معرفی روش‌های دسترسی امن به اینترنت

جداسازی فیزیکی شبکه داخلی و اینترنت

راهکار جداسازی فیزیکی شبکه‌ها یا Air-Gap مدتی است به عنوان یک راهکار سنتی جهانی برای حفظ داده‌های حساس و کاهش سطح حمله به زیرساخت‌های حیاتی مطرح بوده است و در ایران نیز با افزایش حملات به زیرساخت‌های حیاتی و صنعتی، استفاده از این راهکار توسط نهادهای حاکمیتی برای تمامی مجموعه‌های حساس الزامی شده است. اما هزینه زیاد اجرای این راهکار و نهایتا نیاز به انتقال فایل بین شبکه‌های جدا شده از موضوعاتی است که تاکنون سازمان‌ها را برای اجرای راهکارهای مرسوم با ابهام روبرو کرده است.

همچنین راهکارهایی نظیر فایروال‌ها، فیلترهای وب، آنتی‌ویروس‌ها و غیره تقریباً در هر سازمانی یافت می‌شوند. هر کدام از این راهکارها می‌کوشند تا به یک مسئله بسیار خاص یا یک حمله بسیار ویژه رسیدگی کنند. مرجع Gartner اینترنت عمومی را « بحران حملات» می نامد و مرورگرهای وب با دسترسی مستقیم به اینترنت را به عنوان عامل اصلی ۷۵ درصد از حملات سایبری به سازمان‌ها می‌داند. مدیران امنیت اطلاعات می‌کوشند تا ترکیبی از راه‌حل‌های دفاعی را در سازمان اجرا کنند و تا حد امکان راهکار مناسبی را برای جلوگیری از این حملات فراهم سازند، ولی این راهکارها به دلیل استفاده کاربران از مرورگرهای‌وب و دسترسی مستقیم سیستم‌ها به اینترنت هرگز کفایت نمی‌کند و نهایتا این لایه‌های متعدد از سیستم‌های دفاعی، برای حفاظت سازمان از تهدیدهایی نظیر باج‌افزار، سرقت اطلاعات، پیوندهای مشکوک و فیشینگ کارساز نیست.

ایزوله‌سازی منطقی اینترنت از شبکه داخلی

جداسازی اینترنت از شبکه داخلی با استفاده از Remote Browser Isolation یا RBI، فناوری‌ای است که با جدا کردن فرآیندها و پردازش­‌های صفحات وب از سیستم­‌های کاربران فقط تصاویر پردازش شده را نمایش داده و فعالیت مرور را ایمن نگه می­‌دارد. به این ترتیب، کدهای مخرب صفحه وب روی دستگاه کاربر اجرا نمی‌شوند و از تأثیرگذاری آلودگی‌های بدافزار و سایر حملات سایبری بر دستگاه‌های کاربر و شبکه‌های داخلی جلوگیری می‌کند. در جداسازی منطقی با استفاده از فناوری نرم‌افزاری صرفا انتقال تصویری از مرورگر، برای کلاینت را فراهم می‌نماید و در حقیقت به دلیل مشاهده تصویری در اینترنت توسط کاربر، مخاطرات و آلودگی فضای سایبری به سیستم کاربر منتقل نمی‌گردد. اما این امر تاثیری بر تجربه کاربری نخواهد داشت و کاربر درکی نسبت به اینکه محیط واقعیست یا تصویری از آن، نخواهد داشت.

بازدید از وب‌سایت‌ها و استفاده از برنامه‌های کاربردی وب شامل Load محتوا و کد از طریق یک مرورگر وب از منابع غیرقابل اعتماد (مانند وب سرورهای دور) و سپس اجرای آن کد در دستگاه کاربر است. از منظر امنیتی، این امر مرور وب را به یک فعالیت نسبتاً خطرناک تبدیل می‌­کند. با استفاده از فناوری جداسازی مرورگر، کد­ها بر روی سرورهای خارج از شبکه کاربران بارگیری و اجرا می­‌شود و تاثیری بر روی شبکه کاربران نخواهد داشت و بدین ترتیب از سیستم کاربران و شبکه در مقابل تهدیدات محافظت می‌­نماید. این سرویس مشابه استفاده از روبات‌ها برای انجام برخی وظایف خطرناک در یک کارخانه است که می‌تواند کارگران کارخانه را ایمن‌تر نگه دارد.

طبق دستورالعمل افتا، جداسازی منطقی اینترنت از اینترانت صرفا با آخرین فناوری مبتنی بر Container با ساختارمندی Docker کارآیی مدنظر را دارد، زیرا در این روش برنامه کاربردی جدا از پلتفرم، مجازی‌سازی شده و امکان انتقال آلودگی از اینترنت به سیستم کاربر و شبکه داخلی وجود ندارد در حالیکه ساختارهایی مانند VDI ،Remote Desktop ،Terminal Service و Vlaning به دلیل امکان انتقال آلودگی به شبکه و سیستم کاربر قابل قبول نبوده و منسوخ است.

شرکت امن‌پردازان‌کویر (APK) برای مدیریت ایمن‌ و هوشمند مرورگرها با نگاه به نیاز انتقال امن فایل‌ها و امنیت کاربران نهایی، راهکار منطقی RBI خود را با استفاده از فناوری جداسازی مرورگر و تکنولوژی Docker-Container تحت نام تجاری APKSWAP ارایه نموده است. این طرح برخلاف طرح‌های مشابه، نیاز به تغییرات گسترده در زیرساخت شبکه ندارد و مدیران شبکه برای دسترسی همزمان کاربران به شبکه داخلی و اینترنت، نباید سیستم‌ها و شبکه‌های مجزا را با هزینه بسیار بالا و در نهایت انعطلاف‌پذیری پایین ایجاد کنند.

این راهکار یک مدل امنیت سایبری است که اولین بار توسط آژانس امنیت هسته‌ای در آمریکا با روش مجازی‌سازی پیاده شده است. مفهوم اصلی ایزوله کردن مرورگر وب، ایجاد شکاف و فاصله فیزیکی بین برنامه یا مرورگر متصل به اینترنت و سیستم کاربر بدون دسترسی به اینترنت است تا کاربر از حملات و تهدیدات سایبری در امان باشد.

نحوه پیاده‌سازی APKSWAP

طرح کلی پیشنهادی شرکت امن‌پردازان‌کویر برای پیاده‌­سازی APKSWAP، مطابق همبندی ارائه شده در شکل زیر است:

در ساختار پیاده‌سازی SWAP، کاربران شبکه داخلی در ناحیه  Users قرار دارند که در این ناحیه دسترسی مستقیم به اینترنت نداشته و در حقیقت پشت شبکه دفاعی قرار می‌گیرند. کاربران این ناحیه با استفاده از سیستم خود به شبکه محلی متصل بوده و کارهای خود را انجام می‌دهند در حالی که در صورت نیاز به اینترنت با استفاده از پنل APKSWAP دسترسی امن به اینترنت در یک بستر ایزوله خواهند داشت.

لایه‌های امنیتی و مرورگر ایزوله در ناحیه SWAP قرار دارند. در این ناحیه سرویس‌های مختلفی فعالیت می‌کنند:

• در بخش Remote Browsers مرورگر ایزوله از راه دور در ناحیه APKSWAP اجرا می‌شود و درخواست‌ها و فعالیت‌های کاربران، دور از شبکه داخلی سازمان پردازش می‌شود. درصورتی که کاربر نیاز به دریافت و یا ارسال فایل به محیط اینترنت داشته باشد، بعد از تایید دسترسی توسط مدیر سیستم و با عبور از لایه امنیتی، می‌تواند فایل موردنظر خود را دریافت و یا بارگذاری کند. همچنین به جای مرورگر، امکان اجرای برنامه‌های دیگر نیز وجود دارد که از طریق پنل APKSWAP در دسترس کاربران ناحیه داخلی قرار می‌گیرد.
• لایه Security Layer با اعمال تنظیماتی بر اساس سیاست‌های سازمان اقدام به کنترل محتوای دانلود شده از سوی کاربر می‌کند و در صورت مشاهده هرگونه تهدید و یا نقض سیاست‌ها، با هدایت آن‌ها به Null Directory در ناحیه blocked contents، از شبکه حذف و خارج می‌کند.