Category: Advisory

ทำ Virtualization ด้วย Microsoft Hyper-V ลงทุนอะไรบ้าง

vm360degreeLeave a comment

วิธีคิด Budget ง่ายๆ ของการติดตั้ง Hyper-V server สำหรับกิจการ SME เรามีคิดแบบรวดเร็ว พร้อมหรือยัง เริ่ม….

0. ของฟรีไม่มีในโลก ที่เราได้ยิน Hyper-V live migration หรือ VMware V-Motion โอ้พระเจ้า เครื่องของท่านมี High Availability อันนี้ต้องซื้อ ระบบ Management ของเค้า ไม่ฟรี  ดังนั้น ข้อ 0 นี้ขอให้ทำความเข้าใจกันก่อนว่า Virtualization ที่ดีนั้น ต้องการระบบบริหารจัดการหรือ System Management Tool ที่ดี มันมีค่าใช้จ่าย ในตอนที่ 2 จะมาบอกว่า Feature แบบไหนฟรี แบบไหนต้องมีค่าใช้จ่าย

1. Hypervisor

“Microsoft Hyper-V หรือ hypervisor คือ software ที่ทำให้เกิด virtualization ได้ Microsoft ไม่คิดเงิน Hyper-V ฟรี ส ำหรับ VMware version free อาจมีให้ทดลองใช้ แต่ถ้าสมบูรณ์ก็ไม่ฟรี  VMware มีค่าใช้จ่าย” 

ผู้ที่จะใช้ Hyper-V ต้องซื้อ Windows License ก่อนจึงจะเปิดใช้ Hyper-V ได้ เลือกทำ Hyper-V อย่างเดียวนั้นทำไม่ได้ ดังนั้น ฟรีสำหรับคนที่ซื้อ  Windows License  เท่านั้น

2. Windows OS License

Windows ต้องซื้อ จะใช้ไปลง vm บน Hyper-V หรือ VMware ก็คิดเหมือนกัน ใน Windows Server 2008 R2   แบ่งวิธีคิดเงินไปตาม Edition มี 3 แบบ

2.1 Standard Edition  อันนี้ลง Windows ได้ 2 ครั้ง ลงได้ 1 Physical + 1 VM ครั้งแรกลงบน Physical hardware เพื่อทำหน้าที่เป็น Hyper-V server  มีชื่อเรียกในฝั่ง Microsoft ว่า  Root Partition (ไ่ม่่ควรลง Program อื่นๆ ลงไว้บนนี้) ครั้งที่ 2 ลงใน vm มีข้อจำกัด ใช้ RAM ได้เพียง 32 GB และ 4 processor

2.2 Enterprise Edition ลงได้1 Physical + 4 VM ใช้ได้ 8 CPU RAM 2 TB (ถ้าจะทำ live migration ต้องเป็น Enterprise  ขึ้นไป)

2.3 Datacenter Edition ลงได้ 1 Physical + ไม่จำกัดจำนวน VM ใช้ได้ 64 CPU RAM 2 TB

3. Server

เป็น Server ที่มี CPU Intel หรือ AMD ก็ได้ แต่ต้องดูว่า support virtualization หรือไม่    เตรียม RAM ให้ Hyper-V สัก 2 GB  ที่ vm ต้องการเท่าไรบวกๆ เข้าไป ถ้าเครื่องมี slot RAM น้อย ก็พยายามซื้อ RAM ที่มีความจุสูงๆ เช่น 4,8,16 GB

4. Disk

จะเป็น Internal Disk, FC Array, iSCSI, USB 3.0 (2 ได้แต่ช้า) ก็ได้   ขอความจุเยอะๆ ไว้ก่อน VM ที่ลง Windows 1 ตัว ก็เตรียมไว้อย่างน้อย 40 -80 GB อันนี้เป็นไปตามคำแนะนำของ Microsoft ถ้าเป็นเครื่องทดสอบหรือไม่สนใจ  Performance จะมีน้อยกว่านี้ก็ได้ ใช้จริงๆ ไม่เยอะหรอก

5. Network

ขอให้มีอย่างน้อยเป็น switch 1 GB

6. Backup

ใช้ Windows Server Backup ที่มากับ Windows เพื่อ Backup ลง USB Disk ได้ ไม่มีค่าใช้จ่ายเพิ่มเติม

สรุป ค่าใช้จ่าย ก็ 1+2+3+4+5  จะเป็นเงินที่ต้องลงทุนกับ Hyper-V ครับ

Advertisement

Security Hardening บน Windows คืออะไร ทำอย่างไร

vm360degreeLeave a comment

งาน Security hardening บน Windows หรืออาจเรียกว่า Security lockdown คือ กระบวนการเสริมความแข็งแรงด้านความปลอดภัยให้กับ Windows ด้วยขั้นตอนผสมผสานมากมาย เมื่อเครื่องแข็งแรง ปลอดภัย ผู้ใช้งานก็มั่นใจ  มักมีความเข้าใจผิดๆ เช่น Harden ทำให้เสียเวลา, เคย  Harden มาแล้วก็ทำเหมือนเดิมๆ นั่นแหละ เป็นต้น

คุณสมบัติของคนที่ทำ Hardening ควรเป็นผู้มีความอดทน เพราะงานนี้เป็นงานที่อยู่เบี้องหลังมากๆ ผู้ใช้ระบบรู้ว่าระบบที่ Harden แล้วแข็งแรง แต่มันไม่มี function อะไรใหม่ๆ และอาจโดนตำหนิหากทำระบบของเขาใช้งานช้าหรือแย่กว่านั้นอาจไม่ได้เลย    ต้องรักการเรียนรู้และมีเหตุผลเพราะควร Harden แบบพอดี ถ้าทำมากเกินไปอนาคต update program ไม่ได้จะยุ่ง  และสุดท้ายตรงคือต้องสมาธและมีสติอันนี้สำคัญตอนแก้ไขอะไรในระบบต้องรู้ตัวว่าทำอะไร เพราะทำแบบเบลอจะทำให้งานเสียได้   เราลองมาเปิดมุมมองใหม่กับงาน Security hardening ว่าเขาทำอะไรกัน

ขั้นตอนของ Hardening

  • ศึกษาการทำงานของ Application บน ​Server และทดสอบใช้งาน Basic function
  • จัดทำ Hardware และ Software inventory เพื่อใช้สำหรับการดูแลว่าเรามีอะไรอยู่บ้าง และส่วนใดต้องการดูแลเรื่องความปลอดภัย
  • ถ้า ​Application นั้นซื้อมาหรือไม่ได้พัฒนาเอง ต้องศึกษา Security Guide จากผู้พัฒนาก่อน เพื่อป้องกันการแก้ไขระบบโดยไม่ได้รับอนุญาต หรือมีปัญหาเรื่องการ Support
  • กำหนดขอบเขตการ Harden ให้เหมาะสมหรือตรงกับหน้าที่หรือ Application บน Server
  • หาเครื่องมือทุนแรงช่วยประเมินความปลอดภัยเช่น Microsoft MBSA, Best Pracrtise Analyzer เป็นต้น
  • หา Hotfix/Patch certification list สำหรับ Application ถ้าหาได้
  • ศึกษาวิธีการ Harden จากแหล่งต่างๆ
  • มีการ Backup / Recovery
  • ลงมือ  Harden  และหมั่นทดสอบการใช้เบืีี้องต้นเป็นระยะๆ
  • ส่งมอบระบบคืนให้ผู้ทดสอบระบบงาน
  • มีการ Review security อย่างน้อยปีละ 1 ครั้ง

การกำหนดขอบเขตและรูปแบบการ Harden

จากภาพด้านบน แสดงให้เห็นว่าการ Harden ให้มอง Server แบ่งออกเป็นหมวดหมู่ เพื่อให้ความสะดวกเราก็จะเจาะไปทีละเรื่องอย่างเป็นขั้นเป็นตอน คำอธิบายของแต่ละกล่องมีดังนี้

1. Application หมายถึงการป้องกันใน 2 ระดับคือ

  • ระดับของตัว Application ให้ดูเรื่องการสร้างกำหนดสิทธิการใช้งานต่างๆ, การลบข้อมูลทดสอบ, การเขียน Code ที่ไม่มีจุดอ่อนด้าน Security
  • ระดับของ Platform ที่ใช้ Run ตัว Application เช่น ถ้าเป็น Web .Net เป็น Microsoft IIS หรือ J2EE ก็เป็น TomCat พวกนี้ต้องไปศึกษา Security Guide ได้

2. File System – ไปดูเรื่องการกำหนดสิทธิ Folder ต่างๆ ให้สิทธิเฉพาะคนที่มีหน้าที่เข้าไปเห็นข้อมูลหรือ Application คนอื่นห้ามเข้า ใน Folder ที่เก็บ Application นั้น มีความสำคัญมาก หากผู้ไม่ประสงค์ดีนำโปรแกรมที่ไม่ได้รับอนุญาตไปลง อาจทำให้เกิดความเสียหายร้ายแรงได้

3. Operating System – ศึกษาจากคู่มือ Security ของ OS ว่าต้องทำอย่างไร เช่น

  • User Account/Group,
  • การปิด Service, Uninstall program ที่ไม่ใช้,
  • การดู Port ด้วย netstat ว่าเครื่องเปิด service อะไรบน TCP/UDP protocol
  • ถ้าเป็น Windows เราจะใช้ Group Policy ช่วยก็ได้ เพื่อช่วยให้ดูแลง่ายขึ้นด้วย
  • ติดตั้ง Anti-Virus และอย่าลืมดูว่ามัน Update signature ได้
  • ติดตั้ง Windows Update Agent แต่ Server อาจกำหนดไม่ใช้มัน update เองได้เดี๋ยวทำเครื่องพัง แต่ใช้ประโยชน์ให้มัน warning เวลามี hotfix ออกใหม่ได้

4. Network – บางครั้งเครื่องเราอาจป้องกันด้วย Software แล้วอาจไม่เพียงพอก็ใช้ Firwall หรืออุปกรณ์ Network security มาช่วยอีกแรง

5. Physical – เครื่อง Server ควรควบคุมให้ผู้มีหน้าที่เข้าไปยุ่งกับมันได้เท่านั้น นอกจากนี้ก็ควรดูว่าที่ตั้ง server นั้น เรียบร้อยไหม เช่น ไม่มีน้ำจากแอร์หรือดับเพลิงหยดลงเครื่อง, พวกสายไฟหรือสายต่างๆ ติดตั้งเรียบร้อยดี เป็นต้น

เครื่องมือ/เครื่องทุ่นแรง

เราควรให้เวลาในการศึกษาข้อมูลของ Software/Hardware ที่ Inventory ที่เราเตรียมไว้ Software บางตัวก็มีผู้พัฒนา Tool สำหรับทำ Security scan มันช่วยให้ประหยัดเวลาและเป็นมาตราดีกว่าเสียเวลามานั่งทำ ซึ่งเราก็ควรรู้อยู่แล้วว่าต้องตรวจตราในหัวไหนด้วย ไม่ใช่ปล่อยเครื่องทำอย่างเดียว เพราะมันทำพังก็ไม่รู้ว่าเป็นเรื่องอะไร ตัวอย่างของเครื่องมือสำหรับ Windows คือ MBSA (http://technet.microsoft.com/en-us/security/cc184924)

ส่งท้าย

การทำงานเรื่อง Security เป็นของการฝึกความคิดหาเหตุผล การทำความเข้าใจขอบเขต 5 ข้อที่กล่าวมา และการศึกษาความรู้ใหม่ด้าน Security เมื่อเทคโนโลยีมีการเปลี่ยนแปลงอยู่ตลอดเวลา อาจมีความรู้ใหม่ๆ ไปเจาะระบบได้ ดังนั้น งาน Hardening จึงเป็น Continuous Process ที่ต้องคอยดูอยู่เรื่อย

External Links เพื่อหาข้อมูลเพิ่มเติม

  1. https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
  2.  http://learn.iis.net/page.aspx/93/optimizing-performance/
  3. http://learn.iis.net/page.aspx/88/configuring-security/
  4. http://blogs.msdn.com/b/securitytools/archive/2009/09/30/sql-server-2008-security-policy-example.aspx
  5. http://blogs.msdn.com/b/securitytools/archive/tags/information+security+tools/