فهرست مطالب
Toggleامنیت یکپارچه و پیشگیرانه
برای سالهای متمادی، متخصصان امنیتی هدف یکپارچهسازی خدمات پیشگیری از تهدیدات را در درون فایروال به منظور کم کردن نیاز به دستگاههای اضافی برای سیستمهای پیشگیری از نفوذ (IPS)، آنتیویروس شبکه، تحلیل رفتار کاربر، پیشگیری از فقدان داده (Data Loss Prevention: DLP)، دستهبندی دستگاهها و دیگر کارکردها دنبال میکردند. این یکپارچهسازی کاملاً منطقی است، چرا که فایروال سنگ بنای زیرساخت امنیتی است.
معماری Single-Pass در مقایسه با یکپارچهسازی سنتی
رویکردهای یکپارچهسازی متعددی از جمله مدیریت یکپارچه تهدیدات (UTM)، بازرسی عمیق بستهها (deep packet inspec) و … تا به حال به وجود آمدهاند. این رویکردها در یک موضوع با هم اشتراک دارند، با این وجود آنها هنگام فعال بودن خدمات امنیتی با فقدان سازگاری و پیشبینیپذیری در کارایی مواجه هستند. کارکردهای پایهای فایروال به ویژه میتواند با توان عملیاتی (Throughput) بالا و تأخیر (Latency) پایین اجرا شود، اما هنگامی که خدمات امنیتی اضافه فعال شوند کارایی کاهش یافته و در عین حال تأخیر افزایش مییابد. موضوع مهمتر این است که رویکردهای سنتی یکپارچهسازی قابلیتهای امنیتی را محدود میسازند، زیرا به سبب داشتن رویکرد «توالی کارکردها (Sequence of functions)» ذاتاً در مقایسه با رویکردهایی که تمام کارکردهای آنها سازوکارهای اطلاعاتی و اجرایی مشترکی دارند، انعطافپذیری کمتری دارند. معماری single-pass شرکت Palo Alto Networks، این چالشهای کارایی و انعطافپذیری را با یک رویکرد single-pass منحصربهفرد برای packet processing و ارائهی کارایی و امنیت بهتر مورد توجه قرار میدهد.
کارایی بهتر با تنها یک اسکن
معماری single-pass بسیاری از کارکردهای زائد را که برای یکپارچهسازی سنتی مشکلساز بود، از بین میبرد. به محض پردازش بستهها، عملیات شبکهسازی، جستجوی Policy، اجرا و کدگشایی و انطباق امضا برای تمام انواع تهدیدات و محتوا، تنها یک بار اجرا میشود. این امر به طرز چشمگیری سربار پردازش مورد نیاز برای اجرای کارکردهای متعدد در یک دستگاه را کاهش میدهد. برای بازرسی محتوا و پیشگیری از تهدید، معماری single-pass از یک موتور مبتنی بر جریان (Stream-based) با قابلیت انطباق یکنواخت امضا استفاده میکند. به جای استفاده از موتورها و مجموعههای امضای مجزا (که نیازمند تائیدهای متعدد است) یا پروکسیها (که نیازمند بارگیری قبل از اسکن است)، معماری single-pass برای اجتناب از ایجاد تأخیر، تنها یک بار ترافیک را برای تمام امضاها اسکن میکند.
نتایج امنیتی بهتر از طریق بهاشتراکگذاری جزئیات محیط عملیاتی
معماری single-pass به نسبت یکپارچهسازیهای سنتی، از وضعیت امنیتی برتری برخوردار است، چرا که بازرسی کامل را از قبل انجام داده و سپس جزئیات حاصله را برای همهی گزینههای اجرای امنیت (از جمله برای پیشگیری از تهدیدات) در دسترس قرار میدهد. این کار در تضاد با رویکردهای یکپارچهسازی سنتی است که در آنها تمام جزئیات عملکرد بین همهی گزینههای اجرایی به اشتراک گذاشته نمیشود. فایروالهای نسل بعدی (NGFW) شرکت Palo Alto Networks مبتنی بر معماری single-pass که با مدلهای مختلف سختافزاری و نرمافزاری پیادهسازی شدهاند، به عنوان پایهای با عملکرد بالا از تهدیدات نوین شناختهشده یا حتی شناختهنشده جلوگیری میکنند.
مزایای کلیدی امنیت یکپارچه
یکپارچهسازی کارکردهای امنیتی کلیدی در فایروال، صرفاً به منظور یکپارچهسازی انجام نمیشود. یکپارچهسازی با رویکرد single-pass مزایای بسیاری برای هر سازمانی ارائه میکند.
کاهش پیچیدگیهای شبکه
به صورت سنتی، هر نیاز امنیتی جدید به معنای استقرار یک دستگاه امنیتی جدید برای حل آن به شمار میرفت. با افزایش تعداد نیازمندیهای امنیتی، دستگاههای مستقر در نقاط کلیدی اتصالات شبکه، غیرقابل مدیریت میشوند. سازمانها، دیگر درگاههای داده، Port mirror، Network tap، فضای رک یا توان کافی برای پذیرش راحت دستگاههای بیشتر در شبکههای خود را ندارند. علاوه بر این در گذشته، شاهد مسئله «Device sprawl» در شبکههای داخلی بودهایم. امروزه این مسئله به فضای ابری منتقل شده و سازمانها با پیچیدگی شبکهی بیشتری مواجه هستند، چرا که اکنون شبکههای آنها دارای گسترهای از رویکردهای نرمافزار به عنوان خدمت (SaaS)، ابرهای عمومی و خصوصی، کانتینرها و مانند اینهاست.
کارایی بهتر شبکه
هر دستگاه جدید با خود تأخیر اضافه، Throughput Chokepoint، مشکلات مسیریابی و … به همراه میآورد. یک یکپارچهسازی خوب میتواند تأخیر شبکه و تعداد گلوگاههایی را که ترافیک باید از آنها عبور کند، کاهش دهد.
حفرههای عملکردی کمتر
مجموعه اطلاعات پایهای متعددی وجود دارند که صرفنظر از عملکرد، برای تنظیم سیاست امنیتی مفید هستند، شامل: آدرس IP یا source user، برنامهی کاربردی، دستگاه، عملکرد اپلیکیشن، دستهی URL، درگاه، پروتکل و مقصد ترافیک. اگرچه هر دستگاه یا فرایند اسکن مجزا به صورت منحصربهفردی نیازمند این اطلاعات است، در بسیاری از موارد به هیچ وجه نمیتوان بخشی از آنها را به دست آورد. چنین شکافها و ناسازگاریهایی به طرز چشمگیری اثربخشی امنیتی را تحت تأثیر قرار میدهند. یکپارچهسازی خوب اجازه میدهد تا این اطلاعات یک بار جمعآوری شده و در مجموعهی واحد و انعطافپذیری از سیاستهای امنیتی اعمال شود.
مدیریت سادهتر عملیات
مدیریت یک مجموعهی برخوردار از اتصالات درونی سست از دستگاهها، کار سادهای نیست. سیستمهای مدیریت مجزا، حفرههای عملکردی، همپوشانیهای عملکردی ناشناخته و پیچیدگی شبکه همگی در هزینههای بیشتر و امنیت بالقوه نامؤثر شبکه سهیم هستند. یکپارچهسازی خوب، باعث سادهسازی مدیریت امنیت از طریق کنسولها و شکافهای عملکردی کمتر شده و به ایجاد پوشش امنیتی مؤثرتر کمک میکند.
هزینهی کلی کمتر در مالکیت
خرید دستگاههای مجزا برای هر نیازمندی مرتبط با کارکردهای امنیتی، نگهداری تجهیزات و مصارف عملیاتی، همگی به طرز چشمگیری هزینهی کلی مالکیت (TCO) را زیاد میکنند. یکپارچهسازی خوب میتواند به میزان قابل توجهی این هزینهها را کاهش دهد.
مسائل رویکردهای سنتی یکپارچهسازی
با توجه به مزایای چشمگیر اکوسیستمهای امنیتی که به خوبی یکپارچهسازی شدهاند، این سؤال واضح پیش میآید که چرا تلاشهای یکپارچهسازی سنتی با شکست مواجه میشوند؟ چنین تلاشهایی عمدتاً به دو دلیل نارسا هستند. این مشکلات خیرهکننده بایست برای دستیابی به منافع یکپارچهسازی مورد توجه قرار گیرند.
نارسایی در طبقهبندی ترافیک
رویکرد سنتی یکپارچهسازی امنیتی شامل افزودن وظایفی بر روی فایروال پایه است. بسیاری از فراهمکنندگان فضای ابری، خدمات فایروال صرفاً مبتنی بر درگاه/پروتکل (مانند TCP/80) را پیشنهاد میکنند و این برای برنامههای کاربردی امروزی که اغلب از درگاههای غیراستاندارد، غیرمنحصربهفرد یا انتخابشده به صورت پویا استفاده میکنند، اساساً بیمعناست. تمام قابلیتهای امنیتی بیشتر مبتنی بر این نارسایی در طبقهبندی اولیه ترافیک هستند.
نارسایی در متدلوژی یکپارچهسازی
تلاشهای یکپارچهسازی سنتی مبتنی بر انباشته کردن وظایف متعدد در یک سیستم عامل و دستگاه هستند. این کار یکپارچهسازی نیست بلکه بیشتر ترکیب کردن وظایف است و تفاوت این دو مهم است. عمل ترکیبکردن صرفاً محصولات متعدد را به عنوان گرفته و آنها را درون یک دستگاه جای میدهد. در بسیاری از موارد، کارکردهای مدیریتی و سختافزاری همچنان مجزا میمانند، اما تصوری وهمآلود از یکپارچگی به وجود میآید، چرا که کارکردها و وظایف روی یک دستگاه اجرا میشوند. در موارد دیگر، کارکردها همگی روی یک واحد پردازشگر مرکزی (CPU) همهمنظوره اجرا میشوند که با فعالسازی وظایف مازاد، سبب اشغال منابع سیستمی میشود.
معماری single-pass شرکت Palo
Alto Networks
معماری Single-Pass ارائهشده توسط شرکت Palo Alto Networks، موارد زیر را فراهم میآورد:
· عدم سربار اضافه هنگام فعالسازی ویژگیهای بیشتر
· مدیریت راحت تمام جنبههای پیشگیری از تهدید در سیاستهای امنیتی
· تسهیل در اداره وظایف از طریق کنسولها و شکافهای کارکردی کمتر برای پوشش مؤثرتر امنیتی
· هزینهی کلی بسیار کمتر مالکیت
این رویکرد ممکن است در ظاهر بدیهی به نظر برسد، اما نرمافزار امنیتی که در معماری single-pass ترافیک را زیرنظر دارد، منحصر به فایروالهای نسل بعدی (NGFW) شرکت Palo Alto Networks است. این رویکرد پردازش ترافیک، اجرای تنها یکبارهی هر وظیفه را روی یک مجموعه ترافیک تضمین میکند. کارکردهای پردازشی کلیدی در این معماری در شکل ۱ نشان داده شده است.
معماری Single-Pass در مقایسه با Multi-Pass
مقایسه اولیه برای ارائه کارکردهای امنیتی متعدد در دستگاههای مجزا ساده است – هر بلوک توصیفشده در معماری single-pass توسط همهی دستگاهها اجرا خواهد شد (با این فرض که آنها بتوانند تمام کارکردها را اجرا کنند). در این حالت، مضاعفشدن پردازش سرسامآور خواهد بود. علاوه بر این، تلاشهای موجود برای یکپارچهسازی کارکردهای امنیتی درون یک دستگاه واحد اغلب تنها منجر به یک یکپارچهسازی ظاهری شده است که در آن کارکردهای شبکهسازی و مدیریت یکپارچه شدهاند، اما موارد مربوط به طبقهبندی ترافیک، کدگشایی پروتکل، file proxying و تطبیق امضا، با نرمافزار و گاهاً حتی با سختافزار مجزا اجرا میشوند. شکل ۲ نمایی از بدترین حالت ممکن از دستگاههای مجزا را با رویکرد multi-pass نشان میدهد.
شکل
۲ فرض میکند دستگاههای مجزایی برای اجرای هر عملکرد وجود دارند و در نتیجه به گذرهای
متعددی از لایهبندی شبکه، دستهبندی ترافیک، کدگشاها، موتورهای امضا و جداول
سیاستی منجر میشود. علاوه بر این، از آنجا که امروزه بیشتر ترافیک رمزگذاری میشود،
امنیت مؤثر نیازمند خدمات رمزگشایی در تمام دستگاهها است. هر تائیدی باعث ایجاد
سربار پردازشی، ایجاد تأخیر، تنزل در توان عملیاتی، و ایجاد هزینههای عملیاتی میشود
تا بتواند عملکرد تمام کارکردها را حفظ کند. برخی صرفهجوییهای پایه در هزینهها،
اغلب با تجمیع لایههای شبکه و شناسایی درگاه/پروتکل در درون یک گذر واحد حاصل میشود،
اما بیشتر پردازشهای سنگین _از جمله file proxyها،
کدگشایی اپلیکیشن، موتورهای امضا و اجرای سیاستها_ اغلب همچنان کارکردهای مجزای دارای
سربار هستند که برای پردازش اشتراکی (Shared processing) در رقابت هستند.
نتیجهگیری
با افزایش مداوم تعداد کارکردهای امنیتی مورد نیاز، دو گزینه پیش رو قرار میگیرد: افزودن دستگاه یا خدمت امنیتی دیگر؛ یا افزودن یک عملکرد جدید به یک دستگاه موجود. با معماری single-pass شرکت Palo Alto Networks، افزودن یک عملکرد به یک فایروال نسل بعدی (NGFW) به جای افزودن یک دستگاه امنیتی دیگر ممکن میشود. رویکرد یکپارچهی این شرکت منافع و مزایایی را ارائه میکند که دستگاههای مجزا قادر به ارائهی آن نیستند. وجود دستگاههای مجزا همچنان ضروری باقی خواهد ماند اما در بیشتر موارد، امنیت یکپارچه گزینهای مناسب به شمار میرود.
✅برای آشنایی بیشتر با راهکارهای ما با کارشناسان آلیاسیس در ارتباط باشید:
info@aliasys.co🌐
۰۲۱۸۲۴۵۵۰۰۰