Microsoft 365 Business Premium
สำหรับคนที่ใช้ Microsoft 365 ที่เป็น Basic หรือ Standard แล้วกำลังมองหา Security ผมขอแนะนำ Business Premium ที่จะมาเสริมเรื่องความปลอดภัยในการใช้งาน ไม่ว่าจะเป็น Mail , File งานต่าง ๆ โดยไม่จำเป็นต้องซื้ออุปกรณ์ แพง ๆ เช่น Firewall , Antivirus หรือ อื่น ๆ ที่มีขายมากมาย เพราะชุด Business Premium มาพร้อมกับชุดป้องกันแบบจัดเต็มในราคาที่ เบา ๆ เหมาะกับเรามากๆ
Security on Microsoft 365 Business Premium for PDPA
ประเด็นเรื่อง PDPA เป็นเรื่องจำเป็นที่บริษัท ต้องปฎิบัติตามเงื่อนไขในการรักษาความปลอดภัยของข้อมูลไม่ให้ถูกขโมยไป
PDPA มีผลบังคับใช้กับองค์กรทุกองค์กรที่เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทย เพื่อขายสินค้าหรือบริการให้กับเจ้าของข้อมูล (ตามมาตรา 5 ในกฎหมาย) ดังนั้นองค์กรจึงต้องเริ่มวางแผน ทั้งในด้านบุคลากร เช่น แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ตามมาตรา 41 และ 42 รวมไปถึงจัดทำกระบวนการต่างๆ เช่น จัดทำขั้นตอนในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (consent management process) และเครื่องมือหรือเทคโนโลยีด้านการรักษาความปลอดภัยของข้อมูลมาใช้ เพื่อการันตีเรื่อง compliance ก่อนกฎหมายจะมีผลบังคับใช้ในอีกเพียง 2 เดือนข้างหน้านี้เท่านั้น
และเมื่อองค์กรได้ทำการเก็บข้อมูลส่วนบุคคล Microsoft 365 โซลูชัน ก็มีเทคโนโลยีที่องค์กรสามารถนำไปใช้ในการดูแล รักษาความปลอดภัยของข้อมูลส่วนบุคคล รวมไปถึงเครื่องมือที่จะช่วยรองรับกระบวนการการร้องขอข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อปฏิบัติตามกฎหมาย PDPA อีกด้วย
ความปลอดภัยในโลกแบบเดิมไม่สามารถใช้งานได้อีกต่อไป
รูปแบบการทำงานที่พนักงานมาทำงานที่ office จะไม่เหมือนเดิมอีกต่อไป หลังจากโควิดได้เกิดขึ้น
หน่วยงานไหนซื้อ Firewall มาตัวแพง ๆ ตอนนี้คงน้ำตาตกใน เพราะ User กลับไปบ้าน ใช้ Internet บ้าน กันหมด Firewall กลายเป็นกล่องเหล็ก ราคาแพงที่ไม่ได้ใช้งาน
ดังนั้นพื้นฐานของการทำ Config Security จึงต้องเปลี่ยนไป และจุดต้นแบบ ที่ง่ายและประหยัดที่สุด และ มีประสิทธิภาพสูงสุด นาทีนี้ ต้อง multifactor authentication เลยจ้า โดยเฉพาะยุคที่ พนักงานไม่อยู่ที่ office
คนที่ใช้ Microsoft 365 อยู่ เราทำ config เรื่องนี้ได้เลย
- In the Microsoft 365 admin center, in the left nav choose Users > Active users.
- On the Active users page, choose Multi-factor authentication.
- On the multi-factor authentication page, select each user and set their Multi-Factor auth status to Disabled
ที่สำคัญคือ ระบบมันฉลาดมาก มันสามารถประเมินปัจจัยต่าง ๆ ประกอบการ login ด้วย เช่น การ login ในพื้นที่ ที่ไม่น่าเป็นไปได้แบบนี้
ถ้าคุณทำแบบนี้ ทาง Microsoft ประเมินว่าคุณปิดความเสี่ยงไปแล้ว ถึง 99 %
Microsoft Zero Trust
คือแนวคิดใหม่ในการทำงานในเรื่องความปลอดภัยที่ คิดเสมอว่า ทุกอย่างไม่น่าเชื่อถือ
Microsoft Zero Trust architecture ( End to End Security )
เริ่มจาก การทำ Identities ของพนักงานที่เข้าสู่ระบบ ด้วย Multi factor authentication และ ตรวจสอบอุปกรณ์ที่ login ว่าตรงตาม Policy หรือไม่
การทำ Multi factor authentication เช่น การใช้งาน
- Push Notification
- SMS
- Voice call
- OATH Token
- OATH Codes
หลังจาก login ได้แล้ว จะมีการควบคุมโดยใช้ Policy and Risk อีกขั้น เพื่อประเมินว่ามีความเสี่ยงแค่ไหน ซึ่ง รูปแบบ จะทำได้หลายอย่างเช่น
- All access
- Require MFA
- Limit access
- Block access
Manage all your apps from one central location
การรวมศูนย์ควบคุมการทำงานทั้งหมดไว้ที่ Azure AD ที่จะช่วย Manage ทั้ง SaaS Apps , On Premises or Web Apps
Devices Management
คือการควบคุม Application และ การใช้งาน อุปกรณ์ ให้ได้ตาม policy ที่กำหนด
- Mobile Device Management ( MDM )
- ทำการลงทะเบียนอุปกรณ์ที่ต้องการเข้าถึงระบบภายในบริษัท
- Setup ความต้องการพื้นฐานในการเข้าใช้งาน
- รายงานจำนวนอุปกรณ์ที่เข้าใช้งานระบบ
- จัดการลบข้อมูลออกจาก อุปกรณ์
- Mobile Application Management ( MAM )
- ติดตั้ง Application อัตโนมัติ
- ตั้งค่า config และ update app
- ลบ app หรือ รายการที่ใช้งาน
- ป้องการ การ Save ข้อมูลออกภายนอกระบบงาน
DATA – Protect sensitive data wherever it live or travels
การจัดแบ่งประเภทข้อมูล และ ติด label ให้กับข้อมูล เช่น เอกสาร finance หรือ เอกสาร confidential ผลจากการติด Label จะทำให้เราสามารถควบคุมเอกสารตาม policy ที่กำหนด เช่น ห้าม Print ห้ามส่ง mail แบบนี้ โดยรูปแบบการทำ Classify ทำได้หลายแบบดังนี้
- Automatic Classification : ให้ IT เป็นผู้กำหนด policy แล้วให้ระบบทำงานแบบอัตโนมัติในการแบ่งประเภทข้อมูล
- Recommended Classification : ทำตามคำแนะนำของระบบ ซึ่ง Microsoft จะมีรูปแบบที่เป็นมาตราฐาน ช่วยให้การทำ config ทำได้อย่างรวดเร็วและได้มาตราฐาน
- Manual reclassification : ให้ User เป็นผู้กำหนดประเภทข้อมูล เหมาะสำหรับการปรับแต่งให้ตรงกับความต้องการแบบละเอียด
- User driven classification : ให้ user เป็นผู้กำหนด ประเภทข้อมูล ทีละ File
Threat Protection
คือ ระบบของ Microsoft ที่วิเคราะห์ความเสี่ยง โดยใช้ AI ในการประเมิน เช่น Mail ที่มาจากแหล่ง ไม่น่าเชื่อถือ ระบบจะทำการ Block ให้ auto หรือ Web Page ที่มีอันตราย ระบบจะส่งข้อมูลการตรวจพบไปที่ center แล้วทำการ update policy กระจายออกไปเพื่อป้องกันปัญหาในอนาคต
สรุป Feature ของ M365 Business Premium
- Conditional access with azure AD Plan1
- Device management and app protection policy with Intune
- Information protection with AIP P1
- Safe links and safe attachment with defender for o365 plan 1
- Upgrade to window 10 license
- Data loss prevention and exchange online archiving which is available in o365
Reference Microsoft