุงในเรื่องของความปลอดภัยให้กับ Infrastructure ท้้งที่อยูใน On-Premise และ Cloud โดยจะต้องมีการตรวจสอบและทำการประเมิน, การค้นหา (Detection), และป้องกัน (Protection), และอื่นๆ เพื่อป้องกันและลดความเสี่ยงที่ภัยคุกคามที่จะเข้ามาโจมตี

Network ควรจะต้องมีการแบ่งแยก Networks เป็น Network ย่อยๆ และควรจะมีการนำเอา Real-Time Threat Protection, End-to-End Encryption, Monitoring และอื่นๆ เข้ามาใช้งานเพื่อสร้างความปลอดภัย

รายละเอียดเพิ่มเติมสำหรับเรื่องราวของ Microsoft Zero Trust Model สามารถไปที่ Link นี้ได้เลยครับ

Zero Trust Security Model and Framework | Microsoft Security

และทั้งหมดนี้คือคอนเซปของ Zero Trust Model ครับผม.....

Azure Active Directory (Azure AD)

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับ Concept และ Service ที่ทำหน้าที่ในการบริหารและจัดการ Identity ครับ โดย Service ดังกล่าวนี้มีชื่อว่า   “ Azure Active Directory” หรือเรียกกันสั้นๆ ว่า "Azure AD"  ครับ  สำหรับ Azure Active Directory นั้นถือว่าเป็น Service ตัวหนึ่งที่มีความสำคัญมากตัวหนึ่งสำหรับการนำเอา Cloud เข้ามาประยุกต์ใช้งานในองค์กร ในรูปแบบต่างๆ เช่น Public, Hybrid Cloud เป็นต้น 

สิ่งหนึ่งที่องค์กรจะต้องทำการวางแผนเตรียมความพร้อมนั่นก็คือ เรื่องของการบริหารจัดการและควบคุม Identity ซึ่ง ณ วันนี้ การบริหารจัดการและควบคุม Identity เพื่อเข้าถึงและใช้งานทรัพยากรต่างๆ ไม่ได้จำกัดอยู่เพียงแค่ใน On-Premise เพียงที่เดียวอีกต่อไปครับ  โดยเฉพาะหลังจากองค์กรได้มีการนำเอา Cloud  เข้ามาประยุกต์ใช้งาน จึงทำให้ทรัพยากรต่างๆ ที่เคยอยู่ใน On-Premise  ก็จะถูกย้าย (Migrate) หรือจะเป็นสร้าง Workloads ใหม่บน Cloud รวมถึงความต้องการที่นำเอา Cloud หรือ SaaS Applications เข้ามาใช้งาน เป็นต้น 

ขอยกตัวอย่างเพิ่มเติม เพื่อให้ทุกท่านได้เห็นภาพและมีความเข้าใจมากขึ้นจากที่ผมได้เกริ่นไว้ในตอนต้น เช่น ถ้าองค์กรหนึ่งมีความต้องการใช้งาน Cloud หรือ SaaS Applications โดยองค์กรดังกล่าวมีผู้ใช้งาน 1,000 คน และมี Active Directory Domain Services (AD DS) ใช้งานอยู่  สิ่งที่องค์กรจะต้องพิจารณาจากความต้องการข้างต้น คือ

- ผู้ใช้งานในองค์กรดังกล่าว จะต้องมีและจดจำ Username และ Password มากขึ้นตามจำนวนของ Cloud หรือ SaaS Applications  ที่องค์กรดังกล่าวนำเข้ามาใช้งาน ซึ่งมีความเป็นไปได้ที่ผู้ใช้งานจะกำหนด Username และ Password เหมือนกันทั้งหมดเพื่อให้ง่ายและสะดวกใน การเข้าถึงและใช้งาน แต่จะทำให้เกิดความยุ่งยากในการบริหารจัดการ และเกิดความไม่ปลอดภัย

- เกิดความยุ่งยากในการบริหารและจัดการ Username และ Password 

- IT ทำการตรวจสอบ Activities ได้ยาก เนื่องจากผู้ใช้งานมีหลาย Identities

- อื่นๆ 

จากประเด็นต่างๆ ข้างต้น ทำให้ ณ ปัจจุบัน องค์กรต่างๆ จะต้องเตรียมความพร้อมและวางแผนการบริหารและจัดการ Identity  ของผู้ใช้งานในองค์กร ที่ต้องการเข้าถึงทรัพยากรต่างๆ ไม่ว่าจะอยู่ใน On-Premise และบน Cloud  อย่างไร เพื่อให้เกิดความยืดหยุ่นและปลอดภัยได้อย่างไร และนี่จึงเป็นที่มาของ Azure Active Directory (Azure AD) ครับ  และก่อนที่จะไปถึงเรื่องราวของ Azure  Active Directory หรือ Azure AD นั้น ผมขออนุญาตอธิบายคร่าวๆ เกี่ยวกับ Service ตัวหนึ่ง ซึ่งผมเชื่อว่าหลายๆ องค์กรใช้งานกันอยู่ครับ และท่านผู้อ่านทุกท่านน่าจะคุ้นเคยกันอยู่แล้วครับ  Service ที่ว่านี้ก็คือ “Active Directory Domain Services (AD DS) ” ครับ ซึ่งเป็น Role ที่อยู่ใน Windows Server ครับ และในช่วงที่ผ่านมา ยังมีหลายท่านๆ ยังสับสนและเข้าใจว่า Active Directory Domain Services หรือ  AD DS คือ Service ตัวเดียวกันกับ Azure Active Directory หรือ Azure AD ครับ ดังนั้นผมขออธิบายเรื่องราวของ Active Directory Domain Services (AD DS) กันซักนิดก่อนครับ

ทำความรู้จักกับ Active Directory Domain Services (AD DS)

Active Directory Domain Services (AD DS) เป็น Role หนึ่งใน Windows Server มาตั้งนานแล้วครับ โดยทาง Microsoft ได้นำเอา Active Directory มาเริ่มให้บริการและใช้งานตั้งแต่ใน Windows Server 2000 ครับ โดยในส่วนของ Active Directory ใน Windows Server นั้นมีหลาย Roles ให้พิจารณาเลือกไปใช้งานครับ เช่น

- Active Directory Domain Services (AD DS)

- Active Directory Certificate Services (AD CS)

- Active Directory Federation Services (AD FS)

- Active Directory Right Management Services (AD RMS)

- Active Directory Lightweight Directory Services (AD LDS)

ปัจจุบันทุกองค์กรมีการใช้งาน  Active Directory  Roles ต่างๆ กันอยู่อย่างแพร่หลายครับ โดยเฉพาะ Active Directory Domain Services (AD DS)  เพราะองค์กรต้องการ Solution ที่มาช่วยในการบริหารและจัดการการเช้าถึงและใช้งานทรัพยากรต่างๆ ในองค์กร เช่น File Server, Print Server, Application Server และอื่นๆ และรองรับกับการทำ Single Sign-On (SSO) ครับ 

สำหรับ Active Directory Domain Service (AD DS) นั้นเป็น Service ที่ทำหน้าที่เรียกว่า “Directory Service” หรือจะเรียกอีกชื่อว่า “LDAP Service” ก็ได้ครับ โดยจะมีโครงสร้างแบบ Hierarchical Structure คือ จะมี Forest, Tree, Domain, และ Organizational Unit (OU) ครับ ดังนั้นจะเห็นว่าเวลาที่ทำสร้าง Active Directory Domain Service (AD DS) จะต้องมีการออกแบบว่าจะมีกี่ Forest, Tree, Domain และอื่นๆ ครับ และจะมี Features ต่างๆ ที่มาพร้อมกับ Active Directory Domain Service (AD DS)  เช่น การสร้าง User, Group, และ Computer Accounts ต่างๆ ไว้ใน Domain, Group Policy ซึ่งเป็น Feature ที่ให้องค์กรสามารถสร้างและกำหนด Policy ในการควบคุมและจัดการ Resources ต่างๆ และอื่นๆ 

 

ดังนั้นผู้ใช้งานที่จะเข้ามาใช้งานทรัพยากรต่างๆ ก็จะต้องมี User Account ใน Active Directory Domain Service (AD DS) ก่อนครับ นอกจากนี้แล้วเครื่องของผู้งานก็จะต้องทำกระบวนที่เรียกว่าการ “Join Domain” เพื่อจะเข้าถึงทรัพยากรต่างๆ เช่นกันครับ สำหรับในส่วนของ Authentication Protocols ที่ Active Directory Domain Service (AD DS) ที่รองรับคือ NTLM และ Kerberos ครับ ในส่วนของการทำ Query ข้อมูลใน Active Directory Domain Service (AD DS) ใช้ LDAP Protocol ครับ

จากสิ่งที่ผมได้อธิบายเกี่ยวกับ Active Directory Domain Services (AD DS) ไว้ในข้างต้น เพื่อให้ทุกท่านเห็นภาพและเข้าใจเกี่ยวกับ Service นี้กันก่อนครับ จากนั้นในหัวข้อถัดไปท่านผู้อ่านก็จะได้รู้จักกับ Azure Active Directory (Azure AD)) ว่ามี Concept และรายละเอียดเป็นอย่างไร และมีความแตกต่างกับ Active Directory Domain Services (AD DS) อย่างไร แต่สิ่งสำคัญไปกว่านั้นคือ เราสามารถใช้ทั้ง Active Directory Domain Services(AD DS) และ Azure Active Directory (Azure AD)  ทำงานร่วมกันได้เพื่อทำ Hybrid Cloud ครับ

ทำความรู้จักกับ Azure Active Directory (Azure AD)

Azure Active Directory (Azure AD) เป็น Service หนึ่งใน Microsoft Azure ครับ  โดยทำหน้าที่เป็น Identity and Access Management (IAM) Solution ทำหน้าที่ในการบริหาจัดการและควบคุมในส่วนของ Identity สำหรับการเข้าถึงและใช้งานทรัพยากรต่างๆ (Azure Storages, Azure App Services, Devices และอื่นๆ )  ใน Microsoft Azure รวมถึงใน On-Premise Data Center ครับ

นอกจากนี้แล้วยังมีความสับสนและข้อสงสัยเกี่ยวกับ Azure Active Directory  เช่น  Azure Active Directory เหมือกับ Active Directory Domain Services (AD DS) ใน Windows Server หรือไม่?   Azure Active Directory จะมาแทน Active Directory Domain Services (AD DS) ใน Windows Server หรือไม่ ?

สำหรับ Azure Active Directory  (Azure AD) มีความแตกต่างกับ Active Directory Domain Services (AD DS) ที่อยู่ใน Windows Server ครับ โดย Azure Active Directory  (Azure AD) นั้นไม่ใช่ Directory Service (LDAP Service) เหมือนกับ Active Directory Domain Services (AD DS) ใน Windows Server ครับ เพราะใน Azure Active Directory (Azure AD) มี Concept, Structure, และรายละเอียดต่างๆ ที่แตกต่างจาก Active Directory Domain Services (AD DS) ครับ สำหรับใน Azure Active Directory (Azure AD) นั้นไม่มี Forest, Tree และ Domain ซึงเป็น Hierarchical Structure เหมือนกันใน Active Directory Domain Services (AD DS) ครับ สำหรับโครงสร้างและ Structure ของ Azure Active Directory (Azure AD) นั้นมีโครงสร้างเป็น Flat Structure ครับ, รวมถึงไม่มี Group Policy สำหรับจัดการ Policy, ไม่มี Kerberos และ NTLM Protocols สำหรับการทำ Authentication ครับ

ดังนั้น Azure Active Directory (Azure AD) จะไม่ใข่ Service ที่จะมาทดแทน Active Directory Domain Services (AD DS) ที่อยู่ใน Windows Server ที่องค์การต่างๆ ใช้งานอยู่ครับ  แต่ในทางกลับกันเราสามารุถนำเอา Azure Active Directory (Azure AD) มาทำการ Integrate กับ Active Directory Domain Services (AD DS) เพื่อทำงานร่วมกันได้ใน Concept และการทำงานที่เรียกว่า Hybrid Cloud ดังรูปด้านล่างครับ

จากรูปด้านบนเป็นรูปแสดงถึงภาพรวมของ Hybrid Cloud โดยการนำเอา Azure Active Directory (Azure AD) และ Active Directory Domain Services (AD DS) มาทำงานร่วมกัน เพื่อบริหารจัดการ Identity และรองรับ Single Sign-On (SSO) ให้กับองค์กร ดังนั้นสิ่งที่องค์กรจะต้องเตรียมพิจารณาวางแผนและเตรียมความพร้อมตามที่ผมได้เกริ่นไว้ในตอนต้นนั่น คือ องค์กรจะต้องเตรียมดำเนินการ ซิงค์โครไนท์ (Synchronize) Users และ Groups  ที่อยู่ใน Active Directory Domain Services (AD DS) ใน Windows Server ซึ่งอยู่ใน On-Premise Data Center ขององค์กร กับ Azure Active Directory (Azure AD) ใน Microsoft Azure โดยผ่านเครื่องมือที่มีชื่อว่า “Azure AD Connect” (สามารถดาวน์โหลดมาใช้งานได้ฟรี จากที่นี่ครับ, https://www.microsoft.com/en-us/download/details.aspx?id=47594 ) เพื่อทำการกระบวน Synchronization ที่เรียกว่า “Directory Synchronization”  ดังรูปด้านล่าง

หลังจากระบวนการดังกล่าวเสร็จเรียบร้อย ก็จะทำให้ผู้ใช้งาน (Users) ในองค์กรดังกล่าวสามารถเข้าถึงและใช้งานทรัพยากรต่างๆ  (เช่น File & Print Sharing, Applications, และอื่นๆ) ใน Active Directory Domain Services (AD DS) ของ Windows Server (On-Premise) ได้ตามปรกติ แต่สิ่งที่ผู้ใช้งานทำได้มากกว่านั้น คือ ผู้ใช้งานดังกล่าวยังสามารถเข้าถึงและใช้งาน, Resources ต่างๆ ใน Microsoft Azure, Cloud Applications หรือ SaaS Applications (Microsoft 365 และ 3^rd Party Cloud Applications) ได้อีกด้วย โดยใช้ Identity เดียวกัน ด้วยรูปแบบดังกล่าวนี้ทำให้องค์กรนั้นๆได้รับประโยขน์ในเรื่องของทำ Single Sign-On (SSO) ตลอดจนการบริหารจัดการและควบคุมในเรื่องของ Identity อีกด้วยครับ

ในความเป็นจริงแล้ว Azure Active Directory (Azure AD) ไม่ได้มีอยู่ใน Microsoft Azure เพียงที่เดียวนะครับ ทาง Microsoft ได้เตรียมและให้ Azure Active Directory ( Azure AD)  มาใน Cloud Services อื่นๆ ของ Microsoft  ด้วยเช่นกันครับ เช่น Microsoft 365, Microsoft Endpoint Manager, และอื่นๆ  โดยมีวัตถุประสงค์ คือ เตรียมเอาไว้ให้กับลูกค้าหรืององค์กรต่างๆ ใช้สำหรับการบริหารและจัดการ Identity (IAM) เพื่อเข้าถึงและใช้งานทรัพยากรต่างๆ ไม่ว่าจะอยู่ที่ใด (On-Premise และ Cloud) โดยที่ทางลูกค้าหรืององค์กรสามารถนำ Azure Active Directory (Azure AD) ไปใช้งานได้เลยโดยไม่มีค่าใช้จ่าย !!!!! นั้นหมายถึง Azure AD เป็น Service ที่ทาง Microsoft ให้ลูกค้าและองค์กรต่างๆ สามารถนำไปใช้งานได้ฟรีครับ

รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Active Directory (Azure AD) สามารถดูได้จาก Link ดังต่อไปนี้ครับ:

https://azure.microsoft.com/en-us/services/active-directory/

https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis

และทั้งหมดนี้คือเรื่องราวของ Azure Active Directory (Azure AD) ครับผม.....

-