نحوه پیاده‌سازی فایروال‌ نسل جدید – بخش اول

در اغلب موارد، راهکارهای فنی بدون در نظر گرفتن نتایج برای استراتژی امنیت کلی سازمان‌ پیاده‌سازی می‌شوند. برای اجتناب از این اشتباه، باید اطمینان حاصل کرد که Policyها به‌روز هستند و راهکارهای تکنولوژی انتخابی از یک استراتژی امنیتی جامع پشتیبانی می‌کنند.

وقتی راهکارهای تکنولوژی مختلفی را مد نظر قرار می‌دهیم، مهم است که درک دقیقی از الزامات سازمان‌ خود داشته باشیم. بنا به گفته‌ی Gartner در بازار فایروال‌های سازمانی نقاط تمایز‌ کمتری وجود دارد و در نتیجه سازمان‌ها باید انتخاب محصول نهایی خود را طبق الزامات به‌خصوص خود انجام دهند.

در این مقاله انواع کنترل‌هایی که باید در Policyهای امنیتی یک سازمان لحاظ شوند، شرح داده خواهد شد و مثال‌های به‌خصوصی از الزامات فنی که باید مورد بررسی قرار گیرند نیز مطرح می‌گردد تا سازمان‌ها بتوانند الزامات خود را تعریف کرده و یک درخواست پیشنهاد (Request For Proposal) یا RFP را برای فروشندگان ایجاد کنند. نهایتاً اهمیت بخش‌بندی مناسب شبکه و داده‌های حساس و نحوه‌ی رسیدگی به کاربران از راه دور پوشش داده می‌شود.

توانمندسازی ایمن، از طریق Policyهای هوشمند

توانمندسازی اولین و مهم‌ترین مسئله در مورد آموزش و دانش نسبت به برنامه‌های کاربردی، رفتارها، ریسک‌ها و کاربران اس.  نقش IT مشابه نقش یک مشاور  و مربی است که به کاربران در مورد ریسک‌ها و رفتارها مشاوره داده و آن‌ها را هدایت می‌کند تا متوجه شوند کدام برنامه‌های کاربردی قابل‌دسترس، برای حل الزامات‌شان بهترین هستند. اما توانمندسازی به افزایش آگاهی در مورد ریسک‌های مربوط به برنامه‌های کاربردی نیز هست. به همین دلیل، کارمندان IT باید نیز باید به ابرکاربرهای واقعی تبدیل شوند، البته به معنای دیگر کلمه. یک ابرکاربر Enterprise 2.0 کسی است که درون برنامه کاربردی «زندگی» می‌کند و برای انجام کارهایی اصلی به آن اتکا می‌کند. برای اینکه IT کارآمد باشد، باید بدون تعصب از Enterprise 2.0 بهره بگیرد. وقتی‌که IT به این مهم دست پیدا کرد، می‌تواند با موفقیت کاربران را از تمام ریسک‌های مربوط به برنامه‌های کاربردی Enterprise 2.0 آگاه کند؛ حتی ریسک‌هایی که مربوط به تأثیرات اجتماعی و اعتباری استفاده از آن‌ها هستند.

برای اینکه نظارت کارآمد باشد، IT باید نقشی اساسی در تعریف Policyهای هوشمند ایفا کند. اما حیاتی است که IT تنها صاحب این Policyها نباشد، زیرا کارآمدی و کاربرد آن‌ها با تفکر سنتی IT رابطه معکوس دارد. ممکن است عجیب به نظر برسد، اما برنامه‌های کاربردی Enterprise 2.0 معمولاً تبدیل به «میوه ممنوعه» می‌شوند. بااینکه استفاده از Enterprise 2.0 معمولاً از پایین به بالا اتفاق می‌افتد، بدون حمایت و پشتیبانی اجرایی راه دوری نخواهد رفت. این نشان می‌دهد که هرچند ممکن است IT سعی کند جلوی استفاده از برنامه‌های کاربردی Enterprise 2.0 را بگیرد، وقتی‌که با موفقیت مورداستفاده قرار گرفتند، IT دیگر نمی‌تواند برای این کار روی حمایت اجرایی حساب باز کند.

معمولاً در بحث در مورد نظارت مثال‌هایی از اشتباهاتی مطرح می‌شود که کاربران در حین استفاده از برخی برنامه‌های کاربردی Enterprise 2.0 مثل رسانه‌های اجتماعی انجام داده‌اند. مطرح کردن این استدلال برای IT ساده است، اما درنهایت قانع‌کننده نیست. همچنین هوشمندانه نیست که IT بخواهد استدلال مبتنی بر تطبیق‌پذیری را دنبال کند، آن هم فقط به این دلیل که قانونی وجود ندارد که استفاده از برنامه‌های کاربردی Enterprise 2.0 را کنترل کند. مسئله استفاده از ابزار مناسب برای کار و رفتار هوشمندانه است. مثلاً در محیطی مثل معاملات سهام که به‌شدت تحت نظارت است استفاده از پیام‌رسانی فوری می‌تواند مستعد قوانین حفظ و حسابرسی باشد. نقش IT این است که به معامله‌گرها در مورد تأثیرات هر ابزار آموزش دهد، در ایجاد Policy استفاده مشارکت کند و سپس استفاده از آن‌ را مانیتور و اعمال کند. در این مثال، آن Policy می‌توانست از اینکه کاربران از Facebook Chat برای پیام‌رسانی فوری استفاده کنند، جلوگیری کند، اما در عوض اجازه‌ی استفاده از MSN را بدهد.

نظارت و مدیریت در صورتی بهترین نتیجه را می‌دهند که براساس مجموعه‌ای از Policyهای شرکتی هوشمند باشند که توسط سه ذینفع اصلی در چشم‌انداز Enterprise 2.0 توسعه‌یافته باشد؛ یعنی IT، نیروی انسانی، مدیریت اجرایی و کاربران. مشخص است که IT نقش برجسته‌ای دارد، اما این نقش نباید بیش‌ازحد سختگیرانه باشد و همچنین نباید نسبت به توانمندسازی نظارت روی برنامه‌های کاربردی و تکنولوژی سهل‌انگارانه برخورد کند.

اگر قرار است کنترل‌های برنامه کاربردی پیاده‌سازی و اعمال شوند، باید بخشی از Policy امنیت سازمانی کلی باشند. IT به‌عنوان جزئی از فرایند پیاده‌سازی Policy کنترل برنامه کاربردی، باید تلاش کند که در مورد برنامه‌های کاربردی Enterprise 2.0 اطلاعات کسب کند. این کسب اطلاعات شامل استقبال از آن‌ها با توجه به تمام اهداف‌شان و درصورت نیاز نصب یا فعال‌سازی زودهنگام آن‌ها در محیط آزمایشی است تا مشخص شود که چگونه کار می‌کنند. بحث بین همتایان، وب‌سایت‌های متمرکز روی Enterprise 2.0، بوردهای پیام‌رسانی، بلاگ‌ها و جوامع توسعه‌دهندگان منابع اطلاعاتی ارزشمندی هستند.

کنترل‌های کارمندان

اکثر شرکت‌ها نوعی Policy استفاده از برنامه کاربردی دارند که نشان می‌دهد کدام برنامه‌های کاربردی مجاز هستند و کدام برنامه‌های کاربردی غیرمجاز. از هر کارمند انتظار می‌رود که محتوای این Policy و عواقب پیروی نکردن از آن را درک کند، اما چندین سؤال بدون جواب همچنان وجود دارد، از جمله:

• با توجه به افزایش تعداد روزافزون برنامه‌های کاربردی «بد»، یک کارمند از کجا متوجه خواهد شد که کدام برنامه‌های کاربردی مجاز و کدام غیرمجاز هستند؟
• فهرست برنامه‌های کاربردی تاییدنشده چگونه بروزرسانی می‌شود و چه کسی اطمینان حاصل می‌کند که کارمندان بدانند فهرست تغییر کرده است؟
• چه چیزی نقض امنیتی Policy محسوب می‌شود؟
• عواقب نقض امنیتی Policy شامل چه مواردی است؟ اخراج یا جریمه؟

توسعه‌ی دستورالعمل‌های Policy معمولاً چالش‌برانگیز است، زیرا تنش بین ریسک و پاداش باعث شده است نظرات در مورد اینکه چه کاری مجاز و چه کاری غیرمجاز است دوقطبی شود. در هسته‌ی این مشکل این مسئله وجود دارد که دو گروه سازمانی که معمولاً در توسعه‌ی Policy شرکت دارند (یعنی امنیت IT و نیروی انسانی) در زمان استفاده از تکنولوژی‌های جدید به حاشیه رانده شده‌اند. ساختن یک Policy برای استفاده‌ی ایمن پس از پیاده‌سازی برنامه‌های کاربردی و تکنولوژی‌های جدید کار ساده‌ای نیست.

Policyهای ثبت شده‌ی کارمندان باید بخشی کلیدی از پازل کنترل برنامه کاربردی باشد، اما کنترل‌ روی کارمندان به‌عنوان یک مکانیزم مستقل برای توانمندسازی ایمن برنامه‌های کاربردی Enterprise 2.0 ناکارآمد خواهد بود.

کنترل‌های دسکتاپ

کنترل‌های دسکتاپ چالش قابل‌توجهی را برای دپارتمان‌های IT ایجاد می‌کنند. باید دقت زیادی به جزئی و دقیق بودن کنترل‌های دسکتاپ و تأثیر آن‌ها روی بهره‌وری کارمندان انجام شود. درست مثل Policyهای کارمندان، کنترل‌های دسکتاپ بخشی کلیدی برای توانمندسازی ایمن برنامه‌های کاربردی Enterprise 2.0 در سازمان هستند و اگر به‌تنهایی مورداستفاده قرار بگیرند، به چند دلیل ناکارآمد خواهند بود.

مرحله‌ی سخت Lockdown دسکتاپ برای اینکه کاربران نتوانند برنامه‌های کاربردی خود را نصب کنند کاری است که در حرف راحت‌تر از عمل است.

• اتصال لپ‌تاپ‌ها از راه دور، دانلودها از اینترنت، درایوهای USB و ایمیل، همگی به معنای نصب برنامه‌های کاربردی هستند که ممکن است مورد تایید باشند یا نباشند..
• حذف کامل دسترسی Administrative کار دشواری است و در برخی از موارد توانایی کاربر نهایی را محدود می‌کند.
• درایوهای USB اکنون توانایی اجرای برنامه‌های کاربردی را دارند، درنتیجه پس از کسب اجازه‌ی شبکه، یک برنامه کاربردی Enterprise 2.0 عملاً می‌تواند مورد دسترسی قرار بگیرد.

کنترل‌های دسکتاپ می‌توانند به‌عنوان راهی برای فعال‌سازی برنامه‌های کاربردی Enterprise 2.0 به‌طور ایمن، Policyهای ثبت‌شده‌ی کارمندان را تکمیل کنند.

کنترل‌های شبکه

در سطح شبکه، به روشی برای شناسایی برنامه‌های کاربردی Enterprise 2.0 و مسدود کردن و کنترل آن‌ها نیاز است. با پیاده‌سازی کنترل‌ها در سطح شبکه، IT می‌تواند احتمال تهدیدات و اختلال‌هایی را که از برنامه‌های کاربردی Enterprise 2.0 ناشی می‌شوند کاهش دهد. می‌توان در سطح شبکه، از چندین مکانیزم کنترلی مختلف استفاده کرد که هر کدام معایب خاصی دارند که کارآمدی‌شان را کاهش می‌دهد.

• می‌توان فایروال‌های Stateful را در خط اول دفاعی مورداستفاده قرار داد که این کار موجب فراهم شدن فیلترینگ ترافیک و بخش‌بندی شبکه به چندین Zone می‌شود که با رمز عبور حفاظت‌شده‌اند. یکی از معایب فایروال‌های Stateful این است که آن‌ها برای شناسایی و کنترل اینکه چه چیزی وارد شبکه و از آن خارج می‌شود، از پورت و پروتکل استفاده می‌کنند. این طراحی مبتنی بر پورت برای برنامه‌های کاربردی Enterprise 2.0 نسبتاً بی‌فایده است، زیرا این برنامه‌های کاربردی از پورتی به پورت دیگر می‌پرند تا وقتی‌که یک اتصال باز به شبکه را پیدا کنند.
• IPS اضافه‌شده به یک پیاده‌سازی فایروال با بررسی زیرمجموعه ترافیک و مسدود کردن تهدیدات یا برنامه‌های کاربردی بد شناسایی‌شده، قابلیت پیشگیری از تهدید شبکه را تقویت می‌کند. ارائه‌های IPS دارای برنامه‌های کاربردی و عملکرد لازم برای دیدن کل ترافیک روی تمام پورت‌ها نیستند و به همین دلیل نمی‌توانند یک راهکار کامل باشند.
• تکنولوژی‌های IPS معمولاً طوری طراحی شده‌اند که فقط به بخشی از ترافیک نگاه کنند تا عملکرد دچار مشکل نشود و به همین دلیل نخواهند توانست میزان برنامه‌های کاربردی موردنیاز در سازمان‌های امروزی را پوشش دهند. درنهایت، مدیریت ترکیبِ فایروال و IPS معمولاً کار دشواری است که نیازمند چندین رابط کاربری مدیریتی با جدول‌های Policy جداگانه است. به زبان ساده، راهکارهای افزودنی (Bolt-On) کنونی دارای دقت، Policy یا عملکرد لازم برای رسیدگی به الزامات قابلیت دید و کنترل برنامه‌های کاربردی امروز نیستند.
• راهکارهای پراکسی روش دیگری برای کنترل ترافیک هستند اما آن‌ها نیز به تعداد محدودی از برنامه‌های کاربردی یا پروتکل‌ها نگاه می‌کنند و به همین دلیل فقط بخش کوچکی از ترافیکی که باید مانیتور شود را می‌بینند. پس یک برنامه کاربردی Enterprise 2.0 فقط یک پورت را می‌بیند که توسط یک پراکسی مسدود شده است و به سراغ پورت باز بعدی می‌رود. پراکسی‌ها طوری طراحی شده‌اند که از برنامه کاربردی که سعی در کنترلش را دارند تقلید کنند، در نتیجه با بروزرسانی برای برنامه‌های کاربردی موجود و همچنین توسعه پراکسی برای برنامه‌های کاربردی دچار مشکل می‌شوند. مشکل نهایی که در راهکارهای پراکسی وجود دارد، عملکرد توان عملیاتی است که با توجه به نحوه‌ی متوقف شدن برنامه کاربردی توسط پراکسی و سپس Forward شدن آن به مقصدش ایجاد می‌شود.

چالش هر کدام از این کنترل‌های شبکه این است که توانایی شناسایی برنامه‌های کاربردی Enterprise 2.0 را ندارند، فقط به بخشی از ترافیک نگاه می‌کنند و دچار مشکلات عملکردی هستند.