Azure security มีอะไรบ้าง และทำอย่างไร
มาทำความรู้จัก Azure Security กัน อย่างที่ทราบกันว่า Azure คือ ระบบคลาวด์แพลตฟอร์อม (Cloud Platform) จาก Microsoft ที่เปิดให้เช่าระบบปฏิบัติการ รบบคราวด์เป็นระบบ PASS สามารถทำ security ได้หรือ ถ้าหากต้องการ Set up Security ต้องทำอย่างไร แล้วทำไมเราถึงต้องเลือกใช้ Azure กันล่ะ ในบทความนี้มีคำตอบ
1 ในเหตุผลที่ดีที่สุดว่าทำไมควรเลือกใช้ Azure cloud เนื่องจากมี Application และการบริการที่มีประโยชน์แถมยังมีความสามารถในด้านการรักษาความปลอดภัยที่หลากหลาย โดยผู้ใช้บริการ Azure cloud service สามารถเลือกใช้ผลิตภัณฑ์ทางด้าน Security ได้ตามที่ต้องการ สามารถเชื่อมั่นในความปลอดภัยเนื่องจากได้รับการการันตรีจากทีมงาน Microsoft security อีกด้วย
โดยบทความนี้มาแนะนำผลิตภัณฑ์ทางด้านความปลอดภัยที่น่าสนใจ ด้วยกันทั้งหมด 8 อย่างแต่ก่อนจะทำความรู้จัก Azure Security เรามาทำความเข้าใจ Virtual Network หรือ VNet กันก่อน
Virtual Network (VNet) เป็นรากฐานสำหรับโครงสร้าง Private Network บน Azure มีหน้าที่เสมือน Switch สำหรับ Back bond ของ Office ต่อ Resource group เช่นตัวอย่างมี Virtual Machine 2 เครื่อง เราจะทำการเชื่อมต่อผ่าน VNet โดยสามารถทำเป็นเลข IP Digital ได้ และยังสามารถเชื่อมต่อผ่าน Routing ออกไปข้างนอกได้ และสามารถเชื่อมต่อ PAAS ของ Azure App service ได้ เปรียบเสมือนจุดศูนย์กลางของการเชื่อมต่อ
สามารถปรับ Address space Address range ได้ และยังเพิ่ม Additional address range ได้ด้วย เมื่อทำการตั้งค่าเสร็จ เราจะได้จุดเชื่อมต่อที่เราสามารถ เพิ่ม Security ที่ต้องการเข้าไปได้
1) Azure Network Security Group (NSG)
Azure Network Security Group (NSG) คือ Group Security สำหรับ VNet นั้นๆ มีลักษณะคล้าย Firewall แต่ทว่าเป็น Classical Firewall ที่ใช้สำหรับการ Block Port ต่างๆ เป็น Security ที่จำเป็นอีก 1 ตัวที่ทาง Azure นำมาให้ใช้งานฟรี
– สามารถตั้ง Inbound Security Rules (ขาเข้า) และ Outbound Security Rules (ขาออก) ได้
2) Azure Firewall
เป็นบริการรักษาความปลอดภัยเครือข่าย Cloud Platform บน Azure มีการดูแลที่ครอบคลุมแบบไม่จำกัดมีความสามารถในการกรอง Layer 3-6 จากการถูกคุกคามโดย Microsoft Cyber Security ที่สามารถตรวจสอบการถูกคุกคามได้อย่างรวดเร็ว
– สามารถตั้ง Policy ที่ Firewall Manager ได้ โดยการใช้ Security นี้จะได้รับ Firewall ธรรมดา และ Firewal policy
– สามารถตั้ง Threat Intelligence เมื่อเจอการเตือนของการทำงานเข้ามาทำให้เราสามารถตรวจสอบและเลือกที่จะทำการ Block หรือทำการ Action อะไรตอบกลับได้อีกด้วย
ราคา Azure Firewall
| Standard | Premium | |
| Deployment | $1.25 per deployment hour | $1.75 per deployment hour |
| Data Processing | $0.016 per GB processed | $0.016 per GB processed |
3) Web Application Firewall (WAF)
เป็นฟีเจอร์ของ Web Application Gateway ที่ให้ป้องกันเว็บแอพลิเคชั่นสำหรับฟังก์ชั่น Application Delivery Control (ADC) วิธีการป้องกันช่องโหว่ของเว็บทั่วไปโดย OWASP เช่น การป้องกัน SQL ป้องกันการละเมิด HTTP protocol และการป้องบอท โปรแกรมรวบรวมข้อมูล Scanner เป็นต้น
– สามารถตั้ง Policy Setting
– การตั้ง Manage rules ตัว WAF สามารถเลือกเวอร์ชั่นของ OWASP ได้ โดยเมื่อเลือกแล้วจะสามารถนำ Rules ตามชุดของ OWASP ได้ซึ่งมีหลากหลายในการนำไปใช้งาน – Web Application Firewall จะมาคู่กับ Basic Web Application Gateway โดยมีข้อแตกต่างการทำงานตรงที่สามารถรองรับข้อมูลได้แตกต่างกัน
ราคา Web Application Firewall
| Type | Basic Web Application Gateway | Web application Firewall Application Gateway |
| Small | $0.025 per gateway-hour (~$18.25/month | Not available |
| Medium | $0.07 per gateway-hour (~$51.10/month | $0.126 per gateway-hour (~$91.98/month) |
| Large | $0.32 per gateway-hour (~$223.60/month | $0.448 per gateway-hour (~327.04/month) |
4) Azure DDoS Protection
– สามารถเลือกได้ว่าให้เชื่อมต่อ กับ VNet Firewall Application Gateway Bastion host Load Balancer NIC Virtual Machine Scale Set Virtual Network Gateway
– เมื่อไหร่ก็ตามที่มีคนยิง Traffic ที่เกินความจำเป็นเข้ามา ตัว Azure DDoS จะตรวจจับได้ และยังสามารถตรวจสอบผ่าน Metric ได้อีกด้วย
Price Azure DDoS Protection
| Price | |
| Monthly price for DDoS Protection (Includes Protection for 100 resource) | $2,944/month |
| Overage charge (more than 100 resource) | $29.5 per resource per month |
5) Azure Bastion
– สามารถใส่ Username Password ของ RDP ได้โดยตรง Microsoft รับรองความปลอดภัย
– หากต้องการ Copy อะไรก็ตาม ผ่าน Bastion เราต้องทำการส่งผ่าน Clipboard เพราะเมื่อไหร่ก็ตามที่เราไป Download attention บนหน้าเว็บอะไรก็ตาม สามารถติดตาม Keys ของเราได้ Bastion จะทำการป้องกันได้อย่างดีเยี่ยม
ราคา Azure Bastion
| Price | |
| Azure Bastion | $0.19 per hour |
| Azure Bastion Standard | $0.29 per hour |
| Additional Standard Instance1 | $0.14 per hour |
6) Azure Key Vault
– ใช้สำหรับเก็บ SSL certificate ไว้ที่ Secret และสามารถตั้งค่าให้ App service ดึงข้อมูลจากตรงนี้มาใช้
– สามารถเก็บ Digital Signature identity ไว้ที่ Key Vault
ราคา Azure Key vault
| Type | Standard | Premium |
| Secret Operations | $0.03 /10,000 transactions | $0.03 /10,000 transactions |
| Certificate Operations | Renewals – $3 per renewal request. All other operations — $0.03 /10,000 transactions | Renewals – $3 per renewal request. All other operations — $0.03 /10,000 transactions |
| Managed Azure Storage account key rotation (in preview) | Free during preview. General availability price — $1 per renewal | Free during preview. General availability price — $1 per renewal |
7) Azure Sentinel
โปรดักซ์ที่ทำ Threat protection คือเราสามารถ Collect data ทั้งหมดบน Azure สามารถรวมทุกอย่างไว้ที่ Center สามารถทราบได้ว่ามีใครเข้ามาใช้งานข้อมูลเราได้ สามารถตรวจสอบและไล่ล่าความผิดปกติที่เข้ามาได้ เช่น การมี Mouse ware หรือ Ransom ware เข้ามายุ่งเกี่ยวกับเมลของเรา แล้วสร้างเป็นโซ่ว่ามีปัญหามาจากไหนแล้วสามารถพัฒนาความสามารถได้ดียิ่งขึ้น
ราคา Azure Sentinel
| Tier | Price | Effective Per GB Price1 | Savings Over Pay-As-You-Go |
| 100 GB per day | $123 per day | $1.23 per GB | 50% |
| 200 GB per day | $222 per day | $1.11 per GB | 55% |
| 300 GB per day | $320 per day | $1.07 per GB | 57% |
| 400 GB per day | $410 per day | $1.03 per GB | 58% |
| 500 GB per day | $492 per day | $0.99 per GB | 60% |
| 1,000 GB per day | $960 per day | $0.96 per GB | 61% |
| 2,000 GB per day | $1,821 per day | $0.92 per GB | 63% |
| 5,000 GB per day | $4,305 per day | $0.87 per GB | 65% |
8) Azure Defender
ทีมอัจฉริยะที่สามารถวิเคราะห์สถานะความปลอดภัยของ Data บน Azure อย่างต่อเนื่อง แถมยังสามารถระบุช่องโหว่ด้านความปลอดภัยที่อาจจะเกิดขึ้นได้อีกด้วย แถมยังให้คำแนะนำถึงปัญหาได้ตลอดการใช้งาน เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด
