Data Encryption ใน Microsoft Azure

      สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวเกี่ยวกับความปลอดภัยใน Microsoft Azure ครับ โดยบทความนี้จะโฟกัสไปที่เรื่องของ "Data Encryption" ครับ ซึ่งถือเป็นเรื่องที่แทบทุกองค์กรให้ความสนใจ เพื่อวางแผนและจัดการเรื่องดังกล่าวนี้ครับ เอาล่ะครับเรื่องราวจะเป็นอย่างไร สามารถติดตามกันได้เลยครับผม

โดยผมขอเริ่มจากในช่วงหลายปีที่ผ่านมาจนถึงปัจจุบัน หลายๆ องค์กรมีการนำเอา Microsoft Azure เข้ามา Adopt ใช้งาน สิ่งที่เกิดขึ้นตามมาแน่นอน นั่นก็คือการติดตั้งและใช้งาน Services ต่างๆ ใน Microsoft Azure เช่น Azure Virtual Machine, Azure Virtual Network, Azure Storage, Azure SQL และอื่นๆ ครับ  ดังนั้นเมื่อองค์กรใดต้องการที่จะทำการวางแผนเพื่อดำเนินการเรื่องของ Security นั้นก็จะต้องเริ่มต้นจากการรวบรวมและรีวิวข้อมูลต่างๆ ดูว่า ณ ปัจจุบันเป็นอย่างไร, เช่น Environment ขององค์กรเป็น Hybrid หรือ Multi-Cloud Environment, องค์กรของเราได้มีการติดตั้งและใช้งาน Services ใน Microsoft Azure ใดไปบ้าง และอื่นๆ และสุดท้ายคือ ความต้องการหรือ Requirements ครับ ข้อมูลและรายละเอียดต่างๆ ที่ได้รวบรวมมานั้น ก็จะนำเอามาทำการวิเคราะห์, วางแผน, ออกแแบบ, และดำเนินการต่อไปครับ 

สำหรับองค์กรที่สนใจเรื่องราวดังกล่าวนี้ ทาง Microsoft ได้เตรียม Models, Guidances, และอื่นๆ มาช่วยองค์กรที่ต้องการที่จะดำเนินการเรื่องดังกล่าวนี้ครับ เช่น Zero Trust Model, Defense-In-Depth Model, และอื่นๆ ครับ สำหรับบทความนี้ผมจะโฟกัสเรื่องของ Data Encryption นะครับ 

โดยผมขอแนะนำ Defense In-Depth Model มาใช้เป็น Reference ในการวางแผนและดำเนินการได้ครับ เพราะใน Defense-In-Depth จะประกอบไปด้วย Layers ต่างๆ ซึ่งองค์กรสามารถทำการพิจารณา, วางแผนและดำเนินการเรื่องของ Security ได้ในแต่ละ Layers ครับ โดยแต่ละ Layers ทาง Microsoft ได้เตรียม Services ตลอดจนฟีเจอร์ต่างๆ ใน Microsoft Azure เข้ามาช่วยในเรื่องของ Security ครับ เพื่อทำให้ภาพรวมของ Environment ขององค์กรมีความปลอดภัยและลดความสุ่มเสี่ยงต่อการถูกโจมตีจากภัยคุกคามครับ รูปด้านล่างคือ รูปที่แสดงถึง Layers ต่างๆ ของ Defense-In-Depth ครับ

Defense-In-Depth Model

มาดูกันครับว่าในแต่ละ Layers ของ Defense-In-Depth มีรายละเอียดอย่างไรครับ

Physical Sercurity, Layer นี้จะโฟกัสที่ความปลอดภัยของ Physical Data Center ตลอดจน Hardware ต่างๆ ครับ ในกรณีที่องค์กรได้มีการติดตั้งและใช้งาน Services ต่างๆ ใน Microsoft Azure ใน Layer นี้ก็จะเป็นหน้าที่ความรับผิดชอบของทาง Microsoft ครับ ในทางกลับกัน ถ้า Workloads หรือระบบต่างๆ รันใน On-Premise Data Center ก็จะเป็นหน้าที่ความรับผิดชอบขององค์กรสำหรับเรื่องของ Security นะครับ

Identity & Access, Layer นี้จะโฟกัสที่ความปลอดภัยของ Identity ของผู้ใช้งานในองค์กรครับ เนื่องจาก ณ ป้จจุบ้น ผู้ใช้งานในองค์กรสามารถเข้าถึง Data หรือ Applications ต่างๆ ที่อยู่ที่ไหนก็ได้ (On-Premise หรือ On Cloud) ดังนั้นองค์กรจะต้องมีการวางแผนในเรื่องของความปลอดภัยของ Identity หรือ User Accounts ของผู้ใช้งานด้วยครับ โดยองค์กรสามารถนำเอาฟีเจอร์ต่างๆ ใน Azure Active Directory (Azure AD) มาช่วยได้ครับ ทั้งนี้ขึ้นอยู่กับ Azure AD Edition ที่องค์กรใช้งานด้วยนะครับ

Perimeter, Layer นี้จะโฟกัสเรื่องความปลอดภัย โดยพิจารณาเรื่องการควบคุมและจัดการ Traffics ที่เข้าและออกขององค์กร โดยเฉพาะองค์กรที่มีลักษณะเป็น Hybrid Cloud Envrionment เช่น มีการเชื่อมต่อระหว่าง On-Premise กับ Microsoft Azure ผ่านทาง VPN เป็นต้น ดังนั้นองค์กรควรจะมีการพิจารณาวางแผนนำเอา Firewall เข้ามาใช้งาน, รวมถึงการป้องกันการโจมตี เช่น DDos เป็นต้นครับ

Network, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Networks โดยเฉพาะ Azure Virutal Networks หรือ Azure VNets ครับ เช่น การควบคุมหรือการ Filter Traffics ระหว่าง Subnets หรือระหว่าง Azure Virtual Networks ครับ

Compute, Layer นี้จะโฟกัสเรื่องความปลอดภัยเกี่ยวกับ Services ของ Microsoft Azure ครับ เช่น Azure Virtual  Machines, Azure Containers เป็นต้น ยกตัวอย่าง เช่น การเข้ารหัส Disks, การติดตั้ง Anti-Virus, การอัพเดท Patches, และอื่นๆ ของ Azure Virtual Machines เป็นต้นครับ

Application, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Applications เช่น การตรวจสอบช่องโหว่ (Vulnerabilities), การเก็บรักษา Secrets, และอื่นๆ เป็นต้นครับ

Data, Layer นี้จะโฟกัสเรื่องความปลอดภัยของ Data ครับ โดยในบทความนี้ของผมจะโฟกัสที่ Layer นี้ครับผม

เอาล่ะครับ มาถึงจุดที่องค์กรของเราหรือตัวของท่านผู้อ่านเองต้องการที่จะดำเนินการเรื่องดังกล่าวนี้ (Data Encryption) สิ่งที่ผมแนะนำก่อนเลยและถือเป็นเรื่องที่สำคัญ นั่นก็คือ ท่านผู้อ่านจะต้องทำความเข้าใจก่อนว่าการทำ Data Encryption ใน Microsoft Azure นั้นมีคอนเซปเป็นอย่างไร โดยผมขอเริ่มจากลำดับแรกเลย คือ Data ครับ โดย Data ดังกล่าวที่เราต้องการจะทำ Encryption นั้นเกี่ยวข้องกับ Services ใดใน Microsoft Azure เช่น Azure Virtual Network, Azure Storage, Azure Virtual Machine เป็นต้น เพราะแต่ละ Services ใน Microsoft Azure จะมีฟีเจอร์ในการทำ Encyrpiton ครับ ผมยกตัวอย่าง เช่น ใน Azure Virtual Machines จะมีฟีเจอร์ที่ชื่อว่า "Azure Disk Encryption" หรือ ADE เพื่อใช้ในการเข้ารหัส Data นั่นก็คือ Disks ของ Azure Virtual Machines เป็นต้นครับ  ลำดับถัดมา เราจะต้องทำการเข้าใจเกี่ยวกับสถานะ หรือ State ของ Data ที่เราต้องการทำ Encryption ครับ โดยจะมีรายละเอียดดังนี้ครับ

1. Data At-Rest, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ที่ Physical Drives เพื่อสร้างความมั่นใจว่า ถ้าเกิดเหตุการณ์ที่มีบุคคลใดๆ เข้าไปขโมยหรือนำเอา Physical Drives (Disks) ออกมาจาก Azure Data Center จะไม่สามารถทำการอ่านข้อมูลที่อยู่ใน Physical Drives ดังกล่าวได้ครับ

2. Data In-Transit, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ในการติดต่อสื่อสาร (Communication) กันระหว่างผู้ใช้งานกับ Services เช่น การใช้ HTTPS เป็นต้นครับ

3. Data In-Memory, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ใน Memory ของ Azure Virtual Machine เป็นต้น เพื่อป้องกันการเอา Data ที่อยู่ใน Memory ออกไปครับ

4. File-Level, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) ในระดับของ File (File-Level) ที่อยู่ภายใน Azure Virtual Machines หรือ Azure Services (PaaS) เช่น ถ้ามีบุคคลที่สามารถทำการเข้าถึง Azure Virtual Machines (SQL หรือ File Servers เป็นต้น) ได้ นั่นหมายความว่าบุคคลดังกล่าวก็สามารถทำการ Read /Copy File หรือ Content ได้ ดังนั้นถ้าเรามีการทำ Data Encryption ใน State หรือสถานะดังกล่าวได้ก็จะทำให้มีความปลอดภัยมากขึ้น

5. Server Side, เป็น State หรือสถานะของ Data ที่ถูกเข้ารหัส (Encryption) เพื่อช่วยทำให้ Data มีความปลอดภัยจากกรณีการเข้าถึงโดยการใช้ API/Portal  ยกตัวอย่างเช่น มีบุคคล Sign-In โดยใช้ Azure Portal แล้วทำการดาวน์โหลด Virtual Hard Disk (Disks ของ Azure Virtual Machines) ดังนั้นการทำการ Encryption ใน State หรือสถานะดังกล่าวนี้ก็จะช่วยป้องการการรั่วไหลของข้อมูลได้อีกทางครับ

เอาล่ะครับ เมื่อมาถึงตรงนี้หลังจากที่ผมได้อธิบายเรื่องราวของ Defense-In-Depth Model และ State หรือ สถานะของ Data แล้ว ในขั้นตอนถัดไป ก็จะเป็นการเริ่มวางแผน, ออกแบบ, และดำเนินการครับ ซึ่งจะทำตรงไหนอย่างไร ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ แต่สิ่งสำคัญคือ ความเข้าใจกับคอนเซปตลอดจนเรื่องราวต่างๆ ที่ผมได้นำเสนอไปครับ

และทั้งหมดนี้คือเรื่องราวภาพรวมและคอนเซปต่างๆ ที่เกี่ยวกับเรื่องของ Data Encryption ใน Microsoft Azure ครับผม.....