امنیت شبکه چگونه کار می‌کند؟ (قسمت دوم)

در ادامه قسمت اول این مقاله به اینکه چگونه امنیت شبکه را تامین کنیم می‌پردازیم.

کنترل‌های‌مشترک

کنترل‌های باقیمانده در هر دو دستگاه متصل و به طور کلی شبکه اعمال می‌شود. اگر به سرورهای سخت افزاری، دسکتاپ، لپ تاپ و غیره توجه نشده باشد، شبکه ایمن نیست. این کنترل‌ها و فعالیت‌های پشتیبانی در لایه‌های زیر به عنوان یک استراتژی امنیتی عمیق برای دفاع قرار می‌گیرند:

بخش‌بندی (قطعه بندی)
• ضد ویروس و جلوگیری از نفوذ میزبان
• کنترل دسترسی
• پیکربندی (تنظیم) ایمن
• نظارت، گزارش و هشدار
مفهوم بخش‌بندی (قطعه بندی) ساده است. زیرساخت‌های مهم یا داده‌های حساس خود را از مناطق دسترسی عمومی شبکه خود جدا کنید. برای محافظت از بخش‌های ایجاد شده، کنترل‌های قوی‌تر و معمولاً گران‌تر را مستقر کنید.

متداول‌ترین روش بخش بندی (قطعه بندی) شبکه استفاده از VLAN ها است. VLAN ها (شبکه‌های محلی ناحیه مجازی) بخش‌های شبکه هستند که از طریق پیکربندی سوئیچ شرکت ایجاد می‌شوند. به شکل 1 مراجعه کنید.

به هر VLAN شناسه اختصاص داده می‌شود. در این مثال، یک عدد تک رقمی است. لیست های کنترل دسترسی (ACL) تعیین می کنند که آیا ترافیک مجاز به عبور از یک VLAN به دیگری است. (برای اطلاعات بیشتر در مورد چگونگی استفاده از VLAN برای بخش بندی ایمن شبکه ، به قسمت تقویت حفاظت از داده ها با کنترل های دسترسی به شبکه مراجعه کنید.) توجه داشته باشید که سرورهای برنامه و سرورهای پایگاه داده ای که به آنها دسترسی پیدا می کنید در VLAN های جداگانه هستند. VLAN4 حاوی داده های حساس نیست، بنابراین هیچ کنترل ویژه ای در آن محل نیست. کلیه اطلاعات حساس در این مثال در سرورهای پایگاه داده در VLAN 3 ذخیره می‌شود.
دستگاه‌های کاربران شخصی از VLAN 3 باACL مسدود شده‌اند. بنابراین تنها راه دسترسی به سرورهای پایگاه داده از طریق سرور برنامه است و سرورهای برنامه از حساب‌های سرویس استفاده می‌کنند تا وارد پایگاه داده شوند. این حساب‌های سرویس 24 رمز عبور با کاراکتر تصادفی دارند که فقط برای تیم امنیتی شناخته شده‌اند.
سایر کنترل‌های “بخش ایمن” که ممکن است در نظر بگیرید شامل موارد زیر است: •یک فایروال که به عنوان یک گیت استفاده می‌شود، کنترل بیشتری بر ترافیک ورودی بخش ایمن فراهم می‌کند.
• یک IPS که از طریق آن تمام ترافیک در داخل و خارج از بخش امن عبور می‌کند و در حال مشاهده انتقال / فعالیت غیرمنتظره داده‌ها است.

ضدبدافزار و پیشگیری از نفوذ میزبان

هر دستگاه متصل به شبکه باید “سخت” شود. سخت شدن شامل نصب و نگهداری نرم افزارهای ضد بدافزار در سیستم‌های پیکربندی شده و وصله شده است. همچنین شامل استفاده از نرم افزار IPS با سرور یا میزبان کاربر نهایی است. قرار دادن راه حل های IPS ، از جمله دیواره‌های آتش (فایروال‌های) نرم افزاری، بر روی دستگاه‌های نقطه پایان، دو هدف امنیتی را انجام میدهد. اول یک خط دفاعی نهایی برای مقابله با بدافزارهای ناخواسته یا فعالیت‌های انسانی ایجاد می‌کند که ممکن است آن را از طریق تمام لایه‌های دیگر ایجاد کرده باشد. دوما اگر یک دستگاه متصل به خطر بیفتد، به جدا كردن رفتارهای ناخواسته كمك می‌كند. به عنوان مثال، اگر این دستگاه‌ها قفل شده باشند و دسکتاپ آلوده شده اتصالات برون مرزی را زیر سوال ببرد، یک کرم (worm) که می‌تواند راه خود را روی یک دسکتاپ پیدا کند، اتصالی به رایانه‌های دیگر خواهد داشت.

کنترل دسترسی

هنگامی که اکثر مردم به کنترل دسترسی فکر می‌کنند، ورود به رایانه خود را در صبح تصور می‌کنند. در حالی که این در واقع نمونه‌ای از کنترل دسترسی است و تنها بخش کوچکی از استراتژی کنترل دسترسی کلی شبکه است. یک استراتژی جامع شامل موارد زیر است:
• ورود به سیستم کاربر
• تأیید هویت سیستم به سیستم: هنگامی که یک کامپیوتر با رایانه دیگری تماس می‌گیرد، به خصوص اگر داده‌های حساس در آن وجود داشته باشد، دو کامپیوتر باید یکدیگر را تأیید کنند، که به طور معمول با گواهینامه‌ها یا کنترل‌های دیگری انجام می‌شود که دستگاه‌ها را بطور خاص مشخص می‌کنند.
• کنترل دسترسی به بخش شبکه: بهترین راه برای محافظت از داده‌های شما این است که فقط به رایانه‌هایی با قابلیت تجارت مطلق که نیاز دارند مخازن داده را مشاهده کنند، اجازه دسترسی دهید. همانطور که قبلاً بحث کردیم، این کار با ترکیبی از بخش بندی شبکه، لیست‌های کنترل دسترسی و سایر کنترل‌های مناسب در نظر گرفته شده است.
• محدود کردن دسترسی فیزیکی به زیرساخت‌های مهم: اگر چه این مقاله به کنترل‌های فنی می‌پردازد، مهم است که اهمیت امنیت فیزیکی را نیز شامل شود. اگر یک مهاجم بتواند به طور فیزیکی به زیرساخت‌های مهم شما دسترسی پیدا کند، از امنیت فنی داده‌های شما محافظت نمی‌کند.

پیکربندی ایمن

پیکربندی ایمن یا سخت شدن دستگاه‌ها احتمالاً بهترین راه برای محافظت از داده‌های شما است. که شامل موارد زیر است:
• غیرفعال کردن همه درگاه‌ها / خدماتی که کاملاً موردنیاز نیستند.
•اعمال وصله‌های امنیتی در اسرع وقت پس از آزادسازی، منطقی است.
• برای فایروال‌ها و سایر دستگاه‌های کنترل شبکه، با رد همه ترافیک‌ها شروع کرده و تنها آنچه را که برای فعالیت تجاری لازم است باز کنید.
• تا آن جا که منطقی و مناسب است، به دنبال توصیه‌های فروشنده برای امنیت سیستم عامل، سوئیچ، روتر و غیره باشید.

نظارت، هشدار و گزارش‌دهی

آنچه را که انتظار دارید بازرسی کنید. به عبارت دیگر، در هیچ صورت نباید فرض کنید که اتقافی که امکان دارد بیفتد حتما می‌افتد. اگرچه این به عنوان یک درس مدیریتی در نظر گرفته می‌شود، اما یک عنصر مهم امنیت سازمانی هم هست.

کنترل های پیشگیری و تشخیص شما همیشه بصورتی که طراحی کرده‌اید یا طوری که فکر می‌کنید آنها را طراحی کرده‌اید، کار نمیکنند. بنابراین شما باید همیشه نظارت ، هشدار و گزارش به عنوان نتایج هر اجرای کنترل پروژه در نظر داشته باشید. این نتایج شامل نه تنها عملکرد کنترل‌های در حال کار می شود بلکه باید به شناسایی وقایع غیر عادی بپردازند که فقط شهود و تجربه انسان ممکن است آن‌ را در نظر بگیرد.
بهترین راه برای جمع کردن همه این موارد، مدیریت ثبت (گزارش) است. یک راه حل مدیریت ثبت (گزارش)، گزارش های مربوط به یک مخزن مرکزی از همه سیستم های امنیتی، LAN / WAN و سایر دستگاه‌های کلیدی است که آن‌ها را جمع آوری می‌کند. سپس داده‌های جمع‌آوری شده از طریق یک موتور همبستگی طراحی شده به منظور جستجوی مجموعه هایی از رویدادها که با احتمال بالا یک پیشامد امنیتی هستند، عبور داده می‌شوند.

سخن پایانی

امنیت شبکه راه حلی یکپارچه نیست که بتوانید به سادگی از آن‌ها محافظت کرده و برای محافظت از داده‌ها و زیرساخت‌های مهم خود آن را فعال کنید، بلکه مجموعه‌ای از کنترل ها است که از یک استراتژی کلی تجاری پشتیبانی می‌کند، که در کنار هم برای کاهش ریسک کار می‌کنند. بنابراین دفعه بعد که با مدیر یا کارمندان خود درباره امنیت شبکه بحث می‌کنید، بسیاری از قسمت‌های کار مورد نیاز برای محافظت از دارایی‌های اطلاعاتی خود را به خاطر بسپارید.