วันพฤหัสบดีที่ 30 ธันวาคม พ.ศ. 2564

Trusted Launch-Secure Azure Virtual Machines

      สวัสดีครับทุกท่าน มาพบกันอีกเช่นเคยนะครับ สำหรับบทความของผมตอนนี้จะเป็นเรื่องราวของฟีเจอร์ใหม่ใน Microsoft Azure ที่ชื่อว่า "Trusted Launch" ครับ โดยฟีเจอร์ดังกล่าวนี้จะเข้ามาช่วยทำให้ Azure Virtual Machines (Windows และ Linux) มีความปลอดภัยมากขึ้นครับ เรื่องราวจะเป็นอย่างไร เชิญติดตามกันได้เลยครับผม

Trusted Launch คืออะไร?

เป็นฟีเจอร์ทางด้านความปลอดภัยที่นำมาใช้กับ Azure Virtual Machines (Generation 2 เท่านั้น) และยังสามารถทำงานร่วมกับ Microsoft Defender for Cloud (ชื่อเดิม คือ Azure Security Center)  สำหรับท่านผู้อ่านท่านใดที่ใช้งานและมีความคุ้นเคยกับ Hyper-V ซึ่งเป็น Virtualization Technology ของทาง Microsoft น่าจะทราบว่า VM Generation 2 (Gen 2) คืออะไรนะครับ  แต่สำหรับท่านใดที่ไม่คุ้นเคย ผมขออนุญาตอธิบายสั้นๆ นะครับว่า ตอนที่เราสร้าง VM ใน Hyper-V เราสามารถเลือกได้ว่า VM ที่กำลังสร้างจะเป็น Generation 1 หรือ Generation 2 ครับ โดยความแตกต่างระหว่างสอง Generations นั่นคือ ฟีเจอร์ต่างๆ และอื่นๆ ซึ่งมีรายละเอียดคร่าวๆ ดังนี้:


ความแตกต่างระหว่าง Hyper-V VM Gen 1 และ Gen 2

OS ที่รองรับ





 



Boot Methods ของ Hyper-V VM Gen 1 และ Gen 2









Device Support ของ Hyper-V VM Gen 1 และ Gen 2

















รายละเอียดเพิ่มเติมสามารถดูได้จาก Link นี้ครับ, Should I create a generation 1 or 2 virtual machine in Hyper-V? | Microsoft Docs

สำหรับใน Microsoft Azure,  ถ้าท่านผู้อ่านมีการสร้างและ Deploy Azure VMs ก็จะมีให้เลือก Generation 1 และ 2 เช่นเดียวกันครับ แต่มีรายละเอียดที่แตกต่างกันพอสมควรระหว่าง Hyper-V VM กับ Azure VM โดยมีรายละเอียดคร่าวๆ ดังนี้ครับ









ฟีเจอร์ของ Azure VM Gen 1 และ Gen 2











รายละเอียดเพิ่มเติมสามารถดูได้จาก Link นี้ครับ, Azure support for generation 2 VMs - Azure Virtual Machines | Microsoft Docs

เอาล่ะครับ เรากลับมาที่เรื่องราวของ Trusted Launch กันต่อครับ และอย่างที่ผมได้เกริ่นไว้ข้างต้นว่า Trusted Lanuch เป็นฟีเจอร์ที่เกี่ยวกับความปลอดภัยที่นำมาใช้งานกับ Azure VMs (Gen 2)  โดยจะมาทำการป้องกัน (Protect) จาก Advanced และ Persistent Attacks Techniques ครับ ในส่วนของประโยชน์ (Benefits) ที่เราได้จากการนำเอา Launch Trusted มาใช้งานกับ Azure VMs (Gen 2) มีดังนี้ครับ

- ทำให้การ Deploy Azure VMs มีความปลอดภัยมากขึ้นด้วยการตรวจสอบ Verified Boot Loader,                OS Kernels, และ Drivers

- ป้องกัน Keys, Certificates, และ Secrets ใน Azure VMs

- มั่นใจว่า Workloads มีความน่าเชื่อถือและตรวจสอบได้

- อื่นๆ


Trusted Launch มี Options ให้เลือกในการ Configuration ดังนี้ครับ

1. Secure Boot, ทำให้มั่นใจว่าเฉพาะ Signed OSs และ Drivers เท่านั้นที่สามารถ Boot ได้

2. vTPM, มันคือ Virtual TPM ซึ่ง Compliant กับ TPM 2.0 โดย vTPM จะทำการรับรอง (Attestation)           โดยการประเมิน (Measuring) ทั้ง Boot Chain ของ Azure VMs (UEFI, OS, System, และ Drivers)  

        

วิธีการ Configure Trusted Launch

1. ไปที่ Azure Portal จากนั้นให้ท่านผู้อ่านทำการเลือก OS ที่ต้องการติดตั้งและ Deploy Azure VM ดังกล่าว จากนั้นให้ทำการ Click Drop-Down List เพื่อทำการเลือก Generation ดังรูปด้านล่างครับ



 










จากนั้นในส่วนของ Security Type สามารถเลือก Options สำหรับ Trusted Launch ได้ว่าจะเป็น Secure Boot หรือ vTPM ดังรูปด้านล่างครับ











จากนั้นก็เข้าสู่ขั้นตอนการสร้างและ Deploy Azure VMs ปรกติอย่างที่เราคุ้นเคยกันครับ สำหรับรายละเอียดของการ Deploy Azure VMs กับ Trusted Launch ท่านผู้อ่านสามารถเข้าไปดูรายละเอียดได้จาก Link นี้ครับ, Deploy a trusted launch VM - Azure Virtual Machines | Microsoft Docs

สำหรับรายละเอียดของ Trusted Launch เพิ่มเติม สามารถดูได้จาก Link นี้ครับ, Trusted launch for Azure VMs - Azure Virtual Machines | Microsoft Docs  และทั้งหมดนี้คือเรื่องราวของฟีเจอร์ Trusted Launch ซึ่งเป็นฟีเจอร์ที่ช่วยป้องกันและทำให้ Azure VMs ที่ท่านผู้อ่านได้มีการติดตั้งและ Deploy ใช้งานนั้นมีความปลอดภัยมากขึ้นครับผม.....





เขียนโดย ที่ ไม่มีความคิดเห็น:

วันศุกร์ที่ 17 ธันวาคม พ.ศ. 2564

Microsoft Defender for Cloud

      สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความตอนนี้ของผมจะมาอัพเดทความเปลี่ยนแปลงกับ Service ตัวหนึ่ง ที่อยู่ใน Microsoft Azure ครับ และผมเชื่อว่าหลายๆ ท่านน่าจะรู้จัก Service นี้กันอยู่แล้ว Service ที่ว่านี้ก็คือ "Azure Security Center" แต่ ณ วันนี้ Service ดังกล่าวนี้เค้าเปลี่ยนชื่อแล้วนะครับ ชื่อใหม่ของเค้าคือ "Microsoft Defender for Cloud" ครับ  

ดังนั้นท่านผู้อ่านท่านใดที่ใช้งาน Microsoft Azure กันอยู่แล้ว และใช้ Azure Security Center อาจจะงงในช่วงที่ผ่านมาว่า Azure Security Center หายไปไหน!!!!! นอกจากนี้จะมีอีกส่วนประกอบหนึ่งหรือจะเรียกว่าฟีเจอร์ก็ได้ครับที่ชื่อว่า "Azure Defender" ซึ่ง ณ วันนี้ก็ไม่มีชื่อนี้แล้วเช่นกันครับ โดย ณ วันนี้ชื่อใหม่คือ Workload Protections ครับ สำหรับท่านผู้อ่านท่านใดยังไม่รู้จักทั้ง Azure Security Center รวมถึง Azure Defender ตลอดจนท่านใดที่เคยใช้งานหรือพอจะคุ้นเคยอยู่แล้ว บทความนี้จะพาท่านไปทำความรู้จัก Microsoft Defender for Cloud ครับ

Microsoft Defender for Cloud คืออะไร?

อย่างที่ผมเกริ่นไว้ในข้างต้นว่า Azure Security Center และ Azure Defender ณ วันนี้จะถูกนำมารวมกันภายใต้ชื่อใหม่ นั่นก็คือ "Microsoft Defender for Cloud" ครับ และยังมีอีกหลายๆ อย่างที่เปลี่ยนไปจากเดิมครับ ซึ่งก่อนที่ผมจะพาท่านผู้อ่านเข้าไปดูนั้น เรามาทำความรู้จักกับ Microsoft Defender for Cloud กันก่อนนะครับ โดยหน้าที่ของ Service นี้จะเข้ามาช่วยองค์กรในเรื่องของความปลอดภัยครับ โดย Microsoft Defender for Cloud จะทำหน้าที่ในการทำ Security Posture Management และ Threat Protection ครับ 








แต่ถ้าจะอ้างอิงตาม Cloud Security Reference Framework ตัวของ Microsoft Defender for Cloud จะมี 2 หน้าที่ครับ

1. Cloud Security Posture Management (CSPM), โดย Microsoft Defender for Cloud จะเข้ามาทำการรวบรวมข้อมูลต่างๆ จาก Existing Environment ขององค์กร จากนั้นจะนำเอาข้อมูลที่ได้ไปทำการวิเคราะห์, ตรวจสอบ, ประเมินว่า Environment ดังกล่าวนั้นเป็นอย่างไรบ้างในแง่ของความปลอดภัย มีจุดใดที่สุ่มเสี่ยงต่อความไม่ปลอดภัยหรือไม่

2. Cloud Workload Protection Platform (CWPP), โดย Microsoft Defender for Cloud จะเข้ามาทำการค้นหาและป้องกัน Threats หรือภัยคุกคามครับ

โดยทั้ง 2 หน้าที่ที่ Microsoft Defender for Cloud ที่ผมได้อธิบายไปเมื่อซักครู่นั้น ครอบคลุมทั้ง On-Premise, Hybrid และ Multi-Cloud Environment ครับ และรูปด้านล่างเป็นหน้าตาของ Microsoft Defender for Cloud ครับ












จากรูปด้านบนจะเห็นว่าจะไม่มีชื่อ Azure Security Center เหมือนก่อนหน้านี้ครับ จากนั้นผมจะทำการคลิ๊กที่ Microsoft Defender for Cloud เพื่อจะพาท่านผู้อ่านเข้าไปดูด้านในว่าหน้าตาเป็นอย่างไร ดังรูปด้านล่างครับ








จากนั้นผมคลิ๊กที่ Environment settings ซึ่งจะเป็นส่วนที่เราจะต้องทำการกำหนดว่าจะให้ Microsoft Defender for Cloud ทำหน้าที่อะไรบ้าง รวมถึงฟีเจอร์ต่างๆ ที่เราสามารถใช้งานได้ครับ และแน่นอนมีผลกับเรื่องของค่าใช้จ่ายด้วยนะครับ ดังรูปครับ











จากนั้นท่านผู้อ่านคลิ๊กที่ Tenant Root Group แล้วทำการเลือก Azure Subscriptions ครับ ว่าต้องการให้ Microsoft Defender for Cloud เข้าไปดำเนินการตามหน้าที่ที่ผมได้อธิบายไว้ก่อนหน้านี้กับ Azure Subscriptions ใดบ้างครับ เมื่อเลือก Azure Subscriptions ที่ต้องการแล้ว จากนั้นท่านผู้อ่านจะต้องทำการเลือก Defender Plans ดังรูปด้านล่างครับ










ซึ่งโดย Defautl ในส่วนของ Defender Plans จะเป็น Enhanced security off และมีฟีเจอร์ที่สามารถใช้งานได้อยู่ 2 ฟีเจอร์ คือ Continuous assessment and security recommendations กับ Secure score ตามรูปด้านบนครับ นั้นหมายความว่า Microsoft Defender for Cloud ทำหน้าที่ใน การรวบรวมข้อมูลต่างๆ จาก Existing Environment ขององค์กร จากนั้นจะนำเอาข้อมูลที่ได้ไปทำการวิเคราะห์, ตรวจสอบ, ประเมินว่า Environment ดังกล่าวนั้นเป็นอย่างไรบ้างในแง่ของความปลอดภัย และมีคำแนะนำมาให้เพื่อนำเอาไปปรับปรุง Environment ดังกล่าวนั้นให้มีความปลอดภัยมากขึ้นครับ รวมถึงมีการประเมินเป็นคะแนนให้ด้วยครับ ดังรูปด้านล่างครับ โดยไม่มีค่าใช้จ่ายครับ!!!!!








แต่ถ้าเราทำการเปลี่ยน Defender Plans มาเป็น Enable all Microsoft Defender for Cloud plans ก็จะเป็นการกำหนดให้ Microsoft Defender for Cloud ทำหน้าที่เพิ่มเติมจากก่อนหน้านี้ นั่นก็คือ การค้นหาและป้องกัน Threats หรือภัยคุกคาม บวกกับฟีเจอร์ต่างๆ ครับ โดย Plan ดังกล่าวนี้สามารถทดลองใช้งานได้ 30 วัน หลังจากนั้นมีค่าใช้จ่ายนะครับ ดังรูปด้านล่างครับ



















เพราะฉะนั้น สิ่งสำคัญที่ผมอยากจะแนะนำท่านผู้อ่านทุกท่าน คือ เราจะต้องมีการวางแผนและเตรียมตัวกันก่อนนะครับว่า เราจะใช้ Microsoft Defender for Cloud ทำการป้องกัน Workloads ต่างๆ ใน Enviroment (On-Premise, Hybird, และ Multi-Cloud) ของเรามีอะไรบ้างและเป็นอย่างไร จากนั้นมาทำการพิจารณาในส่วนของ Defender Plans และอื่นๆ ครับ เพราะเราจะได้ประเมินค่าใช้จ่ายของ Microsoft Defender for Cloud ได้ครับ

ฟีเจอร์ต่อมาที่ผมอยากพาท่านผู้อ่านไปดู นั่นก็คือ Security Alerts ครับ โดยฟีเจอร์ดังกล่าวนี้จะทำการแจ้งเตือนเมื่อ Microsoft Defender for Cloud เจอ Threats ครับ ดังรูปด้านล่าง โดยรูปด้านล่างเป็นการแจ้งเตือนว่า Azure VM (WTADDSD2) ของผมถูก RDP Attacks ครับ










สามารถเข้าไปดูรายละเอียดของการแจ้งเตือนได้ ตามรูปครับ







จากข้อมูลข้างต้น Microsoft Defender for Cloud ก็จะแนะนำวิธีการที่จะ Mitigate ให้เราครับ ซึ่งในความเป็นจริงแล้ว Microsoft Defender for Cloud ยังมีความสามารถอีกเยอะเลยครับ บทความนี้เป็นเพียงแค่ส่วนหนึ่เท่านนั้นครับ  สำหรับท่านผู้อ่านท่านใดสนใจสามารถไปเข้าดูที่ Link นี้ได้เลยครับผม Microsoft Defender for Cloud - an introduction | Microsoft Docs








และทั้งหมดนี้คือเรื่องราวเกี่ยวกับ Microsoft Defenfer for Cloud ที่ผมมาให้อัพเดทความเปลี่ยนแปลงของ Service ดังกล่าวนี้ให้ทุกท่านได้ทราบกันครับผม.....



























เขียนโดย ที่ ไม่มีความคิดเห็น:

วันจันทร์ที่ 13 ธันวาคม พ.ศ. 2564

Data Encryption ใน Microsoft Azure

      สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวเกี่ยวกับความปลอดภัยใน Microsoft Azure ครับ โดยบทความนี้จะโฟกัสไปที่เรื่องของ "Data Encryption" ครับ ซึ่งถือเป็นเรื่องที่แทบทุกองค์กรให้ความสนใจ เพื่อวางแผนและจัดการเรื่องดังกล่าวนี้ครับ เอาล่ะครับเรื่องราวจะเป็นอย่างไร สามารถติดตามกันได้เลยครับผม

โดยผมขอเริ่มจากในช่วงหลายปีที่ผ่านมาจนถึงปัจจุบัน หลายๆ องค์กรมีการนำเอา Microsoft Azure เข้ามา Adopt ใช้งาน สิ่งที่เกิดขึ้นตามมาแน่นอน นั่นก็คือการติดตั้งและใช้งาน Services ต่างๆ ใน Microsoft Azure เช่น Azure Virtual Machine, Azure Virtual Network, Azure Storage, Azure SQL และอื่นๆ ครับ  ดังนั้นเมื่อองค์กรใดต้องการที่จะทำการวางแผนเพื่อดำเนินการเรื่องของ Security นั้นก็จะต้องเริ่มต้นจากการรวบรวมและรีวิวข้อมูลต่างๆ ดูว่า ณ ปัจจุบันเป็นอย่างไร, เช่น Environment ขององค์กรเป็น Hybrid หรือ Multi-Cloud Environment, องค์กรของเราได้มีการติดตั้งและใช้งาน Services ใน Microsoft Azure ใดไปบ้าง และอื่นๆ และสุดท้ายคือ ความต้องการหรือ Requirements ครับ ข้อมูลและรายละเอียดต่างๆ ที่ได้รวบรวมมานั้น ก็จะนำเอามาทำการวิเคราะห์, วางแผน, ออกแแบบ, และดำเนินการต่อไปครับ 

สำหรับองค์กรที่สนใจเรื่องราวดังกล่าวนี้ ทาง Microsoft ได้เตรียม Models, Guidances, และอื่นๆ มาช่วยองค์กรที่ต้องการที่จะดำเนินการเรื่องดังกล่าวนี้ครับ เช่น Zero Trust Model, Defense-In-Depth Model, และอื่นๆ ครับ สำหรับบทความนี้ผมจะโฟกัสเรื่องของ Data Encryption นะครับ 

โดยผมขอแนะนำ Defense In-Depth Model มาใช้เป็น Reference ในการวางแผนและดำเนินการได้ครับ เพราะใน Defense-In-Depth จะประกอบไปด้วย Layers ต่างๆ ซึ่งองค์กรสามารถทำการพิจารณา, วางแผนและดำเนินการเรื่องของ Security ได้ในแต่ละ Layers ครับ โดยแต่ละ Layers ทาง Microsoft ได้เตรียม Services ตลอดจนฟีเจอร์ต่างๆ ใน Microsoft Azure เข้ามาช่วยในเรื่องของ Security ครับ เพื่อทำให้ภาพรวมของ Environment ขององค์กรมีความปลอดภัยและลดความสุ่มเสี่ยงต่อการถูกโจมตีจากภัยคุกคามครับ รูปด้านล่างคือ รูปที่แสดงถึง Layers ต่างๆ ของ Defense-In-Depth ครับ


Defense-In-Depth Model




มาดูกันครับว่าในแต่ละ Layers ของ Defense-In-Depth มีรายละเอียดอย่างไรครับ

Physical Sercurity, Layer นี้จะโฟกัสที่ความปลอดภัยของ Physical Data Center ตลอดจน Hardware ต่างๆ ครับ ในกรณีที่องค์กรได้มีการติดตั้งและใช้งาน Services ต่างๆ ใน Microsoft Azure ใน Layer นี้ก็จะเป็นหน้าที่ความรับผิดชอบของทาง Microsoft ครับ ในทางกลับกัน ถ้า Workloads หรือระบบต่างๆ รันใน On-Premise Data Center ก็จะเป็นหน้าที่ความรับผิดชอบขององค์กรสำหรับเรื่องของ Security นะครับ

Identity & Access, Layer นี้จะโฟกัสที่ความปลอดภัยของ Identity ของผู้ใช้งานในองค์กรครับ เนื่องจาก ณ ป้จจุบ้น ผู้ใช้งานในองค์กรสามารถเข้าถึง Data หรือ Applications ต่างๆ ที่อยู่ที่ไหนก็ได้ (On-Premise หรือ On Cloud) ดังนั้นองค์กรจะต้องมีการวางแผนในเรื่องของความปลอดภัยของ Identity หรือ User Accounts ของผู้ใช้งานด้วยครับ โดยองค์กรสามารถนำเอาฟีเจอร์ต่างๆ ใน Azure Active Directory (Azure AD) มาช่วยได้ครับ ทั้งนี้ขึ้นอยู่กับ Azure AD Edition ที่องค์กรใช้งานด้วยนะครับ

Perimeter, Layer นี้จะโฟกัสเรื่องความปลอดภัย โดยพิจารณาเรื่องการควบคุมและจัดการ Traffics ที่เข้าและออกขององค์กร โดยเฉพาะองค์กรที่มีลักษณะเป็น Hybrid Cloud Envrionment เช่น มีการเชื่อมต่อระหว่าง On-Premise กับ Microsoft Azure ผ่านทาง VPN เป็นต้น ดังนั้นองค์กรควรจะมีการพิจารณาวางแผนนำเอา Firewall เข้ามาใช้งาน, รวมถึงการป้องกันการโจมตี เช่น DDos เป็นต้นครับ

Network, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Networks โดยเฉพาะ Azure Virutal Networks หรือ Azure VNets ครับ เช่น การควบคุมหรือการ Filter Traffics ระหว่าง Subnets หรือระหว่าง Azure Virtual Networks ครับ

Compute, Layer นี้จะโฟกัสเรื่องความปลอดภัยเกี่ยวกับ Services ของ Microsoft Azure ครับ เช่น Azure Virtual  Machines, Azure Containers เป็นต้น ยกตัวอย่าง เช่น การเข้ารหัส Disks, การติดตั้ง Anti-Virus, การอัพเดท Patches, และอื่นๆ ของ Azure Virtual Machines เป็นต้นครับ

Application, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Applications เช่น การตรวจสอบช่องโหว่ (Vulnerabilities), การเก็บรักษา Secrets, และอื่นๆ เป็นต้นครับ

Data, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Data ครับ โดยในบทความนี้ของผมจะโฟกัสที่ Layer นี้ครับผม

เอาล่ะครับ มาถึงจุดที่องค์กรของเราหรือตัวของท่านผู้อ่านเองต้องการที่จะดำเนินการเรื่องดังกล่าวนี้ (Data Encryption) สิ่งที่ผมแนะนำก่อนเลยและถือเป็นเรื่องที่สำคัญ นั่นก็คือ ท่านผู้อ่านจะต้องทำความเข้าใจก่อนว่าการทำ Data Encryption ใน Microsoft Azure นั้นมีคอนเซปเป็นอย่างไร โดยผมขอเริ่มจากลำดับแรกเลย คือ Data ครับ โดย Data ดังกล่าวที่เราต้องการจะทำ Encryption นั้นเกี่ยวข้องกับ Services ใดใน Microsoft Azure เช่น Azure Virtual Network, Azure Storage, Azure Virtual Machine เป็นต้น เพราะแต่ละ Services ใน Microsoft Azure จะมีฟีเจอร์ในการทำ Encyrpiton ครับ ผมยกตัวอย่าง เช่น ใน Azure Virtual Machines จะมีฟีเจอร์ที่ชื่อว่า "Azure Disk Encryption" หรือ ADE เพื่อใช้ในการเข้ารหัส Data นั่นก็คือ Disks ของ Azure Virtual Machines เป็นต้นครับ  ลำดับถัดมา เราจะต้องทำการเข้าใจเกี่ยวกับสถานะ หรือ State ของ Data ที่เราต้องการทำ Encryption ครับ โดยจะมีรายละเอียดดังนี้ครับ

1. Data At-Rest, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ที่ Physical Drives เพื่อสร้างความมั่นใจว่า ถ้าเกิดเหตุการณ์ที่มีบุคคลใดๆ เข้าไปขโมยหรือนำเอา Physical Drives (Disks) ออกมาจาก Azure Data Center จะไม่สามารถทำการอ่านข้อมูลที่อยู่ใน Physical Drives ดังกล่าวได้ครับ

2. Data In-Transit, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ในการติดต่อสื่อสาร (Communication) กันระหว่างผู้ใช้งานกับ Services เช่น การใช้ HTTPS เป็นต้นครับ

3. Data In-Memory, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ใน Memory ของ Azure Virtual Machine เป็นต้น เพื่อป้องกันการเอา Data ที่อยู่ใน Memory ออกไปครับ

4. File-Level, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ในระดับของ File (File-Level) ที่อยู่ภายใน Azure Virtual Machines หรือ Azure Services (PaaS) เช่น ถ้ามีบุคคลที่สามารถทำการเข้าถึง Azure Virtual Machines (SQL หรือ File Servers เป็นต้น) ได้ นั่นหมายความว่าบุคคลดังกล่าวก็สามารถทำการ Read /Copy File หรือ Content ได้ ดังนั้นถ้าเรามีการทำ Data Encryption ใน State หรือสถานะดังกล่าวได้ก็จะทำให้มีความปลอดภัยมากขึ้น

5. Server Side, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) เพื่อช่วยทำให้ Data มีความปลอดภัยจากกรณีการเข้าถึงโดยการใช้ API/Portal  ยกตัวอย่างเช่น มีบุคคล Sign-In โดยใช้ Azure Portal แล้วทำการดาวน์โหลด Virtual Hard Disk (Disks ของ Azure Virtual Machines) ดังนั้นการทำการ Encryption ใน State หรือสถานะดังกล่าวนี้ก็จะช่วยป้องการการรั่วไหลของข้อมูลได้อีกทางครับ

เอาล่ะครับ เมื่อมาถึงตรงนี้หลังจากที่ผมได้อธิบายเรื่องราวของ Defense-In-Depth Model และ State หรือ สถานะของ Data แล้ว ในขั้นตอนถัดไป ก็จะเป็นการเริ่มวางแผน, ออกแบบ, และดำเนินการครับ ซึ่งจะทำตรงไหนอย่างไร ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ แต่สิ่งสำคัญคือ ความเข้าใจกับคอนเซปตลอดจนเรื่องราวต่างๆ ที่ผมได้นำเสนอไปครับ

และทั้งหมดนี้คือเรื่องราวภาพรวมและคอนเซปต่างๆ ที่เกี่ยวกับเรื่องของ Data Encryption ใน Microsoft Azure ครับผม.....





เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)