معماری امنیت شبکه؛ بهترین شیوه ها و ابزارها

معماری امنیت شبکه یک راهبرد است که فرایندهای رسمی برای طراحی شبکه های مقاوم و امن ارائه می دهد. پیاده سازی مؤثر آن باعث بهبود نرخ عبور داده ها، قابلیت اطمینان سیستم و امنیت کلی هر سازمان می شود. این مقاله به بررسی اجزای معماری امنیت شبکه، اهداف، بهترین شیوه ها، چارچوب ها، پیاده سازی و مزایا می پردازد و همچنین نشان می دهد از کجا می توانید اطلاعات بیشتری درباره معماری امنیت شبکه کسب کنید.

شرکای ویژه؛ نرم افزارهای کنترل دسترسی شبکه  (NAC)

اجزای اساسی معماری امنیت شبکه شامل عناصر اصلی شبکه، عناصر امنیتی برای محافظت از آن ها و عناصر امنیتی مرتبط هستند.

عناصر شبکه

شبکه ها دارایی های فیزیکی و مجازی را به هم متصل کرده و جریان داده بین آن ها را کنترل می کنند. عناصر پایه یک شبکه اساسی عبارت اند از:

• تجهیزات شبکه: جریان داده بین دستگاه ها را کنترل می کند و معمولاً شامل سوئیچ های فیزیکی و مجازی، روترهای سیمی یا بی سیم، مودم ها و هاب ها است.
• سرور: توان پردازشی و ذخیره سازی قدرتمندی را در شبکه های محلی، ابری و مراکز داده برای اجرای سرویس ها (Active Directory، DNS، ایمیل، پایگاه های داده، برنامه ها) فراهم می کند.
• نقطه پایانی (Endpoint): امکان دسترسی برای کاربران انسانی و سرویس های رایانه ای را فراهم می کند و معمولاً شامل رایانه های شخصی، لپ تاپ ها، اینترنت اشیا (IoT) و فناوری عملیاتی (OT) است.
• ذخیره سازی: داده های کاربران و برنامه ها را در حالت سکون نگه می دارد؛ می تواند با عناصر دیگر (مانند سرور و غیره) یکپارچه شود یا به صورت ذخیره سازی ابری یا ذخیره سازی متصل به شبکه (NAS) جداگانه باشد.
• زیرساخت ابری: از نسخه های مجازی سازی شده اجزای شبکه تشکیل شده است که در محیط های مبتنی بر سرویس (نرم افزار، پلتفرم، زیرساخت) قرار دارند.
• کاربر، سرویس و برنامه: از طریق نقاط پایانی به شبکه متصل می شود و سپس از طریق اتصالات شبکه به سایر دارایی های شبکه و داده ها دسترسی پیدا می کند.

عناصر امنیتی

عناصر امنیتی از هر یک از اجزای شبکه، دسترسی به شبکه و انتقال داده ها محافظت می کنند. این عناصر شامل تدابیری برای مقابله با ورود غیرمجاز (دفاع پیرامونی و کنترل دسترسی)، تکنیک هایی برای گمراه سازی مهاجمان (دفاع مبتنی بر ابهام سازی)، و کنترل های تخصصی برای دارایی های خاص (سرویس ها، ابرها، برنامه ها، دارایی های مجازی، نقاط پایانی و شبکه ها) هستند.

دفاع پیرامونی (Perimeter Defense)

دفاع پیرامونی تهدیدها را در لبه شبکه مسدود می کند. به طور سنتی، این فناوری به صورت ضمنی به ترافیک خارجی بی اعتماد و به ترافیک داخلی اعتماد می کند. فناوری اعتماد صفر (Zero Trust) نیز به عنوان دفاع پیرامونی عمل می کند، اما این کار را برای هر دارایی به صورت جداگانه و بدون هیچ گونه اعتماد ضمنی به هیچ ترافیک یا اتصالی انجام می دهد. ابزارهای امنیت پیرامونی شامل موارد زیر هستند:

• فایروال ها (Firewalls): ترافیک را فیلتر کرده و دسترسی را بر اساس قوانین و سیاست های فایروال برای شبکه، بخش های شبکه یا دارایی های محافظت شده توسط انواع مختلف فایروال ها پایش می کنند.
• فایروال های نسل بعدی (NGFWs): با قابلیت های پیشرفته تحلیل بسته ها، امنیت کلی فایروال را بهبود می دهند تا بدافزارها و سایت های شناخته شده مخرب را مسدود کنند.
• فایروال به عنوان سرویس (FWaaS): حفاظت میزبانی شده در ابر و مقیاس پذیر را در سطح کل سازمان برای همه منابع (شبکه ها، شعب، کاربران دورکار و غیره) پیاده سازی می کند.
• مدیریت سیاست امنیت شبکه (NSPM): کنترل و مدیریت متمرکز سیاست هایی را فراهم می کند که باید در سراسر فایروال ها، روترها و سایر تجهیزات شبکه اعمال شوند.
• مدیریت یکپارچه تهدید (UTM): چندین قابلیت امنیتی پیرامونی و کاربردی را در یک تجهیز واحد ادغام می کند که برای شرکت های کوچک و متوسط (SME) مناسب است.

کنترل دسترسی (Access Control)

کنترل های دسترسی، سازوکارهای احراز هویت و مجوزدهی اضافی را برای تأیید کاربران، سیستم ها و برنامه ها و تعریف سطح دسترسی آن ها اضافه می کنند. این کنترل ها شامل موارد زیر هستند:

• Active Directory (AD): کاربران، گروه ها و گذرواژه ها را به عنوان یک کنترل دسترسی پایه برای سازمان مدیریت می کند و مبنای اکثر ابزارهای امنیتی دیگر است.
• مدیریت دسترسی هویت (IAM): مدیریت AD و سایر ابزارهای پروتکل LDAP را ساده سازی، متمرکز و گسترش می دهد.
• احراز هویت چندعاملی (MFA): از حداقل دو عامل (2FA) یا بیشتر برای احراز هویت کاربر استفاده می کند؛ مانند بیومتریک، گواهی دستگاه یا اپلیکیشن های احراز هویت.
• کنترل دسترسی شبکه (NAC): پیش از اجازه دسترسی به شبکه، دستگاه ها را از نظر نشانه های نفوذ، نبود وصله ها و مشکلات دیگر بررسی کرده و می تواند آن ها را قرنطینه کند.
• مدیریت دسترسی ممتاز (PAM): شکل تخصصی تری از IAM را ارائه می دهد که دسترسی به منابع ممتاز مانند اعتبارنامه های مدیران و سیستم های حساس را کنترل می کند.
• شبکه های خصوصی مجازی (VPNs): دسترسی امن کاربران دورکار یا شعب را از طریق اتصالات رمزگذاری شده به فایروال ها یا برنامه های سروری فراهم می کنند.
• زیرساخت دسکتاپ مجازی (VDI): دسترسی VPN یا دسکتاپ راه دور را با دسکتاپ های مجازی در محیط های کاملاً کنترل شده و با حفاظت های اضافی جایگزین می کند.
• دسترسی شبکه مبتنی بر اعتماد صفر (ZTNA): سطوح دقیق تری از دسترسی به دارایی های شبکه را بر اساس کاربر، موقعیت، زمان دسترسی و دارایی درخواستی فراهم می کند.

دفاع های فریب و ابهام سازی (Deception & Obfuscation Defenses)

تکنیک های فریب و ابهام سازی دارایی های شبکه را از کشف پنهان می کنند، کاوش را مسدود می سازند یا از طعمه ها برای فعال سازی هشدارها استفاده می کنند. این تکنیک ها می توانند از قابلیت های داخلی نرم افزارها (برای فایروال ها، سیستم عامل ها و غیره) یا ابزارهای تخصصی برای ارائه دفاع های ابهام سازی استفاده کنند، از جمله:

• هانی پات ها (Honeypots): اهداف وسوسه انگیزی برای مهاجمان فراهم می کنند که هیچ اطلاعات معتبری ندارند و به عنوان یکی از فناوری های فریب برای فعال سازی هشدارها و تشخیص زودهنگام حملات به کار می روند.
• Port Knocking: پورت های ارتباطی (از جمله برای شناسایی) را تا زمان ارائه یک کد از طریق چند بسته مشخص یا یک مجوز تک بسته ای ویژه (SPA) می بندد.
• پروکسی ها (Proxies): ارتباط مستقیم را با یک واسط نرم افزاری یا سخت افزاری جایگزین می کنند تا کشف دارایی ها (سرورها، نقاط پایانی، بخش ها و غیره) پشت پروکسی پنهان شود.

امنیت سرویس ها (Services Security)

امنیت سرویس ها کنترل های تخصصی را برای سرویس های سیستمی داخل شبکه اعمال می کند. نمونه هایی از امنیت سرویس ها عبارت اند از:

• امنیت AD: لایه های امنیتی به Active Directory اضافه می کند تا دسترسی ها یا سطوح مجوز غیرضروری حذف شوند، تغییرات غیرمجاز شناسایی گردد و سایر حملات علیه AD مسدود شود.
• پروتکل های ارتباطی (TCP، HTTPS و غیره): پروتکل های رمزنگاری و سایر اقدامات امنیتی را برای ارتباط بین رایانه ها اعمال می کنند.
• نظارت DHCP (DHCP Snooping): آدرس های IP تخصیص یافته به منابع را ردیابی می کند تا دستگاه های غیرقابل اعتماد و جعل آدرس IP شناسایی شوند.
• امنیت DNS: سرویس DNS را در برابر تلاش ها برای خراب سازی اطلاعات DNS مورد استفاده برای دسترسی به وب سایت ها یا رهگیری درخواست های DNS محافظت می کند.

امنیت ابر  (Cloud Security)

امنیت ابر ابزارها و تکنیک های متمرکزی را برای حفاظت از منابع ابری فراهم می کند. اگرچه بسیاری از ابزارهای امنیت شبکه می توانند در محیط های ابری مجازی سازی شده مستقر شوند، ابزارهای تخصصی قابلیت های متناسب تری ارائه می دهند، از جمله:

• واسط امنیت دسترسی به ابر (CASB): ورود مستقیم به منابع میزبانی شده در ابر را با یک دسترسی واحد و محافظت شده CASB جایگزین می کند تا تهدیدهای ناشی از افشای اعتبارنامه کاهش یابد.
• فایروال های ابری: فایروال های مبتنی بر ابر را برای حفاظت از شبکه های ابری در محیط های IaaS یا PaaS پیاده سازی می کنند.
• مدیریت مجوزهای زیرساخت ابری (CIEM): انطباق، ریسک و امنیت را با کنترل دسترسی کاربران، سیستم ها و برنامه ها به منابع ابری مدیریت می کند.
• پلتفرم های حفاظت بومی برنامه های ابری (CNAP): برنامه ها و منابع ابری را با امنیت بومی و یکپارچه ابر محافظت می کنند.
• مدیریت وضعیت امنیت ابر (CSPM): شکاف ها و پیکربندی های نادرست را شناسایی می کند، دسترسی ها را ایمن می سازد و سیاست های انطباق را در محیط های ابری اعمال می کند.
• پلتفرم های حفاظت از بار کاری ابری (CWPPs): برنامه ها، اجزای برنامه (مانند پایگاه های داده) و زیرساخت برنامه (مانند کانتینرها) را در ابر پایش و ایمن می کنند.
• لبه دسترسی امن سرویس (SASE): کنترل های شبکه SD-WAN را با کنترل های امنیتی برای دارایی های محلی، دورکار و ابری ترکیب می کند.
• لبه سرویس امن (SSE): کنترل های امنیتی را برای دارایی های محلی، دورکار و ابری اعمال می کند تا حفاظت و پایش قوی امنیتی فراتر از شبکه محلی گسترش یابد.

امنیت برنامه ها  (Application Security)

امنیت برنامه ها بر حفاظت از برنامه ها در شبکه های محلی، مراکز داده و شبکه های مبتنی بر ابر تمرکز دارد. این ابزارها شامل موارد زیر هستند:

• امنیت API: ارتباطات بین برنامه ها را با بازرسی درخواست ها و ارتباطات API ایمن می کند.
• فایروال پایگاه داده: ترافیک به پایگاه های داده را بررسی کرده، دسترسی غیرمجاز را مسدود می کند و دفاع های تخصصی در برابر حملات پایگاه داده ارائه می دهد.
• امنیت پایگاه داده: مجموعه ای از کنترل های امنیتی تخصصی برای حفاظت از دسترسی، یکپارچگی داده و حملات خاص پایگاه داده اعمال می کند.
• امنیت ایمیل: ویروس ها یا حملات پنهان در ایمیل ها و پیوست ها را شناسایی می کند، هرزنامه را مسدود می سازد یا ایمیل های صادرشده از سازمان را احراز هویت می کند.
• درگاه امن ایمیل (SEG): به صورت تجهیز فیزیکی یا مجازی با قابلیت های بازرسی و امنیتی تخصصی برای ایمیل ها و پیوست ها مستقر می شود.
• درگاه های امن وب (SWGs): حفاظت یکپارچه ای برای شبکه ها و کاربران جهت دسترسی به ایمیل ها، اتصال به منابع SaaS یا ابری، یا مرور وب سایت ها فراهم می کنند.
• فایروال برنامه های وب (WAF): حفاظت لایه کاربرد را برای وب سایت ها و برنامه ها فراهم می کند تا حملات تخصصی و دسترسی غیرمجاز مسدود شوند.

امنیت مجازی سازی شده  (Virtualized Security)

ابزارهای امنیتی مجازی سازی شده از محیط های مجازی محافظت می کنند یا محیط های مجازی برای حفاظت از دارایی های فیزیکی ایجاد می کنند. نمونه ها شامل:

• ایزوله سازی مرورگر: کانتینرهای مجازی روی نقطه پایانی ایجاد می کند تا محتوای مرورگر، از جمله حملات احتمالی بدافزاری، از محیط فیزیکی دستگاه جدا شود.
• فایروال های کانتینری: همراه با کد مستقر می شوند تا دسترسی درخواستی را محافظت کرده و ارتباطات کانتینرها و محتوای آن ها را پایش کنند.
• امنیت کانتینر: با مجموعه ای از قابلیت های تشخیص تهدید، اسکن آسیب پذیری، پایش ترافیک و پاسخ به رخداد از کانتینرها محافظت می کند.
• سندباکسینگ: یک محیط دسکتاپ مجازی با امنیت افزایش یافته ایجاد می کند تا فایل های مشکوک اجرا شده و برای بدافزار آزمایش یا رفتار آن مشاهده شود.
• SD-WAN: با استفاده از نرم افزار، شبکه های مجازی، بخش بندی شبکه و حتی ریزبخش بندی را مستقل از شبکه ها و موقعیت های فیزیکی ایجاد می کند.
• زیرساخت دسکتاپ مجازی (VDI): زیرساخت دسکتاپ مجازی یا VDI-as-a-service (VDaaS) را برای دسترسی کاملاً ایزوله و کنترل شده کاربران دورکار فراهم می کند.

امنیت نقاط پایانی  (Endpoint Security)

امنیت نقاط پایانی از نقاط پایانی فیزیکی و مجازی متصل به شبکه محافظت می کند. کنترل های امنیتی شامل:

• آنتی ویروس (AV): بر اساس پایگاه داده ای از امضاهای فایل های مخرب شناخته شده، بدافزارها را اسکن کرده و دفاع پایه ای در برابر حملات رایج فراهم می کند.
• مدیریت دستگاه: حداقل سطوح امنیتی را حفظ کرده و برنامه ها را روی دستگاه های دورکار از طریق EMM و راهکارهای مشابه کنترل می کند.
• تشخیص و پاسخ نقطه پایانی (EDR): امنیت پیشرفته تری نسبت به AV با تحلیل هوشمند فعالیت های نقطه پایانی و اصلاح خودکار ارائه می دهد.
• پلتفرم حفاظت نقطه پایانی (EPP): حفاظت AV را با شاخص های تأییدشده نفوذ، پایش حافظه و سایر تکنیک های تشخیص بدافزار تقویت می کند.
• فایروال های مبتنی بر میزبان: حفاظت فایروالی مجازی را روی دستگاه های مشخصی مانند روتر یا درون سیستم عامل رایانه های نقطه پایانی یا سرورها فراهم می کنند.
• امنیت اینترنت اشیا (IoT): مجموعه ای از ابزارها و تکنیک ها برای ایمن سازی IoT، فناوری عملیاتی (OT) و دسته های مشابه نقاط پایانی را دربر می گیرد.

امنیت شبکه  (Network Security)

ابزارهای امنیت شبکه ارتباطات بین دارایی های شبکه را پایش و ایمن کرده و از حملات خاص شبکه ای جلوگیری می کنند. این ابزارها شامل:

• حفاظت در برابر حملات منع سرویس توزیع شده (DDoS): حملات DDoS طراحی شده برای overload کردن سیستم ها و جلوگیری از دسترسی به منابع را شناسایی و کنترل می کند.
• سیستم های تشخیص نفوذ (IDS): بسته های شبکه را برای فعالیت های مخرب و شاخص های نفوذ بررسی کرده و هشدارهایی برای تیم های امنیتی تولید می کنند.
• سیستم های جلوگیری از نفوذ (IPS/IDPS): قابلیت مسدودسازی خودکار بسته ها یا قرنطینه را به IDS اضافه می کنند تا دفاعی فعال تر برای ترافیک شبکه فراهم شود.
• کارگزار بسته شبکه (NPB): پایش خودکار بسته ها را برای فیلتر و توزیع آن ها ارائه می دهد تا توازن بار، کارایی و تحلیل بهبود یابد.
• پایش شبکه: IDPS را به دستگاه های متصل گسترش می دهد تا رفتار، بار ترافیکی و سلامت اجزا برای مسائل عملیاتی و همچنین فعالیت های مخرب ردیابی شود.
• بخش بندی یا ریزبخش بندی: شبکه ها را جدا می کند تا مجوزها و قوانین دسترسی متفاوت اعمال شود یا تلاش ها برای حرکت جانبی در شبکه مسدود گردد.