#takenote
Bí kíp triển khai hệ thống bảo mật hiệu quả trên Azure, nhằm đảm bảo tối ưu vận hành và ngăn chặn thất thoát chi phí.
1. Azure Multi-Factor Authentication (MFA)
2. Azure Security Defaults
3. Conditional Access
4. Azure Policy
5. Azure Blueprints
6. Role-based Access Control (RBAC)
7. Resource Locks
8. Azure Cost Management
9. Resource Groups + Tags
10. Budget Alert
11. Sign-in logs
1. Azure Multi-Factor Authentication (MFA)
Ngoài việc sử dụng mật khẩu, dịch vụ MFA (Xác thực đa yếu tố) là hình thức yêu cầu nhận dạng nhiều bước để bổ sung thêm tầng bảo vệ cho quy trình đăng nhập. Trong trường hợp mật khẩu bị rò rỉ, dịch vụ ngay lập tức hỗ trợ người dùng ngăn chặn đăng nhập trái phép.
Để kích hoạt MFA, doanh nghiệp có thể áp dụng một trong hai cách sau:
- Security Default giúp kích hoạt MFA nhanh chóng cho toàn bộ người dùng Azure AD tenant.
- Conditional Access hỗ trợ kiểm soát MFA chi tiết và linh hoạt hơn.
2. Azure Security Defaults
Đây là hình thức bảo mật cơ bản không cần trả thêm phí dành cho tất cả các doanh nghiệp đăng ký dịch vụ Microsoft. Để cài đặt, người dùng có thể thao tác dễ dàng với 2 bước: “Enable” và “Save”.
Tính năng sẽ được kích hoạt an toàn, hiệu quả khi người dùng đảm bảo tuân thủ một số yêu cầu nhất định:
- Toàn bộ người dùng trong Tenant bắt buộc phải đăng ký MFA.
- Quản trị viên cần thực hiện xác thực MFA
- Người dùng xác thực MFA trước khi truy cập nếu phát hiện dấu hiệu bất thường (ví dụ như đăng nhập từ vị trí, thiết bị lạ)
- Ngăn chặn hình thức xác thực cũ (máy office 2010, giao thức mail cũ như IMAP…) bằng cách phát hiện và bắt buộc phải đặt lại MFA
3. Conditional Access
Để bảo vệ tài nguyên nội bộ, Conditional Access yêu cầu người dùng đảm bảo đủ điều kiện theo quy định trước khi truy cập vào hệ thống. Tại đây, quản trị viên có quyền tuỳ chỉnh các chính sách và điều kiện của dịch vụ. Sau đó, Azure Active Directory sẽ kết hợp với các tín hiệu từ nhiều nguồn để đưa ra quyết định và thực thi chính sách được tổ chức ban hành trước đó.
Conditional Access được nhiều doanh nghiệp lựa chọn nhờ khả năng trao quyền cho người dùng làm việc hiệu quả mọi lúc, mọi nơi; đồng thời bảo vệ tài sản của tổ chức. Để thực hiện tốt nhiệm vụ này, dịch vụ cũng yêu cầu một số điều cơ bản như:
Yêu cầu người dùng đăng ký MFA trước khi truy cập hệ thống.
Giới hạn khu vực truy cập dựa theo IP hoặc quốc gia.
4. Azure Policy
Azure Policy là dịch vụ giúp thực thi các tiêu chuẩn của doanh nghiệp và đánh giá sự tuân thủ chính sách trên quy mô lớn. Khi sử dụng Azure Policy, quản trị viên có quyền quy định chính sách áp dụng cho các tài nguyên; hoặc tuỳ chỉnh từ chính sách có sẵn của Microsoft sao cho phù hợp với tài nguyên doanh nghiệp.
Ngoài ra, dịch vụ hỗ trợ doanh nghiệp đánh giá, xác định vi phạm và yêu cầu tuân thủ các chính sách được quy định trên Azure. Điều này giúp đảm bảo khả năng quản trị và tính nhất quán đối với tài nguyên.
Cùng điểm qua một số quy định cơ bản của dịch vụ Azure Policy: chỉ cho phép tạo Virtual Machines với SKUs trong danh sách SKUs quy định; không được tạo các inbound rule với port 22 hoặc 3389 trong Network Security Groups,…
5. Azure Blueprints
Azure Blueprints có chức năng tương tự Azure Policy nhưng ở phạm vị rộng hơn. Cụ thể, một Blueprints có thể chứa nhiều Azure policy.
Azure Blueprints cho phép quản trị viên đặt ra các quy định dựa trên thiết kế của dự án. Theo đó, người dùng cần tuân thủ chặt chẽ các quy định này khi sử dụng các dịch vụ Azure.
Để có sự lựa chọn phù hợp, doanh nghiệp có thể tham khảo các tính năng, quy định của Azure Blueprints: tạo các resource group tương ứng với từng dự án, yêu cầu các tài nguyên trong đó cần đánh tags, chọn region theo quy định, …
6. Role-based Access Control (RBAC)
Quản lý quyền truy cập tài nguyên trên Cloud là chức năng rất quan trọng với tất cả doanh nghiệp đang sử dụng Azure. RBAC cung cấp khả năng quản lý quyền truy cập và chỉ định vai trò của người dùng với các tài nguyên trên Azure.
7. Resource Locks
Locks giúp quản trị viên khóa nhóm tài nguyên hoặc tài nguyên trên Azure để ngăn chặn việc xoá hoặc sửa đổi không mong muốn. Khóa ghi đè mọi quyền của người dùng.
Resource Locks hiện cung cấp cho người dùng hai loại khoá:
- CanNotDelete: người dùng có thể xem và cấu hình lại tài nguyên nhưng không thể xóa tài nguyên đó.
- ReadOnly: người dùng không thể cấu hình lại tài nguyên, chỉ có thể nhìn được tài nguyên đó.
Locks được quản lý ở các tầng subscription, resource group hoặc các tài nguyên riêng lẻ. Ngoài ra, Locks sẽ có tính kế thừa, ví dụ khi tạo khóa ở 1 resource group, toàn bộ tài nguyên bên trong group cũng bị ảnh hưởng bởi khóa đó.
8. Azure Cost Management
Nếu cần quản lý chi phí chi tiết trên cùng 1 màn hình khi sử dụng tài nguyên trên Azure, dịch vụ Azure Cost Management chính là ưu tiên hàng đầu cho doanh nghiệp.
Tìm hiểu ngay các lợi ích tiêu biểu của dịch vụ:
- Theo dõi chi tiêu trên Cloud: Theo dõi việc sử dụng tài nguyên và quản lý chi phí Cloud hiệu quả trên một chế độ xem thống nhất với thông tin chi tiết về các hoạt động.
- Nâng cao trách nhiệm giải trình của tổ chức: Quản lí chi phí Cloud hiệu quả khi triển khai các chính sách quản trị và tăng trách nhiệm giải trình với “Budget”.
- Tối ưu hóa hiệu quả khi sử dụng Cloud: Với khả năng theo dõi chi tiết về chi phí sử dụng và kết hợp với “Best Pratices” trong việc tối ưu hóa chi phí, người dùng có thể tiết kiệm khoản đầu tư khi sử dụng Cloud.
- Quản lý chi tiêu Azure và AWS: Ngoài Azure, người dùng có thể tích hợp quản lý chi phí của AWS và nhận thông tin chi tiết về dữ liệu của hai nhà cung cấp Cloud từ một nơi duy nhất, giúp đơn giản hóa quy trình quản lý chi phí.
9. Resource Groups + Tags
Để hỗ trợ quản lý các tài nguyên và chi phí trên Azure, người dùng nên sử dụng Resource Groups và gắn tags cho các tài nguyên 1 cách hiệu quả.
Resource Groups cung cấp tính năng phân chia tài nguyên theo từng Group giúp việc quản lý thuận tiện, dễ dàng hơn (ví dụ như chia tài nguyên theo phòng ban, dự án, môi trường,…). Khi đó, quản trị viên có thể phân quyền đúng theo nhiệm vụ, trách nhiệm của người dùng giúp việc quản lý hệ thống rõ ràng; đồng thời ngăn chặn sự xâm nhập đối với các nhóm tài nguyên khác. Ngoài ra, doanh nghiệp dễ dàng quản lý, tối ưu hoá chi phí khi phân tích theo Resource Group.
Bên cạnh đó, việc gắn Tags cho các tài nguyên cũng giúp tổ chức xác định các thông tin chi tiết như: danh tính, bộ phân trực thuộc của người tạo tài nguyên, bộ phận chịu trách nhiệm trả phí, mức độ quan trọng của tài nguyên, …
10. Budget Alert
Dịch vụ Budget Alert thông báo cho người dùng khi mức sử dụng hoặc chi phí vượt quá ngân sách ban đầu.
Dựa vào bản chi phí ước tính, người dùng đặt Budget cho hệ thống và nhận được email thông báo mỗi khi chi phí vượt ngưỡng 50%, 75%, 100%, 110%. Qua đó, việc theo dõi chi phí sẽ thuận tiện và an toàn hơn.
11. Sign-in logs
Dịch vụ Sign-in logs thường chỉ được sử dụng để theo dõi log khi có vấn đề xảy ra. Tuy nhiên, doanh nghiệp nên thường xuyên theo dõi hoạt động trên Sign-in logs để phát hiện vấn đề bất thường và có hướng xử lý kịp thời.
Giao diện của Sign-in logs cung cấp đầy đủ các thông tin về đăng nhập như: thời điểm, portal/ application, đăng nhập có thành công không, IP vị trí người dùng và theo dõi việc sử dụng MFA.
Về cách thức hoạt động, nếu người dùng đăng nhập từ nơi ngoài tổ chức nhiều lần và không thành công thì hệ thống xác định đó là trường hợp bất thường và cần xử lý.
Comments are closed.