สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นบทความเริ่มต้นเกี่ยวกับเรื่องราวของ Security ใน Microsoft Azure ครับ สืบเนื่องจากช่วงระยะหลายปีที่ผ่านมา หลายๆ องค์กรได้มีการย้ายหรือสร้าง ระบบหรือ Workloads ต่างๆ ขึ้นไปทำงานใน Microsoft Azure โดยใช้งานผ่าน Azure Services ต่างๆ เช่น Azure Virtual Machine, Azure Virtual Network, Azure App Service, Azure Storage, Azure SQL และอื่นๆ ประเด็นหนึ่งทีสำคัญที่หลายๆองค์กรให้ความสนใจมากเรื่องหนึ่ง นั่นก็คือเรื่องของความปลอดภัยหรือ Security ครับ หลายๆ องค์กรจะต้องมีวางแผนและเตรียมความพร้อมว่าจะทำอย่างไรให้ระบบหรือ Workloads ต่างๆ ที่ติดตั้งและใช้งานอยู่ใน Microsoft Azure นั้นมีความปลอดภัยรวมถึงรองรับกับ Compliances ต่างๆ ที่องค์กรนั้นๆ จะต้องดำเนินการและปฏิบัติตาม จากประเด็นที่ว่านี้ที่ถ้าหากเรามองหรือโฟกัสลงไปภาพใหญ่ก็จเป็นเรื่องของ Cloud Security ครับ ซึ่งจะประกอบไปด้วยส่วนประกอบ 2 ส่วนที่เข้ามาทำหน้าที่และเกี่ยวข้องครับ นั่นก็คือ
Cloud Security Posture Management (CSPM) จะเป็นส่วนที่เกี่ยวข้องกับเครื่องมือ (Tools) ซึ่งจะทำหน้าที่ในการประเมินเรื่องของความปลอดภัย (Security Assessment) รวมถึงการตรวจสอบเรื่องของ Compliance (Compliance Monitoring) ระบบหรือ Workloads ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานบน Cloud (Microsoft Azure เป็นต้น) เช่น Azure Virtual Machine, Azure Virtual Network, Azure App Service, Azure Storage, Azure SQL และอื่นๆ
Cloud Workload Platform Protection (CWPP) จะเป็นส่วนที่เกี่ยวข้องกับเครื่องมือ (Tools) ซึ่งทำหน้าที่ตรวจสอบ (Monitoring) และป้องกัน (Protecting) ภัยคุกคาม (Threats) ที่จะเข้ามาจู่โจมหรือสร้างปัญหากับระบบหรือ Workloads ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานบน Cloud (Microsoft Azure เป็นต้น) เช่น Azure Virtual Machine, Azure Virtual Network, Azure App Service, Azure Storage, Azure SQL และอื่นๆ
Azure Security Center คืออะไร?
เป็น Service หนึ่งใน Microsoft Azure ที่จะเข้ามาช่วยองค์กรต่างๆ ในการจัดการและควบคุมระบบหรือ Workloads ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานไม่ว่าจะอยู่ใน Microsoft Azure, On-Premise, หรือ Cloud Providers อื่นๆ เช่น AWS, Google GCP, เป็นต้น ให้มีความปลอดภัย โดย Azure Security Center หรือเรียกสั้นๆ ว่า ASC จะเข้าช่วยและดำเนินการส่วนประกอบทั้ง 2 ส่วน (CSPM และ CWPP) ตามที่ผมได้อธิบายไว้ในตอนต้นครับ
สำหรับ Cloud Security Posture Management (CSPM) นัั้น Azure Security Center หรือ ASC จะทำหน้าที่ในการประเมินและตรวจสอบในเรื่องของ Configuration ของ Azure Resources ต่างๆ ที่องค์กรได้มีการติดตั้งและใช้งานอยู่นั้น มีค่า Configuration ของ Azure Services (ครอบคลุมท้้ง IaaS, PaaS, และ SaaS) ใดที่สุ่มเสี่ยงต่อความไม่ปลอดภัยหรือไม่ ถ้า ASC ตรวจพบเจอก็จะมีคำแนะนำเกี่ยวกับความปลอดภัย (Security Recommendations) ให้เราไปทำการปรับปรุงแก้ไขครับ สำหรับ Security Recommendations หรือเรียกสั้นๆ ว่า Recommendations นั้น ถือว่าเป็นฟีเจอร์หนึ่งที่มีความสำคัญมากของ ASC ครับ หน้าตาของ ASC ในส่วนของ Recommendations สามารถดูได้จากรูปด้านล่างครับ
จากรูปของ Recommendations เราสามารถคลิ๊กเข้าไปดูรายละเอียดเพิ่มเติมได้นะครับ ซึ่ง ASC มีข้อมูลและรายละเอียดให้ครับ เพื่อให้ท่านผู้อ่านสามารถนำไปปรับปรุงแก้ไขได้ครับ
มาที่ฟีเจอร์ต่อมาของ ASC ที่น่าสนใจอีกฟีเจอร์หนึ่งครับ นั่นก็คือ Secure Score ซึ่งเป็นอีกฟีเจอร์หนึ่งของ ASC ที่จะช่วยทำให้เราเข้าใจถึงสถานการณ์ปัจจุบันสำหรับเรื่องของความปลอดภัยของ Workloads หรือ Azure Resources ต่างๆ นั้นว่าเป็นอย่างไร และจะทำการปรับปรุงอย่างไร ในเรื่องของการปรับปรุงนัน ASC ก็จะมี Recommendations ที่ผมได้อธิบายไว้ก่อนหน้านี้ครับ
อีกฟีเจอร์หนึ่งที่น่าสนใจของ ASC นั่นก็คือ Security Alerts ซึ่งจะเป็นฟีเจอร์ที่ทำหน้าที่ในการแจ้งเตือน (Notification) เมื่อ ASC ตรวจพบภัยคุกคาม (Threats) เกิดขึ้นกับ Workloads ต่างๆ ไม่ว่าจะอยู่ใน On-Premise หรือ Microsoft Azure รวมถึงรายละเอียดและแนวทางในการแก้ไขครับ ดังรูป
สำหรับในส่วนของ Cloud Workload Platform Protection (CWPP) นั้น ASC จะมี Azure Defender ซึ่งเป็นส่วนที่จะเข้ามาทำการตรวจสอบและป้องกัน Azure Resources ต่างๆ (ครอบคลุมทั้ง IaaS และ PaaS) เช่น Azure Virtual Machine, Azure App Service, Azure Storage, Azure SQL, Azure Key Vault, และอื่นๆ ที่องค์กรได้มีการติดตั้งและใช้งานอยู่นั้นจากภัยคุกคาม (Threats) ครับ ดังรูปด้านล่างครับ
มาถึงตรงนี้ท่านผู้อ่านทุกท่านจะเห็นว่า Azure Security Center หรือ ASC เป็น Service ที่มีความสำคัญมากส่วนหนึงของ Cloud Security ครับ เพราะ ASC จะเป็นทำหน้าที่เป็นศุนย์กลางในการจัดการและควบคุมเรื่องของความปลอดภัยหรือเรียกว่าเป็น Unified Infrastructure Security Management ให้กับระบบหรือ Workloads ต่างๆ ขององค์กรโดยครอบคลุมทั้ง On-Premise และ Cloud หรือที่เรียกว่า Hybrid Cloud รวมถึง Multi-Cloud ตามที่ผมได้อธิบายไว้ในข้างต้นครับ
สำหรับเบื้องหลังการทำงานของ Azure Security Center นั้น ตัวของ ASC ยังทำงานร่วมกับ Azure Services อื่นๆ เช่น Azure Log Analytics (Log Analytics Workspace) สำหรับเก็บข้อมูล (Logs และ Metrics Data) ที่รวบรวมมาจาก Sources ซึ่งก็คือระบบหรือ Workloads หรือ Azure Resources ต่างๆ เช่น Azure Virtual Machine เป็นต้น, อีก Service หนึ่งก็คือ Azure Policy ซึ่ง ASC จะมาพร้อมกับ Pre-defined Policies ครับ โดย ASC จะทำงานร่วมกับ Azure Policy เพื่อทำการประเมินและตรวจสอบ Workloads หรือ Azure Resources ต่างๆ ในเรื่องของความปลอดภัยหรือตามทำหน้าที่ในส่วนของ CSPM ตามที่ผมได้อธิบายไว้ในตอนต้นครับ
ดังนั้นก่อนที่ท่านผู้อ่านจะใช้งาน Azure Security Center หรือ ASC สิ่งแรกที่จะต้องทำ นั่นก็คือ การวางแผนและออกแบบ Azure Security Center Architecture รวมถึง Workloads หรือ Azure Resources ต่างๆ ที่จะให้ ASC เข้าไปประเมินและตรวจสอบครับ
สิ่งที่จะต้องพิจารณาต่อมานั่นก็คือเรื่องของราคาหรือ Pricing ของ ASC ครับ ซึ่งจะมี 2 แบบครับ แบบแรกคือ ฟรีไม่มีค่าใช้จ่าย !!!!! หรือเรียกว่า "Azure Defender off" ครับ อีกแบบคือ มีค่าใช้จ่ายครับ หรือเรียกว่า "Azure Defender on" ครับ สำหรับความแตกต่างของระหว่าง 2 แบบนั่นก็คือ ความสามารถและฟีเจอร์ครับ ซึ่งผมได้หยิบบางฟีเจอร์ของ ASC มาอธิบายในทุกท่านได้ทราบไปแล้งในตอนต้นครับ สำหรับแบบที่ ฟรี (Azure Defender on) นั้น จะ Enable โดย Default ครับ โดย ASC จะทำการตรวจและประเมิน Azure Resources (ตามที่ได้ององค์กรได้วางแผนเอาไว้เรียบร้อยแล้ว) ที่เป็น PaaS เช่น Azure Service Fabric, Azure SQL, และอื่นๆ สำหรับ Azure Resources ที่เป็น IaaS เช่น Azure Virtual Machine จะต้องมีการติดตั้ง Agent ก่อนครับ
สำหรับ Pricing แบบที่มีค่าใช้จ่าย (Azure Defender on) นั้นยังมาพร้อมกับฟีเจอร์ต่างๆ อีกมากมายครับ เช่น
Vulnerability Assessment เป็นฟีเจอร์ที่จะเข้าไปตรวจสอบและประเมินเรื่องของ Vulnerability เครื่อง (Virtual Machines) ขององค์กรที่อยู่ใน On-Premise หรือใน Microsoft Azure
Just in time VM access เป็นฟีเจอร์ที่จะทำการ Lock Down Ports ที่ใช้ในการบริหารจัดการ (Management Ports) เช่น RDP (3389) Port ซึ่งโดยปรกติจะเปิดตลอดเวลาสำหรับ Azure Virtual Machine ซึ่งสุ่มเสี่ยงต่อการโจมตี (RDP Attacks) ดังนั้น Just in time VM access จะเข้ามาจัดการโดยการปิด Port ดังกล่าวและจะเปิดเมื่อมีการร้องขอ (Request) มาเท่านั้น ซึ่งผลทำให้ Azure Virtual Machine มีความปลอดภัยมากขึ้น
Adaptive Application Control เป็นฟีเจอร์ที่มีความฉลาดและมีความสามารถในการกำหนดลิสต์ของ Applications ใดที่สามารถรันและทำงานในเครื่องได้ ซึ่งจะทำให้ลดความเสี่ยงจากภัยคุกคามต่างๆ
และทั้งหมดนี้คือเรื่องราวเริ่มต้นของ Azure Security ครับ โปรดติดตามตอนต่อไปเร็วๆ นี้ครับผม.....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น