3

فایروال ها

دیر زمانی بود که، بسیاری از سازمان‌ها، فایروال‌ های معمولی را در شبکه های خود مورد استفاده قرار می‌دادند، و مدیریت آنها نسبتا ساده بود. اولین فایروالی که از لیست های دستیابی بدون تابعیت استفاده کرد، نیازمند این بود که کاربران به صراحت قوانین هر دو ترافیک خروجی و بازگشتی را، در جایی که زیربنای امنیت شبکه های اولیه بود، پیکربندی کنند – برخی از لیست های دسترسی بدون تابعیت امروزه هنوز در روترها استفاده می شوند.
با این حال، فایروال به طور چشمگیری نسبت به گذشته تکامل یافته، و با هر مرحله از تکامل، اضافه شدن ویژگی های امنیتی پیچیده تر منجر به پیچیدگی بیشتر مدیریت فایروال‌ها شده است.
اولین تکامل فایروال stateful، که می تواند جریان های ترافیکی دو جهته را باهم فیلتر کند، نیازمند آن است که کاربران سیاست‌ها را تنها برای ترافیک خروجی تنظیم کنند.این ویژگی توسط فایروال نسل جدید (NGFW)، که علاوه‌ بر پروتکل های شبکه و شماره پورت، دارای پشتیبانی از فیلتر‌های جزئی‌تر و بازرسی بسته عمیق‌تری برای شناسایی ترافیک نرم افزارهای خاص بود، دنبال شد.
تصویب مجازی سازی در مرکز داده ها، منجر به توسعه از فایروال مجازی و اضافه شدن ابزارهای مدیریتی بیشتر و درنتیجه تغییرات بیشتری گردید. در حال حاضر با حرکت به سوی سیستم‌های ابری خصوصی و عمومی، هنوز کنترل‌های امنیتی بسیاری در دسترس هستند: فایروال‌های ابر تجاری، کنترل‌های مختص ارائه دهندگان ابر، و یا فایروال‌های مبتنی بر میزبان.
همانطور که این امور با شتاب در سازمان‌های در حال گسترش و شبکه های ترکیبی مستقر می‌شوند، همچنین موجب شده‌است تا پیچیدگی مدیریت دستگاه های مختلف، و دست زدن به فرایند تغییرات در سراسر این محیط‌ های ترکیبی چند برابر شود.

نمایندگی تجهیزات شبکه متصاکو ارائه دهنده فایروال فورتی گیت، فایروال سایبروم، فایروال سوفوس و فایروال جونیپر است.

مشکلات ترجمه دستورات فایروال‌ها برای فایروال‌های دیگر

در حال حاضر واقعیت این است که سازمان‌ها به طور معمول دارای محیط های بسیار پیچیده‌ای هستند: ترکیبی از نسل‌های گوناگون فایروال، فن آوری، و فروشندگان مختلف. مدیریت چنین ترکیبی به دلیل وجود هر نسل از فایروال، و محصولات هر فروشنده، استفاده از دستور و مفاهیم مختلف برای ایجاد سیاست های امنیتی، چالش بزرگی است.
به عنوان مثال، اجازه دهید شبکه سازمانی را که از هر دو نوع فایروال‌های سنتی و NGFWs استفاده کرده است را بررسی کنیم. به عنوان مثال ممکن است سیاست سازمانی مسدود کردن دسترسی به سایت های رسانه های اجتماعی در گستره‌ی شرکت باشد. بخش بازاریابی آن باید قادر به دسترسی به فیس بوک باشد.ترافیک فیس بوک از طریق هر دو نوع فایروال عبور می کند که این به‌ این معنی است که سیاست های امنیتی جدید، نیازمند تعیین هردو این سیاست‌ها در موترد مذکور می‌باشد.
برای NGFW، این ساده و مشهود است. فیس بوک می تواند از پیش در قوانین فایروال به‌عنوان نرم‌افزار مجاز تعریف شود، در حالی که دسترسی به دیگر سایت های رسانه های اجتماعی، و از بخش های دیگر، مسدود شده است. با این حال، دیوار آتش سنتی نمی‌تواند محدوده فیس بوک را درک کند: که نیازمند “منبع”، “مقصد”، “خدمات” به‌صورت پیش‌فرض است و پروتکل‌های ‘اقدام’ که برای استفاده از http و https به فیس بوک داده می شود.
پس در واقع ایجاد تغییر در سیاست‌های امنیتی NGFW و فایروال سنتی شامل مراحل گوناگون و زبان‌های بسیار متفاوتی است. مهندسان پیکربندی دستگاه ها باید به وضوح نگاشت میان برنامه های کاربردی را (همانطور که آنها در NGFW تعریف شده‌اند)، و خدمات مربوطه، پروتکل ها و پورت‌های آنها را (همان‌گونه که در فایروال سنتی تعریف شده‌اند)، درک نماید، به طوری که قوانین و سیاست های به درستی تنظیم در هر دو محیط قابل پیاده‌سازی و تنطیم باشند.
هر گونه اشتباه و یا خطا در ترجمه میان محصولات، در هنگام تعیین این سیاست ها و یا ایجاد تغییرات شبکه پتانسیل آن را دارد که باعث قطع غیر منتظره خروجی برنامه یا پیدایش حفره های امنیتی گردد، همچنین پیدایش آن می‌تواند به دلیل مسدود شدن ناخواسته ترافیک بسیار مهم، و یا باز شدن تصادفی ترافیک های دیگر باشد. ده ها یا حتی صدها فایروال شبکه در سراسر سازمان‌های معمولی را نیز بر موارد قبلی اضافه کنید، این دستور‌العملی برای یک خوراک داغ است.

پیچیدگی‌های ابر

هنگامی که این فرایند ها تا استقرار ابر توسعه می‌یابد، بسته به کنترل های امنیتی ابر مورد استفاده، تیم های IT با چالش های بیشتری روبرو می شوند. ارائه دهنده ابر ممکن است پیشنهاد داشتن گروه‌های متعدد امنیتی را که با یک سرور حاص ارتباط دارند را ارائه دهد؛ در حالی که دیگری ممکن است تنها گروه‌های امنیتی محدودی را ارائه دهد که علاوه بر آن ممکن است اجازه دهد گروه‌های امنیتی با تمام سرورهای یک VLAN ارتباط داشته باشند.
در سطح بالا، شما ممکن است قادر به شناسایی پایین ترین مخرج مشترک برای فیلترینگ ترافیک اساسی است، اما هنگامی که شما می خواهید با دقت بیشتری فیلترینگ جزئی مورد نیاز شبکه های سازمانی را پیاده‌سازی کنید، برخی از ارائه دهندگان به این منظور قابلیت‌های خاصی ارائه می‌کنند و برخی نیز ارائه نمی‌دهند.
هر ارائه دهنده یک مدل معنایی متفاوت از آنچه شما می توانید فیلترکنید، و در کجا آن کنترل‌ها استفاده می شوند ارائه می‌کند. همچنین این با فایروال‌های پیش فرض موجود در محل سازمان متفاوت خواهد بود.
این زبان‌های مختلف به این معنی است که انتخاب سیاست امنیتی یک سازمان و اعمال آن بر همه انواع مختلف فایروال در سراسر یک شبکه ناهمگن، بسیار پیچیده است – به این معنی که حتی ایجاد تغییرات ظاهرا ساده (مانند فعال‌سازی دسترسی فیس بوک یا یوتیوب برای یک بخش در این شرکت ) مملو از خطر است.

شکستن موانع زبانی در فایروال ها

پس چگونه شما خطر تغییراتی را که باید به‌سادگی انجام شوند، کاهش می‌دهید، و تغییرات کسب و کار منجر به سیاست های امنیتی – و کاهش نیاز به تیم های IT برای تعامل با زبان‌های متعدد فایروال ها، را فراهم می‌سازید؟آنچه که نیازمندیم راهی میان دستورات و عبارات متفاوت است که هر نوع از کنترل امنیتی را – چه در سیستم‌های ابری باشد یا سیستم پیش‌فرض، که برای ایجاد قوانین و سیاست ها مورد استفاده قرار می‌گیرد را ترجمه نماید به طوری که تیم های IT بتوانند ابزارهای امنیتی خود را قادر به درک زبان مورد استفاده در کسب و کارشان نمایند.
برای دستیابی به فراتر از موانع زبانی و بهینه سازی مؤثر و مدیریت امنیت در سراسر یک محیط مرکب از یک کنسول واحد با مجموعه‌ای از دستورات، شما به یک راه حل مدیریت خودکار با چهار قابلیت کلیدی نیاز دارید:
دید و کنترل: شما باید قادر باشید همه فایروال ها، دروازه ها و کنترل های امنیتی کل شبکه خود را تنها در یک قاب شیشه ای زیر نظر داشته باشید.
مدیریت تغییرات طبیعی: شما باید قادر باشید تا این محصولات امنیتی را با نگرشی کلی به‌عنوان بخشی از یک عملیات متعارف روزانه پیکربندی و مدیریت نمایید. بنابراین راه حلی را که شما انتخاب می کنید باید قادر به ترجمه و تفسیر منطق و دستورات مختلف مورد استفاده تمام کنترل های امنیتی گوناگون باشد، و به صورت خودکار و بی‌وقفه به اجرای تغییرات سیاست‌های امنیتی بپردازد. راه حل همچنین باید تمام این تغییرات را مستند کند.
مدیریت تغییرات بزرگتر: همچنین تغییرات معماری شبکه های بزرگ در مدیریت سیاست‌های امنیتی خواسته بزرگی است. شما باید قادر باشید تا به طور خودکار سیاست های امنیتی خود را در زمان مهاجرت مراکز داده یا برنامه های کاربردی به ابر، به عنوان مثال، و یا زمانی که یک تیم از یک فروشنده به دیگری روی می‌اورد، در سراسر محیطی ناهمگن تنظیم کنید.
اثبات انطباق: امنیت شبکه، ناحیه کلیدی مورد نیاز شما است تا قادر به اثبات انطباق به ممیزان و تنظیم کننده‌ها باشید. راهکاری که به صورت خودکار همه فرآیندها و تغییرات را رهگیری می‌کند، ارزیابی خطر فعالانه‌ای داشته و حاوی گزارشاتی خارج از چهارچوب حسابرسی فراهم می کند، و می‌تواند به آمادگی برای حسابرسی و حفظ پیوسته انطباق کمک کند.

یک زبان مشترک برای همه فایروال ها

با راهکار مناسب، سازمان ها می توانند در هر دو زمینه هم‌زبانی و کسب نیازمندی‌های امنیتی عمومی از فایروال‌ها، بدون توجه به جایی که آنها مستقر هستند، اطمینان حاصل نمایند.
این مسئله سیاست‌ها را قادر می سازد تا به طور مداوم اعمال شوند، بدون، فرآیندهای دستی و وقت گیر و مستعد خطا و تضمین ترافیک شبکه می تواند با امنیت در سراسر هر دو شبکه پیش‌فرض و ابر خصوصی و یا عمومی جریان پیدا کند.پس از همه اینها، امنیت و انطباق کسب و کار شما مواردی هستند که شما نمی توانید هزینه ازدست دادن آنها را در ترجمه پرداخت نمایید.

برچسب‌ها: بدون برچسب

دیدگاه ها بسته شده اند.