[Guest Post] Microsoft Azure Security & Privacy

สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับเรื่องราวของ Security และ Privacy ใน Microsoft Azure กันครับ โดยสืบเนื่องจากช่วงเวลาที่ผ่านมาได้มี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ออกมาและมีผลบังคับใช้แล้วเมื่อวันที่ 28 พฤษภาคม ที่ผ่านมา นอกจาก พ.ร.บ. ดังกล่าวนี้แล้วยังมีอีก พ.ร.บ. หนึ่งเรียกว่า “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ซึ่งจะมีผลบังคับใช้ในเดือน พฤษภาคม พ.ศ. 2563 โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ดังกล่าวนี้จะช่วยคุ้มครองข้อมูลส่วนตัวของเราอย่างเหมาะสมและให้มีความปลอดภัยมากขึ้น และยังมุ่งเน้นไปที่องค์กร, หน่วยงาน, หรือนิติบุคคลให้มีมาตราฐานในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมและมีความปลอดภัยเพียงพอเมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล

สำหรับในต่างประเทศนั้น ทางสหภาพยุโรป (European Union หรือ EU) ได้ออกกฏหมายที่เรียกว่า “General Data Protection Regulation” หรือเรียกสั้นๆ ว่า “GDPR” ซึ่งเป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีผลบังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ที่ผ่านมา ซึ่งบังคับใช้กับประเทศต่างๆ ที่เป็นสมาชิกใน EU และในกรณีที่บริษัทหรือองค์กรในประเทศไทยที่มีการติดต่อรับและส่งข้อมูลส่วนบุคคลกับประเทศที่เป็นสมาชิก EU ก็จะต้องมีมาตราการการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและปลอดภัยด้วย เพราะนั่นหมายถึงความน่าเชื่อถือในมาตราการการคุ้มครองข้อมูลส่วนบุคคลขององค์กรในประเทศไทย ที่มีการทำธุรกิจและการค้ากับประเทศเหล่านั้น จึงเป็นประเด็นที่สำคัญที่ทำให้ประเทศไทยต้องมีกฏหมายหรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลออกมาบังคับใช้ เพื่อสร้างความมั่นใจในเรื่องของความปลอดภัยของข้อมูล

รายละเอียดเพิ่มเติมเกี่ยกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สามารถศึกษเพิ่มเติมได้ที่นี่ครับ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

สำหรับ Microsoft Azure นั้นได้เตรียมเซอร์วิสต่างๆ ที่จะช่วยทำให้องค์กรที่ใช้บริการ Microsoft Azure มั่นใจในเรื่องของ Security และ Privacy ของข้อมูลและรองรับกับ General Data Protection Regulation (GDPR) และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่เกริ่นไว้ในช้างต้น ดังนั้นเมื่อองค์กรหรือหน่วยงานใดที่ใช้งาน Microsoft Azure ก็จะต้องทำการวางแผนและดำเนินการจัดเตรียมและสร้างความปลอดภัยสำหรับผู้ใช้งาน, การเข้าถึงข้อมูล, และข้อมูลครับ

เอาล่ะครับ มาดูกันครับว่า Microsoft Azure ได้เตรียมเซอร์วิสและฟีเจอร์ต่างๆ เอาไว้สำหรับให้องค์กรได้ใช้งานเพื่อรองรับกับ General Data Protection Regulation (GDPR) และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลครับ

Azure Policy

เป็นเซอร์วิสที่ทำงานร่วมกับ Azure Resource Manager (ARM) เพื่อช่วยองค์กรในการสร้างและบังคับใช้งาน Policy กับ Resources ต่างๆ (Azure Virtual Machines, Azure Storages, และอื่นๆ) ตัวอย่างเช่น องค์กรสามารถสร้างและบังคับใช้งาน Azure Policy เพื่อจัดการ Resources ต่างๆ เช่น ทำการเข้ารหัส (Encryption) Disks ของ Azure Virtual Machines เพื่อป้องกันข้อมูลรั่วไหลออกจากองค์กร และเป็นไปตามนโยบายหรือข้อกำหนดที่องค์กรได้วางแผนและกำหนดไว้ครับ และสำหรับ Azure Policy ถือว่าส่วนประกอบหนึ่งสำหรับการทำ Governance ใน Microsoft Azure ครับ

Azure Blueprints

เป็นเซอร์วิสที่จะเข้ามาช่วยองค์กรในเรื่องของการออกแบบแผนผัง (Blueprint) เพื่อทำการสร้างกลุ่มของ Resources ต่างๆ (Azure Virtual Machine, Azure Storage, Azure Virtual Network, และอื่นๆ) ใน Microsoft Azure โดยกลุ่มของ Resources ต่างๆ ที่ถูกสร้างขึ้นมานั้นก็จะถูกกำหนดค่าต่างๆ ตามข้อกำหนดหรือความต้องการขององค์กร เช่น ARM Template, Azure Policy, สิทธิในการการเข้าถึง (RBAC), และอื่นๆ โดยอัตโนมัติ ซึ่งทำให้องค์กรมีความมั่นใจว่า Resources ต่างๆ ที่ได้สร้างขึ้นมานั้นไปเป็นตามมาตราฐานและนโยบายที่องค์กรกำหนดไว้ และสามารถนำเอา Blueprints ที่ได้ทำการออกแบบเรียบร้อย มาทำการรียูสใช้งานเพื่อทำการสร้างกลุ่มของ Resources ต่างๆ ในโอกาสต่อไปครับ

ผมขออนุญาตยกตัวอย่าง การสร้าง Azure Blueprints ใน Microsoft Azure ให้ทุกท่านได้ดูกันครับ โดยเริ่มจาก Azure Portal ทำการ Search หา Azure Blueprints เมื่อพบแล้วให้ทำการคลิ๊กเลยครับ ก็จะปรากฎหน้าตาดังรูปด้านล่างครับ

จากนั้นให้คลิ๊กที่ Create ครับ ก็จะเข้าสู่ขั้นตอนต่อมาคือการสร้าง Azure Blueprints ดังรูปด้านล่างครับ

และโดยดีฟลอต์ทาง Microsoft ได้เตรียมตัวอย่างของ Blueprints มาให้ทดลองใช้งานเยอะเลยครับ เช่น Blueprints ที่เกี่ยวกับมาตราฐานต่างๆ หรือจะสร้างขึ้นมาใหม่เองก็ได้ครับ ดังรูปด้านล่าง

ผมลองทำการเลือก Blueprint ซักหนึ่งอัน โดยทำการคลิ๊กจากตัวอย่างข้างต้นครับ ก็จะเข้าสู่หน้าจอ ดังรูปด้านล่างครับ

โดยเราสามารถทำการกำหนดได้ว่า Blueprint ดังกล่าวจะนำไปใช้งานกับ Management Group และ Subscription ใดครับ รวมถึงกำหนดค่าต่างๆ เช่น Azure Policy, RBAC, Resource Group, และอื่นๆ ดังรูปครับ

และเมื่อกำหนดทุกอย่างเสร็จเรียบร้อยแล้วก็ทำการ Save และจากนั้นก็จะทำการ Publish Blueprint ดังกล่าวต่อไปครับ

หลังจากนั้น ถ้าในเวลาต่อมาองค์กรมีความต้องการที่จะสร้างกลุ่มของ Resources ต่างๆ ให้ไปเป็นตามสิ่งที่ได้ทำการออกแบบและกำหนดค่าต่างๆ ใน Blueprint ก็สามารถดำเนินการได้ครับ โดยในส่วน Resources ต่างๆ ที่สร้างขึ้นมานั้นก็จะเป็นไปที่ได้ออกแบบไว้และเป็นไปตามความต้องการขององค์กรครับ ซึ่งจากขั้นตอนข้างต้นเป็นเพียงแค่ตัวอย่างของ Azure Blueprints ที่ผมอยากให้ทุกท่านเห็นภาพและเข้าใจว่า Azure Blueprints มีบทบาทหรือหน้าที่อะไร และจะเข้ามาช่วยองค์กรต่างๆ ที่ใช้งาน Microsoft Azure ได้อย่างไรครับ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับ Azure Blueprints นั้น สามารถศึกษาเพิ่มเติมได้ท้ายบทความครับ ดังนั้น Azure Blueprints นั้นถือเป็นส่วนหนึ่งของ Azure Governance เช่นเดียวกันกับ Azure Policy ครับ

Compliance Manager

เป็นเครื่องมือที่ถูกออกแบบมาเพื่อช่วยองค์กรในการติดตาม (Track) สถานะของขององค์กรที่ใช้งาน Microsoft Cloud Services เช่น Office 365, Microsoft Azure, และ Dynamic 365 ว่าที่ผ่านมาการใช้งานเซอร์วิสต่างๆ เป็นไปตามกฏข้อบังคับ (Regulations) หรือมาตราฐาน (Standards) เช่น GDPR หรือไม่ โดยองค์กรจะเห็นข้อมูลเกี่ยวกับความเสี่ยงที่ทาง Compliance Manager ได้ทำการประเมิน (Assessments) รวมถึงคำแนะนำ (Recommendation) ที่องค์กรสามารถนำไปปรับปรุงเพื่อทำให้เซอร์วิสต่างๆ ที่ใช้งานใน Microsoft Cloud Services เป็นไปตามกฏข้อบังคับหรือมาตราฐานต่างๆ ผ่านทาง Dashboard View ของ Compliance Manager

Azure Active Directory (Azure AD)

เป็นเซอร์วิสที่มีความสำคัญมากที่สุดตัวหนึ่งสำหรับการใช้งาน Microsoft Azure โดย Azure Active Directory (Azure AD) มีหน้าที่ในการบริหารและจัดการในเรื่องของ Identity (Identity Management) ต่างๆ ของผู้ใช้งาน และทำการตรวจสอบ (Authenticate) ผู้ใช้งานก่อนที่จะเข้าถึง Resources, ข้อมูลและแอพพิเคชั่นต่างๆ ใน Microsoft Azure

ในอันที่จริงแล้ว Azure Active Directory (Azure AD) ยังมีฟีเจอร์ต่างๆ อีกเยอะแยะมากมายครับ แต่มีฟีเจอร์หนึ่งที่เข้ามาช่วยเสริมในเรื่องของความปลอดภัย ฟีเจอร์นี้มีชื่อว่า “Multi-Factor Authentication (MFA)” ซึ่งจะช่วยทำการให้กระบวนการตรวจสอบผู้ใช้งาน (Authentication) มีความแข็งแรงและปลอดภัยมากขึ้นกว่าเดิมที่ใช้เพียงแค่ Username และ Password ครับ

ฟีเจอร์ต่อมาใน Azure Active Directory (Azure AD) ที่จะเข้ามาช่วยในเรื่องของความปลอดภัย คือ “Azure AD Privileged Identity Management (PIM)” จะเป็นฟีเจอร์ที่จะมาช่วยองค์กรในการจัดการ, ควบคุม, และรายงานการเข้าถึง Resources ต่างๆ ของผู้ใช้งาน และมีความสามารถหนึ่งของ PIM ที่เรียกว่า “Just-In-Time Administration” ทำให้องค์กรสามารถทำการกำหนดสิทธิในการเข้าถึงข้อมูลให้กับผู้ใช้งาน แบบ On-Demand ได้ ทำให้เกิดความปลอดภัยมากขึ้นในการกำหนดสิทธการเข้าถึงข้อมูลให้กับผู้ใช้งาน เมื่อถึงเวลาที่ต้องการเท่านั้น

Role-Based Access Control (RBAC)

เป็นฟีเจอร์ที่จะมาช่วยในเรื่องของการกำหนดสิทธิสำหรับผู้ใช้งานในการเข้าถึง Resources และข้อมูลต่างๆ ใน Microsoft Azure โดยดีฟอลต์ Microsoft Azure ได้เตรียม Built-In Roles ของ RBAC มาให้หลาย Roles ซึ่งสามารถนำไปประยุกต์ใช้งานได้เลยหรือจะทำการสร้างและกำหนด Roles เองตามความต้องการขององค์กรก็สามารถทำได้ครับ และสำหรับ Role-Based Access Control (RBAC) ก็เป็นส่วนหนึ่งในเรื่องของ Azure Governance เช่นเดียวกับ Azure Blueprints และ Azure Policy ครับ

Azure Information Protection (AIP)

เป็นเซอร์วิสที่จะมาช่วยในการป้องกัน (Protect) เอกสาร (Documents) และ อีเมล์ (Emails) โดยใช้การกำหนดประเภทหรือกลุ่มของข้อมูล (Classification) ในองค์กร เช่น Confidential, Official, Public, เป็นต้น และ Labeling จะเป็นการนำเอา Classification ที่กำหนดมาใช้งานกับข้อมูล

Azure Data Encryption

สำหรับในเรื่องของการเข้ารหัสข้อมูลใน Microsoft Azure นั้นมีหลากหลายรูปแบบให้เลือกใช้ตามความต้องการขององค์กร เช่น การเข้ารหัส Disks (OS และ Data Disks) ใน Azure Virtual Machine โดยใช้ฟีเจอร์ที่ชื่อว่า “Azure Disk Encryption” ซึ่งรองรับ Azure Virtual Machines ทั้ง Windows และ Linux ครับ

สำหรับข้อมูลต่างๆ ที่จัดเก็บอยู่ใน Azure Storage โดยดีฟอลต์ก็จะมีการเข้ารหัส (Encryption) ข้อมูลที่เก็บอยู่ใน Azure Storage ครับ

Azure Key Vault

เป็นเซอร์วิสที่ทำการป้องกัน (Protect) Encryption Keys, Certificates, และ Passwords ที่มาใช้ในการเข้ารหัสเพื่อปกป้องข้อมูล เช่น Disks ของ Azure Virtual Machines (Azure VMs), ข้อมูลที่เก็บอยู่ใน Azure Storage, และอื่นๆ โดย Encryption Keys, Certificates และ Passwords ดังกล่าวจะถูกเก็บอยู่ใน Azure Key Vault ซึ่งถูกป้องกันโดย Hardware Security Modules (HSMs)

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรื่องราวของ General Data Protection Regulation (GDPR) และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้นและอื่นๆ เช่น เอกสารข้อมูล, Azure Blueprints (ที่ได้อธิบายไว้ในตอนต้น), และอื่นๆ สามารถเข้าไปที่นี่ได้เลยครับ ” Microsoft Azure Blueprint for Data protection

ประวัติผู้เขียน

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

IP Fabric เปิดตัวอัปเดต 7.0 เพิ่มความมั่นคงปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับระบบมัลติคลาวด์

สตาร์ทอัพด้านการตรวจรับรองเครือข่ายโดยอัตโนมัติ IP Fabric ประกาศเปิดตัว IP Fabric Version 7.0 ซึ่งเป็นเวอร์ชันใหม่ของแพลตฟอร์มที่ออกแบบมาเพื่อช่วยให้องค์กรปฏิบัติตามข้อกำหนดด้านกฎระเบียบและมาตรฐาน ความมั่นคงปลอดภัยได้ง่ายยิ่งขึ้น พร้อมเสริมความยืดหยุ่นในการดำเนินงานสำหรับบริการดิจิทัลที่สำคัญในสภาพแวดล้อมมัลติคลาวด์

ขอเชิญร่วมงาน “ยกระดับการวิเคราะห์ข้อมูลเซ็นเซอร์ด้วย Low-Code สู่โซลูชัน AI ที่ขับเคลื่อนธุรกิจ” [28 กุมภาพันธ์ 68 | 8:30-13:00] ณ ศูนย์ประชุมอุทยานวิทยาศาสตร์ประเทศไทย (สวทช.)

บริษัท Ascendas Systems ตัวแทนจำหน่ายและให้บริการโปรแกรม MATLAB® และ Simulink® ในประเทศไทย  มีความยินดีอย่างยิ่งที่จะเรียนเชิญท่านเข้าร่วมสัมมนาฟรีในหัวข้อ“ยกระดับการวิเคราะห์ข้อมูลเซ็นเซอร์ด้วย Low-Code สู่โซลูชัน AI ที่ขับเคลื่อนธุรกิจ” เพื่อเปิดประสบการณ์ใหม่และแนวทางปฏิบัติในการพัฒนาโซลูชัน Predictive …