سیستم های مدیریت یکپارچه تهدیدات برای سازمان های بزرگ (قسمت اول)

امروزه دیگر UTM ها مختص به سازمان های کوچک و متوسط نیستند. در این مطلب به چهار ضرورت اساسی برای UTM ها در رده سازمان های بزرگ خواهیم پرداخت.

 پروژه8

سیستم های مدیریت تهدیدات یکپارچه (UTM) در حقیقت برآیندی از سه ایده و ضرورت کلیدی در دنیای امنیت شبکه هستند: کنار هم قرار دادن چند ویژگی امنیتی مختلف، یکپارچه سازی آن ها بر پایه یک فایروال، در قالب یک دستگاه متمرکز. هدف UTM ها روشن است: چرا باید دو، سه یا چهار دستگاه امنیتی با کارایی های مجزا از یکدیگر در مجموعه داشته باشیم، وقتی که یک دستگاه توان انجام تمامی این فعالیت ها را دارد؟

مدیران شرکت های کوچک و متوسط (SMB) و مدیران شبکه در این سازمان ها به سرعت از این ایده استقبال کردند. با فعال سازی ویژگی های فایروال در UTM ها هم چون ضد بدافزار، فیلتر محتوای وب، و سیستم ضد نفوذ (Intrusion Prevention) صرفه جویی قابل توجهی در هزینه های سازمان حاصل گردید، و علاوه بر ساده تر شدن پیکربندی ها، چشم اندازی یکدست از سیاست های امنیتی سازمان به دست آمد. در واکنش به این تحول، تقریبا تمامی ارائه کنندگان فایروال ها روی به افزودن قابلیت هایی از جنس UTM در محصولات خود نمودند.

شبکه های بزرگ سازمانی از نرم افزارهای فایروال مشابه با شبکه های سازمان های کوچک و متوسط استفاده می کنند (که البته سخت افزار در این مجموعه ها متفاوت است) اما مدیران شبکه های سازمانی بزرگ در فعال سازی ویژگی های UTM چندان عجله ای ندارند. با نگاهی به اغلب شبکه های سازمان های بزرگ دستگاه هایی با ویژگی های UTM ها مشاهده می کنیم اما اغلب این دستگاه ها فعال نیستند. چرایی این امر را با نگاهی به پیشینه این سازمان ها می توان دریافت. از آن جا که محصولات UTM در اصل برای تامین نیازهای سازمان های کوچک و متوسط طراحی شده اند واژه UTM پیوستگی خاصی با شبکه های کوچک پیدا نموده است. تولید کنندگان فایروال تلاش های گسترده ای برای در هم شکستن این باور در ذهن سازمان ها نموده اند، از جمله این تلاش ها طراحی یک کمپین بازاریابی برای ارائه محصولاتی است که شعار اصلی شان «سیستم های امنیتی یکپارچه» و «نسل جدید فایروال ها» است.

اما تولید کنندگان تلاش خود را محدود به این شعارها نکرده اند. تلاش اصلی در این زمینه معطوف به یکپارچه سازی ویژگی های امنیتی رده سازمان های بزرگ در محصولات تازه است. هدف ارائه امنیت بیشتر، پیکربندی ساده تر، مدیریت یکپارچه و کاهش هزینه ها در فایروال های ارائه شده به مدیران شبکه های سازمانی بزرگ است، فاکتورهایی که پیش از این موجب رضایتمندی مدیران سازمان های کوچک و متوسط در امر شبکه گردیده است.

مدیران شبکه های بزرگ نیازمند مجموعه ای متفاوت از معیارهای ارزیابی برای تصمیم گیری در خصوص زمان و نحوه استفاده از ویژگی های UTM در دستگاه های فعلی خود هستند. در این جا به چهار الزام مهم و کلیدی که هر مدیر شبکه به هنگام تصمیم گیری در خصوص زمان و نحوه اجرای UTM در سازمان خود بدان ها نیازمند است خواهیم پرداخت. این ویژگی های عبارت است از: عملکرد، کاهش تهدیدات در سطح سازمان های بزرگ، یکپارچگی شبکه و مدیریت.

entpnet1

  1. عملکرد

اولین الزام مهم و قابل توجه در خصوص UTM ها عملکرد مناسب و قابل پیش بینی آن سیستم است. شبکه های حساس سازمانی کندی ناشی از اجرای سیستم های سنگین امنیتی را بر نمی تابند. عملکرد یکی از معیارهای تعیین کننده و کلیید برای استفاده از UTM در سازمان است.

اگر بخواهیم مهم ترین شاخصی را که می تواند مانع از به کار گیری UTM در سازمان ها گردد نام ببریم، باید به عملکرد ضعیف فایروال های هر شعبه به هنگام فعال سازی تمامی ویژگی های حفاظت امنیتی اشاره کرد. نتایج تست های مستقل نشان می دهد که معمولا UTM ها می تواند موجب کاهش نود درصدی در ظرفیت عملکرد سیستم به هنگام فعال سازی گزینه هایی هم چون ضد بد افزار و IPS شود. این کندی در عملکرد صرفا در شعب قابل مشاهده نیست. عملکرد سیستم مرکزی در شبکه های بزرگ که با سرعت 120 گیگا بیت بر ثانیه بدون فعال سازی UTM کار می کند می تواند تا 25 درصد سرعت یاد شده به هنگام روشن کردن قابلیت IPS افت کند.

وقتی فایروال UTM دارای سرعت 100 مگا بیت بر ثانیه باشد و بر روی یک لینک اینترنت کابلی مودمی با سرعت 10 مگا بیت بر ثانیه فعال شود مساله کند شدن در کار نخواهد بود. اما فایروال های سازمانی با سرعتی بسیار نزدیک تر به سرعت ریت شده عمل می کنند و در این حالت جایی برای بروز خطا و اشکال نخواهد بود.

به دست آوردن آمار مربوط به تست های عملکرد به میزان باور نکردنی دشوار خواهد بود. هر سازنده ای از معیارهای متفاوتی استفاده می کند ممکن است آن مجموعه از ویژگی هایی که مد نظر شما است در جداول داده ها و ارقام آن ها نباشد. با این وجود تمامی تولید کنندگان مشهور در این بازار نتایجی از تست های عملکرد درون سازمانی خود دارند که تنها به ازای قراردادهای محرمانه قابل دسترسی خواهد بود، و این نتایج می تواند به شما در شناخت شاخص های مورد نیاز برای انتخاب سیستمی با ابعاد مناسب کمک کند.

به هنگام بررسی عملکرد فایروال های کلاس سازمانی با ویژگی های UTM از موارد زیر اطمینان حاصل کنید:

تعیین مجموعه ویژگی های مورد استفاده و مورد نیاز در UTM. اغلب سیستم ها نیازمند سیستم های ضد بد افزار یا IPS یا هر دو هستند. یک فهرست از ویژگی های مورد نیاز خود تهیه کنید و به هنگام مقایسه محصولات و خدمات، آن را ملاک قرار دهید.

سعی کنید محصول را در محیط واقعی ترافیک شبکه خود تست کنید. اگر این امکان وجود ندارد، حتما نتایج تست های تولید کنندگان مختلف را به دقت مطالعه نمایید تا مشخص شود آیا این محصول با بار ترافیکی شما مطابقت دارد یا خیر.

هیچ وقت به طور هم زمان از تست های حفاظت سرور و حفاظت کلاینت فایروال ها به طور همزمان استفاده نکنید چرا که بسیاری از سازمان ها برای به دست آوردن مجموعه ویژگی های مجزا، مابین این دو تفکیک قائل می شوند. بررسی هر کدام را به صورت مجزا انجام دهید تا درک بهتری از چینش ویژگی های شبکه در کنار هم پیدا نمایید.

اگر از یک فایروال UTM استفاده می کنید، ملاحظات مربوط به عملکرد بر نحوه اجرای فایروال در شبکه تاثیرگذار خواهد بود. این باید ها و نباید ها به شما در اجرای آگاهانه سیستم و درک عملکرد آن کمک می کند.

به سراغ ویژگی هایی که به آن ها نیاز ندارید نروید. مثلا وقتی فایروال در هسته مرکزی شبکه اجرا می شود نیازی به فعال کردن ضد بدافزار در آن نیست.

حتما و حتما از ویژگی های حفاظتی UTM ها مثل IPS در جایی استفاده کنید که تا حد امکان نزدیک به سیستم های تحت حفاظت باشد. اگر دو لایه فایروال دارید. IPS را در لایه نزدیک تر به سرورها روشن کنید و نه لایه نزدیک به اینترنت.

اعمال حفاظت بر روی تونل های VPN به صورت درست و اصولی فراموش نشود. البته ممکن است تصمیم گیری برای محل اعمال این حفاظت ها امری دشوار باشد. موقع اعمال حفاظت UTM در شعب حفاظت شده توسط تونل ها، معمولا تمایل بر روشن کردن حفاظت ها در سمت شعب در VPN ها است و نه در دفاتر مرکزی، تا ازا ین طریق بهترین عملکرد به دست آید. با این حال هزینه های لایسنس و مجموعه ویژگی های متفاوت هر محصول ممکن است نظر شما را عوض کند. به طور مثال IPS و ویژگی های ضد بدافزار در فایروال دفاتر مرکز ممکن است ویژگی های مدیریتی بهتری به دست دهد و یا اقتصادی تر باشد، ولو این که نیازمند سخت افزارهای قوی تری باشید.

  1. کاهش تهدیدات در سطح سازمان های بزرگ

UTM و دیگر اصطلاحاتی که برای فایروال های جدید به کار می رود در واقع بیانگر ویژگی های دقیق این محصولات نیست. در هر شرایط، هدف تامین نیازهای شما در خصوص کنترل ترافیک، شفافیت و کاهش تهدیدات است و نه صرفا اجرای UTM. تمام فایروال های UTM دارای IPS، فیلترینگ URL و ضد بدافزار (که معمولا به عنوان آنتی ویروس از آن یاد می شود) هستند. فایروال هایی که خارج از محیط شعب به کار گرفته می شوند ممکن است دارای برخی دیگر از ویژگی های مربوط به کاهش تهدیدات و کنترل ترافیک باشند، از جمله آنتی اسپم، پرتال های بی سیم برای میهمانان، load balancing و فیلترینگ در لایه application.

اصلی ترین مشکل در شناخت تفاوت میان ویژگی های ساده UTM ها در شعب و ویژگی های مورد نیاز در سطح سازمان های بزرگ نهفته است – به ویژه زمانی که محصولات سازمانی به خودی خود واجد تعریف روشن و مشخصی نیستد. بهترین استراتژی در این زمینه استفاده از ویژگی های محصولات مورد نظر و شناخت مستقیم این محصولات برای استفاده در سازمان است.

یک مثال معمول در این زمینه IPS است که تمامی UTM ها دارای آن هستند. نسل اول TM ها دارای IPS های ساده ای بودند که به هیچ وجه سنخیتی با ظرفیت محصولاتی که اختصاصا با عنوان IPS به بازار ارائه می شد نداشت. اگر می خواهید از یک IPS اختصاصی استفاده کنید و ویژگی IPS را در فایروال خود نیز فعال کنید باید از این نکته اطمینان حاصل کنید که امکان مدیریت و حفاظت این دو محصول در یک سطح باشد.

حال فرصت خوبی است که نگاهی به IPS های کنونی انداخته و در مورد ویژگی هایی که قصد استفاده از آن ها را داریم تصمیم بگیریم. به طور مثال اگر سیستم مدیریت برای IPS در گوشه ای از سیستم قرار گرفته و هرگز برای رویه های معمول یا رفع مشکلات و حوادث مورد استفاده قرار نگیرد، می توان نتیجه گرفت که الزامات حقیقی برای IPS در این مجموعه بسیار ساده هستند. از سویی دیگر، اگر از توان یک IPS اختصاصی برای بهبود وضعیت امنیت شبکه استفاده می کنید باید به فکر استفاده از قابلیت های IPS یک فایروال در سازمان باشید و از پیاده سازی آن در شعب خودداری نمایید.

Gateway های امنیت وب نیز گزینه های ساده ای برای جایگزینی با فایروال های UTM کلاس سازمانی هستند، به ویژه فایروال هایی که دارای ویژگی های کنترل اپلیکیشن هستند (که معمولا با عنوان فایروال های نسل آینده می شناسیم). در این جا نیز باید تصمیم گرفت که کدام ویژگی های gateway های امنیت وب مورد استفاده قرار می گیرد. قطع ترافیک و استفاده از فیلتر URL و آنتی ویروس برای یک فایروال UTM گزینه هایی معمول به شمار می رود؛ در عین حال ایجاد policy های مختلف بر پایه شناسایی کاربر یا ورود یکباره روش های پیچیده تری است. به هنگام ارزیابی ویژگی های UTM و بررسی تطابق آن با نیاز سازمان های بزرگ باید از موارد زیر مطمئن شوید:

  • هر یک از ویژگی های مورد نیاز UTM را از ابتدا با پایان بررسی کنید. به طور مثال اگر در حال حاضر از IPS در شبکه استفاده می کنید event های false positive و true positive را بررسی نمایید تا مطمئن شوید روند کاری مورد پشتیبانی UTM با ابزارهای IPS کنونی قابل انطباق باشد.
  • مواظب باگ ها باشید. کنترل اپلیکیشن، به عنوان یکی از ویژگی های مهم فایروال های نسل آینده شاید بخش مهمی از قابلیت های فایروال شما را در بر گیرد. به هنگام تست تایید صحت پیکربندی و عملکرد بسیار دقت کنید. حتی در یک محصول کامل و دارای بلوغ به لحاظ فنی نیز یافتن باگ چیز عجیبی نیست.
  • توجه داشته باشید که پوشش دهی UTM شامل اپلیکیشن های مورد استفاده شما باشد. پوشش UTM در هر پروتکل متفاوت است. مثلا اگر به دنبال ضد بد افزار در ایمیل ها هستید ممکن است به این موضوع برخورد کنید که SMTP اسکن می شود اما IMAP اسکن نمی شود. مشخصات هر قسمت را به دقت بخوانید و یا در صورت نیاز یک بار آن را تست کنید.
  • قابلیت به کار گیری policy های جزئی در UTM را اعتبار سنجی کنید و برای هر interface و هر Zone یک policy متفاوت از UTM ها را بنویسید. حواستان به policy های «box-wide» که باید برای تمام ترافیک اعمال شود و یا امکان تمایز بین انواع مختلف ترافیک در آن وجود ندارد باشد.

استفاده از ویژگی های UTM در یک شبکه سازمانی می تواند تا حدودی ترسناک باشد چرا که گسست بالقوه ای که به دلیل بروز false positive ها به وجود می آید می تواند بسیاری از پرسنل را تحت تاثیر قرار دهد. در اجرایی مجموعه ویژگی های UTM در کلاس سازمانی به باید ها و نباید های زیر توجه کنید.

  • همه چیز را همزمان و یکباره فعال نکنید. موقع فعال سازی ویژگی های UTM مجموعه ای از تغییرات کوچک و مستند را تعیین کنید تا به سرعت امکان شناسایی مشکلات و بازگشت به حالت قبلی، تنظیم پیکر بندی ها و جبران مشکلات به وجود آمده را داشته باشید. وجود log برای آگاهی و رفع مشکل بسیار مهم است.
  • اگر از ویژگی های کنترل اپلیکیشن استفاده می کنید حتما به رمزگشایی SSL توجه داشته و برای آن برنامه ریزی کنید. با توجه به افزایش روز افزون روش های رمزنگاری در اینترنت، کنترل اپلیکیشن بدون قطع SSL امکان پذیر نیست.
  • اگر برخی ویژگی ها برای شما فایده ای ندارد آن را روشن نکنید. مثلا اگر از یک اسکنر ضد بد افزار دو لایه برای ایمیل خود استفاده می کنید، اسکن کردن آن برای بار سوم ضرورتی ندارد و ممکن است به باگ برخورد کنید. برای هر ویژگی دلیل معقول داشته باشید حتی مواردی که فاقد هزینه و نیاز به منابع هستند . . . 

(ادامه دارد)

نویسنده مقاله : تیم فنی آرادسامانه

نظرات

ارسال نظر