สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ผมจะพาท่านไปรู้จักกับ Services ต่างๆ ใน Microsoft Azure ที่จะมาช่วยป้องกัน Azure Virtual Networks และ Web Applications ที่เราได้มีการติดตั้งใช้งานครับ เรื่องราวจะเป็นอย่างไร สามารถติดตามกันได้เลยครับ
ก่อนที่จะพาทุกท่านไปรู้จักกับ Services ต่างๆ ผมขออธิบายคอนเซปที่เกี่ยวข้องกับ Security ในส่วนที่เกี่ยวข้องกับ Network ให้ทุกท่านได้รับทราบกันก่อนนะครับ โดยเริ่มจากการพิจารณาดูว่าชนิดหรือรูปแบบของ Traffics ที่ต้องการป้องกัน (Protect) โดยปรกติทั่วๆ ไป จะมี 2 ชนิด
1. HTTP/HTTPs Traffics,
เกี่ยวข้องกับ Web Applications
2. Non-HTTP/HTTPS Traffics, เกี่ยวข้องกับ
Traffics ที่ใช้งานกับ
Workloads ต่างๆ เช่น TCP
Traffic ที่เชื่อมต่อกับ
SQL (Port 1433), Traffic ที่เชื่อมต่อกับ DNS (Port 53), เป็นต้น
เรื่องสำคัญเรื่องหนึ่งของการรักษาความปลอดภัยของ
Network คือ
การป้องกัน Hosts หรือ
Devices ต่างๆ
โดยการซ่อน IP Address ของ Hosts
หรือ Devices เหล่านั้น
วิธีการที่จะทำการซ่อนเพื่อไม่ให้ Attacker ทำการ Attack ไปยัง IP Address ต้นทางได้ คือ การใช้กระบวนหรือวิธีการที่เรียกว่า
“Network Address Translation”
หรือเรียกสั้นๆ ว่า
NAT ซึ่งมีทั้งหมด
2 แบบ คือ
แบบที่
1: Source Network Address Translation (SNAT), SNAT จะถูกใช้เมื่อเราต้องการซ่อน IP Address ของ Internal หรือ Private Hosts หรือ Devices ที่จะพยายามเริ่มทำการสร้างหรือทำการติดต่อไปยังภายนอก
(External) โดยจะมี
Devices (เช่น
Azure Firewall) ดำเนินการเปลี่ยน
Private IP Address (ของ
Hosts หรือ Devices)
ต้นทาง (Source) มาเป็น Public IP Address (ของ
Azure Firewall) โดยกระบวนการเปลี่ยนแปลงดังกล่าวนี้สามารถเปลี่ยน
Source Port (ใน TCP/UDP
Headers) ได้อีกด้วย ตัวอย่างการใช้งาน
SNAT เช่น เราต้องการเปลี่ยน Private
IP Address หรือ Port ของต้นทางมาเป็น Public Address/Port เมื่อ Packets กำลังออกจาก Network
แบบที่ 2: Destination Network Address Translation (DNAT), DNAT จะถูกใช้ในการ Redirect Packets ที่เข้ามาใน Network (Incoming Packets) ที่มาพร้อมกับ Destination ของ Public Address/Port ไปยัง Private IP Address/Port ที่อยู่ภายใน Network โดย DNAT จะดำเนินการกับ Incoming Packet ตามที่เกริ่นไว้ช้างต้น โดย Firewall (Azure Firewall) จะทำการแปลง Public IP Address (Destination) มาเป็น Private IP Address (Source) โดย DNAT สามารถทำ Port Forwarding หรือ Port Translation ตัวอย่างของการใช้งาน DNAT เช่น ผู้ใช้งานหรือลูกค้าพยายามติดต่อหรือ Access Web Server ซึ่งอยู่ใน On-Premise Data Center หรือ On Cloud (Microsoft Azure) โดย DNAT จะทำการซ่อน Private IP Address ของ Web Server เอาไว้ และ Firewall (Azure Firewall) จะทำการแปลง Public IP Address (ซึ่งเป็น IP Address ที่ผู้ใช้งานหรือลูกค้าติดต่อมา) มาเป็น Private IP Address ของ Web Server ดังกล่าว
จากเรื่องราวข้างต้นในส่วนของ Microsoft Azure ได้เตรียม Services ต่างๆ ที่จะเข้ามช่วยในการป้องกัน Resources ต่างๆ เช่น Azure Virtual Networks และ Web Applications ที่องค์กรได้มีการติดตั้งและใช้งาน โดยมี Azure Services ที่เกี่ยวข้องดังนี้:
Azure Firewall
Azure Firewall เป็น Managed Service (PaaS) ซึ่งเป็น Service หนึ่งของ Microsoft Azure ที่เข้ามาช่วยในการป้องกัน (Protect) Azure Virtual Networks (Azure VNets) และ Azure Firewall ยังเป็น Stateful Firewall มาพร้อมกับ High Availability และ Scalability
เพราะฉะนั้นจึงทำให้ Azure Firewall มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้นในการนำไปประยุกต์ใช้งานในองค์กร และโดย Default, Azure Firewall จะ Block ทุก Traffics และ Azure Firewall มี Options หรือ SKUs ให้เลือกใช้ดังนี้
- Standard
- Premium
Azure Firewall (Standard)
ใน
Option หรือ SKU ดังกล่าวนี้ได้เตรียมความสามารถหรือฟีเจอร์ต่างๆ
เช่น L3-L7 Filtering และ
Threat Intelligence โดย
Microsoft Cyber Security โดย Threat Intelligence จะทำการค้นหา, ตรวจสอบ, Alert, ตลอดจนการ Deny Traffics ต่างๆ
ที่น่าสงสัยจาก IP Addresses และ
Domains ซึ่งจะมีการอัพเดทข้อมูลต่างๆ
เป็นระยะๆ จากทาง Microsoft Cyber Security เพื่อป้องกันการ Attacks ใหม่ๆ
ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ
Azure Firewall (Standard)
- Built-In High Availability
- Availability Zones
- Unrestricted Cloud Scalability
- Network Traffic Filtering Rules
- SNAT & DNAT (*อ้างอิงจากการอธิบายไว้ตอนต้น)
- Threat Intelligence
- อื่นๆ
Azure Firewall (Premium)
ใน
Option หรือ SKU ดังกล่าวนี้ได้เพิ่มความสามารถตลอดจนฟีเจอร์ต่างๆ
เช่น Signature-Based IDPS
ซึ่งดำเนินการการค้นหา Attacks ต่างๆ
แบบรวดเร็ว (Rapid Detection) เพื่อทำการมองหารูปแบบ
(Patterns) ในการ
Attack โดย Patterns ที่มาพร้อมกับฟีเจอร์ดังกล่าวมีมากกว่า
58,000 Signatures และมากกว่า
50 Categories ซึ่งทาง
Microsoft จะมีการอัพเดทเป็นระยะๆ
ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Firewall (Premium)
- TLS Inspection, ทำการ
Decrypts Outbound Traffics, Process Data แล้วทำการ
Encrypt Data แล้วส่งไปยัง
Destination
- IDPS, เป็น
Network Intrusion Detection และ
Prevention System (IDPS) ให้เราสามารถทำการตรวจสอบ
Network Activities ที่น่าสงสัย,
บันทึกเหตุการณ์ต่างๆ, รายงาน, และทำการ
Block
- URL Filtering
- Web Categories
รายละเอียดเพิ่มเติมเกี่ยวกับ Azure Firewall, https://docs.microsoft.com/en-us/azure/firewall/overview
Azure Application Gateway
เป็น Service ที่ให้บริการ Web Traffic Load Balancer หรือ Distributing Traffics เพื่อให้เราทำการบริหารจัดการ Traffics ที่จะเข้ามาที่ Web Applications โดยตัวของ Azure Application Gateway จะทำงานที่ Layer 7 (Application Layer) และทำการ Route Traffics จาก Source IP Address/Port ไปยัง Destination IP Address/Port
Application Gateway สามารถสร้าง
Routing ตาม Additional
Attributes ของ HTTP
Request ตัวอย่างเช่น URI Path หรือ
Host Headers นั่นหมายความว่า
เราสามารถ Route Traffic ตาม Incoming
URL เช่น /vdo, /images, เป็นต้น หรือสามารถ Route Traffics ไปที่ Server ที่เราต้องการ เป็นต้น
รายละเอียดเพิ่มเติมเกี่ยวกับ
Azure Application Gateway, https://docs.microsoft.com/en-us/azure/application-gateway/overview
Azure Web Application Firewall (WAF)
เป็นอีกหนึ่ง
Service ที่ผมอยากแนะนำเพิ่มเติมครับ
โดย Service ดังกล่าวนี้ จะทำหน้าที่ในการป้องกัน
Web Application จาก
Common Exploits และ
Vulnerabilities เช่น SQL
Injection, Cross Site Scripting, และอื่นๆ โดยตัวของ WAFสามารถทำงานร่วมกันกับ Azure Application Gateway
ทำให้เราสามารถกำหนด
Rules (Core Rule Set) จาก Open
Web Application Security Project (OWASP)
ซึ่งส่งผลทำให้การป้องกัน
Web Applications
มีความปลอดภัยมากขึ้น
ฟีเจอร์ต่างๆ ที่จะมาพร้อมกับ Azure Web Application Firewall (WAF)
- SQL Injection Protection
- Cross-Site Scription Protection
- Protection จาก
Common Web Attacks เช่น Command
Injection, HTTP Request Smuggling, เป็นต้น
- Protection จาก HTTP
Protocol Violations
- Protection จาก
HTTP Protocol Anomalies
- อื่นๆ
รายละเอียดเพิ่มเติมเกี่ยวกับ
Web Application Firewall, https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/ag-overview
และทั้งหมดนี้คือเรื่องราวของการป้องกัน
Azure Virtual Networks และ
Web Applications ครับผม…..
ไม่มีความคิดเห็น:
แสดงความคิดเห็น