امنیت مدرن سازی شبکه

در بحث امنیت مدرن سازی شبکه پذیرش خدمات ابری، مدل‌های قدیمی شبکه‌ای را تغییر داده و باعث پذیرش و رونق SD-WAN شده است.
در مقایسه با مدل‌های قدیمی، رویکرد مبتنی بر سخت‌افزار این روش می‌تواند هزینه‌های سازمانی را به نصف کاهش دهد.
باوجود افزایش کارایی شبکه، تقریباً نصف هزینه‌های عملیاتی را دربر می‌گیرد.

بااین‌وجود، SD-WAN نقص بزرگی درزمینهٔ بسیار مهم قابلیت‌های پیشرفت امنیتی دارد.
شرکت تحقیقاتی Gartner اخیراً به این موضوع اشاره داشته که : ” بیشتر فروشندگان SD-WAN از قابلیت اساسی فایروالینگ و VPN پشتیبانی می‌کنند، بااین‌وجود، در این زمینه خیلی قوی نیستند و به شرکای امنیتی خود در خصوص قابلیت‌های پیشرفته سیستم‌های پیشگیری نفوذ، تجزیه‌وتحلیل بدافزارها و sandboxing وابسته هستند. ”

توصیه‌ی شرکت Gartner در این زمینه این است ” برای اتصال چندین ابر در دو لبه و نقاط اینترنتی WAN مشتری، احتیاج به یک سیستم حفاظتی پویا و یکپارچه می‌باشد.”
حال سؤال اینجاست که رایج‌ترین مشکلاتی که می‌توانند  SD-WAN را تهدید کنند کدام هستند؟

ورود مستقیم به ترافیک اینترنتی

به‌طور حتم در معماری SD-WAN، ترافیک  اینترنتی که مستقیماً از طرف ماهواره‌ها اعمال می‌شود بررسی نمی‌گردد.
در بسیاری از مواقع این اتفاق به خاطر اینکه کاربران اطلاعی از پیکربندی شبکه خود ندارند پیش می‌آید.
در موارد دیگر، به‌منظور کاهش MPLS backhaul ترافیک اینترنت بررسی نمی‌شود.

در موارد زیادی، درزمینهٔ بررسی نسل بعدی فایروال و حفاظت نقاط پایانی مانند رمزگشایی‌های SSL، پیشگیری از نفوذ و یا شناسایی و واکنش به بدافزارها ضعف وجود دارد.
درنتیجه، به‌آسانی خطر حمله به سایت‌ها از راه دور توسط بدافزارها و دیگر بردارهای مهاجم وجود دارد.
یعنی راه دسترسی به انتشار تهدیدات و حملات در مجموعه باز است.

دیدگاه ضعیف و نامناسب خطرات نقاط پایانی

حملات جانبی از نقاط پایانی آلوده که در شبکه به‌طور گسترده وجود دارد تبدیل به یک تکنیک موردعلاقه برای هکرها شده است.
بدین گونه که در شبکه بدافزارها می‌توانند برای شناسایی و تهدید دستگاه‌ها و داده‌های آسیب‌پذیر مورداستفاده قرار گیرند.
برای جلوگیری از گسترش تهدیدها نیاز به توانایی شناسایی و قرنطینه‌ی دستگاه‌های خطرناک وجود دارد.
علاوه بر این امکان بازسازی آن ها نیز وجود دارد.

ضعف تقسیم‌بندی شبکه

امنیت ترافیک بین ایستگاه‌های کاری و دیگر نقاط پایانی اغلب دردسرساز است.
اگر یکی از ایستگاه‌های کاری درون شبکه با یک بدافزار و یا تهدید دیگری روبرو شود، مشکل می‌تواند به‌سرعت در کل مجموعه منتشر شود.
درصورتی که استفاده از پیاده‌سازی مدرنیزاسیون شبکه‌ای فاقد قابلیت دسترسی به ترافیک داخلی و تقسیم‌بندی است.
در این صورت با ورود تهدید نمی‌توانند خطرات را در شبکه منتقل کنند.

افزایش سطح حوزه امنیت

تنظیمات شبکه به‌صورت نرم‌افزاری تعریف‌شده و به‌وسیله فنّاوری ابری کنترل می‌شود.
مدیریت شبکه به‌عنوان قسمتی از سطح امنیت نیاز به حفاظت دارد.
تمام چالش‌های سنتی مربوط به امنیت دسترسی به اطلاعات ابری در مدیریت SD-WAN می‌باشد.

بسیاری از محصولات و خدمات SD-WAN دارای قابلیت امنیتی نیستند.
سازمان‌ها باید با استفاده از نسل بعدی فایروال‌ها و نقاط پایانی برنامه‌های خود را تکمیل و احراز هویت چندگانه را اضافه نمایند.
همچنین برای کاربران VPN ،احتیاج به استفاده از پروتکل‌های احراز هویت و سیستم‌های مبتنی برابر است.

SD-WAN، سازمان‌ها را قادر می‌سازد تا از ترافیک‌های پی‌درپی در شبکه جلوگیری و بجای آن ترافیک را از مسیر به سمت اینترنت و برعکس خارج کنند.
برای رفع خطرات امنیتی، بخش ترافیک باید با استفاده از مکانیزه‌های پیشرفته‌ی امنیتی شبکه محافظت و رمزگذاری شود.
باید اضافه کرد، اجرای سیاست‌های امنیتی باید از طریق یک کنترل‌کننده متمرکز در ابر باشد.
در این صورت می تواند از آسیب‌پذیری‌های ناشی از سیاست‌های متفاوت ترافیکی و ارزیابی امنیتی پایانه‌ها جلوگیری کند .

واسط مدیریتی SD-WAN ، باید با عوامل قوی چندگانه احراز هویت، و استراتژی مدیریت یکپارچه‌ی دسترسی سازمانی محافظت گردد.
بهترین روش‌های ذکرشده فوق، پیش‌ از این تنها برای شرکت‌های بزرگ با منابع زیاد بود.
خوشبختانه اکنون از طریق گزینه‌های ابری ارائه‌شده در دسترس شرکت‌های متوسط هم قرارگرفته‌اند.
علاوه بر این داشتن دانش رمز نویسی و امنیت شبکه نیز می تواند راهکاری مناسب در این زمینه باشد.

 

گردآوری و تنظیم توسط مجموعه شرکت های مهندسی دانش بنیان رها