به "وبلاگ فالنیک ( ایران اچ پی)" خوش آمدید    |   وبسایت فالنیک (ایران اچ پی)
امروز شنبه ۳ مهر ۱۴۰۰ - تماس با فالنیک : 8363-021

راهکارهای تامین امنیت تجهیزات لبه شبکه و کاربران

چگونه از تجهیزات نقطه پایانی مستقر در لبه محافظت کنیم؟

امنیت در زیرساخت‌های شبکه، کانال‌های ارتباطی و شبکه‌های کامپیوتری، مساله مهمی است. اهمیت این موضوع به ‌اندازه‌ای است که شرکت‌های بزرگ فعال در حوزه شبکه و امنیت به‌طور پیوسته راهکارهای مختلفی ارایه می‌کنند. هدف آنها حفظ امنیت نقاط پایانی و تجهیزاتی (مانند کامپیوتر و اسمارت فون) است که قرار است در لبه شبکه مستقر شوند و فناوری سرویس لبه دسترسی ایمن (SASE) یکی از مهمترین‌هاست. با فالنیک همراه باشید تا درباره sase و کاربرد آن بخوانید.

network adge چیست؟

لبه شبکه یا network edge نزدیک‌ترین نقطه به کاربر است یعنی جایی که نقطه پایانی اینترنت و شبکه محلی است. اوایل edge یا لبه فقط به دستگاه‌هایی مثل روتر گفته می‌شد اما با عرضه دستگاه‌های پیچیده‌تر مثل اسمارتفون‌ها مفهوم لبه شبکه تغییر کرد: دستگاه لبه یعنی هر دستگاهی که به اینترنت وصل می‌شود و یا توانایی اتصال به اینترنت را دارد مثل روتر، هاب های وای فای، اسمارت فون، کامپیوترها و دستگاه‌های IoT.

با عرضه ۵g و سطح سرویس‌ها، انواع دستگاه‌های لبه شبکه افزایش خواهد یافت.

حال برای تامین امنیت دستگاه‌های لبه باید راهکارهای دقیق و قدرتمندی در پیش گرفت خصوصا در دوران کرونا که دورکاری اهمیت زیادی پیدا کرده است. با فالنیک همراه باشید.

SASE چیست؟

sase مخفف Secure Access Service Edge است. سرویس لبه دسترسی ایمن، فناوری نسبتا جدیدی در حوزه امنیت است که اولین بار در سال ۲۰۱۹ میلادی ارائه شد. sase فناوری‌های امنیتی مختلف را با یکدیگر ترکیب و در قالب یک مفهوم واحد در اختیار سازمان‌ها قرار می‌دهد تا پیچیدگی معماری‌ها کم شده و سازمان‌ها بتوانند از راهکارهای امنیتی مختلف در قالب یک داشبورد واحد استفاده کنند و به شکل دقیق‌تری امنیت لبه و تجهیزات مستقر در لبه شبکه را مدیریت کنند.

sase فناوری کاربردی در تحول مدل‌های سنتی ارتباط با شبکه‌ها و تامین امنیت آن‌هاست. شرایط بد اقتصادی باعث شده تا شرکت‌ها و سازمان‌ها به شدت در حال رقابت با یکدیگر باشند و همواره به دنبال این مفهوم هستند که در کنار انجام فعالیت‌های تجاری در کوتاه‌ترین زمان از بهترین متدولوژی‌های امنیتی استفاده کنند. به‌طوری که دو مفهوم چابکی و پایداری در حوزه امنیت ارزش خاصی برای شرکت‌ها پیدا کرده است که تحت عنوان امنیت چابک (Agile Security) و خودترمیمی (Security Resiliency) از آن‌ها نام برده می‌شود. sase با هدف پاسخ‌گویی به این دو نیاز سازمان‌ها پدید آمده است. SASE این ظرفیت را دارد تا هر دو مفهوم شبکه و امنیت را به یک سرویس ابرمحور تبدیل می‌کند تا منابع سازمانی به شکل ساده‌ای در دسترس قرار گیرند.

راهکارهای SASE یکسان نیستند و هر شرکتی راه‌حل خاص خود را عرضه می‌کند اما همه آنها مجموعه‌ای از مولفه‌های مشابه ارایه می‌کنند که اصلی‌ترین آن‌ها عبارتند از:

  1. Cloud Access Security Brokers
  2. (FWaaS) Firewall As a Service
  3. سامانه پیشگیری از نفوذ  (IPS)
  4.  (SWG) Secure Web Gateways
  5.  (ZTNA) Zero Trust Network Access
مشاوره و طراحی شبکه در فالنیک (ایران اچ پی)
فالنیک با تکیه بر دانش، تخصص و تجربه متخصصین خود، نیازهای مشتریان خصوصی و دولتی خود را بررسی و تحلیل می‌کند و خدمات خود را در زمینه مشاوره، طراحی، پیاده‌سازی، نظارت و پشتیبانی شبکه‌های کامپیوتری ارایه می‌دهد.
دریافت مشاوره طراحی شبکه
SASE چیست؟
Sase چه چیزی نیست؟ sase ویژگی، راهکار و تکنولوژی مستقلی نیست و متشکل از چندین فناوری است در نتیجه با تکنولوژی‌هایی که آن را می‌سازد قابل مقایسه نیست و نمی‌تواند جایگزین آنها شود.

معماری sase مولفه‌های دیگری نیز دارد که از مهم‌ترین آن‌ها جعبه شن، محافظت از واسط‌های برنامه‌نویسی کاربردی، تفکیک مرورگر از راه دور  (RBI)، سامانه نام دامنه بازگشتی و شبکه خصوصی مجازی سنتی است.

مزیت‌های sase تنها در دسترسی آسان به منابع خلاصه نمی‌شود، این فناوری با حذف پیچیدگی‌های مرسوم، قابلیت‌های مهم و جدیدی در اختیار کارشناسان امنیت قرار می‌دهد تا بتوانند به بهترین شکل تحول دیجیتالی را در سازمان پیاده‌سازی کنند و به شکل پویا قادر به پاسخ‌گویی به تغییرات باشند. علاوه بر این امکان دسترسی امن به خدمات ابرمحور را برای کاربرانی که در موقعیت‌های جغرافیایی مختلف قرار دارند فراهم می‌کند.

امروزه تجهیزات زیادی باید در یک شبکه سازمانی بزرگ در قالب یک مجموعه متمرکز کار کنند و از طرفی باید محیطی وجود داشته باشد که در آن تمام شبکه و عملکردهای امنیتی بتوانند به صورت مرکزی کنترل شوند. برای روشن شدن بحث اجازه دهید به مثال ساده‌ای اشاره کنیم. شرکت hp فناوری قدرتمندی به‌نام iLO را برای مدیریت و کنترل کامل سرورها در اختیار مصرف‌کنندگان قرار داده تا ضمن کنترل بخش‌های مختلف سرور، توانایی اعمال خط‌مشی‌های امنیتی را نیز داشته باشند. SASE نیز چنین عملکردی را در مقیاس جامع‌تر و فراگیرتر ارایه می‌کند. با مطالعه “ilo چیست؟” با نرم افزار مدیریتی ilo در سرورهای hp آشنا می‌شوید.

شیوه‌های سنتی محافظت از تجهیزات سیار، دارایی‌های مستقر در ابر و کانال‌های ارتباطی که وظیفه برقراری ارتباط شعب را برعهده دارند با محیط‌های دیجیتال امروزی سازگاری زیاد و عملکرد سابق را ندارند. به همین دلیل حرکت به سمت sase باعث خواهد شد، برخی الگوها و مدل‌های ارتباطی حاکم بر شبکه‌ها و دنیای امنیت از میان بروند.

SASE چیست؟
برای بهره‌مندی از قابلیت‌های فناوری sase زیرساخت ارتباطی باید توانایی پشتیبانی از آن را داشته باشد.

تحول دیجیتالی به سرعت تمامی بخش‌های مختلف سازمان‌ها را هدف قرار داده و حتا بخش‌هایی نظیر بایگانی که به‌طور معمول در بحث دیجیتالی شدن توجه خاصی به آن‌ها نمی‌شود را دیجیتالی کرده است. همین مسئله باعث شده تا شاهد چابکی خوبی در سازمان‌ها باشیم و سرعت انجام کارها بیشتر از قبل شود اما نحوه اتصال و ایمن‌سازی ارتباطات موضوع مهمی است که نباید به‌سادگی از کنار آن گذشت.

همین موضوع باعث شده تا راه‌حل‌های سنتی امنیت،  خط‌مشی‌های حاکمیتی، الگوها و مدل‌های سنتی تعامل با شبکه‌ها و تامین امنیت آن‌ها به‌اندازه‌ای پیشرفت کنند که اکنون مفهومی به‌نام SASE به یکی از اولویت‌های بزرگ سازمان‌ها تبدیل شود. SASE ایده‌آل‌ترین راه‌حل‌ها برای غلبه بر مشکلات رایج شبکه‌ها را ارایه می‌کند و راهکارهای sase محدود به مباحث امنیتی و شبکه‌های سنتی نیست.

کاربرد اصلی معماری SASE چیست؟

اصلی‌ترین کاربرد SASE شتاب بخشیدن به تحول دیجیتالی است. در سال‌های گذشته سازمان‌ها برنامه‌های استراتژیک مرتبط با تحول دیجیتالی که شامل برنامه‌ریزی‌های تجاری و عرضه خدمات بودند را پیاده‌سازی کردند. تلاش‌های مستمر کارشناسان فناوری اطلاعات با هدف آماده‌سازی زیرساختی برای انجام فعالیت‌های از راه دور و راه‌حل‌های جدید در این زمینه موفقیت‌‌آمیز بودند، اما تیم‌های امنیت سایبری هنوز برنامه استراتژیک دقیقی برای ایمن‌سازی زیرساخت‌های ابری در اختیار ندارند.

حوزه‌های مهمی وجود دارند که باید به آنها توجه شود مدیریت هویت‌ها در محیط ابری، کنترل دسترسی، کنترل مجوزهای کار با داده‌ها و منابع، نظارت و مدیریت بر مخاطرات پلتفرم ابری است. چرخش یکباره سازمان‌ها از شبکه‌های سنتی به ابر باعث شد تا فرآیند هماهنگ‌سازی دسترسی امن به شبکه‌ها سخت‌تر شود.

امروزه، به جای مراقبت از دفاتر یک شرکت که تعداد آن‌ها مشخص هستند، بخش امنیت باید با صدها یا هزاران کارمندی که از منازل و وسایل مختلف کار می‌کنند و به سرویس‌های مختلف ابری متصل هستند در تعامل باشند. متاسفانه تیم‌های فناوری‌اطلاعات در مدت زمان کوتاهی راه‌حل‌های موردنیاز برای دسترسی از راه‌دور به سامانه‌ها را آماده کردند و برخی از راه‌حل‌های امنیت به جای آ‌ن‌که بر مبنای تحلیل نیازهای واقعی انجام شود، بر مبنای ضرورت انجام شد.

از مهم‌ترین کاربردهای معماری SASE در این زمینه به موارد زیر باید اشاره کرد:

دسترسی ایمن برای کاربران سیار: هنگامی که مکانیزم دورکاری در دستور کار یک سازمان قرار می‌گیرد، کاربران می‌توانند از وای‌فای کافی‌شاپ یا هتل‌ها و اینترنت عمومی برای دسترسی به منابع سازمانی استفاده می‌کنند. SASE می‌تواند همزمان با کاهش مخاطره وای‌فای عمومی، امکان دسترسی محدود به داده‌ها و برنامه‌های کاربردی را ارائه کند.

تخصیص دقیق و منعطف دسترسی‌ها: SASE به سرپرستان شبکه اجازه می‌دهد کاربران را گروه‌بندی کرده و برای هر گروه مجوزهای خاصی در نظر بگیرند. به‌طور مثال، برخی از کارمندان فقط برای مدتی محدود قرارداد همکاری با یک تیم را دارند. در این حالت، می‌توان دسترسی موقتی به افراد داد تا پس از اتمام پروژه دسترسی آن‌ها به‌طور خودکار قطع شود.

پیشنهاد مطالعه

نیاز به سازوکار امنیتی مدرن در دوران کرونا

قبل از سال ۲۰۲۰، مدیران ارشد امنیت اطلاعات مجبور بودند به‌طور پیوسته از راه‌حل‌های نرم‌افزاری و تجهیزات سخت‌افزاری امنیتی برای بهبود سطح امنیت زیرساخت‌ها استفاده کنند. با شیوع همه‌گیری کرونا، بسیاری از سازمان‌ها مجبور شدند بخش عمده‌ای از فعالیت‌ها را برون‌سپاری کنند و به کارمندان اجازه دهند از منازل شخصی کارهای سازمان را انجام دهند. به همین دلیل تجهیزات نقاط پایانی و ابر به یکباره مورد توجه سازمان‌ها قرار گرفتند.

شتاب در تسریع این اقدام باعث شد سازمان‌ها با چالش‌های امنیتی جدیدی روبرو شوند، زیرا برخلاف شرایط کاری عادی دیگر زمان بررسی دقیق مباحث امنیتی فراهم نبود. هنگامی که حمله‌های سایبری به زیرساخت زوم (Zoom) آغاز شد و به دنبال آن هکرها از آسیب‌پذیری‌های مستتر در شبکه‌های وای‌فای خانگی و کانال‌های ارتباطی میان کارمندان و سازمان برای کلاهبرداری فیشینگ، ارسال باج‌افزار و سو استفاده از لپ‌تاپ‌های کاری استفاده کردند، مدیران ارشد امنیت به یکباره غافلگیر شدند.

در حالی که برخی شرکت‌ها توانستند به سرعت خط‌مشی‌های امنیتی را بازنگری کرده و شکاف‌ها را برطرف کنند، اما امکان نظارت کامل بر عملکرد کارمندان فراهم نبود. به همین دلیل، شرکت‌ها تصمیم گرفتند برای برون‌رفت از این مشکل به سراغ خدمات ابری بروند و از سرویس‌های اجاره‌ای (SaaS) برای فراهم کردن یک مکانیزم ارتباط از راه دور و تعامل با کارمندان، شرکا و مشتریان استفاده کنند.

این تغییر نگرش سریع، باعث شد تا کارشناسان امنیتی مجبور شوند به سراغ راه‌حل پیاده‌سازی زیرساخت مبتنی بر اعتماد صفر (Zero Trust) بروند که یک مدل امنیتی مدیریت و کنترل شبکه است. در این مدل امنیتی به شکل پیش‌فرض به هیچ ماشین، سرویس یا کاربری اعتماد نمی‌شود و در تمام مراحل و هر زمان کاربران یا دستگاه‌هایی که نیازمند دسترسی به سرویس خاصی هستند باید احراز هویت و تایید شوند. علاوه بر این، دسترسی‌ کلاینت‌های تحت شبکه به شکل حداقل سطح دسترسی به منابع تعریف می‌شود.

راهکارهای تامین امنیت سرویس‌ها و تجهیزات شبکه بدون sase

اگر تمایلی به استفاده از مکانیزم امنیت یکپارچه sase ندارید، هنوز هم این امکان وجود دارد تا امنیت سرویس‌ها و تجهیزات لبه را تامین کنید. برای این ‌منظور باید از الگوهای امنیتی مشخصی استفاده کنید تا یک مکانیزم امنیتی یکپارچه را ارایه کنید. این الگو  به شرح زیر است:

کنترل دسترسی: باید دسترسی کاربران و د‌ستگاه های غیرمجاز به شبکه را مسدود کنید. کاربرانی که اجازه دسترسی به شبکه دارند باید تنها به خدمات و منابعی که برای انجام فعالیت‌ها به آن‌ها نیاز دارند دسترسی داشته باشند. برای کنترل دسترسی بهتر است از پروتکل Dot1x استفاده کنید.

ضد بدافزار: بهتر است از ترکیب ضدویروس‌ها و بدافزارها برای محافظت از نقاط پایانی استفاده کنید.

توجه به امنیت برنامه‌های کاربردی: برنامه‌های غیر امن یا برنامه‌هایی که برای انجام فعالیت‌ها برخی پورت‌های دستگاه‌های کلاینت را باز می‌کنند و به هکرها امکان دسترسی به شبکه را می‌دهند نباید نصب شوند. برای بهبود امنیت تجهیزات نقطه پایانی بهتر است از دیوارهای آتش وب‌محور مثل (WAF) استفاده کنید.

تجزیه و تحلیل الگوی رفتاری: تیم امنیت و شبکه باید اطلاع دقیقی درباره عادت‌های رفتاری کارمندان داشته باشد تا بتواند اتفاقات غیر معمول را شناسایی کند. به‌طور مثال، مصرف بیش از اندازه ترافیک یا اتصال به شبکه از طریق وی‌پی‌ان‌های شخصی باید بررسی شوند.

پیشگیری از نشت اطلاعات: پیشگیری از نشت اطلاعات یا از دست رفتن اطلاعات (Data loss prevention) به دلیل خطاهای انسانی اتفاق می‌افتد. برای حل مشکل، باید دیوارهای آتش را به‌گونه‌ای پیکربندی کنید که نظارت سخت‌گیرانه‌ای بر ورود و خروج بسته‌های اطلاعاتی اعمال کنند.

امنیت ایمیل: امنیت ایمیل یکی دیگر از شکاف‌های امنیتی در زیرساخت‌های سازمانی است که در بیشتر موارد علت آن عامل انسانی است. هکرها می‌توانند از روش‌های فیشینگ، دریافت کنندگان ایمیل را ترغیب کنند تا اطلاعات حساس را به اشتراک بگذارند یا بدافزارهایی را دانلود کنند. امنیت ایمیل به شناسایی ایمیل‌های مخرب کمک می‌کند و می‌تواند برای جلوگیری از حمله و جلوگیری از اشتراک‌گذاری داده‌های حیاتی استفاده شود.

دیوارهای آتش: یکی از مهم‌ترین مولفه‌های دنیای امنیت، دیوارهای آتش هستند که ترافیک شبکه داخلی و اینترنت را از یکدیگر متمایز می‌کنند. وجود آن‌ها برای هر شبکه‌ای ضروری است، اما برای دفاع در عمق کافی نیستند. فایروال‌های قدرتمند فعلی عبارتند از:

  • فایروال‌های شبکه (Network firewalls)
  • فایروال‌های نسل بعدی (Next-generation firewalls)
  • فایروال‌های وب‌محور (Web application firewalls)
  • فایروال‌های پایگاه داده (Database firewalls)، فایروال‌های ابری (Cloud firewalls)
  • فایروال‌های تقسیم شبکه (ISFW)

سامانه‌های تشخیص و پیشگیری از نفوذ: این سامانه‌ها برای شناسایی و مسدودسازی حملات، ترافیک شبکه را پویش می‌کنند و با تطابق امضاءها قادر به شناسایی حمله‌ها هستند.

تجهیزات سیار و امنیت شبکه بیسیم: اصلی‌ترین خطری که تجهیزات بی سیم را تهدید می‌کند اتصال به هات‌اسپات‌های غیر ایمنی است که ممکن است نامی مشابه با شبکه سازمانی داشته باشند. برای حل این مشکل باید ویژگی اتصال خودکار روی تجهیزات بی‌سیم غیر فعال شوند. برای آشنایی با راهکارهای امنیتی در وای فای مقاله “۱۳ نکته در اتصال به وای فای عمومی” را مطالعه کنید.

ایزولهسازی شبکه: تقسیم‌بندی شبکه (Network Segmentation) و قرار دادن ترافیک شبکه در کلاس‌های مختلف فرایند مدیریت را ساده‌تر کرده و باعث می‌شود اگر برای بخشی از شبکه مشکل امنیتی به وجود آمد، سایر بخش‌ها تحت تاثیر قرار نگیرند.

را‌ه‌حل‌های SIEM: این محصولات با هدف جمع‌آوری اطلاعات به صورت خودکار از ابزارهای مختلف شبکه برای تهیه اطلاعات مورد نیاز جهت شناسایی و پاسخگویی به تهدیدات استفاده می‌کنند. البته دقت کنید که راه‌حل‌های SIEM باید همراه با سایر مکانیزم‌های امنیتی استفاده شوند.

شبکه‌های خصوصی مجازی: عمدتا مبتنی بر پروتکل‌های IPsec و SSL هستند و ارتباط بین دو نقطه پایانی را رمزنگاری و ایمن می‌کنند. کاری که شبکه خصوصی مجازی انجام می‌دهد تونل‌زنی میان دو گره نقطه پایانی است.

امنیت و زیرساخت ابری: شرکت‌ها حرکت به سمت ابر را آغاز کرده‌اند و سعی می‌کنند از زیرساخت‌های ترکیبی در تعامل با شبکه سازمانی استفاده کنند. هنگامی که یک فضای ابری، سرور مجازی یا ماشین مجازی را تهیه می‌کنید وظیفه ایمن‌سازی و نصب مکانیزم‌های امنیتی بر عهده شما است.

برای پیاده‌سازی راه‌حل‌های امنیتی، فروشندگان خدمات ابری خط‌مشی‌های کنترل متمرکز امنیتی را روی پلتفرم ابری خود ایجاد می‌کنند. با این‌حال، در برخی موارد سامانه‌های امنیتی با خط‌مشی‌ها و شبکه‌های سازمانی تطابق زیادی ندارد و این عدم تطابق می‌تواند مشکلاتی را برای کارشناسان امنیتی به وجود آورد. بنابراین در زمان به‌کارگیری فناوری‌هایی نظیر شبکه توزیع محتوا باید به این نکته دقت کنید.

مجموعه ابزارهای مکمل: در کنار دیوارهای آتش و مکانیزم‌های امنیتی، تیم امنیت اطلاعات باید از ابزارهای متن‌باز و تجاری دیگری برای ارزیابی عملکرد شبکه استفاده کند. یک منبع عالی در این زمینه www.SecTools.org است که جذاب‌ترین ابزارهای امنیتی را در اختیارتان قرار می‌دهد. از ابزارهای قدرتمندی که باید در اختیار داشته باشید و این سایت در اختیارتان قرار می‌دهد باید به پکت اسنیفرها (Sniffer Packets) که محتوای ترافیک شبکه را نشان می‌دهد، ابزارهای تست آسیب‌پذیری (Nessus)، سیستم تشخیص نفوذ (Snort) و… اشاره کرد.

پیشنهاد مطالعه


نویسنده :

ارسال دیدگاه



استفاده از مطالب سایت فالنیک (ایران اچ پی) فقط برای مقاصد غیر تجاری و با ذکر منبع بلامانع است. کلیه حقوق سایت متعلق به فالنیک (ایران اچ پی) است.
عضویت در خبرنامه سرور فالنیک (ایران اچ پی)

عضویت در خبرنامه سرور فالنیک (ایران اچ پی)

با عضویت در خبرنامه سرور فالنیک (ایران اچ پی) اولین نفری باشید که مقالات و محتواهای ناب و تخصصی را دریافت می کنید.

تبریک، شما با موفقیت در خبرنامه عضو شدید.

.swin-sc-title.style-2 .title span:after