امنیت زیرساخت شبکه
امنیت زیرساخت شبکه
امنیت زیرساخت شبکه مجموعه ای از قوانین و پیکربندی هایی است که برای محافظت از یکپارچگی، محرمانه بودن و دسترسی به شبکه ها و داده های رایانه ای با استفاده از نرم افزار و فناوری های سخت افزاری طراحی شده است. هدف اصلی امنیت شبکه جلوگیری از نفوذ به داخل شبکه های کامپیوتری یا دسترسی غیرمجاز به بخشهای مختلف آن است.
راهبران و تیمهای امنیتی، استراتژیها و سیاستهایی را تعیین میکنند که ضمن ایمن نگه داشتن شبکه سازمان، با استانداردها، قوانین و مقررات امنیتی سازگاری داشته باشند. تمامی افراد در شبکه باید از این سیاستهای امنیتی پیروی کنند. هر نقطهای از شبکه که کاربر مجاز میتواند به دادههای آن دسترسی داشته باشد، نقطهای است که دادهها میتوانند توسط مهاجمان یا به واسطه سهلانگاری یا اشتباه کاربر مورد سرقت یا دستدرازی قرار گیرند.
انواع نرمافزارها و راهکارهای امنیت شبکه
گزینش قوانین، استانداردها و راهکارهای امنیتی از شبکه ای به شبکه دیگر متفاوت است و در طول زمان تغییر میکند. امنیت زیرساخت شبکه قوی اغلب شامل بکارگیری چندین رویکرد و بکارگیری امنیت لایهای (Layered Security) یا دفاع عمیق (Defense in Depth) میباشد که موجب میشود در حد امکان کنترلهای امنیتی بیشتری برای سازمانها فراهم شود. در ادامه به برخی از انواع ابزارها و نرمافزارهای امنیت زیرساخت شبکه که معمولاً مورد استفاده قرار میگیرند، میپردازیم:
-
کنترل دسترسی
این روش دسترسی به برنامههای کاربردی و سیستمهای شبکه را برای گروه خاصی از کاربران و دستگاهها محدود میکند. این سیستمها دسترسی به کاربران و دستگاههایی را که قبلاً تحریم نشدهاند، ممنوع میکنند.
-
آنتیویروس و ضدبدافزار
آنتی ویروس و ضدبدافزار نرمافزارهایی هستند که جهت شناسایی و حذف ویروسها و بدافزارهایی نظیر تروجان (Trojan)، باجافزارها و جاسوسافزارها یا جلوگیری از آلوده کردن کامپیوترها و در نتیجه شبکه، طراحی شدهاند.
-
امنیت برنامهها
رصد و محافظت از برنامههایی که سازمانها برای اجرای کسبوکار خود از آنها استفاده میکنند، بسیار مهم است. این نظارت هم شامل سازمانهایی است که آن برنامه را ایجاد کردهاند و هم شامل سازمانهایی است که آن را خریداری میکنند زیرا تهدیدات بدافزارهای مدرن اغلب برنامههای کد باز (Open Source) و Container هایی را مورد هدف قرار میدهند که سازمانها از آنها برای ساختن نرمافزار و برنامه استفاده میکنند.
-
تجزیه و تحلیل رفتاری
این روش رفتار شبکه را تحلیل میکند و به طور خودکار هرگونه فعالیت غیرعادی را در سازمانها شناسایی نموده و نسبت به وقوع آن هشدار میدهد.
-
امنیت بسترهای ابری
ارائهدهندگان بسترهای ابری اغلب افزونههایی را برای راهکارهای امنیتی ابری به فروش میرسانند که قابلیتهای امنیتی را در فضای ابری ارائه میدهند. ارائهدهنده بسترهای ابری، امنیت کلی زیرساخت خود را مدیریت میکند و ابزارهایی را به کاربر ارائه میدهد تا از سرویسهای خود در زیرساختهای ابری محافظت کند. به عنوان مثال، Amazon Web Service، با بکارگیری گروههای امنیتی، ترافیک ورودی و خروجی مرتبط با یک برنامه یا هر منبعی را کنترل میکند.
-
پیشگیری از از دست دادن دادهها
راهکارهای موسوم به Data Loss Prevention – به اختصار DLP – دادههای در حال پردازش، در حال انتقال و ذخیره شده را به منظور شناسایی نقض داده و جلوگیری از نشت دادهها رصد میکنند. DLP اغلب حساسترین و آسیبپذیرترین دادهها را طبقهبندی نموده و جهت محافظت از دادهها، کارکنان را به بهترین شیوه آموزش میدهد. برای مثال، ارسال نکردن فایلهای حساس و حیاتی از طریق پیوست ایمیلها یکی از بهترین این راهکارها میباشد.
-
امنیت ایمیل
ایمیل یکی از آسیبپذیرترین نقاط شبکه است. کلیک کارمندان بر روی پیوندها یا پبوستهای ایمیل، منجر به دانلود مخفیانه نرمافزارهای مخرب، اجرای حملات فیشینگ و یا نصب بدافزار میشود. ایمیل همچنین روشی ناامن برای ارسال فایلها و دادههای حساس است که کارکنان ناخواسته درگیر آن میشوند.
-
دیواره آتش یا فایروال (Firewall)
فایروال یا دیوارهآتش به نرمافزارها یا سختافزارهایی اطلاق میشود که ترافیک ورودی و خروجی را جهت جلوگیری از دسترسی غیرمجاز به شبکه بررسی میکنند. فایروال ها یکی از پرکاربردترین تجهیزات امنیتی هستند. آنها در چندین بخش از شبکه مورد استفاده قرار میگیرند. فایروالهای نسل بعدی (Next Generation Firewall – به اختصار NGFW) با بازرسی بستههای درون خطی (Inline Deep Packet Inspection) حفاظت بیشتری در برابر حملات لایه برنامه (Application Layer) و دفاع پیشرفته در برابر بدافزارها ارائه میدهند.
-
سیستم تشخیص نفوذ
سامانههای موسوم به Intrusion Detection System – به اختصار IDS – هر گونه تلاشی جهت دسترسی غیرمجاز را تشخیص داده و به عنوان تهدیدی بالقوه نشانهگذاری نموده اما آنها را حذف نمیکنند. IDS و سیستم پیشگیری از نفوذ (Intrusion Prevention System – به اختصار IPS) اغلب همراه با فایروالها مورد استفاده قرار میگیرند.
-
امنیت دستگاههای موبایل
برنامههای کاربردی تجاری ساخته شده برای گوشیهای هوشمند و سایر دستگاههای تلفن همراه، این دستگاهها را به بخش مهمی از امنیت زیرساخت شبکه تبدیل کرده است. پایش و کنترل اینکه کدام یک از این دستگاههای تلفن همراه به شبکه دسترسی دارند و چه اقداماتی پس از اتصال به شبکه انجام میدهند جهت حفظ امنیت در شبکههای مدرن ضروری است.
-
احراز هویت چند عاملی
احراز هویت چندعاملی (Multifactor Authentication – به اختصار MFA) نوعی راهکار امنیتی شبکه با کاربری آسان است که برای تأیید هویت کاربر به دو یا چند عامل نیاز دارد. نمونهای از آن Google Authenticator است. برنامهای که کدهای امنیتی منحصربهفردی تولید مینماید و کاربر علاوه بر رمز عبور خود، کد تولید شده توسط این برنامه را وارد میکند تا هویت او احراز شود.
-
تقسیمبندی شبکه
سازمانهای پرترافیک دارای شبکههای بزرگ، اغلب از تقسیمبندی شبکه برای افراز آن به بخشهای کوچکتر و مدیریت آسانتر شبکهها استفاده میکنند. این رویکرد کنترل بیشتری بر جریان ترافیک و بهبود پایش برای سازمانها فراهم میکند. امنیت شبکه صنعتی زیرمجموعهای از تقسیمبندی شبکه است که باعث افزایش دید در سیستمهای کنترل صنعتی (Industrial Control System – به اختصار ICS) میشود. ICSها به دلیل افزایش ادغام با بسترهای ابری بیشتر در معرض خطر تهدیدات سایبری هستند.
-
Sandbox
راهکارهای مبتنی بر سندباکس (Sandbox) به سازمانها اجازه میدهند تا فایل را قبل از دسترسی به شبکه در یک محیط ایزوله باز نموده. همچنین از این طریق کد مخرب احتمالی را شناسایی کنند. پس از باز شدن فایل در راهکار Sandbox، یک سازمان میتواند بررسی کند. که آیا فایل مذکور مخرب است یا اینکه نشانههایی از وجود بدافزار در آن وجود دارد یا خیر.
-
سیستم مدیریت اطلاعات و رویدادهای امنیتی
سیستم مدیریت اطلاعات و رویدادهای امنیتی (Security Information and Event Management – به اختصار SIEM)، لاگهای مربوط به برنامههای کاربردی و سختافزارهای شبکه را ثبت نموده و به دنبال رفتارهای مشکوک میباشد. در صورت شناسایی یک ناهنجاری، سیستم SIEM ضمن اعلام هشدار به سازمان، اقدامات مناسب دیگری را نیز انجام میدهد.
-
رویکرد مبتنی بر نرمافزار
رویکرد مبتنی بر نرمافزار (Software Defined Perimeter – به اختصار SDP) راهکاری امنیتی است. که در بالای شبکهای که از آن محافظت میکند، قرار میگیرد و آن را از مهاجمان و کاربران غیرمجاز پنهان میکند. از معیارهای تشخیص هویت جهت محدود نمودن دسترسی به منابع استفاده نموده و یک مرز مجازی در اطراف منابع شبکه تشکیل میدهد.
-
شبکه خصوصی مجازی
شبکه خصوصی مجازی (Virtual Private Network – به اختصار VPN) اتصال نقاط پایانی را به شبکه سازمان ایمن میکند. از پروتکلهایی نظیر Tunneling جهت رمزگذاری اطلاعاتی که از طریق شبکههای کم امن ارسال میشوند، استفاده میکند. VPNهای دسترسی از راه دور به کارکنان اجازه میدهند تا از راه دور به شبکه سازمان خود دسترسی داشته باشند.
-
امنیت وب
این روش بکارگیری وب نظیر مسدودسازی برخی تهدیدات و سایتها توسط کارکنان در شبکه و دستگاههای سازمان را کنترل میکند. همچنین موجب یکپارچگی خود سایتهای سازمان نیز میشود.
-
امنیت بیسیم
شبکههای بیسیم (Wireless Networks) یکی از پرخطرترین بخشهای شبکه هستند و نیاز به حفاظت و نظارت دقیق دارند. بکارگیری راهکارهای حفظ امنیت زیرساخت شبکه بیسیم مانند تقسیمبندی کاربران Wi-Fi بر اساس شناسه دستگاههای شبکه یا (Service Set Identifier – به اختصار SSID) و استفاده از احراز هویت 1X بسیار ضروری است. استفاده از ابزارهای نظارت و پایش مناسب نیز جهت اطمینان از امنیت شبکه بیسیم مورد نیاز است.
-
امنیت بارکاری
هنگامی که سازمانها حجم کار (Workload) را با توزیع بین چندین دستگاه در بسترهای ابری و ترکیبی متعادل میکنند، سطوح حمله احتمالی را افزایش میدهند. از این رو اجرای اقداماتی جهت حفظ امنیت بارکاری و ایجاد توازن در Workload جهت محافظت از دادههای موجود در بارهای کاری مذکور بسیار اهمیت دارد.
-
دسترسی به شبکه مبتنی بر اعتماد صفر
مشابه کنترل دسترسی به شبکه، دسترسی به شبکه با اعتماد صفر (Zero Trust Network –به اختصار ZTN) تنها دسترسی به شبکه را برای کاربر فراهم میکند. تا بتواند کار خود را انجام دهد و تمام مجوزهای دیگر را برای کاربران مسدود مینماید.