در ادامه قسمت اول این مقاله به اینکه چگونه امنیت شبکه را تامین کنیم میپردازیم.
کنترلهایمشترک
کنترلهای باقیمانده در هر دو دستگاه متصل و به طور کلی شبکه اعمال میشود. اگر به سرورهای سخت افزاری، دسکتاپ، لپ تاپ و غیره توجه نشده باشد، شبکه ایمن نیست. این کنترلها و فعالیتهای پشتیبانی در لایههای زیر به عنوان یک استراتژی امنیتی عمیق برای دفاع قرار میگیرند:
- بخشبندی (قطعه بندی)
• ضد ویروس و جلوگیری از نفوذ میزبان
• کنترل دسترسی
• پیکربندی (تنظیم) ایمن
• نظارت، گزارش و هشدار
مفهوم بخشبندی (قطعه بندی) ساده است. زیرساختهای مهم یا دادههای حساس خود را از مناطق دسترسی عمومی شبکه خود جدا کنید. برای محافظت از بخشهای ایجاد شده، کنترلهای قویتر و معمولاً گرانتر را مستقر کنید.
متداولترین روش بخش بندی (قطعه بندی) شبکه استفاده از VLAN ها است. VLAN ها (شبکههای محلی ناحیه مجازی) بخشهای شبکه هستند که از طریق پیکربندی سوئیچ شرکت ایجاد میشوند. به شکل 1 مراجعه کنید.
به هر VLAN شناسه اختصاص داده میشود. در این مثال، یک عدد تک رقمی است. لیست های کنترل دسترسی (ACL) تعیین می کنند که آیا ترافیک مجاز به عبور از یک VLAN به دیگری است. (برای اطلاعات بیشتر در مورد چگونگی استفاده از VLAN برای بخش بندی ایمن شبکه ، به قسمت تقویت حفاظت از داده ها با کنترل های دسترسی به شبکه مراجعه کنید.) توجه داشته باشید که سرورهای برنامه و سرورهای پایگاه داده ای که به آنها دسترسی پیدا می کنید در VLAN های جداگانه هستند. VLAN4 حاوی داده های حساس نیست، بنابراین هیچ کنترل ویژه ای در آن محل نیست. کلیه اطلاعات حساس در این مثال در سرورهای پایگاه داده در VLAN 3 ذخیره میشود.
دستگاههای کاربران شخصی از VLAN 3 باACL مسدود شدهاند. بنابراین تنها راه دسترسی به سرورهای پایگاه داده از طریق سرور برنامه است و سرورهای برنامه از حسابهای سرویس استفاده میکنند تا وارد پایگاه داده شوند. این حسابهای سرویس 24 رمز عبور با کاراکتر تصادفی دارند که فقط برای تیم امنیتی شناخته شدهاند.
سایر کنترلهای “بخش ایمن” که ممکن است در نظر بگیرید شامل موارد زیر است: •یک فایروال که به عنوان یک گیت استفاده میشود، کنترل بیشتری بر ترافیک ورودی بخش ایمن فراهم میکند.
• یک IPS که از طریق آن تمام ترافیک در داخل و خارج از بخش امن عبور میکند و در حال مشاهده انتقال / فعالیت غیرمنتظره دادهها است.
ضدبدافزار و پیشگیری از نفوذ میزبان
هر دستگاه متصل به شبکه باید “سخت” شود. سخت شدن شامل نصب و نگهداری نرم افزارهای ضد بدافزار در سیستمهای پیکربندی شده و وصله شده است. همچنین شامل استفاده از نرم افزار IPS با سرور یا میزبان کاربر نهایی است. قرار دادن راه حل های IPS ، از جمله دیوارههای آتش (فایروالهای) نرم افزاری، بر روی دستگاههای نقطه پایان، دو هدف امنیتی را انجام میدهد. اول یک خط دفاعی نهایی برای مقابله با بدافزارهای ناخواسته یا فعالیتهای انسانی ایجاد میکند که ممکن است آن را از طریق تمام لایههای دیگر ایجاد کرده باشد. دوما اگر یک دستگاه متصل به خطر بیفتد، به جدا كردن رفتارهای ناخواسته كمك میكند. به عنوان مثال، اگر این دستگاهها قفل شده باشند و دسکتاپ آلوده شده اتصالات برون مرزی را زیر سوال ببرد، یک کرم (worm) که میتواند راه خود را روی یک دسکتاپ پیدا کند، اتصالی به رایانههای دیگر خواهد داشت.
کنترل دسترسی
هنگامی که اکثر مردم به کنترل دسترسی فکر میکنند، ورود به رایانه خود را در صبح تصور میکنند. در حالی که این در واقع نمونهای از کنترل دسترسی است و تنها بخش کوچکی از استراتژی کنترل دسترسی کلی شبکه است. یک استراتژی جامع شامل موارد زیر است:
• ورود به سیستم کاربر
• تأیید هویت سیستم به سیستم: هنگامی که یک کامپیوتر با رایانه دیگری تماس میگیرد، به خصوص اگر دادههای حساس در آن وجود داشته باشد، دو کامپیوتر باید یکدیگر را تأیید کنند، که به طور معمول با گواهینامهها یا کنترلهای دیگری انجام میشود که دستگاهها را بطور خاص مشخص میکنند.
• کنترل دسترسی به بخش شبکه: بهترین راه برای محافظت از دادههای شما این است که فقط به رایانههایی با قابلیت تجارت مطلق که نیاز دارند مخازن داده را مشاهده کنند، اجازه دسترسی دهید. همانطور که قبلاً بحث کردیم، این کار با ترکیبی از بخش بندی شبکه، لیستهای کنترل دسترسی و سایر کنترلهای مناسب در نظر گرفته شده است.
• محدود کردن دسترسی فیزیکی به زیرساختهای مهم: اگر چه این مقاله به کنترلهای فنی میپردازد، مهم است که اهمیت امنیت فیزیکی را نیز شامل شود. اگر یک مهاجم بتواند به طور فیزیکی به زیرساختهای مهم شما دسترسی پیدا کند، از امنیت فنی دادههای شما محافظت نمیکند.
پیکربندی ایمن
پیکربندی ایمن یا سخت شدن دستگاهها احتمالاً بهترین راه برای محافظت از دادههای شما است. که شامل موارد زیر است:
• غیرفعال کردن همه درگاهها / خدماتی که کاملاً موردنیاز نیستند.
•اعمال وصلههای امنیتی در اسرع وقت پس از آزادسازی، منطقی است.
• برای فایروالها و سایر دستگاههای کنترل شبکه، با رد همه ترافیکها شروع کرده و تنها آنچه را که برای فعالیت تجاری لازم است باز کنید.
• تا آن جا که منطقی و مناسب است، به دنبال توصیههای فروشنده برای امنیت سیستم عامل، سوئیچ، روتر و غیره باشید.
نظارت، هشدار و گزارشدهی
آنچه را که انتظار دارید بازرسی کنید. به عبارت دیگر، در هیچ صورت نباید فرض کنید که اتقافی که امکان دارد بیفتد حتما میافتد. اگرچه این به عنوان یک درس مدیریتی در نظر گرفته میشود، اما یک عنصر مهم امنیت سازمانی هم هست.
کنترل های پیشگیری و تشخیص شما همیشه بصورتی که طراحی کردهاید یا طوری که فکر میکنید آنها را طراحی کردهاید، کار نمیکنند. بنابراین شما باید همیشه نظارت ، هشدار و گزارش به عنوان نتایج هر اجرای کنترل پروژه در نظر داشته باشید. این نتایج شامل نه تنها عملکرد کنترلهای در حال کار می شود بلکه باید به شناسایی وقایع غیر عادی بپردازند که فقط شهود و تجربه انسان ممکن است آن را در نظر بگیرد.
بهترین راه برای جمع کردن همه این موارد، مدیریت ثبت (گزارش) است. یک راه حل مدیریت ثبت (گزارش)، گزارش های مربوط به یک مخزن مرکزی از همه سیستم های امنیتی، LAN / WAN و سایر دستگاههای کلیدی است که آنها را جمع آوری میکند. سپس دادههای جمعآوری شده از طریق یک موتور همبستگی طراحی شده به منظور جستجوی مجموعه هایی از رویدادها که با احتمال بالا یک پیشامد امنیتی هستند، عبور داده میشوند.
سخن پایانی
امنیت شبکه راه حلی یکپارچه نیست که بتوانید به سادگی از آنها محافظت کرده و برای محافظت از دادهها و زیرساختهای مهم خود آن را فعال کنید، بلکه مجموعهای از کنترل ها است که از یک استراتژی کلی تجاری پشتیبانی میکند، که در کنار هم برای کاهش ریسک کار میکنند. بنابراین دفعه بعد که با مدیر یا کارمندان خود درباره امنیت شبکه بحث میکنید، بسیاری از قسمتهای کار مورد نیاز برای محافظت از داراییهای اطلاعاتی خود را به خاطر بسپارید.