วันพฤหัสบดีที่ 9 มิถุนายน พ.ศ. 2565

ป้องกัน Azure Virtual Networks และ Web Applications ด้วย Azure Firewall, Azure Application Gateway, และ Azure Web Application Firewall

     สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ผมจะพาท่านไปรู้จักกับ Services ต่างๆ ใน Microsoft Azure ที่จะมาช่วยป้องกัน Azure Virtual Networks และ Web Applications ที่เราได้มีการติดตั้งใช้งานครับ เรื่องราวจะเป็นอย่างไร สามารถติดตามกันได้เลยครับ


ก่อนที่จะพาทุกท่านไปรู้จักกับ Services ต่างๆ  ผมขออธิบายคอนเซปที่เกี่ยวข้องกับ Security ในส่วนที่เกี่ยวข้องกับ Network ให้ทุกท่านได้รับทราบกันก่อนนะครับ โดยเริ่มจากการพิจารณาดูว่าชนิดหรือรูปแบบของ Traffics ที่ต้องการป้องกัน (Protect) โดยปรกติทั่วๆ ไป จะมี 2 ชนิด


1. HTTP/HTTPs Traffics, เกี่ยวข้องกับ Web Applications

2. Non-HTTP/HTTPS Traffics, เกี่ยวข้องกับ Traffics ที่ใช้งานกับ Workloads ต่างๆ เช่น TCP Traffic ที่เชื่อมต่อกับ SQL (Port 1433), Traffic ที่เชื่อมต่อกับ DNS (Port 53), เป็นต้น


เรื่องสำคัญเรื่องหนึ่งของการรักษาความปลอดภัยของ Network คือ การป้องกัน Hosts หรือ Devices ต่างๆ โดยการซ่อน IP Address ของ Hosts หรือ Devices เหล่านั้น  วิธีการที่จะทำการซ่อนเพื่อไม่ให้ Attacker ทำการ Attack ไปยัง IP Address ต้นทางได้ คือ การใช้กระบวนหรือวิธีการที่เรียกว่า “Network Address Translation” หรือเรียกสั้นๆ ว่า NAT  ซึ่งมีทั้งหมด 2 แบบ คือ


แบบที่ 1: Source Network Address Translation (SNAT), SNAT จะถูกใช้เมื่อเราต้องการซ่อน IP Address ของ Internal หรือ Private Hosts หรือ Devices ที่จะพยายามเริ่มทำการสร้างหรือทำการติดต่อไปยังภายนอก (External) โดยจะมี Devices (เช่น Azure Firewall) ดำเนินการเปลี่ยน Private IP Address (ของ Hosts หรือ Devices) ต้นทาง (Source) มาเป็น Public IP Address  (ของ Azure Firewall)  โดยกระบวนการเปลี่ยนแปลงดังกล่าวนี้สามารถเปลี่ยน Source Port (ใน TCP/UDP Headers) ได้อีกด้วย  ตัวอย่างการใช้งาน SNAT เช่น เราต้องการเปลี่ยน Private IP Address หรือ Port ของต้นทางมาเป็น Public Address/Port เมื่อ Packets กำลังออกจาก Network


แบบที่ 2: Destination Network Address Translation (DNAT), DNAT จะถูกใช้ในการ Redirect Packets ที่เข้ามาใน Network (Incoming Packets) ที่มาพร้อมกับ Destination ของ Public Address/Port ไปยัง Private IP Address/Port ที่อยู่ภายใน Network  โดย DNAT จะดำเนินการกับ Incoming Packet ตามที่เกริ่นไว้ช้างต้น โดย Firewall (Azure Firewall) จะทำการแปลง Public IP Address (Destination) มาเป็น Private IP Address (Source) โดย DNAT สามารถทำ Port Forwarding หรือ Port Translation  ตัวอย่างของการใช้งาน DNAT เช่น ผู้ใช้งานหรือลูกค้าพยายามติดต่อหรือ Access Web Server ซึ่งอยู่ใน On-Premise Data Center หรือ On Cloud (Microsoft Azure) โดย DNAT จะทำการซ่อน Private IP Address ของ Web Server เอาไว้ และ Firewall (Azure Firewall) จะทำการแปลง Public IP Address (ซึ่งเป็น IP Address ที่ผู้ใช้งานหรือลูกค้าติดต่อมา) มาเป็น Private IP Address ของ Web Server ดังกล่าว  


จากเรื่องราวข้างต้นในส่วนของ Microsoft Azure ได้เตรียม Services ต่างๆ ที่จะเข้ามช่วยในการป้องกัน Resources ต่างๆ เช่น Azure Virtual Networks และ Web Applications ที่องค์กรได้มีการติดตั้งและใช้งาน โดยมี Azure Services ที่เกี่ยวข้องดังนี้:


Azure Firewall

Azure Firewall เป็น Managed Service (PaaS) ซึ่งเป็น Service หนึ่งของ Microsoft Azure ที่เข้ามาช่วยในการป้องกัน (Protect) Azure Virtual Networks (Azure VNets) และ Azure Firewall ยังเป็น Stateful Firewall มาพร้อมกับ High Availability และ Scalability 

เพราะฉะนั้นจึงทำให้ Azure Firewall มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้นในการนำไปประยุกต์ใช้งานในองค์กร และโดย Default, Azure Firewall จะ Block ทุก Traffics   และ Azure Firewall มี Options หรือ SKUs ให้เลือกใช้ดังนี้

- Standard

- Premium 


Azure Firewall (Standard)

ใน Option หรือ SKU ดังกล่าวนี้ได้เตรียมความสามารถหรือฟีเจอร์ต่างๆ เช่น L3-L7 Filtering และ Threat Intelligence โดย Microsoft Cyber Security  โดย Threat Intelligence จะทำการค้นหา, ตรวจสอบ, Alert, ตลอดจนการ Deny Traffics ต่างๆ ที่น่าสงสัยจาก IP Addresses และ Domains ซึ่งจะมีการอัพเดทข้อมูลต่างๆ เป็นระยะๆ จากทาง Microsoft Cyber Security เพื่อป้องกันการ Attacks ใหม่ๆ 















ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Firewall (Standard)

- Built-In High Availability

- Availability Zones

- Unrestricted Cloud Scalability

- Network Traffic Filtering Rules

- SNAT & DNAT (*อ้างอิงจากการอธิบายไว้ตอนต้น)

- Threat Intelligence

- อื่นๆ


Azure Firewall (Premium)

ใน Option หรือ SKU ดังกล่าวนี้ได้เพิ่มความสามารถตลอดจนฟีเจอร์ต่างๆ เช่น Signature-Based IDPS ซึ่งดำเนินการการค้นหา Attacks ต่างๆ แบบรวดเร็ว (Rapid Detection) เพื่อทำการมองหารูปแบบ (Patterns) ในการ Attack  โดย Patterns ที่มาพร้อมกับฟีเจอร์ดังกล่าวมีมากกว่า 58,000 Signatures และมากกว่า 50 Categories ซึ่งทาง Microsoft จะมีการอัพเดทเป็นระยะๆ

















ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Firewall (Premium)

- TLS Inspection, ทำการ Decrypts Outbound Traffics, Process Data แล้วทำการ Encrypt Data แล้วส่งไปยัง Destination

- IDPS, เป็น Network Intrusion Detection และ Prevention System (IDPS) ให้เราสามารถทำการตรวจสอบ Network Activities ที่น่าสงสัย, บันทึกเหตุการณ์ต่างๆ, รายงาน, และทำการ Block

- URL Filtering

- Web Categories


รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Firewall, https://docs.microsoft.com/en-us/azure/firewall/overview


Azure Application Gateway

เป็น Service ที่ให้บริการ Web Traffic Load Balancer หรือ Distributing Traffics เพื่อให้เราทำการบริหารจัดการ Traffics ที่จะเข้ามาที่ Web Applications โดยตัวของ Azure Application Gateway จะทำงานที่ Layer 7 (Application Layer) และทำการ Route Traffics จาก Source IP Address/Port ไปยัง Destination IP Address/Port

Application Gateway สามารถสร้าง Routing ตาม Additional Attributes ของ HTTP Request ตัวอย่างเช่น URI Path หรือ Host Headers นั่นหมายความว่า เราสามารถ Route Traffic ตาม Incoming URL เช่น /vdo, /images, เป็นต้น หรือสามารถ Route Traffics ไปที่ Server ที่เราต้องการ เป็นต้น













รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Application Gateway, https://docs.microsoft.com/en-us/azure/application-gateway/overview


Azure Web Application Firewall (WAF)

เป็นอีกหนึ่ง Service ที่ผมอยากแนะนำเพิ่มเติมครับ โดย Service ดังกล่าวนี้ จะทำหน้าที่ในการป้องกัน Web Application จาก Common Exploits และ Vulnerabilities เช่น SQL Injection, Cross Site Scripting, และอื่นๆ  โดยตัวของ WAFสามารถทำงานร่วมกันกับ Azure Application Gateway  ทำให้เราสามารถกำหนด Rules (Core Rule Set) จาก Open Web Application Security Project (OWASP)  ซึ่งส่งผลทำให้การป้องกัน Web Applications มีความปลอดภัยมากขึ้น


ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Web Application Firewall (WAF)

- SQL Injection Protection

- Cross-Site Scription Protection

- Protection จาก Common Web Attacks เช่น Command Injection, HTTP Request Smuggling, เป็นต้น

- Protection จาก HTTP Protocol Violations

- Protection จาก HTTP Protocol Anomalies

- อื่นๆ



 









รายละเอียดเพิ่มเติมเกี่ยวกับ Web Application Firewall, https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/ag-overview


และทั้งหมดนี้คือเรื่องราวของการป้องกัน Azure Virtual Networks และ Web Applications ครับผม…..



ไม่มีความคิดเห็น:

แสดงความคิดเห็น