Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the woocommerce domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/h253285/public_html/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. بارگذاری ترجمه برای دامنه ahura زودتر از حد مجاز فراخوانی شد. این معمولاً نشان‌دهندهٔ اجرای کدی در افزونه یا پوسته است که خیلی زود اجرا شده است. ترجمه‌ها باید در عملیات init یا بعد از آن بارگذاری شوند. Please see Debugging in WordPress for more information. (این پیام در نگارش 6.7.0 افزوده شده است.) in /home/h253285/public_html/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. بارگذاری ترجمه برای دامنه elementor زودتر از حد مجاز فراخوانی شد. این معمولاً نشان‌دهندهٔ اجرای کدی در افزونه یا پوسته است که خیلی زود اجرا شده است. ترجمه‌ها باید در عملیات init یا بعد از آن بارگذاری شوند. Please see Debugging in WordPress for more information. (این پیام در نگارش 6.7.0 افزوده شده است.) in /home/h253285/public_html/wp-includes/functions.php on line 6114
امنیت شبکه – سپنتا ارتباطات نوین البرز

امنیت شبکه

امنیت شبکه چیست؟

امنیت شبکه (Network security) مجموعه‌ای از شیوه‌ها و فناوری‌ها است که از زیرساخت شبکه در برابر حملات، دسترسی غیرمجاز و نقض داده‌ها محافظت می‌کند. امنیت شبکه را می‌توانیم به‌عنوان حوزه‌ای از امنیت سایبری مطرح کنیم که بر حفاظت از شبکه‌های کامپیوتری در برابر تهدیدهای سایبری متمرکز است. سه هدف اصلی امنیت شبکه‌های کامپیوتری عبارت‌اند از:

  • جلوگیری از دسترسی غیرمجاز به منابع شبکه
  • شناسایی و متوقف کردن حملات سایبری و نقض امنیت داده‌ها
  • اطمینان از دسترسی ایمن کاربران مجاز به منابع شبکه مورد نیازشان

معماری امنیت شبکه از ابزارهایی تشکیل شده است که از خود شبکه و اپلیکیشن‌هایی که روی آن اجرا می‌شوند، محافظت می‌کند. استراتژی‌های موثر امنیت شبکه از چندین خط دفاعی استفاده می‌کنند که مقیاس‌پذیر و خودکار هستند. هر لایه دفاعی مجموعه‌ای از سیاست‌های امنیتی تعیین‌شده توسط مدیر (Administrator) را اعمال می‌کند. امنیت شبکه با محافظت از یکپارچگی زیرساخت شبکه، منابع و ترافیک حملات سایبری را خنثی می‌کند و تاثیر مالی و عملیاتی آن‌ها را به حداقل می‌رساند.

تماس با ما

چرا امنیت شبکه‌های کامپیوتری حائز اهمیت است؟

با بزرگ‌تر و پیچیده‌تر شدن شبکه‌ها خطر حملات سایبری نیز افزایش پیدا می‌کند. در دنیای امروز که اپلیکیشن‌های کسب‌وکاری بیشتری به سمت ابرهای خصوصی و عمومی در حال حرکت هستند و خرید سرور ابری رواج بیشتری پیدا کرده، امنیت شبکه‌های کامپیوتری نیز با چالش‌های بزرگ‌تری همراه شده است. علاوه‌بر این، خود اپلیکیشن‌ها نیز به سمت مجازی‌سازی و توزیع در مکان‌های مختلف کشیده می‌شوند که برخی از آن‌ها خارج از کنترل فیزیکی تیم امنیت IT هستند. با افزایش روز افزون حملات سایبری به کسب‌وکارها و زیرساخت‌های سازمان‌ها، حفاظت از ترافیک شبکه و زیرساخت به یک امر ضروری و حیاتی تبدیل شده است.

آشنایی با مزایای امنیت شبکه

امنیت شبکه کلید توانایی سازمان در ارائه محصولات و سرویس‌ها به مشتریان و کارکنان است. از فروشگاه‌های آنلاین گرفته تا اپلیکیشن‌های سازمانی و دسکتاپ‌های از راه دور (Remote desktops)، محافظت از اپلیکیشن‌ها و داده‌های روی شبکه برای پیشرفت و ترقی کسب‌وکار و همچنین اعتبار یک سازمان ضروری است. علاوه‌بر این، امنیت شبکه موثر از خارج شدن زیرساخت از دسترس جلوگیری کرده و در نتیجه عملکرد شبکه را بهبود می‌بخشد.

نحوه عملکرد امنیت شبکه چگونه است؟

امنیت شبکه چندین لایه دفاعی را در لبه و شبکه ترکیب می‌کند، به‌طوری‌که هر لایه امنیتی شبکه سیاست‌ها و کنترل‌ها را پیاده‌سازی می‌کند. عناصر معماری امنیتی کامل و چند لایه که امنیت شبکه را در سراسر یک سازمان پیاده‌سازی می‌کند، به دو دسته کلی تقسیم می‌شوند؛ کنترل دسترسی و کنترل تهدید که در ادامه به بررسی آن‌ها می‌پردازیم:

کنترل دسترسی (Access Control)

امنیت شبکه با کنترل دسترسی شروع می‌شود. در بخش کنترل دسترسی، دسترسی به داده‌ها و نرم‌افزارهای مورد استفاده برای جلوگیری از دستکاری آن داده‌ها محدود می‌شود. کنترل دسترسی برای جلوگیری از دسترسی غیرمجاز و کاهش خطر تهدیدهای داخلی بسیار مهم است. اگر عوامل مخرب به یک شبکه دسترسی پیدا کنند، می‌توانند با نظارت بر ترافیک و نقشه‌برداری از زیرساخت، اقدام به حمله DDoS کرده یا بدافزار وارد کنند.

راه‌حل‌های مدیریت هویت و دسترسی (Identity and Access Management- IAM) می‌تواند در این زمینه به شما کمک کند. بسیاری از شرکت‌ها از شبکه‌های خصوصی مجازی (VPN) برای کنترل دسترسی استفاده می‌کنند. بااین‌حال، امروزه جایگزین‌هایی برای VPNها وجود دارد. این محدودیت‌ها می‌توانند با توجه به IP و Mac Address انجام شوند. برای کنترل دسترسی بهتر است پورت‌ها و سرویس‌هایی که استفاده نمی‌شوند را مسدود کنید.

کنترل تهدید (Threat Control)

حتی با وجود کنترل دسترسی نیز ممکن است مشکلاتی ایجاد شود. به‌عنوان مثال، یک عامل بد ممکن است از اعتبار یک کارمند برای ورود به شبکه استفاده کند. بنابراین نیاز به کنترل تهدید (Threat Control) کاملا احساس می‌شود که در ترافیکی که قبلا مجاز اعلام شده است عمل کند. کنترل تهدید از اقدامات عوامل مخرب برای آسیب رساندن به شبکه جلوگیری می‌کند.

فناوری‌های کنترل تهدید با فایروال و لود بالانسر (Load balancer) شروع می‌شود. این دستگاه‌ها از شبکه در برابر حملات DoS و DDoS محافظت می‌کنند. در مرحله بعد، IDS/IPS با حملات شناخته‌شده که از طریق شبکه انجام می‌شود، مقابله می‌کند. در نهایت اشیای بدافزار ناشناخته‌ای که در شبکه حرکت می‌کنند، با فناوری‌های Sandbox گرفته می‌شوند؛ درحالی‌که ناهنجاری‌ها در ترافیک شبکه که ممکن است نشانه‌هایی از یک تهدید باشند، با NTA/NDR شناسایی می‌شوند. در ادامه این مقاله، کلیه این فناوری‌های امنیت شبکه توضیح داده شده‌اند.

انواع امنیت شبکه از نظر تکنولوژی

سیستم‌های امنیتی شبکه در دو سطح کار می‌کنند؛ در محیط و در منابع داخلی شبکه. کنترل‌های امنیتی در محیط تلاش می‌کنند تا از ورود تهدیدهای سایبری به شبکه جلوگیری کنند. اما گاهی اوقات مهاجمان شبکه موفق به نفوذ می‌شوند؛ بنابراین تیم‌های امنیت IT باید کنترل‌هایی را در اطراف منابع داخل شبکه مانند لپ‌تاپ‌ها یا داده‌ها نیز اعمال کنند. این استراتژی یعنی لایه‌بندی کنترل‌های چندگانه بین هکرها و آسیب‌پذیری‌های احتمالی را «Defense in depth» می‌نامند. برای ساخت سیستم‌های امنیتی، تیم‌های امنیتی ابزارهای زیر را ترکیب می‌کنند:

فایروال‌ها

فایروال نرم‌افزار یا سخت‌افزاری است که از ورود یا خروج ترافیک مشکوک یک شبکه جلوگیری می‌کند و درعین‌حال به ترافیک قانونی اجازه عبور می‌دهد. به عبارت دیگر، فایروال‌ها تهدیدهای بالقوه ترافیک شبکه را فیلتر کرده و حملات بدافزار، سوءاستفاده از آسیب‌پذیری، حملات ربات‌ها و سایر تهدیدها را مسدود می‌کنند.

فایروال‌های سنتی با استفاده از یک دستگاه سخت‌افزاری در محل فیزیکی یک کسب‌وکار اجرا می‌شوند. امروزه بسیاری از فایروال‌ها می‌توانند به‌صورت نرم‌افزاری یا در فضای ابری اجرا شوند و نیاز به سخت‌افزار فایروال را از بین می‌برند. به‌علاوه، فایروال‌ها را می‌توان در لبه‌های یک شبکه مستقر کرد یا به‌صورت داخلی برای تقسیم یک شبکه بزرگ‌تر به زیرشبکه‌های کوچک‌تر مورد استفاده قرار داد. به‌این‌ترتیب اگر بخشی از شبکه در معرض خطر باشد، هکرها از سایر بخش‌ها جدا خواهند بود.

کنترل دسترسی به شبکه (NAC)

راه‌حل‌های کنترل دسترسی به شبکه (NAC) مانند دروازه‌بان عمل‌کنند و مشخص می‌کنند که چه کسانی اجازه ورود به شبکه دارند و چه کارهایی می‌توانند انجام دهند. احراز هویت (Authentication) و مجوز (Authorization) دو نکته مهم در این کنترل دسترسی به شبکه است.

Authentication به‌معنای تایید این است که کاربر همان کسی است که ادعا می‌کند. Authorization نیز به‌معنای اعطای مجوز به کاربران تاییدشده برای دسترسی به منابع شبکه است. راه‌حل‌های NAC اغلب برای اجرای سیاست‌های کنترل دسترسی مبتنی بر نقش (RBAC) استفاده می‌شوند که در آن امتیازهای کاربران بر اساس عملکردهای شغلی آن‌ها است.

IDPS / IDS / IPS

یک سیستم تشخیص و جلوگیری از نفوذ (IDPS) که گاهی اوقات IPS نامیده می‌شود، می‌تواند به‌طور مستقیم پشت فایروال مستقر شود تا ترافیک ورودی برای تهدید‌های امنیتی را اسکن کند. ابزارهای امنیتی IDPS از سیستم‌های تشخیص نفوذ (IDS) تکامل پیدا کرده‌اند که فقط فعالیت‌های مشکوک را برای بررسی علامت‌گذاری می‌کنند. این قابلیت به IDPSها اضافه شده است که به‌صورت خودکار به نقض‌های احتمالی مانند مسدود کردن ترافیک یا تنظیم مجدد اتصال پاسخ دهند. IDPSها به‌ویژه در تشخیص و مسدود کردن حملات Brute force، DoS و DDoS موثر هستند.

شبکه‌های خصوصی مجازی (VPN)

یک شبکه خصوصی مجازی (VPN) با رمزگذاری داده‌های کاربران و پوشاندن آدرس IP و مکان آن‌ها از هویتشان محافظت می‌کند. در صورت استفاده از VPN، کاربران به‌طور مستقیم به اینترنت متصل نمی‌شوند، بلکه به یک سرور امن که به اینترنت متصل است، وصل می‌شوند.

VPNها به کارکنان از راه دور کمک می‌کنند تا حتی از طریق اتصالات Wifi عمومی ناامن به‌طور ایمن به شبکه‌های شرکت دسترسی پیدا کنند. شبکه‌های خصوصی مجازی ترافیک کاربر را رمزگذاری می‌کنند و آن را از هکرهایی که به‌دنبال رهگیری ارتباطات آن‌ها هستند، در امان نگه می‌دارند.

بعضی از سازمان‌ها به‌جای VPN از دسترسی شبکه Zero trust یا همان ZTNA استفاده می‌کنند. ZTNA به‌جای استفاده از سرور پروکسی، از سیاست‌های کنترل دسترسی zero-trust برای اتصال امن کاربران از راه دور استفاده می‌کند. هنگامی که کاربران از راه دور از طریق ZTNA به شبکه وارد می‌شوند، آن‌ها به کل شبکه دسترسی ندارند. در عوض، آن‌ها فقط به دارایی‌های خاصی که مجاز به استفاده از آن‌ها هستند، دسترسی پیدا می‌کنند و هر بار برای دسترسی به یک منبع جدید باید دوباره تایید شوند. در ادامه به‌طور دقیق‌تر به بررسی Zero-trust خواهیم پرداخت.

امنیت اپلیکیشن (Application security)

امنیت اپلیکیشن به مراحلی گفته می‌شود که تیم‌های امنیتی برای محافظت از اپلیکیشن‌ها و APIها در برابر مهاجمان شبکه انجام می‌دهند. ازآنجایی‌که بسیاری از کمپانی‌های امروزی از اپلیکیشن‌ها برای انجام توابع (Functions) کلیدی کسب‌وکار یا پردازش داده‌های حساس استفاده می‌کنند، اپلیکیشن‌ها یک هدف رایج برای مجرمان سایبری هستند. بسیاری از اپلیکیشن‌های کسب‌وکاری روی ابر عمومی میزبانی می‌شوند؛ ازهمین‌رو هکرها می‌توانند از آسیب‌پذیری‌های آن‌ها برای نفوذ به شبکه‌های خصوصی شرکت سوءاستفاده کنند.

اقدامات امنیت اپلیکیشن از اپلیکیشن‌ها در برابر عوامل مخرب محافظت می‌کند. ابزارهای رایج امنیت اپلیکیشن شامل فایروال‌های وب اپلیکیشن (WAF)، خودمحافظتی اپلیکیشن در زمان اجرا (RASP)، تست امنیت اپلیکیشن استاتیک (SAST) و تست امنیت اپلیکیشن پویا (DAST) می‌شود.

امنیت ایمیل (Email security)

درگاه‌های ایمیل اولین عامل تهدید برای نقض امنیت هستند. مهاجمان از اطلاعات شخصی و تاکتیک‌های مهندسی اجتماعی برای ایجاد کمپین‌های فیشینگ پیچیده برای فریب دادن گیرنده‌ها و ارسال آن‌ها به سایت‌هایی که بدافزار دارند، استفاده می‌کنند. 

ابزارهای امنیتی ایمیل می‌توانند به خنثی کردن حملات فیشینگ و سایر تلاش‌ها برای به خطر انداختن حساب‌های ایمیل کاربران کمک کنند. بیشتر سرویس‌های ایمیل ابزارهای امنیتی داخلی مانند فیلترهای اسپم و رمزگذاری پیام دارند. یک اپلیکیشن امنیت ایمیل حمله‌های ورودی را مسدود کرده و پیام‌های خروجی را کنترل می‌کند تا جلوی از دست رفتن داده‌های حساس را بگیرد.

Sandbox

یک Sandbox به IDS/IPS شباهت دارد، با این تفاوت که Sandbox به امضاها وابسته نیست. یک Sandbox می‌تواند یک محیط سیستم نهایی (End-system) را شبیه‌سازی کرده و مشخص کند که آیا یک شی بدافزار در حال تلاش برای انجام کاری مانند اسکن پورت است یا خیر.

NTA/NDR

NTA/NDR به‌طور مستقیم به ترافیک یا رکوردهای ترافیک مانند NetFlow نگاه می‌کند و از الگوریتم‌های یادگیری ماشین و تکنیک‌های آماری برای ارزیابی ناهنجاری‌ها و تشخیص وجود یک تهدید بهره می‌برد. NTA/NDR ابتدا تلاش می‌کند تا یک خط مبنا (Baseline) تعیین کند؛ سپس با وجود یک خط مبنا ناهنجاری‌هایی مانند ارتباطات متناوب را شناسایی می‌کند.

پیشگیری از نشت داده‌ها (Data Loss Prevention – DLP)

در حالی که فایروال‌ها و حفاظت DDoS از ورود حملات خارجی به شبکه جلوگیری می‌کنند، پیشگیری از نشت داده‌ها (DLP) مانع از انتقال داده‌های داخلی به خارج از شبکه می‌شود. DLP به ابزارها و استراتژی‌های امنیت اطلاعات اشاره دارد که تضمین می‌کنند داده‌های حساس نه به سرقت رفته‌اند و نه به‌طور تصادفی فاش شده‌اند. DLP شامل سیاست‌های امنیت داده‌ها و تکنولوژی‌های هدفمند است که جریان‌های داده‌ای را ردیابی کرده، اطلاعات حساس را رمزگذاری می‌کند و درصورت شناسایی فعالیت مشکوک، هشدار می‌دهد.

جداسازی مرورگر (Browser isolation)

دسترسی به اینترنت از طریق یک شبکه باعث ایجاد خطر برای شبکه می‌شود؛ زیرا مرورگر وب شامل اجرای کد از منابع غیرقابل اعتماد خارجی (مانند سرورهای وب‌سایت‌های مختلف) در دستگاه‌های کاربر است. جداسازی مرورگر این خطر را با اجرای کد از خارج از شبکه داخلی سازمان اغلب روی یک سرور ابری از بین می‌برد.