Azure Security ตอนที่ 1 (Azure Security Center)

     สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นบทความเริ่มต้นเกี่ยวกับเรื่องราวของ Security ใน Microsoft Azure ครับ สืบเนื่องจากช่วงระยะหลายปีที่ผ่านมา หลายๆ องค์กรได้มีการย้ายหรือสร้าง ระบบหรือ Workloads ต่างๆ ขึ้นไปทำงานใน Microsoft Azure โดยใช้งานผ่าน Azure Services ต่างๆ เช่น Azure Virtual Machine, Azure Virtual Network,  Azure App Service, Azure Storage, Azure SQL และอื่นๆ  ประเด็นหนึ่งทีสำคัญที่หลายๆองค์กรให้ความสนใจมากเรื่องหนึ่ง นั่นก็คือเรื่องของความปลอดภัยหรือ Security ครับ หลายๆ องค์กรจะต้องมีวางแผนและเตรียมความพร้อมว่าจะทำอย่างไรให้ระบบหรือ Workloads ต่างๆ ที่ติดตั้งและใช้งานอยู่ใน Microsoft Azure นั้นมีความปลอดภัยรวมถึงรองรับกับ Compliances ต่างๆ ที่องค์กรนั้นๆ จะต้องดำเนินการและปฏิบัติตาม จากประเด็นที่ว่านี้ที่ถ้าหากเรามองหรือโฟกัสลงไปภาพใหญ่ก็จเป็นเรื่องของ Cloud Security ครับ ซึ่งจะประกอบไปด้วยส่วนประกอบ 2 ส่วนที่เข้ามาทำหน้าที่และเกี่ยวข้องครับ นั่นก็คือ

Cloud Security Posture Management (CSPM) จะเป็นส่วนที่เกี่ยวข้องกับเครื่องมือ (Tools) ซึ่งจะทำหน้าที่ในการประเมินเรื่องของความปลอดภัย (Security Assessment) รวมถึงการตรวจสอบเรื่องของ Compliance (Compliance Monitoring) ระบบหรือ Workloads ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานบน Cloud (Microsoft Azure เป็นต้น) เช่น Azure Virtual Machine, Azure Virtual Network,  Azure App Service, Azure Storage, Azure SQL และอื่นๆ

Cloud Workload Platform Protection (CWPP) จะเป็นส่วนที่เกี่ยวข้องกับเครื่องมือ (Tools) ซึ่งทำหน้าที่ตรวจสอบ (Monitoring) และป้องกัน (Protecting) ภัยคุกคาม (Threats) ที่จะเข้ามาจู่โจมหรือสร้างปัญหากับระบบหรือ Workloads ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานบน Cloud (Microsoft Azure เป็นต้น) เช่น Azure Virtual Machine, Azure Virtual Network,  Azure App Service, Azure Storage, Azure SQL และอื่นๆ

Azure Security Center คืออะไร?

เป็น Service หนึ่งใน Microsoft Azure ที่จะเข้ามาช่วยองค์กรต่างๆ ในการจัดการและควบคุมระบบหรือ Workloads ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานไม่ว่าจะอยู่ใน Microsoft Azure, On-Premise, หรือ Cloud Providers อื่นๆ เช่น AWS, Google GCP, เป็นต้น ให้มีความปลอดภัย โดย Azure Security Center หรือเรียกสั้นๆ ว่า ASC จะเข้าช่วยและดำเนินการส่วนประกอบทั้ง 2 ส่วน (CSPM และ CWPP) ตามที่ผมได้อธิบายไว้ในตอนต้นครับ

สำหรับ Cloud Security Posture Management (CSPM) นัั้น Azure Security Center หรือ ASC จะทำหน้าที่ในการประเมินและตรวจสอบในเรื่องของ Configuration ของ Azure Resources ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานอยู่นั้น มีค่า Configuration ของ Azure Services (ครอบคลุมท้้ง IaaS, PaaS, และ SaaS) ใดที่สุ่มเสี่ยงต่อความไม่ปลอดภัยหรือไม่ ถ้า ASC ตรวจพบเจอก็จะมีคำแนะนำเกี่ยวกับความปลอดภัย (Security Recommendations) ให้เราไปทำการปรับปรุงแก้ไขครับ สำหรับ Security Recommendations หรือเรียกสั้นๆ ว่า Recommendations นั้น ถือว่าเป็นฟีเจอร์หนึ่งที่มีความสำคัญมากของ ASC ครับ หน้าตาของ ASC ในส่วนของ Recommendations สามารถดูได้จากรูปด้านล่างครับ

จากรูปของ Recommendations เราสามารถคลิ๊กเข้าไปดูรายละเอียดเพิ่มเติมได้นะครับ ซึ่ง ASC มีข้อมูลและรายละเอียดให้ครับ เพื่อให้ท่านผู้อ่านสามารถนำไปปรับปรุงแก้ไขได้ครับ 

มาที่ฟีเจอร์ต่อมาของ ASC ที่น่าสนใจอีกฟีเจอร์หนึ่งครับ นั่นก็คือ Secure Score ซึ่งเป็นอีกฟีเจอร์หนึ่งของ ASC  ที่จะช่วยทำให้เราเข้าใจถึงสถานการณ์ปัจจุบันสำหรับเรื่องของความปลอดภัยของ Workloads หรือ Azure Resources ต่างๆ นั้นว่าเป็นอย่างไร และจะทำการปรับปรุงอย่างไร ในเรื่องของการปรับปรุงนัน ASC ก็จะมี Recommendations ที่ผมได้อธิบายไว้ก่อนหน้านี้ครับ

อีกฟีเจอร์หนึ่งที่น่าสนใจของ ASC นั่นก็คือ Security Alerts ซึ่งจะเป็นฟีเจอร์ที่ทำหน้าที่ในการแจ้งเตือน (Notification) เมื่อ ASC ตรวจพบภัยคุกคาม (Threats) เกิดขึ้นกับ Workloads ต่างๆ ไม่ว่าจะอยู่ใน On-Premise หรือ Microsoft Azure รวมถึงรายละเอียดและแนวทางในการแก้ไขครับ ดังรูป

สำหรับในส่วนของ Cloud Workload Platform Protection (CWPP) นั้น ASC จะมี Azure Defender ซึ่งเป็นส่วนที่จะเข้ามาทำการตรวจสอบและป้องกัน Azure Resources ต่างๆ (ครอบคลุมทั้ง IaaS และ PaaS) เช่น  Azure Virtual Machine, Azure App Service, Azure Storage, Azure SQL, Azure Key Vault, และอื่นๆ ที่องค์กรได้มีการติดตั้งและใช้งานอยู่นั้นจากภัยคุกคาม (Threats) ครับ ดังรูปด้านล่างครับ

มาถึงตรงนี้ท่านผู้อ่านทุกท่านจะเห็นว่า Azure Security Center หรือ  ASC เป็น Service ที่มีความสำคัญมากส่วนหนึงของ Cloud Security ครับ เพราะ ASC จะเป็นทำหน้าที่เป็นศุนย์กลางในการจัดการและควบคุมเรื่องของความปลอดภัยหรือเรียกว่าเป็น Unified Infrastructure Security Management ให้กับระบบหรือ Workloads ต่างๆ ขององค์กรโดยครอบคลุมทั้ง On-Premise และ Cloud หรือที่เรียกว่า Hybrid Cloud รวมถึง Multi-Cloud ตามที่ผมได้อธิบายไว้ในข้างต้นครับ

สำหรับเบื้องหลังการทำงานของ Azure Security Center นั้น ตัวของ ASC ยังทำงานร่วมกับ Azure Services อื่นๆ เช่น Azure Log Analytics (Log Analytics Workspace) สำหรับเก็บข้อมูล (Logs และ Metrics Data) ที่รวบรวมมาจาก Sources ซึ่งก็คือระบบหรือ Workloads หรือ Azure Resources ต่างๆ เช่น Azure Virtual Machine เป็นต้น, อีก Service หนึ่งก็คือ Azure Policy ซึ่ง ASC จะมาพร้อมกับ Pre-defined Policies ครับ โดย ASC จะทำงานร่วมกับ Azure Policy เพื่อทำการประเมินและตรวจสอบ Workloads หรือ Azure Resources ต่างๆ ในเรื่องของความปลอดภัยหรือตามทำหน้าที่ในส่วนของ CSPM ตามที่ผมได้อธิบายไว้ในตอนต้นครับ 

ดังนั้นก่อนที่ท่านผู้อ่านจะใช้งาน Azure Security Center หรือ ASC สิ่งแรกที่จะต้องทำ นั่นก็คือ การวางแผนและออกแบบ Azure Security Center Architecture รวมถึง Workloads หรือ Azure Resources ต่างๆ ที่จะให้ ASC เข้าไปประเมินและตรวจสอบครับ

สิ่งที่จะต้องพิจารณาต่อมานั่นก็คือเรื่องของราคาหรือ Pricing ของ ASC ครับ ซึ่งจะมี 2 แบบครับ แบบแรกคือ ฟรีไม่มีค่าใช้จ่าย !!!!!  หรือเรียกว่า "Azure Defender off" ครับ อีกแบบคือ มีค่าใช้จ่ายครับ หรือเรียกว่า "Azure Defender on" ครับ สำหรับความแตกต่างของระหว่าง 2 แบบนั่นก็คือ ความสามารถและฟีเจอร์ครับ ซึ่งผมได้หยิบบางฟีเจอร์ของ ASC มาอธิบายในทุกท่านได้ทราบไปแล้งในตอนต้นครับ สำหรับแบบที่ ฟรี (Azure Defender on) นั้น จะ Enable โดย Default ครับ โดย ASC จะทำการตรวจและประเมิน Azure Resources  (ตามที่ได้ององค์กรได้วางแผนเอาไว้เรียบร้อยแล้ว) ที่เป็น PaaS เช่น Azure Service Fabric, Azure SQL, และอื่นๆ สำหรับ Azure Resources ที่เป็น IaaS เช่น Azure Virtual Machine จะต้องมีการติดตั้ง Agent ก่อนครับ 

สำหรับ Pricing แบบที่มีค่าใช้จ่าย (Azure Defender on) นั้นยังมาพร้อมกับฟีเจอร์ต่างๆ อีกมากมายครับ เช่น

Vulnerability Assessment เป็นฟีเจอร์ที่จะเข้าไปตรวจสอบและประเมินเรื่องของ Vulnerability เครื่อง (Virtual Machines) ขององค์กรที่อยู่ใน On-Premise หรือใน Microsoft Azure 

Just in time VM access เป็นฟีเจอร์ที่จะทำการ Lock Down Ports ที่ใช้ในการบริหารจัดการ (Management Ports) เช่น RDP (3389) Port ซึ่งโดยปรกติจะเปิดตลอดเวลาสำหรับ Azure Virtual Machine ซึ่งสุ่มเสี่ยงต่อการโจมตี (RDP Attacks) ดังนั้น Just in time VM access จะเข้ามาจัดการโดยการปิด Port ดังกล่าวและจะเปิดเมื่อมีการร้องขอ (Request) มาเท่านั้น ซึ่งผลทำให้ Azure Virtual Machine มีความปลอดภัยมากขึ้น

Adaptive Application Control เป็นฟีเจอร์ที่มีความฉลาดและมีความสามารถในการกำหนดลิสต์ของ Applications ใดที่สามารถรันและทำงานในเครื่องได้ ซึ่งจะทำให้ลดความเสี่ยงจากภัยคุกคามต่างๆ

สำหรับรายละเอียดเกี่ยวกับ Pricing (Azure Defender on และ off) ของ ASC สามารถดูได้จาก Link นี้ครับ Pricing—Security Center | Microsoft Azure

และทั้งหมดนี้คือเรื่องราวเริ่มต้นของ Azure Security ครับ โปรดติดตามตอนต่อไปเร็วๆ นี้ครับผม.....

รู้จักกับ Azure Active Directory Privileged Identity Management (PIM)

      สวัสดีครับทุกท่าน สบายดีกันทุกท่านนะครับ สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวของฟีเจอร์หนึ่งใน Azure Active Directory ที่ชื่อว่า "Azure Active Directory Privileged Identity Management" หรือเรียกสั้นๆ ว่า Azure AD PIM ครับ และถือว่า Azure AD PIM เป็นส่วนประกอบหนึ่งที่สำคัญสำหรับการ Identity Security ครับ และเพื่อไม่ให้เป็นการเสียเวลาผมจะพาทุกท่านไปทำความรู้จักกับ Azure AD PIM กันเลยครับ

Azure Active Directory Privileged Identity Management (Azure AD PIM) คืออะไร ?

เริ่มจากกันด้วยตัวอย่างง่ายๆ ก่อนที่จะเข้าสู่เรื่องราวของ Azure AD PIM ครับ โดยตัวอย่างนี้มีรายละเอียดดังนี้ครับ สมมติว่าท่านผู้อ่านทุกท่านเป็นผู้ดูแลระบบ (Administrator) หรือเรียกว่าท่านผู้อ่านเป็น Global Administrator ของ Microsoft Azure  และงานที่ท่านก็จะต้องเข้าไปยุ่งเกี่ยวนั้นก็คือ การจัดการและควบคุมการกำหนดสิทธิ์ในการเข้าถึง Resources ต่างๆ ให้กับผู้ใช้งาน ดังนั้นสิ่งที่ท่านจะต้องวางแผนและพิจารณาคือ ท่านจะจัดการ Identity (User และ Group Accounts) อย่างไร และจะกำหนดสิทธิ์ (Assign) ในการเข้าถึง Resources ต่างๆ ให้กับผู้ใช้งานอย่างไร ซึ่งแน่นอนว่าจะต้องเกี่ยวข้องกับเรื่องของ Accounts ต่างๆ ใน Azure AD นั่นก็คือ User และ Group Accounts ดังรูปครับ

โดยผมอยากจะโฟกัสไปที่ Group Account  (ใน Azure AD) มากกว่า User Account เนื่องจากผมเชื่อว่าท่านผู้อ่านทุกท่านน่าจะคุ้นเคยกับ User Account ใน Azure AD กันอยู่แล้ว สาเหตุที่ผมให้ความสนใจกับ Group Account ใน Azure AD เนื่องจาก Group Account มีประโยชน์ในเรื่องของการจัดการและควบคุมการเข้าถึง Resources หรือเรียกกันสั้นๆ ว่า "Access Control" มากครับ เพราะทำให้ง่ายและเกิดความยืดหยุ่นในเรื่องของ Access Control ครับ เพราะแทนที่ทุกท่านจะกำหนดสิทธิ์ในการเข้าถึง Resources โดยตรงให้กับผู้ใช้งาน (User Account) ก็ให้กำหนดสิทธิ์ดังกล่าวนี้ให้กับกลุ่มผู้ใช้งาน (Group Account) แทนครับ ดังนั้นหากมีการปรับเปลี่ยนหรือเปลี่ยนแปลงใดๆ เช่น ผู้ใช้งานมีการย้ายแผนกหรือมีการปรับเปลี่ยนบทบาทหน้าที่ในการทำงาน และทำให้มีความต้องการในการเข้าถึง Resources ต่างๆ มากขึ้น ในทางกลับกันอาจจะมีการ Remove สิทธิ์ในการเข้าถึงที่เคยได้รับมา  ท่านผู้อ่านก็สามารถจัดการควบคุมได้ง่ายและสะดวกกว่าการให้สิทธิ์ (Assign) โดยตรงกับผู้ใช้งาน (User Account) ครับ ซึ่ง Concept ดังกล่าวนี้ถือว่าเป็น Best Practices เบื้องต้นที่ควรนำเอามาใช้ครับ โดย Concept ดังกล่าวนี้ไม่ใช่เรื่องใหม่เลยครับ ใช้กันมานานแล้วใน Active Directory Domain Service (AD DS) ซึ่งทาง Microsoft มี Strategy ดังกล่าวนี้หลากหลายรูปแบบให้เลือกพิจารณาเพื่อนำเอาไปประยุกต์ใช้งานในองค์กรครับ 

แต่ใน Azure AD จะมีความแตกต่างกับ Active Directory Domain Service (AD DS) ในเรื่องดังกล่าวนี้ครับ ยกตัวอย่างเช่น ใน Active Directory Domain Service (AD DS) เมื่อท่านผู้อ่านทำการ Add User Account หลายๆ Accounts เข้าไปยัง Group จากนั้นก็ไปกำหนดสิทธิ์ในการเข้าถึงหรือจัดการ Resources ต่างๆ  แต่สำหรับใน Azure AD เมื่อท่านผู้อ่านทำการ Add User Accounts เข้าไปยัง Group (ใน Azure AD) เรียบร้อย จากนั้นท่านผู้อ่านจะต้องทำการกำหนดสิทธิ์ในเข้าถึงหรือจัดการ Resources ผ่านทางสิ่งที่เรียกว่า "Role-Based Access Control" เรียกสั้นๆ ว่า RBAC ครับ โดย Microsoft ได้เตรียม Built-In RBAC Roles ต่างๆ มากมายเพื่อช่วยองค์กรในเรื่องของ Access Control ครับ  ดังรูปด้านล่างครับ

และสำหรับท่านผู้อ่านท่านใดที่มีความคุ้นเคยหรือชำนาญกับเรื่องของ Access Control ใน Active Directory Domain Service (AD DS) ผมอยากให้นึกภาพตามสิ่งที่ผมกำลังจะอธิบายต่อจากนี้ครับ เริ่มจาก เมื่อผมต้องการให้ผู้ใช้งาน (User Account) เข้าถึงข้อมูล ตาม Best Practices ข้างต้น ผมจะทำการ Add ผู้ใช้งาน (User Account) ดังกล่าวเข้าไปยัง Group ที่มีสิทธิ์ นั่นหมายความว่าผู้ใช้งาน (User Account) ดังกล่าวก็จะกลายเป็นสมาชิกของ Group และสุดท้ายผู้ใช้งานดังกล่าวก็จะมีสิทธิ์ในการเข้าถึงข้อมูลหรือ Resources ต่างๆ ตาม Group ที่ตัวของผู้ใช้งานเป็นสมาชิกอยู่ ถูกต้องมั๊ยครับ,,,  คำถามคือ การเป็นสมาชิกของผู้ใช้งาน (User Account) กับ Group จากประเด็นดังกล่าวนี้ การเป็นสมาชิกที่ว่านี้จะอยู่นานแค่ไหนครับ?  คำคอบ คือ ตลอดไปตราบเท่าที่ทุกท่านซึ่งเป็นผู้ดูแลระบบ ยังไม่ทำการ Remove ผู้ใช้งานท่านดังกล่าวออกจาก Group ครับ และถ้าในความเป็นจริงแล้ว ผู้ใช้งานท่านดังกล่าวนี้ ต้องการที่จะเข้าถึงข้อมูลเพียงช่วงเวลาหนึ่ง ไม่ต้องการตลอดล่ะครับ ท่านผู้อ่านจะจัดการอย่างไรครับ  คำตอบคือ  Azure AD PIM ครับ ซึ่งจะเป็นฟีเจอร์ที่จะเข้ามาช่วยจัดการและควบคุมครับจากเรื่องราวทั้งหมดที่ผมได้อธิบายไว้ในข้างต้นครับ ด้วยเหตุผลที่ ณ วันนี้หลายๆ องค์กรต้องการที่หาวิธีการที่จะลดจำนวนผู้ใช้งานที่จะเข้าถึงข้อมูลหรือ Resources ต่าง ๆ เช่น Azure AD, Azure Resources, Microsoft 365 และ SaaS Applications ต่างๆ โดยมีวัตถุประสงค์คือ ลดความเสี่ยงต่อความไม่ปลอดภัยกับ Resources เหล่านี้  ตามที่ผมได้อธิบายจากตัวอย่างข้างต้นและทุกท่านจะเห็นว่ามีสิ่งใดบ้างที่เราจะต้องทำการพิจารณาวางแผนและจัดการครับ

ความสามารถของ Azure Active Directory Privileged Identity Management (Azure AD PIM)

Azure AD PIM จะเป็นฟีเจอร์ที่จะเข้ามาช่วยในจัดการและควบคุมการกำหนดสิทธิ์ โดยสามารถเลือกหรือกำหนด User หรือ Group Accounts ใน Azure AD กับ Roles (RBAC Roles) ที่เหมะสมเพื่อเข้าถึงและใช้งาน Azure AD, Azure Resources, และอื่นๆ ได้ แต่สิทธิ์ดังกล่าวนี้จะไม่ได้ให้หรืออยู่ตลอดไปนะครับ จะมีช่วงเวลาทั้งนี้ขึ้นอยู่กับผู้ดูแลระบบหรือท่านที่มีหน้าที่เกี่ยวข้องเป็นผู้กำหนดครับ  โดยใน Azure AD PIM ได้เตรียมความสามารถที่เรียกว่า Time-Based และ Approval Based Role Activation ครับ โดยมาพร้อมกับ Workflow ในการจัดการและควบคุมครับ ซึ่งประกอบไปด้วย  Assign, Activate, Approve, และ Audit เพื่อช่วยลดความเสี่ยง เช่น การให้สิทธิ์ผู้ใช้งานมากเกินกว่าความจำเป็น,  การกำหนดและให้สิทธิ์ที่ไม่ถูกต้องและอื่นๆ ซึ่งผมได้อธิบายเอาไว้ในข้างต้นครับ และนี่คือสิ่งที่ Azure AD PIM สามารถทำได้ครับ

1. กำหนด Roles แบบ Just-in-time privileged ให้กับผู้ใช้งานในการเข้าถึง Azure AD และ                              Azure Resources ต่างๆ 

2. กำหนด Time-bound ในการเข้าถึง Resources ต่างๆ โดยกำหนดวันที่เริ่มและสิ้นสุด

3. ทำการ Approve เพื่อทำการ Activate Privileged Roles ให้กับผู้ใช้งาน

4. ใช้งานร่วมกับ Multi-Factor Authentication

5. การแจ้งเตือน (Notification) เมื่อ Privileged Roles ถูก Activated

6. ใช้งานร่วมกับ Azure AD Access Reviews เพื่อทำการตรวจสอบว่าผู้ใช้งานยังคงต้องการ Roles นั้นๆ อยู่

7. Auditing

รูปด้านล่าง คือ Azure AD PIM Dashboard ครับ

เตรียมพร้อมสำหรับ Azure Active Directory Privileged Identity Management (Azure AD PIM) 

สำหรับท่านที่จะบริหารและจัดการ Azure AD PIM ได้นั้น จะต้องอยู่ใน Privileged Role Administrator หรือ Global Administrator ครับ และต้องการ Azure AD Premium P2 License ครับ ซึ่งถ้ามีครบเรียบร้อยแล้วก็จะเข้าสู่ขั้นตอนต่อมาคือ การรวบรวบข้อมูลและความต้องการ เพื่อนำเอามาใช้สำหรับการวางแผนและออกแบบในเรื่องของการจัดการและควบคุมการเข้าถึง Azure AD, Azure Resources ต่างๆ ซึ่งแน่นอนว่าแต่ละองค์กรก็จะมีรายละเอียดที่แตกต่างกันไปครับ จากนั้นก็ทำการ Deploy Azure AD PIM ครับ

สำหรับในส่วนของ RBAC Roles ที่สามารถใช้งานร่วมกับ Azure AD PIM ได้มีดังนี้ครับ

Azure AD Roles เป็น Roles ที่เกี่ยวข้องกับการบริหารและจัดการ Azure Active Directory

Azure Roles เป็น Roles ที่เกี่ยวข้องกับการบริหารและจัดการ Azure Resources ต่างๆ 

รายละเอียดเกี่ยวกับ Azure AD RBAC Built-In Roles สามารถดูได้จาก Link นี้ครับ

Azure AD built-in roles - Azure Active Directory | Microsoft Docs

รายละเอียดและข้อมูลเพิ่มเติมเกี่ยวกับ Azure AD PIM สามาถดูได้จาก Link นี้ครับ

Privileged Identity Management documentation | Microsoft Docs

และทั้งหมดนี้คือเรื่องราวของ Azure Active Directory Privileged Identity Management (Azure AD PIM) ที่ผมอยากให้ท่านผู้อ่านทุกท่านได้รู้จักครับ และต้องบอกว่า Azure AD PIM เป็นฟีเจอร์ที่น่าสนใจและเป็นส่วนประกอบหนึ่งที่สำคัญสำหรับการทำ Identity Security ครับ ซึ่งเป็นเรื่องที่สำตัญมากสำหรับทุกองค์กรที่นำเอา Cloud Technology เข้าไปประยุกต์ใช้งาน สิ่งหนึ่งที่องค์กรจะต้องทำการวางแผนและเตรียมความพร้อมนั่นก็คือ เรื่องของการจัดการ Identity (Identity and Access Management) ครับ เพราะผู้ใช้งานในองค์กรมีความต้องการที่จะเข้าถึงข้อมูลหรือ Resources ต่างๆ ที่อยู่ใน On-Premise และ Cloud  คำถามคือ องค์กรดังกล่าวจะจัดการเรื่องของ Identity สำหรับประเด็นนี้อย่างไร จะใช้ Solution ใดเข้ามาจัดการเรื่องดังกล่าวนนี้ คำตอบคือ ใช้ Azure Active Directory หรือ Azure AD ที่ทาง Microsoft ได้เตรียมเอาไว้ใหักับลูกค้าของ Microsoft เรียบร้อยแล้วครับ อีกประเด็นหนึ่งที่จะต้องพิจารณาควบคู่กันไปกับเรื่องของการจัดการ Identity นั่นก็คือ เรื่องของ Identity Security ครับ และตอนนี้ท่านผู้อ่านทราบแล้วว่าจะใช้อะไรเข้ามาช่วยในเรื่องนี้ ซึ่งยังมีรายละเอียดอีกเยอะครับสำหรับเรื่องของ Identity Security เอาไว้ผมจะมาเล่าสู่กันฟังในโอกาสต่อไปครับผม.....