۹ ماه پیش

Palo Alto Products: Single-Pass Architecture

فهرست مطالب

امنیت یکپارچه و پیشگیرانه

برای سال‌های متمادی، متخصصان امنیتی هدف یکپارچه‌سازی خدمات پیشگیری از تهدیدات را در درون فایروال به ‌منظور کم کردن نیاز به دستگاه‌های اضافی برای سیستم‌های پیشگیری از نفوذ (IPS)، آنتی‌ویروس شبکه، تحلیل رفتار کاربر، پیشگیری از فقدان داده (Data Loss Prevention: DLP)، دسته‌بندی دستگاه‌ها و دیگر کارکردها دنبال می‌کردند. این یکپارچه‌سازی کاملاً منطقی است، چرا که فایروال سنگ بنای زیرساخت امنیتی است.

معماری Single-Pass در مقایسه با یکپارچه‌سازی سنتی

رویکردهای یکپارچه‌سازی متعددی از جمله مدیریت یکپارچه تهدیدات (UTM)، بازرسی عمیق بسته‌ها (deep packet inspec) و … تا به حال به وجود آمده‌اند. این رویکردها در یک موضوع با هم اشتراک دارند، با این وجود آنها هنگام فعال بودن خدمات امنیتی با فقدان سازگاری و پیش‌بینی‌پذیری در کارایی مواجه هستند. کارکردهای پایه‌ای فایروال به ویژه می‌تواند با توان عملیاتی (Throughput) بالا و تأخیر (Latency) پایین اجرا شود، اما هنگامی که خدمات امنیتی اضافه فعال شوند کارایی کاهش یافته و در عین حال تأخیر افزایش می‌یابد. موضوع مهم‌تر این است که رویکردهای سنتی یکپارچه‌سازی قابلیت‌های امنیتی را محدود می‌سازند، زیرا به سبب داشتن رویکرد «توالی کارکردها (Sequence of functions)» ذاتاً در مقایسه با رویکردهایی که تمام کارکردهای آنها سازوکارهای اطلاعاتی و اجرایی مشترکی دارند، انعطاف‌پذیری کمتری دارند. معماری single-pass شرکت Palo Alto Networks، این چالش‌های کارایی و انعطاف‌پذیری را با یک رویکرد single-pass منحصربه‌فرد برای packet processing و ارائه‌ی کارایی و امنیت بهتر مورد توجه قرار می‌دهد.

کارایی بهتر با تنها یک اسکن

معماری single-pass بسیاری از کارکردهای زائد را که برای یکپارچه‌سازی سنتی مشکل‌ساز بود، از بین می‌برد. به محض پردازش بسته‌ها، عملیات شبکه‌سازی، جستجوی Policy، اجرا و کدگشایی و انطباق امضا برای تمام انواع تهدیدات و محتوا، تنها یک بار اجرا می‌شود. این امر به طرز چشم‌گیری سربار پردازش مورد نیاز برای اجرای کارکردهای متعدد در یک دستگاه را کاهش می‌دهد. برای بازرسی محتوا و پیشگیری از تهدید، معماری single-pass از یک موتور مبتنی بر جریان (Stream-based) با قابلیت انطباق یکنواخت امضا استفاده می‌کند. به جای استفاده از موتورها و مجموعه‌های امضای مجزا (که نیازمند تائیدهای متعدد است) یا پروکسی‌ها (که نیازمند بارگیری قبل از اسکن است)، معماری single-pass برای اجتناب از ایجاد تأخیر، تنها یک بار ترافیک را برای تمام امضاها اسکن می‌کند.

نتایج امنیتی بهتر از طریق به‌اشتراک‌گذاری جزئیات محیط عملیاتی

معماری single-pass به نسبت یکپارچه‌سازی‌های سنتی، از وضعیت امنیتی برتری برخوردار است، چرا که بازرسی کامل را از قبل انجام داده و سپس جزئیات حاصله را برای همه‌ی گزینه‌های اجرای امنیت (از جمله برای پیشگیری از تهدیدات) در دسترس قرار می‌دهد. این کار در تضاد با رویکردهای یکپارچه‌سازی سنتی است که در آنها تمام جزئیات عملکرد بین همه‌ی گزینه‌های اجرایی به اشتراک گذاشته نمی‌شود. فایروال‌های نسل بعدی (NGFW) شرکت Palo Alto Networks مبتنی بر معماری single-pass که با مدل‌های مختلف سخت‌افزاری و نرم‌افزاری پیاده‌سازی شده‌اند، به عنوان پایه‌ای با عملکرد بالا از تهدیدات نوین شناخته‌شده یا حتی شناخته‌نشده جلوگیری می‌کنند.

مزایای کلیدی امنیت یکپارچه

یکپارچه‌سازی کارکردهای امنیتی کلیدی در فایروال، صرفاً به منظور یکپارچه‌سازی انجام نمی‌شود. یکپارچه‌سازی با رویکرد single-pass مزایای بسیاری برای هر سازمانی ارائه می‌کند.

کاهش پیچیدگی‌های شبکه

به صورت سنتی، هر نیاز امنیتی جدید به معنای استقرار یک دستگاه امنیتی جدید برای حل آن به شمار می‌رفت. با افزایش تعداد نیازمندی‌های امنیتی، دستگاه‌های مستقر در نقاط کلیدی اتصالات شبکه، غیرقابل مدیریت می‌شوند. سازمان‌ها، دیگر درگاه‌های داده‌، Port mirror، Network tap، فضای رک یا توان کافی برای پذیرش راحت دستگاه‌های بیشتر در شبکه‌های خود را ندارند. علاوه بر این در گذشته، شاهد مسئله «Device sprawl» در شبکه‌های داخلی بوده‌ایم. امروزه این مسئله به فضای ابری منتقل شده و سازمان‌ها با پیچیدگی شبکه‌ی بیشتری مواجه هستند، چرا که اکنون شبکه‌های آنها دارای گستره‌ای از رویکردهای نرم‌افزار به عنوان خدمت (SaaS)، ابرهای عمومی و خصوصی، کانتینرها و مانند این‌هاست.

کارایی بهتر شبکه

هر دستگاه جدید با خود تأخیر اضافه، Throughput Chokepoint، مشکلات مسیریابی و … به همراه می‌آورد. یک یکپارچه‌سازی خوب می‌تواند تأخیر شبکه و تعداد گلوگاه‌هایی را که ترافیک باید از آنها عبور کند، کاهش دهد.

حفره‌های عملکردی کمتر

مجموعه اطلاعات پایه‌ا‌ی متعددی وجود دارند که صرف‌نظر از عملکرد، برای تنظیم سیاست امنیتی مفید هستند، شامل: آدرس IP یا source user، برنامه‌ی کاربردی، دستگاه، عملکرد اپلیکیشن، دسته‌ی URL، درگاه، پروتکل و مقصد ترافیک. اگرچه هر دستگاه یا فرایند اسکن مجزا به صورت منحصربه‌فردی نیازمند این اطلاعات است، در بسیاری از موارد به هیچ وجه نمی‌توان بخشی از آنها را به دست آورد. چنین شکاف‌ها و ناسازگاری‌هایی به طرز چشم‌گیری اثربخشی امنیتی را تحت تأثیر قرار می‌دهند. یکپارچه‌سازی خوب اجازه می‌دهد تا این اطلاعات یک بار جمع‌آوری شده و در مجموعه‌‌ی واحد و انعطاف‌پذیری از سیاست‌های امنیتی اعمال شود.

مدیریت ساده‌تر عملیات

مدیریت یک مجموعه‌ی برخوردار از اتصالات درونی سست از دستگاه‌ها، کار ساده‌ای نیست. سیستم‌های مدیریت مجزا، حفره‌های عملکردی، همپوشانی‌های عملکردی ناشناخته و پیچیدگی شبکه همگی در هزینه‌های بیشتر و امنیت بالقوه نامؤثر شبکه سهیم هستند. یکپارچه‌سازی خوب، باعث ساده‌سازی مدیریت امنیت از طریق کنسول‌ها و شکاف‌های عملکردی کمتر شده و به ایجاد پوشش امنیتی مؤثرتر کمک می‌کند.

هزینه‌ی کلی کمتر در مالکیت

خرید دستگاه‌های مجزا برای هر نیازمندی مرتبط با کارکردهای امنیتی، نگهداری تجهیزات و مصارف عملیاتی، همگی به طرز چشم‌گیری هزینه‌‌ی کلی مالکیت (TCO) را زیاد می‌کنند. یکپارچه‌سازی خوب می‌تواند به میزان قابل توجهی این هزینه‌ها را کاهش دهد.

مسائل رویکردهای سنتی یکپارچه‌سازی

با توجه به مزایای چشم‌گیر اکوسیستم‌های امنیتی که به خوبی یکپارچه‌سازی شده‌اند، این سؤال واضح پیش می‌آید که چرا تلاش‌های یکپارچه‌سازی سنتی با شکست مواجه می‌شوند؟ چنین تلاش‌هایی عمدتاً به دو دلیل نارسا هستند. این مشکلات خیره‌کننده بایست برای دستیابی به منافع یکپارچه‌سازی مورد توجه قرار گیرند.

نارسایی در طبقه‌بندی ترافیک

رویکرد سنتی یکپارچه‌سازی امنیتی شامل افزودن وظایفی بر روی فایروال پایه است. بسیاری از فراهم‌کنندگان فضای ابری، خدمات فایروال صرفاً مبتنی بر درگاه/پروتکل (مانند TCP/80) را پیشنهاد می‌کنند و این برای برنامه‌های کاربردی امروزی که اغلب از درگاه‌های غیراستاندارد، غیرمنحصربه‌فرد یا انتخاب‌شده به صورت پویا استفاده می‌کنند، اساساً بی‌معناست. تمام قابلیت‌های امنیتی بیشتر مبتنی بر این نارسایی در طبقه‌بندی اولیه ترافیک هستند.

نارسایی در متدلوژی یکپارچه‌سازی

تلاش‌های یکپارچه‌سازی سنتی مبتنی بر انباشته کردن وظایف متعدد در یک سیستم عامل و دستگاه هستند. این کار یکپارچه‌سازی نیست بلکه بیشتر ترکیب کردن وظایف است و تفاوت این دو مهم است. عمل ترکیب‌کردن صرفاً محصولات متعدد را به عنوان گرفته و آنها را درون یک دستگاه جای می‌دهد. در بسیاری از موارد، کارکردهای مدیریتی و سخت‌افزاری همچنان مجزا می‌مانند، اما تصوری وهم‌آلود از یکپارچگی به وجود می‌آید، چرا که کارکردها و وظایف روی یک دستگاه اجرا می‌شوند. در موارد دیگر، کارکردها همگی روی یک واحد پردازشگر مرکزی (CPU) همه‌منظوره اجرا می‌شوند که با فعال‌سازی وظایف مازاد، سبب اشغال منابع سیستمی می‌شود.

معماری single-pass شرکت Palo Alto Networks

معماری Single-Pass ارائه‌شده توسط شرکت Palo Alto Networks، موارد زیر را فراهم می‌آورد:

· عدم سربار اضافه هنگام فعال‌سازی ویژگی‌های بیشتر

· مدیریت راحت تمام جنبه‎‌های پیشگیری از تهدید در سیاست‌های امنیتی

· تسهیل در اداره وظایف از طریق کنسول‌ها و شکاف‌های کارکردی کمتر برای پوشش مؤثرتر امنیتی

· هزینه‌‌ی کلی بسیار کمتر مالکیت

این رویکرد ممکن است در ظاهر بدیهی به نظر برسد، اما نرم‌افزار امنیتی که در معماری single-pass ترافیک را زیرنظر دارد، منحصر به فایروال‌های نسل بعدی (NGFW) شرکت Palo Alto Networks است. این رویکرد پردازش ترافیک، اجرای تنها یک‌باره‌ی هر وظیفه را روی یک مجموعه‌ ترافیک تضمین می‌کند. کارکردهای پردازشی کلیدی در این معماری در شکل ۱ نشان داده شده است.

معماری Single-Pass در مقایسه با Multi-Pass

مقایسه اولیه برای ارائه کارکردهای امنیتی متعدد در دستگاه‌های مجزا ساده است – هر بلوک توصیف‌شده در معماری single-pass توسط همه‌ی دستگاه‌ها اجرا خواهد شد (با این فرض که آنها بتوانند تمام کارکردها را اجرا کنند). در این حالت، مضاعف‌شدن پردازش سرسام‌آور خواهد بود. علاوه بر این، تلاش‌های موجود برای یکپارچه‌سازی کارکردهای امنیتی درون یک دستگاه واحد اغلب تنها منجر به یک یکپارچه‌سازی ظاهری شده است که در آن کارکردهای شبکه‌سازی و مدیریت یکپارچه شده‌اند، اما موارد مربوط به طبقه‌بندی ترافیک، کدگشایی پروتکل، file proxying و تطبیق امضا، با نرم‌افزار و گاهاً حتی با سخت‌افزار مجزا اجرا می‌شوند. شکل ۲ نمایی از بدترین حالت ممکن از دستگاه‌های مجزا را با رویکرد multi-pass نشان می‌دهد.

شکل ۲ فرض می‌کند دستگاه‌های مجزایی برای اجرای هر عملکرد وجود دارند و در نتیجه به گذرهای متعددی از لایه‌بندی شبکه، دسته‌بندی ترافیک، کدگشاها، موتورهای امضا و جداول سیاستی منجر می‌شود. علاوه بر این، از آنجا که امروزه بیشتر ترافیک رمزگذاری می‌شود، امنیت مؤثر نیازمند خدمات رمزگشایی در تمام دستگاه‌ها است. هر تائیدی باعث ایجاد سربار پردازشی، ایجاد تأخیر، تنزل در توان عملیاتی، و ایجاد هزینه‌های عملیاتی می‌شود تا بتواند عملکرد تمام کارکردها را حفظ کند. برخی صرفه‌جویی‌های پایه در هزینه‌ها، اغلب با تجمیع لایه‌های شبکه و شناسایی درگاه/پروتکل در درون یک گذر واحد حاصل می‌شود، اما بیشتر پردازش‌های سنگین _از جمله file proxy‌ها، کدگشایی اپلیکیشن، موتورهای امضا و اجرای سیاست‌ها_ اغلب همچنان کارکردهای مجزای دارای سربار هستند که برای پردازش اشتراکی (Shared processing) در رقابت هستند.

نتیجه‌گیری

با افزایش مداوم تعداد کارکردهای امنیتی مورد نیاز، دو گزینه پیش رو قرار می‌گیرد: افزودن دستگاه یا خدمت امنیتی دیگر؛ یا افزودن یک عملکرد جدید به یک دستگاه موجود. با معماری single-pass شرکت Palo Alto Networks، افزودن یک عملکرد به یک فایروال نسل بعدی (NGFW) به جای افزودن یک دستگاه امنیتی دیگر ممکن می‌شود. رویکرد یکپارچه‌ی این شرکت منافع و مزایایی را ارائه می‌کند که دستگاه‌های مجزا قادر به ارائه‌ی آن نیستند. وجود دستگاه‌های مجزا همچنان ضروری باقی خواهد ماند اما در بیشتر موارد، امنیت یکپارچه گزینه‌ای مناسب به شمار می‌رود.

✅برای آشنایی بیشتر با راهکارهای ما با کارشناسان آلیاسیس در ارتباط باشید:
info@aliasys.co🌐
۰۲۱۸۲۴۵۵۰۰۰

بیشتر بخوانید: