รู้จักกับ Azure Arc (Introduction to Azure Arc)

      

     สวัสดีครับทุกท่านกลับมาพบกันอีกเช่นเคยครับ สำหรับบทความตอนนี้ของผมจะเป็นเรื่องเกี่ยวกับการบริหารจัดการ Hybrid และ Multi-Cloud Environments โดยใช้ Service ตัวหนึ่งใน Microsoft Azure ที่ชื่อว่า "Azure Arc" ครับ โดยผมเชื่อว่าทุกท่านที่ติดตามทั้ง Blog และ FB ของผมมาโดยตลอดน่าจะคุ้นเคยและรู้จักเรื่องราวของ Hybrid และ Mulit-Cloud กันพอสมควร ซึ่งสืบเนื่องมาจากช่วงที่ผ่านมานั้นมีแนวโน้มมากขึ้นเรื่อยๆ ครับ ว่าหลายๆ องค์กรที่กำลังวางแผนที่จะนำเอา Cloud Computing เทคโนโลยีเข้ามา Adopt ใช้ในองค์กรนั้นจะมีลักษณะเป็น Hybrid Cloud และมีความเป็นไปได้อีกว่าองค์กรนั้นๆ อาจจะมีการนำเอา Cloud Providers มากกว่าหนึ่งยี่ห้อเข้ามาใช้งานในองค์กร หรือที่เราเรียกกันว่า "Multi-Cloud" ครับ

หลายๆ ท่านอาจจะมีคำถามหรือข้อสงสัยว่าทำไมแนวโน้นดังกล่าวที่หลายๆ องค์กรจะนำเอา Cloud เข้ามา Adopt หรือนำมาประยุกต์ใช้งานนั้นไม่ว่าจะเป็น Hybrid หรือ Multi-Cloud Environments นั้นเพราะอะไร? มาดูจากประเด็นและคำถามด้านล่างนี้กันครับ

- Workloads หรือระบบต่างๆ ไม่สามารถย้ายไปที่ Public Cloud เนื่องจากติดเรื่องของ Regulatory หรือ Compliance ตลอดจนเรื่องของ Data Sovereignty เช่น  Financial, Healthcare, หรือ Government และอื่นๆ เป็นต้น

- หลายองค์กรมีการลงทุนใน On-Premise Datacenter ไปแล้ว จึงอยากใช้งานให้เต็มประสิทธิภาพและก่อให้เกิดประโยชน์ให้มากที่สุด ดังนั้นจะต้องมีการ Adpot และทำการ Modernize Applications 

- ม้่นใจว่ามีการหยืดหยุ่นที่มากขึ้น

- ทำการ Manage, Monitor, Govern, และ Protect Workloads หรือ IT Assets โดยไม่ต้องสนใจว่ามันทำงาน อยู่ที่ไหน (เช่น On-Premise, Microsoft Azure, AWS, Google, และอื่นๆ)

- มีความเป็นไปได้หรือไม่ที่จะนำเอา Cloud Innovation เข้ามาใช้ทำงานร่วมกับ Infrastructure หรือ Environment ที่ใช้งานอยู่แล้วในปัจจุบัน

- ทำการ Modernize On-Premise Datacenters โดยการ Adopt หรือการนำเอา Cloud Soltuions เข้ามาใช้งาน

- อื่นๆ 

จากประเด็นตลอดจนคำถามต่างๆ ทั้งหมดในข้างต้น องค์กรจะวางแผนและดำเนินการอย่างไรดีครับ คำตอบคือ "ใช้ Azure Arc ครับ"

Azure Arc คืออะไร?

อย่างที่ผมได้เกริ่นไว้ตอนต้นของบทความว่า Azure Arc คือ Service หนึ่งใน Microsoft Azure ที่จะมาช่วยในเรื่องของการบริหารจัดการและ Governance ให้กับ Workloads หรือ IT Assets ต่างๆ ที่อยู่ทั้งใน Hybrid และ Multi-Cloud Environments (On-Premise, Microsoft Azure, AWS, Google, และอื่นๆ) ครับ 

โดย Azure Arc ได้มีการขยาย Azure Management Plane ให้สามารถบริหารจัดการและ Governance กับ IT Assets เหล่านั้นได้ครับ พูดถึง Azure Management Plane ไว้เมื่อซักครู่ ก็ต้องขออนุญาตอธิบายเพิ่มเติมนิดนึงครับเผื่อท่านใดที่ยังงงๆ แต่สำหรับท่านผู้อ่านท่านใดที่ใช้งาน Microsoft Azure อยู่แล้ว จะต้องรู้จักและเข้าใจคอนเซปของ Azure Management Plane ที่ว่านี้ โดยจะเกี่ยวข้องกับสิ่งที่เรียก  “Azure Resource Manager ” หรือเรียกสั้นๆ ว่า ARM ครับ ซึ่งเป็นคอนเซปและรูปแบบที่ใช้ในการ Deploy Resources ต่างๆ (Azure Deployment Model) ใน  Microsoft Azure เช่น Azure Virtual Machine, Azure Virtual Network, Azure SQL, และอื่นๆ โดย Resources เหล่านี้จะถูกรวบรวมอยู่ภายในสิ่งที่เรียกว่า Resource Groups ดังรูป

และเราสามารถจัดการ Resource Groups และ Resources เหล่านี้ผ่านทางเครื่องมือต่างๆ เช่น Azure Portal, Azure PowerShell, Azure CLI, รวมถึง Services ต่างๆ ใน Microsoft Azure ครับ 

มาถึงตรงนี้ ผมขอสรุปให้ทุกท่านเข้าใจง่ายๆ แบบนี้ครับ Azure Arc เป็น Service ที่จะเข้ามาช่วยองค์กรในการบริหารจัดการและ Governance Resources ต่างๆ เพื่อให้เป็นไปตามความต้องการและนโยบายขององค์กร โดยองค์กรสามารถขยายขอบเขตในการบริหารจัดการและ Governance โดยใช้ Azure Management Plane (ที่อธิบายไว้ก่อนหน้านี้) กับ IT Assets ที่อยู่ใน On-Premise Datacenters, Clouds ต่างๆ เช่น Microsoft Azure, AWS, Google และอื่นๆ ได้ เสมือนกับว่า IT Assets เหล่านั้นคือ Resources ที่อยู่ใน Microsoft Azure ครับ โดย IT Assets ที่เกริ่นไว้ เช่น Virtual Machines (Windows และ Linux), Kubernetes Clusters และอื่นๆ ที่อยู่ใน On-Premise Datacenters, Microsoft Azure, AWS, Google, และอื่นๆ ครับ

เราสามารถใช้ Azure Arc บริหารจัดการและ Governance Resources (IT Assets) ดังต่อไปนี้:

- บริหารจัดการ Resources ผ่านทาง Azure Portal

- กำหนดสิทธิ์ในการเข้าถึง (Access Control) โดยใช้ RBAC

- กำหนดนโยบาย (Policy) ให้กับ Resources โดยใช้ Azure Policy

- ตรวจสอบและป้องกัน Resources โดยใช้ Azure Monitor และ Microsoft Defender for Cloud

- ทำ Auditing

- Query โดยใช้ Azure Resource Graph

- Security Management

- อื่นๆ

ต่อไปเรามาดูความสามารถของ Azure Arc (ณ ตอนที่ผมเขียนบทความนี้นะครับ) มีดังนี้ครับ

1. Azure Arc-Enbled Infrastructure  ประกอบไปด้วย

- Azure Arc-enabled Servers

- Azure Arc-enabled Kubernetes

- Azure Arc-enabled SQL Server

2. AzureArc-Enabled Services ประกอบไปด้วย

- Azure Arc-enabled Data Services

- Azure Arc-enabled Machine Learning (Preview)

อธิบายเพิ่มเติมจากข้างต้น: 

Extend Azure Management Across Your Environments, Azure Resource Manager และ Azure Management เป็นสิ่งที่ Microsoft Azure ใช้ในการจัดการและควบคุม Resources ต่างๆ  เช่น Azure Virtual Machines และอื่นๆ เป็นต้น  โดย Azure Arc จะทำการขยายการใช้งาน Azure Resource Manager และ Azure Management เพื่อทำการบริหารจัดการและควบคุมไปยัง Windows และ Linux Servers, Kubernetes Clusters และ Resources อื่นๆ ที่ทำงานอยู่ใน On-Premise, Clouds ต่างๆ เช่น Microsoft Azure, AWS, Google, และอื่นๆ

Run Azure Data Services Anywhere, ด้วยความสามารถนี้ของ Azure Arc จะทำให้องค์กรสามารถรันและใช้งาน Azure Data Services (Azure SQL Database และ Azure Database for PostgreSQL) ใน Kubernetes ซึ่งอยู่ที่ใดก็ได้ เช่น On-Premise เป็นต้น

Adopt Cloud Practice On-Premises, เราสามารถใช้ Azure Arc เข้ามาช่วยในการ Deploy Containerized Applications ไปยัง Microsoft Azure และ Non-Azure Infrastrcture ได้อย่างปลอดภัย เช่น ด้วยการใช้ Azure Arc กับ Azure DevOps สามารถทำการ Deploy Applications ไปยัง Kubernetes Clusters ที่อยู่ที่ไหนก็ได้ เป็นต้น  

Implement Azure Security Anywhere, ใน Microsoft Azure จะ Service ที่เข้ามาจัดการในเรื่องของความปลอดภัย (Security Management) เช่น Role-Based Access Control (RBAC), Azure Policy, Microsoft Defender for Cloud, และอื่นๆ เพราะฉะนั้นด้วย Azure Arc, องค์กรสามารถใช้ Services เหล่านี้กับ Resources ต่างๆ ที่อยู่ในที่ต่างๆ นอกเหนือจาก Microsoft Azure

ขออนุญาตอ้างอิงจากประเด็นและคำถามตอนต้นของบทความนะครับ สำหรับ Mulit-Cloud Environment ถือเป็นรูปแบบและเป็นสิ่งสำคัญสำหรับองค์กรที่กำลังวางแผนและดำเนินการอยู่ครับ ไม่ว่าองค์กรนั้นจะเล็ก, กลาง, หรือใหญ่ ครอบคลุมทุกขนาดครับ โดยเฉพาะ Workloads ที่เป็น Applications นั้นหลายองค์กรที่ได้มีการ Adopt หรือนำเอา Cloud เข้ามาประยุกต์ใช้งานนั้น สิ่งที่หนีไม่พ้นจะต้องมีการวางแผนเตรียมความพร้อมเพื่อดำเนินการนั่นก็คือ เรื่องของการ Migration, เรื่องของการทำ Application Modernization (คือการนำเอาเทคโนโลยีใหม่เข้ามาพัฒนาและใช้งาน เช่น การนำเอา Containerization เทคโนโลยีเข้ามาใช้งาน ตลอดจนการ Deploy Cloud-Native, และอื่นๆ เป็นต้น) จากจุดนี้เอง ทาง Microsoft Azure จึงได้เตรียม Azure Arc ที่มาพร้อมกับความสามารถและฟีเจอร์ต่างๆ ที่ได้อธิบายไว้ก่อนหน้านี้ มาช่วยองค์กรครับ

สำหรับท่านใดที่สนใจเรื่องราวของ Azure Arc ซึ่งยังมีอีกเยอะเลยครับ ท่านใดที่สนใจสามารถไปที่ Link นี้ได้เลยครับ,  Azure Arc overview - Azure Arc | Microsoft Docs

สำหรับบทความนี้เป็นเพียงแค่เริ่มต้นเท่านั้นครับ เอาไว้โอกาสต่อไปผมจะนำเรื่องราวของ Azure Arc มานำเสนอและเล่าสู่กันฟังอีกครับ โปรดติดตามครับผม.....

ป้องกันข้อมูลจาก Ransomware ด้วย Azure Backup

      สวัสดีครับทุกท่าน สำหรับบทความนี้ของผมจะเป็นเรื่องราวที่สำคัญและหลายๆ ท่านให้ความสนใจครับ เรื่องดังกล่าวนี้คือ เรื่องของภัยคุกคามรูปแบบหนึ่งที่เรียกว่า "Ransomware" ครับ  พอเอ่ยชื่อนี้ขึ้นมาผมเชื่อว่าท่านผู้อ่านทุกท่านต้องรู้จักและเคยได้ทราบเรื่องราวเกี่ยวกับเจ้า Ransomware กันมาพอสมควร จากข่าวสารต่างๆ ที่มีให้เราเห็นได้ทราบกันเป็นระยะๆ ว่ามีองค์กรที่โดนเจ้า Ransomware นี้เล่นงานครับ สิ่งที่ผมอยากจะนำเสนอแนวทางการป้องกันเพื่อให้เราลดความสุ่มเสี่ยงไม่ต้องเป็นเจอครับ และเพื่อไม่ให้เป็นการเสียวเวลาเราเข้าสู่เรื่องราวนี้กันเลยครับ

Ransomware คืออะไร?

เป็นรูปแบบหนึ่งของการจู่โจมหรือโจมตีด้วยการบีบบังคับ (Extortion Attack) โดยจะการเข้ารหัส (Encrypt) Files และ Folders ต่างๆ เพื่อไม่ให้ผู้ใช้งานสามารถเข้าถึงหรือใช้งานข้อมูลดังกล่าวนี้ได้ครับ ซึ่งถ้าองค์กรใดโดนเจ้า Ramsomware นี้เข้าไป ก็จะตกเป็นเหยื่อของ Attackers ครับ นั่นหมายความว่าองค์กรดังกล่าวนั้นจะต้องจ่ายเงินให้ไป เพื่อแลกกับข้อมูลที่โดนเจ้า Ransomware เล่นงานกลับมาครับ คำถามที่ผมมักเจออยู่บ่อยๆ คือ  Ransomware มาจากไหน? ต้องบอกว่ามาได้หลายทางครับ เช่น ทางเมล์, ทาง Internet (การเข้าถึง Web Site ที่มีความสุ่มเสี่ยงต่อความไม่ปลอดภัย), จากช่องโหว่ในระบบ, และอื่นๆ ครับ หลังจากที่โดน Ransomware เล่นงาน มันจะเริ่มทำงานอย่างช้าๆ นั่นก็คือ การเข้ารหัสข้อมูลของท่านไปเรื่อยๆ โดยข้อมูลที่ว่านี้จะอยู่ในเครื่องของท่านหรือใน Networks ก็ได้ครับ นั่นหมายความว่า  Ransomware จะไล่เข้ารหัสข้อมูลไปเรื่อยๆ ครับ!!!!!

ผลกระทบที่เกิดขึ้นจาก Ramsomware Attack

- ไม่สามารถเข้าถึงข้อมูล

- ส่งผลกระทบกับการดำเนินงานทางธุรกิจ

- ทำให้ภาพลักษณ์ขององค์กรเสียหาย (ทางด้านการเงิน, ความมั่นใจ, และอื่นๆ)

- อื่นๆ

จะป้องกันข้อมูลอย่างไร?

เริ่มจากการหาเครื่องมือหรือ Solutions ต่างๆ เข้ามาช่วยในการป้องกันข้อมูลขององค์กรครับ ซึ่งปัจจุบันมีหลากหลาย Solutions ให้เลือกครับ เพื่อป้องกันทุกขั้นตอนที่เป็นไปได้จากการถูกโจมตีจากภัยคุกคามต่างๆ รวมถึง Ransomware ครับ ทางเลือกหนึ่งที่หลายๆ องค์กรใช้คือ การย้ายหรือ Deploy Workloads, ระบบต่างๆ ไปทำงานบน Cloud เช่น Microsoft Azure ครับ เพราะทำให้ลดช่องโหว่หรือลดความเสี่ยงที่ภัยคุกคามจะโจมตีได้มากกว่าใน On-Premise ครับ ยกตัวอย่างเช่น ถ้าเราย้ายระบบต่างๆ มายัง Microsoft Azure ทาง Microsoft เตรียมเครื่องมือตลอดจน Solutions ต่างๆ ช่วยองค์กรในป้องกันภัยคุกคามต่างๆ ครับ เช่น Microsoft Defender for Cloud, Microsoft Sentinel, Azure Disk Encryption, Azure Backup, และอื่นๆ ครับ ทั้งนี้ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ

เพราะฉะนั้นองค์กรจะต้องมีการวางแผนเพื่อเตรียมหาพร้อมในการจัดหาเครื่องมือหรือ Solutions เข้ามาช่วยป้องกันครับ เพื่อลดความเสี่ยงหรือความน่าจะเป็นที่จะถูกโจมตีหรือตกเป็นเหยื่อของ Ransomware ครับ สิ่งหนึ่งที่ควรพิจารณา, วางแผน, ตลอดจนการดำเนินการ และเรื่องหนึ่งที่สำคัญและขาดไม่ได้เลย นั่นก็คือ เรื่องของการสำรองและกู้คืนข้อมูลหรือที่เราเรียกกันว่าการ Backup & Restore ข้อมูลนั่นล่ะครับ 

แต่การวางแผนสำหรับการดำเนินการ Backup & Restore ข้อมูลให้มีความปลอดภัยและมั่นใจว่าจะไม่ถูกโจมตีหรือไม่โดน Ransomware และใช้งานได้นั้น เราจะวางแผนและดำเนินการอย่างไร?  สำหรับบทความนี้ผมขอนำเสนอ Service หนึ่งใน Microsoft Azure ที่จะเข้ามาช่วยในเรื่องของการ Backup & Restore ข้อมูล ซึ่งถือว่าข้อมูล เป็นสิ่งที่มีความสำคัญมากสำหรับองค์กรครับ โดย Service ที่ว่านี้มีชื่อว่า "Azure Backup" ครับ

รู้จักกับ Azure Backup

อย่างที่ผมได้เกริ่นไว้เมื่อซักครู่ว่า Azure Backup เป็น Service หนึ่งใน Microsoft Azure ครับ และเป็น Service ที่มาช่วยในการสำรองหรือ Backup ข้อมูลที่อยู่ใน On-Premise และ Cloud ไปเก็บไว้ที่ Microsoft Azure (Azure Backup) ครับ โดยเมื่อองค์กรมีการติดตั้งและใช้งาน Backup Environment ทั้งหมดจะถูกป้องกันโดย Azure Backup ครับ

Azure Backup ป้องกันข้อมูลจาก Ransomware ได้อย่างไร?

อย่างที่ผมอธิบายไว้ในหัวข้อก่อนหน้านี้ว่า ถ้ามีการติดตั้งและใช้งาน Azure Backup, Backup Environment ทั้งหมดจะถูกปกป้องโดย Azure Backup ครับ สำหรับข้อมูลที่ถูก Backup ด้วย Azure Backup นั้น Azure ฺBackup ก็จะมีการป้องกันโดยครอบคลุมทั้งในเวลาที่การรับ-ส่ง (Data In Transit) และเวลาที่ข้อมูลที่ทำการ Backup ถูกเก็บใน Azure Backup (Data At Rest) ครับ  นอกจากนี้แล้ว Azure Backup สามารถป้องกันหรือ Backup ข้อมูลต่างๆ ได้หลายรูปแบบดังนี้:

1. Files, Folders, และ System State ที่อยู่ใน On-Premise

2. Virtual Machines (OS เป็น Windows และ Linux) ที่อยู่บน Cloud และใน On-Premise

3. Azure Managed Disks (เป็น Storage Type ชนิดหนึ่งใน Microsoft Azure)

4. Azure File Shares

5. SQL Server (ที่ติดตั้งและใช้งานใน Azure Virtual Machines)

6.  SAP HANA

7. อื่นๆ 

นอกจากนี้แล้ว Azure Backup ยัง Built-In ในส่วนของฟีเจอร์ต่างๆ เช่น การ Monitoring และ Alerting ช่วยตรวจสอบและแจ้งเตือนเหตุการณ์ต่างๆ (เช่น  Unauthorized, Suspicious, เป็นต้น),  มี Azure Backup Reports (มีให้เลือกดูในรูปแบบ HTML และ PDF), และอื่นๆ มาให้ด้วย เพื่อให้เราสามารถเข้าไปดูข้อมูลตลอดจนรายละเอียดต่างๆ เกี่ยวกับการทำงานของ Azure Backup ครับ

ข้อมูลต่างๆ ที่เราได้มีการ Backup ด้วย Azure Backup เช่น Virtual Machines (ที่อยู่ใน Microsoft Azure และ On-Premise), Azure SQL Databases, และอื่นๆ จะถูกเก็บไว้ในสิ่งที่เรียกว่า "Recovery Service Vault"

อีกเรื่องหนึ่งที่จะต้องพิจารณาเกี่ยวกับ Azure Backup นั่นก็คือ เรื่องของ Availability ครับ โดยใน Azure Backup จะมีฟีเจอร์ที่เข้าช่วยในเรื่องนี้โดย เราสามารถเลือกได้ครับว่าจะทำการ Replicate ข้อมูลซึ่งถูก Backup โดย Azure Backup ไปเก็บไว้ที่อื่นได้ด้วยครับ โดยมีให้เลือกหลาย Options เช่น

- Locally Redudant Storage (LRS)

- Zone-Redudant Storage (ZRS)

- Geo-Redudant Storage (GRS)

และอย่างที่ผมได้อธิบายไว้ในข้างต้นว่า Azure Backup มีการป้องกันข้อมูลที่เราทำการ Backup ทั้งในเวลาที่การรับ-ส่ง (Data In Transit) และเวลาที่ข้อมูลที่ทำการ Backup ถูกเก็บใน Azure Backup (Data At Rest) ครับ นอกจากนี้แล้วมีสิ่งต่างๆ ดังต่อไปนี้ที่ควรทำก่อนเพื่อเป็นการป้องกันไว้ก่อนครับ

- Authentication & Authorization คือ ควรจะมีการกำหนดสิทธิ์ให้กับผู้ใช้งานหรือผู้ที่เกี่ยวข้องในการ

  เข้าถึงหรือจัดการ Azure Backup โดยท่านผู้อ่านสามารถกำหนดสิทธิ์ให้กับผู้ใช้งานหรือผู้ที่เกี่ยวข้องที่

  มี User Accounts อยู่ใน Azure Active Directory รวมถึงถ้ามีการติดตั้ง Hybrid Identity และใช้ 

  RBAC เข้ามาช่วย ในการควบคุมสิทธิ์เรื่องดังกล่าวนี้

- Data Encryption คือ การพิจารณาวางแผนและดำเนินการเรื่องดังกล่าวนี้ ซึ่งใน Microsoft Azure มี

  Services และฟีเจอร์ต่างๆ ที่ทำการเรื่องดังกล่าวนี้ให้องค์กรสามารถพิจารณาและนำไปใช้งานครับ

- Security Management & Operations คือ การทำการตรวจสอบ, วิเคราะห์, ประเมิน, และป้องกันระบบหรือ

  Workloads ต่างๆ ที่อยู่ใน Environment ขององค์กรทั้ง On-Premise และ Cloud 

สำหรับท่านใดที่สนในและอยากศึกษาข้อมูลเกี่ยวกับ Azure Backup สามารถเข้าไปที่ Link นี้ได้เลยครับ What is Azure Backup? - Azure Backup | Microsoft Docs

 

และทั้งหมดนี้คือคอนเซปและเรื่องราวของการป้องกันข้อมูลจาก Ransomware โดยใช้ Azure Backup ครับผม.....