Protecting Server ด้วย Microsoft Defender for Cloud - Defender for Servers

      สวัสดีครับทุกท่านกลับมาพบกันอีกเช่นเคยนะครับ สำหรับบทความนี้ผมจะนำเสนออีกความสามารถหนึ่งของ Microsoft Defender for Cloud (MDC) ซึ่งเป็น Service หนึ่งที่ให้บริการอยู่ใน Microsoft Azure โดยตัวของ MDC จะให้บริการ 2 หน้าที่หรือ Solutions หลักๆ คือ Cloud Security Posture Management (CSPM) และ Cloud Workload Protection Platform (CWPP) หรือ CWP ครับ และในช่วงที่ผ่านมาทาง Microsoft Azure ได้เพิ่มเติมความสามารถของ MDC ให้ครอบคลุมในส่วนของ DevOps อีกด้วย รายละเอียดเพิ่มเติมสำหรับท่านใดที่ยังไม่รู้จักหรือยังไม่ค่อยคุ้นเคยกับ MDC มากซักเท่าไร สามารถย้อนไปอ่านบทความของผมก่อนหน้าที่ได้เลยครับ

สำหร้บบทความนี้ผมอยากจะนำเสนอการนำเอา MDC เข้ามาช่วยในการป้องกัน Servers หรือ VMs (Windows และ Linux) ไม่ว่าจะอยู่ใน On-Premise และ On Cloud โดยครอบคลุมทั้ง Hybrid และ Multi-Cloud Environments ครับ โดยความสามารถที่ว่านี้เรียกกันสั้นๆ ว่า "Defender for Servers" ครับ

Defender for Servers คืออะไร?

อย่างที่ได้เกริ่นไว้เมื่อซักครู่ว่า Defender for Servers เป็นความสามารถหนึ่งของ MDC ที่เข้ามาช่วยป้องกันและสร้างความปลอดภัยให้กับ Servers หรือ VMs ขององค์กรไม่ว่าจะใช้ OS เป็น Windows หรือ Linux และไม่ว่าจะอยู่ที่ไหนก็ตาม (Hybrid หรือ Multi-Cloud Environments) โดย Defender for Servers ยังมาพร้อมกับฟีเจอร์หลายมากมายครับ ทั้งนี้ขึ้นอยู่ Defender Plans ที่เราเลือกครับ  โดยตัวของ MDC นัั้นถ้าเราต้องการใช้งานเราจะต้องทำการวางแแผนกันก่อนนะครับ หลังจากนั้นค่อยดำเนินการใช้งาน เนื่องจากเราจะต้องพิจารณาหลายปัจจัยรวมถึงความต้องการต่างๆ ที่จะต้องนำมาพิจารณา เบื้องต้นสำหรับท่านที่ยังไม่ค่อยคุ้นเคยของ MDC หากต้องการให้ MDC ทำงาน สิ่งที่เราจะต้องจะทราบก่อนเลยคือ MDC เป็น Service หนึ่งใน Microsoft Azure ที่ให้บริการในรูปแบบที่เรียกว่า "Subscription-Based" หมายความว่า ท่านผู้อ่านจะต้องทำการวางแผนและพิจารณามาก่อนว่าต้องการให้ MDC เข้าไปทำหน้าที่ของเค้า (CSPM และ CWPP) กับ Azure Subscriptions ใดที่อยู่ Tenant ของเรา  เมื่อเราเลือก Azure Subscriptions เรียบร้อย MDC ก็จะทำการ Secure และ Protect หรือทำหน้าที่ CSPM และ CWPP กับ Resources ต่างๆ เช่น Azure VMs, Azure Storage Accounts, Azure SQL, และอื่นๆ ที่อยู่ใน Azure Subscriptions นั้น

จากนั้นทำการเลือก Defender Plans ซึ่งตัวของ Defender for Servers ที่ผมกำลังนำเสนออยู่ ณ ขณะนี้ก็จะอยู่ใน Defender Plans ครับ รูปด้านล่างคือ Defender Plans ครับ

โดยใน Defender Plans จะมีให้เลือก 2 ส่วน คือ CSPM และ CWPP หรือ CWP  สำหรับ Defender for Servers ถือว่าเป็นส่วนหนึ่งของหน้าที่หรือ Solution หลักของ MDC ซึ่งก็คือ CWP ดังรูปครับ

ใน Defender for Servers ยังประกอบไปด้วย Plans ของเค้าให้พิจารณาอีก คือ  Microsoft Defender for Servers Plan 1 และ 2 ครับ โดยแต่ละ Plan จะมีความแตกต่างกันทั้งค่าใช้จ่ายและฟีเจอร์ครับ รูปด้านล่างเป็นรูปที่แสดงถึงค่าใช้จ่ายและราคาของแต่ละ Plan ครับ

โดยการที่จะเราจะเลือก Plan ใดของ Defender for Servers จะต้องมีการวางแผนและพิจารณามาก่อนนะครับ นอกจากนี้แล้วในแต่ละ Plan ยังสามารถใช้และทำงานร่วมกับ Microsoft Defender for Endpoint (MDE) หรือเรียกว่าแต่ละ Plan ของ Defender for Servers มาพร้อมกับ (Include) MDE License มาด้วยครับ นั่นหมายความว่าเราสามารถใช้ฟีเจอร์หรือความสามารถต่างๆ ของ MDE  เช่น EDR, Next-Generation Protection, ASR และอื่นๆ เข้ามาช่วยในการ Protect Servers หรือ VMs อีกด้วยครับ ถือว่าเป็น Benefits หนึ่งที่มีประโยชน์มากครับ เมื่อพิจารณาเลือกได้แล้วว่าจะต้องการใช้งาน Plan ใด ของ Defender for Servers ก็ทำการ On และเลือก Plan ที่ต้องการครับ ดังรูป

สำหรับ MDC หรือ Microsoft Defender for Cloud นั้น จะอาศัยการทำงานร่วมกับ Services ตัวอื่นๆ ใน Microsoft Azure ด้วยครับ Service หนึ่งที่จะต้องนำมาทำงานร่วมกับ MDC คือ "Azure Log Analytics Workspace" ครับ เพราะฉะนั้นในการทำงานจริงหรือใน Product Environments จะต้องมีการวางแผนและออกแบบ Azure Log Analytics Workspace ด้วยนะครับ และต้องบอกทุกท่านไว้ว่า Azure Log Analytics Workspace ถือว่าเป็นส่วนประกอบหลักของ Microsoft Security Solutions ครับ สำหรับหน้าที่หลักๆ ของ Azure Log Analytics Workspace เตรียมที่เอาไว้สำหรับให้เราทำการรวบรวมหรือ Collect Data เช่น Logs จาก Sources ต่างๆ เช่น Servers หรือ VMs ที่อยู่ใน On-Premise และ On Cloud, Firewall, และอื่นๆ  สำหรับข้อมูลที่เรารวบรวมมาและถูกเก็บไว้ในตัวของ Azure Log Analytics Workspace เราสามารถทำการ Query ข้อมูลได้ครับ โดยใช้ Query Language ที่ชื่อว่า "Kusto Query Language" หรือเรียกสั้นๆ ว่า KQL ครับ

การที่เราจะทำการ Secure และ Protect Servers หรือ VMs โดยใช้ MDC ด้วย Defender for Servers นั้น มีขั้นตอนหนึ่งที่จะต้องถูกนำมาวางแผนและทำการติดตั้ง นั่นก็คือ การติดตั้ง Agent ไปยัง Server หรือ VMs ที่เราต้องการให้ MDC เข้ามาทำ Secure และ Protect ครับ ดังรูป

สำหรับ Agent ที่จะดำเนินการติดตั้งจากรูปด้านบน แนะนำว่าให้เลือกเป็น Azure Monitor Agent หรือ AMA ครับ เพราะจะเป็น Agent ตัวใหม่ที่มาพร้อมกับความสามารถที่มากกว่าตัวปัจจุบันครับ การติดตั้ง Agent ที่จะทำงานร่วมกับ MDC และ Defender for Servers จะมีความแตกต่างในขั้นตอนเล็กน้อยครับ ทั้งนี้ขึ้นอยู่กับ Servers หรือ VMs ดังกล่าวนั้นอยู่ที่ไหน เช่น Servers หรือ VMs ดังกล่าวอยู่ใน Microsoft Azure (Azure VMs) วิธีการคือตามรูปด้านบนครับ แต่ถ้า Servers หรือ VMs ดังกล่าวนั้นไม่ได้อยู่ใน Microsoft Azure เช่น อยู่ใน On-Premise, AWS, GCP, เป็นต้น จะมีขั้นตอนการติดตั้งอีกแบบครับ ถ้าอ้างอิงตาม Best Practices หรือคำแนะนำของทาง Microsoft จะแนะนำให้เราใช้ Azure Arc-Enabled ครับ (*Azure Arc เป็นอีกหนึ่ง Service ใน Microsoft Azure ที่ถูกออกแบบมาสำหรับการบริหารและจัดการ Servers หรือ VMs ใน Multi-Cloud Environments ครับ รายละเอียดเพิ่มเติมสามารถย้อนไปอ่านบทความของผมได้เลยครับ)

หลังจากนั้น MDC ก็จะเริ่มทำงานโดยการเข้าไปตรวจสอบดูว่า Servers หรือ VMs ดังกล่าวมีช่องโหว่หรือมีความเสี่ยงอะไรบ้าง, การตรวจสอบค้นหาภัยคุกคามและป้องกัน (Threat Detection และ Protection) ในกรณีที่ MDC เจอสิ่งผิดปรกติหรือพฤติกรรมใดที่น่าสงสัยเกิดขึ้นกับ Servers หรือ VMs (ที่ถูก Protected โดย MDC) MDC จะทำการแจ้งเตือนเป็น Alerts (ใน MDC เรียกว่า Security Alerts) เพื่อให้ Security หรือ SOC Teams เข้าไปดำเนินการ Response หรือจัดการต่อไปครับ

สิ่งที่ผมได้อธิบายทั้งหมดข้างต้นเป็นเพียงภาพรวมของคอนเซปตลอดจนขั้นตอนหลักๆ ที่เกี่ยวข้องกับการนำเอา MDC เข้ามาช่วยในการ Protect Servers หรือ VMs โดยใช้  Defender for Servers เท่าน้้นนะครับ ขั้นตอนโดยละเอียดจะมีอยู่ในเอกสารของทาง Microsoft อยู่แล้วครับ แต่สิ่งสำคัญมากที่สุดสำหรับการนำเอา MDC มาใช้งานคือ การ Planning และ Designing เพื่อเตรียมความพร้อมกันก่อนครับ เพราะ MDC ไม่ใช่เป็น Service ที่เราสามารถ Enable ใช้งานทันทีโดยไม่ได้มี Planning และ Designing ล่วงหน้าครับ เพราะถ้าทำเช่นนั้นอาจจะก่อให้ปัญหาและความยุ่งยากตามมาภายหลังครับ

และทั้งหมดนี้คือเรื่องราวของ MDC ในส่วนของ Defender for Servers ครับผม.....