Azure Active Directory Identity Governance

     สวัสดีครับทุกท่านกลับมาพบกันอีกเช่นเคย สำหรับบทความนี้จะเป็นเรื่องราวเกี่ยวกับ Identity ใน Microsoft Azure ครับ พอพูดหรือนึกถึงเรื่องของ Identity ก็จะเกี่ยวข้องกับ Service ที่ชื่อว่า Azure Active Directory หรือเรียกกันสั้นๆ ว่า Azure AD ซึ่งถือว่าเป็น Service ที่สำคัญมาก Service หนึ่งใน Microsoft Azure และ Cloud Services อื่นๆ ของ Microsoft เช่น Microsoft 365 เพราะเป็น Service ที่จะเข้ามาช่วยบริหารและจัดการ Identity หรือที่เรียกว่า Identity and Access Management (IAM) ครับ และแถบจะทุกองค์กรที่มีการนำเอา Microsoft Azure หรือ SaaS App ของ Microsoft เช่น Microsoft 365 ก็จะต้องวางแผนและพิจารณาการใช้งาน Azure AD เพื่อทำ Hybrid Cloud (Identity) เพื่อทำให้ผู้ใช้งานในองค์กรดังกล่าวสามารถเข้าถึงและใช้งาน Applications และ Data จากที่ไหนก็ได้ โดยใช้ Identity เดียวหรือที่เรียกว่า "Single Sign-On" หรือ SSO ครับ สำหรับท่านผู้อ่านท่านใดยังไม่คุ้นเคยกับ Azure AD ผมแนะนำให้ไปอ่านบทความของผมเกี่ยวกับเรื่องนี้ก่อนครับ  WT Blog (ITGeist): Azure Active Directory (Azure AD) (itgeist5blog.blogspot.com)

เอาล่ะครับเกริ่นมาพอสมควรแล้ว มาเข้าเรื่องกันเลยดีกว่าครับ สำหรับบทความตอนนี้ของผมจะเป็นเรื่องของ "Azure Active Directory Identity Governance" ครับ ซึ่งจะเป็นเรื่องราวที่ต่อยอดหรือเกี่ยวข้องกับการที่องค์กรได้ดำเนินการติดตั้งและใช้งาน Hybrid Cloud (Identity) โดยมีการ Sync Identities (User Accounts) จาก Active Directory Domain Service (AD DS) ซึ่งติดตั้งในเครื่องที่ทำหน้าที่เป็น Domain Controller ซึ่งอยู่ใน On-Premise Data Center ขององค์กร มายัง Azure AD Tenant เพื่อให้เราสามารถใช้ประโยชน์จาก SSO ตามที่ผมได้อธิบายไว้เมื่อซักครู่ครับ 

โดยเรื่องราวของ Azure Active Directory Identity Governance นั้นเป็นเรื่องที่หลายๆ องค์กรให้ความสนใจมากครับ และมีรายละเอียดค่อนข้างเยอะมากครับ โดยส่วนตัวผมได้มีโอกาสไปบรรยายตลอดจนให้คำปรึกษาอยู่หลายครั้งครับ แต่ในขณะเดียวกันยังมีอีกหลายๆ ท่านยังไม่ทราบหรือรู้จัก Azure Active Directory Identity Governance ผมจึงถือโอกาสนี้นำเอาเรื่องนี้มาเล่าสู่กันฟังครับ

Azure Active Directory Identity Governance คืออะไร?

Azure AD Identity Governance จะเป็นส่วนที่เข้ามาช่วยให้องค์กรปรับหรือรักษาสมดุลย์ทั้งในส่วนของการบริหารจัดการและความปลอดภัยครับ โดยคอนเซปของ Azure AD Identity Governance ตลอดจนฟีเจอร์ต่างๆ จะทำให้องค์กรมีความมั่นใจได้ว่าผู้ใช้งานได้รับสิทธิ์และเข้าถึง Applications หรือ Data ได้ตามที่กำหนดและถูกต้อง ตลอดจนไม่มีผู้ใช้งานคนใดสามารถเข้าถึง Applications หรือ Data ได้ทั้งๆ ที่ในการทำงานจริงผู้ใช้งานดังกล่าวไม่เกี่ยวข้องครับ เพราะถ้าเกิดเหตุการณ์ดังกล่าวจริงก็จะทำให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยครับ เพราะฉะนั้น Azure AD Identity Governance จะทำให้องค์กรสามารถบริหารและจัดการงานต่างๆ ครอบคลุมทั้ง ผู้ใช้งานในองค์กร,  Business Partners และ Vendors ในการเข้าถึง Resources ต่างๆ ขององค์กรไม่ว่าจะอยู่ใน On-Premise และ Cloud ครับ โดยสิ่งที่ Azure AD Identity Governance จะเข้ามาช่วยดำเนินการสิ่งต่างๆ ดังต่อไปนี้ครับ:

- ควบคุมและดูแล Identity Lifecycle

- ควบคุมและดูแล Access Lifecycle

- ควบคุมและดูแล Privileged Access Lifecycle

นอกจากนี้แล้ว Azure AD Identity Governance ยังช่วยมาช่วยจัดการและตอบคำถามต่างๆ ด้านล่างสำหรับกรณีเหล่านี้อีกด้วยครับ:

- คำถามที่สอบถามว่า มีผู้ใช้งานท่านนี้ ณ ตอนนี้สามารถเข้าถึงResources ใดได้บ้าง (ซึ่งในความเป็นจริง

  ควรจะ เป็น Resources ที่เกี่ยวข้องกับหน้าที่การทำงานของผู้ใช้งานเท่านั้น)

- คำถามที่สอบถามว่า ผู้ใช้งานมีสิทธิ์อะไรบ้าง สำหรับเข้าถึงและใช้งาน Resources นั้นๆ

- คำถามที่สอบถามว่า ณ ปัจจุบันองค์การเข้าใจถึง Concept ของการทำ Access Control ได้อย่างถูกต้อง

   ตลอดจนได้นำเอาฟีเจอร์หรือ Services ต่างๆ เข้ามาช่วยหรือไม่

- คำถามที่สอบถามว่า ณ ปัจจุบันการทำ Access Control ขององค์กรนั้นสามารถให้ ผู้ตรวจสอบทำการ

  ตรวจสอบได้หรือไม่

คราวนี้เรามาไล่เรียงกันในแต่ละ Lifecycle ตามที่ผมได้เกริ่นไว้ในตอนต้นครับ

รู้จักกับ Identity Lifecycle

Identity Lifecycle จะเข้ามาช่วยองค์กรให้สามารถบริหารจัดการรวมถึงความปลอดภัยในอย่างสมดุลย์และเหมาะสม เช่น เมื่อมีพนักงานใหม่เข้ามาในองค์กร พนักงานดังกล่าวสามารถมี Identity เพื่อใช้ในการเข้าถึง Applications หรือ Data ตามหน้าที่ของเขาทันทีหรือไม่ ตลอดจนในเวลาต่อมาถ้ามีการเปลี่ยนบทบาทและนหน้าที่ของพนักงานคนดังกล่าว ผู้ดูแลระบบหรือผู้ที่มีหน้าที่เกี่ยวข้องสามารถดำเนินการจัดการได้ทันที โดยที่พนักงานดังกล่าวจะต้องได้รับสิทธิ์ที่ควรจะได้ตามบทบาทและหน้าที่เท่านั้น เพื่อเข้าถึง Resources ต่างๆ เช่น ถ้าพนักงานดังกล่าวมีการย้ายแผนก พนักงานดังกล่าวควรจะเข้าถึง Resources ต่างๆ ของแผนกใหม่เท่านั้น และไม่สามารถเข้าถึง Resources ต่างๆ ของแผนกเดิมที่เคยเข้าถึงได้อีกต่อไป

Identity Lifecycle ถือว่าเป็นหลักพื้นฐานหรือ Foundation ที่สำคัญสำหรับ Azure AD Identity Governance ในการควบคุมและดูแล รักษาความสมดุลย์และความเหมาะสมในส่วนของการบริหารจัดการและความปลอดภัย ในการเข้าถึง Resources ต่างๆ ไม่ว่าจะเป็น Applications และ Data ครับ และมีความเป็นไปได้ในองค์กรส่วนใหญ่ที่จะมีการ Integrate การทำงานร่วมกันระหว่าง Identity Lifecycle กับระบบ HCM (Human Capital Management) เช่น SAP, Oracle eBusiness, Oracle PepoleSoft เป็นต้น ซึ่งจะต้องดำเนินการด้วยความระมัดระวังมากขึ้นอีกครับ 

และยิ่งไปกว่านั้นการควบคุมและดูแลการเข้าถึง Resources ต่างๆ ณ ปัจจุบัน มิใช่ควบคุมเฉพาะพนักงานหรือผู้ใช้งานภายในองค์กรเท่านั้น ยังต้องควบคุมและดูแลบุคคลจากภายนอกที่จะเข้าถึง Resources ต่างๆ ในองค์กรอีกด้วย 

ซึ่งใน Azure AD ได้เตรียม Azure AD B2B หรือ B2C และ Azure AD Entitlement Management (เป็นฟีเจอร์ใน Azure AD Identity Governance) 

เข้ามาช่วยจัดการ, ควบคุมและดูแลสำหรับการที่องค์กรมีความต้องการแชร์ Resources ต่างๆ ให้กับบุคคลภายนอก (Guest Users หรือ External Partners) ครับ

รู้จักกับ Access Lifecycle

องค์กรโดยส่วนใหญ่มีความต้องการกระบวนการหรือ Process ในการบริหารจัดการการเข้าถึง Resources ต่างๆ มากกว่าแค่การสร้างหรือ Provisioning User Accounts เพราะองค์กรต้องการคอยตรวจสอบและสั

เกตถึงความเปลี่ยนแปลงการเข้าถึง Resources ต่างๆ  เช่น  Applications และ Data ของผู้ใช้งานนั้นๆ ว่าเป็นอย่างไร ดังนั้นจากประเด็นนี้ องค์กรจะมีการเตรียมวางแผนและดำเนินการต่างๆ เช่น การนำเอา Policy เข้ามาใช้ในการควบคุม, มีการ Delegate สิทธิ์ให้กับผู้ใช้งานและบุคคลภายนอก (External หรือ Guest Users) และอื่นๆ เป็นต้น โดยใน Access Lifecycle จะเกี่ยวข้องกับหลาย Services และฟีเจอร์ เช่น Azure AD B2B, B2C, Azure AD Entitlement Management, RBAC, และอื่นๆ เป็นต้น เพื่อมาช่วยตอบโจทย์ความต้องการขององค์กรข้างต้นครับ

รู้จักกับ Privileged Access Lifecycle

ที่ผ่านมาสิทธิ์ในการเข้าถึง Resources ต่างๆ นั้น องค์กรจะเป็นผู้กำหนดโดยจะมีแผนกหรือทีมงานที่เกี่ยวข้องเข้ามาวางแผน, จัดการ, และดำเนินการ เพื่อให้ผู้ใช้งานทั้งภายในและภายนอกเข้าถึงหรือมีสิทธิ์ในการเข้าถึง Resources ต่างๆ ตามที่องค์กรกำหนดเท่านั้น แต่ในการทำงานจริงมีความเป็นไปได้ที่ จะมีการเพิ่มหรือ Add สิทธิ์ให้กับผู้ใช้งานเพื่อดำเนินงานต่างๆ ตามความต้องการ ตามช่วงเวลาใดเวลาหนึ่ง, หรือจะมีการปรับเปลี่ยนเพิ่ม/ลด สิทธิ์ผู้ใช้งาน เนื่องจากมีการย้ายแผนก, และอื่นๆ เป็นต้น จากตัวอย่างที่ผมได้ยกขึ้นมานั้น สิ่งที่สะท้อนให้เห็นคือ องค์กรจะมีวิธีการในการบริหารจัดการประเด็นดังกล่าวนี้อย่างไร เพราะมีความเกี่ยวข้องกับความปลอดภัยกับ Resources ต่างๆ ขององค์กร  ซึ่งที่ผ่านมาจากประสบการณ์ของผมเอง องค์กรจะมีการนำเอา Solution อื่นๆ เข้ามาช่วยจัดการประเด็นดังกล่าวนนี้ครับ ซึ่งทำให้องค์กรหรือทีมที่เกี่ยวข้องจะต้องมีการเตรียมความพร้อมเพื่อเรียนรู้เครื่องมือเหล่านั้นเพื่อนำมาใช้จัดการกับประเด็นที่ผมได้เกริ่นไว้ครับ จากจุดนี้ทาง Microsoft คิดว่าควรจะมีการนำเอาประเด็นดังกล่าวนี้เข้ามาอยู่ใน Azure AD Identity Governance ด้วย เพื่อทำให้องค์กรหรือทีมงานที่เกี่ยวข้องสามารถบริหารจัดการและควบคุมทั้งหมดในรูปแบบที่เป็น Centralized Management เพื่อทำให้ง่ายและมีความยืดหยุ่นกับการนำไปใช้งานองค์กรครับ โดยใน Privileged Access Lifecycle จะเกี่ยวข้องกับ Services และฟีเจอร์ต่างๆ เช่น Azure AD, RBAC, Azure AD Privileged Identity Management (Azure AD PIM), และอื่นๆ เป็นต้น

รายละเอียดเพิ่มเติมสำหรับเรื่องของ Azure Active Directory Identity Governance สามารถไปที่ Link นี้ได้เลยครับ Identity Governance - Azure Active Directory | Microsoft Docs

และทั้งหมดนี้คือเรื่องราวเบื้องต้นของ Azure Active Directory Identity Governance ครับ เอาไว้โอกาสต่อไป ผมจะมานำเสนอเรื่องราวของฟีเจอร์ที่สำคัญใน Azure Active Directory Identity Governance นั่นก็คือ Azure AD Entitlement Management ครับ โปรดติดตามครับผม.....