เทสพอร์ตที่เปิดไว้แล้วอย่าง RDP กับทูลดีๆ อย่าง Network Watcher ดีกว่าเธอว์ ชาวเน็ตเวิร์กล้วนใช้การ Ping/Tracert ผ่านโปรโตคอล ICMP ในการแก้ปัญหาการเชื่อมต่อตั้งแต่สมัยพระเจ้าเหา ที่ท่องกันมา (ตั้งแต่สอบ TSHOOT ใน CCNP) ไล่ตั้งเลเยอร์แรกของ OSI Model ว่าถ้าติดต่อปลายทาง เข่น ออกเน็ตไม่ได้ ให้เช็คอุปกรณ์กายภาพ เช่นสายแลนเสียบแน่นไหม สวิตช์หรือเราเตอร์ร้อน ควรปิดพักแล้วเปิดใหม่ไหมก่อน (เรื่องจริง! 55+ คือถ้าว่าใช้งานอยู่ดีๆ ไม่มีใครไปเปลี่ยนการตั้งค่าอะไร)

ใน endpoint.microsoft.com คลิกตรงไหนก็มีแต่หน้าเซ็ตโพลิซี ไม่เห็นมีปุ่มหรือวิธีบอกเลย?!? มือใหม่อย่างเราก็อยากทดลองอะไรตื่นเต้น เช่น ตั้ง Configuration Profile บังคับ Device Restrictions ให้ตั้ง Personalization บังคับให้เครื่องในออฟฟิศขึ้นวินโดวส์แบ๊กกราวด์เป็นหน้าสวยๆ ของเราเจ้าของบริษัทที่อุตส่าห์ลงทุนอัพขึ้นไปเก็บบน Azure Storage Blob Container ให้ได้คอนเซ็ปต์คอมพานีแบรดดิ้งบ้างอะไรบ้าง

ย้ำก่อนว่า ที่มาของ Zero Trust มาจากความต้องการทำงานได้ทุกที่ ทำแบบไฮบริด ไม่อยากโดนจำกัดอยู่แค่หลังไฟร์วอลล์อีก เป้าหมายของ Zero Trust จึงเป็นการทำให้ได้ประสิทธิภาพในการทำงานมากที่สุด มีอิสระในการเข้าถึงโดยไม่ต้องแลกกับความปลอดภัย หรือมองกลับกัน การที่อยากตรวจความถูกต้องทุกการสื่อสาร “ลามไปถึง” การจำกัดสิทธิ์ใช้งาน (สิทธิ์และเวลาเข้าถึง) และการรวบรวม/ตรวจจับ/ตอบสนองต่ออันตรายที่ครอบคลุมทุกทรัพยากรเสมือนนึกว่ามีแฮ็กเกอร์อยู่ทุกซอกทุกมุมนั้น ก็ต้องไม่แลกกับประสิทธิภาพการทำงาน

เมื่อแรนซั่มแวร์ กันได้ด้วยการแบ๊กอัพที่ดี แบ๊กอัพที่ดีควรเก็บไว้ข้างนอก >> บนคลาวด์? กลยุทธ์สำคัญของการป้องกันการโดนล็อกไฟล์ไปเรียกค่าไถ่จนธุรกิจหยุดชะงักก็คือ การสำรองข้อมูล/ระบบ (Backup) ถ้าว่าตามหลักการทรีทูวันเล็ตส์โก! ที่ควรเก็บไว้อย่างน้อย 3 สำเนา 2 ที่ โดยมี 1 ที่ที่อยู่นอกองค์กร ซึ่งความเก็บนอกองค์กรยุคนี้คงไม่มีที่ไหนสะดวกเท่าบนคลาวด์ใช่ไหมเอ่ย และถึงไม่ได้ให้ความสำคัญกับการกู้คืนระบบจากวิกฤติ (Disaster Recovery) การแบ๊กอัพก็มีประโยชน์ต่อประสิทธิภาพการทำงาน (Productivity) ด้วย เช่น การดึงเวอร์ชั่นก่อนหน้าการเปลี่ยนแปลงกลับมาดูหรือกู้คืนมาแทนที่ได้ โดยเฉพาะบนคลาวด์ OneDrive ที่คลิกขวาที่ไฟล์เลือก Version History ที่จะโรลแบ๊กกลับได้สะดวกมาก โดยเฉพาะกรณีที่มีใครไปแก้ไฟล์ผิด หรือต้องการใช้อ้างอิงตามกฎหมาย หรือกู้ไฟล์ที่อดีตลูกน้องตัวแสบทำมิดีมิร้าย…

คือเราก็โตมาจากช่วงที่ต้องมีอุปกรณ์ชื่อว่าไฟร์วอลล์ หรือเกตเวย์ เราเตอร์ที่ทำวีพีเอ็น ทำ IPsec แบบ Site-to-Site ข้ามสาขาผ่านเน็ต หรืออยากเป็นส่วนตัวกว่านั้นก็เช่าลีสต์ไลน์ มีความเป็นเฟรมรีเลย์เบาๆ แบบยอมอืดช้าเป็นเต่าแต่ได้ (ความเชื่อ) ว่าปลอดภัย ขยับขึ้นมาอีกนิดอาจจะมาใช้เป็น MPLS อะไรแบบนี้ แบบพยายามกั้นบริเวณสร้าง “พื้นที่ส่วนตัว” ถ้าใครจะทำงานนอกสถานที่ เขื่อมต่อเข้ามาผ่านเน็ตก็ต้องเอาวีพีเอ็นไปครอบ เข้ารหัสข้อมูลครอบเป็นท่อจำลองแบบพอยต์แต่ละพอยต์ยิงไปที่ไซต์สำนักงาน ที่ต้องใช้ทรัพยากรประมวลผลในการเข้ารหัสถอดรหัสทั้งเครื่องคอมพ์ไคลเอนต์แต่ละคน ไปจนถึงเราเตอร์หรือไฟร์วอลล์ที่รับเชื่อมต่อเข้ามาที่ต้องถอดรหัสข้อมูลมหาศาล ทั้งเปลืองเงินเปลืองเวลา…

เนื้อหาส่วนนี้จะเกี่ยวกับการแบ่งความรับผิดชอบระหว่างผู้ให้บริการ(Microsoft) กับเรา(ผู้ใช้บริการ) Cloud ใครจะมีหน้าที่รับผิดชอบพื้นที่ส่วนไหนของ security โดยจะแบ่งตามลักษณะของบริการเป็น 4 แบบ ตามรูปด้านล่างนี้ ซึ่งจะเห็นได้ว่าจะแบ่งเป็น 3 ส่วน 1. ส่วนที่เราต้องรับผิดชอบเอง ไม่ว่าจะเป็นบริการแบบไหนก็อยู่ในความรับผิดชอบของเรา พวกที่เป็น Account, อุปกรณ์ที่ใช้ และ ข้อมูล 2. …

ประเดิมบล็อกแรกตามประสาแฟนคลับชาว Passwordless สมองปลาทอง จำรหัสตัวใหญ่ตัวเล็กตัวเลขตัวพิสดารกันไม่ได้ อยากกดผ่านแอพ Authenticator ทีเดียวเข้าได้เลยง่ายๆ แถมปลอดภัยไม่ต้องกลัวรหัสหลุดด้วย ได้ฟีล Multi-Factor (MFA) จากสิ่งที่คุณมี (มือถือตัวเองไง) และสิ่งที่คุณเป็น (สแกนลายนิ้วหรือใบหน้า) ครั้งนี้เป็นวิธีสำหรับไอดีไมโครซอฟท์ส่วนตัว เช่น บัญชีฮอตเมลตัวเอง (แต่จริงๆ สำหรับไอดีองค์กรอย่าง M365 ก็เซตผ่านหน้าหลักบัญชีส่วนตัวคล้ายๆ กันนี้เหมือนกัน) ดูตามภาพไปได้เล้ย: