สวัสดีครับทุกท่าน สบายดีกันทุกท่านนะครับ สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวของฟีเจอร์หนึ่งใน Azure Active Directory ที่ชื่อว่า "Azure Active Directory Privileged Identity Management" หรือเรียกสั้นๆ ว่า Azure AD PIM ครับ และถือว่า Azure AD PIM เป็นส่วนประกอบหนึ่งที่สำคัญสำหรับการ Identity Security ครับ และเพื่อไม่ให้เป็นการเสียเวลาผมจะพาทุกท่านไปทำความรู้จักกับ Azure AD PIM กันเลยครับ
Azure Active Directory Privileged Identity Management (Azure AD PIM) คืออะไร ?
เริ่มจากกันด้วยตัวอย่างง่ายๆ ก่อนที่จะเข้าสู่เรื่องราวของ Azure AD PIM ครับ โดยตัวอย่างนี้มีรายละเอียดดังนี้ครับ สมมติว่าท่านผู้อ่านทุกท่านเป็นผู้ดูแลระบบ (Administrator) หรือเรียกว่าท่านผู้อ่านเป็น Global Administrator ของ Microsoft Azure และงานที่ท่านก็จะต้องเข้าไปยุ่งเกี่ยวนั้นก็คือ การจัดการและควบคุมการกำหนดสิทธิ์ในการเข้าถึง Resources ต่างๆ ให้กับผู้ใช้งาน ดังนั้นสิ่งที่ท่านจะต้องวางแผนและพิจารณาคือ ท่านจะจัดการ Identity (User และ Group Accounts) อย่างไร และจะกำหนดสิทธิ์ (Assign) ในการเข้าถึง Resources ต่างๆ ให้กับผู้ใช้งานอย่างไร ซึ่งแน่นอนว่าจะต้องเกี่ยวข้องกับเรื่องของ Accounts ต่างๆ ใน Azure AD นั่นก็คือ User และ Group Accounts ดังรูปครับ
โดยผมอยากจะโฟกัสไปที่ Group Account (ใน Azure AD) มากกว่า User Account เนื่องจากผมเชื่อว่าท่านผู้อ่านทุกท่านน่าจะคุ้นเคยกับ User Account ใน Azure AD กันอยู่แล้ว สาเหตุที่ผมให้ความสนใจกับ Group Account ใน Azure AD เนื่องจาก Group Account มีประโยชน์ในเรื่องของการจัดการและควบคุมการเข้าถึง Resources หรือเรียกกันสั้นๆ ว่า "Access Control" มากครับ เพราะทำให้ง่ายและเกิดความยืดหยุ่นในเรื่องของ Access Control ครับ เพราะแทนที่ทุกท่านจะกำหนดสิทธิ์ในการเข้าถึง Resources โดยตรงให้กับผู้ใช้งาน (User Account) ก็ให้กำหนดสิทธิ์ดังกล่าวนี้ให้กับกลุ่มผู้ใช้งาน (Group Account) แทนครับ ดังนั้นหากมีการปรับเปลี่ยนหรือเปลี่ยนแปลงใดๆ เช่น ผู้ใช้งานมีการย้ายแผนกหรือมีการปรับเปลี่ยนบทบาทหน้าที่ในการทำงาน และทำให้มีความต้องการในการเข้าถึง Resources ต่างๆ มากขึ้น ในทางกลับกันอาจจะมีการ Remove สิทธิ์ในการเข้าถึงที่เคยได้รับมา ท่านผู้อ่านก็สามารถจัดการควบคุมได้ง่ายและสะดวกกว่าการให้สิทธิ์ (Assign) โดยตรงกับผู้ใช้งาน (User Account) ครับ ซึ่ง Concept ดังกล่าวนี้ถือว่าเป็น Best Practices เบื้องต้นที่ควรนำเอามาใช้ครับ โดย Concept ดังกล่าวนี้ไม่ใช่เรื่องใหม่เลยครับ ใช้กันมานานแล้วใน Active Directory Domain Service (AD DS) ซึ่งทาง Microsoft มี Strategy ดังกล่าวนี้หลากหลายรูปแบบให้เลือกพิจารณาเพื่อนำเอาไปประยุกต์ใช้งานในองค์กรครับ
แต่ใน Azure AD จะมีความแตกต่างกับ Active Directory Domain Service (AD DS) ในเรื่องดังกล่าวนี้ครับ ยกตัวอย่างเช่น ใน Active Directory Domain Service (AD DS) เมื่อท่านผู้อ่านทำการ Add User Account หลายๆ Accounts เข้าไปยัง Group จากนั้นก็ไปกำหนดสิทธิ์ในการเข้าถึงหรือจัดการ Resources ต่างๆ แต่สำหรับใน Azure AD เมื่อท่านผู้อ่านทำการ Add User Accounts เข้าไปยัง Group (ใน Azure AD) เรียบร้อย จากนั้นท่านผู้อ่านจะต้องทำการกำหนดสิทธิ์ในเข้าถึงหรือจัดการ Resources ผ่านทางสิ่งที่เรียกว่า "Role-Based Access Control" เรียกสั้นๆ ว่า RBAC ครับ โดย Microsoft ได้เตรียม Built-In RBAC Roles ต่างๆ มากมายเพื่อช่วยองค์กรในเรื่องของ Access Control ครับ ดังรูปด้านล่างครับ
และสำหรับท่านผู้อ่านท่านใดที่มีความคุ้นเคยหรือชำนาญกับเรื่องของ Access Control ใน Active Directory Domain Service (AD DS) ผมอยากให้นึกภาพตามสิ่งที่ผมกำลังจะอธิบายต่อจากนี้ครับ เริ่มจาก เมื่อผมต้องการให้ผู้ใช้งาน (User Account) เข้าถึงข้อมูล ตาม Best Practices ข้างต้น ผมจะทำการ Add ผู้ใช้งาน (User Account) ดังกล่าวเข้าไปยัง Group ที่มีสิทธิ์ นั่นหมายความว่าผู้ใช้งาน (User Account) ดังกล่าวก็จะกลายเป็นสมาชิกของ Group และสุดท้ายผู้ใช้งานดังกล่าวก็จะมีสิทธิ์ในการเข้าถึงข้อมูลหรือ Resources ต่างๆ ตาม Group ที่ตัวของผู้ใช้งานเป็นสมาชิกอยู่ ถูกต้องมั๊ยครับ,,, คำถามคือ การเป็นสมาชิกของผู้ใช้งาน (User Account) กับ Group จากประเด็นดังกล่าวนี้ การเป็นสมาชิกที่ว่านี้จะอยู่นานแค่ไหนครับ? คำคอบ คือ ตลอดไปตราบเท่าที่ทุกท่านซึ่งเป็นผู้ดูแลระบบ ยังไม่ทำการ Remove ผู้ใช้งานท่านดังกล่าวออกจาก Group ครับ และถ้าในความเป็นจริงแล้ว ผู้ใช้งานท่านดังกล่าวนี้ ต้องการที่จะเข้าถึงข้อมูลเพียงช่วงเวลาหนึ่ง ไม่ต้องการตลอดล่ะครับ ท่านผู้อ่านจะจัดการอย่างไรครับ คำตอบคือ Azure AD PIM ครับ ซึ่งจะเป็นฟีเจอร์ที่จะเข้ามาช่วยจัดการและควบคุมครับจากเรื่องราวทั้งหมดที่ผมได้อธิบายไว้ในข้างต้นครับ ด้วยเหตุผลที่ ณ วันนี้หลายๆ องค์กรต้องการที่หาวิธีการที่จะลดจำนวนผู้ใช้งานที่จะเข้าถึงข้อมูลหรือ Resources ต่าง ๆ เช่น Azure AD, Azure Resources, Microsoft 365 และ SaaS Applications ต่างๆ โดยมีวัตถุประสงค์คือ ลดความเสี่ยงต่อความไม่ปลอดภัยกับ Resources เหล่านี้ ตามที่ผมได้อธิบายจากตัวอย่างข้างต้นและทุกท่านจะเห็นว่ามีสิ่งใดบ้างที่เราจะต้องทำการพิจารณาวางแผนและจัดการครับ
ความสามารถของ Azure Active Directory Privileged Identity Management (Azure AD PIM)
Azure AD PIM จะเป็นฟีเจอร์ที่จะเข้ามาช่วยในจัดการและควบคุมการกำหนดสิทธิ์ โดยสามารถเลือกหรือกำหนด User หรือ Group Accounts ใน Azure AD กับ Roles (RBAC Roles) ที่เหมะสมเพื่อเข้าถึงและใช้งาน Azure AD, Azure Resources, และอื่นๆ ได้ แต่สิทธิ์ดังกล่าวนี้จะไม่ได้ให้หรืออยู่ตลอดไปนะครับ จะมีช่วงเวลาทั้งนี้ขึ้นอยู่กับผู้ดูแลระบบหรือท่านที่มีหน้าที่เกี่ยวข้องเป็นผู้กำหนดครับ โดยใน Azure AD PIM ได้เตรียมความสามารถที่เรียกว่า Time-Based และ Approval Based Role Activation ครับ โดยมาพร้อมกับ Workflow ในการจัดการและควบคุมครับ ซึ่งประกอบไปด้วย Assign, Activate, Approve, และ Audit เพื่อช่วยลดความเสี่ยง เช่น การให้สิทธิ์ผู้ใช้งานมากเกินกว่าความจำเป็น, การกำหนดและให้สิทธิ์ที่ไม่ถูกต้องและอื่นๆ ซึ่งผมได้อธิบายเอาไว้ในข้างต้นครับ และนี่คือสิ่งที่ Azure AD PIM สามารถทำได้ครับ
1. กำหนด Roles แบบ Just-in-time privileged ให้กับผู้ใช้งานในการเข้าถึง Azure AD และ Azure Resources ต่างๆ
2. กำหนด Time-bound ในการเข้าถึง Resources ต่างๆ โดยกำหนดวันที่เริ่มและสิ้นสุด
3. ทำการ Approve เพื่อทำการ Activate Privileged Roles ให้กับผู้ใช้งาน
4. ใช้งานร่วมกับ Multi-Factor Authentication
5. การแจ้งเตือน (Notification) เมื่อ Privileged Roles ถูก Activated
6. ใช้งานร่วมกับ Azure AD Access Reviews เพื่อทำการตรวจสอบว่าผู้ใช้งานยังคงต้องการ Roles นั้นๆ อยู่
7. Auditing
รูปด้านล่าง คือ Azure AD PIM Dashboard ครับ
เตรียมพร้อมสำหรับ Azure Active Directory Privileged Identity Management (Azure AD PIM)
สำหรับท่านที่จะบริหารและจัดการ Azure AD PIM ได้นั้น จะต้องอยู่ใน Privileged Role Administrator หรือ Global Administrator ครับ และต้องการ Azure AD Premium P2 License ครับ ซึ่งถ้ามีครบเรียบร้อยแล้วก็จะเข้าสู่ขั้นตอนต่อมาคือ การรวบรวบข้อมูลและความต้องการ เพื่อนำเอามาใช้สำหรับการวางแผนและออกแบบในเรื่องของการจัดการและควบคุมการเข้าถึง Azure AD, Azure Resources ต่างๆ ซึ่งแน่นอนว่าแต่ละองค์กรก็จะมีรายละเอียดที่แตกต่างกันไปครับ จากนั้นก็ทำการ Deploy Azure AD PIM ครับ
สำหรับในส่วนของ RBAC Roles ที่สามารถใช้งานร่วมกับ Azure AD PIM ได้มีดังนี้ครับ
Azure AD Roles เป็น Roles ที่เกี่ยวข้องกับการบริหารและจัดการ Azure Active Directory
Azure Roles เป็น Roles ที่เกี่ยวข้องกับการบริหารและจัดการ Azure Resources ต่างๆ
รายละเอียดเกี่ยวกับ Azure AD RBAC Built-In Roles สามารถดูได้จาก Link นี้ครับ
Azure AD built-in roles - Azure Active Directory | Microsoft Docs
รายละเอียดและข้อมูลเพิ่มเติมเกี่ยวกับ Azure AD PIM สามาถดูได้จาก Link นี้ครับ
Privileged Identity Management documentation | Microsoft Docs
และทั้งหมดนี้คือเรื่องราวของ Azure Active Directory Privileged Identity Management (Azure AD PIM) ที่ผมอยากให้ท่านผู้อ่านทุกท่านได้รู้จักครับ และต้องบอกว่า Azure AD PIM เป็นฟีเจอร์ที่น่าสนใจและเป็นส่วนประกอบหนึ่งที่สำคัญสำหรับการทำ Identity Security ครับ ซึ่งเป็นเรื่องที่สำตัญมากสำหรับทุกองค์กรที่นำเอา Cloud Technology เข้าไปประยุกต์ใช้งาน สิ่งหนึ่งที่องค์กรจะต้องทำการวางแผนและเตรียมความพร้อมนั่นก็คือ เรื่องของการจัดการ Identity (Identity and Access Management) ครับ เพราะผู้ใช้งานในองค์กรมีความต้องการที่จะเข้าถึงข้อมูลหรือ Resources ต่างๆ ที่อยู่ใน On-Premise และ Cloud คำถามคือ องค์กรดังกล่าวจะจัดการเรื่องของ Identity สำหรับประเด็นนี้อย่างไร จะใช้ Solution ใดเข้ามาจัดการเรื่องดังกล่าวนนี้ คำตอบคือ ใช้ Azure Active Directory หรือ Azure AD ที่ทาง Microsoft ได้เตรียมเอาไว้ใหักับลูกค้าของ Microsoft เรียบร้อยแล้วครับ อีกประเด็นหนึ่งที่จะต้องพิจารณาควบคู่กันไปกับเรื่องของการจัดการ Identity นั่นก็คือ เรื่องของ Identity Security ครับ และตอนนี้ท่านผู้อ่านทราบแล้วว่าจะใช้อะไรเข้ามาช่วยในเรื่องนี้ ซึ่งยังมีรายละเอียดอีกเยอะครับสำหรับเรื่องของ Identity Security เอาไว้ผมจะมาเล่าสู่กันฟังในโอกาสต่อไปครับผม.....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น