وب سایت آموزشی ، تحقیقاتی


به نام خدا

من مسعود معاونی هستم دارای دانشنامه کارشناسی کامپیوتر در گرایش نرم افزار هستم وهم اکنون در مقطع ارشد در رشته امنیت اطلاعات مشغول به تحصیل هستم .

اطلاعات بیشتر ......


« زنجیره ای از ابزارهای امنیتی در یک DMZ با نظارت درون خطی محصولات big switch :

Big Switch

Big Switch

اصل مقاله و ترجمه این مقاله را از لینک زیر دریافت کنید :

مقله اصلی فایل پی دی اف                  ترجمه مقاله فایل پی دی اف

زنجیره ای از ابزارهای امنیتی در یک DMZ با نظارت درون خطی محصولات big switch :

___________________

مشاهده قابلیت های شبکه و کاهش تهدیدات پویا

تامین  امنیت شبکه های شرکت های بزرگ و هم چنین دارایی های آنلاین از اهمیت فوق العاده ای برای هر سازمان مدرن برخوردار است . همیشه افزایش اتکا به شبکه برای عملیات حیاتی هر کسب و کاری مهم است و این اهمیت منجر به افزایش تهدیدات سایبری[۱] گردیده است .

همواره تضادهای در تیم های طراحی شبکه و امنیت وجود دارد چرا که تیم های شبکه به دنبال طراحی ایده آل با حفظ عملکرد بالا و انعطاف پذیری و دسترسی همیشگی هستند درحالی که اطمینان ، سازگاری و امنیت در برابر نفوذ و تهدیدات ازویژگی هایی  است که تیم های امنیتی به دنبال آن می باشند .

تیم های طراحی امنیت شبکه برای دستیابی یک جا به تمامی اهداف فوق به دنبال جداسازی مناطق قابل اعتماد[۲] از مناطق غیرقابل اطمینان[۳] هستند و به دنبال استقرار ابزارهای امنیتی و نظارت بر یک شبکه در یک محیط DMZ (بین دومنطقه) هستند . ابزارهای امنیتی می توانند هر بسته ای را که از منطقه مورد اعتماد به غیر قابل اطمینان می رود را پیگیری کنند و به صورت فعالانه به ارزیابی آن پرداخته و جلوی نفوذها را بگیرند .

در این متن ما به بررسی مانیتورینگ محصولات big (در حالت درون خطی) می پردازیم که می تواند در یک دسترسی سطح بالا مستقر شده و پیکربندی را قادر می کند تا تهدیدات را کاهش داده و برای چالش های سنتی که ما با آن مواجه هستیم راه حل های کم هزینه تر ، ساده تر و بر محور SDN ارائه دهد .

استقرار ابزار در داخل یک DMZ در روش سنتی :

به طور سنتی، تیم های امنیتی دو روش برای استقرار درون خطی چندگانه برای تجزیه و تحلیل ترافیک تولیدی در شبکه DMZ  استفاده می کردند :

روش ۱ :

قرار دادن ابزار خطی به صورت ترتیبی در بین گره ها . به همان صورتی که در شکل ۱ نشان داده شده است . در این شیوه چندین چالش وجود دارد :

روش ۲ :

پیکر بندی پیچیده بر پایه مسیریابی WCCP یا بر پایه سیاست های مسیریابی( PBR) برای مدیریت ترافیک . در حالی که در نگاه سطحی این طرح چابک به نظر می رسد اما دارای مجموعه ای از چالش ها می باشد :

ملاحظات کلیدی در عملیات  :

مباحث بالا نیازهای کلیدی را برای ابزارهای مدیریت امنیت داخلی در یک DMZ برجسته کرد و هم چنین چالش های استقرار طرح های سنتی را نشان داد . به طور خلاصه :

       رویکرد Big switch  : مانیتورینگ داخلی محصولات Big با سوئیچ های SDN قابل برنامه ریزی :

کنترل  درون خطی محصولات Big باعث می شود که امنیت به صورت فراگیر در DMZ اجرا شده و راه حل هایی برای چالش های سنتی آدرس ها با هزینه کم و سادگی مناسب بر محور SDN بوجود آید . مانیتورینگ محصولات Big متشکل از یک کنترلر و سوئیچ های باز اترنت که دسترسی بالایی دارند می باشد . ابزارهای امنیت درون خطی به طور مستقیم به سوئیچ های اترنت متصل می شوند .(به صورت اختیاری از طریق تجمع لینک) .

اهرم مانیتور محصولات Big  ، کنترلر می باشد که به عنوان نقطه مرکزی مدیریت و پیکربندی سیاست های مسیریابی از طریق ابزارهای درون خطی مطرح می باشد و هم چنین شامل مجموعه ای از ابزارهای زنجیره ای متکی بر سیایت های پایه می باشد . در نتیجه مانیتورینگ محصولات درون خطی به چالش کلیدی عملیات مرتبط با استقرار ابزارهای امنیتی در DMZ مطرح می باشد .

شکل ۲ : استقرار ابزار امنیتی در DMZ با محصولات مانیتورینگ درون خطی Big

A : جدایی امنیت و زیر ساخت های مدیریت شبکه با استفاده از SDN :

مانیتورینگ درون خطی محصولات Big مشکلات روش های سنتی شبکه و مدیران امنیتی با استقرار ساده و مدیریت چند خطی امنیت یا ابزارهای آنالیزی داخل محصولات شبکه را برطرف می کند . همان طور که در شکل ۲ نشان داده شده است سوئیچ های مانیتورینگ درون خطی Big توسط یک جفت کنترلر مدیریت می شوند . این معماری اجازه می دهد تا یک جدایی شفاف از قوانین بین شبکه و مدیران امنیتی صورت پذیرد . ابزارها و قوانین حاکم بر جریان ترافیک از طریق ابزارهای مدیریتی بوسیله تیم مدیریتی اعمال می شوند . این درحجالی است که مدیریت و رسیدگی به شبکه وظیفه تیم شبکه می باشد .

B : استفاده از ابزار بهینه برای متعادل کردن بار و خدمات زنجیره ای :

محصولات مانیتورینگ درون خطی Big از زنجیره ای از ابزارهای پشتیبانی می کنند که برای ترافیک ورودی و خروجی در DMZ مناسب می باشند . ابزارها می توانند ورودی را در مقابل جریان خروجی به صورت نامتقارن انتخاب کنند . جریان ترافیک می تواند به موازنه پهنای باندهای پایین ابزارها بپردازد .

برای بهینه سازی ابزارها ، مدیران از ارسال ترافیک لازمه استفاده می کنند . علاوه بر این یک تصمیم با توجه به یک جریان خاص ساخته می شود و ابزارها می توانند تصمیم های خارج از بار را برنامه ریزی کنند (بوسیله برنامه کاربردی REST) ، ابزارها این کار را از طریق Drop یا Pass کردن جریان انجام می دهند . هم چنین برای کارآمدتر شدن ابزارها اشتراک گذاری ابزارها در سراسر زنجیره با یکدیگر کاملا متفاوت خواهد بود .

C : طراحی محصول انعطاف پذیر در به کارگیری HA :

یکی دیگر از نکات کلیدی در استقرار این است که  به شکست های درون خطی ابزارها رسیدگی کنیم . محصول های مانیتورینگ Big درون خطی بر پایه ARP هستند که به بررسی سلامت ابزار و شکست های ابزار می پردازند . سازمان های مختلف دارای معماری های HA متفاوتی هستند و بر این اساس دارای استراتژی ها و مدل های رابط مرتبط با آن ها می باشند . به طور خلاصه در ادامه به موارد کلیدی در این زمینه پرداخته خواهد شد :

با محصولات مانیتورینگ درون خطی Big توصیه می شود که آدرس های معماری در این شرایط استقرار داده شوند .

مانیتورینگ درون خطی Big : یک جایگزین امن برای سوئیچ های جانبی

بسته های کارگزار در شبکه های سنتی (NPB) از راه حل های ابزارهای درون خطی زنجیری حمایت  می کنند و با قابلیت متعادل کردن بار برخی مواقع به پشتیبانی از سخت افزارهای جانبی می پردازند . در این صورت سخت افزار سوئیچ های فرعی ، اگر یک سوئچ دچار شکست شود همه ابزارها دچار مشکل می شوند (شکست باز [۱۰]) و یا تمام ترافیک در یک چاله سیاه[۱۱] قرار خواهد گرفت (شکست بسته[۱۲] ) . بنابراین سازمان در مقابل ترافیک غیر مطمئن بی دفاع خواهد بود . حتی در حالتی که سوئیچ سخت افزاری جانبی مستقر شود ، مداخله دستی برای جلوگیری از شکست نیاز است .

استقرار جفت سوئیچ های کنترلر باز اترنت SDN در مقایسه با سوئیچ های سخت افزاری فرعی امن تر است . این سوئیچ ها با استفاده از ASIC مشابه ، که همان سوئیچ های قابل اعتماد در مقیاس بزرگ در شبکه های تولیدی هستند ، پیاده سازی می شوند .

سناریو شکست ابزار . محصولات مانیتورینگ Big از هردو استقرار طراحی شکست باز و بسته پشتیبانی می کنند . اگر یک ابزار دچار شکست اجباری شود . سوئیچ Big سمت شکست خورده را پایین می آورد و لینک های تولیدی مجبور می شوند ترافیک را به سمت سوئیچ های دیگر که در آن ها ابزارهای امنیتی وجود دارند انتقال می دهند . مانیتورینگ Big گزینه ای برای پیکربندی مسیرداده در هر نمونه از ابزار را فراهم می کند .

به صورت پیش فرض شکست ها در هر فاصله ای از ابزارها باشند به مدیریت هشدار می دهند . هم چنین گزینه ای برای جبران شکست و کنترل خطا ارائه می شود . این هم یک قابلیت برای ابزارها با API  ، REST فراهم می کند .

نتایج :

محصولات مانیتورینگ Bigدرون خطی می تواند در یک استقرار با دسترسی بالا (HA) به فعال کردن امنیت فراگیردر DMZ بپردازد و چالش آدرس ها را در روش سنتی حل نماید و  این کار با هزینه کم تر و بر اساس SDN به سادگی انجام می شود .

راه حل طراحی شده برای اطمینان از حداکثر انعطاف پذیری در شبکه برخوردار بوده و دسترسی بالا و مقابله با شکست که مورد نیاز مدیران امنیت و شبکه است را فراهم می آورد . با استفاده از کنترل SDN متمرکز و قابل برنامه ریزی امکان طراحی چندین گردش عملیاتی وجود خواهد داشت و  بهینه سازی ابزار از طریق بازخورد خودکار صورت می پذیرد .

هنگامی که قابلیت ترکیب و پشتیبانی محصولات مانیتورینگ Big در اختیار مدیران شبکه و امنیت قرار گیرد آن ها می توانند به یک دید فراگیر نسبت به زیرساخت های فناوری موجود خود دست یابند .

درباره Big Switch :

شبکه های Big Switch یک رهبر در بازار فن آوری های شبکه و دیتا سنترها می باشد که مخاطبان گسترده ای دارد . این شرکت ، فناوری سوئیچ های باز اترنت و SDN و نرم افزارهای کنترلی را بر روی محصولات خود ارائه داده که برای ارائه دهندگان ابر و ارائه دهندگان خدمات قابل استفاده می باشد .

www.bigswitch.com

 

ترجمه و گردآوری : مسعود معاونی

www.moaveni.ir

Tel : 0915 322 78 58

[۱] Cyber threats

[۲] Trusted

[۳] Untrusted

[۴] Down

[۵] Edge

[۶] Stable

[۷] Active –  Active

[۸] Active – Standby

[۹] Redundancy

[۱۰] Open Fail

[۱۱] Black Hole

[۱۲] Close Fail

your ad here

نظری بدهید