وب سایت آموزشی ، تحقیقاتی

moaveni

به نام خدا

من مسعود معاونی هستم دارای دانشنامه کارشناسی کامپیوتر در گرایش نرم افزار هستم وهم اکنون در مقطع ارشد در رشته امنیت اطلاعات مشغول به تحصیل هستم .

اطلاعات بیشتر ......


« زنجیره ای از ابزارهای امنیتی در یک DMZ با نظارت درون خطی محصولات big switch :

Big Switch

Big Switch

اصل مقاله و ترجمه این مقاله را از لینک زیر دریافت کنید :

مقله اصلی فایل پی دی اف                  ترجمه مقاله فایل پی دی اف

زنجیره ای از ابزارهای امنیتی در یک DMZ با نظارت درون خطی محصولات big switch :

___________________

مشاهده قابلیت های شبکه و کاهش تهدیدات پویا

تامین  امنیت شبکه های شرکت های بزرگ و هم چنین دارایی های آنلاین از اهمیت فوق العاده ای برای هر سازمان مدرن برخوردار است . همیشه افزایش اتکا به شبکه برای عملیات حیاتی هر کسب و کاری مهم است و این اهمیت منجر به افزایش تهدیدات سایبری[۱] گردیده است .

همواره تضادهای در تیم های طراحی شبکه و امنیت وجود دارد چرا که تیم های شبکه به دنبال طراحی ایده آل با حفظ عملکرد بالا و انعطاف پذیری و دسترسی همیشگی هستند درحالی که اطمینان ، سازگاری و امنیت در برابر نفوذ و تهدیدات ازویژگی هایی  است که تیم های امنیتی به دنبال آن می باشند .

تیم های طراحی امنیت شبکه برای دستیابی یک جا به تمامی اهداف فوق به دنبال جداسازی مناطق قابل اعتماد[۲] از مناطق غیرقابل اطمینان[۳] هستند و به دنبال استقرار ابزارهای امنیتی و نظارت بر یک شبکه در یک محیط DMZ (بین دومنطقه) هستند . ابزارهای امنیتی می توانند هر بسته ای را که از منطقه مورد اعتماد به غیر قابل اطمینان می رود را پیگیری کنند و به صورت فعالانه به ارزیابی آن پرداخته و جلوی نفوذها را بگیرند .

در این متن ما به بررسی مانیتورینگ محصولات big (در حالت درون خطی) می پردازیم که می تواند در یک دسترسی سطح بالا مستقر شده و پیکربندی را قادر می کند تا تهدیدات را کاهش داده و برای چالش های سنتی که ما با آن مواجه هستیم راه حل های کم هزینه تر ، ساده تر و بر محور SDN ارائه دهد .

استقرار ابزار در داخل یک DMZ در روش سنتی :

به طور سنتی، تیم های امنیتی دو روش برای استقرار درون خطی چندگانه برای تجزیه و تحلیل ترافیک تولیدی در شبکه DMZ  استفاده می کردند :

روش ۱ :

قرار دادن ابزار خطی به صورت ترتیبی در بین گره ها . به همان صورتی که در شکل ۱ نشان داده شده است . در این شیوه چندین چالش وجود دارد :

روش ۲ :

پیکر بندی پیچیده بر پایه مسیریابی WCCP یا بر پایه سیاست های مسیریابی( PBR) برای مدیریت ترافیک . در حالی که در نگاه سطحی این طرح چابک به نظر می رسد اما دارای مجموعه ای از چالش ها می باشد :

ملاحظات کلیدی در عملیات  :

مباحث بالا نیازهای کلیدی را برای ابزارهای مدیریت امنیت داخلی در یک DMZ برجسته کرد و هم چنین چالش های استقرار طرح های سنتی را نشان داد . به طور خلاصه :

       رویکرد Big switch  : مانیتورینگ داخلی محصولات Big با سوئیچ های SDN قابل برنامه ریزی :

کنترل  درون خطی محصولات Big باعث می شود که امنیت به صورت فراگیر در DMZ اجرا شده و راه حل هایی برای چالش های سنتی آدرس ها با هزینه کم و سادگی مناسب بر محور SDN بوجود آید . مانیتورینگ محصولات Big متشکل از یک کنترلر و سوئیچ های باز اترنت که دسترسی بالایی دارند می باشد . ابزارهای امنیت درون خطی به طور مستقیم به سوئیچ های اترنت متصل می شوند .(به صورت اختیاری از طریق تجمع لینک) .

اهرم مانیتور محصولات Big  ، کنترلر می باشد که به عنوان نقطه مرکزی مدیریت و پیکربندی سیاست های مسیریابی از طریق ابزارهای درون خطی مطرح می باشد و هم چنین شامل مجموعه ای از ابزارهای زنجیره ای متکی بر سیایت های پایه می باشد . در نتیجه مانیتورینگ محصولات درون خطی به چالش کلیدی عملیات مرتبط با استقرار ابزارهای امنیتی در DMZ مطرح می باشد .

شکل ۲ : استقرار ابزار امنیتی در DMZ با محصولات مانیتورینگ درون خطی Big

A : جدایی امنیت و زیر ساخت های مدیریت شبکه با استفاده از SDN :

مانیتورینگ درون خطی محصولات Big مشکلات روش های سنتی شبکه و مدیران امنیتی با استقرار ساده و مدیریت چند خطی امنیت یا ابزارهای آنالیزی داخل محصولات شبکه را برطرف می کند . همان طور که در شکل ۲ نشان داده شده است سوئیچ های مانیتورینگ درون خطی Big توسط یک جفت کنترلر مدیریت می شوند . این معماری اجازه می دهد تا یک جدایی شفاف از قوانین بین شبکه و مدیران امنیتی صورت پذیرد . ابزارها و قوانین حاکم بر جریان ترافیک از طریق ابزارهای مدیریتی بوسیله تیم مدیریتی اعمال می شوند . این درحجالی است که مدیریت و رسیدگی به شبکه وظیفه تیم شبکه می باشد .

B : استفاده از ابزار بهینه برای متعادل کردن بار و خدمات زنجیره ای :

محصولات مانیتورینگ درون خطی Big از زنجیره ای از ابزارهای پشتیبانی می کنند که برای ترافیک ورودی و خروجی در DMZ مناسب می باشند . ابزارها می توانند ورودی را در مقابل جریان خروجی به صورت نامتقارن انتخاب کنند . جریان ترافیک می تواند به موازنه پهنای باندهای پایین ابزارها بپردازد .

برای بهینه سازی ابزارها ، مدیران از ارسال ترافیک لازمه استفاده می کنند . علاوه بر این یک تصمیم با توجه به یک جریان خاص ساخته می شود و ابزارها می توانند تصمیم های خارج از بار را برنامه ریزی کنند (بوسیله برنامه کاربردی REST) ، ابزارها این کار را از طریق Drop یا Pass کردن جریان انجام می دهند . هم چنین برای کارآمدتر شدن ابزارها اشتراک گذاری ابزارها در سراسر زنجیره با یکدیگر کاملا متفاوت خواهد بود .

C : طراحی محصول انعطاف پذیر در به کارگیری HA :

یکی دیگر از نکات کلیدی در استقرار این است که  به شکست های درون خطی ابزارها رسیدگی کنیم . محصول های مانیتورینگ Big درون خطی بر پایه ARP هستند که به بررسی سلامت ابزار و شکست های ابزار می پردازند . سازمان های مختلف دارای معماری های HA متفاوتی هستند و بر این اساس دارای استراتژی ها و مدل های رابط مرتبط با آن ها می باشند . به طور خلاصه در ادامه به موارد کلیدی در این زمینه پرداخته خواهد شد :

با محصولات مانیتورینگ درون خطی Big توصیه می شود که آدرس های معماری در این شرایط استقرار داده شوند .

مانیتورینگ درون خطی Big : یک جایگزین امن برای سوئیچ های جانبی

بسته های کارگزار در شبکه های سنتی (NPB) از راه حل های ابزارهای درون خطی زنجیری حمایت  می کنند و با قابلیت متعادل کردن بار برخی مواقع به پشتیبانی از سخت افزارهای جانبی می پردازند . در این صورت سخت افزار سوئیچ های فرعی ، اگر یک سوئچ دچار شکست شود همه ابزارها دچار مشکل می شوند (شکست باز [۱۰]) و یا تمام ترافیک در یک چاله سیاه[۱۱] قرار خواهد گرفت (شکست بسته[۱۲] ) . بنابراین سازمان در مقابل ترافیک غیر مطمئن بی دفاع خواهد بود . حتی در حالتی که سوئیچ سخت افزاری جانبی مستقر شود ، مداخله دستی برای جلوگیری از شکست نیاز است .

استقرار جفت سوئیچ های کنترلر باز اترنت SDN در مقایسه با سوئیچ های سخت افزاری فرعی امن تر است . این سوئیچ ها با استفاده از ASIC مشابه ، که همان سوئیچ های قابل اعتماد در مقیاس بزرگ در شبکه های تولیدی هستند ، پیاده سازی می شوند .

سناریو شکست ابزار . محصولات مانیتورینگ Big از هردو استقرار طراحی شکست باز و بسته پشتیبانی می کنند . اگر یک ابزار دچار شکست اجباری شود . سوئیچ Big سمت شکست خورده را پایین می آورد و لینک های تولیدی مجبور می شوند ترافیک را به سمت سوئیچ های دیگر که در آن ها ابزارهای امنیتی وجود دارند انتقال می دهند . مانیتورینگ Big گزینه ای برای پیکربندی مسیرداده در هر نمونه از ابزار را فراهم می کند .

به صورت پیش فرض شکست ها در هر فاصله ای از ابزارها باشند به مدیریت هشدار می دهند . هم چنین گزینه ای برای جبران شکست و کنترل خطا ارائه می شود . این هم یک قابلیت برای ابزارها با API  ، REST فراهم می کند .

نتایج :

محصولات مانیتورینگ Bigدرون خطی می تواند در یک استقرار با دسترسی بالا (HA) به فعال کردن امنیت فراگیردر DMZ بپردازد و چالش آدرس ها را در روش سنتی حل نماید و  این کار با هزینه کم تر و بر اساس SDN به سادگی انجام می شود .

راه حل طراحی شده برای اطمینان از حداکثر انعطاف پذیری در شبکه برخوردار بوده و دسترسی بالا و مقابله با شکست که مورد نیاز مدیران امنیت و شبکه است را فراهم می آورد . با استفاده از کنترل SDN متمرکز و قابل برنامه ریزی امکان طراحی چندین گردش عملیاتی وجود خواهد داشت و  بهینه سازی ابزار از طریق بازخورد خودکار صورت می پذیرد .

هنگامی که قابلیت ترکیب و پشتیبانی محصولات مانیتورینگ Big در اختیار مدیران شبکه و امنیت قرار گیرد آن ها می توانند به یک دید فراگیر نسبت به زیرساخت های فناوری موجود خود دست یابند .

درباره Big Switch :

شبکه های Big Switch یک رهبر در بازار فن آوری های شبکه و دیتا سنترها می باشد که مخاطبان گسترده ای دارد . این شرکت ، فناوری سوئیچ های باز اترنت و SDN و نرم افزارهای کنترلی را بر روی محصولات خود ارائه داده که برای ارائه دهندگان ابر و ارائه دهندگان خدمات قابل استفاده می باشد .

www.bigswitch.com

 

ترجمه و گردآوری : مسعود معاونی

www.moaveni.ir

Tel : 0915 322 78 58

[۱] Cyber threats

[۲] Trusted

[۳] Untrusted

[۴] Down

[۵] Edge

[۶] Stable

[۷] Active –  Active

[۸] Active – Standby

[۹] Redundancy

[۱۰] Open Fail

[۱۱] Black Hole

[۱۲] Close Fail

your ad here

نظری بدهید