Infra Hub: Sysadmin, Cloud & DevOps

1. Azure Multi-Factor Authentication (MFA)  

2. Azure Security Defaults  

3. Conditional Access  

4. Azure Policy  

5. Azure Blueprints  

6. Role-based Access Control (RBAC)  

7. Resource Locks  

8. Azure Cost Management  

9. Resource Groups + Tags  

10. Budget Alert  

11. Sign-in logs  

Ngoài việc sử dụng mật khẩu, dịch vụ MFA (Xác thực đa yếu tố) là hình thức yêu cầu nhận dạng nhiều bước để bổ sung thêm tầng bảo vệ cho quy trình đăng nhập. Trong trường hợp mật khẩu bị rò rỉ, dịch vụ ngay lập tức hỗ trợ người dùng ngăn chặn đăng nhập trái phép.  

Để kích hoạt MFA, doanh nghiệp có thể áp dụng một trong hai cách sau: 

 

Đây là hình thức bảo mật cơ bản không cần trả thêm phí dành cho tất cả các doanh nghiệp đăng ký dịch vụ Microsoft. Để cài đặt, người dùng có thể thao tác dễ dàng với 2 bước: “Enable” và “Save”.  

Tính năng sẽ được kích hoạt an toàn, hiệu quả khi người dùng đảm bảo tuân thủ một số yêu cầu nhất định: 

 

Để bảo vệ tài nguyên nội bộ, Conditional Access yêu cầu người dùng đảm bảo đủ điều kiện theo quy định trước khi truy cập vào hệ thống. Tại đây, quản trị viên có quyền tuỳ chỉnh các chính sách và điều kiện của dịch vụ. Sau đó, Azure Active Directory sẽ kết hợp với các tín hiệu từ nhiều nguồn để đưa ra quyết định và thực thi chính sách được tổ chức ban hành trước đó.  

Conditional Access được nhiều doanh nghiệp lựa chọn nhờ khả năng trao quyền cho người dùng làm việc hiệu quả mọi lúc, mọi nơi; đồng thời bảo vệ tài sản của tổ chức. Để thực hiện tốt nhiệm vụ này, dịch vụ cũng yêu cầu một số điều cơ bản như:  

Yêu cầu người dùng đăng ký MFA trước khi truy cập hệ thống.  

Giới hạn khu vực truy cập dựa theo IP hoặc quốc gia.  

 

Azure Policy là dịch vụ giúp thực thi các tiêu chuẩn của doanh nghiệp và đánh giá sự tuân thủ chính sách trên quy mô lớn.  Khi sử dụng Azure Policy, quản trị viên có quyền quy định chính sách áp dụng cho các tài nguyên; hoặc tuỳ chỉnh từ chính sách có sẵn của Microsoft sao cho phù hợp với tài nguyên doanh nghiệp. 

Ngoài ra, dịch vụ hỗ trợ doanh nghiệp đánh giá, xác định vi phạm và yêu cầu tuân thủ các chính sách được quy định trên Azure. Điều này giúp đảm bảo khả năng quản trị và tính nhất quán đối với tài nguyên.  

Cùng điểm qua một số quy định cơ bản của dịch vụ Azure Policy: chỉ cho phép tạo Virtual Machines với SKUs trong danh sách SKUs quy định; không được tạo các inbound rule với port 22 hoặc 3389 trong Network Security Groups,…  

  

Azure Blueprints có chức năng tương tự Azure Policy nhưng ở phạm vị rộng hơn. Cụ thể, một Blueprints có thể chứa nhiều Azure policy.  

Azure Blueprints cho phép quản trị viên đặt ra các quy định dựa trên thiết kế của dự án. Theo đó, người dùng cần tuân thủ chặt chẽ các quy định này khi sử dụng các dịch vụ Azure.    

Để có sự lựa chọn phù hợp, doanh nghiệp có thể tham khảo các tính năng, quy định của Azure Blueprints: tạo các resource group tương ứng với từng dự án, yêu cầu các tài nguyên trong đó cần đánh tags, chọn region theo quy định, …  

 

Quản lý quyền truy cập tài nguyên trên Cloud là chức năng rất quan trọng với tất cả doanh nghiệp đang sử dụng Azure. RBAC cung cấp khả năng quản lý quyền truy cập và chỉ định vai trò của người dùng với các tài nguyên trên Azure.  

 

Locks giúp quản trị viên khóa nhóm tài nguyên hoặc tài nguyên trên Azure để ngăn chặn việc xoá hoặc sửa đổi không mong muốn. Khóa ghi đè mọi quyền của người dùng.  

Resource Locks hiện cung cấp cho người dùng hai loại khoá:   

Locks được quản lý ở các tầng subscription, resource group hoặc các tài nguyên riêng lẻ. Ngoài ra, Locks sẽ có tính kế thừa, ví dụ khi tạo khóa ở 1 resource group, toàn bộ tài nguyên bên trong group cũng bị ảnh hưởng bởi khóa đó.  

 Nếu cần quản lý chi phí chi tiết trên cùng 1 màn hình khi sử dụng tài nguyên trên Azure, dịch vụ Azure Cost Management chính là ưu tiên hàng đầu cho doanh nghiệp.  

Tìm hiểu ngay các lợi ích tiêu biểu của dịch vụ:  

Để hỗ trợ quản lý các tài nguyên và chi phí trên Azure, người dùng nên sử dụng Resource Groups và gắn tags cho các tài nguyên 1 cách hiệu quả.   

Resource Groups cung cấp tính năng phân chia tài nguyên theo từng Group giúp việc quản lý thuận tiện, dễ dàng hơn (ví dụ như chia tài nguyên theo phòng ban, dự án, môi trường,…). Khi đó, quản trị viên có thể phân quyền đúng theo nhiệm vụ, trách nhiệm của người dùng giúp việc quản lý hệ thống rõ ràng; đồng thời ngăn chặn sự xâm nhập đối với các nhóm tài nguyên khác. Ngoài ra, doanh nghiệp dễ dàng quản lý, tối ưu hoá chi phí khi phân tích theo Resource Group.  

Bên cạnh đó, việc gắn Tags cho các tài nguyên cũng giúp tổ chức xác định các thông tin chi tiết như: danh tính, bộ phân trực thuộc của người tạo tài nguyên, bộ phận chịu trách nhiệm trả phí, mức độ quan trọng của tài nguyên, …  

  

Dịch vụ Budget Alert thông báo cho người dùng khi mức sử dụng hoặc chi phí vượt quá ngân sách ban đầu.  

Dựa vào bản chi phí ước tính, người dùng đặt Budget cho hệ thống và nhận được email thông báo mỗi khi chi phí vượt ngưỡng 50%, 75%, 100%, 110%. Qua đó, việc theo dõi chi phí sẽ thuận tiện và an toàn hơn.  

  

Dịch vụ Sign-in logs thường chỉ được sử dụng để theo dõi log khi có vấn đề xảy ra. Tuy nhiên, doanh nghiệp nên thường xuyên theo dõi hoạt động trên Sign-in logs để phát hiện vấn đề bất thường và có hướng xử lý kịp thời. 

Giao diện của Sign-in logs cung cấp đầy đủ các thông tin về đăng nhập như: thời điểm, portal/ application, đăng nhập có thành công không, IP vị trí người dùng và theo dõi việc sử dụng MFA.  

Về cách thức hoạt động, nếu người dùng đăng nhập từ nơi ngoài tổ chức nhiều lần và không thành công thì hệ thống xác định đó là trường hợp bất thường và cần xử lý.  

   

Bài viết liên quan: azure , IT