บทนำ
เอกสารนี้เป็นแนวทางปฏิบัติ (How-To Guide) สำหรับผู้ดูแลระบบ Sangfor Hyper-Converged Infrastructure (HCI) ในการกำหนดค่าและเสริมสร้างความมั่นคงปลอดภัย (Hardening) ให้กับแพลตฟอร์ม โดยมีวัตถุประสงค์เพื่อลดพื้นผิวการโจมตี (Attack Surface) และเพื่อจัดเตรียมหลักฐานการปฏิบัติตามข้อกำหนด (Audit Evidence) ที่สอดคล้องกับมาตรฐานสากล (ISO 27001:2022) และกฎหมาย/ข้อกำหนดของประเทศไทย (PDPA และ NCSA)
ขั้นตอนที่ 1 - การควบคุมการเข้าถึงและการจัดการตัวตน (Access Control & Identity Management)
ส่วนนี้มุ่งเน้นการจำกัดสิทธิ์การเข้าถึงแพลตฟอร์ม เพื่อให้มั่นใจว่าเฉพาะผู้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้
1.1 การใช้นโยบายรหัสผ่านที่รัดกุม (Implementing a Strong Password Policy)
- เหตุผล (Compliance): สอดคล้องกับ ISO 27001 (A.8.5 Secure authentication) และเป็นส่วนหนึ่งของ PDPA (มาตรการควบคุมการเข้าถึง)
-
ขั้นตอนการกำหนดค่า:
- ไปที่
System>Administrators and Permissions>Administrator - คลิกที่
Login & Password Policy - กำหนดค่านโยบายที่รัดกุม:
- Minimum Length: ตั้งค่าอย่างน้อย 8 ตัวอักษรหรือมากกว่า
- Password Complexity: กำหนดให้มีส่วนผสมของอักษรตัวพิมพ์ใหญ่, ตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ
- Validity: ตั้งค่าการหมดอายุของรหัสผ่าน (เช่น 90 วัน)
- Max Password Retry Attempts: ล็อกบัญชีหลังจากพยายามล้มเหลว (เช่น 5 ครั้ง)
- คลิก
OK
- ไปที่
1.2 การกำหนดค่าการควบคุมการเข้าถึงตามบทบาท (Configure RBAC)
- เหตุผล (Compliance): เป็นการใช้หลักการ Principle of Least Privilege ตามข้อกำหนด ISO 27001 (A.5.15, A.5.18)
-
ขั้นตอนการกำหนดค่า:
- ไปที่
System>Administrators and Permissions>Permissions - คลิก
Newเพื่อสร้างโปรไฟล์สิทธิ์ใหม่ (Role) - กำหนดชื่อสำหรับ Role และเลือกสิทธิ์ (Permissions) ที่จำเป็น
- ไปที่แท็บ
AdministratorsและคลิกAdd New Account - เมื่อสร้างผู้ใช้ ให้กำหนด Role ที่สร้างขึ้นในขั้นตอนก่อนหน้า
- ไปที่
1.3 การบังคับใช้ข้อจำกัดในการเข้าสู่ระบบ (Enforce Login Restrictions)
- เหตุผล (Compliance): เป็นการควบคุมตาม ISO 27001 (A.5.15, A.8.3) ช่วยลดความเสี่ยงจากการถูกขโมยข้อมูลประจำตัว
-
ขั้นตอนการกำหนดค่า:
- ไปที่
System>Administrators and Permissions>Administrators - เลือกผู้ใช้ที่ต้องการจำกัดสิทธิ์ และคลิกไอคอน
Edit - ภายใต้แท็บ
Login Restrictionsเพิ่มข้อจำกัด:- IP Address: ระบุ IP หรือช่วง IP ที่อนุญาต
- MAC Address: ระบุ MAC address ของเครื่องไคลเอนต์ที่อนุญาต
- Login Time: กำหนดช่วงเวลาที่อนุญาตให้ล็อกอิน
- คลิก
OK
- ไปที่
1.4 การเปิดใช้งานการพิสูจน์ตัวตนแบบสองปัจจัย (Enable 2FA)
- เหตุผล (Compliance): สอดคล้องกับ ISO 27001 (A.8.5) และข้อกำหนด NCSA (สกมช.) ถือว่า MFA เป็นข้อบังคับสำหรับหน่วยงานรัฐและ CII
-
ขั้นตอนการกำหนดค่า (สำหรับ Google Authenticator):
- ไปที่
System>Administrators and Permissions>Login & Password Policy - ติ๊กถูกที่
Google Authenticator OTP - (ข้อควรระวัง) ตรวจสอบให้แน่ใจว่าได้ตั้งค่า SMTP server ไว้ก่อน
- ไปที่
ขั้นตอนที่ 2 - ความปลอดภัยของเครือข่าย (Network Security)
ส่วนนี้เน้นการแบ่งแยกส่วนเครือข่ายและลดช่องทางการโจมตีผ่านเครือข่าย
2.1 การปรับใช้ Distributed Firewall (DFW)
- เหตุผล (Compliance): สอดคล้องกับ ISO 27001 (A.7.7 Segregation of networks) ช่วยทำ Micro-segmentation เพื่อป้องกัน Lateral Movement
-
ขั้นตอนการกำหนดค่า:
- ไปที่
Networking>Distributed Firewall - คลิก
Createเพื่อกำหนดนโยบายใหม่ - คลิก
New Ruleเพื่อกำหนดกฎ:- Source/Destination: ระบุ IP หรือกลุ่ม VM
- Service: เลือกบริการ หรือกำหนด Protocol/Port
-
Action: เลือก
AllowหรือDeny
- ใช้
Applicable Scopeเพื่อกำหนดว่านโยบายนี้จะใช้กับกลุ่ม VM ใด - คลิก
OK
- ไปที่
2.2 การจัดการพอร์ตระบบ (Manage System Ports)
- เหตุผล (Compliance): เป็นหัวใจของ ISO 27001 (A.8.9 Configuration management) เพื่อลด Attack Surface โดยตรง
-
ขั้นตอนการกำหนดค่า:
- ไปที่
System>Port Management - ตรวจสอบรายการบริการ (เช่น SNMP, Samba, API Services)
- เลือกบริการที่ไม่จำเป็น และคลิก
Disable -
สำหรับ SSH Port:
- ควรตั้งค่าเป็น
Disableในการทำงานปกติ - เมื่อจำเป็นต้องเปิดใช้งาน ต้องกำหนดค่า
Allow SSH access by IP address(IP whitelist)
- ควรตั้งค่าเป็น
- ไปที่
ขั้นตอนที่ 3 - ความปลอดภัยของ Virtual Machine และข้อมูล (VM & Data Security)
ส่วนนี้ครอบคลุมการป้องกันตัว VM และข้อมูลที่จัดเก็บอยู่ภายใน
3.1 การปรับใช้ Sangfor aSecurity (aSEC)
- เหตุผล (Compliance): aSEC ให้การป้องกันหลายชั้นที่สอดคล้องกับ ISO 27001 (A.8.7 Protection against malware)
-
ขั้นตอนการปรับใช้:
- นำเข้า (Import) aSEC appliance VM (ไฟล์ .vma)
- เปิดเครื่อง aSEC VM และทำการกำหนดค่าเริ่มต้น
- ไปที่
aSecurity>Security Settings>Security Capabilitiesเพื่อเปิดใช้งานบริการ - ระบบจะแจ้งให้ Import EDR appliance file เมื่อเปิดใช้งาน
VM Security Protection
3.2 การติดตั้ง aSEC Agent อัตโนมัติ (Automate aSEC Agent Installation)
- เหตุผล (Compliance): ตาม ISO 27001 (A.8.9 Configuration management) ช่วยให้ VM ใหม่ทั้งหมดจะได้รับการป้องกันโดยอัตโนมัติ
-
ขั้นตอนการกำหนดค่า:
- ไปที่
aSecurity>Settings>Security Agents>Security Agent Installation - ติ๊กถูกที่ช่อง
Auto-install security agents during vmTools installation
- ไปที่
3.3 การเปิดใช้งาน VM Disk Encryption
- เหตุผล (Compliance): สอดคล้องกับ ISO 27001 (A.8.24 Use of cryptography) และ PDPA เรื่องการรักษาความลับ (Confidentiality)
-
ขั้นตอนการกำหนดค่า:
- ตรวจสอบให้แน่ใจว่า VM เป้าหมายอยู่ในสถานะ Power Off
- ไปที่หน้า
Compute - ชี้เมาส์ไปที่ VM ที่ต้องการ คลิก
More>More>Encrypt VM - ยืนยันการดำเนินการ (ข้อควรระวัง: เป็นกระบวนการแบบ One-way ไม่สามารถย้อนกลับได้)
การทำ Disk Encryption บน HCI / SCP
3.4 การกำหนดค่า Residual Information Protection
- เหตุผล (Compliance): ตอบสนอง PDPA "สิทธิในการลบหรือทำลายข้อมูล" (Right to Erasure) และ ISO 27001 (A.8.10 Information deletion)
-
ขั้นตอนการกำหนดค่า:
- ไปที่
System>Recycle Bin - คลิก
Settings - เปิดใช้งาน
Data Erasure - กำหนดจำนวนครั้งที่ต้องการเขียนทับ (เช่น 3 passes)
- คลิก
OK
- ไปที่
ขั้นตอนที่ 4 - การตรวจสอบและติดตามระบบ (System Auditing & Monitoring)
ส่วนนี้เน้นการสร้างหลักฐานการตรวจสอบ (Audit Trail) และการตอบสนองต่อเหตุการณ์
4.1 การกำหนดค่า Syslog Forwarding
- เหตุผล (Compliance): สอดคล้องกับ ISO 27001 (A.8.15 Logging) และ PDPA เรื่อง Audit Trails
-
ขั้นตอนการกำหนดค่า:
- ไปที่
System>Log Export and Cleanup - ในส่วน
Syslog Serverติ๊กถูกที่Enable Syslog - ป้อน
Server IP address,Port, และProtocol(UDP หรือ TCP) - คลิก
Test ConnectivityและSave
- ไปที่
4.2 การกำหนดค่า Alert Notifications
- เหตุผล (Compliance): จำเป็นสำหรับ Incident Response ตาม ISO 27001 (A.5.26, A.8.16)
-
ขั้นตอนการกำหนดค่า:
- ตั้งค่า Email Server (SMTP) ที่
System>Alerts>Notification>Setting - ในหน้า
Email Notificationsติ๊กถูกที่Send Alerts to Email Addresses - คลิก
Newเพื่อเพิ่มอีเมลผู้รับ - เลือกความรุนแรงของ Alert ที่ต้องการ (แนะนำเปิดอย่างน้อย
Critical Alerts) - คลิก
Save
- ตั้งค่า Email Server (SMTP) ที่
4.3 การตรวจสอบ Platform Alerts
- เหตุผล (Compliance): ตาม ISO 27001 (A.8.16 Monitoring activities)
-
แนวทางปฏิบัติ:
- ไปที่
System>Alerts>Alertsเพื่อดู Dashboard - ผู้ดูแลระบบควรกำหนดกระบวนการในการตรวจสอบ, รับทราบ (Acknowledge), และแก้ไข (Resolve) Alerts เป็นประจำ
- ไปที่
ขั้นตอนที่ 5 - การบำรุงรักษาและการจัดการช่องโหว่ (Maintenance & Vulnerability Mgt)
5.1 การตรวจสอบด้วยเครื่องมือ aDeploy
- เหตุผล (Compliance): สอดคล้องกับ ISO 27001 (A.8.8 Management of technical vulnerabilities) และ NCSA (Risk Assessment)
-
แนวทางปฏิบัติ:
-
Monthly Health Check: รัน
Full Health Checkทุกเดือน ควรดาวน์โหลดรายงานเก็บไว้เป็นหลักฐาน
การทำ Health Check HCI ด้วย aDeploy -
Pre-Change Validation: ต้องรัน
Pre-change Checkทุกครั้งก่อนการดำเนินการสำคัญ
การทำ Pre-Upgrade Check บน HCI ผ่าน aDeploy
การ Patch Firmware บน HCI/SCP
-
Monthly Health Check: รัน
-
วิธีใช้ (โดยย่อ):
- ดาวน์โหลดเวอร์ชันล่าสุดจาก Sangfor Community portal
- รันจาก Workstation ของผู้ดูแลระบบ
- เชื่อมต่อเข้าสู่ HCI management IP และป้อนข้อมูล Admin
- เลือกฟังก์ชัน (เช่น
Health Check) และรันการตรวจสอบ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น