چگونه شبکه‌های ناهمگون را تفکیک کنیم؟

ناهمگون بودن شبکه‌ها به دلیل تفاوت در ماهیت و ریسک محتوای جابجا شده در این شبکه‌ها است.

به دلیل ناهمگون بودن محتوای جابجا شده در این شبکه‌ها و سطح ریسک بالا در برخی از آنها (همانند اینترنت) و یا سطح امنیت و حساسیت بالای اطلاعات (همانند حراست) لازم است منطق تفکیک (جداسازی) در ارتباط با شبکه‌های ناهمگون رعایت گردد.  منطق تفکیک فراتر از مباحث VLan و بهره‌گیری از قابلیت‌های فایروال‌ها و سوئیچ‌ها در مدیریت شبکه است.

در بحث تفکیک شبکه‌های ناهمگون، دو روش اصلی قابل تصور است:

• تفکیک فیزیکی
• تفکیک منطقی

متدولوژی تفکیک شبکه‌های ناهمگون چگونه است؟

دو روش جداسازی فیزیکی و منطقی هر کدام ملزومات، نقاط قوت و ضعفی را دارند که به صورت خلاصه و به تفکیک می‌توان به موارد زیر اشاره کرد:

• تفکیک فیزیکیسطح امنیت کامل
  (دستیابی به سطح امنیت کامل نیازمند ایجاد زیرساخت مناسب برای تبادل فایل بین دو شبکه است.)
  نیازمند تجهیزات فیزیکی (شبکه + سیستم کاری اشخاص) مجزا برای شبکه ناهمگون تفکیک شده است.
  نیازمند سطح بودجه بسیار بالا و افزایش فعالیت‌های جاری پشتیبانی واحد فناوری اطلاعات است.
  
• تفکیک منطقیسطح امنیت قابل قبول
  (دستیابی به سطح امنیت قابل قبول به شرط استفاده از نرم افزار مناسب.)
  توانایی استفاده از شبکه موجود و عدم نیاز به توسعه شبکه مجزا
  سطح بودجه بسیار مناسب و دوری از ایجاد بار پشتیبانی مضاعف برای واحد فناوری اطلاعات.
  

در کنار مشخصات راهکارهای تفکیک منطقی و فیزیکی، از دیگر پارامترهای درگیر در انتخاب متدولوژی موثر تفکیک می‌توان به موارد زیر اشاره کرد:

• سطح حساسیت اطلاعات در شبکه ناهمگون
• نوع کاربری شبکه ناهمگون
• سطح آگاهی کاربران شبکه هدف
• میزان بودجه در دسترسی

با توجه به جمیع مباحث فوق، متدولوژی تفکیک شبکه‌های ناهمگون به صورت ترکیبی پیشنهاد می‌گردد. به عبارتی ترکیبی از راهکارهای جداسازی فیزیکی و منطقی مورد استفاده قرار خواهد گرفت.

راهکار ترکیبی به این معنا است که از تفکیک فیزیکی برای برخی شبکه‌های حساس ناهمگون، و از تفکیک منطقی برای سایر شبکه‌های ناهمگون استفاده خواهد شد.

شیوه کار در «ایناد» چگونه است؟

«ایناد» نامی برای کاربری تفکیک منطقی شبکه‌های ناهمگون در هایپروایزور بومی PVM است. PVM یک راهکار مطمئن و کاربردی جهت جداسازی منطقی شبکه‌های ناهمگون است.

در بحث تفکیک منطقی شبکه‌ی ناهمگون اینترنت از واژه «جداسازی منطقی اینترنت از شبکه داخلی» نیز استفاده می‌شود که باید اشاره کرد عنوان دقیقتر که گویای زوایای فنی و اجرایی کار هست «تفکیک منطقی شبکه‌های ناهمگون از جمله اینترنت» است.

تفکیک شبکه‌های ناهمگون یکی از دغدغه‌های رایج در بین سازمان‌های دولتی و خصوصی است. تفکیک منطقی شبکه‌های پرریسک همچون اینترنت، کمک زیادی به جلوگیری از انتشار بدافزارها/باج افزارها و ویروس‌ها در سطح سازمان و نشت اطلاعات از سازمان می‌کند.

یکی از راهکارهای کم‌هزینه، سریع و امن برای تفکیک منطقی شبکه‌های ناهمگون سامانه «PVM» است. PVM به عنوان اولین و تنها سامانه مجازی سازی بومی در کشور به عنوان یک محصول HighTech موفق به دریافت نشان دانش بنیان تولیدی نوع یک، تاییدیه امنیتی افتا و تاییدیه پدافند غیر عامل شده است.

لازم به ذکر است فرآیند اخذ تاییدیه افتا، با توجه به استانداردهای تدوین شده، موثر در افزایش امنیت، قدرت و پایداری سامانه PVM بوده است. روال تست امنیت روالی جاری است که حداقل هر دوسال یک بار تکرار شده و کلیه اجزای سامانه توسط آزمایشگاه‌های معتبر تست و بازبینی می‌شود.

سامانه «PVM» به دو روش APP Isolation و Desktop Isolation و با بهره‌گیری از دو تکنولوژی Full Virtualization  و Container عمل تفکیک شبکه‌های ناهمگون را انجام می‌دهد.

منطق عملکرد و هدف PVM، در تفکیک منطقی شبکه‌های ناهمگون، ایجاد محیط‌های ایزوله و امن است. کاربر با دسترسی به کنسول محیط ایزوله (مشاهده محیط گرافیکی فضای عملیاتی محیط ایزوله) اقدام به فعالیت در شبکه‌ی ناهمگون می‌کند:

• روش Desktop Isolation: یک دسکتاپ کامل در محیطی ایزوله و امن برای فعالیت در شبکه ناهمگون به کاربر اختصاص می‌یابد.
• روش App Isolation: صرفا یک Application مشخص مانند Chrome، Mozilla Firefox، Adobe Connect، Skype و … در محیط ایزوله امن در اختیار کاربر قرار می‌گیرد به صورتی‌که کاربر امکان اجرای هیچ برنامه دیگری را ندارد.

در حالت Desktop Isolation سامانه PVM امکان اعطای دسکتاپ کامل براساس سیستم عامل ویندوز (7، 10، 11) و لینوکس بدون محدودیت را دارد. همچنین در وضعیت App Isolation سامانه PVM قابلیت اعطای APP به صورت ویندوز پایه و لینوکس پایه را دارد.

قابلیت‌های ایناد

قابلیت‌های PVM در تفکیک شبکه‌‌ها ناهمگون به شرح زیر است:

• قابلیت Redirect تجهیزات USB از جمله Webcam و Token و … به محیط ایزوله با امکان Filtering تجهیزات مجاز.
• دارای سامانه Backup/Archive/Restore به صورت BuiltIN
• قابلیت Clustering/HA/Replication
• اعطای محیط‌های ایزوله در هر دو روش App/Desktop Isolation به صورت کاملا Freeze
• امکان اعطای فضای پروفایل (به منظور ذخیره اطلاعات بصورت ماندگار همچون Favourite, Book mark, User/Pass و …) به کاربر مشخص
• امکان گروه بندی محیط‌های ایزوله جهت مدیریت تنظیمات به صورت یکجا و از طریق گروه
• قابلیت پشتیبانی از انواع نرم‌افزارهای Accounting بدون محدودیت در اتصال
• قابلیت مدیریت اختصاصی منابع (پردازنده، حافظه جانبی و …) برای هر کاربر
• قابلیت جابجایی صدا (IN/OUT) و برگزاری جلسات ویدئو کنفرانس
• قابلیت اختصاص MAC Address و IP یکتا به هر کاربر
• قابلیت مدیریت انتقال Clipboard (فعال سازی/غیرفعال سازی)
• اتصال به کنسول محیط ایزوله در سطح VM-Bus و نبود ارتباط شبکه بین سیستم کاربر و محیط ایزوله
• امکان ایجاد و مدیریت الگوها با تنظیمات مختلف و اختصاصی
• امکان ساخت یکباره محیط‌های ایزوله به تعداد مورد نیاز
• قابلیت اتصال به اکتیو دایرکتوری و احراز هویت از طریق آن
• قابلیت پشتیبانی از انواع ThinClientها و کیس‌های Raspberry
• امکان مشاهده و کنترل لاگ‌های سیستم
• قابلیت ایجاد لایه‌های دفاعی برای انتقال اطلاعات به داخل و یا خارج سازمان
• دارای قابلیت استفاده از تمامی آنتی ویروس‌های موجود.
• دارای قابلیت حفاظت مناسب در برابر آلوده شدن شبکه توسط ویروس‌ها و باج افزارها.

در کاربرد تفکیک شبکه‌های ناهمگون «PVM»،  محیط‌های ایزوله به صورت Freeze در اختیار کاربران قرار می‌گیرد. در نتیجه کاربران امکان اعمال تغییر در تنظیمات سیستم عامل چه به صورت سهوی (از طریق ویروس ها و ..) و یا عمدی را نخواهند داشت.

در «PVM» تمامی به روز رسانی‌های امنیتی و یا تغییر در نرم‌افزارهای کاربران به صورت متمرکز و در سیستم عامل پایه و یک بار انجام و کلیه به‌روز رسانی‌ها برای تمامی کاربران اعمال می‌شود.

تبادل امن فایل در «ایناد» چگونه است؟

«ایناد» جهت تبادل امن اطلاعات بین شبکه های ناهمگون از زیرسامانه اختصاصی PVM با نام «فایلاد» استفاده می‌کند.  قابلیت‌های زیرساخت تبادل امن فایل در کاربری تفکیک شبکه‌های ناهمگون به شرح زیر است:

• قابلیت انتقال فایل بدون اتصال شبکه بین فضای اینترنت و سیستم کاربر.
• پشتیبانی از انواع آنتی ویروس‌ها/ آنتی باج افزارها/ DLPها به صورت Multi-Brand و همزمان جهت بررسی محتوای فایل‌های منتقل شده.
• امکان تعیین جهت انتقال فایل Upload / Download.
• قابلیت اعمال سیاست‌های انتقال فایل به ازای هر کاربر.
• قابلیت گزارش‌گیری از فایل‌های جابجا شده، اعلام کشف ویروس و حذف/اضافه کردن فایل.
• پشتیبانی از امکان حذف فایل‌های انتقالی با پسوند مورد نظر.

یکی از نکات بارز در زیرساخت تبادل امن فایل «ایناد» قابلیت استفاده از آنتی ویروس‌ها/ آنتی باج افزارها/ DLPها مورد نظر سازمان جهت بررسی مستندات و فایل‌های جابجا شده است. لازم به ذکر است «ایناد» مستقل از تعداد کاربران صرفا به یک نسخه تک کاربره از هر نرم‌افزار نیاز دارد.