چگونه از شبکههای گسترده نرمافزارمحور به شکل ایمن محافظت کنیم؟
نسل جدید شعب سازمانهای امروزی به انواع مختلفی از مکانیزمهای ارتباطی نظیر ابر ترکیبی، اتصال مستقیم به اینترنت، SaaS، IaaS و BYOD نیاز دارند.
به گزارش شبکه مگ نسل جدید شعب سازمانهای امروزی به انواع مختلفی از مکانیزمهای ارتباطی نظیر ابر ترکیبی، اتصال مستقیم به اینترنت، SaaS، IaaS و BYOD نیاز دارند. این شعب برای انجام برخی فعالیتها باید از طریق یک مکانیزم ارتباطی سریع و محلی به شبکه اصلی متصل شوند تا بتوانند به دادههای بلادرنگ و برخی برنامههای کاربردی که روی شبکه اصلی میزبانی میشود دسترسی پیدا کنند.
اتصالات سنتی مبتنی بر MPLS دو مشکل بزرگ دارند؛ اول آنکه گران هستند و دوم آنکه قابلیتهای لازم برای پاسخگویی به نیازهای کسبوکارهای دیجیتالی امروزی را ندارند. علاوه بر این، تلاش در جهت توسعه زیرساختهای سنتی متناسب با الزامات روز دنیای کسبوکار با مشکلات و محدودیتهای زیادی همراه است.
به همین دلیل سازمانها به سراغ راهحل مبتنی بر SD-WAN رفتهاند. سازمانها برای آنکه بتوانند از SD-WAN به شکل کارآمدی استفاده کنند باید شناخت دقیقی از چالشهای امنسازی این فناوری داشته باشند و در ادامه از قابلیتهای امنیتی ارائه شده توسط این فناوری یا هماهنگ با این فناوری به شکل دقیق استفاده کنند.
اضافه کردن راهحلهای امنیتی به SD-WAN ممکن است چالش برانگیز باشد
چابکی، انعطافپذیری و بهبود عملکرد خدمات از مهمترین دلایل محبوبیت SD-WAN هستند. با اینحال، SD-WAN همانند سایر فناوریهای مهم به مکانیزمهای محافظتی قدرتمندی نیاز دارد تا مدیران با خیال آسوده بتوانند از آن استفاده کنند.
بر اساس نظرسنجی گارتنر 72 درصد از پاسخدهندگان اعلام کردهاند که امنیت اصلیترین نگرانی آنها در ارتباط با SD-WAN است، زیرا برخی فروشندگان راهحلهای SD-WAN اطلاعات کافی در ارتباط با مکانیزمهای امنیتی که از آنها استفاده میکنند ارائه نمیکنند.
عدم وجود اطلاعات کافی در این زمینه ممکن است پیامدهای ناگواری همچون سرقت اطلاعات را به همراه داشته باشد. با توجه به اینکه شبکهها و دستگاههای شبکه از طریق واسطهای مختلفی نظیر برنامههای تجاری سازمانی، تجهیزات هوشمند و نرمافزارهای ثالث به تبادل اطلاعات میپردازند، اگر هر یک از عناصر فعال یا غیرفعال شبکه، از اتصالات ابرمحور گرفته تا کاربران دورکار و تجهیزات اینترنت اشیا که قصد برقراری ارتباط با SD-WAN را دارند با مشکل امنیتی روبرو باشند، رخنهای پدید میآورند که ممکن است زیرساخت ارتباطی یک سازمان را با چالش امنیتی جدی روبرو کنند.
در حال حاضر بیش از 60 فروشندهSD-WAN فعال هستند که تنها از مکانیزمهای پایه نظیر دیوارهای آتش دارای حالت، شبکه خصوصی مجازی و رمزگذاری استفاده میکنند. متاسفانه، با توجه به وضعیت حاکم بر دنیای امنیت و چالشهای امنیتی مختلفی که پیرامون سازمانها قرار دارد، قابلیتهای یاد شده برای محافظت از شعب مختلف یک سازمان کافی نیستند.
سازمانها برای کامل کردن لایههای امنیتی به خطمشیهای دیگری نیاز دارند. برای محافظت از شعبی که قصد برقراری ارتباط با شبکه اصلی از طریق SD-WAN را دارند به مکانیزمهای امنیتی دیگری همچون ابزارهای تحلیلکننده بدافزار، فیلترهای وب، جعبه شن، سامانههای تشخیص نفوذ و ابزارهای بازرسی ترافیک SSL نیاز است.
سازمانها برای آنکه بتوانند از سرویسها و ابزارهای یاد شده استفاده کنند باید بر مبنای یک برنامه راهبردی پیچیده به فکر پیادهسازی این سرویسها و ابزارهای امنیتی در شعب مختلف باشند. برخی از فروشندگان، مکانیزمهایی نظیر سامانه پیشگیری از نفوذ را در قالب یک کانتینر به SD-WAN اضافه کردهاند، با اینحال مدیریت یک چنین مجموعهای از فناوریها و ابزارهای مختلف کار پیچیدهای است.
بیشتر سازمانها نیروی متخصص کافی برای پیادهسازی، تنظیم درست و مدیریت این ابزارهای امنیتی مضاعف ندارند، به ویژه هنگامی که قرار است این ابزارها در شعبهای نصب شود که نیروی متخصص کمی در اختیار دارد. علاوه بر این، برخی سازمانها ترجیح میدهند مکانیزمهای امنیتی سنتی را به ساختار SD-WAN اضافه کنند که مشکلات دیگری نظیر ناسازگاری یا عدم انطباق را به وجود میآورد.
مزایای استقرار SD-WAN ایمن
ایمنسازی SD-WAN عمدتا مبتنی بر استفاده از فناوری IPsec، تونلهای شبکه خصوصی مجازی، دیوارهای آتش نسل بعدی و نظارت بر ترافیک شبکه استوار است. برای مقابله با تهدیدات امنیتی لازم است تا عملکردهای امنیتی شبکه بهروزرسانی شوند و برخی از مکانیزمهای امنیتی شبکه مجازیسازی شوند.
SD-WAN به شرکتها اجازه میدهد تا ویژگیهای امنیتی قدرتمندی در لبه شبکه مستقر کنند و خطمشیهای امنیتی را به سادگی در سراسر شبکه استفاده کنند. مدلهای امنیتی سنتی برای پشتیبانی از رویکرد قلعه دیواری (walled castle approach) طراحی شدهاند. بر مبنای این مدل تمامی دادهها، برنامهها و کاربران یک شرکت در پشت یک دیوارآتش در یک مرکز داده فعالیت میکنند.
مایکل لوسون، مدیر کل راهحلهای معماری SD-WAN شرکت CenturyLink میگوید: «با حرکت شرکتها به فضای ابری، زیرساختها و برنامهها از مرکز داده به لبه شبکه منتقل میشوند. به همین دلیل برخی لایههای امنیتی از دست میروند. با اینحال، نباید از این نکته مهم غافل شویم که هر نقطه دسترسی و عنصر شبکه مستعد یک نقض امنیتی هستند.»SD-WAN به مدیران فناوری اطلاعات اجازه میدهد با استفاده از تجهیزات SD-WAN که در مکان لبه قرار میگیرند خطمشیهای امنیتی را به شکل دقیقی اعمال کنند.
لوسون میگوید: «بیش از 60 درصد مشتریان فناوری SD-WAN به ویژگیهای امنیتی پیشرفته نیاز دارند که به شکل بومی با این سرویس فعال شده باشد.» از جمله ویژگیهای مهم امنیتی که مشتریان SD-WAN به آن نیاز دارند به موارد زیر میتوان اشاره کرد:
1. خطمشیهای امنیتی در صورت تقاضا
زمانیکه مشتریان شناخت دقیقی از محیط عملیاتی داشته باشند، به شکل کارآمدتری قادر به پیادهسازی مکانیزمهای امنیتی و استفاده بهینه از منابع هستند. سازمانها تمایل دارند تا خطمشیهای امنیتی را به شکل خودکار در محل یا در ابر مستقر کنند. لوسون میگوید: «شرکتها تمایل دارند عملکردها را بر مبنای تقاضا و زمان تغییر دهند.»
2. رمزنگاری
نمونه روشنی از ویژگیهای امنیتی که باید در محل مستقر شود، رمزگذاری است تا شعب مختلف به شکل ایمنی اطلاعات را مبادله کنند.
3. محافظت در برابر حملات انکار سرویس توزیعی (DDoS)
محافظت در برابر حملات انکار سرویس توزیعی باید بر مبنای سرویسهای ابرمحور استوار باشد. لوسون میگوید: «اگر خطمشی محافظت در برابر حملات انکار سرویس توزیعی را در محل سازمان مستقر کنید و سپس یک حمله DDoS را به شکل آزمایشی پیادهسازی کنید، خطمشی پیادهسازی شده به شکل موثر و دقیقی حمله را دفع میکند. یک سرویس ابرمحور میتواند با هدایت ترافیک مشکوک به سمت مکانیزمهای امنیتی همچون ظرف عسل، این مدل حملات را شناسایی و دفع کند. »
4. مدیریت یکپارچه تهدیدات/ دیوارآتش
تجهیزات SD-WAN باید به ویژگیهای مدیریت یکپارچه تهدیدات یا دیوارهای آتش نسل بعد تجهیز شده باشند تا بتوانند از شعب مختلف و شبکه ارتباطی سازمان به درستی محافظت کنند.
5. هوش تهدید
برخی از فروشندگان SD-WAN به بانکهای اطلاعاتی کارآمدی دسترسی دارند که اجازه میدهد در زمان مناسب تهدیدات را شناسایی و دفع کنند. سرویسهای هوشمند با تحلیل الگوهای ترافیکی مشکوک به پیشبینی تهدیدات میپردازند و قبل از آنکه تهدیدات شکل عینی به خود بگیرند، گزارشی برای مدیر شبکه ارسال میکنند.
بهطور مثال، شرکت CenturyLink یکی از کارآمدترین الگوریتمهای هوشمند موجود در اینترنت را دارد. این الگوریتمهای هوشمند به این شرکت اجازه میدهند ترافیک شبکه را به دقت زیر نظر بگیرد و هرگونه رفتار مشکوکی از جانب روباتها، کامپیوترهای زامبی یا هکرها را به سرعت شناسایی کند و حملات را قبل از پیادهسازی دفع کند.
جدیدترین فناوری ایمنسازی شبکهها که بیشتر فروشندگان SD-WAN چند وقتی است از آن استفاده میکنند سرویس دسترسی امن (SASE) سرنام Secure Access Service Edge است. SD-WAN و SAFE بر اساس اصول مجازیسازی و بهکارگیری اتصالات چندگانه ساخته شدهاند.
با اینحال، SASE بر مبنای رویکرد غیرمتمرکز بر شبکه نظارت میکند. SASE به جای آنکه از توپولوژی مرسوم SD-WAN یعنی hub-and-spoke استفاده کند با توجه به موقعیت مکانی کاربران، آنها را به نزدیکترین نقطه موجود در شبکه که عملکردهای امنیتی و شبکه در آن فعال هستند، هدایت میکند.
مبانی امنیتی SD-WAN: IPsec و شبکههای خصوصی مجازی
از آنجایی که SD-WAN علاوه بر اتصالات MPLS از اینترنت عمومی استفاده میکند، ضروری است که حداقل یک تونل شبکه خصوصی مجازی یا IPsec پیادهسازی شود تا اطمینان حاصل شود که ترافیک بین فرستنده و گیرنده به شکل ایمن مبادله میشوند. در زمان ساخت تونلی برای شبکه خصوصی مجازی باید الزامات زیر به دقت مورد توجه قرار گیرند:
- احراز هویت فرستنده، گیرنده و بستههای ارسالی.
- بهکارگیری کلیدهای رمزگذاری که قبلا توسط میزبانان برای ارسال و دریافت دادهها بهاشتراک قرار گرفته است.
- بهکارگیری پروتکل ESP سرنام Encapsulating Security Payload برای اطمینان از اینکه بستهها دستکاری نشدهاند.
- بهکارگیری سرآیند تایید اعتبار (AH) سرنام Authentication Header که سرآیند IP را برای تایید منبع اصلی بستهها بررسی میکند.
قابلیت مشاهده
یک مزیت بزرگ SD-WAN نسبت به شبکههای گسترده سنتی قابلیت مشاهدهای است که ارائه میکند. در این حالت اپراتور مربوطه میتواند شبکه را به صورت متمرکز مدیریت و پیکربندی کند و هرگونه عدم تطابقی میان ترافیک مبادله شده را به دقت زیر نظر بگیرد.
با استفاده از قابلیت فوق، مدیران شبکه میتوانند از عملکرد دقیق برنامهها اطمینان حاصل کنند، مشکلات شبکه را عیبیابی کنند و مطمئن شوند که مولفهها و خطمشیهای امنیتی به شکل درستی کار میکنند. با این حال، تمامی فروشندگان SD-WAN قابلیت دید یکسانی ارائه نمیکنند.
برخی از فروشندگان سطح دیدی در حد دستگاه/کاربر ارائه میکنند، در حالی که برخی دیگر این قابلیت را محدود به سطح برنامههای کاربردی میکنند. اطلاعاتی که SD-WAN از کاربر، دستگاه یا برنامه جمعآوری میکند در شناخت دقیق اینکه آیا ترافیک از منبع معتبری دریافت شده یا از یک منبع مشکوک، کمک فراوانی میکند.
قابلیت مشاهده ترافیک شبکه در سطح برنامه به مدیران شبکه جزییات مربوط به اینکه چه برنامههایی از پهنای باند استفاده میکنند، چه میزان منابعی را استفاده میکنند و چه عملکردی دارند ارائه میدهد. سرپرستان شبکه برای پیادهسازی دقیق خط مشیهای امنیتی و محدود کردن دسترسی برنامهها یا آدرسهای آیپی کاربران به ویژگی فوق نیاز دارند.
علاوه بر این، تقریبا تمام ویژگیهای امنیتی مهم SD-WAN به عملکرد این مولفه وابسته هستند، زیرا قابلیت فوق میتواند به شکل مستقیم با ترافیک عبوری میان گرههای مختلف در ارتباط باشد. با اینحال، به این نکته مهم دقت کنید که دیوارهای آتش نسل بعدی به ویژگی فوق متکی نیستند، زیرا دائما در حال تجزیه و تحلیل ترافیک عبوری هستند.
قابلیت مشاهده در سطح دستگاه فراتر از نشان دادن دادهها در ارتباط با برنامههایی است که ترافیک را ایجاد کردهاند، اما محدود به دستگاه و کاربری است که از آن برنامه استفاده میکند. قابلیت مشاهده در سطح دستگاه به سرپرستان شبکه اجازه میدهد تا خطمشیهای امنیتی بیشتری در شبکه اعمال کنند.
این خطمشیها میتوانند در ارتباط با گروهبندی کاربران، تعیین سطح دسترسی آنها به شبکه و کاری باشد که انجام میدهند.
دیوارهای آتش نسل بعدی در خدمت امنیت SD-WAN
دیوارآتش نسل بعدی (NGFW) عنصر اصلی تامین امنیت SD-WAN است. دیوارآتش نسل بعدی که در شعب و مکانهای اصلی مستقر میشود، یک نسخه مجازی و بهبود یافته دیوارهای آتش سختافزاری است. دیوارآتش نسل بعدی عملکردهای مهم شبکه مجازی (VNFs) نظیر آگاهی برنامه، تشخیص و پیشگیری از نفوذ، فیلتر محتوا و آدرسهای اینترنتی، تشخیص بدافزار و مکانیزمهای محافظتی استفاده شده توسط ضدویروسها را اجرا میکند. دیوارهای آتش نسل بعدی و عملکردهای شبکه مجازی (VNFs) که توسط شبکههای گسترده نرمافزارمحور استفاده میشوند را میتوان در ابر یا به شکل درونسازمانی اجرا کرد (شکل زیر).
ریز تقسیمبندی
در شبکه گسترده نرمافزارمحور میتوان ترافیک میان برنامههای مختلف را بر مبنای ویژگیهای آنها و خطمشیهای تعیین شده توسط سرپرست شبکه تقسیم کرد. تقسیمبندی به معنای ساخت شبکههای مجازی درون SD-WAN است.
تقسیمبندی اجازه میدهد ترافیک برنامهها یا گروهی از برنامهها را تفکیک کرد تا اگر حملهای اتفاق افتاد، آسیبها به حداقل برسد و امکان ارائه برخی خدمات فراهم شود، برای هر بخش خطمشیهای مختلفی اعمال کرد، ترافیک را متناسب با بار کاری به بخشها تخصیص داد و ترافیک خاصی را برای بخشها تعیین کرد. بهطور مثال، بخشهایی با سطح امنیت پایین نتوانند به اطلاعات حساس دسترسی داشته باشند.