APKSWAP، سامانه مرورگر امن
معرفی روشهای ایجاد مرورگری امن برای کاربران
جداسازی فیزیکی شبکه داخلی و اینترنت
راهکار جداسازی فیزیکی شبکهها یا Air-Gap مدتی است به عنوان یک راهکار سنتی جهانی برای حفظ دادههای حساس و کاهش سطح حمله به زیرساختهای حیاتی مطرح بوده است و در ایران نیز با افزایش حملات به زیرساختهای حیاتی و صنعتی، استفاده از این راهکار توسط نهادهای حاکمیتی برای تمامی مجموعههای حساس الزامی شده است. اما هزینه زیاد اجرای این راهکار و نهایتا نیاز به انتقال فایل بین شبکههای جدا شده از موضوعاتی است که تاکنون سازمانها را برای اجرای راهکارهای مرسوم با ابهام روبرو کرده است.
همچنین راهکارهایی نظیر فایروالها، فیلترهای وب، آنتیویروسها و غیره تقریباً در هر سازمانی یافت میشوند. هر کدام از این راهکارها میکوشند تا به یک مسئله بسیار خاص یا یک حمله بسیار ویژه رسیدگی کنند. مرجع Gartner اینترنت عمومی را « بحران حملات» می نامد و مرورگرهای وب با دسترسی مستقیم به اینترنت را به عنوان عامل اصلی ۷۵ درصد از حملات سایبری به سازمانها میداند. مدیران امنیت اطلاعات میکوشند تا ترکیبی از راهحلهای دفاعی را در سازمان اجرا کنند و تا حد امکان راهکار مناسبی را برای جلوگیری از این حملات فراهم سازند، ولی این راهکارها به دلیل استفاده کاربران از مرورگرهایوب و دسترسی مستقیم سیستمها به اینترنت هرگز کفایت نمیکند و نهایتا این لایههای متعدد از سیستمهای دفاعی، برای حفاظت سازمان از تهدیدهایی نظیر باجافزار، سرقت اطلاعات، پیوندهای مشکوک و فیشینگ کارساز نیست.
استفاده از سامانه مرورگر امن
سامانههای مرورگر امن، فناوریای است که با جدا کردن فرآیندها و پردازشهای صفحات وب از سیستمهای کاربران فقط تصاویر پردازش شده را نمایش داده و فعالیت مرور را ایمن نگه میدارد. به این ترتیب، کدهای مخرب صفحه وب روی دستگاه کاربر اجرا نمیشوند و از تأثیرگذاری آلودگیهای بدافزار و سایر حملات سایبری بر دستگاههای کاربر و شبکههای داخلی جلوگیری میکند. در سامانه مرورگر امن با استفاده از فناوری نرمافزاری صرفا انتقال تصویری از مرورگر، برای کلاینت را فراهم مینماید و در حقیقت به دلیل مشاهده تصویری در اینترنت توسط کاربر، مخاطرات و آلودگی فضای سایبری به سیستم کاربر منتقل نمیگردد. اما این امر تاثیری بر تجربه کاربری نخواهد داشت و کاربر درکی نسبت به اینکه محیط واقعیست یا تصویری از آن، نخواهد داشت.
بازدید از وبسایتها و استفاده از برنامههای کاربردی وب شامل Load محتوا و کد از طریق یک مرورگر وب از منابع غیرقابل اعتماد (مانند وب سرورهای دور) و سپس اجرای آن کد در دستگاه کاربر است. از منظر امنیتی، این امر مرور وب را به یک فعالیت نسبتاً خطرناک تبدیل میکند. با سامانه های مرورگر امن یا RBI، کدها بر روی سرورهای خارج از شبکه کاربران بارگیری و اجرا میشود و تاثیری بر روی شبکه کاربران نخواهد داشت و بدین ترتیب از سیستم کاربران و شبکه در مقابل تهدیدات محافظت مینماید. این سرویس مشابه استفاده از روباتها برای انجام برخی وظایف خطرناک در یک کارخانه است که میتواند کارگران کارخانه را ایمنتر نگه دارد.
طبق دستورالعمل افتا، سامانه مرورگر امن صرفا با آخرین فناوری مبتنی بر Container با ساختارمندی Docker کارآیی مدنظر را دارد، زیرا در این روش برنامه کاربردی جدا از پلتفرم، مجازیسازی شده و امکان انتقال آلودگی از اینترنت به سیستم کاربر و شبکه داخلی وجود ندارد در حالیکه ساختارهایی مانند VDI ،Remote Desktop ،Terminal Service و Vlaning به دلیل امکان انتقال آلودگی به شبکه و سیستم کاربر قابل قبول نبوده و منسوخ است.
شرکت امنپردازانکویر (APK) برای مدیریت ایمن و مرورگری امن با نگاه به نیاز انتقال امن فایلها و امنیت کاربران نهایی، سامانه مرورگر امن با نام تجاری APKSWAP را با تکنولوژی Docker-Containerr ارایه نموده است. این طرح برخلاف طرحهای مشابه، نیاز به تغییرات گسترده در زیرساخت شبکه ندارد و مدیران شبکه برای دسترسی همزمان کاربران به شبکه داخلی و اینترنت، نباید سیستم ها و شبکه های مجزا را با هزینه بسیار بالا و در نهایت انعطافپذیری پایین ایجاد کنند. این راه حل که مبتنی بر ایمن نگه داشتن مرورهای کاربران است، مرورگر را بصورت کاملا امن و هوشمند نگه میدارد.
سامانه مرورگر امن، یک مدل امنیت سایبری است که اولین بار توسط آژانس امنیت هستهای در آمریکا با روش مجازیسازی پیاده شده است. مفهوم اصلی ایزوله کردن مرورگر وب، ایجاد شکاف و فاصله فیزیکی بین برنامه یا مرورگر متصل به اینترنت و سیستم کاربر بدون دسترسی به اینترنت است تا کاربر از حملات و تهدیدات سایبری در امان باشد.
نحوه پیادهسازی APKSWAP، سامانه مرورگر امن
طرح کلی پیشنهادی شرکت امنپردازانکویر برای پیادهسازی APKSWAP، مطابق همبندی ارائه شده در شکل زیر است:
در ساختار پیادهسازی SWAP، کاربران شبکه داخلی در ناحیه Users قرار دارند که در این ناحیه دسترسی مستقیم به اینترنت نداشته و در حقیقت پشت شبکه دفاعی قرار میگیرند. کاربران این ناحیه با استفاده از سیستم خود به شبکه محلی متصل بوده و کارهای خود را انجام میدهند در حالی که در صورت نیاز به اینترنت با استفاده از پنل APKSWAP یک مرورگر امن در یک بستر ایزوله خواهند داشت.
لایههای امنیتی و مرورگر ایزوله در ناحیه SWAP قرار دارند. در این ناحیه سرویسهای مختلفی فعالیت میکنند:
- در بخش Remote Browsers مرورگر ایزوله از راه دور در ناحیه APKSWAP اجرا میشود و درخواستها و فعالیتهای کاربران، دور از شبکه داخلی سازمان پردازش میشود. درصورتی که کاربر نیاز به دریافت و یا ارسال فایل به محیط اینترنت داشته باشد، بعد از تایید دسترسی توسط مدیر سیستم و با عبور از لایه امنیتی، میتواند فایل موردنظر خود را دریافت و یا بارگذاری کند. همچنین به جای مرورگر، امکان اجرای برنامههای دیگر نیز وجود دارد که از طریق پنل APKSWAP در دسترس کاربران ناحیه داخلی قرار میگیرد.
- لایه Security Layer با اعمال تنظیماتی بر اساس سیاستهای سازمان اقدام به کنترل محتوای دانلود شده از سوی کاربر میکند و در صورت مشاهده هرگونه تهدید و یا نقض سیاستها، با هدایت آنها به Null Directory در ناحیه blocked contents، از شبکه حذف و خارج میکند.