WT Blog (ITGeist): Azure Update Management Center (Preview)

สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นเรื่องราวของขั้นตอนหนึ่งที่สำคัญในการบริหารจัดการตลอดจนการดูแลรักษา Virtual Machines ที่องค์กรได้มีการติดตั้งและใช้งาน ซึ่งแรกเริ่มเดิมที่ Virtual Machines ดังกล่าวนี้จะถูกติดต้้งและใช้ในงานใน On-Premise แต่ในช่วงหลายปีที่ผ่านมา หลายๆ องค์กรเริ่มมีการนำเอาเทคโนโลยีของ Cloud Computing เข้ามาประยุกต์ใช้งาน ตลอดจนได้มีการเลือกพิจารณา Services ต่างๆ ของผู้ให้บริการ Cloud เช่น Microsoft Azure, AWS, GCP, และอื่นๆ ที่องค์กรใช้งาน ทำการ Deploy และติดตั้งใช้งานตามความต้องการ

ในกรณีนี้ผมขอยกตัวอย่างจาก Microsoft Azure นะครับ, ใน Microsoft Azure จะมี Services ให้เลือกหลากหลายเพื่อรองรับกับความต้องการขององค์กร แต่จะมี Services หลักๆ (Azure Core Services) ที่หลายๆ องค์กรมักจะเลือกติดตั้งใช้งาน และหนึ่งใน Services หลักๆ ที่หลายๆ องค์กรพิจารณาเลือกติดตั้งและใช้งาน นั่นก็คือ "Azure Virtual Machine" หรือเรียกสั้นๆ ว่า Azure VM และผมเชื่อว่า Azure VM น่าจะเป็น Service ที่ท่านผู้อ่านทุกท่านน่าจะมีความคุ้นเคยมากที่สุดตัวหนึ่งครับ

และเมื่อท่านผู้อ่านได้มีการติดต้้งและใช้งาน Azure VMs (OS จะเป็น Windows หรือ Linux ก็ตาม) เรื่องหนึ่งที่จะต้องทำการพิจารณาวางแแผนเพื่อดำเนินการ คือ การทำ Patch Management ให้กับ Azure VMs เหล่านั้น สำหรับเรื่องของการทำ Patch Management นั้น ไม่ใช่เรื่องใหม่เลยใช่มั๊ยครับ เพราะเราได้ดำเนินการเรื่องนี้ให้กับ Virtual Machines ที่อยู่ใน On-Premise ของเราอยู่แล้ว แต่คราวนี้เราจะต้องพิจารณาดำเนินการเรื่องดังกล่าวนี้ให้กับ Virtual Machines ที่องค์กรหรือเราติดตั้งใช้งานบน Cloud (ในกรณีนี้ คือ Azure VMs ตามตัวอย่างที่ผมได้เกริ่นไว้ข้างต้น) เพราะเนื่องจากองค์กรของเราได้มีการนำเอา Cloud Computing เข้ามาประยุกต์ใช้งาน ซึ่งก่อให้เกิดการปรับปรุงเปลี่ยนแปลงหลายอย่าง เช่น ในส่วนของ Infrastructure, Network ก็จะเปลี่ยนเป็นแบบ Hybrid Cloud Environment, ในส่วนของ Identity, และอื่นๆ ครับ

และจากตัวอย่างที่ผมได้อธิบายไว้ข้างต้น นั่นหมายความว่าองค์กรใดที่มีลักษณะที่เป็น Hybrid Cloud Environment และถ้าเราโฟกัสเฉพาะ Vitual Machines ท่านผู้อ่านจะเห็นว่าองค์กรดังกล่าวจะมี Virutal Machines ที่มีการติดตั้งและใช้งานอยู่นั้น กระจายอยู่ทั้ง On-Premise และ Cloud (Hybrid Cloud Environment) แล้วเราหรือองค์กรจะวางแผนเพื่อดำเนินการทำ Patch Management อย่างไร? และทาง Microsoft มีเครื่องมือมาช่วยองค์กรหรือไม่ และจากประเด็นของ Patch Management นี่เอง จึงเป็นที่มาของบทความนี้ครับ

สำหรับเรื่องของการอัพเดท โดยเฉพาะ OS Updates หรือเรียกโดยรวมว่า Patch Management นั้น ถือว่าเป็นส่วนประกอบที่สำคัญส่วนหนึ่งของ Zero-Day Vulnerability ซึ่งถือว่าเป็นสิ่งที่เกี่ยวข้องกับความปลอภัยหรือ Security ครับ สำหรับเครื่องมือที่ทาง Microsoft ได้เตรียมเอาไว้ช่วยองค์กรสำหรับในการดำเนินการเรื่องดังกล่าวนี้ โดยมี Options ให้เลือกดังนี้ครับ

1. WSUS (Windows Server Update Services)

2. SCCM (System Center Configuration Mananger)

และผมเชื่อว่าทั้งสอง Options นี้จะต้องมีท่านผู้อ่านรู้จักและใช้งานอยู่ครับ แต่โดยส่วนใหญ่หรือที่ผ่านเรากันใช้ใน On-Premise ที่เดียวครับ อ้าว!!!! แล้ว Azure VMs ล่ะ เราสามารถใช้เครื่องดังกล่าวนี้ได้หรือไม่ คำตอบ คือ ได้ครับ แต่จะต้องมีการติดตั้ง Azure VMs เพิ่มเติมเพื่อดำเนินการในเรื่องนี้ ทั้งนี้ขึ้นอยู่กับ Options, ความต้องการ, และการออกแบบครับ

นั่นคือ Options หรือทางเลือกที่มีอยู่สำหรับในช่วงเวลาที่ผ่านมาครับ คำถามถัดมาคือ แล้วทาง Microsoft มี Option หรือเครื่องมืออื่นๆ ให้เลือกเพิ่มเติมสำหรับการทำ Patch Management อีกมั๊ยครับ คำตอบ คือ มีครับ โดยใช้ฟีเจอร์หนึ่ง (Update Management) ของ Service ที่มีชื่อว่า "Azure Automation Account" โดย Service ดังกล่าวนี้ให้บริการในรูปแบบของ PaaS นั่นหมายความว่า เราสามารถทำ Patch Management ได้โดยที่ไม่ต้องติดตั้ง Server หรือ VM (WSUS หรือ SCCM Roles) ใดๆ เพิ่มเติม (ซึ่งต่างจาก 2 Options ที่ผมได้อธิบายไว้ก่อนหน้านี้ครับ)

เราสามารถทำการอัพเดท (Patch Management) ให้กับ Azure VMs ที่มี OS เป็น Windows และ Linux ได้ด้วยครับ ดังรูปด้านล่างครับ

เราสามารถใช้ Update Management ฟีเจอร์ดังกล่าวนี้ทำ Patch Management ให้กับ Virtual Machines ที่อยู่ใน Microsoft Azure (Azure VMs) รวมถึงอยู่ใน On-Premise ด้วยครับ และนี่ก็เป็นอีกหนึ่งทางเลือกหรือ Option สำหรับการทำ Patch Management ครับ แต่ยังไม่จบครับ!!!!!

เพราะยังมีอีกหนึ่งทางเลือกซึ่งเพิ่งมาได้ไม่นานและ ณ วันนี้ยังเป็น Preview อยู่ครับ นั่นคือ "Update Management Center (UMC)" ครับ และนี่คือสิ่งที่ผมอยากจะพาทุกท่านมาทำความรู้จักครับผม

Update Management Center (UMC) คืออะไร?

UMC เป็น Patch Management โซลูชั่นใหม่ โดยทางได้มีการออกแบบใหม่ทั้งหมด โดยองค์กรสามารถใช้ UMC ในการบริหารจัดการการทำ Patch Management (System Updates, Update Configuration Settings,และอื่นๆ) แบบ Centralized Management โดย Virtual Machines (OS จะเป็น Windows หรือ Linux ก็ได้ครับ) จะอยู่ที่ไหนก็ได้ เช่น Microsoft Azure, On-Premise, รวมถึง Cloud Service Providers อื่นๆ หรือสรุปได้ว่า UMC เป็น Patch Management ที่ครอบคลุม Environment ขององค์กรที่เป็น Hybrid และ Multi-Cloud ครับ

โดยเราสามารถให้ UMC ทำการประเมิน Status ของ Updates ต่างๆ, จัดการในเรื่องของการติดตั้ง Updates ต่างๆ รวมถึงการตรวสอบให้กับ Virtual Machines ดังรูปด้านล่าง

เนื่องจาก UMC ไม่ได้ทำงานร่วมกับ Azure Automation Account และ Azure Monitor Logs ครับ และจากจุดนี้เองทำให้ UMC มีความแตกต่างจาก Azure Automation Account (Update Management) และอย่างที่ผมได้อธิบายไว้ก่อนหน้านี้ว่าทาง Microsoft ได้ทำการออกแบบ UMC Service นี้ขึ้นมาใหม่เพื่อมาช่วยองค์กรได้ทำ Patch Managmenet ครับ ทำให้โดยภาพรวมความสามารถของ UMC นั้นสามารถทำหน้าที่ได้เหมือนกับ Update Management (Azure Automation Account) แต่มีความสามารถมากกว่า ตลอดจนมีความยืดหยุ่นกว่าครับ ที่นี้เรามาดูความสามารถและฟีเจอร์หลักๆ ของ UMC กันครับ

- Native Experience with Zero On-Boarding

- ทำงานร่วมกัน Azure AD (RBAC) สำหรับการทำ Access Control

- ตรวจสอบ Updates โดยอัตโนมัติหรือ On-Demand

- มีความสามารถในการติดตั้ง Updates ทันทีหรือตาม Schedules ที่กำหนด

- Hotpatching ทำการติดตั้ง Updates ไปยัง Virtual Machines (Supported Windows Server) โดยไม่ต้องทำการ Reboot หลังจากติดตั้ง Updates

- อื่นๆ

สำหรับรูปด้านล่าง ที่แสดงถึง UMC ทำการประเมิน (Assesses) และทำการติดตั้ง Updates ต่างๆ ไปยัง Azure VMs, Non-Azure VMs (Azure-Enable Servers) ที่อยู่ในองค์กร (ครอบคลุมทั้ง Hybrid และ Multi-Cloud Environment)