بانک‌ها برای محافظت از دارایی‌هایی که دارند از قدرتمندترین مکانیزم‌های امنیتی فیزیکی استفاده می‌کنند. اگر به نمای ظاهری بانک‌ها نگاه کنید، ترکیبی از نردهای آهنی، پنجره‌های مجهز به حس‌گرهای هوشمند و ضد گلوله و دوربین‌های امنیتی را مشاهده می‌کنید. کارمندان بانک به منظور پیشگیری از سرقت احتمالی، وجوه نقد و سپرده‌های مردم را در گاوصندوق‌های بسیار امن ذخیره‌سازی می‌کنند. سازمان‌ها نیز برای محافظت از دارایی‌های خود که داده‌ها و اطلاعات سازمانی و شرکتی است به دیوارهای آتش نیاز دارند. با این‌حال، به دلیل این‌که عمده‌ فعالیت‌های تجاری کسب‌وکارها به فضای آنلاین انتقال پیدا کرده و پس از شیوع ویروس کرونا انتظار می‌رود این روند انتقال شتاب بیشتری پیدا کند، لازم است از مکانیزم‌های مدرن و هوشمندی برای محافظت از دارایی‌های سازمان‌ها استفاده شود. شرکت‌های ارائه‌دهنده خدمات ابرمحور برای آن‌که بتوانند به سازمان‌ها نشان دهند به بهترین شکل از ارتباطات و دارایی‌های آن‌ها در فضای ابری محافظت می‌کنند به سراغ رویکرد نوینی روی آورند که دیوار آتش ابرمحور نام دارد.

دیوارآتش چیست؟

دیوار آتش یک محصول امنیتی است که ترافیک مخرب را فیلتر می کند. به‌طور سنتی، دیوارهای آتش میان یک شبکه داخلی قابل اعتماد و یک شبکه غیرقابل اعتماد قرار می‌گیرند. بارزترین مثال در این زمینه قرارگیری دیوارآتش میان یک شبکه خصوصی و اینترنت است. در ابتدا دیوارهای آتش اولیه تجهیزات فیزیکی بودند که به زیرساخت‌های داخلی سازمان متصل می‌شدند. دیوارهای‌ آتش بر مبنای مجموعه‌ای از قواعد داخلی به ترافیک شبکه اجازه ورود یا خروج را می‌دهند. برخی دیوارهای آتش به مدیران این امکان را می‌دهند تا قواعدی را متناسب با نیازهای کاری تعریف کنند. شکل زیر چگونگی قرارگیری دیوارآتش و محافظت از شبکه‌ها را نشان می‌دهد.

دیوارهای آتش با نظارت دقیق بر ترافیک وارد یا خارج شونده به یک سایت مانع از آن می شوند تا هکرها به سادگی به شنود اطلاعات بپردازند

دیوارهای آتش با نظارت دقیق بر ترافیک وارد یا خارج شونده به یک سایت مانع از آن می شوند تا هکرها به سادگی به شنود اطلاعات بپردازند

با این حال‌، محبوبیت روزافزون رایانش ابری باعث شده تا مرز میان یک شبکه قابل اعتماد و  اینترنت از دست برود. از این‌رو نیاز به دیوارهای آتش ابرمحوری که سدی مجازی میان دارایی‌های ابر قابل اعتماد و ترافیک اینترنتی غیرقابل اعتماد ایجاد می‌کنند اجتناب‌ناپذیر است.

دیوارآتش ابرمحور چیست؟

دیوارهای آتش ابری نرم‌افزار محور، دستگاه‌های تحت شبکه مستقر در فضای ابری هستند که برای جلوگیری یا کاهش دسترسی ناخواسته به شبکه‌های خصوصی ساخته شده‌اند. همان‌گونه که از نام این فناوری پیدا است، دیوار آتش ابرمحور، یک دیوار آتش است که در فضای ابری میزبانی می‌شود. دیوارهای آتش ابر محور یک سد مجازی در اطراف سیستم‌عامل‌های ابری، زیرساخت‌ها و برنامه‌ها ایجاد می‌کنند، درست به همان شکلی که دیوارهای آتش سنتی مانع از آن می‌شوند تا هکرها بتوانند به راحتی ترافیک داخلی یک سازمان را شنود کنند. به عنوان یک فناوری جدید، آن‌ها برای نیازهای تجاری مدرن طراحی شده‌اند و در محیط‌های آنلاین مستقر می‌شوند. ابر شبیه به بانکی با منابع پراکنده است، اما به جای پول، داده‌ها و توان پردازشی را ذخیره‌سازی می‌کند. کاربران مجاز می‌توانند از هر مکانی و تقریباً از هر شبکه‌ای به ابر متصل شوند. برنامه‌هایی که در فضای ابری اجرا می‌شوند به کاربران اجازه می‌دهند از زیرساخت‌ها و سیستم‌عامل‌های میزبانی شده در ابر با استفاده از هر دستگاهی و بدون محدودیت مکانی استفاده کنند.

دیوارهای آتش سنتی و ابرمحور بر مبنای خط مشی های تعیین شده اجازه نمی دهند هکرها از طریق حمله های بدافزاری یا بردارهای حمله ای نظیر حمله مرد میانی به زیرساخت های ارتباطی یک سازمان دسترسی پیدا کنند

دیوارهای آتش سنتی و ابرمحور بر مبنای خط مشی های تعیین شده اجازه نمی دهند هکرها از طریق حمله های بدافزاری یا بردارهای حمله ای نظیر حمله مرد میانی به زیرساخت های ارتباطی یک سازمان دسترسی پیدا کنند

دیوارآتش در قالب سرویس (FWaaS) سرنام Firewall-as-a-Service  به چه معنا است؟

دیوارآتش در قالب سرویس (FWaaS) اصطلاح دیگری برای توصیف دیوارهای آتش ابرمحور است. همانند سایر گروه‌های حاکم بر دنیای ابری که از اصطلاح به عنوان سرویس (As-A-Service) برای توصیف آن‌ها استفاده می‌شود در قالب مفاهیمی نظیر نرم‌افزار در قالب سرویس یا زیرساخت در قالب سرویس برای توصیف آن‌ها استفاده می‌شود، یک دیوارآتش ابرمحور در قالب سرویس به رویکرد نوینی در دنیای امنیت اشاره دارد که در فضای ابری اجرا می‌شود و از طریق اینترنت دسترسی به آن امکان‌پذیر می‌شود و توسط فروشندگان شخص ثالث به‌روزرسانی و نگهداری می‌شود.

تفاوت دیوار آتش ابرمحور با دیوار آتش نسل بعدی (NGFW) چیست؟

دیوارآتش نسل بعدی (NGFW) دیوارآتشی است که شامل فناوری‌های نوینی است که دیوارهای آتش سنتی فاقد این قابلیت‌ها بودند. از جمله این قابلیت‌ها به موارد زیر می‌توان اشاره کرد:

سامانه پیشگیری از نفوذ (IPS): یک سامانه پیشگیری از نفوذ حملات سایبری را شناسایی و مسدود می‌کند.

بازرسی بسته‌های عمیق (DPI): دیوارهای آتش نسل بعدی به جای آن‌که تنها روی بازرسی سرآیندها متمرکز باشند، سرآیندهای بسته داده‌ای و بارداده‌ها را بررسی می‌کنند. رویکرد فوق به شناسایی بدافزارها و انواع دیگر داده‌های مخرب کمک می‌کند.

کنترل برنامه: دیوارهای آتش نسل بعدی می‌توانند آن‌چه را که برنامه‌های منفرد می‌توانند به آن دسترسی داشته باشند را کنترل کنند یا به‌طور کلی دسترسی برنامه‌ها به ترافیک شبکه را مسدود کنند.

البته دیوارهای آتش نسل بعدی ممکن است مجهز به قابلیت‌های پیشرفته دیگری نیز باشند که این موضوع به نگرش شرکتی که چنین مکانیزم‌های امنیتی را ارائه می‌کند بستگی دارد. با این‌حال، نکته مهمی که باید به آن دقت کنید این است که دیوارآتش نسل بعدی لزوماً در فضای ابری اجرا نمی‌شوند. یک دیوار آتش ابرمحور ممکن است قابلیت‌هایی یکسان با دیوارآتش نسل بعدی داشته باشد، اما یک دیوار آتش درون سازمانی نیز می‌تواند به عنوان یک دیوارآتش نسل بعدی توصیف شود.

رایانش ابری چه تاثیری بر تفکیک شبکه‌ها دارد؟

به‌طور معمول، زمانی که اینترنت از شرکت ارائه‌دهنده خدمات به سازمانی وارد می‌شود به مولفه‌های دیمارک، فریم تقسیم‌کننده اصلی و فریم توزیع میانی می‌رسد و بر مبنای توپولوژی تعریف شده پهنای باند به شبکه درون سازمانی وارد می‌شود. به بیان ساده‌تر، سازمان‌ها برای محافظت از دارایی‌های خود و مدیریت هوشمند کلاینت‌های تحت شبکه از لبه حائلی استفاده می‌کنند که اجازه می‌دهد کنترل دقیقی بر ترافیک وارد یا خارج شونده به شبکه سازمانی ایفا کنند. علاوه بر این سازمان‌ها می‌توانند به لحاظ فیزیکی شبکه‌ها را قفل کنند. به‌طور مثال، ممکن است کارمند یک شرکت از طریق دفتر و دستگاه‌های عضو شبکه برای اتصال به منابع سازمانی و انجام فعالیت‌های روزانه استفاده کند. در این سناریو دیوارهای آتش سنتی می‌توانند کنترل دقیقی روی محیط شبکه اعمال کنند و مانع ورود هرگونه مخرب به شبکه شوند. رویکرد فوق برای سازمان‌هایی که خط‌مشی‌ آن‌ها مبتنی بر الگوهای سنتی است عملکرد قابل قبولی دارد، اما زمانی که قرار باشد از ابر برای انجام فعالیت‌های تجاری استفاده شود، همه چیز تغییر پیدا می‌کند و الگوهای امنیتی سنتی قادر نیستند به مقابله با تهدیدات نوین بپردازند.

در محاسبات ابری، محیط سنتی شبکه اساساً از بین می‌رود. کاربران از طریق اینترنت کنترل نشده به خدمات دسترسی پیدا می‌کنند. در دنیای رایانش ابری مکان فیزیکی کاربر و گاهی اوقات دستگاهی که کاربران از آن‌ها استفاده می‌کنند دیگر اهمیتی ندارد. از طرفی قرار دادن یک لایه امنیتی در اطراف منابع شرکت دشوار است، زیرا تعیین این‌که لایه امنیتی باید در چه مکانی استقرار پیدا کند تقریباً غیرممکن است. برخی از شرکت‌ها برای حل این مشکل ترکیبی از چند محصول امنیتی مختلف از جمله دیوارهای آتش سنتی، شبکه‌های خصوصی مجازی، کنترل سطح دسترسی و ابزارهای پیشگیری از نفوذ را استفاده می‌کنند، با این‌حال رویکرد فوق به اندازه‌ای پیچیده است که برای مدیریت آن باید یک تیم فناوری‌اطلاعات در سازمان وجود داشته باشد.

دیوارهای آتش ابرمحور چگونه در چارچوب SASE قرار می‌گیرند؟

لبه خدمات دسترسی ایمن (SASE) سرنام Secure access service edge یک معماری شبکه ابرمحور است که عملکردهای شبکه نظیر شبکه‌های گسترده نرم‌افزار-محور، را با مجموعه‌ای از سرویس‌های امنیتی نظیر FWaaS ترکیب می‌کند. برخلاف مدل‌های سنتی شبکه که محیط مراکز داده پیش‌فرض باید با دیوارهای آتش درون سازمانی محافظت شوند، SASE امنیت و کنترل دسترسی جامع را در لبه شبکه ارائه می‌دهد. در یک مدل شبکه SASE، دیوارهای آتش ابرمحور همزمان با سایر محصولات امنیتی کار می‌کنند تا از محیط شبکه در برابر حملات، نقض داده‌ها و سایر تهدیدات سایبری دفاع کنند. به جای استفاده از چند فروشنده شخص ثالث برای استقرار و نگهداری هر سرویس، شرکت‌ها می‌توانند از خدمات یک فروشنده واحد استفاده کنند که بسته‌های FWaaS، کارگزاران امنیت دسترسی به ابر (CASBs)، دروازه‌های وب امن (SWG) و دسترسی به شبکه با اعتماد صفر (ZTNA) را همراه با قابلیت‌های شبکه گسترده-نرم‌افزار محور ارائه می‌کند.

دیوارهای آتش ابرمحور چه مزایایی دارند؟

گسترش‌پذیری (Scalability): از آن‌جایی که استقرار بسیار ساده است، سازمان‌ها می توانند پارامترهای مربوط به راه‌حل امنیتی مدنظر خود را به ساده‌ترین شکل تنظیم کنند، به‌طوری که فرآیند نصب، نگهداری و ارتقا با سهولت هرچه تمام‌تر انجام می‌شود. با افزایش پهنای باند، دیوارهای آتش ابرمحور می‌توانند توازنی میان حفظ خط‌مشی‌های امنیتی و عملکرد شبکه اعمال کنند. به‌‌طور مثال، این امکان فراهم می‌شود تا به مقابله با حملات انکار سرویس توزیع شده (DDoS) پرداخت بدون آن‌که نگرانی از بابت محدودیت پهنای باند به وجود آید.

دسترس‌پذیری (Availability): ارائه‌دهندگان دیوارآتش ابرمحور با ارزیابی زیرساخت‌ها و بخش‌هایی که نیازمند محافظت هستند گزارشی در ارتباط با هزینه‌ها به سازمان‌ها ارائه کنند. در این حالت سازمان‌ها مجبور نیستند برای قابلیت‌هایی که شاید هیچ‌گاه از آن‌ها استفاده نمی‌کنند هزینه کنند. این خط‌مشی سودآوری خوبی برای سازمان دارد، زیرا اجازه می‌دهد فرآیند اتوماسیون برنامه‌های استراتژیک پشتیبان در صورت خرابی را به بهترین شکل تدوین کرد. با این‌حال به این نکته مهم دقت کنید که ویژگی دسترس‌پذیری سازگاری چندانی با دیوارهای آتش درون سازمانی ندارد.

توسعه‌پذیری (Extensibility): در هر نقطه‌ای از سازمان که یک کانال ارتباطی وجود دارد و کلاینت‌هایی اقدام به تبادل اطلاعات می‌کنند امکان به‌کارگیری دیوارهای آتش ابرمحور فراهم است. در خط‌مشی‌های سنتی، اصل توسعه‌پذیری محدود به تجهیزات و منابع درون سازمانی است، در حالی که دیوارآهای آتش ابرمحور با حذف این محدودیت اجازه می‌دهند فرآیند استقرار محدود به نقاط خاصی نشود.

متعال در دسترسی ایمن: دیوارهای آتش ابرمحور شبیه به نمونه‌های سنتی قابلیت سفارشی‌سازی زیادی به مصرف‌کنندگان می‌دهند تا سطح امنیتی دیوارآتش را متناسب با نیازهای خود پیکربندی کنند. به بیان دقیق‌تر، امکان اعمال خط‌مشی‌های پیشرفته دسترسی، مدیریت ارتباطات و اعمال تنظیماتی برای مسدود کردن دسترسی کلاینت‌ها به ابر فراهم است. خوشبختانه دیوارهای آتش ابرمحور برای صیانت از اطلاعات سازمان‌ها تمامی اطلاعات مبادله شده میان کلاینت‌های تحت شبکه و فراشبکه را رمزنگاری می‌کنند.

محافظت از حریم خصوصی: دیوارهای آتش ابرمحور می‌توانند با راه‌حل‌های موجود ادغام شوند تا کاربران بتوانند به بهترین شکل از هویت فردی محافظت کنند.

مدیریت کارکرد: دیوارهای آتش ابرمحور، مکانیزم‌هایی برای کنترل کارکرد، مشاهده فراگیر، پیکربندی و ثبت گزارش‌ها فراهم می‌کنند تا تبادل اطلاعات در فضای ابری با سهولت و حفظ عملکرد انجام شود.

نویسنده: حمیدرضا تائبی