การตั้งค่า aSEC Configuration Guide บน SCP

บทนำ

 

 

 

 

Sangfor aSecurity (aSEC) เป็นแพลตฟอร์มความปลอดภัยแบบครบวงจรบน cloud ที่สร้าง unified security policies และ security management โดยให้การปกป้องแบบตรงจุดตาม asset identification ฟีเจอร์ Security capabilities จะถูกเปิดใช้งานโดยอัตโนมัติและ integrate เข้ากับ platform capabilities อย่างลึกซึ้ง บทความนี้ครอบคลุมการตั้งค่า Dashboard, VM Security (asset management, virus scan, quarantine, ransomware recovery), Security Capabilities, Security Logs และ Security Settings

 

 

 

ข้อกำหนดเบื้องต้น

 

 

• เปิดใช้งาน security protection และ cyber attack protection ที่หน้า Security Capabilities
• เพิ่ม target VM เข้า data protection policy แล้ว
• มี cyber attack protection policy อย่างน้อย 1 policy
• ติดตั้ง vmTools และ Security Agent บน VM ที่ต้องการปกป้อง

 

 

 

ขั้นตอนการตั้งค่า

 

 

1. Dashboard

ไปที่ aSecurity > Dashboard เพื่อดูภาพรวมความปลอดภัยของ HCI ได้แก่:

• Pending Security Risks: แสดง security events, vulnerability events และ unprotected assets คลิก Fix Now เพื่อไปยังหน้าแก้ไข รวมถึง ransomware, ordinary risks, hot events และ ordinary vulnerabilities
• Asset Risk Analysis: ดู VM ที่มี risk ในระดับต่างๆ คลิก risk level เพื่อไปที่ VM Security และ filter VM
• Risk Trend Analysis: ดูแนวโน้ม virus events, cyber attacks และ vulnerabilities
• Security Defense and Response Analysis: ดู VM security events ที่ถูกตรวจจับและแก้ไขโดย Sangfor Engine Zero, Gene Analysis Engine, Behavioral Analysis Engine และ Cloud-Based Engine

 

2. VM Security - Asset Management

ไปที่ aSecurity > VM Security เพื่อจัดการ platform assets ตามหมวดหมู่:

• Ransomware Detected: แสดง VM ที่มี ransomware events ค้างอยู่
• Protection Compromised: แสดง VM ที่ security component ถูก compromise
• Security Events Detected: แสดง VM ที่มี pending security events
• Unprotected: แสดง VM ที่ยังไม่ได้รับการปกป้อง
• Quarantined: แสดง VM ที่ถูกกักกัน

ที่ aSecurity > VM Security > VMs ดูข้อมูล running status ของ VM ทั้งหมด โดย Risk levels ประกอบด้วย:

• Protection Compromised: พบ ransomware หรือ VM ถูก compromise ต้องแก้ไขทันที
• High: พบ high-threat virus หรือ critical attack ต้องแก้ไขทันที
• Medium: พบ medium-threat virus หรือ brute-force attack แนะนำให้แก้ไข
• Low: พบ low-threat virus หรือ low-severity vulnerability
• Protected: ไม่พบ security risks

คลิก More ใน Operation column เพื่อ console, quarantine, view security details, ransomware recovery, configure protection solution หรือ enable passthrough mode

 

3. Virus/Vulnerability Scan

I. Virus Scan:

1. ที่หน้า VM Security เลือก target VM แล้วเลือก Virus Scan จาก Scans drop-down
2. เลือก scan method: Quick Scan (scan critical directories, registry, memory, processes) หรือ Full Scan (scan ทั้ง system memory, processes, registry, disk partitions)
3. หลัง scan เสร็จ เลือก Vuln Scan History จาก More drop-down เพื่อดูผลลัพธ์
4. คลิก Details ใน Operation column เพื่อ fix, trust, recover, untrust หรือ ignore security event

II. Vulnerability Scan:

1. ที่หน้า VM Security เลือก target VM แล้วเลือก Vulnerability Scan จาก Scans drop-down
2. หลัง scan เสร็จ คลิก Details เพื่อดู vulnerabilities สำหรับ Windows เลือก Marked as Fixed, Ignore หรือ Fix สำหรับ Linux/application เลือก Marked as Fixed, Ignore หรือ Apply Virtual Patch

 

4. Quarantine

1. ใน VM Security list เลือก VM ที่มีความเสี่ยง แล้วคลิก Quarantine Operations > Quarantine
2. หลัง quarantine เสร็จ VM จะอยู่ในสถานะ Quarantined
3. เมื่อ VM ปลอดภัยแล้ว คลิก Quarantine Operations > End Quarantine

ข้อควรระวัง: Quarantine จะตัด network ของ VM ทั้งหมด สำหรับ essential services ให้ไปตั้งค่า policy ที่ Distributed Firewall

 

5. Ransomware Recovery

1. ใน VM Security list เลือก VM ที่ติด ransomware แล้วคลิก Ransomware Recovery
2. คลิก Quarantine เพื่อกักกัน VM ป้องกันการแพร่กระจาย แล้วคลิก Next
3. คลิก Create Snapshot เพื่อสร้าง snapshot ก่อนการกู้คืน
4. คลิก Next เพื่อ restore VM เลือก snapshot แล้วคลิก Preview เพื่อสร้าง linked-clone VM ตรวจสอบว่าข้อมูลไม่ถูกเข้ารหัส แล้วคลิก Start Recovery
5. หลัง restore คลิก Next เพื่อ scan virus แล้วจัดการ security events ด้วย Fix/Trust/Ignore
6. คลิก Next เพื่อ restore network ตรวจสอบ security status ของ VM ที่เชื่อมต่ออยู่ แล้วคลิก Restore Network

 

6. Security Capabilities

Security Events: ไปที่ Security Capabilities > Security Events

• Viruses: เลือก action เป็น Fix, Trust หรือ Ignore (แนะนำให้สร้าง snapshot ก่อน fix)
• Brute-Force Attacks: คลิก Block, Trust หรือ Ignore
• Cyber Attacks: คลิก Block หรือ Trust

Vulnerabilities: ไปที่ aSecurity > Security Capabilities > Vulnerabilities ดูข้อมูล Severity, Patch Name, Tags, Patch ID คลิก Fix เพื่อแก้ไข (แนะนำสร้าง snapshot ก่อน)

Cyber Attack Protection: ไปที่ aSecurity > Security Capabilities > Cyber Attack Protection คลิก Create กำหนด source, destination และเลือก scenario (IPS หรือ Web Vuln Protection)

Data Protection Policy: ไปที่ aSecurity > Security Capabilities > Data Protection Policy คลิก Add Resource Pool แล้วเพิ่ม VM หรือ Consistency Group

 

7. Security Logs

ไปที่ aSecurity > Security Logs เพื่อ query virus scan logs, brute-force attack logs, cyber attack logs และ vulnerability scan logs สำหรับ cyber attack logs สามารถเพิ่ม detection rule เข้า whitelist เพื่ออนุญาต cyber attack event ได้

 

8. Security Settings

Alerts: ไปที่ Security Settings > Alert Settings คลิก Change Email Address แล้วเลือก New > aSecurity Alert กำหนด notification limit สำหรับ Security Event Alerts และ Vulnerability Alerts

Signature Database Update: ไปที่ aSecurity > Security Settings > Signature Database Update ดูข้อมูล Name, Current Version, Latest Version, Update Time ทำการ online update, manual import หรือ rollback

Blacklist and Whitelist: ไปที่ Security Settings > Blacklist and Whitelist จัดการ 4 tabs:

• Permanent Blacklist: เพิ่ม/ลบ source IP addresses (สูงสุด 2,048 items)
• Rule Whitelist: เพิ่ม/ลบ web vulnerability protection หรือ IPS policies (สูงสุด 2,048 items)
• VM/IP Whitelist: เพิ่ม/ลบ source/destination IP addresses/VMs (สูงสุด 2,048 items)
• File Whitelist: ลบ trusted threat events (จะลบ files ที่มี MD5 value เดียวกันด้วย)

Troubleshooting: ไปที่ Security Settings > Troubleshooting

• Precise Traffic Analysis (แนะนำ): กำหนด Source IP, Destination IP, Protocol และ Impact Scope
• Global Passthrough (ใช้ด้วยความระมัดระวัง): ปิด firewall policies ทั้งหมดใน specified scope

aSecurity Upgrade: ไปที่ Security Settings > aSecurity Upgrade คลิก Upgrade หรือ Roll Back

Remote Maintenance: ไปที่ Security Settings > Remote Maintenance คลิก Enable SSH Port (จะถูกปิดอัตโนมัติหลัง 4 ชั่วโมง)

 

 

 

การตรวจสอบ

 

 

ตรวจสอบที่ aSecurity > Dashboard ว่า security overview แสดงข้อมูลถูกต้อง ตรวจสอบ VM Security page ว่า VM ทั้งหมดแสดง protection status ตรวจสอบ Security Capabilities ว่า policies ถูกสร้างและทำงานตามที่ตั้งค่าไว้

 

 

 

หมายเหตุ

 

 

• Virus scan สามารถ scan ได้สูงสุด 100 VM ต่อครั้ง และเก็บ scan records เฉพาะ 30 วันล่าสุด
• แนะนำให้ทำ virus scan ในช่วง off-peak hours เนื่องจากใช้ CPU และ memory resources
• ปัจจุบัน Windows vulnerabilities สามารถ fix ได้โดยตรง ส่วน Linux และ application vulnerabilities ใช้ virtual patching
• Precise traffic analysis จะถูกปิดอัตโนมัติหลัง 1 ชั่วโมง
• สามารถตั้งค่า IPS policies ได้สูงสุด 512 policies และ web vulnerability protection policies ได้สูงสุด 512 policies
• aSecurity ไม่รองรับ alert notifications ผ่าน SMS

 

 

 

บทความที่เกี่ยวข้อง

• การติดตั้ง Virtual Machine Security Agent (aSEC)
• การติดตั้ง Database Management Platform (DMP) บน SCP
• มี Alert เพิ่มขึ้นจาก SCP - การตั้งค่า Alert และ Notification Policies
• วิธีการทำ SCP Resource Pool quota limit