สำหรับงานนี้มีเกร็ดเล็กน้อย จะเป็นงานที่แบบจัดทุกวันศุกร์สุดท้ายของเดือนกรกฏาคมครับ น่าจะเพราะวันนี้เป็นวันหยุด (แต่ทำงาน) ก็ได้เลยเข้ามาฟังด้วยครับ
หัวข้อ
- Boost your technical skills with Microsoft Learn and GitHub Skills
- How CSA help shaping proper cloud services through CCSK and CCM
- Isolate Multiple Ingress Resources and Policies Using Ingress Class in Kubernetes
- What is the difference between penetration test and smart contract audit?
- Your Data-Driven Career Path: Turning data into information
- MySQL Performance Tuning
- “Log“ (2564 & PDPA preparation)
- Into the blue
- When you create the ClusterIP service in Kubernetes, what happens to the iptables rules?
- GitLab on Docker
- Zero Trust Security
- System Monitoring
Boost your technical skills with Microsoft Learn and GitHub Skills
- Microsoft Learn
- เป็น Portal แหล่งเรียนรู้จาก Microsoft โดยเราสามารถหาได้ตาม Role / Interest ได้ ทั้งในส่วนของ Azure / Programming ภาษาต่างๆ / Tools ต่างๆ อย่าง vscode เป็นต้นครับ
- หรือ จะตาม Exam Path ก็ได้นะ อย่างผมมีเรียนไปเหมือนกันครับ ตาม Blog ผ่านไปครึ่งปี 2022 กับการสอบ Azure Certification
- บาง Lab มี Sandbox ให้ทดสอบ
- NOTE: เพิ่งรู้ว่า Knowledge Check ถ้าตอบถูกหมดครั้งแรกจะได้ Point มากกว่า 555
- มีตัว Learn TV เอาไว้ดู Live Event หรือ Event ย้อนหลังต่างๆได้
- GitHub Skills - อันนี้น่าสนใจ จะเกี่ยวกับ GitHub เป็นหลักนะครับ อันนี้ผมมีเรื่องที่สนใจเหมือนกันนะ อย่าง GitHub Action ส่วนตัวได้ยินมานานและ แต่ไม่ได้ลองจริงจังๆ จะได้มาเทียบกับ Jenkin Pipeline ได้เหมือนกันครับ
“How CSA help shaping proper cloud services through CCSK and CCM“
- CSA - Cloud Security Alliance
- CCSK - Certificate of Cloud Security Knowledge เป็น Cert ด้าน Cloud
- การเตรียมตัว - DEPA Program (Train Online) / KMITL
- CCSK CCSP & Vendor Specific Cert ต่างกันอย่างไร
- CCSK CCSP - Cert กลาง (Vendor Neutral) ที่ใช้ปรับใช้กับ Cloud ค่ายไหนก็ได้
- Vendor Specific Cert - Cert ที่เน้นการใช้ Service ของ Cloud เจ้านั้นๆ
- Certificate vs Certification
- Certificate - วัดความรู้หลังอบรม มันจะเป็นคำว่าประกาศนิยบัตร วุฒิบัตร เช่น CCSK ถ้า Vendor Specific จะเป็นพวกอย่าง Azure Fundamental
- Certification - ยากกว่า Certificate สภาพการสอบจะเข้มข้นกว่า อาจจะมี Lab ให้ลองทำ เช่น CCSP / CompTia
- CCSP รู้ ตีความ ประยุกต์ใช้ บางที่จะเจอ Choice แบบถูกหมด แต่อะไรถูกที่สุด / CCSK รู้องค์ความรู้ทั่วไป
- CCSK 14 Domain
- M1 Cloud Concept - Service Model / Deployment Model / Cloud Characteristic ในไทยยังขาด On-demand self-service / Rapid Elasticity
Note VPS != Cloud
- M2 Risk Management
- M3 Legal Issues, Contracts / Electronic Discovery (นึกถึง MS Pureview 55)
- M4 Compliance and Audit - อะไรที่เข้ากฏ (Compliance) หรือไม่เข้ากฏ (Non-Compliance) ตามมาตรฐานต่างๆ
- M5 Information Governance
- M6 Management Plane and Business Continuity
- M7 Infrastructure Security IaaS Security / SDP + Zero Trust /Immutable Infrastructure
- M8 Virtualization and Container
- M9 Incident Response
- M10 Application Security - CI/CD + Sec = DevSecOps
- M11 Data security and encryption
- M12 Identity / Entitlement and Access Management
- M13 SECaaS - Security as a Service
- M14 Related Technology - Big Data / IoT / Device Management / Serverless
- M1 Cloud Concept - Service Model / Deployment Model / Cloud Characteristic ในไทยยังขาด On-demand self-service / Rapid Elasticity
- Framework ด้าน Cybersecurity Controls - เอาไปเป็น Check List เวลาคุยกับ Customer ได้
- CCM (Cloud Control Matrix) บอกตัว Control Domain และ Cross Reference ไปยังมาตรฐานอื่นๆ อย่าง PCI-DSS เป็นต้น
- ENISA Cloud Computing Risk Assessment
- เก็บ Cert อะไรดี
- CCSK - Certificate (Vendor Neutral) กับ Cloud ค่ายไหนก็ได้ มี Code ส่วนลดเยอะช่วง 4 May / Black Friday
- สาย Audit สอบ CCAK ต้องผ่าน CCSK ก่อน
“Isolate Multiple Ingress Resources and Policies Using Ingress Class in Kubernetes“
- Kubernetes - Container Management Platform
- Ingress คือ ตัว Mapping เพื่อให้ Request จากภายนอก เข้าถึง Service ที่ Deploy ใน K8S ได้ โดยตัว Ingress จะ Implement Base บน Nginxโดยจะเป็น Pod นึง
- สำหรับ Process Flow Ingress Controller 1 ตัว ที่อธิบายได้ประมาณนี้
- 1-3 เตรียม Prometheus Metric / K8S API / kubectl
- 4 Read Pre-Config Template เช่น nginx.conf ทำ load balance ไว้
- ลง Log
- 6 Write Config File จาก 4
- 7 ตรวจสอบ tls cert + key และพวก jwt
- 8 Fetch Metric จาก Prometheus
- 9 ตรวจสอบ Version Config
- 10-12 ส่ง Signal ไปให้ Master Process สร้าง Resouce
- 14-15 อ่าน Config / Cert จาก 6/7
- จบ 18 Ingress Resource ถูกสร้างแล้ว
- 19-21 ส่วนที่ใช้งานกับ Ingress Resource แล้วง
- Zoom ลง
- Multiple Ingress Controller
- ทำไมต้องมี
- เพราะมีปัญหาคอขวดเกิดขึ้น แม้ว่า Ingress Controller ตัวเดียวจะเพิ่ม Pod ได้ก็ตาม
- แยกการจัดการชัดเจน แล้วอาจจะปิดตัว Default Ingress ทิ้ง
- Deploy Type
- Cluster Wide ใช้ได้หมดเลย (สีเขียว)
- Single Namespace (สีน้ำเงิน)
set controller.watchNamespace - Ingress Class (ตั้ง resource ให้ Ingress Class ให้ตรงกัน) ใช้ร่วมกับ Single Namespace ได้นะ
- Ingress Class Step
- สร้าง Ingress Controller โดยไม่ใช้ค่า Defaultของชื่อ Ingress + กำหนด ingress-class
- สร้าง Ingress Resource โดยระบุ ingress-class
- Installation Type
- Manifest - yaml แก้ requirement เพิ่ม -ingress-class + แก้ namespace
- Ingress Operator - ใช้บน OpenShift 1. ติดตั้ง Ingress Operator /
- Helm - ตัว Helm เป็นที่ช่วยลดความซับซ้อนของวิธี Manifest กำหนดตัวแปรได้ด้วย
- Policy Type
- Config Map ระดับ Global เช่น Timeout / ssh protocol / load balance method เป็นต้น แต่แก้ให้แต่ละตัว Ingress Controller ต่างกันได้นะ
- Annotation - ระบุ Per Ingress Resource
- เหมือนมีอีกรูปนอกจาก demo นะ
- Reference
“What is the difference between penetration test and smart contract audit?“
- Penetration Test
- Penetration Test - จำลองการโจมตี เพื่อเข้าระบบของลูกค้า หรือวัดประสิทะิภาพ โดยใช้ทั้งเครื่องมือ และคนที่เข้าใจตัว App หาทางโกงเข้าระบบได้
- Why Penetration Test
- Proactive - ตรงนี้ต้องวางแผนแต่แรก และกำหนดเวลาชัดเจน ปกติจะทำเป็นรอบๆ แบบปีละ 1-2 ครั้ง
- Regulator / Compliance - เช่น BOT / กลต กำหนด
- Test Security Control
- Penetration Test Process
- Planning - Scope ตาม Domain + Service ที่ใช้ / เวลาที่ใช้ ต้องระวัง และตกลงให้ชัดเจน เพราะตัว target domain อาจจะมีหลาย Service ใช้ร่วมกัน
- Reconnaissance and Discovery - ตรวจตาม Scope ว่าเข้าถึงส่วนไหนได้บ้าง และมี Input อะไร
- Vulnerability Analysis
- Exploitation - เจาะ และเก็บผลลัพธ์ + ส่วน Preliminary Report เพื่อ Fixed
- Fixed แก้ระบบ / Mitigation กันโดยใช้วิธีอื่น เช่น Firewall
- Reporting
- อะไรที่ทำให้ Penetration Test ไม่สำเร็จ
- บอกข้อมูลไม่หมด เช่น ไม่ยอมให้ User Pass เข้าไป Explorer
- โยนให้ Vendor ที่ Dev ระบบทำ ส่วนใหญ่จะได้ VA Scan มาแทน
- Smart Contract Audit
- Smart Contract Audit - ตรวจสอบ Source Code ว่ามีความเสี่ยง หรือช่องโหว่
- Why Smart Contract Audit
- Regulator / Compliance
- Proactive + Transparency - เพราะตัว Smart Contract จะต้อง Open Source Code ดังนั้นต้อง Audit ก่อน Publish
- Smart Contract Audit Process
- Planning - Scope / เวลาที่ใช้ / Code จาก Repository Commit ที่เท่าไหร่
- Setup Communication Channel - สอบถาม เพราะบางทีดู Code ของ Smart Contract แล้วมันแปลก หรือไม่ตรงกับ White Paper ที่เขียนออกมา
ปกติ จะรอให้ Code มันเสร็จสิ้นก่อนนะ ต่างกับ Penetration Test อาจจะแบ่ง API มาให้ - Audit ตรวจสอบ Code (น่าจะอารมร์แบบ Code Review) และออก Preliminary Report จะบอกลึกกว่า Penetration Test เพราะต้องระบุ Code ว่าบรรทัดไหน ไฟล์อะไร เป็นต้น แสดงวา Auditor ต้องเขียน Code ของ Smart Contract เป็น และมีประสบการณ์พัฒนามาด้วย
- Fixed แก้ Code Smart Contract
- Reporting
- อะไรที่ทำให้ Smart Contract Audit ไม่สำเร็จ
- เข้าใจผิดว่าทำไปแล้วจะให้ทำมัน Moon ได้ ซู๊ดดดดดดดดดดดดดดดดดด
- ให้เวลาน้อยไป เพราะตรวจ Source Code นานกว่า Penetration Test
- เข้าใจว่าทำแค่ Smart Contract อย่างเดียว ต้องดู Application ด้วยว่า Off-Chain หรือ On-Chain ถ้ามีส่วน Off Chain อย่างเว็บหลังบ้าน ต้องทำ Penetration Test
- Difference Summary
- Re-assessment
- Penetration Test
- Dev re-test ตาม Test Report ที่มีใส่ Request/Payload ไว้
- Dev Fixed และ re-test แต่ที่เจอกัน คือ DEV ไม่เข้าใจปัญหาจริงๆ แต่ไปป้องกัน Request/Payload ที่มีปัญหาแทน
- Penetration Test Again ตรวจตามช่องโหว่ที่แจ้งไป แต่อาจจะเจอ Issue ใหม่ เปลี่ยน Port แต่ Cert มีปัญหาเป็นต้น
- Smart Contract Audit
- Dev Review Report และคุยกับคน Audit และ Fixed Code ต้องแยก Branch กันนะ
- Smart Contract Audit ตรวจสอบอีกรอบ
ถ้าเอา Security ไปเป็น Requirement ได้แต่แรกๆ จะดีที่สุด
“Your Data-Driven Career Path: Turning data into information“
- Data from the past
- Data เปลี่ยนผ่านจาก Analog > Digital โดยมี Revolution หลายยุคครับ
- The Four Pillar of IT (Infra / Development / Security / Data) จริง Security + Data เพิ่มมาที่หลัง โดย 10 ปีมานี้ Data เตรียมโตขึ้นอย่างมาก พวก Big Data / IoT
- Data Driven Focus เน้น Criticality ไม่ใช้ Personality มาทำ Data Analytic และ Data Science ต่อ เพื่อตัดสินใน (Decision Making) / ปรับปรุงการทำงาน (Improvement)
- Data Jobs Role / Career
- โดยทั่วไปจะเป็นตำแหน่งกลางอย่าง Data Analyst แต่ถา้เป็นสายงานเฉพาะปรับไปตาม Context เช่น Security Analyst / Clinic Analyst (สายการแพทย์) หรือ Social Media Analyst เป็นต้น
- Need Inside and Outside IT ไม่จำเป็นต้อง IT ก็ได้นะ
- ถ้าสำคัญมากๆ มีตำแหน่งบริหารเพิ่มเติมอย่าง Chief Data Officer (CDO)
- Skill
- Note Governance - กระบวนการจัดการ Data ให้มีคุณภาพดี และมีความปลอดภัยที่ดีด้วย
- CompTIA Pathway
- CompTIA มีอายุประมาณ 3 ปี และมี Re-Cert ใหม่ โดยไม่ได้ยึดตาม Platform ใดๆอย่าง เช่น Azure / AWS เป็นต้น
- สำหรับงานด้วย Data มี Cert ใหม่ CompTIA Data+ ตัว Requirement ตามด้านล่างเลย
- Q: หากการให้ค่าตอบแทน Role ด้าน Data สูงขึ้น ต้องทำอย่างไร ?
A: เน้นให้ผู้บริหารเข้าใจถึงความสำคัญของ Data ว่าเอาไปทำอะไร สำคัญอย่างไร และมีประโยชน์ต่อองค์กร ประเทศชาติอย่างไร - ในไทยเหมือนทางภาครัฐมีหน่วยงานดูแลคุมมาตรฐานอยู่นะ อย่าง สถาบันคุณวุฒิวิชาชีพ (องค์การมหาชน) (tpqi.go.th)
“MySQL Performance Tuning“
- ตอนแรกผมอ่านผิด MSSQL ไปตามคนใน บ มาฟังเยอะเลย แหะๆ
- Flow - Log > Load Test > Monitor > Tune
- Tools
- MySQLTuner-perl
- MySQL Workbench - GUI มีหน้า dashboard
- Percona Monitoring and Management (PMM) - เป็นข้อมูลที่เป็น Time Series และนำมาตรวจสอบได้
- mysqlslap - generate load test tools การทดสอบประสิทธิภาพของ MySQL ด้วย mysqlslap
- Sample Case
- MySQL Dashboard
- จุด 1: Connection Total เยอะไป 4000 (Default 150 + 1 (Super User)) เพราะทุก Connection ที Cost ที่ใช้ RAM ไป ถ้ามาเยอะๆ และเกิน RAM ที่ Server มีก็เละ
- จุด 2: SELECT เยอะสุด
- จุด 3: อาจจะปรับ InnoDB Buffer Pool เพื่อเอา RAM มาใช้มากขึ้น (Default 128 MB) และจะลดงาน IO ได้มากขึ้น
- Performance Report - ดู Query ที่มีปัญหาด้วยนะ
- Performance Tips
- Enable MariaDB Log
- Slow Log Query
- Thread pool เปิดสำหรับ Query ที่สั้น และใช้ CPU ไม่ใช่ Query Select แบบซับซ้อน Aggregate เยอะๆ
- memcache plugin เพิ่มก็ดี
- เปิด Extra Port - สำหรับ Admin เข้าไปจัดการกรณีที่ Connection มันเต็ม
- innodb_buffer_pool_size
- สำหรับส่วนอื่นๆ ดูได้จาก Slide ตรง Resource เลย
- Q&A
- Q: ถ้า DB มัน Table มัน Mix InnoDB / MyISAM อันนี้มีคำแนะนำอย่างไรครับ พอดีมี Open Source ที่ใช้ใน บ Upgrade มาเรื่อยๆ แล้ว Table มันลูกผสมมาแบบนี้
A: ต้องดู Active Stat ว่ามันใช้ Resource ฝั่งไหนมากกว่ากัน หรือเป็นไปได้ก็ Migrate ไป InnoDB เลย
- Resource
ต่อ Part 2: สรุปงาน System Administrator Appreciation Day 2022 Part 2
Reference
- Virtual Event : System Administrator Appreciation Day 2022 | SysAdminDay.github.io (ถ้าย้อนไปปีก่อนๆจะมี VDO ที่อัดไว้ด้วยนะครับ)
Discover more from naiwaen@DebuggingSoft
Subscribe to get the latest posts to your email.
