AWS Thai Blog
บทสรุปจากงาน re:Invent 2022 ในหัวข้อ Networking และ Security
งาน re:Invent 2022 ปลายที่ผ่านมา ทาง Amazon Web Services (AWS) ได้มีการประกาศเซอร์วิสใหม่ๆ รวมถึงเพิ่มฟีเจอร์ใหม่ๆ ให้กับเซอร์วิสเดิมที่มีอยู่แล้วเป็นจำนวนมาก ซึ่งสามารถช่วยให้ผู้ใช้บริการ AWS มีความสะดวก และใช้งานได้อย่างมีประสิทธิภาพมากยิ่งขึ้น สำหรับบทความนี้ ทีมงาน AWS Thailand ได้มีการสรุปงาน Re:Invent 2022 ที่ผ่านมา โดยในหมวดหมู่ Networking และ Security นั้น AWS มีเซอร์วิสและฟีเจอร์ใหม่ๆ อะไรเพิ่มมาบ้างครับ
โดยหัวข้อ Networking และ Security จะแบ่งเป็นหัวข้อหลักๆ 3 ส่วนด้วยกันดังนี้
มาดูกันว่าในแต่ละหัวข้อมีอะไรเพิ่มมาใหม่ และช่วยให้ผู้ใช้งานของ AWS ได้อย่างไรบ้างครับ
Zero Trust on AWS
เรื่องแรกจะขอพูดถึงคือการทำ Zero Trust ซึ่ง AWS เองก็จะมีหลายๆ เซอร์วิสที่ออกมาสนับสนุนการทำ Zero Trust ให้แก่ลูกค้า สำหรับ Zero Trust เนี่ย หลายๆ ท่านอาจจะเคยได้ยินคำต่างๆ เกี่ยวกับ Zero Trust ไม่ว่าจะเป็น Zero Trust Model, Zero Trust Architecture หรือ Zero Trust Security กันมาบ้างแล้ว แต่ก็อาจจะมีบางท่านที่ยังไม่เคยได้ยินมาก่อน ผมจะขอเกริ่นเกี่ยวกับเจ้า Zero Trust ในเบื้องต้นก่อนว่ามันคืออะไร
เจ้า Zero Trust เนี่ย คอนเซปของมันคือ Never trust, Always verify หมายความว่า จะไม่เชื่อถืออะไรเลย จนกว่าจะได้รับการตรวจสอบ ไม่ว่าจะเป็นบุคคล, ระบบ หรืออุปกรณ์ ทั้งที่มาจากภายใน หรือภายนอก จะต้องมีการตรวจสอบอยู่เสมอ ก่อนที่จะอนุญาติให้เข้าไปใช้งาน เพื่อเพิ่มความปลอดภัยนั่นเอง
ยกตัวอย่างเช่น เดิมเลยในการทำเรื่อง Security อาจจะกำหนดความปลอดภัยแค่ใน Layer ของ Networking เช่น กำหนดให้ Source IP หรือ Network subnet ต้นทางติดต่อมายัง Server IP ปลายทางนั้นๆ แล้วจึงกำหนดว่าจะอนุญาตให้เข้าถึงหรือไม่ ซึ่งปัจจุบันการกำหนดความปลอดภัยเฉพาะเรื่อง networking เพียงอย่างเดียวเนี่ย อาจจะไม่เพียงพอแล้ว
ท่านจะต้องไปดูในเรื่องของมุมมองอื่นประกอบด้วย ยกตัวอย่างเช่น ผู้ใช้งานที่จะเข้ามาที่ระบบ หรือ application ของท่านเนี่ย เป็นใคร อาจจะกำหนดว่าผู้ใช้งานคนนี้หรือกลุ่มนี้ หรือจากบริษัทนี้เข้าได้ แต่ในบริษัทเองก็มีคนหลายคน ซึ่งเดิมท่านอาจจะต้องการแค่อนุญาตให้เฉพาะบางคนสามารถเข้าใช้งานได้เท่านั้น อันนี้จะเป็นพื้นฐานการอนุญาตเข้าถึงข้อมูลของ Zero Trust ครับ
ซึ่งตอนนี้หลายๆ องค์กร ในประเทศไทยและต่างประเทศ ก็พยายาม implement ส่วนนี้ ให้กับ application ของเค้าอยู่นะครับเพราะฉะนั้นอย่างเชื่อแค่เรื่อง network แต่ให้เอาเรื่องอื่นๆ มาพิจารณาประกอบในการทำเรื่อง security ด้วยครับ
ทาง AWS มีข้อมูลสำหรับให้ผู้ใช้งานนำไปเป็นแนวทางในการทำ Zero Trust ให้กับองค์กรของท่าน สามารถดูรายละเอียดเพิ่มเติมได้ที่ AWS Zero Trust guiding principles
Amazon VPC Lattice (Preview)
ส่วนแรกเลยที่เป็นเซอร์วิสใหม่ที่ AWS ออกมามีชื่อว่า Amazon VPC Lattice ให้บริการในการเชื่อมต่อเน็ตเวิร์คในระดับ Application layer ที่ช่วยในการสร้าง network connectivity ที่มีความเสถียรภาพ พร้อมทั้งช่วยรักษาความปลอดภัยและตรวจสอบการเชื่อมต่อสื่อสารของแต่ละเซอร์วิสเข้าด้วยกัน โดยไม่ต้องมีความรู้หรือความเชี่ยวชาญด้านเครือข่ายระบบ (Network Expertise) มาก่อน
VPC Lattice ช่วยให้ทีม Developer ของท่านสามารถกำหนดการเข้าถึงเครือข่าย การจัดการทราฟฟิก และการตรวจสอบเครือข่าย โดยสามารถกำหนด authentication และ authorization เพื่อเปิดการเชื่อมต่อสื่อสารระหว่างบริการต่างๆ ที่เกี่ยวข้องเข้ากันทั่วทั้ง VPC และ AWS Account ได้อย่างง่ายดาย สามารถรองรับการใช้งาน AWS Compute ทั้ง EC2 Instance, Containers และ Serverless
โดยเซอร์วิสนี้อยู่ระหว่างเปิดให้ทดสอบใช้งานอยู่นะครับ (Preview) ดูข้อมูลเพิ่มได้ที่ Amazon VPC Lattice
AWS Verified Access (Preview)
ถัดมาอีกเรื่องนึงเป็นเซอร์วิสใหม่ที่ชื่อว่า AWS Verified Access หรือเรียกย่อสั้นๆ ว่า AVA ซึ่งถูกสร้างขึ้นมากจากแนวคิดของ AWS Zero Trust guiding principles มีหน้าที่ช่วยตรวจสอบ Request ไปยังแอปพลิเคชันแต่ละรายการ โดยทุกๆ request จะมีการตรวจสอบสิทธิ์การเข้าถึงแอปพลิเคชั่นนั้นๆ ทดแทนจากเดิมที่ใช้ VPN ในการเชื่อมต่อ ซึ่งจะช่วยลดความยุ่งยากในการ Remote Access ของผู้ใช้งาน และลดความซับซ้อนของผู้ดูแลระบบในการจัดการระบบ VPN
เดิมเลย วิธีการอนุญาติให้พนักงานเข้าถึงแอปพลิเคชั่นผ่านการ Remote Access จากสถานที่ต่างๆ ไม่ว่าจะเป็นตามร้านอาหาร สถานที่สาธารณะ หรือแม้แต่การทำงานจากที่บ้าน (Work form home) จะได้รับการอนุญาติสิทธิ์ในการเชื่อมต่อโดยผ่าน VPN
เมื่อพนักงาน Remote access ผ่าน VPN ซึ่งหลายๆ ครั้ง VPN ก็อนุญาติให้เชื่อมต่อไปยังแอปพลิเคชั่นอื่นๆ นอกเหนือจากที่ผู้เชื่อมต่อเรียกเข้าใช้งานได้ เนื่องจากการเข้าด้วย VPN จะเป็นการอนุญาติในระดับ Network เชื่อมต่อเข้าด้วยกัน ดังนั้นหากมีแอปพลิเคชั่นอื่นๆ ที่อยู่ภายใต้ Network เดียวกันกับของ VPN ที่อนุญาติ ก็จะสามารถเข้าถึงได้เช่นกัน ซึ่งแอปพลิเคชั่นอื่นๆ เหล่านั้น อาจจะไม่มีความจำเป็นที่จะต้องอนุญาติให้พนักงานคนนั้นๆ เข้าถึงเลยก็ได้
AWS Verified Access ช่วยให้ท่านสามารถเข้าถึงเครือข่ายที่ปลอดภัยโดยไม่ต้องใช้ VPN ไปยังแอปพลิเคชันขององค์กร โดย Verified Access จะตรวจสอบคำขอการ Access ในการเข้าถึงแต่ละรายการตามเวลาจริงและเชื่อมต่อระหว่างผู้ใช้งานกับแอปพลิเคชันที่พวกเขาได้รับอนุญาตให้เข้าถึงเท่านั้น ช่วยป้องกันไม่ให้เชื่อมต่อไปยังแอปพลิเคชันอื่นๆ ขององค์กรที่ไม่เกี่ยวข้องกับการใช้งานนั่นเอง
AWS Verified Access สามารถ integrates เข้ากับผู้ให้บริการ 3rd Party ด้าน Cyber Security ของ AWS ซึ่งช่วยในการช่วยตรวจสอบข้อมูล, สถานะความปลอดภัยของอุปกรณ์ และตำแหน่งที่ตั้งของผู้ใช้งานต้นทางที่เรียกเข้ามา เรียกได้ว่าเป็นศูนย์กลางในการช่วยตรวจสอบการยืนยันตัวตนให้ทั้งหมดเลยครับ
โดยเซอร์วิสนี้อยู่ระหว่างเปิดให้ทดสอบใช้งานอยู่นะครับ (Preview) ดูข้อมูลเพิ่มได้ที่ AWS Verified Access
Amazon Verified Permission (Preview)
เซอร์วิสถัดไปมีชื่อว่า Amazon Verified Permission ซึ่งจะเป็นเรื่องการกำหนด Security Policy โดย Amazon Verified Permissions เป็นบริการที่เป็นศูนย์กลางในการบริหารจัดการที่ช่วยการจัดการสิทธิ์และการให้สิทธิ์ในการเข้าถึงระบบแอปพลิเคชั่น ซึ่งมีความยืดหยุนสูง สามารถปรับขนาด scales ตามแอปพลิเคชันได้อัตโนมัติ และช่วยให้นักพัฒนาระบบอนุญาตเข้าถึงจากผู้ใช้ภายในแต่ละแอปพลิเคชันได้อย่างอิสระจากกัน
Amazon Verified Permissions ใช้ภาษาที่เรียกว่า Cedar ซึ่งเป็นภาษาที่ AWS พัฒนาขึ้นเพื่อกำหนดการทำ permission โดยเฉพาะ ช่วยให้ทีมพัฒนาระบบ สามารถกำหนด permission ได้ง่ายมากยิ่งขึ้น
โดยเซอร์วิสนี้อยู่ระหว่างเปิดให้ทดสอบใช้งานอยู่นะครับ (Preview) ดูข้อมูลเพิ่มได้ที่ AWS Verified Permission
DevSecOps Improvement
ลำดับที่ 2 จะเป็นกลุ่มของ DevSecOps Improvement ซึ่งหลายๆ อันจะเป็นส่วนต่อขยายของเซอร์วิสเดิมที่มีอยู่แล้ว โดยจะช่วยให้งานของทีมดูแลระบบรวมถึงทีมพัฒนาระบบทำงานได้ง่ายและประสิทธิภาพมากยิ่งขึ้น
Amazon Security Lake (Preview)
Amazon Security Lake เป็นบริการ Data Lake ด้านความปลอดภัยทางไซเบอร์ที่ท่านสามารถเข้าไปบริหารจัดการได้เต็มรูปแบบ ท่านสามารถใช้ Security Lake เพื่อเป็นศูนย์รวมข้อมูลความปลอดภัยทางไซเบอร์ ทั้งจากเซอร์วิสต่างๆของ AWS เอง และยังสามารถส่ง Log จากอุปกรณ์ทางด้าน Cyber Security ชั้นนำหลายๆ ยี่ห้อได้โดยอัตโนมัติ โดยข้อมูลทั้งหมด จะถูกจัดเก็บไว้ที่ Data Lake ภายใต้ AWS Account ที่ท่านได้กำหนดไว้ ซึ่ง Security Lake ช่วยให้ท่านสามารถนำข้อมูลด้าน Cyber Security ที่รวบรวมไว้ไปวิเคราะห์และหาสาเหตุของความปลอดภัยด้านไซเบอร์ต่อได้ ซึ่งช่วยให้ท่านสามารถเข้าใจมาตรการรักษาความปลอดภัยทางไซเบอร์ทั่วทั้งองค์กรของท่านได้อย่างสมบูรณ์ยิ่งขึ้น ด้วย Security Lake ท่านยังสามารถปรับปรุงการป้องกันเวิร์กโหลด, แอปพลิเคชัน และข้อมูลได้สะดวกมากยิ่งขึ้นครับ
Amazon Security Lake ได้ใช้รูปแบบการจัดเก็บ Log ด้วยมาตราฐาน Open Cybersecurity Schema Framework (OCSF) ซึ่ง OCSF ได้รับการออกแบบโดยมีเป้าหมายให้เป็นมาตราฐานกลางใ นการจัดเก็บ Log format สำหรับอุปกรณ์ Cyber Security ซึ่งเรียกได้ว่าเป็น general format สำหรับการทำงานร่วมกันเกี่ยวกับ log ที่บันทึกเหตุการณ์ด้านความปลอดภัยต่างๆ ทำให้เวลาที่เอา log มาประมวลผลวิเคราะห์ใช้งาน มันจะเป็น format ที่เป็น normalize เรียบร้อยแล้วแล้ว ซึ่งช่วยให้ท่านสามารถนำไปวิเคราะห์ หรือนำไปใช้งานอื่นๆ ต่อได้สะดวกมากขึ้น
เพระฉะนั้นจุดเด่นของ Security Lake ก็คือ จะเป็น data lake ในการเก็บ information ของ log เหล่านี้ด้วย และสามารถทำเรื่อง normalization ของพวกตัว log ได้ ซึ่งอุปกรณ์ทางด้าน Cyber Security ชั้นนำหลายๆ ยี่ห้อ ก็จัดเก็บ log ใน format ของ OCSF เช่นกัน ทำให้สามารถนำ log จากอุปกรณ์เหล่านี้ มาจัดเก็บใน Security lake ในที่เดียวกันได้เลย ก็จะช่วยให้การทำงานของทีม Operation ทำงานได้สะดวกยิ่งขึ้น เนื่องจาก Log ถูกจัดเก็บและเป็น format มาตราฐานเดียวกันนั่นเอง
ตอนนี้อยู่ระหว่างเปิดให้ทดสอบใช้งานอยู่นะครับ (Preview) ดูข้อมูลเพิ่มได้ที่ Amazon Security Lake
นอกจาก Amazon Security Lake แล้ว ทาง AWS เองยังได้เพิ่มฟีเจอร์ใหม่ๆ ให้กับบางเซอร์วิส เพื่อช่วยให้ท่านผู้ใช้งาน AWS สามารถใช้งานได้สะดวกและมีประสิทธิภาพมากยิ่งขึ้น มาดูกันว่าทาง AWS เองมีการเพิ่มฟีเจอร์อะไรมาให้บ้างกันครับ
AWS Config Proactive Compliance (GA)
AWS ได้เพื่มประสิทธิภาพในการตรวจสอบเชิงรุก (Proactive) เพื่อให้เป็นไปตามกฏข้อกำหนดของ AWS Config Rules AWS ก่อนการจัดเตรียม resource ต่างก่อนที่จะ provisioning ออกไป ซึ่งช่วยให้ท่านประหยัดเวลาที่ใช้ในการแก้ไข resource ที่ไม่เป็นไปตามข้อกำหนด (non-compliance) นอกจากนี้ยังสามารถผนวกเอา AWS Config เข้ากับ CI/CD Pipeline เพื่อตรวจสอบ resource ป้องกันไม่ได้มี resource ที่ไม่เป็นไปตามข้อกำหนดหลุดลอดออกไป ก่อนที่จะ provisioning โดยรองรับทั้งการใช้งานผ่าน AWS Console และ API ครับ
รายละเอียดเพิ่มเติมของ AWS Config Proactive Compliance
AWS Control Tower – Comprehensive Controls Management (Preview)
AWS ได้เพิ่มฟีเจอร์ comprehensive controls management ใน AWS Control Tower ซึ่งช่วยให้ท่านสามารถกำหนดมาตราฐาน รวมถึงการควบคุมและป้องกันของการใช้งาน resource ภายใต้ AWS Account และ Organization Unit (OU) ตามเซอร์วิสที่ได้ใช้บริการ พร้อมทั้งระบุให้เป็นตามวัตถุประสงค์ในการบริหารจัดการควบคุม หรือหลักการปฏิบัติตามข้อกำหนดที่ท่านได้ตั้งไว้ผ่าน AWS Control Tower ซึ่งสิ่งเหล่านี้จะช่วยให้ท่านประหยัดเวลาและลดความยุ่งยากในการบริหารจัดการอีกด้วย
รายละเอียดเพิ่มเติมของ AWS Control Tower – Comprehensive Controls Management
AWS Control Tower – Account Factory Customization : AFC (GA)
ขณะนี้ AWS Control Tower ได้เพิ่มฟีเจอร์ Account Factory Customization (AFC) ซึ่งช่วยให้ท่านสามารถกำหนดและปรับแต่ง AWS Account ทั้ง accountใหม่และ account เดิมที่มีอยู่ก่อน ก่อนที่จะ Provisining จากคอนโซลของ AWS Control Tower
ด้วยความสามารถนี้ ช่วยให้ท่านกำหนด Blueprint จาก AWS Control Tower เพื่อกำหนด AWS Account ภายใต้ AWS Organization เป็นมาตราฐานเดียวกันได้ทั้งหมด และยังสามารถทำเป็นแม่แบบให้เหมาะสมตามแต่ละ use case ได้อีกด้วย
รายละเอียดเพิ่มเติมของ Account Factory Customization (AFC)
AWS Organizations – Delegation of Administrative accounts (GA)
AWS ได้เปิดตัวระบบที่ให้ผู้ดูแลระบบสามารถมอบหมายสิทธิ Adninistrator ในการบริหารจัดการ AWS Organizations แก่ผู้ดูแลระบบท่านอื่นๆ เพื่อไปดูแล และบริหารจัดการ resource ตามความต้องการของแต่ละ OU ของแต่ละสายธุรกิจได้อย่างอิสระ
รายละเอียดเพิ่มเติมของ AWS Organizations – Delegation of Administrative accounts
AWS CloudTrail Lake AWS Config integration (GA)
AWS เพิ่มความสามารถ ให้ AWS CloudTrail Lake สามารถ import การกำหนดค่าต่างๆ จาก AWS Config ได้แล้ว ซึ่งช่วยอำนวยความสะดวกในการตรวจสอบด้านความปลอดภัยทางไซเบอร์และการปฏิบัติตามข้อกำหนดที่ได้ตั้งไว้
รายละเอียเพิ่มเติมของ AWS CloudTrail Lake AWS Config integration
Amazon Macie Automated Data Discovery (GA)
AWS ได้เพิ่มความสามารถของ Amazon Macie ให้สามารถค้นหาและตรวจสอบข้อมูลที่เป็นพวก Sensitive Data ต่างๆ โดยจะใช้ machine learning และ pattern matching เป็นตัวช่วยในการค้นหา ช่วยให้ท่านมองเห็นและป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูลโดยอัตโนมัติ รวมทั้งสามารถมองเห็นตำแหน่งที่ข้อมูลที่ละเอียดอ่อนต่างๆ ของท่านอยู่ใน Amazon S3 พร้อมทั้งสามารถแจ้งเตือนไปยังผู้ดูแลระบบให้ทราบอัตโนมัติ หากเกิดมีการเพิ่มข้อมูลใหม่ๆ เข้ามาใน Amazon S3 bucket แล้ว Sensitive Data อยู่ในนั้นอีกด้วย
รายละเอียดเพิ่มเติมของ Amazon Macie Automated Data Discovery
Amazon Inspector for Lambda Functions (GA)
AWS เพิ่มฟีเจอร์ของ Amazon Inspector ให้รองรับการทำงานของ AWS Lambda Function ได้แล้ว โดยเพิ่มการประเมินและค้นหาช่องโหว่โดยอัตโนมัติอสำหรับ Serverless compute ด้วยความสามารถที่เพิ่มขึ้นนี้ช่วยให้ Amazon Inspector สามารถค้นหาและระบุช่องโหว่ของซอฟต์แวร์ รวมถึง package ของแอปพลิเคชั่นภายใต้ Lambda function code ได้อัตโนมัติ
รายละเอียดเพิ่มเติมของ Amazon Inspector for Lambda Functions
AWS KMS external key store – XKS (GA)
AWS ได้เพิ่มฟีเจอร์ใหม่ของ AWS Key Management Service (AWS KMS) โดยการเพิ่ม External Key Store (XKS) เพื่อช่วยให้ลูกค้าที่ต้องการปกป้องข้อมูลด้วยคีย์การเข้ารหัสที่ต้องการจัดเก็บไว้ในระบบการจัดการคีย์ภายนอกภายใต้การควบคุมของลูกค้าเอง ทำให้ลูกค้ามีความยืดหยุ่นในการกำหนดการเข้ารหัสหรือถอดรหัสข้อมูลด้วย cryptographic keys, independent authorization รวมถึงการตรวจสอบในระบบการจัดการคีย์ภายนอกนอก AWS ได้เอง
รายละเอียดเพิ่มเติมของ AWS KMS external key store – XKS
Amazon GuardDuty RDS Protection (GA)
AWS ได้เพิ่มฟีเจอร์ ของ Amazon GuardDuty ในการป้องกันการโจมตี RDS database โดยมี machine learning คอยตรวจจับพฤติกรรมการเข้าสู่ระบบที่น่าสงสัยไปที่ Aurora เพื่อช่วยลูกค้าปกป้องข้อมูลที่จัดเก็บไว้ในฐานข้อมูล Aurora ได้ดียิ่งขึ้น ท่านสามารถเปิดใช้งานฟีเจอร์นี้ได้ภายในคลิกเดียวผ่าน AWS คอนโซลของ GuardDuty ซึ่งช่วยให้ทีม Cyber Security ของท่านเปิดใช้และจัดการ GuardDuty RDS Protection ในทุก AWS Account ภายใต้ AWS Organization ของท่านได้อย่างง่ายดาย
รายละเอียเพิ่มเติมของ Amazon GuardDuty RDS Protection
Amazon CloudWatch Internet Monitor (GA)
Amazon CloudWatch Internet Monitor เป็นฟีเจอร์ที่ AWS ออกมาเพื่อช่วยให้ผู้ใช้งานสามารถมองเห็นปัญหาอินเทอร์เน็ตต่างๆ ที่อาจส่งผลกระทบต่อประสิทธิภาพในการใช้งานแอปพลิเคชันของท่าน
ในบางครั้งเวลาระบบแอปพลิเคชั่นของท่านพบเจอปัญหาในการเรียกเข้าใช้งาน บางทีอาจจะไปมองว่าเครื่องเว็บแอปพลิเคชั่น หรือ ดาต้าเบสของท่านพังหรือเปล่า แต่ในความเป็นจริงแล้วอาจจะมีปัจจัยภายนอกอื่นที่มาเกี่ยวข้องด้วย เช่นอินเตอร์เน็ตของผู้ที่ใช้งานแอปพลิเคชั่นอาจจะล่ม ซึ่งสิ่งเหล่านี้ก็จะเป็นปัจจัยภายนอกของ AWS แล้วมีผลกระทบกับประสิทธิภาพในการเข้าใช้งานของแอปพลิเคชั่นของท่านได้
แต่ในวันนี้ AWS ได้เพิ่มฟีเจอร์ความสามารถของ Cloudwatch สามารถมอนิเตอร์การเชื่อมต่อของอินเตอร์เน็ตได้ ว่าสาเหตุที่ไม่สามารถเข้าใช้งานระบบหรือแอปพลิชั่น อาจจะเกิดจากปัจจัยภายนอกหรือป่าว ก็จะสามารถมาช่วยตรวจสอบในส่วนนี้ได้ครับ
รายละเอียดเพิ่มเติมของ Amazon CloudWatch Internet Monitor
AWS Network Manager – AWS Global Network Monitoring (GA)
AWS ได้เพิ่มความสามารถของ AWS Network Manager ช่วยให้ท่านสามารถตรวจสอบประสิทธิภาพ AWS Global Network ทั้งแบบ Real-time รวมถึงสามารถดูเหตุการณ์ย้อนหลังได้ ซึ่งช่วยให้ท่านสามารถกำหนดทิศทาง วัตถุประสงค์ในการดำเนินงานและการวางแผนในการหาเส้นทาง Network ที่มี Latency ต่ำภายใต้ AWS Global Infrastructure ได้
โดยท่านจะสามารถตรวจสอบ Latency ระหว่าง AWS Regions ด้วยกัน, ระหว่างแต่ละ Availability Zones หรือ ภายใน Availability Zone เดียวกัน ซึ่งช่วยให้ท่านเข้าใจถึงประสิทธิภาพของแอปพลิเคชันของท่านนั้นเกี่ยวข้องกับประสิทธิภาพของเครือข่าย AWS พื้นฐานอย่างไรได้ดีขึ้นอีกด้วย
รายละเอียดเพิ่มเติมของ AWS Network Manager – AWS Global Network Monitoring
VPC Reachability Analyzer – Cross Accounts Supported (GA)
VPC Reachability Analyzer ช่วยให้ท่านสามารถวิเคราะห์ความสามารถในการเข้าถึงเครือข่ายระหว่าง Resource ต้นทางและ Resource ปลายทางในระบบ AWS VPC ซึ่งจากเดิมที่รองรับเฉพาะ Resource ภายใต้ AWS Account เดียวกันเท่านั้น
โดยปัจจุบัน AWS ได้เพิ่มความสามารถให้รองรับ Resource ข้าม AWS ไปยัง AWS VPC คนละ AWS Account ได้ แต่ตั้งอยู่ภายใต้เงื่อนไขที่ แต่ละ VPC ต้องอยู่ภายใต้ AWS Account ของ AWS Organization เดียวกัน
รายละเอียดเพิ่มเติมของ VPC Reachability Analyzer – Cross Accounts Supported
Application Resiliency
ในลำดับสุดท้าย จะเป็นเรื่องการทำ Application Resiliency มาดูกันว่ามีฟีเจอร์ใหม่ๆ อะไรบ้างมาช่วยในส่วนนี้
Disable ALB Cross-zone load balancing (GA)
ในส่วนที่เพิ่มมาคือการปิด ALB Cross-zone load balancing
ต้องย้อนความไปนิดนึง ซึ่งโดยปกติในการออกแบบระบบที่ใช้งานด้วย Elastic Load Balancer เพื่อช่วยเรื่อง High Availability จะมีการกระจาย Node EC2 ไปหลายๆ AZ ตั่งแต่ 2AZs – 3AZs เป็นต้น แล้วตัว Application Load balancer โดยค่า default มันจะเปิดการทำ Cross-zone load balancing โดยจะกระจาย workload ไปในทุกๆ AZs ที่ท่านได้เลือกไว้อยู่แล้ว
สมมติว่ามี Traffic เรียกเข้ามาที่ AZ1 มันก็จะส่ง traffic ไปให้เครื่องอื่นๆ ที่อยู่ใน AZ อื่นๆด้วย ซึ่งสิ่งนี้คือการทำ Cross-zone load balancing ซึ่งก่อนหน้านี้จะไม่สามารถปิด cross-zone load balancing ได้
ในวันนี้ AWS ได้เพิ่มฟีเจอร์ให้ท่านสามารถปิดการทำ load balancing แบบ cross-zone ได้แล้ว โดยข้อดีของฟีเจอร์นี้จะเข้ามาช่วยแก้ปัญหา ซึ่งอย่างที่ทุกท่านทราบว่าในแต่ละ AZ คือกลุ่มของ Data center มันมีโอกาสที่โซนๆ นึงอาจจะมีปัญหา เช่นไฟดับ หรือภายในตู้แร๊คเดียวเองก็อาจจะมีฮาร์ดแวร์มีปัญหา ทำให้เครื่อง VM มันพัง ซึ่งจะทำให้ประสิทธิภาพการใช้งานของ AZ นั้นๆ ลดลง ซึ่งเคสนี้จะทำให้การ วิเคราะห์สาเหตุของปัญหาเป็นไปได้ยากเนื่องจากบางทีมันเจอปัญหาบบ้าง ไม่เจอบ้าง ในบางเซอร์วิสอาจจะใช้ได้บ้าง ไม่ได้บ้าง
ซึ่งการเพิ่มสามารถให้สามารถปิด disable cross-zone load balancing เพื่อให้แยก traffic ระหว่างโซนอย่างเด็ดขาด ไม่ได้ traffic ของโซนอื่นๆ ส่งข้อมูลไปยัง โซนที่มีปัญหาเพื่อที่ว่า หากโซนใดโซนหนึ่งมีปัญหา จะป้องกันไม่ให้ส่ง traffic ไปยังโซนนั้นๆนั่นเอง
Target group health – DNS Failover (GA)
อีกฟีเจอร์นึ่งที่เพิ่มขึ้นมาซึ่งสามารถใช้งานประกอบร่วมกับนั่นก็คือฟีเจอร์ที่เรียกว่า Target group health – DNS Failover ซึ่งจะสามารถกำหนดและตรวจสอบค่าของเกณฑ์ในการตั้ง threshold ได้เช่น ถ้าสมมติว่าใน workload ของในแต่ละ AZ A, AZ B หรือ AC Zเนี่ย ในแต่ละ AZ มี EC2 อยู่ 10 เครื่อง แล้วท่านได้กำหนดค่า threshold ให้ 50% healthy แล้วปรากฏว่า มี 6 EC2 จาก 10 EC2 ซึ่งอยู่ๆ ก็พังโดยไม่ทราบสาเหตุ ท่านสามารถกำหนดค่าไว้เลยว่า ถ้า healthy ไม่ถึง 50% ให้ถือว่า AZ A นี้พังทั้งหมด เพื่อเป็นการป้องกันไม่ให้ส่ง Traffic มายัง AZ A นี้ ส่วนอีก 2 AZ ที่ใช้งานได้ปกติ ก็ให้ส่ง traffic ไปที่ AZ นั้นๆ แทน
ซึ่งฟีเจอร์เหล่านี้ ก็จะมาช่วยให้ผู้ดูแลระบบวิเคราะห์สาเหตุของปัญหาได้ จากที่เมื่อก่อนจะวิเคราะห์หาสาเหตุของปัญหาได้ยาก เนื่องจากการกระจาย traffic นั้นได้ส่งไปยังหลายๆ AZ และเมื่อมีฟีเจอร์นี้แล้ว ทำให้สามารถ แยก traffic เป็นแต่ละ AZ ได้แล้ว ซึ่งหากตรวจสอบพบว่ามี AZ ไหนที่ไม่สามารถใช้งานได้ 100% ก็ปิดไม่ให้ traffic ส่งข้อมูลไปยังมา AZ นั้น แล้วให้ไปใช้งาน AZ อื่นๆ แทนได้ครับ
Amazon Route 53 ARC – Zonal Shift (GA)
อีกฟีเจอร์หนึ่งที่จะมาช่วยเสริมในเรื่องนี้ก็คือ Amazon Route 53 Application Recovery Controller (ARC) โดยความสามารถของฟีเจอร์นี้จะช่วยให้ท่านตรวจสอบได้ว่าแต่ละ AZ มี latency เท่าไรบ้าง ซึ่งหากทีมผู้ดูแลระบบของท่านพบว่า มี AZ ใด AZ หนึ่ง มี AZ สูงผิดปกติ เช่นพบว่า AZ C มี Latency สูงผิดปกติ ท่านก็สามารถใช้ AWS console เข้าไปสั่งแบบ manual ได้ว่า ไม่ให้ส่ง traffic ไปที่ AZ C เนื่องจาก Latency มันสูงมากผิดปกติ เพื่อป้องกันไม่ได้มีผลกระทบกับผู้ใช้งานแอปพลิเคชั่นของท่าน หลังจากนั้น ทีมผู้ดูแลระบบ จึงค่อยมาหาสาเหตุว่าทำไม AZ นั้นๆ ถึงมี Latency สูง ซึ่งปัญหาอาจจะมาจากการกำหนดค่าผิดก็เป็นไปได้
โดยหลักๆ แล้ว ท่านก็จะมีเซอร์วิสใหม่ๆ หลายๆ ตัวเพิ่มเข้ามา อย่างเช่น ท่านมี Lattice ที่มาช่วยเรื่องการทำ Zero Trust มี Amazon Verified Permission และ Amazon Verified access ที่มาช่วยในเรื่องการกำหนด permission และการ authentication ว่าใครสามารถเข้ามาทำอะไรในแต่ละ application ได้บ้างตั่งแต่ระดับ network ก็คือตัว Amazon Verified access และระดับแอพพลิเคชั่น ก็คือตัว Amazon Verified permission รวมถึงการปรับปรุงประสิทธิภาพของเซอร์วิสเดิมต่างๆ เช่น Amazon GuardDuty, Amazon Inspector รวมถึงการออกเซอร์วิสใหม่ เช่น Amazon Security lake ซึ่งมาช่วยลดงานทั้งฝั่งทีมดูแลระบบ (Operation) และทีมพัฒนาระบบ (Developer) ต่างๆ เยอะแยะมากมาย
และนี่ก็ส่วนทั้งหมด ที่ AWS ได้เพิ่มเซอร์วิสและฟีเจอร์ใหม่ๆ ด้าน Security และ Networking ทาง AWS Thailand หวังว่าสิ่งเหล่านี้จะสามารถช่วยให้การทำงานของท่านผู้ใช้งาน AWS ทำงานได้สะดวกและมีประสิทธิภาพมากยิ่งขึ้นครับ แล้วพบกันใหม่ในบทความถัดไปครับ