รู้จักกับโซลูชัน Microsoft Defender for Cloud ตัวแปรสำคัญสำหรับผู้ใช้งาน Microsoft Azure

0

โซลูชันป้องกันภัยคุกคามสำหรับ Cloud นั้นมีมากมาย ซึ่งอันที่จริงแล้วก็ขึ้นกับลักษณะของการใช้งาน โดยอาจนับเป็นการปกป้องเครือข่ายขั้นพื้นฐาน การปกป้องเซิร์ฟเวอร์หรือ Workload หรือการป้องกันระดับการพัฒนาโค้ดของแอปพลิเคชัน แม้กระทั่งการเข้ารหัสข้อมูลก็เป็นส่วนหนึ่งของภาพใหญ่ที่ต้องถูกจัดการ ทั้งนี้ผู้ให้บริการ Cloud รายใหญ่ต่างนำเสนอเครื่องมือของตนเอง

หากท่านเป็นผู้ใช้งาน Azure หรือกำลังตั้งคำถามเกี่ยวกับเครื่องมือบน Microsoft Azure ในบทความนี้เราจะขอแนะนำให้ทุกท่านได้รู้จักกับ Microsoft Defender for Cloud หรือชุดโซลูชันที่ถูกออกแบบมาเพื่อป้องกันภัยคุกคามของ Cloud native Application อย่างแท้จริง

credit : Microsoft

Microsoft Defender for Cloud เป็นโซลูชันด้าน Cloud-native Application Platform (CNAPP) หรือสิ่งที่ช่วยให้แอปพลิเคชันที่เกิดขึ้นท่ามกลางคลาวด์มีความมั่นคงปลอดภัย โดยช่วยปกป้องในเรื่องภัยคุกคามและช่องโหว่ ทั้งนี้ภายในประกอบไปด้วยโซลูชันย่อยอีกมากมายที่ครอบคลุมใน 3 เรื่องหลักคือ

1.) DevSecOps

Best Practice ของแอปพลิเคชันคือการคิดเรื่องของความมั่นคงปลอดภัยตั้งแต่วันที่เริ่มพัฒนาแอปพลิเคชัน โดยนั่นคือคอนเซปต์ที่ ‘Sec’ ได้ถูกแทรกกลางเข้ามาระหว่างรอยต่อของ DevOps สำหรับ Microsoft เองที่มี GitHub หรือเครื่องมือยอดนิยมระดับสากลของนักพัฒนา จึงถือว่ามีข้อได้เปรียบเกี่ยวกับความเชี่ยวชาญในเรื่องนี้ โดยโซลูชัน DevSecOps ภายใต้ Defender for Cloud จะกล่าวถึงเกี่ยวกับเครื่องมือ Azure DevOps, GitHub และ GitLab ที่ช่วยปิดช่องว่างอย่างครบวงจร

credit : Microsoft

ทั้งนี้จะทำให้แอดมินขององค์กรล่วงรู้เกี่ยวกับความมั่นคงปลอดภัยในระดับภาพรวมในฝั่งนักพัฒนา ที่โดยปกติแล้วสองหน้าที่นี้มักไม่สอดประสานกันแต่ Defender for Cloud จะสามารถช่วยให้องค์กรสามารถตรวจสอบความปลอดภัยของโค้ด การใช้ Secrets และการค้นหาช่องโหว่ใน Open Source Dependency ตลอดจนโค้ดการจัดตั้ง Infrastructure as a Code (IaaC) ที่ไม่ปลอดภัย รวมถึง container image ที่จะนำมาใช้ เมื่อทั้งแอดมินด้านความมั่นคงปลอดภัยเห็นภาพได้มากขึ้นก็สามารถแชร์ข้อมูลให้กับนักพัฒนาไปแก้ไขได้อย่างถูกจุด เป็นการปิดช่องโหว่ก่อนออกสู่การให้บริการ

2.) Cloud security posture management (CSPM)

การตั้งค่าการทำงานของบริการคลาวด์หรือการใช้งานคลาวด์อย่างไม่เหมาะสมหรือผิดพลาด (Misconfiguration) ยังคงเป็นหัวข้อหลักในมุมของ Cloud Security ซึ่งอาจด้วยความเลินเล่อ การขาดทักษะ หรือเหตุผลอื่นใด แต่ผลลัพธ์ที่จะตามมาอาจร้ายแรงกว่าที่คิด ยิ่งในยุคที่องค์กรเต็มไปด้วยความซับซ้อนจาก Multi-cloud และบริการมากมายที่เปิดใช้อยู่ ทั้งที่รับรู้หรือหลงลืมไปแล้ว ด้วยเหตุนี้เองจึงเกิดโซลูชันที่ช่วยในการกำกับการทำงานกับคลาวด์ที่เรียกว่า CSPM โดยความสามารถที่ Microsoft นำเสนอภายใต้ Defender for Cloud มีอยู่หลายด้านคือ

  • Centralize Policy – ผู้ใช้งาน CSPM สามารถกำหนด Policy กลางไว้ได้ หากมีความพยายามที่ละเมิดกับข้อกำหนดก็จะสามารถติดตามหรือแนะนำให้ผู้กระทำนั้นแก้ไข อย่างไรก็ดี Microsoft ยังมีผลอ้างอิงของธุรกิจอื่นที่ปฏิบัติกัน(Benchmark) เพื่อองค์กรสามารถเปรียบเทียบและปรับปรุงการปฏิบัติการของท่านได้ด้วย
  • Secure Score – เป็นเรื่องยากที่จะวัดหรือคาดคะเนถึงสถานะความมั่นคงปลอดภัย แต่ด้วย Secure Score จะช่วยประเมินอย่างกว้างๆคะแนนอ้างอิงจากคำแนะนำที่องค์กรควรปฏิบัติ 
  • Multi-cloud – หลายองค์กรมีการใช้ Cloud มากกว่า 1 แห่ง เพื่อไม่ให้องค์กรต้องเผชิญกับเครื่องมือที่เพิ่มขึ้น CSPM จาก Microsoft ยังสามารถตรวจสอบการใช้งานของคลาวด์ยอดนิยมอย่าง AWS หรือ GCP ได้เช่นกัน
  • Management Dashboard – เพื่อให้ผู้ดูแลขององค์กรทำงานได้ง่าย Microsoft ได้รวบรวมเรื่องสำคัญต่างๆให้ท่านมองเห็นได้ง่ายผ่านหน้า Dashboard ที่สรุปถึงสถานะทางความมั่นคงปลอดภัยของภาพรวมระบบ
  • Advance Features – CSPM ยังมีเครื่องมือขั้นสูงกรณีขององค์กรที่เน้นด้านความมั่นคงปลอดภัย โดยส่วนนี้มีค่าใช้จ่ายเพิ่มเติมเช่น Attack Path Analysis, Security Governance, Microsoft Entra Permission Management และอื่นๆ

3.) Cloud workload protections (CWP)

การปกป้อง Workload ที่เกิดขึ้นบนคลาวด์ต้องอาศัยเครื่องมือด้านความมั่นคงปลอดภัยที่ถูกออกแบบมาอย่างเฉพาะเจาะจง โดย Defender for cloud ได้นำเสนอการป้องกันใน Workload หลายประเภทดังนี้

3.1) Defender for Server เป็นโซลูชันหลักที่ช่วยให้องค์กรสามารถรับมือกับภัยคุกคามที่เกิดขึ้นกับเซิร์ฟเวอร์ โดยรองรับได้หลายแพลตฟอร์มประกอบด้วย Windows Server, Red Hat Enterprise Linux(RHEL), CentOS, Ubuntu, SUSE, Oracle Linux และ Amazon Linux ทั้งนี้เมื่อร่วมมือกับ Defender for Endpoint (EDR) จะช่วยให้สามารถตอบสนองภัยคุกคามได้อย่างทันท่วงที โดยฟีเจอร์ที่สำคัญมีดังนี้

  • Next Generation Antivirus – Microsoft ถือเป็นผู้นำในด้านการป้องกันมัลแวร์ ยืนยันได้จากฐานข้อมูลเพราะ Microsoft มีฐานลูกค้าระดับองค์กรมากมาย จึงพบกับมัลแวร์และการโจมตีที่อัปเดตใหม่อยู่ตลอดเวลา ด้วยเหตุนี้เององค์กรจึงสามารถไว้วางใจได้ว่าเซิร์ฟเวอร์ของท่านจะได้รับการปกป้องเป็นอย่างดี
  • Endpoint Detection & Response – สามารถแจ้งเตือนพฤติกรรมที่ผิดปกติได้อย่างแม่นยำ และมีช่องทางมากมายสำหรับตอบสนองต่อเหตุการณ์เหล่านั้น รวมถึงยังมีข้อมูลให้สามารถสืบค้นเหตุการณ์ย้อนหลังได้ถึง 6 เดือน นอกจากนี้ในระดับของ Network โซลูชันยังสามารถสั่งปิดกั้นทราฟฟิคขาเข้า(Inbound) สู่ VM เพื่อลดพื้นผิวของการโจมตีได้ด้วย
  • Adaptive Application Control – ด้วยความชาญฉลาดจากฐานข้อมูลของ Microsoft ทำให้ระบบสามารถสร้างรายการของแอปพลิเคชันบนเครื่องโดยอัตโนมัติ หรือรับรู้ถึงแอปพลิเคชันที่มีการเข้าถึงข้อมูลละเอียดอ่อน
  • VM Vulnerability Assessment – Defender for Server ยังสามารถสแกนหาช่องโหว่ของแอปพลิเคชันที่ติดตั้งบน VM ได้อย่างต่อเนื่อง โดยท่านไม่ต้องติดตั้ง Agent ซึ่งจัดการได้ผ่านหน้า Vulnerability Management 
  • File Integrity – การตรวจสอบความถูกต้องของไฟล์เป็นเรื่องจำเป็น ซึ่งฟังก์ชัน File Integrity นี้สามารถตรวจสอบได้ตั้งแต่ Windows Registries, Application Software, Linux System และอื่นๆ โดยท่านสามารถเลือกใช้งานตามความต้องการหรือเลือกตามคำแนะนำของระบบ

3.2) Defender for Container โดยความท้าทายของ Container คือการเกิดขึ้นและหายไปอย่างรวดเร็วจึงติดตามได้ยาก ตลอดจนมี Runtime ที่ซับซ้อน ทั้งนี้การใช้สร้าง Kubernetes ขึ้นมาเอง อาจนำไปสู่ปัญหาด้านความมั่นคงปลอดได้หลายจุด เช่น ให้สิทธิ์การเข้าถึงที่มากเกินพอดี ตัวอิมเมจเองมีช่องโหว่ ตั้งค่าสภาพแวดล้อมอย่างผิดพลาด หรือคนร้ายอาจเข้ามาผ่านทางระดับแอปพลิเคชันหรือโหนด ด้วยเหตุนี้เอง Defender for Container จาก Microsoft นำเสนอการป้องกันเช่น

  • การจัดทำคะแนนสำหรับการตั้งค่าเกี่ยวกับความมั่นคงปลอดภัย โดยท่านจะสามารถทราบได้ว่า Containerized ที่สำคัญของท่านมีสถานการณ์เป็นอย่างไร และมี Practice จาก Security Benchmark และ Docker CIS Benchmark
  • ช่วยสแกนค้นหาได้ว่า Image นั้นมีช่องโหว่หรือไม่โดยอัตโนมัติตั้งแต่ขั้นตอนการ Ship ด้วยการ Push, Pull และ import สู่ ณ ช่วงเวลา Runtime ที่ยังคงมีการสแกนตรวจสอบอิมเมจอย่างต่อเนื่อง สุดท้ายระหว่างการ Build ที่ทุก image ในการทำ CI/CD ต้องถูกตรวจสอบ
  • มีการตรวจสอบการโจมตีขั้นสูงเนื่องด้วยว่า Microsoft ถือเป็นผู้เล่นที่มีฐานข้อมูลภัยคุกคามอันดับต้นๆของโลกจากฐานผู้ใช้ที่มี โดยองค์กรสามารถสืบค้นข้อมูลต่อยอดสู่ MITRE ATT&CK ได้

3.3) Defender for Database ครอบคลุมการทำงานของฐานข้อมูลในหลายรูปแบบตั้งแต่ SQL PaaS เช่น Azure SQL Database, Azure Elastic Pools เป็นต้น หรือประเภท IaaS และกลุ่มโอเพ่นซอร์สอย่าง MariaDB, MySQL และ PostgreSQL หรือแม้กระทั่ง Cosmos DB ทั้งนี้การปกป้องการโจมตีที่นำเสนอในระดับฐานข้อมูล เช่น SQL Injection, การใช้งานที่ผิดไปจากปกติ (anomaly), Brute force และพิจารณาองค์ประกอบอื่นในการเข้าใช้ร่วมด้วยเช่น พิกัด โดเมน ไอพีแอดเดรส

3.4Defender for Storage ช่วยปกป้องบัญชี Storage เช่น การอัปโหลดไฟล์ ความพยายามในการเข้าถึงและขโมยข้อมูล และความผิดพลาดในระดับข้อมูล โดยครอบคลุมบริการระดับพื้นที่จัดเก็บอย่าง Blob Storage, Azure Files และ Data Lake Storage

credit : Microsoft

3.5) Defender for Key Vault ช่วยเพิ่มความมั่นใจให้บริการ Azure Key Vault โดยเป็นการจัดการกุญแจเข้ารหัสและ Secrets อย่าง Certificate, Password และ Connection Strings โดยจะช่วยติดตามพฤติกรรมการเข้าถึงบัญชี Key Vault ที่ไม่พึงประสงค์ ไม่จำเป็นต้องการโซลูชันอื่นมาติดตามอีก

credit : Microsoft

3.6) Defender for App Service ช่วยเพิ่มเลเยอร์การปกป้องเหนือผู้ใช้บริการ Managed Platform สำหรับการพัฒนาเว็บแอปพลิเคชันและ API (Azure App Service) โดยไอเดียก็คือการตรวจสอบการเข้าถึงทรัพยากรในแผน App Service สู่คำแนะนำจากหลักฐานที่พบเพื่อทำการแก้ไข รวมถึงคอยเฝ้าระวังภัยจากการพิจารณาปัจจัยอย่าง VM instance, Request/Response, Logs และ Sandbox ซึ่ง Defender for App Service จะรู้จักกับวิธีการโจมตีในลักษณะต่างๆ ตลอดจนยังช่วยเตือนปัญหาของ DNS ไม่ให้ถูกขโมยโดเมนไปใช้ในทางที่มิชอบเมื่อลบโดเมนหลักแต่ยังเหลือการใช้งานโดเมนใน Registrar ที่เกี่ยวข้องที่เรียกว่า Dangling DNS

credit : Microsoft

อย่างไรก็ดีนี่เป็นเพียงส่วนหนึ่งของความสามารถใน Cloud workload protections ที่ยังมีเรื่องของการปกป้อง API (Defender for APIs), การปกป้องสำหรับ DNS(Defender for DNS) และ Defender for Resource Manager

สำหรับผู้ใช้งานที่มีบัญชีของ Azure อยู่แล้วสามารถเข้าไปที่ Azure Portal และค้นหาคำว่า Microsoft Defender for Cloud จากนั่นเลือกเมนู Environment Settings ในแทบด้านซ้ายมือภายใต้ Management เพื่อเข้าไปเลือกแผน Defender ที่ต้องการ โดยเพียงแค่ท่านเลือกเปิดก็สามารถเริ่มต้นใช้งานได้ทันที

credit : Microsoft

นอกจากนี้เมื่อท่านเปิดใช้งาน Defender for Cloud ยังหมายถึงการเพิ่มฟีเจอร์นี้เข้าสู่หน้า Microsoft Defender Portal โดยอัตโนมัติ นำไปสู่ฟีเจอร์ Defender XDR ที่สนับสนุนการทำงานของทีม SOC ในองค์กรภายใต้หน้าจอปฏิบัติการเดียว

มาถึงตรงนี้หลายท่านอาจจะยังสงสัยว่าแม้ Defender for Cloud จะมีความมากมายแต่โซลูชันนี้ครอบคลุมกับคอนเซปต์ที่เรียกว่า Azure Security แล้วหรือยัง? คำตอบก็คือไม่ใช่ทั้งหมด ซึ่งในคำแนะนำของ Microsoft โซลูชัน Microsoft Defender for Cloud เป็นเพียงส่วนหนึ่งของโซลูชันด้านความมั่นคงปลอดภัยในภาพรวมเท่านั้น ตามภาพด้านล่าง

credit : Microsoft

นอกจากนี้ภายในตัวของ Microsoft Defender for Cloud ยังมีเรื่องของ License ประเภทพื้นฐานที่ใช้ได้ฟรีและที่ต้องเสียค่าบริการเพิ่ม และในการใช้งานองค์กรยังต้องมองภาพย้อนไปถึงโครงสร้างพื้นฐานของท่านด้วย ด้วยเหตุนี้เองการมีพาร์ทเนอร์ที่แข็งแกร่งย่อมดีกว่า โดย SIS ในฐานะ CSP Partner มีความยินดีเป็นอย่างยิ่งที่จะให้คำปรึกษาและช่วยเหลือในบริการบน Microsoft Azure ได้อย่างครบวงจร

เพียงติดต่อทีมงาน siscloud ได้ที่

โทรศัพท์ : 02-020-3606

Line : sisCloud

อีเมล : [email protected]