สรุปฟังก์ชันของ Cloud One Workload Security แบบง่าย ๆ

บทความนี้ได้รับการแปลมาจากบทความภาษาญี่ปุ่นที่มีชื่อว่า Cloud One Workload Security の機能について簡単に整理する โดยเจ้าของบทความนี้คือ คุณ Ashi ซึ่งเป็นชาวญี่ปุ่น และในบทความนี้จะมีการปรับสำนวนการเขียน รวมถึงมีการเรียบเรียงเนื้อหาใหม่ให้เข้าใจง่ายและมีความเหมาะสมมากยิ่งขึ้น

Cloud One Workload Security คืออะไร

Cloud One Workload Security (จากนี้ไปจะเรียกย่อ ๆ ว่า C1WS) เป็นหนึ่งใน Security SaaS ของทางบริษัท Trend Micro ครับ โดย Cloud One นั้นมีบริการหลากหลายรูปแบบเพื่อตอบสนองความต้องการใช้งานที่แตกต่างกัน ซึ่งออกแบบมาสำหรับใช้งานกับ container โดยเฉพาะ และในบทความนี้ผมจะมาอธิบายเกี่ยวกับความสามารถของ Workload Security ซึ่งเป็น service ที่ออกแบบมาสำหรับปกป้อง application ที่ run อยู่บน server หรือ workload จำพวก EC2 แบบคร่าว ๆ ให้ได้อ่านกันครับ

Architecture

C1WS มีรูปแบบการทำงานดังแสดงต่อไปนี้

เริ่มแรกเลยคือ เราจำเป็นต้องติดตั้ง agent เข้าไปใน server ของฝั่ง user ก่อนครับ โดย agent นี้จะถูกเปิดใช้งานภายใน server และทำงานตามการตั้งค่าที่ได้รับมา

ตัว agent ใน server นั้นจะเชื่อมต่อเข้ากับ C1WS service endpoint เพื่อรับการตั้งค่ามา ทำให้เราสามารถควบคุมการทำงานของ agent ได้โดยที่ไม่จำเป็นต้องเชื่อมต่อเข้าไปที่ server ตัวนั้นโดยตรง และเพียงแค่ป้องกันเส้นทางการเชื่อมต่อระหว่าง agent กับ C1WS service endpoint ให้แน่นหนาเพียงพอก็สามารถใช้งานได้ จึงไม่จำเป็นต้องเปิด port เพิ่มเติมแต่อย่างใด ถือว่าสะดวกมาก ๆ ครับ

ฟังก์ชัน

ฟังก์ชันแต่ละฟังก์ชันของ C1WS จะเรียกว่า "โมดูลป้องกัน (Protection Module)"

About the Workload Security protection modules - Workload Security | Trend Micro Cloud One™ Documentation

แต่ละโมดูลสามารถตั้งค่าเปิด - ปิด หรือควบคุมอื่น ๆ ได้ผ่านทางคอนโซล

C1WS มีโมดูลต่าง ๆ ให้เลือกใช้ดังนี้

• Anti-Malware
• Firewall
• Web Reputation
• Device Control
• Application Control
• Intrusion Prevention (IPS/IDS)
• Integrity Monitoring
• Log Inspection

โดยหลังจากนี้ผมจะอธิบายถึงรายละเอียดของแต่ละโมดูลครับ

Anti-Malware

Anti-Malware เป็นโมดูลสำหรับปกป้อง workload จากมัลแวร์หรือโปรแกรมไม่พึงประสงค์ต่าง ๆ ครับ

โมดูล Anti-malware จะทำงานโดยการสแกนตรวจไฟล์ใน storage และหากตรวจพบภัยคุกคามใด ๆ ก็จะทำการกำจัดทิ้งหรือแยกไฟล์นั้นออกมา อีกทั้งยังคอยอัปเดตข้อมูลเกี่ยวกับโปรแกรมไม่พึงประสงค์ต่าง ๆ อยู่ตลอด ทำให้สามารถรับมือกับภัยคุกคามรูปแบบใหม่ ๆ ได้

วิธีการตรวจหาภัยคุกคามนั้นมีอยู่ 3 วิธีตามด้านล่างนี้ครับ

• Real-Time Scan : ทำการสแกนไฟล์ที่เข้าข่ายเสี่ยงเป็นภัยคุกคามทุกครั้งเมื่อมีการอ่านหรือเขียนข้อมูลเกิดขึ้นกับดิสก์ข้อมูล
• Manual Scan : ทำการเริ่มต้นการสแกนไฟล์ผ่านทางหน้า C1WS console แบบ manual
• Scheduled Scan : ทำการเริ่มต้นสแกนไฟล์ตามกำหนดการที่ตั้งเอาไว้ โดยสามารถตั้งกำหนดการสแกนได้ผ่านทางหน้า C1WS console

การสแกนไฟล์ใน storage นั้นจะทำให้เกิด I/O ขึ้นกับดิสก์ด้วย โดยเฉพาะอย่างยิ่งไฟล์จำพวก database log ที่มีการเขียนไฟล์บ่อย ๆ หากใช้วิธีตรวจจับแบบ Real-Time Scan จะทำให้เกิดการสแกนทุกครั้งที่มีการเขียนไฟล์เกิดขึ้น ซึ่งจะเป็นภาระกับดิสก์ค่อนข้างมาก ในกรณีแบบนี้การนำไฟล์ประเภทดังกล่าวออกจากเป้าหมายการสแกนก็ถือเป็นเรื่องที่ควรทำครับ

Firewall

Firewall เป็นโมดูลสำหรับจำกัดการเชื่อมต่อสื่อสารครับ

โดยที่โมดูลนี้มีความสามารถอื่น ๆ นอกเหนือจากการบล็อกการเชื่อมต่อจากบาง protocol หรือ port อยู่อีกครับ ตัวอย่างเช่น การส่งแจ้งเตือนเมื่อมี traffic ที่มีจุดประสงค์เพื่อระบุประเภทของ OS ของ server ถูกส่งเข้ามา (ตรวจสอบเพื่อป้องกันการโจมตีล่วงหน้า) เป็นต้น

อีกทั้ง หากมีการเปลี่ยน firewall rules อย่างกะทันหัน อาจเกิดความเสี่ยงที่จะทำให้ traffic ทั่วไปอื่น ๆ ถูกบล็อกตามไปด้วย และกลายเป็นอุปสรรคในการทำงานของ workload ขึ้นได้ครับ

Firewall ของ C1WS นั้นมีโหมดการทำงานที่จะปล่อยให้ traffic ทั้งหมดผ่านได้ และคอยสังเกตว่า traffic ใดที่ถูกปฏิเสธโดย server บ้าง (inline or tap mode) อยู่ครับ ซึ่งหากเปิดใช้งานโหมดการทำงานนี้ ก็จะสามารถเก็บข้อมูลเพื่อนำไปใช้ในการสร้าง rule ได้

Web Reputation

Web Reputation เป็นโมดูลที่จะคอยจำกัดการเข้าถึง URL ที่มีโอกาสว่าจะเป็นภัยคุกคามครับ

ทำให้สามารถป้องกันภัยคุกคามที่เกิดจากการเชื่อมต่อเข้าไปยังเว็บไซต์ที่เป็นอันตรายผ่านทาง browser ได้

ซึ่งเราสามารถสร้าง URL list ที่อนุญาตหรือไม่อนุญาตให้เข้าถึงด้วยตัวเองได้ หรือจะใช้ URL list ที่ทางบริษัท Trend Micro เตรียมไว้ให้ก็ได้เช่นกันครับ

Device Control

Device Control เป็นโมดูลสำหรับควบคุมการเชื่อมต่อจาก storage ภายนอก เช่น flash memory USB เป็นต้น โดยโมดูลนี้จะช่วยป้องกันในเรื่องของข้อมูลรั่วไหลครับ

สามารถควบคุมอุปกรณ์ภายนอกต่าง ๆ เช่น เมื่อมีการเชื่อมต่อจาก flash memory USB ความจุสูง ๆ ภายนอกเข้ามา จะบล็อกการเชื่อมต่อนั้นหรือจำกัดการเชื่อมต่อให้เป็นแบบ read-only เป็นต้น

หรือแม้กระทั่งการบล็อก auto run ที่เกิดขึ้นหลังจากเชื่อมต่ออุปกรณ์ flash memory USB ก็สามารถทำได้เช่นกันครับ

Application Control

Application Control เป็นโมดูลสำหรับควบคุมการติดตั้งหรือแก้ไขดัดแปลง application ครับ

เมื่อเปิดใช้งาน โมดูลนี้จะทำการควบคุมด้วยวิธีต่าง ๆ 2 วิธีตามด้านล่างนี้

• บล็อก software นั้นจนกว่า user จะทำการปลดบล็อกด้วยตัวเอง (default deny)
• อนุญาต software นั้นจนกว่า user จะทำการบล็อกด้วยตัวเอง (default allow)

นอกจากนี้ก็ยังมี maintenance mode อยู่อีกครับ โดย software ที่ถูกติดตั้งหรืออัปเดตในระหว่างที่โหมดนี้เปิดใช้งานอยู่จะถูกเพิ่มเข้าไปใน allow list โดยอัตโนมัติ ซึ่งเป็นโหมดที่มีประโยชน์ในตอนที่เริ่มต้นระบบ server ครับ

การอนุญาตหรือบล็อก software สามารถทำได้ผ่านหน้าคอนโซลของ C1WS ครับ

Intrusion Prevention (IPS/IDS)

Intrusion Prevention (IPS/IDS) เป็นโมดูลสำหรับปกป้อง workload จากจุดอ่อนหรือช่องโหว่จำพวก CVE (Common Vulnerabilities and Exposures) หรือ Zero-Day โดยการตรวจสอบเนื้อหาของ traffic และบล็อก traffic ที่น่าสงสัยออกไปครับ

โมดูลนี้มี rule สำหรับจัดการกับการโจมตีแต่ละประเภทเตรียมไว้ให้ รวมถึง rule สำหรับจุดอ่อนจำพวก SQL Injection, RDP หรือ SSH ก็มีเตรียมไว้เช่นกัน อีกทั้งยังสามารถช่วยเลือก rule ที่เหมาะกับ workload ให้โดยอัตโนมัติ ทำให้สามารถตั้งค่าเลือก rule ที่เหมาะสมได้อย่างง่ายดาย ถือว่าสะดวกมาก ๆ ครับ

โดยโมดูลนี้จะมีให้เลือก 2 โหมด ตามด้านล่างนี้

• Prevent : ใช้ rule ตรวจสอบ traffic จากนั้นทำการบล็อก traffic นั้น
• Detect : ใช้ rule ตรวจสอบ traffic จากนั้นทำการสร้าง event การตรวจสอบทิ้งไว้โดยไม่บล็อก traffic

และเรายังสามารถเปิดใช้โหมด Detect ก่อน หลังจากนั้นหากยืนยันแล้วว่า traffic ทั่วไปอื่น ๆ ไม่ได้ถูกบล็อกไปด้วย (ไม่เกิด false positive) แล้วจึงค่อยสลับไปใช้โหมด Prevent ที่มีการบล็อก traffic จริง ๆ ก็ได้เช่นกันครับ

Integrity Monitoring

Integrity Monitoring เป็นโมดูลสำหรับตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นกับระบบครับ โดยคำว่า "Monitoring" ก็ตามชื่อเลย คือไม่มีความสามารถในการบล็อกหรือะไรทำนองนั้น แต่มีความสามารถส่งแจ้งเตือนหรือ alarm ได้เมื่อมีการเปลี่ยนแปลงที่อยู่นอกเหนือความคาดหมายเกิดขึ้น

โดยเราสามารถตั้งค่าเลือก rule เพื่อกำหนดประเภทการเปลี่ยนแปลงที่เป็นเป้าหมายในการตรวจจับได้ และโมดูลจะทำงานตาม rule ที่ตั้งไว้ หรือจะให้โมดูลช่วยเลือก rule ที่เหมาะสมกับ workload และความต้องการให้เองโดยอัตโนมัติก็ได้ ซึ่งสะดวกมาก ๆ เลยครับ เช่น ยกตัวอย่างในกรณีของ Windows เราสามารถตั้งค่าตรวจจับการเปลี่ยนแปลงที่เกิดขึ้นกับ setting file หรือ file system ใน network ได้ครับ

อีกทั้งโมดูลนี้ยังมีความสามารถในการตรวจจับแบบเรียลไทม์ ซึ่งจะเริ่มตรวจสอบทันทีที่มีการเปลี่ยนแปลงใด ๆ เกิดขึ้น เพียงแต่ต้องระวังเรื่องของ machine resource ที่ใช้ในการตรวจจับให้ดีด้วยครับ

Log Inspection

Log Inspection เป็นโมดูลที่ใช้สำหรับมองหา security event ที่สำคัญจาก system logs ครับ โดยเราสามารถส่ง event เหล่านี้ไปให้กับ SIEM (Security Information and Event Management) หรือ log server เพื่อนำไปใช้ในการวิเคราะห์ต่อไปได้

โดยเราสามารถตั้งค่าเลือก rule เพื่อกำหนด log เป้าหมายที่จะให้โมดูลทำการตรวจหา event ได้ครับ หรือให้โมดูลช่วยเลือก rule ที่เหมาะสมกับ workload และความต้องการให้เองโดยอัตโนมัติก็ได้ ซึ่งสะดวกมาก ๆ เลยครับ เช่น ยกตัวอย่างในกรณีของ Windows เราสามารถตั้งค่าให้โมดูลมองหา security event หรือข้อมูลการเชื่อมต่อ RDP จาก system logs ได้ครับ

สุดท้ายนี้

ในบล็อกนี้ผมก็ได้สรุปฟังก์ชันของ Cloud One Workload Security กันไปแล้วนะครับ โดยที่แต่ละโมดูลก็จะมีรายละเอียดการตั้งค่าต่าง ๆ เพิ่มเติมอีก สำหรับท่านที่สนใจจะนำ C1WS มาใช้งาน ก็สามารถอ้างอิงวิธีการตั้งค่าจาก Official Documentation ได้เลยครับ

อ้างอิง

• Cloud One Workload Security の機能について簡単に整理する (บทความต้นฉบับ)
• About the Endpoint Security and Workload Security protection modules