جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر: مزایا، مولفه‌ها و تکنولوژی‌ها

جداسازی شبکه داخلی از اینتنرت

جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر به عنوان یک تاکتیک امنیت سایبری تعریف می‌شود که مانعی تقریبا غیرقابل نفوذ بین فعالیت اینترنت کاربر و محیط محاسباتی بزرگ‌تری که در آن کار می‌کند، ایجاد می‌کند. از آن‌جایی که عناصر مخرب نمی‌توانند به شبکه وارد یا خارج شوند، خطر حمله به میزان قابل‌توجهی کاهش می‌یابد. در این مقاله راه‌حل جداسازی مرورگر و مؤلفه‌های تکنولوژیکی آن توضیح داده شده است.

جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر چیست؟

جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر به عنوان یک تاکتیک امنیت سایبری تعریف می‌شود که مانعی تقریبا غیرقابل نفوذ بین فعالیت اینترنت کاربر و محیط محاسباتی بزرگ‌تری که در آن کار می‌کند، ایجاد می‌کند. این تاکتیک در بین شرکت‌هایی که دسترسی نامحدود به وب را به کارمندان خود ارائه می‌دهند اما نمی‌خواهند امنیت شبکه خود را به خطر بیندازند، محبوب است.

جداسازی مرورگر شبیه مجازی‌سازی دسکتاپ است، اما در این حالت، به جای Stream کردن کل دسکتاپ، فقط تصویر مرورگر Stream می‌شود. دو روش برای جداسازی مرورگر وجود دارد:

  1. جداسازی محلی: در جداسازی محلی، ترافیک اینترنت که به زیرساخت محلی کاربر می‌رسد، در جایی مانند یک Sandbox یا یک ماشین‌مجازی قرار می‌گیرد و ترافیک از فیلترینگ و سیاست‌های امنیتی عبور می‌کند تا کاربر فقط داده‌های امن را مشاهده کند. حتی اگر یک عنصر ناامن وارد شبکه شود، مانند حملات Zero-day، تأثیر آن در Sanbox یا ماشین‌مجازی خواهد بود. جداسازی مرورگر محلی یک روش جداسازی سنتی است که در آن یک شرکت توپوگرافی کامل را روی سیستم کاربر نصب می‌کند.
  2. جداسازی از راه دور/ جداسازی بر روی یک سرور داخل سازمان: جداسازی مرورگر از راه دور از رسیدن ترافیک اینترنت به هر نقطه نزدیک سیستم کاربر جلوگیری می‌کند. در جداسازی از راه دور، فیلترینگ، Sandbox و تجزیه‌و‌تحلیل تهدید در یک سرور راه دور مانند یک ابر عمومی یا خصوصی رخ می‌دهد، همچنین این امکان برای سازمان‌ها وجود دارد که داخل سازمان، یک سرور مجزا را به این امر اختصاص دهند. در این روش سیستم کاربر عاری از فعالیت آنلاین باقی می‌ماند، نشست مرور (Browsing Session) بر روی یک سرور راه دور/سرور داخل سازمان میزبانی و به صورت Real-Time برای کاربر Stream می‌شود و یک تجربه مرور On-Premise را شبیه سازی می‌کند.

در سناریوهای جداسازی واقعی، کاربر به هیچ محتوای وبی دسترسی ندارد. در واقع کاربر به هیچ وجه نمی‌تواند محتوای آنلاین را دانلود یا به دستگاه محلی منتقل کند. یک تاکتیک اصلاح‌شده به نام DOM Mirroring، عناصر ناامن را فیلتر کرده تا برای کاربر نهایی قابل مشاهده نباشند. در این روش محتوای امن به شکل اصلی خود به سیستم کاربر هدایت می‌شود.

جداسازی اینترنت از اینترانت با جداسازی مرورگر از راه دور/ سرور مجزا داخل سازمان به دلیل مزایای زیر به طور گسترده مورد توجه قرار گرفته است:

  • ذخیره منابع کلاینت: جداسازی شبکه داخلی از اینترنت با استفاده از تکنولوژی جداسازی مرورگر منابع زیادی را در هر محیط میزبانی مصرف می‌کند و این موضوع کاملا قابل درک است. برای ایجاد یک Container موقت برای ذخیره داده‌های آنلاین و ردپای فعالیت پویا به حافظه کافی نیاز است. همچنین برای پردازش داده‌ها به صورت Real-time، تجزیه‌وتحلیل عناصر امن، ایجاد یک Stream زنده برای کاربر نهایی و پشتیبانی از ترافیک ورودی، به منابع محاسباتی قوی نیاز است. جداسازی مرورگر از راه دور/سرور درون سازمانی به شما این امکان را می‌دهد که این منابع مورد نیاز را از رایانه کاربر نهایی به یک محیط ابری قدرتمندتر و یا یک سرور داخل سازمانی منتقل کنید.
  • امنیت بیشتر: جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر از راه دور/سرور داخلی سازمان در فضای بسیار امن انجام می‌شود. با استفاده از جداسازی بر روی سیستم کاربر، شما فقط خطر را از سیستم کاربر نهایی به سرور متصل به شبکه سازمانی خود منتقل می‌کنید. جداسازی مرورگر از راه دور/سرور مجزا داخل سازمان می‌تواند با انتقال محیط میزبانی به یک ابر شخص‌ثالث و یا یک سرور ایزوله داخل سازمان، این مشکل را برطرف کند.
  • ساده‌سازی کنترل‌های بخش IT: اگر چندین سیستم در یک محیط ابری متمرکز/ سرور مجزای سازمانی میزبانی شوند، اجرای حجم زیاد Policyها و پیکربندی تنظیمات جداسازی مرورگر برای بخش IT آسان‌تر خواهد بود. تیم‌های IT همچنین می‌توانند سیاست‌های انطباق را از راه دور اجرا و جریان‌های ترافیکی خاص سازمان را مدیریت کنند. در یک محیط سازمانی مدرن، جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر به‌صورت محلی ممکن است در مقیاس بزرگتر امکان‌پذیر نباشد زیرا بخش IT باید برای هر سیستم محاسباتی، ماشین‌های مجازی مجزا راه‌اندازی کند.

به این سه دلیل، اصطلاح جداسازی مرورگر تقریبا مترادف با جداسازی مرورگر از راه دور شده است.

چرا جداسازی اینترنت از شبکه داخلی با جداسازی مرورگر مهم است؟

گزارش شرکت تحقیقاتی گارتنر که در سال ۲۰۱۸ منتشر شد نشان داد که حملات سایبری با سرعتی زیاد در حال پیشرفت هستند و اطمینان از “پیشگیری کامل” غیرممکن است. در این گزارش از شرکت‌ها خواسته شده که از همان ابتدا تهدیدات امنیتی را در نظر بگیرند و در جهت جداسازی حملات تلاش کنند. این گزارش توصیه می‌کند هر چه زودتر مکانیزم جداسازی اینترنت از شبکه داخلی با جداسازی مرورگر را پیاده‌سازی کنید.

براساس این گزارش، انتظار می‌رود تا سال ۲۰۲۲، ۲۵ درصد از شرکت‌ها از جداسازی مرورگرها استفاده کنند. جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر به شما امکان می‌دهد تهدیدات را بدون تلاش برای شناسایی آسیب‌پذیری، جلوگیری از حمله یا تجزیه‌وتحلیل رفتارهای مخرب مسدود کنید. راه‌حل جداسازی مرورگر برای رسیدن به این اهداف، از هشت مؤلفه کلیدی استفاده می‌کند.

هشت مؤلفه سیستم جداسازی مرورگر

یک سیستم جداسازی مرورگر معمولا دارای هشت مؤلفه است که یک توپوگرافی محتوی را تشکیل می‌دهند.

مؤلفه‌های سیستم جداسازی مرورگر

  1. کلاینت: کاربر نهایی از رابطی به نام Client برای شروع یک درخواست وب استفاده می‌کند. Client می‌تواند هر موجودیتی روی دسکتاپ، لپ‌تاپ، تلفن هوشمند یا هر دستگاه محاسباتی دیگری با اتصال اینترنتی فعال و یک مرورگر باشد. درجداسازی شبکه داخلی با سیستم جداسازی مرورگر از راه دور، کلاینت از محیط میزبانی متمایز است.
  2. سرویس امنیت وب: سرویس امنیت وب یک برنامه کاربردی است که تعیین می‌کند کدام ترافیک و چگونه عبور کند. راه‌حل‌های از پیش‌تعریف‌شده برای جداسازی شبکه داخلی از اینترنت با جداسازی مرورگر با یک سرویس امنیتی وب Built-in ارائه می‌شود که می‌تواند براساس نیازهای کسب‌وکار شما پیکربندی شود. به عنوان مثال می‌توانید انتخاب کنید که ترافیک وب‌سایت‌های خاص را به طور کامل فیلتر کنید، یا در صورت وجود رفتار مشکوک، هشدارهایی را نمایش دهید. همچنین می‌توانید دانلودها را به صورت مشروط مسدود کنید.
  3. موتور جداسازی تهدید: این مؤلفه یک جزء اختیاری است که می‌تواند فعالیت آنلاین را به صورت انتخابی ایزوله کند. در صورتی که بخواهید برخی از فعالیت‌ها را در یک محیط مجازی ایزوله کنید و به برخی دیگر از آن‌ها اجازه عبور بدهید، موتور جداسازی تهدید وارد عمل می‌شود و درخواست‌هایی را که از client دریافت می‌کند، مطابق با تنظیمات سرویس امنیت وب شما، در یک محیط ایزوله اجرا می‌کند.
  4. Container امن و یکبار مصرف: Container یک واحد نرم‌افزاری مستقل است که می‌تواند مستقل از زیرساخت اطراف خود عمل کند. معمولا از نرم‌افزار Container شده در محیط‌های ابری استفاده می‌شود تا برنامه‌ها به راحتی برای حمل بهتر بسته‌بندی شوند. به طور معمول نرم‌افزار در Containerهای غیر یکبار مصرف قرار دارد ولی سرویس امنیت وب یک Container امن و یکبار مصرف را راه‌اندازی می‌کند که در آن جلسه مرورگر می‌تواند در یک محفظه امن انجام شود و پس از پایان جلسه، محفظه به‌طور کامل از بین می‌رود.
  5. Socket وب:  Socket وب، یک کانال امن است که از طریق آن داده‌ها بین کلاینت و سرویس امنیتی وب جریان می‌یابد. Web socket به گونه‌ای به کلاینت متصل می‌شود که کاربران همچنان می‌توانند بدون افت کیفیت و به صورت Real-Time با مرورگرها تعامل (پیمایش، تایپ و غیره) داشته باشند.
  6. محیط میزبانی: محیط میزبانی در حالت ایده‌آل باید یک ابر شخص‌ثالث باشد، جایی که کل راه‌حل جداسازی مرورگر (سرویس امنیت وب، موتور جداسازی تهدید و Container) بدون دسترسی به زیرساخت محلی کاربر در آن قرار گیرد. همچنین به جای استفاده از یک ابر شخص ثالث می‌توان از یک سرور ایزوله داخل سازمان استفاده کرد. شما همچنین می‌توانید راه‌حل را در یک ابر خصوصی، واقع در یک سرور داخلی یا از راه دور میزبانی کنید. در نهایت، محیط میزبانی می‌تواند یک ماشین‌مجازی در همان سیستمی باشد که کلاینت را در خود جای داده است اما این رویکرد کمترین امنیت را در بین این سه مورد دارد.
  7. وب عمومی: اگر کلاینت مقصد تمام ترافیکی باشد که از طریق یک سیستم جداسازی مرورگر جریان می‌یابد، وب عمومی مبدأ آن است. هنگامی که کلاینت از طریق مرورگر خود درخواستی را مطرح می‌کند، وب عمومی درخواست را خوانده و انتقال اطلاعات را درست مانند یک تجربه مرور معمولی آغاز می‌کند اما به جای انتقال مستقیم اطلاعات به کلاینت، آن را به محیط میزبانی هدایت می‌کند.
  8. محتوا: محتوایی که در جداسازی شبکه داخلی از اینترنت با سیستم جداسازی مرورگر حرکت می‌کند، می‌تواند هم مخرب و هم بی‌ضرر باشد. در برخی موارد، کاربر می‌تواند تمام محتوا را مشاهده کند زیرا راه‌حل فقط فعالیت مرور را جدا می‌کند اما آن را فیلتر نمی‌کند. اما برخی راه‌حل‌ها ارزش افزوده‌ای را برای فیلتر کردن محتوا فراهم می‌کنند و هرگونه مخرب‌بودن را مسدود می‌کنند. در این‌جا، کاربران می‌توانند تنها با محتوای ایمن یا مشکوک در یک محیط ایزوله تعامل داشته باشند.

این هشت مؤلفه جداسازی شبکه داخلی از اینترنت با سیستم جداسازی مرورگر را تشکیل می‌دهند. مشخصات سیستم بسته به روشی که انتخاب می‌کنید یعنی محلی یا از راه دور و سطح آن می‌تواند به طور قابل‌توجهی متفاوت باشد.

ویژگی‌های کلیدی پیکربندی جداسازی شبکه داخلی از اینترنت با  جداسازی مرورگر

از نظر فنی، امکان ساخت تمام مؤلفه‌های سیستم جداسازی مرورگر در داخل و میزبانی آن در محیط موردنظر وجود دارد. با این حال، این کار نیاز به توسعه نرم‌افزاری پیچیده و مهارت‌های امنیت سایبری دارد و ممکن است در مقیاس بزرگتر و در دراز مدت مناسب نباشد. به همین دلیل است که جداسازی شبکه داخلی از اینترنت با نرم‌افزار جداسازی مرورگر اکنون بازاری رو به رشد دارد که ارزش آن در سال ۲۰۱۹ به ۸/۱میلیارد دلار می‌رسد و انتظار می‌رود تا سال ۲۰۲۷ از ۶/۶ میلیارد دلار عبور کند. این سرعت رشد بسیار شدید نسبت به سایر دسته‌های نرم‌افزاری نشان‌دهنده علاقه روزافزون به یک نرم‌افزار از پیش‌تعریف‌شده‌ برای جداسازی فعالیت مرورگر است.

همه نرم‌افزارهای جداسازی مرورگر با چند ویژگی ضروری مشخص می‌شوند:

ویژگی‌های نرم‌افزار جداسازی مرورگر

  • Rendering از راه دور: جداسازی شبکه داخلی از اینترنت با نرم‌افزار جداسازی مرورگر محتوای آنلاین را در مکانی دور از کلاینت و ترجیحا دور از خود دستگاه نقطه پایانی هدایت، اجرا و ارائه می‌کند. این روش تضمین می‌کند که کد خارجی صرف نظر از مخرب یا امن بودن آن به هیچ وجه بر سیستم‌های محاسباتی محلی شما تأثیر نمی‌گذارد.
  • جلوگیری از حمله دانلود Drive-by: دانلودهای Drive-by یک نوع حمله رایج است که در آن کاربر به طور ناخواسته یک فایل مخرب را در سیستم دانلود می‌کند. این فایل‌ها ممکن است به صورت تله‌کلیک باشند یا ممکن است فایل‌های اجرایی باشند که به‌عنوان اسناد قانونی ظاهر می‌شوند. تکنیک‌های Rendering از راه دور در این نرم‌افزار مانع از دانلود هر چیزی بدون دریافت تأییدیه توسط کاربر می‌شود.
  • پشتیبانی از سرور ایمیل: حملاتی مانند فیشینگ یا پیوست‌های مخرب می‌توانند ایمیل‌های بی‌ضرر را به یک حمله تبدیل کنند. جداسازی شبکه داخلی از اینترنت با نرم‌افزار جداسازی مرورگر باید از طیف گسترده‌ای از سرورهای ایمیل مبتنی بر وب مانند Gmail، Office 365 و Microsoft Exchange پشتیبانی کند، سیاست‌های لازم را اعمال کرده و هر پیوند تعبیه‌شده را به‌عنوان محتوای فقط خواندنی ارائه کند. این کار مانع از هدایت کاربران به وب سایت‌های مخرب از طریق پیوندهای جعلی در ایمیل‌های فیشینگ می‌شود.
  • حفاظت از اسناد: گاهی اوقات لازم است که محیط Sandbox را دور زده و اسناد را از طریق اینترنت عمومی به سیستم‌های محلی برای چاپ یا آرشیو و غیره دانلود کنید. نرم‌افزار باید روشی ایمن برای انجام این کار را در اختیار شما قرار دهد و معمولا این کار را با تبدیل سند اصلی به قالبی ایمن و بی‌ضرر و در عین حال حفظ تمام اطلاعات آن انجام می‌دهد.
  • کنترل ‌های مبتنی بر Policy: این ویژگی به شما امکان می‌دهد Policyهای مختلف دسترسی به وب را براساس نقش کاربر ارائه دهید. به عنوان مثال، ممکن است بخواهید یک لایه امنیتی برای کارمندان جدید اضافه کنید و اجازه دانلود هیچ سندی را به آن‌ها ندهید. همچنین ممکن است بخش دیگری در سازمان برای تکمیل یک کار به امتیازات دانلود موقت نیاز داشته باشد. کنترل‌های مبتنی بر Policy به شما امکان می‌دهند امنیت سایبری را عملی‌تر مدیریت کنید.
  • تجزیه‌وتحلیل: این یک ویژگی حیاتی است که پلتفرم‌های پیشرو را از پلتفرم های قدیمی متمایز می‌کند. نرم‌افزار باید داده‌های فعالیت مرورگر را در قالب گزارش‌های حاوی اطلاعات مفید، خلاصه روند دسترسی به وب، فراوانی سایت‌های بدافزار، معیارهای تهدید، معیارهای فایل و غیره جمع‌آوری و تحلیل کند. شما می‌توانید براساس نتایج تجزیه‌وتحلیل، نرم‌افزار را به‌صورت بهینه‌تر پیکربندی کنید.
  • مدیریت برنامه‌های وب: برنامه‌های وب مانند Office 365 به کاربران اجازه می‌دهند تا از یک جایگزین مبتنی بر ابر به جای یک نرم‌افزار نصب‌شده محلی استفاده کنند. جداسازی شبکه داخلی از اینترنت با نرم‌افزار جداسازی مرورگر باید علاوه بر فعالیت‌های سنتی مرورگر، از فعالیت برنامه‌های وب محافظت کند. این کار با تجزیه‌وتحلیل مداوم ترافیک برنامه‌های وب و جداسازی پویا در صورت شناسایی تهدید انجام می‌شود.

علاوه‌براین، ارائه‌دهندگان نرم‌افزار جداسازی مرورگر می‌توانند ویژگی‌های منحصربه‌فردی را برای متمایز شدن در برابر رقبا به این موارد اضافه کنند، مانند امنیت ایمیل پیشرفته، مسدودکردن تبلیغات، گزینه‌های استقرار، تشخیص بدافزار و غیره.

سخن پایانی

با توجه به ساختارهای معرفی شده در راستای ایجاد بستری امن برای کاربران و جلوگیری از انتشار آلودگی در سطح شبکه و همچنین کاهش حملات از سمت کاربران شبکه پیشنهاد می­‌گردد جداسازی اینترنت از اینترانت با جداسازی مرورگر در راستای پیاده‌سازی و بهبود زیرساخت سازمان‌ها قرار داده شود. شرکت امن‌پردازان کویر (APK) پیشرو در ارائه خدمات امنیت سایبری، محصول APKSWAP، سامانه دسترسی امن به اینترنت را با استفاده از فناوری جداسازی مرورگر و تکنولوژی Container-Docker ارایه نموده ­است. این راه‌حل نسبت به راهکارهای جداسازی فیزیکی از نظر هزینه‌­های مالی، منابع انسانی، زیرساختی و همچنین توسعه‌­ای مقرون به صرفه است.

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.

درخواست دمو و مشاوره

.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.