เลือกอะไรดี ? ระหว่าง Azure Bastion กับ Just-In-Time VM Access

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเกี่ยวข้องกับการสร้างความปลอดภัยให้กับ Azure Virtual Machines (Azure VMs) ที่เราได้มีการติดตั้งและใช้งานกันครับ สำหรับการสร้างความปลอดภัยให้กับ Azure VMs ซึ่งถือว่าเป็น Workloads ที่มีความสำคัญใน Environment ขององค์กรนั้น ถ้าว่ากันตาม Best Practices ที่เกี่ยวข้องกับเรื่องดังกล่าวนี้มีรายละเอียดเยอะพอสมควรครับ แต่สำหรับบทความนี้ผมจะหยิบเอามาเรื่องหนึ่งนั่นก็คือการ Securing Management Ports ของ Azure VMs ครับ ซึ่งใน Microsoft Azure ได้เตรียม Options ต่างๆ เอาให้แล้ว โดยหลักๆ จะมีอยู่ 2 Options คือ

1. Azure Bastion

2. Just-In-Time Virtual Machine Access (เป็นฟีเจอร์หนึ่งของ Microsoft Defender for Cloud)

สิ่งที่น่าสนใจคือ เราจะเลือก Options ใดดีเพื่อ Secure Management Ports ของ Azure VMs ครับ ก่อนอื่นเลยผมขอเริ่มคอนเซปพื้นฐานของ Azure VMs ก่อนนะครับ เผื่อว่าท่านใดที่ยังไม่คุ้นเคยกับ Azure VMs โดยเริ่มจากการติดตั้ง Azure VMs ซึ่งแน่นอนว่าก่อนที่จะดำเนินการติดตั้ง จะต้องมีการวางแผน, ออกแบบ, และเตรียมความพร้อมมาก่อนนะครับ เช่น Series, Sizes, OS, Disks, และอื่นๆ สุดท้าย Azure VMs ดังกล่าวนั้นก็จะถูก Provisioned และเราก็นำเอามาใช้งานต่อไปครับ

 

แต่ประเด็นที่เกี่ยวข้องกับเรื่องความปลอดภัยหรือ Security คือ ทุกท่านทราบใช่มั๊ยครับว่า Azure VMs ทุก VMs ที่ได้มีการติดตั้งใช้งาน มันจะเปิด Ports (Management Ports) เอาไว้ เช่น RDP หรือ SSH ทั้งนี้ก็ขึ้นอยู่กับ OS ที่เราได้มีการติดตั้งเข้าไปยัง Azure VMs ดังกล่าว โดย Management Ports ดังกล่าวนี้เปิดเอาไว้โดยมีวัตถุประสงค์เพื่อให้ผู้ดูแลระบบตลอดจนท่านที่มีบทบาทหน้าที่เกี่ยวข้องเข้าไปดำเนินการหรือทำงานต่าง ๆ ครับ ดังรูปด้านล่าง เป็นรูปที่แสดงถึง NSG ของ Azure VMs ที่เราได้ทำการ Deploy ไปนั้นมี RDP Port เปิดอยู่ครับ

หลายๆ ท่านอาจจะมีคำถามในใจว่าที่อยากจะถามผมเกี่ยวกับเรื่องนี้ว่า Ports เหล่านี้ก็ต้องเปิดอยู่แล้ว ก็ถูกต้องแล้ว ไม่เช่นนั้นผู้ดูแลระบบก็ไม่สามารถ Remote เข้าทำงานได้สิ ก็ถูกต้องครับ แต่มันไม่ปลอดภัยครับ เพราะว่า Ports เหล่านี้ (RDP และ SSH) มันเปิดไว้ตลอดเวลาครับ ซึ่งทำให้เกิดความสุ่มเสี่ยงที่จะโดนโจมตีหรือ Attacks ครับ เพราะฉะนั้นนี่คือเรื่องปรกติที่เกิดขึ้นกับ Azure VMs ทุก VMs ที่เราได้มีการติดตั้งใช้งานครับ สำหรับการป้องกันหรือการ Secure Management Ports จากประเด็นที่ผมได้อธิบายไว้ก่อนหน้านี้ จะทำได้อย่างไร คำตอบ อยู่ที่ตอนต้นของบทความครับ คือ การพิจารณานำเอา Azure Bastion หรือ Just-In-Time Virtual Machine Access มาประยุกต์ใช้งานครับ  ดังนั้นเรามาทำความรู้จักในแต่ละ Options กันเลยครับผม

1. Azure Bastion

เป็น Service ที่ให้เราสามารถใช้ Modern HTML5-Based Web Client ที่อยู่ภายใน Azure Portal แล้วเชื่อมต่อโดยใช้ TLS และ Port 443 ไปยัง Azure VMs ที่อยู่ใน Azure Virtual Networks เดียวกัน 

Azure Bastion ที่ใช้ Modern HTML5-Based Web Client ดังกล่าว จะเชื่อมต่อไปยัง RDP หรือ SSH Sessions over TLS (Port 443) และ Port (ที่ Modern HTML5-Based Web Client) เดียวกันนี้จะใช้สำหรับ HTTPS Connections เช่นกัน เพราะฉะนั้นการใช้ TLS Over 443 ทำให้การติดต่อผ่านไปยัง Firewall ขององค์กรสะดวกมากขึ้น เพราะไม่ต้องเปิด Ports ใดๆ เพิ่มเติม

การนำเอา Azure Bastion ยังส่งผลทำให้การ Access หรือเข้าถึง Azure VMs มีความปลอดภัยมากขึ้น เพราะไม่ได้ใช้หรือติดต่อผ่านทาง Public IP Address ของ Azure VMs  เพราะ Azure Bastion ติดต่อไปยัง Azure VMs โดยใช้ Private IP Address ส่งผลทำให้ Azure VMs มีความปลอดภัยจากการ Scanning Ports จากภายนอก

2. Just-In-Time VM Access (ฟีเจอร์หนึ่งของ Microsoft Defender for Cloud)

สำหรับ Just-In-Time VM Access ถือว่าเป็นฟีเจอร์หนึ่งของ Microsoft Defender for Cloud (ชื่อเดิม คือ Azure Security Center) นั่นหมายความว่าถ้าเราต้องการใช้งานฟีเจอร์นี้ จะต้องมีการ Enable Azure Subscription ที่เราต้องการให้ Microsoft Defender for Cloud เข้ามาทำหน้าที่ต่างๆ เช่น CSPM, CWPP, เป็นต้น นอกจากนี้แล้วตัวของ Microsoft Defender for Cloud ยังมีความสามารถและฟีเจอร์อีกมากมายครับ หนึ่งในนั้นก็คือ Just-In-Time VM Access ครับ นั่นหมายความก่อนที่ทุกท่านจะใช้งานฟีเจอร์ดังกล่าวนี้ จะต้องมีการวางแผนมาก่อนนะครับ

ด้วยความสามารถของฟีเจอร์ Just-In-Time VM Access ทำให้เราสามารถกำหนดการเข้าถึงหรือ Access Azure VMs ที่ต้องการได้ครับ (สามารถกำหนด Ports ที่ต้องการได้ ไม่ได้จำกัดแค่เพียง Management Ports นะครับ) ด้วยการกำหนดเวลาในการเข้าถึง Azure VMs ตัวดังกล่าว เมื่อเลยเวลาที่กำหนดการเข้าถึงหรือ Access นั้นก็จะสิ้นสุดลงครับ โดยคอนเซปการทำงานของ Just-In-Time VM Access, เริ่มจาก Microsoft Defender for Cloud โดยเข้าไปปรับเปลี่ยน Inbond Ports (Inboud Security Rules) ใน NSG ของ Azure VMs ดังกล่าวให้เราโดยอัตโนมัติ

เพราะฉะนั้นถ้าเราต้องการ Remote เข้าไปยัง Azure VMs ดังกล่าวที่มีการ Protect หรือ Secure โดยใช้ Just-In-Time VM Access สามารถทำได้โดยใช้เครื่องมือที่ใช้อยู่แล้วตามปรกติ เช่น Remote Desktop หรือ Tools อื่นๆ ที่ใช้หรือ Support RDP  นอกจากนี้แล้วเรายังสามารถทำจัดการและทำการ Transfer ไฟล์ต่างๆ ได้โดยตรงไปยัง Azure VMs ดังกล่าวได้เลยครับ

และสุดท้ายด้วยความสามารถของฟีเจอร์ Just-In-Time VM Access ส่งผลทำให้ Azure VMs มีความปลอดภัยมากขึ้นเพราะมีการปิด Management Ports โดยอัตโนมัติและจะเปิดมีการ Request และปิดตามเวลาที่กำหนด

มาถึงตรงนี้ทุกท่านจะพอเข้าใจและเห็นภาพแล้วว่าทั้ง Azure Bastion และ Just-In-Time VM Access  เป็นสิ่งที่จะมาช่วยลด Attack Surface และสร้างความปลอดภัยให้กับ Azure VMs ที่เราได้มีการติดตั้งและใช้งาน โดยเฉพาะประเด็นที่ผมได้หยิบมานำเสนอและอธิบายนั่นก็คือ การ Secure Management Ports ของ Azure VMs ครับ  ตารางด้านล่างเป็นตารางที่ยกตัวอย่าง Use Cases สำหรับการเลือกใช้ Options ใดครับ

แต่ถ้าเราต้องการความปลอดภัยแบบสูงสุดสำหรับเรื่องของการ Secure Management Ports ก็สามารถพิจารณานำเอาทั้ง 2 Options เข้ามาทำงานร่วมกันเลยครับ ดังรูปด้านล่างครับ

จากภาพด้านบนคือการนำเอา Azure Bastion และ Just-In-Time VM Access มาใช้งานร่วมกัน ซึ่งส่งผลทำให้องค์กรหรือออฟฟิศของทุกท่านได้รับประโยชน์คือ ใช้ Browser-Based SSL Connection ในการติดต่อไปยัง Azure VMs โดยที่ไม่ได้ใช้ Public IP Address ของ Azure VMs และยังสามารถกำหนด Ports ที่ต้องการ เช่น RDP, SSH, และอื่นๆ ให้เปิดและปิดตามเวลาที่กำหนดครับ ส่งผลทำให้การเข้าถึง Azure VMs ของทุกท่านมีความปลอดภัยมากขึ้นครับผม

และทั้งหมดนี้คือเรื่องราวของ Azure Bastion และ Just-In-Time VM Access ที่ผมนำเอามาฝากครับผม.....

รู้จักกับ Microsoft Entra

      สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับกลุ่ม Product (Product Family) ใหม่ของทาง Microsoft ที่เพิ่งประกาศออกมาเมื่อเดือนที่แล้วครับ โดยกลุ่ม Product ใหม่ดังกล่าวนี้มีชื่อว่า "Microsoft Entra" โดย Microsoft Entra ถูกออกแบบเพื่อให้บริการเกี่ยวกับ Identity & Access Managment (IAM), Cloud Infrastructure Management, และ Identity Verification ซึ่งครอบคลุมทั้ง On-Premise, Microsoft Azure, AWS, Google Cloud Platform, และอื่นๆ โดยใน Microsoft Entra จะประกอบไปด้วยส่วนส่วนประกอบหรือ Products ต่างๆ ดังนี้

1. Azure Active Directory (Azure AD)

เป็น Service หลักที่ใช้ในการบริหารจัดการ Identity โดย Azure Active Directory (Azure AD) มาพร้อมกับ Editions ต่างๆ เช่น Azure AD Free Edition, Azure AD Premium P1, Azure AD Premium P2, Azure AD B2B, Azure B2C, Azure AD DS ซึ่งแต่ละ Editions ก็จะมาพร้อมกับความสามารถตลอดจนฟีเจอร์ต่างๆ มากมาย เช่น Azure MFA, Azure AD Identity Protection, Azure AD PIM, Access Review, และอื่นๆ 

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra-Azure Active Directory (Azure AD), https://www.microsoft.com/en-us/security/business/solutions/secure-app-access?rtc=1

2. Permissions Management

ชื่อเดิมคือ CloudKnox Security (ขอเรียกสั้นๆ ว่า CloudKnox) ซึ่งทาง Microsoft ได้ Acquired มาครับ สำหรับความสามารถของ CloudKnox คือ บริหารจัดการ Permissions ของ Identity (ของ Cloud Service Providers ต่างๆ เช่น Microsoft Azure, AWS, GCP, และอื่นๆ), Unified Privileged Access, และ Cloud Entitlement Managment ครับ 

โดยคอนเซปคร่าวๆ ของ CloudKnox จะมีความคล้ายคลึงกับ Azure Active Directory (Azure AD) แต่ตัวของ CloudKnow มีความสามารถมากกว่า Azure Active Directory (Azure AD) โดยเฉพาะรองรับการบริหารจัดการใน Environment ที่เป็น Mulit-Cloud Environment ครับ โดย CloudKnox จะจัดอยู่ใน Solution ที่เรียกว่า "Cloud Infrastructre Entitilement Management" หรือเรียกสั้นๆ ว่า "CIEM" และทาง Microsoft ได้ทำการเปลี่ยนชื่อจาก CloudKnox มาเป็น Permissions Management ครับ

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra-Permissions Management, https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-permissions-management?rtc=1

 

3. Verified ID

ชื่อเดิมคือ Azure Active Directory Verifiable Credentials ซึ่งเป็นการให้บริการ Authentication (ในรูปแบบ Decentralized Identity) ที่เรียกว่า "Verifiable Credentials" หรือเรียกสั้นๆ ว่า VC ครับ ผมขออนุญาตอธิบายคร่าวๆ เกี่ยวกับ VC นะครับ โดยขอเริ่มจากการนำเอาเอกสารของเรามาใช้งานในชีวิตประจำวัน เอกสารดังกล่าว เช่น บัตรประชาชน, ใบขับขี่, และอื่นๆ ซึ่งเอกสารดังกล่าวจะออกและดูแลหน่วยงานทางราชการ จากนั้นเมื่อเราไปติดต่องานหรือทำธุรกรรมต่างๆ ทางเจ้าหน้าที่ก็จะทำการขอบัตรประชาชน โดยมีการทำสำเนาและให้เราเซ็นต์กำกับเอกสารถูกต้อง ซึ่งเอาเข้าจริงๆ เราก็ไม่รู้เลยว่า เอกสารดังกล่าวจะถูกนำเอาไปใช้ในวัตถุประสงค์อื่นๆ หรือไม่ ซึ่งท่านผผู้อ่านจะเห็นว่าจากประเด็นดังกล่าวนี้ มันเกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับข้อมูลหรือเอกสารที่ใช้ในการยืนยันตัวตนของเรา  

คราวนี้เรามาดูคอนเซปของ VC ว่าเป็นอย่างไรครับ เริ่มจาก VC เป็น Credential ซึ่งเปรียบเหมือนกับเอกสารที่เป็นกระดาษที่ผมได้อธิบายจากประเด็นข้างต้นครับ แต่ VC เป็นแบบ Digital โดยจะมีการกำหนดหรือลง Digital Signature ที่ถูกสร้างขึ้นมาจากกระบวนการทางด้าน Cryptographic และจะถูกตรวจสอบด้วยกระบวนการเดียวกัน และไม่สามารถแก้ไขได้ ทำให้เกิดความน่าเชื่อถือและมีปลอดภัยมากขึ้นครับ

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra-Verified ID, https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-verified-id

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Entra, https://www.microsoft.com/security/blog/2022/05/31/secure-access-for-a-connected-worldmeet-microsoft-entra/

และทั้งหมดนี้คือเรื่องราวของ Microsoft Entra ครับผม.....

ป้องกัน Azure Virtual Networks และ Web Applications ด้วย Azure Firewall, Azure Application Gateway, และ Azure Web Application Firewall

     สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ผมจะพาท่านไปรู้จักกับ Services ต่างๆ ใน Microsoft Azure ที่จะมาช่วยป้องกัน Azure Virtual Networks และ Web Applications ที่เราได้มีการติดตั้งใช้งานครับ เรื่องราวจะเป็นอย่างไร สามารถติดตามกันได้เลยครับ

ก่อนที่จะพาทุกท่านไปรู้จักกับ Services ต่างๆ  ผมขออธิบายคอนเซปที่เกี่ยวข้องกับ Security ในส่วนที่เกี่ยวข้องกับ Network ให้ทุกท่านได้รับทราบกันก่อนนะครับ โดยเริ่มจากการพิจารณาดูว่าชนิดหรือรูปแบบของ Traffics ที่ต้องการป้องกัน (Protect) โดยปรกติทั่วๆ ไป จะมี 2 ชนิด

1. HTTP/HTTPs Traffics, เกี่ยวข้องกับ Web Applications

2. Non-HTTP/HTTPS Traffics, เกี่ยวข้องกับ Traffics ที่ใช้งานกับ Workloads ต่างๆ เช่น TCP Traffic ที่เชื่อมต่อกับ SQL (Port 1433), Traffic ที่เชื่อมต่อกับ DNS (Port 53), เป็นต้น

เรื่องสำคัญเรื่องหนึ่งของการรักษาความปลอดภัยของ Network คือ การป้องกัน Hosts หรือ Devices ต่างๆ โดยการซ่อน IP Address ของ Hosts หรือ Devices เหล่านั้น  วิธีการที่จะทำการซ่อนเพื่อไม่ให้ Attacker ทำการ Attack ไปยัง IP Address ต้นทางได้ คือ การใช้กระบวนหรือวิธีการที่เรียกว่า “Network Address Translation” หรือเรียกสั้นๆ ว่า NAT  ซึ่งมีทั้งหมด 2 แบบ คือ

แบบที่ 1: Source Network Address Translation (SNAT), SNAT จะถูกใช้เมื่อเราต้องการซ่อน IP Address ของ Internal หรือ Private Hosts หรือ Devices ที่จะพยายามเริ่มทำการสร้างหรือทำการติดต่อไปยังภายนอก (External) โดยจะมี Devices (เช่น Azure Firewall) ดำเนินการเปลี่ยน Private IP Address (ของ Hosts หรือ Devices) ต้นทาง (Source) มาเป็น Public IP Address  (ของ Azure Firewall)  โดยกระบวนการเปลี่ยนแปลงดังกล่าวนี้สามารถเปลี่ยน Source Port (ใน TCP/UDP Headers) ได้อีกด้วย  ตัวอย่างการใช้งาน SNAT เช่น เราต้องการเปลี่ยน Private IP Address หรือ Port ของต้นทางมาเป็น Public Address/Port เมื่อ Packets กำลังออกจาก Network

แบบที่ 2: Destination Network Address Translation (DNAT), DNAT จะถูกใช้ในการ Redirect Packets ที่เข้ามาใน Network (Incoming Packets) ที่มาพร้อมกับ Destination ของ Public Address/Port ไปยัง Private IP Address/Port ที่อยู่ภายใน Network  โดย DNAT จะดำเนินการกับ Incoming Packet ตามที่เกริ่นไว้ช้างต้น โดย Firewall (Azure Firewall) จะทำการแปลง Public IP Address (Destination) มาเป็น Private IP Address (Source) โดย DNAT สามารถทำ Port Forwarding หรือ Port Translation  ตัวอย่างของการใช้งาน DNAT เช่น ผู้ใช้งานหรือลูกค้าพยายามติดต่อหรือ Access Web Server ซึ่งอยู่ใน On-Premise Data Center หรือ On Cloud (Microsoft Azure) โดย DNAT จะทำการซ่อน Private IP Address ของ Web Server เอาไว้ และ Firewall (Azure Firewall) จะทำการแปลง Public IP Address (ซึ่งเป็น IP Address ที่ผู้ใช้งานหรือลูกค้าติดต่อมา) มาเป็น Private IP Address ของ Web Server ดังกล่าว  

จากเรื่องราวข้างต้นในส่วนของ Microsoft Azure ได้เตรียม Services ต่างๆ ที่จะเข้ามช่วยในการป้องกัน Resources ต่างๆ เช่น Azure Virtual Networks และ Web Applications ที่องค์กรได้มีการติดตั้งและใช้งาน โดยมี Azure Services ที่เกี่ยวข้องดังนี้:

Azure Firewall

Azure Firewall เป็น Managed Service (PaaS) ซึ่งเป็น Service หนึ่งของ Microsoft Azure ที่เข้ามาช่วยในการป้องกัน (Protect) Azure Virtual Networks (Azure VNets) และ Azure Firewall ยังเป็น Stateful Firewall มาพร้อมกับ High Availability และ Scalability 

เพราะฉะนั้นจึงทำให้ Azure Firewall มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้นในการนำไปประยุกต์ใช้งานในองค์กร และโดย Default, Azure Firewall จะ Block ทุก Traffics   และ Azure Firewall มี Options หรือ SKUs ให้เลือกใช้ดังนี้

- Standard

- Premium 

Azure Firewall (Standard)

ใน Option หรือ SKU ดังกล่าวนี้ได้เตรียมความสามารถหรือฟีเจอร์ต่างๆ เช่น L3-L7 Filtering และ Threat Intelligence โดย Microsoft Cyber Security  โดย Threat Intelligence จะทำการค้นหา, ตรวจสอบ, Alert, ตลอดจนการ Deny Traffics ต่างๆ ที่น่าสงสัยจาก IP Addresses และ Domains ซึ่งจะมีการอัพเดทข้อมูลต่างๆ เป็นระยะๆ จากทาง Microsoft Cyber Security เพื่อป้องกันการ Attacks ใหม่ๆ 

ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Firewall (Standard)

- Built-In High Availability

- Availability Zones

- Unrestricted Cloud Scalability

- Network Traffic Filtering Rules

- SNAT & DNAT (*อ้างอิงจากการอธิบายไว้ตอนต้น)

- Threat Intelligence

- อื่นๆ

Azure Firewall (Premium)

ใน Option หรือ SKU ดังกล่าวนี้ได้เพิ่มความสามารถตลอดจนฟีเจอร์ต่างๆ เช่น Signature-Based IDPS ซึ่งดำเนินการการค้นหา Attacks ต่างๆ แบบรวดเร็ว (Rapid Detection) เพื่อทำการมองหารูปแบบ (Patterns) ในการ Attack  โดย Patterns ที่มาพร้อมกับฟีเจอร์ดังกล่าวมีมากกว่า 58,000 Signatures และมากกว่า 50 Categories ซึ่งทาง Microsoft จะมีการอัพเดทเป็นระยะๆ

ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Firewall (Premium)

- TLS Inspection, ทำการ Decrypts Outbound Traffics, Process Data แล้วทำการ Encrypt Data แล้วส่งไปยัง Destination

- IDPS, เป็น Network Intrusion Detection และ Prevention System (IDPS) ให้เราสามารถทำการตรวจสอบ Network Activities ที่น่าสงสัย, บันทึกเหตุการณ์ต่างๆ, รายงาน, และทำการ Block

- URL Filtering

- Web Categories

รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Firewall, https://docs.microsoft.com/en-us/azure/firewall/overview

Azure Application Gateway

เป็น Service ที่ให้บริการ Web Traffic Load Balancer หรือ Distributing Traffics เพื่อให้เราทำการบริหารจัดการ Traffics ที่จะเข้ามาที่ Web Applications โดยตัวของ Azure Application Gateway จะทำงานที่ Layer 7 (Application Layer) และทำการ Route Traffics จาก Source IP Address/Port ไปยัง Destination IP Address/Port

Application Gateway สามารถสร้าง Routing ตาม Additional Attributes ของ HTTP Request ตัวอย่างเช่น URI Path หรือ Host Headers นั่นหมายความว่า เราสามารถ Route Traffic ตาม Incoming URL เช่น /vdo, /images, เป็นต้น หรือสามารถ Route Traffics ไปที่ Server ที่เราต้องการ เป็นต้น

รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Application Gateway, https://docs.microsoft.com/en-us/azure/application-gateway/overview

Azure Web Application Firewall (WAF)

เป็นอีกหนึ่ง Service ที่ผมอยากแนะนำเพิ่มเติมครับ โดย Service ดังกล่าวนี้ จะทำหน้าที่ในการป้องกัน Web Application จาก Common Exploits และ Vulnerabilities เช่น SQL Injection, Cross Site Scripting, และอื่นๆ  โดยตัวของ WAFสามารถทำงานร่วมกันกับ Azure Application Gateway  ทำให้เราสามารถกำหนด Rules (Core Rule Set) จาก Open Web Application Security Project (OWASP)  ซึ่งส่งผลทำให้การป้องกัน Web Applications มีความปลอดภัยมากขึ้น

ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Web Application Firewall (WAF)

- SQL Injection Protection

- Cross-Site Scription Protection

- Protection จาก Common Web Attacks เช่น Command Injection, HTTP Request Smuggling, เป็นต้น

- Protection จาก HTTP Protocol Violations

- Protection จาก HTTP Protocol Anomalies

- อื่นๆ

 

รายละเอียดเพิ่มเติมเกี่ยวกับ Web Application Firewall, https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/ag-overview

และทั้งหมดนี้คือเรื่องราวของการป้องกัน Azure Virtual Networks และ Web Applications ครับผม…..