چگونه از شبکه‌های گسترده نرم‌افزار‌محور به شکل ایمن محافظت کنیم؟

نسل جدید شعب سازمان‌های امروزی به انواع مختلفی از مکانیزم‌های ارتباطی نظیر ابر ترکیبی، اتصال مستقیم به اینترنت، SaaS، IaaS و BYOD نیاز دارند. این شعب برای انجام برخی فعالیت‌ها باید از طریق یک مکانیزم ارتباطی سریع و محلی به شبکه اصلی متصل شوند تا بتوانند به داده‌های بلادرنگ و برخی برنامه‌های کاربردی که روی شبکه اصلی میزبانی می‌شود دسترسی پیدا کنند. اتصالات سنتی مبتنی بر MPLS دو مشکل بزرگ دارند؛ اول آن‌که گران هستند و دوم آن‌که قابلیت‌های لازم برای پاسخ‌گویی به نیازهای کسب‌وکارهای دیجیتالی امروزی را ندارند. علاوه بر این، تلاش در جهت توسعه زیرساخت‌های سنتی متناسب با الزامات روز دنیای کسب‌وکار با مشکلات و محدودیت‌های زیادی همراه است. به همین دلیل سازمان‌ها به سراغ راه‌حل مبتنی بر SD-WAN رفته‌اند. سازمان‌ها برای آن‌که بتوانند از SD-WAN به شکل کارآمدی استفاده کنند باید شناخت دقیقی از چالش‌های امن‌سازی این فناوری داشته باشند و در ادامه از قابلیت‌های امنیتی ارائه شده توسط این فناوری یا هماهنگ با این فناوری به شکل دقیق استفاده کنند.

 اضافه کردن راه‌حل‌های امنیتی به SD-WAN ممکن است چالش برانگیز باشد

چابکی، انعطاف‌پذیری و بهبود عملکرد خدمات از مهم‌ترین دلایل محبوبیت SD-WAN هستند. با این‌حال، SD-WAN همانند سایر فناوری‌های مهم به مکانیزم‌های محافظتی قدرتمندی نیاز دارد تا مدیران با خیال آسوده بتوانند از آن استفاده کنند. بر اساس نظرسنجی گارتنر 72 درصد از پاسخ‌دهندگان اعلام کرده‌اند که امنیت اصلی‌ترین نگرانی آن‌ها در ارتباط با SD-WAN است، زیرا برخی فروشندگان راه‌حل‌های SD-WAN اطلاعات کافی در ارتباط با مکانیزم‌های امنیتی که از آن‌ها استفاده می‌کنند ارائه نمی‌کنند. عدم وجود اطلاعات کافی در این زمینه ممکن است پیامدهای ناگواری همچون سرقت اطلاعات را به همراه داشته باشد. با توجه به این‌که شبکه‌ها و دستگاه‌های شبکه از طریق واسط‌های مختلفی نظیر برنامه‌های تجاری سازمانی، تجهیزات هوشمند و نرم‌افزارهای ثالث به تبادل اطلاعات می‌پردازند، اگر هر یک از عناصر فعال یا غیرفعال شبکه، از اتصالات ابرمحور گرفته تا کاربران دورکار و تجهیزات اینترنت اشیا که قصد برقراری ارتباط با SD-WAN را دارند با مشکل امنیتی روبرو باشند، رخنه‌ای پدید می‌آورند که ممکن است زیرساخت ارتباطی یک سازمان را با چالش امنیتی جدی روبرو کنند. در حال حاضر بیش از 60 فروشنده SD-WAN فعال هستند که تنها از مکانیزم‌های پایه نظیر  دیوارهای آتش دارای حالت، شبکه خصوصی مجازی و رمزگذاری استفاده می‌کنند. متاسفانه، با توجه به وضعیت حاکم بر دنیای امنیت و چالش‌های امنیتی مختلفی که پیرامون سازمان‌ها قرار دارد، قابلیت‌های یاد شده برای محافظت از شعب مختلف یک سازمان کافی نیستند. سازمان‌ها برای کامل کردن لایه‌های امنیتی به خط‌مشی‌های دیگری نیاز دارند. برای محافظت از شعبی که قصد برقراری ارتباط با شبکه اصلی از طریق SD-WAN را دارند به مکانیزم‌های امنیتی دیگری همچون ابزارهای تحلیل‌کننده بدافزار، فیلترهای وب، جعبه شن، سامانه‌های تشخیص نفوذ و ابزارهای بازرسی ترافیک SSL نیاز است. سازمان‌ها برای آن‌که بتوانند از سرویس‌ها و ابزارهای یاد شده استفاده کنند باید بر مبنای یک برنامه‌ راهبردی پیچیده به فکر پیاده‌سازی این سرویس‌ها و ابزارهای امنیتی در شعب مختلف باشند. برخی از فروشندگان، مکانیزم‌هایی نظیر سامانه پیشگیری از نفوذ را در قالب یک کانتینر به SD-WAN اضافه کرده‌اند، با این‌حال مدیریت یک چنین مجموعه‌ای از فناوری‌ها و ابزارهای مختلف کار پیچیده‌ای است. بیشتر سازمان‌ها نیروی متخصص کافی برای پیاده‌سازی، تنظیم درست و مدیریت این ابزارهای امنیتی مضاعف ندارند، به ویژه هنگامی که قرار است این ابزارها در شعبه‌ای نصب شود که نیروی متخصص کمی در اختیار دارد. علاوه بر این، برخی سازمان‌ها ترجیح می‌دهند مکانیزم‌های امنیتی سنتی را به ساختار SD-WAN اضافه کنند که مشکلات دیگری نظیر ناسازگاری یا عدم انطباق را به وجود می‌آورد. 

مزایای استقرار SD-WAN ایمن

ایمن‌سازی SD-WAN عمدتا مبتنی بر استفاده از فناوری IPsec، تونل‌های شبکه خصوصی مجازی، دیوارهای آتش نسل بعدی و نظارت بر ترافیک شبکه استوار است. برای مقابله با تهدیدات امنیتی لازم است تا عملکردهای امنیتی شبکه به‌روزرسانی شوند و برخی از مکانیزم‌های امنیتی شبکه مجازی‌سازی شوند. SD-WAN به شرکت‌ها اجازه می‌دهد تا ویژگی‌های امنیتی قدرتمندی در لبه شبکه مستقر کنند و خط‌مشی‌های امنیتی را به سادگی در سراسر شبکه استفاده کنند. مدل‌های امنیتی سنتی برای پشتیبانی از رویکرد قلعه دیواری (walled castle approach) طراحی شده‌اند. بر مبنای این مدل تمامی داده‌ها، برنامه‌ها و کاربران یک شرکت در پشت یک دیوارآتش در یک مرکز داده فعالیت می‌کنند. مایکل لوسون، مدیر کل راه‌حل‌های معماری SD-WAN  شرکت CenturyLink می‌گوید: «با حرکت شرکت‌ها به فضای ابری، زیرساخت‌ها و برنامه‌ها از مرکز داده به لبه شبکه منتقل می‌شوند. به همین دلیل برخی لایه‌های امنیتی از دست می‌روند. با این‌حال، نباید از این نکته مهم غافل شویم که هر نقطه دسترسی و عنصر شبکه مستعد یک نقض امنیتی هستند.»SD-WAN  به مدیران فناوری اطلاعات اجازه می‌دهد با استفاده از تجهیزات SD-WAN که در مکان لبه قرار می‌گیرند خط‌مشی‌های امنیتی را به شکل دقیقی اعمال کنند. لوسون می‌گوید: «بیش از 60 درصد مشتریان فناوری SD-WAN به ویژگی‌های امنیتی پیشرفته نیاز دارند که به شکل بومی با این سرویس فعال شده باشد.» از جمله ویژگی‌های مهم امنیتی که مشتریان SD-WAN به آن نیاز دارند به موارد زیر می‌توان اشاره کرد:

1. خط‌مشی‌های امنیتی در صورت تقاضا

زمانی‌که مشتریان شناخت دقیقی از محیط عملیاتی داشته باشند، به شکل کارآمدتری قادر به پیاده‌سازی مکانیزم‌های امنیتی و استفاده بهینه از منابع هستند. سازمان‌ها تمایل دارند تا خط‌مشی‌های امنیتی را به شکل خودکار در محل یا در ابر مستقر کنند. لوسون می‌گوید: «شرکت‌ها تمایل دارند عملکردها را بر مبنای تقاضا و زمان تغییر دهند.»

2. رمزنگاری

نمونه روشنی از ویژگی‌های امنیتی که باید در محل مستقر شود، رمزگذاری است تا شعب مختلف به شکل ایمنی اطلاعات را مبادله کنند. 

3. محافظت در برابر حملات انکار سرویس توزیعی (DDoS)

محافظت در برابر حملات انکار سرویس توزیعی باید بر مبنای سرویس‌های ابرمحور استوار باشد. لوسون می‌گوید: «اگر خط‌مشی محافظت در برابر حملات انکار سرویس توزیعی را در محل سازمان مستقر کنید و سپس یک حمله DDoS را به شکل آزمایشی پیاده‌سازی کنید، خط‌مشی پیاده‌سازی شده به شکل موثر و دقیقی حمله را دفع می‌کند. یک سرویس ابرمحور می‌تواند با هدایت ترافیک مشکوک به سمت مکانیزم‌های امنیتی همچون ظرف عسل، این مدل حملات را شناسایی و دفع کند. »

4. مدیریت یکپارچه تهدیدات/ دیوارآتش

تجهیزات SD-WAN باید به ویژگی‌های مدیریت یکپارچه تهدیدات یا دیوارهای آتش نسل بعد تجهیز شده باشند تا بتوانند از شعب مختلف و شبکه ارتباطی سازمان به درستی محافظت کنند. 

5. هوش تهدید

برخی از فروشندگان SD-WAN به بانک‌های اطلاعاتی کارآمدی دسترسی دارند که اجازه می‌دهد در زمان مناسب تهدیدات را شناسایی و دفع کنند. سرویس‌های هوشمند با تحلیل الگوهای ترافیکی مشکوک به پیش‌بینی تهدیدات می‌پردازند و قبل از آن‌که تهدیدات شکل عینی به خود بگیرند، گزارشی برای مدیر شبکه ارسال می‌کنند. به‌طور مثال، شرکت CenturyLink یکی از کارآمدترین الگوریتم‌های هوشمند موجود در اینترنت را دارد. این الگوریتم‌های هوشمند به این شرکت اجازه می‌دهند ترافیک شبکه را به دقت زیر نظر بگیرد و هرگونه رفتار مشکوکی از جانب روبات‌ها، کامپیوترهای زامبی یا هکرها را به سرعت شناسایی کند و حملات را قبل از پیاده‌سازی دفع کند. جدیدترین فناوری ‌ایمن‌سازی شبکه‌ها که بیشتر فروشندگان SD-WAN چند وقتی است از آن استفاده می‌کنند سرویس دسترسی امن (SASE) سرنام Secure Access Service Edge است. SD-WAN و SAFE بر اساس اصول مجازی‌سازی و به‌کارگیری اتصالات چندگانه ساخته شده‌اند. با این‌حال، SASE بر مبنای رویکرد غیرمتمرکز بر شبکه نظارت می‌کند. SASE به جای آن‌که از توپولوژی مرسوم SD-WAN یعنی hub-and-spoke استفاده کند با توجه به موقعیت مکانی کاربران، آن‌ها را به نزدیک‌ترین نقطه موجود در شبکه که عملکردهای امنیتی و شبکه در آن فعال هستند، هدایت می‌کند. 

مبانی امنیتی SD-WAN: IPsec و شبکه‌های خصوصی مجازی‌

از آن‌جایی که SD-WAN علاوه بر اتصالات MPLS از اینترنت عمومی استفاده می‌کند، ضروری است که حداقل یک تونل شبکه خصوصی مجازی یا IPsec پیاده‌سازی شود تا اطمینان حاصل شود که ترافیک بین فرستنده و گیرنده به شکل ایمن مبادله می‌شوند. در زمان ساخت تونلی برای شبکه خصوصی مجازی باید الزامات زیر به دقت مورد توجه قرار گیرند: 

• احراز هویت فرستنده، گیرنده و بسته‌های ارسالی.
•  به‌کارگیری کلیدهای رمزگذاری که قبلا توسط میزبانان برای ارسال و دریافت داده‌ها به‌اشتراک قرار گرفته است. 
•  به‌کارگیری پروتکل ESP سرنام Encapsulating Security Payload برای اطمینان از این‌که بسته‌ها دستکاری نشده‌اند.
•  به‌کارگیری سرآیند تایید اعتبار (AH) سرنام Authentication Header که سرآیند IP را برای تایید منبع اصلی بسته‌ها بررسی می‌کند. 

قابلیت مشاهده 

یک مزیت بزرگ SD-WAN نسبت به شبکه‌های گسترده سنتی قابلیت مشاهده‌ای است که ارائه می‌کند. در این حالت اپراتور مربوطه می‌تواند شبکه را به صورت متمرکز مدیریت و پیکربندی کند و هرگونه عدم تطابقی میان ترافیک مبادله شده را به دقت زیر نظر بگیرد. با استفاده از قابلیت فوق، مدیران شبکه می‌توانند از عملکرد دقیق برنامه‌ها اطمینان حاصل کنند، مشکلات شبکه را عیب‌یابی کنند و مطمئن شوند که مولفه‌ها و خط‌مشی‌های امنیتی به شکل درستی کار می‌کنند. با این حال، تمامی فروشندگان SD-WAN قابلیت دید یکسانی ارائه نمی‌کنند. برخی از فروشندگان سطح دیدی در حد دستگاه/کاربر ارائه می‌کنند، در حالی که برخی دیگر این قابلیت را محدود به سطح برنامه‌های کاربردی می‌کنند. اطلاعاتی که SD-WAN از کاربر، دستگاه یا برنامه جمع‌آوری می‌کند در شناخت دقیق این‌که آیا ترافیک از منبع معتبری دریافت شده یا از یک منبع مشکوک، کمک فراوانی می‌کند. 

قابلیت مشاهده ترافیک شبکه در سطح برنامه به مدیران شبکه جزییات مربوط به این‌که چه برنامه‌هایی از پهنای باند استفاده می‌کنند، چه میزان منابعی را استفاده می‌کنند و چه عملکردی دارند ارائه می‌دهد. سرپرستان شبکه برای پیاده‌سازی دقیق خط‌مشی‌های امنیتی و محدود کردن دسترسی برنامه‌ها یا آدرس‌های آی‌پی کاربران به ویژگی فوق نیاز دارند. علاوه بر این، تقریبا تمام ویژگی‌های امنیتی مهم SD-WAN به عملکرد این مولفه وابسته هستند، زیرا قابلیت فوق می‌تواند به شکل مستقیم با ترافیک عبوری میان گره‌های مختلف در ارتباط باشد. با این‌حال، به این نکته مهم دقت کنید که دیوارهای آتش نسل بعدی به ویژگی فوق متکی نیستند، زیرا دائما در حال تجزیه و تحلیل ترافیک عبوری هستند. قابلیت مشاهده در سطح دستگاه فراتر از نشان دادن داده‌ها در ارتباط با برنامه‌هایی است که ترافیک را ایجاد کرده‌اند، اما محدود به دستگاه و کاربری است که از آن برنامه استفاده می‌کند. قابلیت مشاهده در سطح دستگاه‌ به سرپرستان شبکه اجازه می‌دهد تا خط‌مشی‌های امنیتی بیشتری در شبکه اعمال کنند. این خط‌مشی‌ها می‌توانند در ارتباط با گروه‌بندی کاربران، تعیین سطح دسترسی آن‌ها به شبکه و کاری باشد که انجام می‌دهند.

دیوارهای آتش نسل بعدی در خدمت امنیت SD-WAN

دیوارآتش نسل بعدی (NGFW) عنصر اصلی تامین امنیت SD-WAN است. دیوارآتش نسل بعدی که در شعب و مکان‌های اصلی مستقر می‌شود، یک نسخه مجازی و بهبود یافته دیوارهای آتش سخت‌افزاری است. دیوارآتش نسل بعدی عملکردهای مهم شبکه مجازی (VNFs) نظیر آگاهی برنامه، تشخیص و پیشگیری از نفوذ، فیلتر محتوا و آدرس‌های اینترنتی،  تشخیص بدافزار و مکانیزم‌های محافظتی استفاده شده توسط ضدویروس‌ها را اجرا می‌کند. دیوارهای آتش نسل بعدی و عملکردهای شبکه مجازی (VNFs) که توسط شبکه‌های گسترده نرم‌افزار‌محور استفاده می‌شوند را می‌توان در ابر یا به شکل درون‌سازمانی اجرا کرد (شکل زیر). 

ریز تقسیم‌بندی

در شبکه گسترده نرم‌افزار‌محور می‌توان ترافیک میان برنامه‌های مختلف را بر مبنای ویژگی‌های آن‌ها و خط‌مشی‌های تعیین شده توسط سرپرست شبکه تقسیم کرد. تقسیم‌بندی به معنای ساخت شبکه‌های مجازی درون SD-WAN است. تقسیم‌بندی اجازه می‌دهد ترافیک برنامه‌ها یا گروهی از برنامه‌ها را تفکیک کرد تا اگر حمله‌ای اتفاق افتاد، آسیب‌ها به حداقل برسد و امکان ارائه برخی خدمات فراهم شود، برای هر بخش خط‌مشی‌های مختلفی اعمال کرد، ترافیک را متناسب با بار کاری به بخش‌ها تخصیص داد و ترافیک خاصی را برای بخش‌ها تعیین کرد. به‌طور مثال، بخش‌هایی با سطح امنیت پایین نتوانند به اطلاعات حساس دسترسی داشته باشند.