جداسازی اینترنت از اینترانت را با نامهای مختلفی میشناسیم:
تمام این واژگان دلالت بر اهمیت اینترنت، شبکه داخلی و مباحث امنیتی مرتبط با آن دارد.
مدیریت ترافیک اینترنت در اینترانت(شبکه داخلی) از راههای واجب و ضروری جهت تامین امنیت زیرساخت شبکه سازمانها است. با توجه به گسترش تهدیدات سایبری و باج/بد افزارها، به کارگیری روش کارا و سودمند در مدیریت ترافیک اینترنت میتواند اطمینان خاطر بیشتری از باب تحمل پذیری شبکه سازمان ایجاد کند.
در این مستند سعی داریم روشهای گوناگون مدیریت اینترنت در شبکه داخلی را، با در نظر گرفتن مزایا و معایب، مورد بررسی قرار دهیم.
مدیریت ترافیک به دو شکل در زیرساخت سازمان امکان پذیر است:
در روش کنترل دسترسی، سیستمهای سازمان به صورت پیش فرض به اینترنت دسترسی ندارند و جهت کار با اینترنت لازم است کاربر یک اتصال VPN به سرور اینترنت برقرار کند. با طی کردن این فرآیند سیستم کاربر به اینترنت دسترسی خواهد داشت.
در این روش اگر چه دسترسی به اینترنت به صورت دائمی نیست، اما سیستم کاربر به صورت دو منظوره مورد استفاده قرار میگیرد: 1- شبکه اینترانت (داخلی) 2- شبکه اینترنت.
استفاده دو منظوره از سیستم کاری، مخاطرات زیادی به همراه دارد چرا که در صورت آلوده شدن ایستگاه کاری به واسطه فعالیت در اینترنت، علی رغم قطع اینترنت توسط کاربر، آلودگی به راحتی میتواند در شبکه سازمان گسترش یافته و آسیبهای خود را وارد کند.
در این روش ترافیک اینترنت در اینترانت جریان دارد که این میتواند مخاطرات زیادی به همراه داشته باشد. بنابراین کنترل دسترسی از طریق VPN و یا هر ابزار دیگری بر بستر شبکه داخلی روشی امن برای مدیریت اینترنت به حساب نمی آید.
در روش جداسازی اینترنت، ترافیک اینترنت به صورت کامل از سطح سازمان جمع آوری شده و در یک محدوده کنترل شده و مشخص قرار میگیرد. کاربران با دسترسی به این محدوده امکان کار با اینترنت را خواهند داشت.
در روش جداسازی از یک سیستم به صورت دو منظوره استفاده نمیشود که این موضوع به خودی خود میتواند سطح امنیت را تا حد قابل توجهی افزایش دهد. با انجام فرآیند جداسازی چالش اصلی انتقال امن و کنترل شدهی فایل از اینترنت به داخل و از داخل به اینترنت است.
جداسازی اینترنت از اینترانت به دو دسته اصلی تقسیم میشود:
در این روش شبکه فیزکی کاملا مجزایی از شبکه اینترانت برای دسترسی به اینترنت ایجاد میشود. کاربران قادر خواهند بود از ایستگاههای کاری مجزایی که برای هر کاربر و یا به صورت کافینتی در نظر گرفته شده و متصل به شبکه فیزیکی اینترنت است اقدام به کار با اینترنت نمایند.
یکی از مزیتهای اصلی این شیوه تفکیک کامل ترافیک اینترنت است، به طوری که ایستگاههای اینترنت دسترسی به ایستگاههای کاری داخل ندارند.
در کنار این مزیت این روش چند اشکال اساسی دارد:
به دلیل عدم کنترل پذیری جابجایی USB Flash مخاطرات زیادی از این منظر متوجه سازمان است.
در این روش توسعه فیزیکی مجزایی برای ترافیک اینترنت انجام نمیشود، بلکه بر بستر شبکه داخلی و به صورت منطقی، اینترنت در یک محدوده قرار میگیرد و کاربر با استفاده از ابزارهایی در این محیط اقدام به فعالیت با اینترنت میکند.
لیست کاملی از روشها، ابزارها و محصولات گوناگون جهت جداسازی اینترنت به شرح زیر است، ترتیب با توجه به افزایش سطح امنیت از اول لیست (امنیت پایینتر) به انتهای لیست (امنیت بالاتر) انتخاب شده است:
در روش جداسازی با VLAN از قابلیت سوئیچهای لایه 2 در ایجاد و مدیریت VLAN استفاده میشود. به عبارتی با طراحی VLANهای مختلف در شبکه داخلی ترافیک اینترنت در شبکههای مجازی مشخصی جریان مییابد.
مزیت این روش سادگی و سرعت در تفکیک منطقی ترافیک اینترنت است. با این وجود، این روش مخاطراتی به همراه دارد:
ابزار Virtual App یکی از انواع روشهای مجازی است. در این نوع مجازی سازی کاربران برنامه ها (APPها)یی را اجرا میکنند که مکان اجرای آنها بر روی سیستم دیگری قرار دارد و به صورت مجازی تعاملات گرافیکی کاربر با برنامه بر روی سیستم کاربر انجام میشود.
در روش جداسازی با Virtual App کاربران دسترسی به Browserهایی همچون Firefox/Chrome به صورت Virtual App خواهند داشت. به عبارتی اینترنت بر روی سیستم شخص وجود ندارد اما با برنامه هایی کار خواهد کرد(Browserها) که بر روی سیستمی که اینترنت دارد اجرا میشوند.
مزیت این روش منابع کمی است که جهت پیاده سازی نیاز است. با این وجود این روش مخاطراتی را با خود به همراه دارد که قابل چشم پوشی نیست:
ابزار RDP یا Terminal Service راهکار مایکروسافت جهت دسترسی اشتراکی به یک سیستم ویندوزی است. از نظر عملکردی این شیوه شباهتهای زیادی به Virtual App دارد با این تفاوت که کاربر یک دسکتاپ کامل در فضای اینترنت را در اختیار دارد.
این شیوه بعد از Virtual App منابع کمی را به خود اختصاص میدهد با این وجود مخاطرات آن کمتر از Virtual App نیست:
این روش که در برخی موارد از آن با عنوان Browser Isolation نام برده میشود از روش مجازی سازی OS-Level در سطح سیستم عامل لینوکس برای ایجاد محیطهای نسبتا ایزوله برای اجرای Browser استفاده میکند. به این شکل با دسترسی محیط ایزوله یا container به اینترنت و دسترسی کاربر به کنسول آن، امکان کار با اینترنت برای کاربر فراهم میگردد.
ابزار Container یا OS Level Virtualization یکی از انواع روشهای مجازی سازی است که هسته سیستم عامل لینوکس را به صورت منطقی به قسمتهایی تقسیم میکند که میتواند به عنوان یک سیستم عامل مستقل اجرا شود.
این شیوه در بحث جداسازی منطقی حرکت خوبی است. اما چالشهای اساسی با خود به همراه دارد:
برای افزایش امنیت Containerهای توسعه دهندگان اقدام به اجرای آنها در محیطهای Full Virtualization، به عنوان مثال اجرا بر بستر KVM نمودهاند. نمونههایی از این موضوع را میتوانید در مستند «هر آنچه لازم است در مورد ابزارهای سطح کاربر KVM بدانید» مطالعه کنید.
از این مرحله به بعد (این روش و رویش ایناد) وارد راهکارهای Full Virtualization میشویم که نسبت به راهکاری قبلی از بعد امنیت و ایزوله سازی حرفهای زیادی برای گفتن دارند.
در این شیوه به هر کاربر یک میزکار مجازی اختصاص داده میشود که کاربر از طریق اتصال به آن امکان فعالیت در اینترنت را خواهد داشت. و همزمان از سیستم محلی خود برای فعالیتهای کاری استفاده میکند.
روش Horizon VDI اگر چه از بعد امنیت از مزیتهای Full Virtualization بهره میبرد، با این وجود چالش امنیتی ویژهای دارد:
سامانه ایناد، محصول جداسازی منطقی اینترنت از شبکه داخلی شرکت آوید است که بر پایه ی سامانه مجازی سازی PVM (دارای تاییدیه امنیتی افتا، پدافند و دانش بنیان) توسعه یافته است. این سامانه همانطور که قبلا اشاره شد از تکنولوژی Full Virtualization جهت ایجاد محیط ایزوله استفاده میکند که از این منظر از مزایای امنیتی مجازی سازی کامل به خوبی بهره میبرد.
نکته ای که در سامانه ایناد نسبت به سایر راهکارهایی که از زیرساخت Full Virtualization استفاده میکنند قابل توجه است اتصال به کنسول میزکار مجازی در سطح VM-Bus است. به عبارت دقیقتر هیچگونه اتصال شبکه بین سیستم کاربر و میزکار مجازی که دارای اینترنت است وجود نداشته و مخاطرات فضای اینترنت به هیچ عنوان امکان ورود به شبکه داخلی را نخواهد داشت.
در «ایناد» به دو صورت امکان ایجاد فضای کاری در اینترنت وجود دارد:
هر دو روش فوق از زیرساخت میزکار مجازی PVM و روش Full Virtualization بهره میبرند. با این تفاوت که در روش App Isolation صرفا یک برنامه در اختیار کاربر قرار میگیرد و در نتیجه نسبت به شیوهی میزکار مجازی منابع بسیار کمتری نیاز دارد.
یکی از مزیتهای سیستم ایناد بهرهگیری از زیرساخت تبادل امن فایل VFlash است که به صورت یک Data Diode یا یکسو کننده جریان اطلاعات عمل میکند. با استفاده از VFlash و با بهره گیری از امکانات خاص هایپروایزور PVM، بدون اتصال شبکه بین اینترنت و اینترانت، امکان جابجایی فایل فراهم شده است.
همچنین محتوای جابجا شده با استفاده از فرآیند Sandbox توسط آنتی ویروسهای متعدد بررسی و اطلاعات تمیز در اختیار کاربران قرار میگیرد.
از سایر مزایای ایناد میتوان به پشتیبانی از USB Tokenها و همچنین تبادل صدا و امکان شرکت در جلسات مجازی اشاره کرد.
در روش ایناد محیطهای کاری به صورت Freeze در اختیار کاربر قرار میگیرد: فضای کاربری با خاموش شدن به وضعیت اولیه برمیگردد.
به صورت خلاصه شیوه ی Full Virtualization امنترین روش جداسازی منطقی و ایجاد محیط ایزوله به منظور جداسازی منطقی اینترنت از شبکه داخلی است.
سامانه ایناد علاوه بر بهره گیری از تکنولوژی Full Virtualization بر بستر سامانه مجازی سازی بومی PVM(دارای تاییدیه امنیتی افتا، پدافند و دانش بنیان نوع 1)، بهرهگیری از این فضا را بدون اتصال مستقیم شبکه بین سیستم کاربر و محیط اینترنت فراهم میکند. لازم به ذکر است که ایناد زیرساخت تبادل امن فایل را به عنوان یکی از ابزارهای لازم و ضروری جهت جداسازی منطقی در اختیار شما قرار میدهد.