บทนำ
Sangfor SCP มีระบบ Security Management ที่ครอบคลุมหลายด้าน ได้แก่ Login Policy, Disk Encryption, Data Erasure, Key Pairs และ Key Management Service (KMS) เพื่อรักษาความปลอดภัยของ Platform, Virtual Machine และข้อมูลของผู้ใช้งาน
ข้อกำหนดเบื้องต้น
- เข้าสู่ระบบ SCP ด้วยสิทธิ์ Administrator
- หากต้องการใช้ SMS Authentication ต้องตั้งค่า SMS Gateway ก่อน
- หากต้องการใช้ OTP Recovery ทาง Email ต้องตั้งค่า SMTP Server ก่อน
ขั้นตอนการตั้งค่า
1. Login Policy
กำหนดกฎการ Login สำหรับทุก Account บน Platform (Admin, Tenant, Tenant Users)
- Login เข้าสู่ SCP ไปที่ Resources > Management > Security เลือก Login Policies
- ตั้งค่า Account and Password:
- Account: กำหนดความยาว Account (1-32 ตัวอักษร)
- Password Policy: กำหนด Enforced Policy (ต้องมีอักขระพิเศษ ห้ามใช้ Username ห้ามใช้ตัวอักษรซ้ำกัน ต้องมีตัวพิมพ์ใหญ่-เล็ก ตัวเลข และอักขระพิเศษ), กำหนดความยาว (8-64)
- Account Lockout Options: กำหนดจำนวนครั้งที่ Login ผิด, Counting Interval และ Lockout Duration
- Require Users to Change Password: กำหนด Validity Period และแจ้งเตือนก่อนหมดอายุ
- ตั้งค่า Session Timeout Options: กำหนด Timeout Threshold (เมื่อถึง Threshold ระบบจะ Logout อัตโนมัติ ยกเว้น Home, Dashboard, DR Monitor)
- ตั้งค่า Login Protection:
- เปิดใช้งาน Login Protection แล้วเลือก Method: OTP Authentication
- ติดตั้ง Google Authenticator บน Mobile Device
- Scan QR Code เพื่อตั้งค่า Authenticator
- กรอก Verification Code แล้วคลิก OK
- ใน Users and Access Management คลิก More เพื่อเปิดใช้งาน Login Protection สำหรับแต่ละ User
2. Disk Encryption Settings
เปิดใช้งาน Disk Encryption เพื่อเข้ารหัสข้อมูลของ VM, Network และ Security Resources ด้วย AES-256
- ไปที่ Resources > Management > Security เลือก Disk Encryption Settings แล้วเปิดใช้งาน
- ไปที่ Compute > Virtual Machines เลือก VM ที่ต้องการ คลิก More แล้วเลือก Disk Encryption
ข้อควรระวัง:
- VM ต้อง Power Off ก่อนเปิด Disk Encryption
- เมื่อเข้ารหัสแล้วไม่สามารถ Decrypt ได้
- VM ที่เข้ารหัสจะไม่รองรับ Cloning, Export, CDP Backup, Disaster Recovery
- Performance จะลดลง 30-50%
- แนะนำให้ดำเนินการนอกเวลาทำการ
3. Data Erasure Settings
เมื่อลบ VM และ Backup ใน Recycle Bin ถาวร ข้อมูลจะถูกลบอย่างสมบูรณ์
- ไปที่ Resources > Management > Security คลิก Data Erasure Settings แล้วเปิดใช้งาน
- กำหนด Read/Write Speed และ Overwrite Times สำหรับแต่ละ Resource Pool
- เมื่อลบ VM ใน Management > Recycle Bin ให้เลือก Erase Data Checkbox
4. Key Pairs (SSH)
Key Pair เป็นวิธี Authentication ที่ปลอดภัยกว่า Username/Password สำหรับ SSH Login
- ไปที่ Resources > Management > Security คลิก Key Pairs แล้วคลิก Create Key Pair
- เลือก Auto-Create (ระบบสร้าง Key Pair ให้) หรือ Import (นำ Public Key ที่มีเข้ามา)
- ดาวน์โหลด Private Key ทันที (ดาวน์โหลดได้ครั้งเดียวเท่านั้น)
- เลือก VM ที่ต้องการ คลิก More > Bind Key Pair เลือก Key Pair แล้วคลิก OK
ข้อควรระวัง:
- รองรับเฉพาะ SSH Protocol บน Linux OS สำหรับ Root User เท่านั้น
- หลัง Bind Key Pair จะไม่สามารถ Login ด้วย Username/Password ผ่าน SSH ได้อีก
5. Key Management Service (KMS)
ใช้สำหรับเข้ารหัส Disk ของ VM ที่อยู่ในสถานะ Shutdown เพื่อเพิ่มความปลอดภัย
- ไปที่ Resources > Management > Security คลิก Key Management Service
- ในแท็บ KMS Server คลิก Add เพื่อเพิ่ม KMS Server
- ในแท็บ HSMs คลิก Add เพื่อเพิ่ม Hardware Security Module (Type A สำหรับ Sansec หรือ Type B สำหรับ JIT) กำหนด IP, Port, Password (เพิ่มได้สูงสุด 10 HSM)
- สำหรับ VM Encryption: ไปที่ Compute > Virtual Machines เลือก VM แล้วคลิก More > Enable Disk Encryption
การตรวจสอบ
- ทดสอบ Login Policy โดยลอง Login ด้วยรหัสผ่านผิดเกินจำนวนครั้งที่กำหนดแล้วตรวจสอบว่า Account ถูก Lock
- ตรวจสอบว่า OTP Authentication ทำงานเมื่อ Login
- ตรวจสอบว่า VM ที่เข้ารหัส Disk แสดงสถานะ Encrypted
- ทดสอบ SSH Login ด้วย Key Pair
หมายเหตุ
- Login Policy มีผลกับทุก Account บน Platform รวมถึง Admin, Tenant และ Tenant Users
- OTP Authentication สำหรับ Tenant ต้องให้ Admin เปิดใช้งาน Login Protection ให้ก่อน
- VM Encryption ผ่าน KMS หากการเชื่อมต่อระหว่าง SCP กับ KMS ขาด VM จะถูก Shutdown และไม่สามารถเปิดใช้งานได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น