امنیت زیرساخت شبکه

امنیت زیرساخت شبکه

امنیت زیرساخت شبکه مجموعه ای از قوانین و پیکربندی هایی است که برای محافظت از یکپارچگی، محرمانه بودن و دسترسی به شبکه ها و داده های رایانه ای با استفاده از نرم افزار و فناوری های سخت افزاری طراحی شده است. هدف اصلی امنیت شبکه جلوگیری از نفوذ به داخل شبکه های کامپیوتری یا دسترسی غیرمجاز به بخش‌های مختلف آن است.
راهبران و تیم‌های امنیتی، استراتژی‌ها و سیاست‌هایی را تعیین می‌کنند که ضمن ایمن نگه داشتن شبکه سازمان، با استانداردها، قوانین و مقررات امنیتی سازگاری داشته باشند. تمامی افراد در شبکه باید از این سیاست‌های امنیتی پیروی کنند. هر نقطه‌ای از شبکه که کاربر مجاز می‌تواند به داده‌های آن دسترسی داشته باشد، نقطه‌ای است که داده‌ها می‌توانند توسط مهاجمان یا به واسطه سهل‌انگاری یا اشتباه کاربر مورد سرقت یا دست‌درازی قرار گیرند.

انواع نرم‌افزارها و راهکارهای امنیت شبکه

گزینش قوانین، استانداردها و راهکارهای امنیتی از شبکه‌ ای به شبکه دیگر متفاوت است و در طول زمان تغییر می‌کند. امنیت زیرساخت شبکه قوی اغلب شامل بکارگیری چندین رویکرد و بکارگیری امنیت لایه‌ای (Layered Security) یا دفاع عمیق (Defense in Depth) می‌باشد که موجب می‌شود در حد امکان کنترل‌های امنیتی بیشتری برای سازمان‌ها فراهم شود. در ادامه به برخی از انواع ابزارها و نرم‌افزارهای امنیت زیرساخت شبکه که معمولاً مورد استفاده قرار می‌گیرند، می‌پردازیم:

• کنترل دسترسی

این روش دسترسی به برنامه‌های کاربردی و سیستم‌های شبکه را برای گروه خاصی از کاربران و دستگاه‌ها محدود می‌کند. این سیستم‌ها دسترسی به کاربران و دستگاه‌هایی را که قبلاً تحریم نشده‌اند، ممنوع می‌کنند.

• آنتی‌ویروس و ضدبدافزار

آنتی ویروس و ضدبدافزار نرم‌افزارهایی هستند که جهت شناسایی و حذف ویروس‌ها و بدافزارهایی نظیر تروجان (Trojan)، باج‌افزارها و جاسوس‌افزارها یا جلوگیری از آلوده کردن کامپیوترها و در نتیجه شبکه، طراحی شده‌اند.

• امنیت برنامه‌‌ها

رصد و محافظت از برنامه‌هایی که سازمان‌ها برای اجرای کسب‌و‌کار خود از آنها استفاده می‌کنند، بسیار مهم است. این نظارت هم شامل سازمان‌هایی است که آن برنامه را ایجاد کرده‌اند و هم شامل سازمان‌هایی است که آن را خریداری می‌کنند زیرا تهدیدات بدافزارهای مدرن اغلب برنامه‌های کد باز (Open Source) و Container هایی را مورد هدف قرار می‌دهند که سازمان‌ها از آنها برای ساختن نرم‌افزار و برنامه‌ استفاده می‌کنند.

• تجزیه و تحلیل رفتاری

این روش رفتار شبکه را تحلیل می‌کند و به طور خودکار هرگونه فعالیت غیرعادی را در سازمان‌ها شناسایی نموده و نسبت به وقوع آن هشدار می‌دهد.

• امنیت بسترهای ابری

ارائه‌دهندگان بسترهای ابری اغلب افزونه‌هایی را برای راهکارهای امنیتی ابری به فروش می‌رسانند که قابلیت‌های امنیتی را در فضای ابری ارائه می‌دهند. ارائه‌دهنده بسترهای ابری، امنیت کلی زیرساخت خود را مدیریت می‌کند و ابزارهایی را به کاربر ارائه می‌دهد تا از سرویس‌های خود در زیرساخت‌های ابری محافظت کند. به عنوان مثال، Amazon Web Service، با بکارگیری گروه‌های امنیتی، ترافیک ورودی و خروجی مرتبط با یک برنامه یا هر منبعی را کنترل می‌کند.

• پیشگیری از از دست دادن داده‌ها

راهکارهای موسوم به Data Loss Prevention – به اختصار DLP – داده‌های در حال پردازش، در حال انتقال و ذخیره شده را به منظور شناسایی نقض داده و جلوگیری از نشت داده‌ها رصد می‌کنند. DLP اغلب حساس‌ترین و آسیب‌پذیرترین داده‌ها را طبقه‌بندی نموده و جهت محافظت از داده‌ها، کارکنان را به بهترین شیوه‌ آموزش می‌دهد. برای مثال، ارسال نکردن فایل‌های حساس و حیاتی از طریق پیوست ایمیل‌ها یکی از بهترین این راهکارها می‌باشد.

• امنیت ایمیل

ایمیل یکی از آسیب‌پذیرترین نقاط شبکه است. کلیک کارمندان بر روی پیوندها یا پبوست‎های ایمیل، منجر به دانلود مخفیانه نرم‌افزارهای مخرب، اجرای حملات فیشینگ و یا نصب بدافزار می‌شود. ایمیل همچنین روشی ناامن برای ارسال فایل‌ها و داده‌های حساس است که کارکنان ناخواسته درگیر آن می‌شوند.

• دیواره آتش یا فایروال (Firewall)

فایروال یا دیواره‌آتش به نرم‌افزارها یا سخت‌افزارهایی اطلاق می‌شود که ترافیک ورودی و خروجی را جهت جلوگیری از دسترسی غیرمجاز به شبکه بررسی می‌کنند. فایروال ها یکی از پرکاربردترین تجهیزات امنیتی هستند. آنها در چندین بخش از شبکه مورد استفاده قرار می‌گیرند. فایروال‌های نسل بعدی (Next Generation Firewall – به اختصار NGFW) با بازرسی بسته‌های درون خطی (Inline Deep Packet Inspection) حفاظت بیشتری در برابر حملات لایه برنامه (Application Layer) و دفاع پیشرفته در برابر بدافزارها ارائه می‌دهند.

• سیستم تشخیص نفوذ

سامانه‌های موسوم به Intrusion Detection System – به اختصار IDS – هر گونه تلاشی جهت دسترسی غیرمجاز را تشخیص داده و به ‌عنوان تهدیدی بالقوه نشانه‌گذاری نموده اما آنها را حذف نمی‌کنند. IDS و سیستم پیشگیری از نفوذ (Intrusion Prevention System – به اختصار IPS) اغلب همراه با فایروال‌ها مورد استفاده قرار می‌گیرند.

• امنیت دستگاه‌های موبایل

برنامه‌های کاربردی تجاری ساخته شده برای گوشی‌های هوشمند و سایر دستگاه‌های تلفن همراه، این دستگاه‌ها را به بخش مهمی از امنیت زیرساخت شبکه تبدیل کرده است. پایش و کنترل اینکه کدام یک از این دستگاه‌های تلفن همراه به شبکه دسترسی دارند و چه اقداماتی پس از اتصال به شبکه انجام می‌دهند جهت حفظ امنیت در شبکه‌های مدرن ضروری است.

• احراز هویت چند عاملی

احراز هویت چندعاملی (Multifactor Authentication – به اختصار MFA) نوعی راهکار امنیتی شبکه با کاربری آسان است که برای تأیید هویت کاربر به دو یا چند عامل نیاز دارد. نمونه‌ای از آن Google Authenticator است. برنامه‌ای که کدهای امنیتی منحصربه‌فردی تولید می‌نماید و کاربر علاوه بر رمز عبور خود، کد تولید شده توسط این برنامه را وارد می‌کند تا هویت او احراز شود.

• تقسیم‌بندی شبکه

سازمان‌های پرترافیک دارای شبکه‌های بزرگ، اغلب از تقسیم‌بندی شبکه برای افراز آن به بخش‌های کوچک‌تر و مدیریت آسان‌تر شبکه‌ها استفاده می‌کنند. این رویکرد کنترل بیشتری بر جریان ترافیک و بهبود پایش برای سازمان‌ها فراهم می‌کند. امنیت شبکه صنعتی زیرمجموعه‌ای از تقسیم‌بندی شبکه است که باعث افزایش دید در سیستم‌های کنترل صنعتی (Industrial Control System – به اختصار ICS) می‌شود. ICSها به دلیل افزایش ادغام با بسترهای ابری بیشتر در معرض خطر تهدیدات سایبری هستند.

• Sandbox

راهکارهای مبتنی بر سندباکس (Sandbox) به سازمان‌ها اجازه می‌دهند تا فایل را قبل از دسترسی به شبکه در یک محیط ایزوله باز نموده. همچنین از این طریق کد مخرب احتمالی را شناسایی کنند. پس از باز شدن فایل در راهکار Sandbox، یک سازمان می‌تواند بررسی کند. که آیا فایل مذکور مخرب است یا اینکه نشانه‌هایی از وجود بدافزار در آن وجود دارد یا خیر.

• سیستم مدیریت اطلاعات و رویدادهای امنیتی

سیستم مدیریت اطلاعات و رویدادهای امنیتی (Security Information and Event Management – به اختصار SIEM)، لاگ‌های مربوط به برنامه‌های کاربردی و سخت‌افزارهای شبکه را ثبت نموده و به دنبال رفتارهای مشکوک می‌باشد. در صورت شناسایی یک ناهنجاری، سیستم SIEM ضمن اعلام هشدار به سازمان، اقدامات مناسب دیگری را نیز انجام می‌دهد.

• رویکرد مبتنی بر نرم‌افزار

رویکرد مبتنی بر نرم‌افزار (Software Defined Perimeter – به اختصار SDP) راهکاری امنیتی است. که در بالای شبکه‌ای که از آن محافظت می‌کند، قرار می‌گیرد و آن را از مهاجمان و کاربران غیرمجاز پنهان می‌کند. از معیارهای تشخیص هویت جهت محدود نمودن دسترسی به منابع استفاده نموده و یک مرز مجازی در اطراف منابع شبکه تشکیل می‌دهد.

• شبکه خصوصی مجازی

شبکه خصوصی مجازی (Virtual Private Network – به اختصار VPN) اتصال نقاط پایانی را به شبکه سازمان ایمن می‌کند. از پروتکل‌هایی نظیر Tunneling جهت رمزگذاری اطلاعاتی که از طریق شبکه‎های کم امن ارسال می‌شوند، استفاده می‌کند. VPNهای دسترسی از راه دور به کارکنان اجازه می‌دهند تا از راه دور به شبکه سازمان خود دسترسی داشته باشند.

• امنیت وب

این روش بکارگیری وب نظیر مسدودسازی برخی تهدیدات و سایت‌ها توسط کارکنان در شبکه و دستگاه‌های سازمان را کنترل می‌کند. همچنین موجب یکپارچگی خود ‌سایت‌های سازمان نیز می‌شود.

• امنیت بی‌سیم

شبکه‌های بی‌سیم (Wireless Networks) یکی از پرخطرترین بخش‌های شبکه هستند و نیاز به حفاظت و نظارت دقیق دارند. بکارگیری راهکارهای حفظ امنیت زیرساخت شبکه بی‌سیم مانند تقسیم‌بندی کاربران Wi-Fi بر اساس شناسه‌ دستگاه‌های شبکه یا (Service Set Identifier – به اختصار SSID) و استفاده از احراز هویت 1X بسیار ضروری است. استفاده از ابزارهای نظارت و پایش مناسب نیز جهت اطمینان از امنیت شبکه بی‌سیم مورد نیاز است.

• امنیت بارکاری

هنگامی که سازمان‌ها حجم کار (Workload) را با توزیع بین چندین دستگاه در بسترهای ابری و ترکیبی متعادل می‌کنند، سطوح حمله احتمالی را افزایش می‌دهند. از این رو اجرای اقداماتی جهت حفظ امنیت بارکاری و ایجاد توازن در Workload جهت محافظت از داده‌های موجود در بارهای کاری مذکور بسیار اهمیت دارد.

• دسترسی به شبکه مبتنی بر اعتماد صفر

مشابه کنترل دسترسی به شبکه، دسترسی به شبکه با اعتماد صفر (Zero Trust Network –به اختصار ZTN) تنها دسترسی به شبکه را برای کاربر فراهم می‌کند. تا بتواند کار خود را انجام دهد و تمام مجوزهای دیگر را برای کاربران مسدود می‌نماید.