วางรากฐานระบบ Cloud อย่างมั่นคงปลอดภัยด้วย FortiGate CNF และ AWS Landing Zone จาก eCloudvalley

โมเดลความรับผิดชอบด้านความมั่นคงปลอดภัยเป็นหน้าที่ของผู้ใช้งาน Cloud ทุกคน ไม่เว้นแม้กระทั่ง Public Cloud เบอร์หนึ่งอย่าง AWS แน่นอนว่าการใช้งาน Cloud ในระดับองค์กร ควรวางรากฐานการออกแบบตั้งแต่ระบบการจัดการ Policy ที่ดี และการมี L7 Firewall ที่มีฟีเจอร์ครอบคลุม ซึ่ง Fortinet ได้ยกระดับความสามารถการปฏิบัติงานบน AWS ไปอีกขั้นด้วย FortiGate CNF ที่ยังคงความแข็งแกร่งไว้เช่นเดิม แต่ช่วยให้งานขององค์กรง่ายขึ้น

โดยในงานสัมมนาระหว่าง eCloudvalley และ Fortinet ได้แสดงให้ทุกคนเข้าใจการออกแบบเหล่านี้ได้กระจ่างชัดมากขึ้น ทีมงาน TechTalkThai ขอสรุปใจความสำคัญมาให้ทุกท่านได้ติดตามกันอีกครั้งครับ

AWS Account คืออะไร?

AWS เป็นบัญชีการใช้งานของผู้ใช้ AWS Cloud ที่ทุกคนต้องมี โดยไอเดียแล้วบัญชีเหล่านี้จะผูกกับทรัพยากรของระบบ Cloud เอาไว้ เช่น Server, EC2, Storage, Database, Image, Template และ เครื่องมือใช้งานต่างๆ ซึ่งจะเห็นได้ว่าผู้ใช้งานจะสามารถบริหารจัดการทรัพยากรแยกขาดจากกันได้ นำไปสู่การจัดการค่าใช้จ่าย ผู้ใช้ และประเด็นด้านความมั่นคงปลอดภัย โดยการทำงานที่เกิดขึ้นจริงระดับองค์กร เรามักมี AWS Account มากกว่าหนึ่งบัญชี นั่นจึงนำไปสู่ประเด็นการกำกับดูแลและออกแบบในภาพใหญ่ตามมา

รู้จักกับ AWS Organization และ Landing Zone เครื่องมือจัดการบัญชี AWS Accounts

ในองค์กรขนาดใหญ่อาจมีแนวทางการออกแบบ AWS account ได้หลายแนวทาง โดยอาจแจกให้แต่ละทีม หรือเพื่อให้แต่ละกลุ่มงานทางธุรกิจ โดยประโยชน์ก็คือการวางแผนและควบคุมค่าใช้จ่ายได้โดยละเอียด รวมถึงจำกัดความเสียหายเฉพาะบัญชีนั้น หากถูกโจมตีทางไซเบอร์ โดย AWS Organization ก็คือเครื่องมือในการบริหารจัดการภาพรวม ที่มองบัญชีเป็น “Organization Unit(OU)” ที่มีลำดับชั้นย่อยซ้อนกันได้ และแต่ละ OU สามารถมีได้หลาย account ทำให้องค์กรสามารถสร้าง Policy ที่ใช้งานร่วมกันได้โดยไม่ต้องทำซ้ำให้กับแต่ละบัญชี ตลอดจนจัดการกลุ่มบัญชีได้ง่ายขึ้น

อย่างไรก็ตามแม้จะมีเครื่องมือในการจัดการมาให้แล้ว แต่ก็ไม่ได้หมายความว่าผู้ปฏิบัติงานจะทำงานได้ตาม Best Practice ซึ่งเพื่อแก้ปัญหานั้น คอนเซปต์ Landing Zone จึงเกิดขึ้นที่ช่วยการันตีการปฏิบัติตามมาตรฐานด้านความมั่นคงปลอดภัย โดยมีฟีเจอร์บังคับพื้นฐานอย่าง OU ด้าน Security และ Log ติดตามให้ ซึ่งผู้ดูแลองค์กรยังสามารถกำหนด Baseline ของการใช้งานได้ ผ่านเครื่องมืออัตโนมัติ (Guardrail) 2 มุมมอง

• Detective – ระบบสามารถติดตามกิจกรรมอย่างต่อเนื่องที่ไม่สอดคล้องกับ Policy และทำการแจ้งเตือนเมื่อพบเห็น โดยอาศัยกลไก AWS Config Rule และ Security Hub Integration
• Prevent – ระบบสามารถป้องกันการกระทำที่ละเมิด Policy ด้วย AWS Service Control Policies (SCPs) เช่น การสร้างทรัพยากรที่ไม่ได้รับอนุญาต การจำกัดการเข้าถึงบางบริการ เป็นต้น

ทั้งนี้ในระดับการ Implement แนวคิด AWS Landing Zone จะมีเครื่องมือที่เรียกว่า Control Tower ที่จะผนึกเอาความสามารถด้าน SSO เอาไว้ด้วย โดยประโยชน์ของ Landing Zone นั้นมีหลายด้าน ดังนี้

1. ช่วยรวมศูนย์การจัดการทรัพยากร โดยท่านสามารถจัดสรรทรัพยากรให้กับหน่วยธุรกิจต่างๆได้
2. ช่วยให้องค์กรสามารถวางแผนงบประมาณและควบคุมค่าใช้จ่ายได้ละเอียดและตรงประเด็น
3. ควบคุมสิทธิ์การเข้าถึงได้อย่างง่ายดายและกำหนดการแบ่งปันทรัพยากรต่างๆได้
4. บังคับใช้มาตรการด้าน Security ให้เป็นไปตามกฏระเบียบขององค์กร

สาเหตุที่ผู้ใช้ AWS ควรเสริมแกร่งด้าน Network Security เพิ่มเติม

แม้ความมั่นคงปลอดภัยจะเป็นสิ่งที่ไม่สามารถละเลยได้ แต่จนถึงปัจจุบันผู้ใช้งาน AWS VPC ท่านยังคงมีตัวเลือกค่อนข้างจำกัดอย่าง L4 Firewall  โดยภายใน VPC ผู้ใช้งานต้องกำหนด Routable, Network ACL (Stateless Firewall), Security Group (Stateful Firewall) แม้สิ่งเหล่านี้จะเป็นพื้นฐานที่พึงมี แต่ก็ยังไม่สามารถปิดช่องว่างได้อย่างสมบูรณ์ เพราะภัยคุกคามในปัจจุบันมีความแยบยล สามารถปะปนมาทางการใช้งานตามปกติได้ ดังนั้นองค์กรควรมองหาการป้องกันที่เจาะจงเข้ามาเสริมความมั่นคงปลอดภัย

L7 Firewall เป็นโซลูชันหนึ่งที่องค์กรรู้จักกันดี ด้วยความสามารถขั้นสูงที่มองเห็นถึงการใช้งานระดับแอปพลิเคชัน โดยในอดีตผู้ให้บริการเหล่านี้มักเริ่มต้นจาก On-premises ตามเรื่องราวของระบบดิจิทัล แต่ในหลายปีที่ผ่านมาผู้ให้บริการเหล่านี้ได้ทำโซลูชันของตนสามารถโยกย้ายได้ง่ายขึ้นในระดับ IaaS หรือ Virtual Firewall (ในรูปแบบVM) แต่ Fortinet ได้ยกระดับความสามารถของพวกเขาไปอีกขั้นแล้ว ด้วยสิ่งที่เรียกว่า FortiGate CNF (Cloud native Firewall)

คุณสมบัติของ FortiGate CNF ที่มาพร้อมกับฟีเจอร์ครบครัน

หลายท่านอาจจะคุ้นเคยการใช้งาน FortiGate ในรูปแบบของ VM ซึ่งด้วยระดับบริการที่เป็น Infrastructure as a Service (IaaS) นั่นทำให้ผู้ใช้งานยังติดพันกับการบริการทรัพยากร IaaS เช่น CPU, Memory, Disk และการขยายตัวเพิ่มขนาดต้องมี Downtime ที่ในบางธุรกิจอาจไม่สามารถยอมรับได้ นำไปสู่การจัดตั้งรูปแบบ HA ที่ผู้ใช้งาน IaaS ต้องวางแผนออกแบบระบบเหล่านี้เองทั้งหมด ทั้งยังมีขั้นตอนที่ยุ่งยากในการจัดการ

FortiGate CNF คือประสบการณ์ใหม่ของผู้ใช้งาน AWS ที่จะพลิกโฉมการใช้งานให้สูงขึ้น (เสมือนว่าเป็น PaaS) โดยปลดเปลื้องภาระในการดูแลจัดการ Infrastructure ออกไป ทั้งนี้ FortiGate CNF พร้อมสำหรับการขยายตัวรองรับการใช้งานได้อย่างอัตโนมัติ (Auto Scaling) ไม่มี Downtime โดยทีมงาน Fortinet จะดูแลจัดการทรัพยากร, แพตช์, ระบบ HA, Load Balance และจัดการคุยกับระบบของ AWS ผ่าน API ให้เอง ทำให้ผู้ใช้งาน FortiGate CNF ลดภาระการจัดการได้ลงอย่างมาก

ประสบการณ์แบบ Cloud Native Firewall รองรับการเชื่อมต่อกับ Network VPC จาก AWS Account ต่างๆได้ในหน้า Console เดียวไม่ต้องรีโมตเข้าไปจัดการในแต่ละ Subnet เองอีกด้วย โดยในมุมของค่าใช้จ่ายจะมีการคิดค่าบริการตามปริมาณของข้อมูลที่ใช้จริง แทนการจัดตั้ง EC2 และทรัพยากรที่เกี่ยวข้อง โดย FortiGate CNF มาพร้อมกับข้อเสนอในความแข็งแกร่งเฉกเช่นเดียวกับซอฟต์แวร์ FortiGate ในแพลตฟอร์มที่ท่านรู้จัก ด้วยฟีเจอร์ที่ครบครัน ดังนี้

1. IPS – โซลูชันต่อต้านการโจมตีที่องค์กรต้องมีเพื่อช่วยป้องกันเทคนิคการโจมตีจากผู้ไม่หวังดี
2. Antivirus – ระบบต่อต้านมัลแวร์ที่ช่วยคัดกรองข้อมูลที่สุ่มเสี่ยงที่ผ่านเข้ามาใน FortiGate ซึ่งเป็นปราการสำคัญอีกจุดหนึ่งในระดับเครือข่าย
3. Cloud Access Security Broker (CASB) – ปกป้องการใช้งาน SaaS ขององค์กร เช่น Dropbox, Zoom, Google Drive, GitHub และอื่นๆ เพื่อจำกัดการเข้าถึงใช้งานบริการตาม Policy ขององค์กร
4. Application Control – FortiGate ช่วยให้ท่านมองเห็นข้อมูลที่ไหลผ่านในระดับแอปพลิเคชัน เพื่อให้ผู้ดูแลสามารถจัดการการใช้งานในองค์กรได้ เช่น Facebook, LINE, File Transfer และอื่นๆ
5. Domain Filter – ฟีเจอร์ที่ช่วยให้ผู้ดูแลสามารถบล็อกการเข้าถึงโดเมนที่ไม่พึงประสงค์หรือที่สุ่มเสี่ยงได้ เช่น เว็บไซต์อนาจาร เป็นต้น
6. URL Filtering – ตัวช่วยในการบล็อก URL ที่เจาะลึกมากกว่าตัวโดเมน เช่น อาจจะอนุญาตให้เข้าถึงโดเมนนั้น แต่จำกัดบางส่วนของโดเมนนั้นเอาไว้
7. FortiGuard Labs – Threat Intelligent ทรงพลังจาก Fortinet ซึ่งรวบรวมข่าวสารและข้อมูลจากภัยคุกคามทั่วโลก เพื่ออัปเดตการป้องกันในโซลูชันของ Fortinet ให้ล่าสุดเสมอ
8. Integration – สามารถเชื่อมต่อกับโซลูชันอื่นจาก FortiGate ได้ เช่น FortiManager, FortiAnalyzer, FortiSandbox และอื่นๆ 

ตอบโจทย์ได้ทุกการออกแบบ North – South และ East – West

FortiGate CNF สามารถตอบโจทย์การใช้งานได้ในหลายการออกแบบไม่ว่าจะเป็นทราฟฟิคขาเข้า (Ingress) ขาออก (Ergress) การทำงานระหว่างเครือข่ายภายใน (East-West) การทำงานของทราฟฟิคจากภายนอก (North-South) ซึ่งจากการสาธิตผู้บรรยายได้แสดงให้เห็นการใช้งานที่ทำได้ในไม่กี่ขั้นตอน ตั้งแต่การจัดการ Routing และการตั้งค่าภายใน FortiGate Console

FortiGate CNF สามารถรองรับการทำงานได้จากหลาย VPC, AZ หรือ Subnet ของ VPC ไปจนถึงการปกป้องข้อมูลในระดับ Kubernetes Workload ตลอดจนการออกแบบ HA ที่รองรับได้ทั้ง Active – Active หรือ Active – Passive อีกด้วย

จะเห็นได้ว่าเนื้อหาที่กล่าวมาจะพูดถึงเครื่องมือที่ AWS มีให้สำหรับการจัดการ Policy ในระดับ AWS Account และการเติมเต็มช่องว่างด้วย FortiGate CNF ที่ถูกออกแบบมาให้ทำงานได้บน AWS ได้อย่างไร้รอยต่อ ลดภาระในการบริหารจัดการ อย่างไรก็ตามในเนื้อหาหลายส่วนก็ต้องอาศัยการออกแบบ ให้สอดคล้องกับการทำงานขององค์กร ซึ่งเป็นส่วนที่ต้องใช้ประสบการณ์ในการทำงานทั้งตัวของ AWS Best Practices และ Security ร่วมกัน

หากท่านใดสนใจโซลูชันจาก AWS และ Fortinet สามารถติดต่อ eCloudValley เพื่อรับคำปรึกษาแนะนำในการออกแบบโซลูชันได้ที่

👉 https://forms.office.com/r/U66j8LeQKW
☎️ โทร: 02-255-5564-5
✉️ Email: info.th@ecloudvalley.com