معرفی روش‌های جداسازی اینترنت از شبکه داخلی

راهکار جداسازی فیزیکی شبکه‌ها یا Air-Gap مدتی است به عنوان یک راهکار سنتی جهانی برای حفظ داده‌های حساس و کاهش سطح حمله به زیرساخت‌های حیاتی مطرح بوده است و در ایران نیز با افزایش حملات به زیرساخت‌های حیاتی و صنعتی، استفاده از این راهکار توسط نهادهای حاکمیتی برای تمامی مجموعه‌های حساس الزامی شده است. اما هزینه زیاد اجرای این راهکار و نهایتا نیاز به انتقال فایل بین شبکه‌های جدا شده از موضوعاتی است که تاکنون سازمان‌ها را برای اجرای راهکارهای مرسوم با ابهام روبرو کرده است.

همچنین راهکارهایی نظیر فایروال‌ها، فیلترهای وب، آنتی‌ویروس‌ها و غیره تقریباً در هر سازمانی یافت می‌شوند. هر کدام از این راهکارها می‌کوشند تا به یک مسئله بسیار خاص یا یک حمله بسیار ویژه رسیدگی کنند. مرجع Gartner اینترنت عمومی را « بحران حملات» می نامد و مرورگرهای وب با دسترسی مستقیم به اینترنت را به عنوان عامل اصلی ۷۵ درصد از حملات سایبری به سازمان‌ها می‌داند. مدیران امنیت اطلاعات می‌کوشند تا ترکیبی از راه‌حل‌های دفاعی را در سازمان اجرا کنند و تا حد امکان راهکار مناسبی را برای جلوگیری از این حملات فراهم سازند، ولی این راهکارها به دلیل استفاده کاربران از مرورگرهای‌وب و دسترسی مستقیم سیستم‌ها به اینترنت هرگز کفایت نمی‌کند و نهایتا این لایه‌های متعدد از سیستم‌های دفاعی، برای حفاظت سازمان از تهدیدهایی نظیر باج‌افزار، سرقت اطلاعات، پیوندهای مشکوک و Phishing کارساز نیست.

شرکت امن‌پردازان‌کویر برای مدیریت ایمن‌ و جداسازی شبکه داخلی از اینترنت با نگاه به نیاز انتقال امن فایل‌ها و امنیت کاربران نهایی، راهکار اینترنت امن، با نام‌ تجاری APKSWAP ارایه نموده ­است. این طرح برخلاف طرح‌های مشابه، نیاز به تغییرات گسترده در زیرساخت شبکه ندارد و مدیران شبکه برای دسترسی همزمان کاربران به شبکه داخلی و اینترنتT نباید سیستم ها و شبکه های مجزا را با هزینه بسیار بالا و در نهایت انعطاف‌پذیری پایین ایجاد کنند. این راه حل که مبتنی بر جداسازی برنامه ها و مرورگر کاربران است، شبکه داخلی سازمان را از اینترنت بصورت کاملا امن و هوشمند جدا می‌کند.

راهکار جداسازی برنامه‌ها و مرورگر کاربران یک مدل امنیت سایبری است که اولین بار توسط آژانس امنیت هسته‌ای در آمریکا با روش مجازی‌سازی پیاده شده است. مفهوم اصلی ایزوله کردن مرورگر وب، ایجاد شکاف و فاصله فیزیکی بین برنامه یا مرورگر متصل به اینترنت و سیستم کاربر بدون دسترسی به اینترنت است تا کاربر از حملات و تهدیدات سایبری در امان باشد.

نحوه پیاده‌سازی APKSWAP، سامانه دسترسی امن به اینترنت

طرح کلی پیشنهادی شرکت امن‌پردازان‌کویر برای پیاده‌­سازی APKSWAP، مطابق همبندی ارائه شده در شکل زیر است:

در ساختار پیاده‌سازی SWAP، کاربران شبکه داخلی در ناحیه  Users قرار دارند که در این ناحیه دسترسی مستقیم به اینترنت نداشته و در حقیقت پشت شبکه دفاعی قرار می‌گیرند. کاربران این ناحیه با استفاده از سیستم خود به شبکه محلی متصل بوده و کارهای خود را انجام می‌دهند در حالی که در صورت نیاز به اینترنت با استفاده از پنل APKSWAP دسترسی امن به اینترنت در یک بستر ایزوله خواهند داشت.

لایه‌های امنیتی و مرورگر ایزوله در ناحیه SWAP قرار دارند. در این ناحیه سرویس‌های مختلفی فعالیت می‌کنند:

• در بخش Remote Browsers مرورگر ایزوله از راه دور در ناحیه APK SWAP اجرا می‌شود و درخواست‌ها و فعالیت‌های کاربرانT دور از شبکه داخلی سازمان پردازش می‌شود. درصورتی که کاربر نیاز به دریافت و یا ارسال فایل به محیط اینترنت داشته باشد، بعد از تایید دسترسی توسط مدیر سیستم و با عبور از لایه امنیتی، کاربر می تواند فایل موردنظر خود را دریافت و یا بارگذاری کند.همچنین به جای مرورگر امکان اجرای برنامه‌های دیگر نیز وجود دارد که از طریق پنل APKSWAP در دسترس کاربران ناحیه داخلی قرار می‌گیرد.
• لایه Security Layer با اعمال تنظیماتی بر اساس سیاست‌های سازمان اقدام به کنترل محتوای دانلود شده از سوی کاربر می‌کند و در صورت مشاهده هرگونه تهدید و یا نقض سیاست‌ها، با هدایت آن‌ها به Null Directory در ناحیه blocked contents، از شبکه حذف و خارج می‌کند.