ทำความรู้จักกับ Active Directory-Based Identity Solutions

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมตั้งใจนำเอาเรื่องราวเกี่ยวกับการบริหารและจัดการ Identity ซึ่งจะเกี่ยวข้อง Services ต่างๆ เช่น Active Directory Domain Service (AD DS) ที่หลายๆ ท่านรู้จักและคุ้นเคยกันเป็นอย่างดี หรือ Microsoft Entra ID ที่มาพร้อมกับ Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365 เป็นต้น และเหตุผลนึงที่ผมอยากจะนำเสนอเรื่องราวดังกล่าวนี้ก็เพราะว่า ช่วงสัปดาห์ที่ผ่านมาผมมีโอกาสให้คำปรึกษาเกี่ยวกับ Active Directory Domain Service (AD DS) และ Microsoft Configuration Manager (MCM) กับลูกค้า 

โดยลูกค้ามีคำถามต่างๆ มาสอบถามและขอคำปรึกษาและหนึ่งในหลายๆ คำถามที่น่าสนใจและเป็นเหตุผลที่ผมนำมาเป็นจุดเริ่มต้นของการเขียนบทความนี้ คือ คำถามนี้ครับ เริ่มด้วยทางลูกค้าอยากจะปรับปรุงเรื่องของการบริหารจัดการ Identity ใน On-Premise ซึ่งกรณีนี้ทางลูกค้าใช้ Active Directory Domain Service (AD DS) ที่อยู่ใน On-Premise โดยโครงสร้างจะเป็นแบบ Single Forest/Domain  แต่ครอบคลุมหลายๆ Locations อีกทั้งยังมีการทำ Hybrid Identity Scenario (ต้องการ SSO) การปรับปรุงที่ว่านี้คือทางลูกค้าสนใจอยากที่จะขยาย Active Directory Domain Service (AD DS) ที่มีอยู่แล้วใน On-Premise ขยายไปทำงานบน Cloud (Microsoft Azure) ด้วยรวมถึงกำลังพิจารณาที่จะทำการ Deploy Applications/Services ที่ต้องทำงานร่วมกับ AD DS ไปบน Cloud นอกจากนี้แล้วลูกค้ายังให้ความสนใจ Service นึงใน Microsoft Azure ที่ชื่อว่า "Microsoft Entra Domain Services" ทางลูกค้าเลยอยากขอปรึกษาว่าจากความต้องการข้างต้นควรจะทำอย่างไร? ตลอดจนยังมีความสงสัยเกี่ยวกับ Microsoft Entra Domain Services ว่าสามารถนำเอาไปประยุกต์ใช้งานตามความต้องการที่อยู่ในคำถามนี้ได้หรือไม่? 

และจากคำถามนี้ ผมขอเริ่มอธิบายในรายละเอียดดังนี้ครับ โดยเริ่มจากเรื่องราวของ "Active Directory-Based Identity Solutions" ครับ

ภาพรวมของ Active Directory-Based Identity Solutions นั้นมีอยู่ด้วยกัน 3 แบบ:

1. Active Directory Domain Service (AD DS) เป็น Role นึงใน Windows Server ตั้งแต่ Windows Server 2000 จนถึงปัจจุบันคือ Windows Server 2025 ครับ โดย Role (AD DS) ดังกล่าวนี้ถ้าเรานำไปติดตั้งที่ Windows Server ตัวใดก็ตาม เราจะเรียก Windows Server ตัวนั้นๆ ว่า "Domain Controller" หรือเรียกสั้นๆ ว่า DC ครับ โดย DC จะทำหน้าที่ในการ Authentication, Authorization, และอื่นๆ ครับ หรืออธิบายให้เข้าใจง่ายๆ คือ DC หรือ AD DS จะเข้ามาทำหน้าที่ในการบริหารจัดการ Identity ครับ และถ้าพูดถึงโครงสร้างของ AD DS (AD DS Structure) จะมีลักษณะเป็น Hierarchical Structure ซึ่งประกอบไปด้วย Forest, Tree, Domain, และ Organizational Unit (OU) ครับ และจะมี Protocols ต่างๆ เข้ามาเกี่ยวข้องกับการทำงานของ AD DS เช่น Kerberos, LDAP, เป็นต้น นอกจากนี้แล้ว AD DS ยังมาพร้อมกับฟีเจอร์ต่างๆ เช่น Group Policy, Forest Trust, และอื่นๆ ทั้งนี้ขึ้นอยู่กับเวอร์ชั่นและ Editions ของ Windows Server ที่ทำหน้าที่เป็น DC 

2. Microsoft Entra ID หรือชื่อเดิมคือ Azure Active Directory (Azure AD) เป็น Service ที่ให้บริการเกี่ยวกับ Identity and Access Management (IAM) โดยตัวของ Microsoft Entra ID นั้นจะมาพร้อมกับ Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365, เป็นต้น ถ้ามองในเรื่องของโครงสร้างของ Microsoft Entra ID จะมีโครงสร้างในลักษณะที่เป็น Flat Structure โดยเริ่มจาก Microsoft Entra Tenant (หรือเรียกสั้นๆ ว่า Tenant), และ Accounts ซึ่งใน Microsoft Entra ID supported Accounts อยู่ 2 ชนิด คือ User และ Group Accounts หรือจะเรียกว่า Identity ก็ได้ครับ ในส่วนของ Protocols ที่เกี่ยวข้องกับ Microsoft Entra ID มีหลาย Protocols ครับ เช่น OAuth, OpenID, SAML, และอื่นๆ นอกจากนี้แล้วตัวของ Microsoft Entra ID มีความสามารถในการไป Integrate ทำงานร่วมกับ Cloud/SaaS Apps, ,การบริหารจัดการ Devices, สามารถ Integrate กับ Active Directory Domain Service (AD DS) เพื่อทำ Hybrid Identity Scenario, และอื่นๆ 

3. Microsoft Entra Domain Services หรือชื่อเดิม Azure AD Domain Services เป็น Service นึงใน Microsoft Azure ที่ให้บริการในส่วนของ "Managed Domain Services" และมาพร้อมกับฟีเจอร์บางส่วนของ Active Directory Domain Service (AD DS) ปรกติที่เราใช้งานกันใน On-Premise ครับ ยกตัวอย่าง เช่น 

- Domain Join

- Group Policy

- LDAP

- Kerberos/NTLM Authentication Protocols

และในบทความนี้ผมจะเน้นไปที่ Microsoft Entra Domain Services ครับ แต่ก่อนจะไปที่ Microsoft Entra Domain Services มีเรื่องหนึ่งที่อยากจะอธิบายให้ทุกท่านได้ทราบและเข้าใจก่อนครับ นั่นก็คือ หากเกิดกรณีที่เราหรือองค์กรใดก็ตามมีความต้องการที่จะวางแผนและดำเนินการในเรื่องราวเกี่ยวกับการบริหารจัดการ Identity และแน่นอนจะต้องเกี่ยวข้องกับ Active Directory-Based Identity Solutions ที่ผมได้อธิบายไปก่อนหน้านี้ครับ โดยในกรณีดังกล่าวนี้สมมติว่า ถ้าเรามี Applications หรือ Services ที่ต้องทำงานร่วมกับ AD DS แต่อยากจะ Deploy Applications/Services ดังกล่าวนี้บน Cloud เช่น Microsoft Azure คำถามคือเราจะต้องดำเนินการอย่างไร?  จากกรณีดังกล่าวนี้เรามีสิ่งหนึ่งที่จะต้องดำเนินการแน่ๆ นั่นก็คือ จะต้องเอา Applications ดังกล่าวนี้มา Join เข้ากับ AD DS (ซึ่งโดยปรกติอยู่ใน On-Premise)  มี 2 ทางเลือกสำหรับกรณีดังกล่าวนี้สำหรับการวางแผนเกี่ยวกับ AD DS ที่จะทำงานบน Cloud นั่นก็ คือ:

- A Self-Manage Domain, คือ การที่เราจะดำเนินการ AD DS ในรูปแบบของ IaaS นั่นก็คือ เราจะต้องไปทำการสร้าง VM (Azure VM), ติดตั้ง OS (Windows Server), และทำการ Promote Additional DCs และแน่นอนจะต้องมีการเชื่อมต่อกับ DCs ตัวอื่นๆ ก่อนหน้านี้ที่อยู่ใน On-Premise จากนั้นก็นำ Applications ที่รันอยู่ใน VM (Azure VM) มาทำการ Join เข้ากับ Domain (AD DS)  สำหรับแนวทางนี้ผมเชื่อว่าหลายๆ ท่านน่าจะคุ้นเคยกันอยู่แล้ว โดยเฉพาะใน IT Environment ที่มีลัษณะเป็น Multiple Locations หรือมีหลายๆ ที่นั่นเองครับ

- A Managed Domain, คือ การที่เรานำเอา Microsoft Entra Domain Services มาประยุกต์ใช้งานแทนแนวทางแรกครับ

จากทั้ง 2 แนวทางจากกรณีตัวอย่างที่ผมยกมาข้างต้น คือ สิ่งที่ทุกท่านจะต้องทำการพิจารณาครับว่า ถ้ามีความต้องการที่จะขยายหรือ Extend Active Directory Domain Service (AD DS) ไปใช้งานบน Cloud (Microsoft Azure) เพื่อที่รองรับกับการทำงานของ Applications/Services ที่ยังคงต้องการทำงานกับ AD DS นี่คือเรื่องนึงที่จะต้องถูกนำมาพิจารณาเพื่อดำเนินการวางแผนและออกแบบต่อไปครับ

และจากที่ผมได้แจ้งไว้ก่อนหน้านี้ว่า บทความนี้ผมจะเน้นไปที่ Microsoft Entra Domain Services เรามาทำความรู้จัก Microsoft Entra Domain Services กันครับ 

โดยขอเริ่มจากสิ่งที่ Microsoft Entra Domain Services ให้บริการเราจะเรียกว่า "Managed Domain Services" ซึ่งจะมาพร้อมกับฟีเจอร์บางส่วนของ AD DS ปรกติตามที่ผมได้อธิบายไว้ข้างต้นครับ นอกจากนี้แล้วการที่เราพิจารณาแล้วว่าเราต้องการนำเอา Microsoft Entra Domain Services มาใช้งานก็เพราะว่า เราไม่อยากใช้งาน AD DS ในรูปแบบเดิม คือ ต้องมี Server (VM) ที่ทำหน้าที่เป็น DC เพราะเราจะต้องคอยมาดูแล DCs เหล่านี้ เช่น การ Deploy, Manage, และการ Patch DCs เหล่านี้ เป็นต้น นั่นหมายความว่า Microsoft Entra Domain Services ที่ให้บริการ Managed Domain Services จะเข้ามาจัดการเรื่องราวนี้แทนเราหรือผู้ดูแลระบบเองครับ และยังสามารถนำเอา Applications/Services ที่ยังคงต้องการทำงานร่วมกับ AD DS สำหรับในกรณีคือ Microsoft Entra Domain Services โดยการที่เราสามารถทำการ Join Applications/Services (VMs) มายัง Microsoft Entra Domain Services ได้เหมือนกับ AD DS ปรกติครับ ซึ่งถือว่าเป็นวัตถุประสงค์นึงที่เราพิจารณานำเอา Microsoft Entra Domain Services มาประยุกต์ใช้งานครับ

นอกจากนี้แล้วตัวของ Microsoft Entra Domain Services ยัง Integrate ทำงานร่วมกับ Microsoft Entra ID โดยการ Integrate เพื่อทำงานร่วมกันนี้ส่งผลทำให้ผู้ใช้งานที่ทำการ Sign-In เข้ามาเพื่อเข้าใช้งาน Applications/Services ที่เชื่อมต่อกับ Managed Domain โดยใช้ Credentials ที่มีอยู่แล้วทำให้องค์กรดังกล่าวได้รับ Benefits นึง นั่นก็คือ Single Sign-On หรือ SSO ครับ

และเมื่อเราตัดสินใจแล้วจะเริ่มใช้งาน Microsoft Entra Domain Services นั่นหมายความว่าเราได้ทำความเข้าใจตลอดจนวางแผนและเตรียมความพร้อมทุกอย่างเรียบร้อย สิ่งแรกที่จะต้องดำเนินการในตัวของ Microsoft Entra Domain Services คือ การสร้าง Domain Services ขึ้นมาและจะต้องกำหนด  Namespace ครับ จากนั้นสิ่งที่จะเกิดขึ้นเบื้องหลังคือ Microsoft Entra Domain Services จะทำการสร้างและ Deploy  2 Domain Controllers ไปยัง Azure Regions ที่เรากำหนดครับ โดยการ Deploy DCs ดังกล่าวนี้จะถูกเรียกว่า "Replica Set" ครับ และที่สำคัญคือ เราไม่ต้องไป Manage, Configure, รวมถึงการ Update DCs เหล่านี้เลยครับ เพราะ Microsoft จะไปคนที่มาทำสิ่งเหล่านี้ให้เรา และจากจุดนี้เองก็จะแสดงให้เห็นว่าถ้าเราต้องการใช้ AD DS ที่อยู่ใน On-Premise และต้องการขยายไปบน Cloud (Microsoft Azure) เรามีทางเลือกเพิ่มเติมจากทางเลือกเดิม คือ ทำการ Deploy VM (Azure VM) แล้วทำการ Promote Additional DC ซึ่งทางเลือกดังกล่าวนี้เราจะต้องจัดการและดูแลทุกอย่างเอง ซึ่งแตกต่างจากทางเลือกที่เราใช้ Microsoft Entra Domain Services นอกจากนี้แล้ว Microsoft ยังเข้ามาจัดการ DCs หรือ Replica Set ซึ่งถือเป็นส่วนประกอบหนึ่งของ Managed Domain Services ใน Microsoft Entra Domain Services เพิ่มเติมอีก เช่น Backups และ Encryption (โดยใช้ Azure Disk Encryption) 

Managed Domain ที่เราสร้างขึ้นมาจะถูก Configured ให้ทำ One-Way Synchronization กับ Microsoft Entra ID โดยมีการ Sync Users, Groups, และอื่นๆ เราสามารถสร้าง Resources ต่างๆ ภายใน Managed Domain ได้ครับ เพียงแต่ว่ามันจะไม่มีการ Sync กลับไปยัง Microsoft Entra ID และใน Hybrid Cloud Environment, ที่ได้มีการ Implemented Hybrid Identity Scenario ก็จะทำงานร่วมกับ Managed Domain (Microsoft Entra Domain Services) ดังรูปครับ

ต่อเนื่องจากรูปด้านบน Microsoft Entra Domain Services จะทำการ Replicates Identity จาก Microsoft Entra ID รวมถึงการทำงานร่วมกับ Microsoft Entra Tenant (Microsoft Entra ID) โดย Microsoft Entra ID ก็จะทำการ Sync กับ On-Premise AD DS ครับ และสิ่งทีผมได้อธิบายจากรูปด้านบนเป็นเพียงคอนเซปและแนวทางการนำเอา AD DS หรือ Domain Services มาใช้งานผ่านทาง Microsoft Entra Domain Services เท่านั้นครับ ในการทำงานจริงเราจะต้องพิจารณาเพิ่มเติมด้วยว่าเราจะนำเอา Domain Services มาใช้งานผ่านทาง Microsoft Entra Domain Services อย่างไร? โดยมีให้เลือก 2 Options ครับ:

Option 1: Domain Service for Hybrid Organizations จะพิจารณา Option นี้หมายความว่าองค์กรดังกล่าวมี Hybrid Identity Scenario ใช้งานอยู่ เราต้องการนำเอา Microsoft Entra Domain Services มา Integrate ทำงานด้วยครับ

Option 2: Domain Service for Cloud-Only Organizations จะพิจาณา Option นี้หมายความว่าองค์กรดังกล่าวไม่มี AD DS ใน On-Premise แต่ต้องการสร้างและใช้งาน AD DS บน Cloud (Microsoft Azure) เพื่อนำเอา Applications/Services ที่ต้องการทำงานร่วมกับ AD DS มาทำการ Join กับ AD DS ผ่านทาง Managed Domain Services ของ Microsoft Entra Domain Services ครับ

เมื่อมาถึงจุดนี้ เราสามารถสรุปและทำความเข้าใจกับ Microsoft Entra Domain Services ได้ว่า Microsoft Entra Domain Services เป็น Service ที่เข้ามาเป็นทางเลือกในการพิจารณาในเรื่องของการที่เราจะขยายการบริหารจัดการ AD DS ตลอดจนการนำเอา Applications/Services ที่ต้องการติดต่อและทำงานร่วมกับ AD DS ดังกล่าวไปนี้ไปบน Cloud (Microsoft Azure) จึงต้องการความสามารถหรือฟีเจอร์ต่างๆ เช่น Domain Join และฟีเจอร์อื่นๆ (ความสามารถหรือฟีเจอร์เหล่านี้มีอยู่ใน AD DS ปรกติอยู่แล้ว) เพื่อที่จะทำให้ผู้ใช้งานสามารถเข้าถึง Applications/Services ดังกล่าวนี้ ตลอดจน Resources อื่นๆ ได้ แต่ไม่อยากจะใช้ AD DS ในรูปแบบเดิม (VMs) เพราะจะต้องคอยมาจัดการอะไรต่างๆ ตามที่ผมได้อธิบายไปก่อนหน้านี้ สิ่งที่เราจะต้องทำความเข้าใจเพิ่มเติมอีกก็คือ Microsoft Entra Domain Services มีความสามารถแค่บางส่วนของ Active Directory Domain Service (AD DS) เท่านั้นครับ 

เพราฉะนั้นเราจึงจำเป็นที่จะต้องทำความเข้าใจคอนเซปตลอดจนรายละเอียดต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการ Identity ว่าเป็นอย่างไร รวมถึงทำความเข้าใจกับ Active Directory-Based Identity Solutions ว่าเป็นอย่างไร จากนั้นย้อนกลับไปดู Existing IT Environment ขององค์กรของเราเองว่าปัจจุบันเรื่องของการบริหารจัดการ Identity เป็นอย่างไร บวกกับความต้องการเพิ่มเติมที่เกี่ยวข้องกับเรื่องดังกล่าวนี้ นำทั้งหมดมาพิจารณา, วิเคราะห์, และทำการวางแผน & ออกแบบ เพื่อดำเนินการต่อไปครับผม .....

ทำความรู้จักกับ Microsoft Security Exposure Management (MSEM)

     สวัสดีครับทุกท่านเรากลับมาพบกันอีกเช่นเคยครับ ช่วงนี้ระวังเรื่องของฝุ่นกันหน่อยนะครับ ออกไปกลางแจ้งหรือข้างนอกอย่าลืมหาหน้ากากมาใส่ป้องกันนะครับ และหวังว่าทุกท่านจะสบายดีนะครับ เอาล่ะครับเรามาเข้าเรื่องราวที่ผมอยากจะนำเสนอในบทความนี้กันดีกว่าครับ โดยบทความนี้ผมจะพาทุกท่านไปทำความรู้จัก Product/Feature ใหม่ที่มีชื่อว่า "Microsoft Security Exposure Management" หรือเรียกสั้นๆ ว่า "MSEM" ครับ ก่อนที่จะเข้าสู่เรื่องราวของ Microsoft Security Exposure Management ผมอยากจะอธิบายเรื่องนึงก่อนครับ เพื่อที่จะให้ทุกท่านเข้าใจเรื่องราวของ Microsoft Security Exposure Management ซึ่งจะเกี่ยวข้องกับภาพใหญ่คือเรื่องของ Cybersecurity รวมถึงเรื่องของ Security Operations แน่นอนครับ

สำหรับเรื่องที่ผมอยากจะอธิบายคือ เรื่องของ "Security Posture" หรือบางเอกสารรวมถึงบางท่านจะเรียกสั้นๆ ว่า Posture ครับ ซึ่งเรื่องของ Security Posture นั้นถือว่าเป็นเรื่องหนึ่งหรือสามารถบอกได้ว่าเป็นปัจจัยหนึ่งที่สำคัญสำหรับการวางแผน, ออกแบบ, และดำเนินการในกระบวนการที่เราเรียกว่า Security Operations ครับ และเกี่ยวข้องแน่นอนกับ Security/SOC Teams ตลอดจนผู้ที่สนใจเรื่องราวของ Cybersecurity ครับ โดยส่วนตัวเองในเวลาที่ผมสอนหรืออบรมลูกค้าเกี่ยวกับเรื่องของ Microsoft Azure Security, Microsoft Cybersecurity, และอื่นๆ เรื่องนึงที่ผมมักจะหยิบยกมาอธิบายก่อนเลยคือ Security Posture ครับ เพราะฉะนั้นเรามาทำความรู้จักกันครับว่า Security Posture คืออะไร?

Security Posture คืออะไร?

Security Posture คือ การสะท้อนให้เห็นถึงภาพรวมความปลอดภัยของ IT Assets ที่อยู่ใน IT Environment ขององค์กรซึ่งครอบคลุมถึง Hybrid และ Multi-Cloud Environments ว่าเป็นอย่างไร ตัวอย่างของ IT Assets เช่น Identities, Endpoints, Apps, เป็นต้นครับ เพราะฉะนั้นถ้าเรามีข้อมูลและรู้ว่า Security Posture ของ IT Environment นั้นเป็นอย่างไร ก็จะทำให้เราสามารถดำเนินการในเรื่องของการวางแผนและออกแบบการ Secure & Protect IT Environment ได้ดียิ่งขึ้นครับ 

ดังนั้นองค์กรหรือท่านที่เกี่ยวข้องกับ Security Operations รวมถึง Cybersecurity ควรจะหาเครื่องมือหรือโซลูชั่นที่จะเข้ามาทำการรวบรวมข้อมูลของ IT Environment จากนั้นนำเอาข้อมูลที่รวบรวมมานั้น มาทำการวิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ของ IT Environment ดังกล่าวเพื่อให้เรารู้ว่ามีความเสี่ยง (Risk) กับจุดใดหรือ IT Assets ใดที่อยู่ใน IT Environment ดังกล่าวบ้าง และจะได้ดำเนินการปรับปรุงแก้ไขต่อไปเพื่อทำให้ Security Posture ของ IT Environment ขององค์กรนั้นมีความเสี่ยงน้อยลงและในทางกลับกันก็จะทำให้ภาพรวมของ Security Posture ของ IT Environment ขององค์กรมีความปลอดภัยมากขึ้นครับ เครื่องมือหรือโซลูชั่นที่จะเข้ามาดำเนินการตั้งแต่การรวบรวมข้อมูล, วิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ให้กับ IT Environment ขององค์กรนั้นมีหลากหลายครับ แม้กระทั่ง Microsoft เองก็มีเครื่องมือหรือโซลูชั่นที่จะดำเนินการเรื่องนี้หลายตัวครับ หนึ่งในนั้นคือ "Microsoft Defender for Cloud" หรือ MDC ซึ่งเป็น Service หนึ่งใน Microsoft Azure โดยตัวของ MDC นั้นมาพร้อมกับโซลูชั่นด้านความปลอดภัย คือ

- Cloud Security Posture Management (CSPM)

- Cloud Workload Protection Platform (CWPP)

- Cloud Native Application Protection Platform (CNAPP)

ซึ่ง CSPM ของ Microsoft Defender for Cloud คือ เครื่องมือหรือโซลูชั่นที่จะเข้าดำเนินการขั้นตอนต่างๆ ที่ผมได้อธิบายไว้ก่อนหน้านี้สำหรับเรื่องของ Security Posture ครับ โดยตัวของ MDC นั้นจะโฟกัสที่ Security Posture ที่เกี่ยวข้องกับ Infrastructure เป็นหลักครับ แต่ในความเป็นจริงแล้วยังมี Security Posture ของ IT Assets อื่นๆ อีกที่จะต้องดำเนินการ เช่น SaaS/Cloud Apps เช่น Microsoft 365 ซึ่ง Microsoft ก็มีเครื่องมือหรือโซลูชั่นในการเข้าไปทำการรวบรวมข้อมูล, วิเคราะห์, ตรวจสอบ, และทำการประเมิน Security Posture ของ Microsoft 365 ครับ เมื่อมาถึงตรงนี้ท่านผู้อ่านจะสังเกตเห็นว่าเครื่องมือหรือโซลูชั่นที่จะใช้ในการเข้าไปจัดการกับ Security Posture นั้นจะมีของใครของมันต่างหากรวมถึงข้อมูลที่ได้จากการตรวจสอบและประเมิน Security Posture ก็จะแยกของใครของมันเช่นเดียวกันหรือจะใช้คำว่าเครื่องมือหรือโซลูชั่นรวมถึงข้อมูลที่ได้จากการวิเคราะห์และประเมิน Security Posture มีลักษณะที่เรียกว่า Data (Security Posture) Silos ครับ 

และจากประเด็นนี้ส่งผลทำให้ SOC/Security Teams ตลอดจนผู้ที่เกี่ยวข้องในกระบวน Security Operations ก็จะต้องดูข้อมูลต่างๆ เกี่ยวกับ Security Posture ของ IT Assets ขององค์กรด้วยเครื่องมือต่างๆ จากนั้นต้องมาปะติดปะต่อเป็นภาพใหญ่เพื่อทำให้เข้าใจว่าภาพรวมทั้งหมดของ Security Posture ขององค์กรเป็นอย่างไร จากนั้นก็จะนำมาคิดและพิจารณาดำเนินการจัดการต่อไป มาถึงตรงนี้ทุกท่านจะเห็นว่า SOC/Security Teams ขาดเรื่องของ Visibility ของ Security Posture ทั้งหมดจากที่เดียวครับ และจากประเด็นดังกล่าวนี้เอง จึงเป็นจุดเริ่มต้นที่ทาง Microsoft ได้ทำการเตรียม Microsoft Security Posture Management (MSEM) เข้ามาช่วยจัดการประเด็นดังกล่าวนี้ครับ

Microsoft Security Posture Management (MSEM) คืออะไร?

คือ เครื่องมือที่จะทำการยุบรวม Data Silos (ข้อมูลเกี่ยวกับ Security Posture ของ IT Assets ต่างๆ) ที่กระจัดกระจายมารวมไว้ที่ MSEM หรือถ้าจะอ้างอิงตาม Cybersecurity Solutions ทั่วๆ ไป สามารถบอกได้ว่า Microsoft Security Posture Management หรือ MSEM ให้บริการหรือทำหน้าที่ที่เรียกว่า "Extended Security Posture Management" หรือ "XSPM" ครับ

โดยการยุบรวม Data Silos ข้างต้นส่งผลทำให้ SOC/Security Teams มองเห็นภาพรวมทั้งหมดของ Security Posture แบบ End-to-End ทำให้  SOC/Security Teams เข้าใจตลอดจนดำเนินการกับ Security Exposure ที่เกี่ยวข้องกับ Security Posture นั้นๆ ส่งผลทำให้ภาพรวมของ IT Environment ขององค์กรนั้นๆ มีความปลอดภัยมากขึ้นครับ โดยส่วนตัวถ้าท่านใดมีความคุ้นเคยกับ Microsoft Defender Family เช่น Microsoft Defender for Endpoint, Microsoft Defender for Cloud, และอื่นๆ ก็สามารถที่จะใช้งาน MSEM ได้ครับ เพราะ MSEM จะเข้ามาทำงานร่วมกับ Microsoft Defender Family และอื่นๆ ครับ และยิ่งไปกว่านั้น MSEM จะถูกเพิ่มเข้าไปใน Microsoft Defender XDR เพื่อดำเนินการเรื่องของ Security Posture แบบ End-to-End ส่งผลทำให้ SOC/Security Teams สามารถใช้ Portal เดียวในการดำเนินการในเรื่องของ Security Operations และก่อนหน้านี้ Microsoft ก็ได้ทำการ Integrate ระหว่าง XDR (Microsoft Defender XDR) กับ SIEM (Microsoft Sentinel) ภายใตัคอนเซปที่เรียกว่า "Unified Security Operations Platform" ครับ

ประโยชน์หรือ Benefits ของ MSEM

- ทำการยุบรวม (Consolidate) Data Silos ของ Security Posture ของ IT Assets มาไว้ที่เดียว ส่งผลทำให้มองเห็นภาพรวมทั้งหมดที่เกี่ยวกับ Security Posture แบบ End-to-End ผ่านทาง MSEM

- ทำการวิเคราะห์และประเมินความเสี่ยง (Risk Assessment) และจัดลำดับความเสี่ยงของ IT Assets ว่า IT Assets ใดที่มีความเสี่ยงสูงหรือต่ำ

- แสดงให้เห็นว่า Attackers เข้ามาใน IT Environment อย่างไรตลอดจนการเข้าถึง IT Assets ต่างๆ ได้อย่างไร ทำให้ SOC/Security Teams สามารถจัดการและป้องกันต่อไป เรียกความสามารถนี้ว่า "Attack Path Analysis" ครับ

- อื่นๆ 

ตัวของ Microsoft Security Exposure Management หรือ MSEM สามารถทำงานร่วมกับ Security Solutions ต่างๆ ดังนี้ (ณ ขณะที่เขียนบทความนี้)

1. CSPM

- Microsoft Defender for Cloud (MDC)

2. Endpoint Security

- Microsoft Defender for Endpoint (MDE)

3. IAM

- Microsoft Defender for Identity (MDI)

- Microsoft Entra ID (Free, P1, และ P2)

4. SaaS/Cloud Application Security

- Microsoft Defender for Cloud Apps (MDA)

5. Vulnerability Management

- Microsoft Defender Vulnerability Management (MDVM)

- Qualys Vulnerability Mangement (Preview)

- Rapid7 Vulnerability Management (Preview)

6. Email Security

- Microsoft Defender for Office (MD)

7. OT/IoT Security

- Microsoft Defender for IoT

8. อื่นๆ

การใช้งาน Microsoft Security Exposure Management นั้นจะขึ้นอยู่กับ Plan หรือ License ครับ โดย Plan หรือ License ต่อไปนี้ที่สามารถใช้ MSEM ได้:

- Microsoft 365 E5

- Microsoft 365 E3 (with Microsoft Enterprise Mobility + Security E5 Add-On)

- Microsoft 365 A5

- Microsoft 365 A3 (with Microsoft 365 A5 Security Add-On)

- Microsoft Defender for Endpoint (Plan1 และ Plan 2)

- อื่นๆ

รายละเอียดเพิ่มเติมเกี่ยวกับ Microsoft Security Exposure Management สามารถไปที่ Link นี้ได้เลยครับ, Microsoft Security Exposure Management | Microsoft Security

 

และทั้งหมดนี้คือเรื่องราวของ Microsoft Security Exposure Management เบื้องต้นที่ผมอยากจะแนะนำให้ทุกท่านได้รู้จักครับผม.....

AI เทคโนโลยีกับ Cybersecurity ตอนที่ 2

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นเรื่องราวเกี่ยวกับ AI เทคโนโลยีกับ Cybersecurity โดยในบทความนี้ผมได้เล่าเรื่องราวต่างๆ ของ AI ไปในระดับหนึ่ง ดังนั้นในบทความนี้จะเป็นเรื่องราวที่ต่อเนื่องจากตอนที่แล้วครับ และเพื่อไม่ให้เป็นการเสียเวลาเรามาเข้าสู่เรื่องราวดังกล่าวนี้กันได้เลยครับ

Machine Learning (ML) คืออะไร?

ML หรือ Machine Learning ที่เราได้ยินกันบ่อยๆ และยังถูกนำเอาไปใช้กันซึ่งรวมถึงเรื่องของ Cybersecurity เช่นเดียวกัน โดย ML ถือว่าเป็นส่วนหนึ่งหรือ Subset หนึ่งของ AI ครับ ซึ่ง ML ทำให้ Computers หรือ Systems สามารถเรียนรู้ข้อมูลต่างๆ และทำการตัดสินใจครับ โดยตัวของ ML ยังแบ่งเป็นรูปแบบต่างๆ ดังนี้:

1. Supervised Learning

2. Unsupervised Learning

3. Reinforcement Learning

นอกจาก ML แล้วเรามักจะได้ยินอีกคำหนึ่งที่อยู่ในเรื่องราวของ AI และ ML นั่นก็คือ "Deep Learning" ครับ 

Deep Learning คืออะไร?

โดยตัวของ Deep Learning นั้นถือว่าเป็นส่วนหนึ่งหรือ Subset หนึ่งของ ML ครับ โดย Deep Learning นั้นถูกสร้างและพัฒนามาจาก "Artificial Neural Network" หรือเรียกย่อๆ ว่า "ANN" ซึ่งเป็น Computational Models ที่ได้แรงบันดาลใจมาจากโครงสร้างและการทำงานของสมองของมนุษย์ครับ

และจากแนวคิดประกอบกับแรงบันดาลใจในการสร้าง ANN ที่มีโครงสร้างและการทำงานเหมือนกับสมองของมนุษย์นั้น ถ้าเราเข้าไปดูกันในเรื่องดังกล่าวนี้เราจะเห็นว่าโครงสร้างและการทำงานของสมองของมนุษย์เรานั้นประกอบไปด้วยสิ่งที่เรียกว่า Neuron หรือเซลล์ประสาท ซึ่งเป็นเซลล์พื้นฐานที่สำคัญของสมอง โดยในสมองของมนุษย์เรานั้นประกอบไปด้วย Neurons จำนวนมากและแต่ละเซลล์จะมีการเชื่อมต่อและติดต่อสื่อสารกันและกันซึ่งก่อให้เกิดสิ่งที่เรียกว่า Neural Network ครับ 

และเซลล์เหล่านี้ (Neurons) ยังมีการนำเอาเข้าข้อมูลต่างๆ เข้ามาโดยผ่านช่องทางต่างๆ เช่น จากการมองเห็น, จากการได้ยิน, และอื่นๆ และจะมีการส่งข้อมูลเหล่านี้ไปยังเซลล์ต่างๆ และสุดท้ายก็จะเกิดการกระทำต่างๆ ตามมา โดยการทำงานของ Neurons รวมถึง Neural Network นั้นส่งผลทำให้มนุษย์เราสามารถคิด, เรียนรู้, และอื่นๆ ครับ 

และจากคอนเซปการทำงานของเซลล์ของสมองนี่เองเจ้า ANN (Artificial Neural Network) จึงถูกสร้างและพัฒนาขึ้นมาตามที่อธิบายไว้ก่อนหน้านี้ ดังนั้น ANN จึงเป็น Computational Network ซึ่งถูกออกแบบและสร้างมาจาก Biological Neural Network ของสมองของมนุษย์เรานั่นเองครับ

และในช่วงที่ผ่านมาจนถึง ณ ตอนนี้อีกคำหนึ่งที่หลายๆ ท่านน่าจะได้ยินกันอยู่บ่อยๆ และยังคงเกี่ยวข้องกับเรื่องราวของ AI ที่ผมกำลังเล่าอยู่ ณ ขณะนี้ นั่นก็คือ คำว่า "Generative AI" ครับ

Generative AI คืออะไร?

คือรูปแบบหนึ่งของ AI ที่มีความสามารถในการสร้างสิ่งใหม่ๆ ขึ้นมา เช่น เพลง, ภาพ, และอื่นๆ โดยที่เราไม่ต้องบอกรายละเอียดต่างๆ เหมือนกับ AI ในรูปแบบต่างๆ ก่อนหน้านี้ โดย AI ในรูปแบบก่อนหรือรูปแบบเดิมนั้นจะต้องมีการให้ข้อมูลตลอดจนรายละเอียดต่างๆ เพื่อให้ AI ทำงานตามที่กำหนดหรือระบุไว้ เช่น การแก้ปัญหา เป็นต้น ในขณะที่ Generative AI นั้นสามารถแสดงความสามารถในการสร้างสรรค์ (Creativity) สิ่งใหม่ๆ หรือ Contents ใหม่ๆ เหมือนกับความสามารถในการสร้างสรรค์ของมนุษย์เราครับ และนี่คือภาพรวมของ AI ตลอดจนส่วนประกอบต่างๆ ครับ

และทั้งหมดนี้คือเรื่องราวต่างๆ ของ AI เทคโนโลยีครับ และต้องเรียนทุกท่านว่าเรื่องราวของ AI ที่ผมนำเสนอผ่านบทความนี้รวมถึงตอนก่อนหน้านี้เป็นเพียงแค่ส่วนหนึ่งเท่านั้นครับ ซึ่งในความเป็นจริงยังมีรายละเอียดอีกเยอะมากครับ และโดยวัตุประสงค์ของผมมีเพียงแค่ให้ทุกท่านได้รู้จักกับคอนเซปตลอดจนคำศัพท์ต่างๆ ที่เกี่ยวข้องเท่านั้นครับ และต่อจากนี้ผมจะพาทุกท่านเข้าสู่เรื่องราวของ AI กันต่อโดยจะเป็นการนำเอา AI เทคโนโลยีไปประยุกต์ใช้งานกับ Cybersecurity ครับ โปรดติดตามครับผม.....