Azure Update Management Center (Preview)

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นเรื่องราวของขั้นตอนหนึ่งที่สำคัญในการบริหารจัดการตลอดจนการดูแลรักษา Virtual Machines ที่องค์กรได้มีการติดตั้งและใช้งาน ซึ่งแรกเริ่มเดิมที่ Virtual Machines ดังกล่าวนี้จะถูกติดต้้งและใช้ในงานใน On-Premise แต่ในช่วงหลายปีที่ผ่านมา หลายๆ องค์กรเริ่มมีการนำเอาเทคโนโลยีของ Cloud Computing เข้ามาประยุกต์ใช้งาน ตลอดจนได้มีการเลือกพิจารณา Services ต่างๆ ของผู้ให้บริการ Cloud  เช่น Microsoft Azure, AWS, GCP, และอื่นๆ ที่องค์กรใช้งาน ทำการ Deploy และติดตั้งใช้งานตามความต้องการ

ในกรณีนี้ผมขอยกตัวอย่างจาก Microsoft Azure นะครับ, ใน Microsoft Azure จะมี Services ให้เลือกหลากหลายเพื่อรองรับกับความต้องการขององค์กร แต่จะมี Services หลักๆ (Azure Core Services) ที่หลายๆ องค์กรมักจะเลือกติดตั้งใช้งาน และหนึ่งใน Services หลักๆ ที่หลายๆ องค์กรพิจารณาเลือกติดตั้งและใช้งาน นั่นก็คือ "Azure Virtual Machine" หรือเรียกสั้นๆ ว่า Azure VM และผมเชื่อว่า Azure VM น่าจะเป็น Service ที่ท่านผู้อ่านทุกท่านน่าจะมีความคุ้นเคยมากที่สุดตัวหนึ่งครับ 

และเมื่อท่านผู้อ่านได้มีการติดต้้งและใช้งาน Azure VMs (OS จะเป็น Windows หรือ Linux ก็ตาม) เรื่องหนึ่งที่จะต้องทำการพิจารณาวางแแผนเพื่อดำเนินการ คือ การทำ Patch Management ให้กับ Azure VMs เหล่านั้น  สำหรับเรื่องของการทำ Patch Management นั้น ไม่ใช่เรื่องใหม่เลยใช่มั๊ยครับ เพราะเราได้ดำเนินการเรื่องนี้ให้กับ Virtual Machines ที่อยู่ใน On-Premise ของเราอยู่แล้ว แต่คราวนี้เราจะต้องพิจารณาดำเนินการเรื่องดังกล่าวนี้ให้กับ Virtual Machines ที่องค์กรหรือเราติดตั้งใช้งานบน Cloud (ในกรณีนี้ คือ Azure VMs ตามตัวอย่างที่ผมได้เกริ่นไว้ข้างต้น) เพราะเนื่องจากองค์กรของเราได้มีการนำเอา Cloud Computing เข้ามาประยุกต์ใช้งาน ซึ่งก่อให้เกิดการปรับปรุงเปลี่ยนแปลงหลายอย่าง เช่น ในส่วนของ Infrastructure, Network ก็จะเปลี่ยนเป็นแบบ Hybrid Cloud Environment, ในส่วนของ Identity, และอื่นๆ ครับ

และจากตัวอย่างที่ผมได้อธิบายไว้ข้างต้น นั่นหมายความว่าองค์กรใดที่มีลักษณะที่เป็น Hybrid Cloud Environment และถ้าเราโฟกัสเฉพาะ Vitual Machines ท่านผู้อ่านจะเห็นว่าองค์กรดังกล่าวจะมี Virutal Machines ที่มีการติดตั้งและใช้งานอยู่นั้น กระจายอยู่ทั้ง On-Premise และ Cloud (Hybrid Cloud Environment) แล้วเราหรือองค์กรจะวางแผนเพื่อดำเนินการทำ Patch Management อย่างไร? และทาง Microsoft มีเครื่องมือมาช่วยองค์กรหรือไม่ และจากประเด็นของ Patch Management นี่เอง จึงเป็นที่มาของบทความนี้ครับ

สำหรับเรื่องของการอัพเดท โดยเฉพาะ OS Updates หรือเรียกโดยรวมว่า Patch Management นั้น ถือว่าเป็นส่วนประกอบที่สำคัญส่วนหนึ่งของ Zero-Day Vulnerability ซึ่งถือว่าเป็นสิ่งที่เกี่ยวข้องกับความปลอภัยหรือ Security ครับ  สำหรับเครื่องมือที่ทาง Microsoft ได้เตรียมเอาไว้ช่วยองค์กรสำหรับในการดำเนินการเรื่องดังกล่าวนี้ โดยมี Options ให้เลือกดังนี้ครับ

1. WSUS (Windows Server Update Services)

2. SCCM (System Center Configuration Mananger)

และผมเชื่อว่าทั้งสอง Options นี้จะต้องมีท่านผู้อ่านรู้จักและใช้งานอยู่ครับ แต่โดยส่วนใหญ่หรือที่ผ่านเรากันใช้ใน On-Premise ที่เดียวครับ อ้าว!!!! แล้ว Azure VMs ล่ะ เราสามารถใช้เครื่องดังกล่าวนี้ได้หรือไม่ คำตอบ คือ ได้ครับ แต่จะต้องมีการติดตั้ง Azure VMs เพิ่มเติมเพื่อดำเนินการในเรื่องนี้ ทั้งนี้ขึ้นอยู่กับ Options, ความต้องการ, และการออกแบบครับ

นั่นคือ Options หรือทางเลือกที่มีอยู่สำหรับในช่วงเวลาที่ผ่านมาครับ คำถามถัดมาคือ แล้วทาง Microsoft มี Option หรือเครื่องมืออื่นๆ ให้เลือกเพิ่มเติมสำหรับการทำ Patch Management อีกมั๊ยครับ คำตอบ คือ มีครับ โดยใช้ฟีเจอร์หนึ่ง (Update Management) ของ Service ที่มีชื่อว่า "Azure Automation Account" โดย Service ดังกล่าวนี้ให้บริการในรูปแบบของ PaaS นั่นหมายความว่า เราสามารถทำ Patch Management ได้โดยที่ไม่ต้องติดตั้ง Server หรือ VM (WSUS หรือ SCCM Roles) ใดๆ เพิ่มเติม (ซึ่งต่างจาก 2 Options ที่ผมได้อธิบายไว้ก่อนหน้านี้ครับ)

เราสามารถทำการอัพเดท (Patch Management) ให้กับ Azure VMs ที่มี OS เป็น Windows และ Linux ได้ด้วยครับ ดังรูปด้านล่างครับ

เราสามารถใช้ Update Management ฟีเจอร์ดังกล่าวนี้ทำ Patch Management ให้กับ Virtual Machines ที่อยู่ใน Microsoft Azure (Azure VMs) รวมถึงอยู่ใน On-Premise ด้วยครับ  และนี่ก็เป็นอีกหนึ่งทางเลือกหรือ Option สำหรับการทำ Patch Management ครับ  แต่ยังไม่จบครับ!!!!! 

เพราะยังมีอีกหนึ่งทางเลือกซึ่งเพิ่งมาได้ไม่นานและ ณ วันนี้ยังเป็น Preview อยู่ครับ นั่นคือ "Update Management Center (UMC)" ครับ และนี่คือสิ่งที่ผมอยากจะพาทุกท่านมาทำความรู้จักครับผม

Update Management Center (UMC) คืออะไร?

UMC เป็น Patch Management โซลูชั่นใหม่ โดยทางได้มีการออกแบบใหม่ทั้งหมด โดยองค์กรสามารถใช้ UMC ในการบริหารจัดการการทำ Patch Management  (System Updates, Update Configuration Settings,และอื่นๆ) แบบ Centralized Management โดย Virtual Machines (OS จะเป็น Windows หรือ Linux ก็ได้ครับ) จะอยู่ที่ไหนก็ได้ เช่น Microsoft Azure, On-Premise, รวมถึง Cloud Service Providers อื่นๆ  หรือสรุปได้ว่า UMC เป็น Patch Management ที่ครอบคลุม Environment ขององค์กรที่เป็น Hybrid และ Multi-Cloud ครับ

โดยเราสามารถให้  UMC ทำการประเมิน Status ของ Updates ต่างๆ, จัดการในเรื่องของการติดตั้ง Updates ต่างๆ รวมถึงการตรวสอบให้กับ Virtual Machines ดังรูปด้านล่าง

เนื่องจาก UMC  ไม่ได้ทำงานร่วมกับ Azure Automation Account และ Azure Monitor Logs ครับ และจากจุดนี้เองทำให้ UMC มีความแตกต่างจาก Azure Automation Account (Update Management) และอย่างที่ผมได้อธิบายไว้ก่อนหน้านี้ว่าทาง Microsoft ได้ทำการออกแบบ UMC Service นี้ขึ้นมาใหม่เพื่อมาช่วยองค์กรได้ทำ Patch Managmenet ครับ ทำให้โดยภาพรวมความสามารถของ UMC นั้นสามารถทำหน้าที่ได้เหมือนกับ Update Management (Azure Automation Account) แต่มีความสามารถมากกว่า ตลอดจนมีความยืดหยุ่นกว่าครับ ที่นี้เรามาดูความสามารถและฟีเจอร์หลักๆ ของ UMC กันครับ

- Native Experience with Zero On-Boarding

- ทำงานร่วมกัน Azure AD (RBAC) สำหรับการทำ Access Control

- ตรวจสอบ Updates โดยอัตโนมัติหรือ On-Demand

- มีความสามารถในการติดตั้ง Updates ทันทีหรือตาม Schedules ที่กำหนด

- Hotpatching ทำการติดตั้ง Updates ไปยัง Virtual Machines (Supported Windows Server) โดยไม่ต้องทำการ Reboot หลังจากติดตั้ง Updates

- อื่นๆ 

สำหรับรูปด้านล่าง ที่แสดงถึง UMC ทำการประเมิน (Assesses) และทำการติดตั้ง Updates ต่างๆ ไปยัง Azure VMs, Non-Azure VMs (Azure-Enable Servers) ที่อยู่ในองค์กร (ครอบคลุมทั้ง Hybrid และ Multi-Cloud Environment) 

รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Update Management Center สามารถไปที่ Link นี้ครับ, Update management center (preview) overview | Microsoft Learn

และในช่วง Preview, UMC ยังไม่มีคิดค่าใช้จ่ายนะครับ

และทั้งหมดนี้คือเรื่องราวเบื้องต้นหรือ Introduction  ของ Azure Update Management Center (Preview) ครับผม.....

รู้จักกับ Azure Key Vault

      สวัสดีครับทุกท่านสำหรับบทความนี้ ผมจะพาทุกท่านมาทำความรู้จักกับ Service หนึ่งใน Microsoft Azure ที่มีชื่อว่า "Azure Key Vault" ครับ และต้องบอกทุกท่านไว้ก่อนเลยว่า Service นี้มีความสำคัญและเกี่ยวข้องกับเรื่องของ Cloud Security ครับ เรื่องราวของ Azure Key Vault จะเป็นอย่างไร เชิญทุกท่านติดตามกันได้เลยครับผม

Azure Key Vault คืออะไร?

อย่างที่ได้เกริ่นไว้ตอนต้นครับว่า Azure Key Vault เป็น Service หนึ่งใน Microsoft Azure ครับ โดยหน้าที่ของ Azure Key Vault จะเป็นเตรียมที่ที่สำหรับเก็บและเข้าถึงข้อมูล (หรือเรียกว่า Vault ครับ) ที่ปลอดภัยครับ อีกทั้งยังมาพร้อมกับการบริหารจัดการข้อมูลที่ถูกเก็บใน Azure Key Vault แบบ Centrlized Management, Access Control, Logging, และอื่นๆ

  

นอกจากนี้แล้ว Azure Key Vault ยังบังคับใช้ TLS (Transport Layer Security) Protocol ในการป้องกันข้อมูลที่เดินทางระหว่างตัวของ Azure Key Vault เองกับ เครื่องของผู้ใช้งาน และ Azure Key Vault ยังป้องกันการเชื่อมต่อหรือ Connection ระหว่าง Client System กับ Microsoft Cloud Services ด้วยครับ

ทำไมถึงต้องใช้ Azure Key Vault?

เป็นประเด็นหนึ่งที่ผมมักจะเจอหลายท่านๆ สอบถามด้วยความสงสัยว่าเราจะใช้ Azure Key Vault เพื่อไปอะไรหรือทำไมเราต้องใช้ ผมขออธิบายแบบนี้นะครับ โดยเริ่มจากหน้าที่หลักๆ ของ Azure Key Vault คือ ช่วยองค์กรหรือ IT ทำการจัดเก็บ, ควบคุม, และบริหารจัดการข้อมูลสำคัญ (Sensitive Data) ให้มีความปลอดภัยมากขึ้น ว่าแต่การจัดเก็บตลอดจนการบริหารจัดการข้อมูลสำคัญที่ว่านี้ มันคืออะไร? ท่านผู้อ่านสามารถทำความเข้าใจเรื่องดังกล่าวนี้ โดยมีรายละเอียดดังนี้:

- Secrets Management, กรณีนี้เราใช้ Azure Key Vault ในการเก็บและควบคุมการเข้าถึงข้อมูล (Secrets) ตัวอย่างของ Secrets เช่น Password, Database Connection Strings, Storage Account Keys, API Keys, และอื่นๆ 

- Key Management, กรณีนี้เราใช้ Azure Key Vault ในการบริหารจัดการและควบคุม Keys ที่เราจะนำเอาไปใช้ในการทำ Data Encryption

- Certificate Management, กรณีนี้เราใช้ Azure Key Vault ในการทำ Provision, Manage, และ Deploy Private/Public SSL/TLS Certificates เพื่อนำเอาไปใช้งานร่วมกับ Services อื่นๆ ต่อไป

ประโยชน์ของ Azure Key Vault

1. บริหารจัดการ Application Secrets แบบ Centralized Management โดยการนำเอา Application Secrets ต่างๆ มาเก็บไว้ที่ Azure Key Vault เพื่อควบคุมการ Distribution เพื่อนำไปใช้งาน และยังลดความเสี่ยงที่ Secrets อาจรั่วไหลได้

2. Integrate กับ Azure Services อื่นๆ  ท่านผู้อ่านสามารนำเอา Azure Key Vault ไปทำงานร่วมกับ Services อื่นๆ ใน Microsoft Azure ได้ เช่น Azure Virtual Machine, Azure Storage Account, Azure SQL, Azure Event Hub, Azure Container Registry, และอื่นๆ  ยกตัวอย่าง เช่น ใช้ Azure Key Vault ไปทำงานร่วมกับฟีเจอร์หนึ่งของ Azure Virtual Machine (Azure Disk Encryption) เพื่อใช้ในการ Encrypt Disks ของ Azure Virtual Machine  หรือการนำเอา Azure Key Vault ไปทำงานร่วมกัน Azure Stroage Account เพื่อทำการ Encrypt ข้อมูลที่เก็บอยู่ใน Azure Stroage Account เป็นต้น

3. Integrate กับ Azure Active Directory โดยก่อนที่เข้าถึงข้อมูลต่างๆ ที่เก็บใน Azure Key Vault จะต้องผ่านการ Authentication และ Authorization กับ Azure Active Directory ก่อน

4. Monitoring ท่านผู้อ่านสามารถทำการตรวจสอบการเข้าถึงหรือใช้งานข้อมูลต่างๆ ที่เก็บอยู่ใน Azure Key Vault ได้ เนื่องจากตัวของ Azure Key Vault จะมีการบันทึกเหตุการณ์หรือ Activity ต่างๆ เอาไว้ให้เราสามารถทำการตรวจสอบได้

5. High Availability เราสามารถทำการ Replicate ข้อมูลที่เก็บใน Azure Key Vault (Contents) ภายใน Azure Region เดียวกันหรือต่าง Azure Regions ได้ตามความต้องการ

6. Compliance  ตัวของ Azure Key Vault คอมไฟล์ตามมาตราฐาน FIPS 140-2 Level 2 (Vault) และ FIPS 140-2 Level 3 (Managed HSM Pools) 

7. Encryption (Data In Transit) Azure Key Vault ใช้ TLS Protocol ในการป้องกันข้อมูลที่เดินทางระหว่างตัวของ Azure Key Vault เองกับผู้ใช้งาน อย่างที่ผมได้อธิบายไว้ก่อนหน้านี้ครับ

Service Tiers ของ Azure Key Vault

ก่อนที่เราจะนำเอาข้อมูลไปเก็บไว้ใน Azure Key Vault สิ่งแรกที่จะต้องดำเนินการ คือ การสร้าง Vault  ครับ โดยจะมีให้เลือก 2 แบบหรือ Service Tiers ดังนี้:

Standard Tier (Software Based)

- เข้ารหัสหรือ Encrypt ด้วย Software Key

- ใช้ Software Vault ในการจัดเก็บและบริหารจัดการ (FIPS 140-2 Level 2)

Premium Tier (Hardware Based-HSM)

- เข้ารหัสด้วย Hardware Security Module (HSM) Protected Keys

- ใช้ Managed HSM Pool ในการจัดเก็บและบริหารจัดการ (FIP 140-2 Level 3)

รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Key Vault สามารถไปที่ Link นี้ได้เลยครับ, Azure Key Vault documentation | Microsoft Learn

และทั้งหมดนี้คือเรื่องราวของ Azure Key Vault ที่ผมนำมาเล่าสู่กันฟังครับผม.....

รู้จักกับ Azure Bastion Shareable Link

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมมาเสนอฟีเจอร์ใหม่ของ Azure Bastion ที่มีชื่อว่า "Shareable Link" ครับ  สำหรับท่านผู้อ่านท่านใดที่คุ้นเคยการ Azure Virtual Machine อยู่แล้ว น่าจะรู้จักและคุ้นเคยกับ Azure Bastion ซึ่งเป็น Service ที่ให้เราสามารถทำการติดต่อหรือ Connect (RDP และ SSH) ไปยัง Azure Virtual Machine ผ่านทาง Web Browser ซึ่งมีความปลอดภัยมากกว่าการที่เราทำการเชื่อมต่อหรือ Connect (RDP และ SSH) ไปยัง Azure Virtual Machine ด้วย Public IP Address ของ Azure Virtual Machine ดังกล่าว 

แต่การที่เราจะใช้ Azure Bastion ที่ว่านี้เพื่อเข้าไปติดต่อกับ Azure Virtual Machine นั้น จะต้องเข้าไปยัง Azure Portal ก่อน จากนั้นจึงสามารถใช้ Azure Bastion เพื่อทำการติดต่อไปยัง Azure Virtual Machine ที่เราต้องการครับ ซึ่งโดยส่วนตัวจากที่ผมใช้งานมา โดยรวมถือ ดีเลยทีเดียวอีกทั้งมีความปลอดภัยมากขึ้นด้วย แต่ที่ยังขัดใจนิดๆ คือ ต้องเข้าไปที่ Azure Portal ก่อน จึงสามารถใช้ Azure Bastion เพื่อทำการติดต่อไปยัง Azure Virtual Machie ครับ ถ้าไม่ต้องไปที่ Azure Portal ก่อน แล้วใช้ Azure Bastion ตรงๆ เลย มันจะดีมากเลยครับ และสิ่งที่ผมติดใจหรือขัดใจนิดๆ ที่ว่านี้ ณ วันนี้ทาง Microsoft Azure ได้มีการปรับปรุงเรื่องนี้ใน Azure Bastion แล้วครับ โดยฟีเจอร์ที่ว่านี้คือ "Azure Bastion Shareable Link" ครับผม

Azure Bastion Shareable Link คืออะไร?

ฟีเจอร์ที่ให้เราสามารถทำการติดต่อไปยัง Azure Virtual Machine หรือ Azure Virtual Machine Sale Set (VMSS) โดยใช้ Azure Bastion (ที่เรารู้จักและคุ้นเคยกันดีอยู่แล้ว) ที่ไม่ต้องเข้าไปยัง Azure Portal เหมือนเมื่อก่อนครับ ทำให้เพิ่มความสะดวกในการติดต่อหรือ Connect มากขึ้นครับ เมื่อเราต้องการติดต่อกับ Azure Virtual Machine ที่ต้องการผ่านทาง Shareable Link มันจะให้มี Prompt ขึ้นมาให้เราทำการ Sign-In  ก่อนจากนั้นจะเชื่อมต่อไปยัง Azure Virtual Machine หรือ Azure Virtual Machine Scale Set ผ่าน RDP หรือ SSH ครับ

การ Configure เพื่อใช้งาน Azure Bastion Shareable Link

สำหรับวิธีการใช้งาน Azure Bastion Shareable Link นั้น ให้ไปที่ Azure Portal ก่อนครับ จากนั้นไปที่ Azure Bastion Subnet ที่เราได้มีการใช้งาน Azure Bastion ก่อนหน้านี้ครับ ไปที่ Configuration ดังรูปด้านล่างครับ

จากนั้นให้ทำการเปลี่ยนจาก Tier ของ Azure Bastion จาก Basic เป็น Standard และทำการคลิ๊กเลือก Shareable Link แล้วคลิ๊ก Apply ดังรูปด้านล่าง แล้วรอประมาณ 10 นาทีครับ  เมื่อเสร็จเรียบร้อยแล้ว ไปที่ Azure Bastion Subnet อันเดิมจากช่วงต้นครับ แล้วคลิ๊กที่ Shareable Links  จากนั้นคลิ๊ก Add เพื่อทำการสร้าง Shareable Link ดังรูปครับ

จากนั้นให้เลือก Azure Virtual Machine หรือ Azure Virtual Machine Scale Set ที่ต้องการ ตัวอย่างดังรูปด้านล่างครับ

เมื่อคลิ๊ก Apply แล้ว รอซักครู่ครับ Azure Bastion จะทำการสร้าง Shareable Link ให้กับ Azure Virtual Machine หรือ Azure Virtual Machine Scale Set ที่เลือกไว้ ดังรูปด้านล่าง

จากนั้น Copy Shareable Link ที่ต้องการ จากนั้นไปที่ Web Browser แล้วทำการ Paste Shareable Link ดังกล่าว ดังรูปครับ

จากนั้นทำการ Sign-In ครับ เมื่อเสร็จเรียบร้อยก็จะปรากฏตามรูปด้านล่างครับ นั่นก็คือ เราสามารถติดต่อไปยัง Azure Virtual Machine หรือ Azure Virtual Machine Scale Set (RDP หรือ SSH) ที่เราต้องการโดยไม่ต้องเข้าไปที่ Azure Portal ก่อนแล้วค่อยใช้ Azure Bastion ครับ 

รายละเอียดเพิ่มเติมสามารถสามารไปที่ Link นี้ได้เลยครับ, Create a shareable link for Azure Bastion | Microsoft Learn

และทั้งหมดนี้คือเรื่องราวของ Azure Bastion Shareable Link ครับผม.....

สำรวจฟีเจอร์ใหม่ๆ ของ Microsoft Defender for Cloud

      สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ของผม จะพาทุกท่านมาทำความรู้จักกับฟีเจอร์ใหม่ๆ ที่น่าสนใจของ Microsoft Defender for Cloud กันครับ หลังจากที่ทาง Microsoft ได้ประกาศและอัพเดทในงาน Microsoft Ignite 2022 ครับ สำหรับท่านใดที่ยังไม่รู้จักหรือยังไม่คุ้นเคยกับ Microsoft Defender for Cloud ซึ่งเป็น Service หนึ่งใน Microsoft Azure ที่มีบทบาทสำคัญสำหรับเรื่องของ Cloud Security สามารถเข้าไปอ่านบทความของผมที่เขียนไว้ก่อนหน้านี้ ซึ่งจะเป็นอธิบายให้ทุกท่านได้ทราบและเข้าใจกันก่อนครับ http://itgeist5blog.blogspot.com/2021/12/microsoft-defender-for-cloud.html

สำหรับฟีเจอร์ใหม่ของ Microsoft Defender for Cloud ที่ผมจะหยิบเอามานำเสนอในบทความนี้ของผม มีดังนี้ครับ Cloud Security Graph, Attack Path Analysis, และ Cloud Security Explorer ครับ โดยฟีเจอร์ใหม่ๆ เหล่านี้จะเข้ามาช่วย SOC หรือ Security Teams ในการทำ Day-to- Day Tasks ของ Security Operations ให้มีความง่ายและหยืดหยุ่นมากขึ้น

Cloud Security Graph

คือ Graph-Based Context Engine (ทำงานอยู่ใน Microsoft Defender for Cloud) จะทำการรวบรวมข้อมูลต่างๆ จาก Environments ขององค์กร ไม่ว่าจะเป็น Hybrid หรือ Multi-Cloud ตลอดจน Sources อื่นๆ ที่องค์กรต้องการรวบรวมข้อมูล ยกตัวอย่างเช่น Cloud Assets Inventory, Connections และ Lateral Movement ที่อาจจะเกิดขึ้นและเป็นไปได้ระหว่าง Resources ต่างๆ, Permissions, Network Connections, Vulnerabilities, และอื่นๆ  

โดยข้อมูลที่ได้รวบรวมมานั้นจะถูกสร้างหรือ Build เป็น Graph เพื่อแสดงถึง Environments ขององค์กรนั้นๆ  จากนั้น Microsoft Defender for Cloud จะใช้ Graph ที่ได้ถูกสร้างหรือ Build ขึ้นมาก่อนหน้านี้เพื่อทำ "Attack Path Analysis" เพื่อทำการค้นหาภัยคุกคาม (Threats), สิ่งผิดปรกติที่เกิดขึ้นใน Environments องค์กร โดย SOC Teams สามารถทำการ Query Graph โดยใช้ "Cloud Security Explorer" ครับ

Attack Path Analysis

คือ Graph-Based Algorithm ที่ทำการสแกนหรือตรวจสอบ Cloud Security Graph เพื่อทำการเปิดเผยเส้นทางต่างๆ ที่ Attackers ในการเข้ามาใน Environments ขององค์กรเพื่อเข้าถึง Resources ต่างๆ จากนั้น Attack Path Analysis ทำการตรวจสอบและค้นหาจากข้อมูลต่างๆ ที่ได้รวบรวมมาก่อนหน้านี้ เช่น Internet Exposure, Permissions, Lateral Movement, และอื่นๆ เพื่อดูว่ามีสิ่งผิดปรกติที่น่าสงสัยที่อาจจะก่อให้เกิดช่องโหว่ ตลอดจนการให้คำแนะนำหรือ Recommendations ในการ Remediate หรือการปรับปรุงแก้ไขอย่างไรเพื่อทำการหยุดหรือยับยั้งเส้นทางดังกล่าว

รูปด้านล่างจะเป็นรูปที่เกี่ยวข้องกับฟีเจอร์ Attack Path Analysis ซึ่งจะเป็นรูปที่แสดงถึงการใช้งาน Attack Path Analysis ครับ

อ้างอิงจากรูปด้านบนทั้งหมดเป็นรูปที่เกี่ยวข้องกับ Environment ของผมนะครับ และผมได้ทำการทดลองใช้งาน Cloud Security Graph และ Attack Path Analysis ทำให้ผมได้ทราบว่ามีช่องโหว่หรือจุดที่อาจจะก่อให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับ Azure VM  (Internet exposed VM has high serverity vulnerabilities) ของผมครับ จาก Issues ดังกล่าวนี้ ผมสามารถดู Recommendations ที่ Microsoft Defender for Cloud (Cloud Security Graph + Attack Path Analysis) ดังรูปด้านล่างครับ

Cloud Security Explorer

เป็นฟีเจอร์ที่จะเข้ามาช่วย SOC หรือ Security Teams ในการตรวจสอบและค้นหา Security Risks แบบ Proactive โดย SOC หรือ Security สามารถใช้ Cloud Security Explorer ทำการรัน Query (Graph-Based Query กับ Cloud Security Graph) ที่สามารถสร้างขึ้นด้วย Query Builder เพื่อทำการค้นหา Risks  รูปด้านล่างเป็นตัวอย่างการสร้าง Query รวมถึงการใช้ Query Templates ที่ทาง Microsoft Defender for Cloud เตรียมไว้ให้ครับ

และรูปด้านล่างคือ ตัวอย่างของผลลัพธ์ที่ได้จาก Query ซึ่งเป็นการค้นหา Risks แบบ Proactive ครับ หลังจากนั้น SOC หรือ Security Teams สามารถที่จะนำเอาผลลัพธ์ที่ได้ ไปทำการพิจารณาเพื่อทำการปรับปรุง Resources ดังกล่าวนี้ให้มีความปลอดภัยมากขึ้น ส่งผลให้ภาพรวมของ Security Posture ในองค์กรดังกล่าวนั้นมีความปลอดภัยมากขึ้นครับ

Microsoft Defender for Cloud (DevOps Security)

หรือเรียกว่า Microsoft Defender for DevOps เป็นฟีเจอร์ที่เข้าไป Integrate เพื่อทำงานร่วมกับ GitHub Advanced Security ซึ่ง Embeded อยู่ภายใน GitHub และ Azure DevOps เพื่อเพิ่มความสามารถในการเข้าไปป้องกัน Resources จาก Code ไปยัง Cloud  โดยตัวของ Microsoft Defender for Cloud (DevOps Security) ได้เตรียมความสามารถต่างๆ เอาให้ SOC หรือ DevOps Teams สามารถเห็นและทำความเช้าใจข้อมูลและรายละเอียดต่างๆ เช่น GitHub และ Azure DevOps ที่อยู่ใน Environments (ครอบคลุมทั้ง Hybrid และ Mulit-Cloud) และมีการเชื่อมโยงเข้ากับ Contextual Cloud Security Intelligence อื่นๆ เพื่อช่วยในการสร้างความปลอดภัย 

ความสามารถคร่าวๆ ของ Microsoft Defender for Cloud (DevOps Security) หรือ Microsoft Defender for DevOps มีดังนี้ครับ

- Security หรือ DevOps Teams ตลอดจผู้ที่เกี่ยวข้องเช่น Security Administrators สามารถเห็นและเข้าใจภาพรวมทั้งหมด เช่น DevOps Inventory, Security Posture ของ Pre-Production Application Code, Resource Configuration ที่ข้ามหรือ Across หลายๆ Pipelines ภายใน Single View

- ตรวจสอบ Infrastructure as Code (IaC) Templates และ Container Images โดย Microsoft Defender for DevOps จะเข้าไปทำการตรวจสอบ Micsconfigurations ต่างๆ และสิ่งผิดปรกติที่น่าสงสัย ก่อนที่จะนำไปใช้งานใน Production Environments 

และทั้งหมดนี้คือการสำรวจฟีเจอร์ใหม่ๆ ของ Microsoft Defender for Cloud ครับผม.....

เจาะลึก Phases การทำงานของ Microsoft Sentinel

      สวัสดีครับทุกท่าน กลับมาพบกันอีกเช่นเคยนะครับ สำหรับบทความตอนนี้ของผมจะเกี่ยวข้องกับ Microsoft Sentinel ซึ่งเป็น Service หนึ่งใน Microsoft Azure ซึ่งในช่วงที่ผ่านมาจนถึงปัจจุบันหลายๆ องค์กรหรือหลายๆ ท่านให้ความสนใจครับ เพราะตัวของ Microsoft Sentinel ถือว่าเป็นส่วนประกอบส่วนหนึ่งที่สำคัญส่วนหนึ่งของ Azure Security Solution ครับ 

โดย Microsoft Sentinel เป็น Service ที่ให้บริการ SIEM (Security Information Event Management) และ SOAR (Securiy Orchestration Automated Response) และยังมาพร้อมกับเทคโนโลยีต่างๆ เช่น AI, Machine Learning เป็นต้น และ Microsoft Sentinel ยังถูกออกแบบมาสำหรับ SOC (Security Operations Center) Team หรือ Security Team เพื่อใช้ในการดำเนินการและจัดการเรื่องราวต่างๆ ที่เกี่ยวข้องกับความปลอดภัย (Security Operations) ซึ่งครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments

สิ่งหนึ่งที่สำคัญมากสำหรับท่านใดที่สนใจอยากจะใช้งาน Microsoft Sentinel นั่นคือ ทำความเข้าใจกับคอนเซปการทำงานตลอดจนส่วนประกอบต่างๆ ของ Microsoft Sentinel พร้อมกับ Requirements หรือความต้องการที่เราหรือองค์กรต้องการใช้งาน Microsoft Sentinel และอื่นๆ เสียก่อนครับ จากนั้นทำการรวบรวมข้อมูลต่างๆ ที่อธิบายไว้เมื่อซักครู่ มาทำการวางแผนและออกแบบ Architecture ของ Microsoft Sentinel ครับ เพราะการที่องค์กรจะนำมาเอา Microsoft Sentinel เข้ามาใช้งาน จะเกี่ยวข้องกับ Environments ณ ปัจจุบันที่องค์กรใช้งาน โดยเฉพาะในส่วนของ Microsoft Azure เช่น Azure Active Directory Tenant, Azure Subscription, Resource Group, และอื่นๆ ครับ

สำหรับบทความนี้ผมจะเจาะลึกในรายละเอียดของ Phases การทำงานต่างๆ ของ Microsoft Sentinel ครับ เผื่อท่านผู้อ่านท่านใดที่สนใจ Microsoft Sentinel จะได้ทราบและเข้าใจว่าตัวของ Microsoft Sentinel มีคอนเซปการทำงานอย่างไรในแต่ละ Phases เพราะท่านผู้อ่านจะต้องใช้ความเข้าใจดังกล่าวนี้มาคิดพิจารณาร่วมกับข้อมูลต่างๆ ข้างต้น เพื่อทำการวางแผนและออกแบบ และดำเนินการใช้งาน Microsoft Sentintel ครับ ส่วนรูปด้านล่างเป็นรูปที่แสดงถึง Phases ต่างๆ ของ Microsoft Sentinel ครับ

Phases การทำงานของ Microsoft Sentinel แบ่งออกเป็น 4 Phases และมาดูรายละเอียดในแต่ละ Phases กันเลยครับ

Phase 1: Collect

Phase 2: Detect 

Phase 3: Investigate

Phase 4: Respond

Phase 1: Collect 

Phase นี้จะเกี่ยวข้องกับการเก็บรวบรวมข้อมูล (Collect) จาก Sources ต่างๆ เช่น Users, Devices, Application, Infrastructure ทั้งในส่วนของ On-Premise และ Cloud (รองรับ Multi-Cloud), และอื่นๆ ใน Environments ขององค์กร โดยการรวบรวมข้อมูลต่างๆ ที่อธิบายไว้เมื่อซักครู่นั้น โดย Microsoft Sentinel ได้เตรียมหลากหลายวิธีการในการเชื่อมต่อ Sources ต่างๆ เพื่อทำการรวบรวมข้อมูล  หนึ่งในหลากหลายวิธีสำหรับการรวบรวมหรือ Collect ข้อมูลดังกล่าวสามารถใช้ฟีเจอร์ที่ชื่อว่า "Data Connectors" ซึ่ง Microsoft Sentinel ได้เตรียม Built-In Data Connectors ไว้มากมายครับ เช่น Connectors สำหรับเชื่อมต่อกับ Microsoft Services ต่างๆ เช่น Microsoft Azure, Microsoft 365, Microsoft Defender, เป็นต้น นอกจากนี้ยังมี Data Connectors ที่ใช้ในการเชื่อมต่อกับ 3rd Party อีกเยอะเลยครับ สำหรับวิธีการอื่นๆ ที่สามารถใช้ในการรวบรวมข้อมูลนอกเหนือจาก Data Conntectors ก็จะมี Common Event Format (CEF), Syslog, REST API, เป็นต้นครับ รูปด้านล่างเป็นรูปที่แสดงถึง Data Connectors ใน Microsoft Sentinel ครับ

ประเด็นหรือคำถามที่เกี่ยวข้องกับ Phases ดังกล่าวนี้คือ เราจะต้องทำการรวบรวมหรือ Collect ข้อมูลจาก Sources ใดบ้าง?  คำตอบ คือ ขึ้นอยู่กับ Environments ของแต่ละองค์กรครับ เพราะฉะนั้นจากประเด็นหรือคำถามนี้ จะต้องอยู่ในขั้นตอนของการวางแผนและออกแบบครับ เพราะจะทำให้ท่านผู้อ่านทราบว่าใน Environments ดังกล่าวนั้นมีทั้งหมดกี่ Sources และต้องใช้วิธีการเชื่อมต่อกับ Microsoft Sentinel อย่างไร และสุดท้ายข้อมูลต่างๆ ที่ได้รวบรวมมาจาก Sources ต่างๆ ก็ถูกเก็บไว้ใน Service หนึ่งของ Microsoft Azure และ Service ดังกล่าวนี้จะทำงานร่วมกับ Microsoft Sentinel ครับ Service ที่ว่านี้ก็คือ Azure Log Analytics Workspace ครับ

Phase 2: Detect

Microsoft Sentinel มีความสามารถในการค้นหา (Detect) Threats หรือภัยคุกคามต่างๆ โดยความสามารถและเทคโนโลยีต่างๆ เช่น  Analytics, AI, และ Threat Intelligence โดยทาง Microsoft ได้เตรียมไว้ให้และมีการอัพเดทเป็นระยะๆ เพื่อช่วยทำให้การค้นหาภัยคุกคามต่างๆ มีประสิทธิภาพมากขึ้นครับ สำหรับ Phase นี้จะเกี่ยวข้องกับฟีเจอร์ที่ชื่อว่า "Analytics" ครับ โดยฟีเจอร์ Analytics ได้เตรียม Templates ของ Rules หลากหลายแบบ (Fusion, Machine Learning Behavaioural, และอื่นๆ) เพื่อใช้ในการค้นหาสิ่งผิดปรกติ, เหตุการณ์หรือพฤติกรรมที่น่าสงสัย, และอื่นๆ จากข้อมูลต่างๆ ที่ได้ถูกรวบรวมมาใน Phase 1 (Collect) ครับ ดังรูปด้านล่างครับ

Phase 3: Investigate

เมื่อ Microsoft Sentinel ทำการค้นหาจาก Phase ก่อนหน้านี้แล้วเจอภัยคุกคามหรือสิ่งผิดปรกติที่น่าสงสัย ตัวของ Microsoft Sentinel จะแจ้งและทำการสร้าง Incidents ขึ้นมาครับ เพื่อให้ SOC Teams สามารถเข้าไป Invesitgate และดูรายละเอียดต่างๆ ที่เกี่ยวข้องกับ Incidents ดังกล่าว เพื่อดำเนินการต่อไปครับ โดย Microsoft Sentinel ได้เตรียมเครื่องมือต่างๆ เช่น Built-In Queries (KQL Queries), Bookmarks, Notebooks, และอื่นๆ นอกจากเครื่องมือต่างๆ แล้ว Microsoft Sentinel ยังเตรียมฟีเจอร์ที่ชื่อว่า "Investigate" เอาไว้ให้กับทาง SOC Teams ใช้งานอีกด้วยครับ ดังรูปด้านล่างครับ

Phase 4: Respond

Microsoft Sentinel สามารถโต้ตอบ (Respond) กับเหตุการณ์ (Incidents) ที่เกิดขึ้นได้ทั้งแบบ Manual และแบบ Automatic เพื่อช่วยสร้างความยืดหยุ่นในการทำงานให้กับ SOC Teams ในการจัดการกับเหตุการณ์ต่างๆ ที่เกิดขึ้นครับ ทั้งนี้ทั้งนั้นจะต้องมีการวางแผนและออกแบบไว้ก่อนเช่นกันครับ สำหรับการที่เราจะทำการ Respond กับเหตุการณ์ต่างๆ ที่เกิดขึ้นอย่างไรและต้องทำอะไรบ้าง เราเรียกรวมๆ ว่า การทำ Security Orchestration ครับ เช่น ถ้ามีเหตุการณ์เกี่ยวกับการ Attacking หรือจู่โจม เช่น RDP Attacks เข้ามายัง Virutal Machines (Virtual Machines ดังกล่าวสามารถสร้างและทำงานอยู่ที่ใดก็ได้นะครับ) ขององค์กร ตัวของ Microsoft Sentinel จะค้นหาเจอเหตุการณ์ดังกล่าวตามที่ได้อธิบายไปใน Phases ต่างๆ ก่อนหน้านี้ครับ แต่ประเด็นที่สำคัญคือ ทาง SOC Teams ได้ทำการวางแผนและออกแบบรูปแบบการ Respond หรือโต้ตอบกับเหตุการณ์นี้อย่างไรครับ เช่น ทำการแจ้งเตือนทุกคนที่เกี่ยวข้อง, จากนั้นทำการปิด Ports ที่เกี่ยวข้องกับจู่โจมจากเหตุการณ์ดังกล่าว, และอื่นๆ นี่คือตัวอย่างคร่าวๆ ของวางแผนออกแบบเพื่อสร้างและกำหนดการโต้ตอบครับ และอย่างที่ได้เกริ่นไว้ในตอนต้นว่า Microsoft Sentinel รองรับการ Respond ทั้งแบบ Manual และ Automatic ครับ

รูปแบบที่ผมแนะนำและอยากให้พิจารณาเพื่อทำการวางแผนและดำเนินการคือ การโต้ตอบและจัดการกับเหตุการณ์ต่างๆ แบบ Automatic ครับ เพราะจะเป็นสิ่งที่ช่วยแบ่งเบาภาระตลอดจนสร้างความยืดหยุ่นในการทำงานให้กับ SOC Teams ครับ สำหรับฟีเจอร์ที่จะเข้ามาเกี่ยวข้องจะมีชื่อว่า "Playbook" ครับ โดยฟีเจอร์ดังกล่าวนี้จะเป็นการทำงานร่วมกันกับ Microsoft Sentinel กับอีกหนึ่ง Service ของ Microsoft Azure ที่ชื่อว่า Azure Logic Apps ครับ นอกจากนี้แล้ว Microsoft Sentinel ได้เตรียม Built-In Templates (Security Orchestration) เอาไว้ให้ด้วยครับ เพื่อให้ SOC Teams สามารถนำไปประยุกต์ใช้งานต่อไปครับ รูปด้านล่างแสดงถึงฟีเจอร์ Playbook และตัวอย่างการกำหนดขั้นตอนต่างๆ สำหรับการ Respond ใน Playbook ครับ

และทั้งหมดนี้คือ Phases การทำงานต่างๆ ของ Microsoft Sentinel รวมถึงฟีเจอร์และ Services ต่าง ๆ ของ Microsoft Azure ที่เกี่ยวข้องครับ และอย่างที่ผมได้อธิบายไว้ในตอนต้นของบทความนะครับ การทำความเข้าใจคอนเซปตลอดจนการวางแผนและออกแบบ เป็นส่วนสำคัญที่เราจะต้องทำความเข้าใจและเตรียมทุกอย่างให้พร้อมก่อนที่จะลงมือดำเนินการใช้งาน Microsoft Sentinel ครับผม.....

เลือกอะไรดี ? ระหว่าง Azure Bastion กับ Just-In-Time VM Access

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเกี่ยวข้องกับการสร้างความปลอดภัยให้กับ Azure Virtual Machines (Azure VMs) ที่เราได้มีการติดตั้งและใช้งานกันครับ สำหรับการสร้างความปลอดภัยให้กับ Azure VMs ซึ่งถือว่าเป็น Workloads ที่มีความสำคัญใน Environment ขององค์กรนั้น ถ้าว่ากันตาม Best Practices ที่เกี่ยวข้องกับเรื่องดังกล่าวนี้มีรายละเอียดเยอะพอสมควรครับ แต่สำหรับบทความนี้ผมจะหยิบเอามาเรื่องหนึ่งนั่นก็คือการ Securing Management Ports ของ Azure VMs ครับ ซึ่งใน Microsoft Azure ได้เตรียม Options ต่างๆ เอาให้แล้ว โดยหลักๆ จะมีอยู่ 2 Options คือ

1. Azure Bastion

2. Just-In-Time Virtual Machine Access (เป็นฟีเจอร์หนึ่งของ Microsoft Defender for Cloud)

สิ่งที่น่าสนใจคือ เราจะเลือก Options ใดดีเพื่อ Secure Management Ports ของ Azure VMs ครับ ก่อนอื่นเลยผมขอเริ่มคอนเซปพื้นฐานของ Azure VMs ก่อนนะครับ เผื่อว่าท่านใดที่ยังไม่คุ้นเคยกับ Azure VMs โดยเริ่มจากการติดตั้ง Azure VMs ซึ่งแน่นอนว่าก่อนที่จะดำเนินการติดตั้ง จะต้องมีการวางแผน, ออกแบบ, และเตรียมความพร้อมมาก่อนนะครับ เช่น Series, Sizes, OS, Disks, และอื่นๆ สุดท้าย Azure VMs ดังกล่าวนั้นก็จะถูก Provisioned และเราก็นำเอามาใช้งานต่อไปครับ

 

แต่ประเด็นที่เกี่ยวข้องกับเรื่องความปลอดภัยหรือ Security คือ ทุกท่านทราบใช่มั๊ยครับว่า Azure VMs ทุก VMs ที่ได้มีการติดตั้งใช้งาน มันจะเปิด Ports (Management Ports) เอาไว้ เช่น RDP หรือ SSH ทั้งนี้ก็ขึ้นอยู่กับ OS ที่เราได้มีการติดตั้งเข้าไปยัง Azure VMs ดังกล่าว โดย Management Ports ดังกล่าวนี้เปิดเอาไว้โดยมีวัตถุประสงค์เพื่อให้ผู้ดูแลระบบตลอดจนท่านที่มีบทบาทหน้าที่เกี่ยวข้องเข้าไปดำเนินการหรือทำงานต่าง ๆ ครับ ดังรูปด้านล่าง เป็นรูปที่แสดงถึง NSG ของ Azure VMs ที่เราได้ทำการ Deploy ไปนั้นมี RDP Port เปิดอยู่ครับ

หลายๆ ท่านอาจจะมีคำถามในใจว่าที่อยากจะถามผมเกี่ยวกับเรื่องนี้ว่า Ports เหล่านี้ก็ต้องเปิดอยู่แล้ว ก็ถูกต้องแล้ว ไม่เช่นนั้นผู้ดูแลระบบก็ไม่สามารถ Remote เข้าทำงานได้สิ ก็ถูกต้องครับ แต่มันไม่ปลอดภัยครับ เพราะว่า Ports เหล่านี้ (RDP และ SSH) มันเปิดไว้ตลอดเวลาครับ ซึ่งทำให้เกิดความสุ่มเสี่ยงที่จะโดนโจมตีหรือ Attacks ครับ เพราะฉะนั้นนี่คือเรื่องปรกติที่เกิดขึ้นกับ Azure VMs ทุก VMs ที่เราได้มีการติดตั้งใช้งานครับ สำหรับการป้องกันหรือการ Secure Management Ports จากประเด็นที่ผมได้อธิบายไว้ก่อนหน้านี้ จะทำได้อย่างไร คำตอบ อยู่ที่ตอนต้นของบทความครับ คือ การพิจารณานำเอา Azure Bastion หรือ Just-In-Time Virtual Machine Access มาประยุกต์ใช้งานครับ  ดังนั้นเรามาทำความรู้จักในแต่ละ Options กันเลยครับผม

1. Azure Bastion

เป็น Service ที่ให้เราสามารถใช้ Modern HTML5-Based Web Client ที่อยู่ภายใน Azure Portal แล้วเชื่อมต่อโดยใช้ TLS และ Port 443 ไปยัง Azure VMs ที่อยู่ใน Azure Virtual Networks เดียวกัน 

Azure Bastion ที่ใช้ Modern HTML5-Based Web Client ดังกล่าว จะเชื่อมต่อไปยัง RDP หรือ SSH Sessions over TLS (Port 443) และ Port (ที่ Modern HTML5-Based Web Client) เดียวกันนี้จะใช้สำหรับ HTTPS Connections เช่นกัน เพราะฉะนั้นการใช้ TLS Over 443 ทำให้การติดต่อผ่านไปยัง Firewall ขององค์กรสะดวกมากขึ้น เพราะไม่ต้องเปิด Ports ใดๆ เพิ่มเติม

การนำเอา Azure Bastion ยังส่งผลทำให้การ Access หรือเข้าถึง Azure VMs มีความปลอดภัยมากขึ้น เพราะไม่ได้ใช้หรือติดต่อผ่านทาง Public IP Address ของ Azure VMs  เพราะ Azure Bastion ติดต่อไปยัง Azure VMs โดยใช้ Private IP Address ส่งผลทำให้ Azure VMs มีความปลอดภัยจากการ Scanning Ports จากภายนอก

2. Just-In-Time VM Access (ฟีเจอร์หนึ่งของ Microsoft Defender for Cloud)

สำหรับ Just-In-Time VM Access ถือว่าเป็นฟีเจอร์หนึ่งของ Microsoft Defender for Cloud (ชื่อเดิม คือ Azure Security Center) นั่นหมายความว่าถ้าเราต้องการใช้งานฟีเจอร์นี้ จะต้องมีการ Enable Azure Subscription ที่เราต้องการให้ Microsoft Defender for Cloud เข้ามาทำหน้าที่ต่างๆ เช่น CSPM, CWPP, เป็นต้น นอกจากนี้แล้วตัวของ Microsoft Defender for Cloud ยังมีความสามารถและฟีเจอร์อีกมากมายครับ หนึ่งในนั้นก็คือ Just-In-Time VM Access ครับ นั่นหมายความก่อนที่ทุกท่านจะใช้งานฟีเจอร์ดังกล่าวนี้ จะต้องมีการวางแผนมาก่อนนะครับ

ด้วยความสามารถของฟีเจอร์ Just-In-Time VM Access ทำให้เราสามารถกำหนดการเข้าถึงหรือ Access Azure VMs ที่ต้องการได้ครับ (สามารถกำหนด Ports ที่ต้องการได้ ไม่ได้จำกัดแค่เพียง Management Ports นะครับ) ด้วยการกำหนดเวลาในการเข้าถึง Azure VMs ตัวดังกล่าว เมื่อเลยเวลาที่กำหนดการเข้าถึงหรือ Access นั้นก็จะสิ้นสุดลงครับ โดยคอนเซปการทำงานของ Just-In-Time VM Access, เริ่มจาก Microsoft Defender for Cloud โดยเข้าไปปรับเปลี่ยน Inbond Ports (Inboud Security Rules) ใน NSG ของ Azure VMs ดังกล่าวให้เราโดยอัตโนมัติ

เพราะฉะนั้นถ้าเราต้องการ Remote เข้าไปยัง Azure VMs ดังกล่าวที่มีการ Protect หรือ Secure โดยใช้ Just-In-Time VM Access สามารถทำได้โดยใช้เครื่องมือที่ใช้อยู่แล้วตามปรกติ เช่น Remote Desktop หรือ Tools อื่นๆ ที่ใช้หรือ Support RDP  นอกจากนี้แล้วเรายังสามารถทำจัดการและทำการ Transfer ไฟล์ต่างๆ ได้โดยตรงไปยัง Azure VMs ดังกล่าวได้เลยครับ

และสุดท้ายด้วยความสามารถของฟีเจอร์ Just-In-Time VM Access ส่งผลทำให้ Azure VMs มีความปลอดภัยมากขึ้นเพราะมีการปิด Management Ports โดยอัตโนมัติและจะเปิดมีการ Request และปิดตามเวลาที่กำหนด

มาถึงตรงนี้ทุกท่านจะพอเข้าใจและเห็นภาพแล้วว่าทั้ง Azure Bastion และ Just-In-Time VM Access  เป็นสิ่งที่จะมาช่วยลด Attack Surface และสร้างความปลอดภัยให้กับ Azure VMs ที่เราได้มีการติดตั้งและใช้งาน โดยเฉพาะประเด็นที่ผมได้หยิบมานำเสนอและอธิบายนั่นก็คือ การ Secure Management Ports ของ Azure VMs ครับ  ตารางด้านล่างเป็นตารางที่ยกตัวอย่าง Use Cases สำหรับการเลือกใช้ Options ใดครับ

แต่ถ้าเราต้องการความปลอดภัยแบบสูงสุดสำหรับเรื่องของการ Secure Management Ports ก็สามารถพิจารณานำเอาทั้ง 2 Options เข้ามาทำงานร่วมกันเลยครับ ดังรูปด้านล่างครับ

จากภาพด้านบนคือการนำเอา Azure Bastion และ Just-In-Time VM Access มาใช้งานร่วมกัน ซึ่งส่งผลทำให้องค์กรหรือออฟฟิศของทุกท่านได้รับประโยชน์คือ ใช้ Browser-Based SSL Connection ในการติดต่อไปยัง Azure VMs โดยที่ไม่ได้ใช้ Public IP Address ของ Azure VMs และยังสามารถกำหนด Ports ที่ต้องการ เช่น RDP, SSH, และอื่นๆ ให้เปิดและปิดตามเวลาที่กำหนดครับ ส่งผลทำให้การเข้าถึง Azure VMs ของทุกท่านมีความปลอดภัยมากขึ้นครับผม

และทั้งหมดนี้คือเรื่องราวของ Azure Bastion และ Just-In-Time VM Access ที่ผมนำเอามาฝากครับผม.....

รู้จักกับ Microsoft Entra

      สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับกลุ่ม Product (Product Family) ใหม่ของทาง Microsoft ที่เพิ่งประกาศออกมาเมื่อเดือนที่แล้วครับ โดยกลุ่ม Product ใหม่ดังกล่าวนี้มีชื่อว่า "Microsoft Entra" โดย Microsoft Entra ถูกออกแบบเพื่อให้บริการเกี่ยวกับ Identity & Access Managment (IAM), Cloud Infrastructure Management, และ Identity Verification ซึ่งครอบคลุมทั้ง On-Premise, Microsoft Azure, AWS, Google Cloud Platform, และอื่นๆ โดยใน Microsoft Entra จะประกอบไปด้วยส่วนส่วนประกอบหรือ Products ต่างๆ ดังนี้

1. Azure Active Directory (Azure AD)

เป็น Service หลักที่ใช้ในการบริหารจัดการ Identity โดย Azure Active Directory (Azure AD) มาพร้อมกับ Editions ต่างๆ เช่น Azure AD Free Edition, Azure AD Premium P1, Azure AD Premium P2, Azure AD B2B, Azure B2C, Azure AD DS ซึ่งแต่ละ Editions ก็จะมาพร้อมกับความสามารถตลอดจนฟีเจอร์ต่างๆ มากมาย เช่น Azure MFA, Azure AD Identity Protection, Azure AD PIM, Access Review, และอื่นๆ 

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra-Azure Active Directory (Azure AD), https://www.microsoft.com/en-us/security/business/solutions/secure-app-access?rtc=1

2. Permissions Management

ชื่อเดิมคือ CloudKnox Security (ขอเรียกสั้นๆ ว่า CloudKnox) ซึ่งทาง Microsoft ได้ Acquired มาครับ สำหรับความสามารถของ CloudKnox คือ บริหารจัดการ Permissions ของ Identity (ของ Cloud Service Providers ต่างๆ เช่น Microsoft Azure, AWS, GCP, และอื่นๆ), Unified Privileged Access, และ Cloud Entitlement Managment ครับ 

โดยคอนเซปคร่าวๆ ของ CloudKnox จะมีความคล้ายคลึงกับ Azure Active Directory (Azure AD) แต่ตัวของ CloudKnow มีความสามารถมากกว่า Azure Active Directory (Azure AD) โดยเฉพาะรองรับการบริหารจัดการใน Environment ที่เป็น Mulit-Cloud Environment ครับ โดย CloudKnox จะจัดอยู่ใน Solution ที่เรียกว่า "Cloud Infrastructre Entitilement Management" หรือเรียกสั้นๆ ว่า "CIEM" และทาง Microsoft ได้ทำการเปลี่ยนชื่อจาก CloudKnox มาเป็น Permissions Management ครับ

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra-Permissions Management, https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-permissions-management?rtc=1

 

3. Verified ID

ชื่อเดิมคือ Azure Active Directory Verifiable Credentials ซึ่งเป็นการให้บริการ Authentication (ในรูปแบบ Decentralized Identity) ที่เรียกว่า "Verifiable Credentials" หรือเรียกสั้นๆ ว่า VC ครับ ผมขออนุญาตอธิบายคร่าวๆ เกี่ยวกับ VC นะครับ โดยขอเริ่มจากการนำเอาเอกสารของเรามาใช้งานในชีวิตประจำวัน เอกสารดังกล่าว เช่น บัตรประชาชน, ใบขับขี่, และอื่นๆ ซึ่งเอกสารดังกล่าวจะออกและดูแลหน่วยงานทางราชการ จากนั้นเมื่อเราไปติดต่องานหรือทำธุรกรรมต่างๆ ทางเจ้าหน้าที่ก็จะทำการขอบัตรประชาชน โดยมีการทำสำเนาและให้เราเซ็นต์กำกับเอกสารถูกต้อง ซึ่งเอาเข้าจริงๆ เราก็ไม่รู้เลยว่า เอกสารดังกล่าวจะถูกนำเอาไปใช้ในวัตถุประสงค์อื่นๆ หรือไม่ ซึ่งท่านผผู้อ่านจะเห็นว่าจากประเด็นดังกล่าวนี้ มันเกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับข้อมูลหรือเอกสารที่ใช้ในการยืนยันตัวตนของเรา  

คราวนี้เรามาดูคอนเซปของ VC ว่าเป็นอย่างไรครับ เริ่มจาก VC เป็น Credential ซึ่งเปรียบเหมือนกับเอกสารที่เป็นกระดาษที่ผมได้อธิบายจากประเด็นข้างต้นครับ แต่ VC เป็นแบบ Digital โดยจะมีการกำหนดหรือลง Digital Signature ที่ถูกสร้างขึ้นมาจากกระบวนการทางด้าน Cryptographic และจะถูกตรวจสอบด้วยกระบวนการเดียวกัน และไม่สามารถแก้ไขได้ ทำให้เกิดความน่าเชื่อถือและมีปลอดภัยมากขึ้นครับ

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra-Verified ID, https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-verified-id

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra, https://www.microsoft.com/security/blog/2022/05/31/secure-access-for-a-connected-worldmeet-microsoft-entra/

และทั้งหมดนี้คือเรื่องราวของ Microsoft Entra ครับผม.....