امنیت شبکه چیست؟
امنیت شبکه، یک حوزه تخصصی در امنیت سایبری، شامل سیاستها، رویهها و فناوریهایی است که سازمانها برای محافظت از شبکهها و هر گونه دارایی یا ترافیک شبکه از آن استفاده میکنند. صرف نظر از صنعت یا اندازه، همه سازمان ها باید در برابر تهدیداتی مانند از دست دادن داده ها، دسترسی غیرمجاز و حملات مبتنی بر شبکه آماده شوند.ما در این مقاله به معرفی امنیت شبکه در سال ۲۰۲۳ می پردازیم:
امنیت شبکه برای محافظت از زیرساختها و داراییهای حیاتی تجاری، به حداقل رساندن سطح حمله و جلوگیری از حملات پیشرفته بسیار مهم است. راه حل های امنیتی شبکه از یک رویکرد لایه ای برای محافظت از شبکه ها در داخل و خارج استفاده می کنند. آسیبپذیریها در بسیاری از زمینهها، از جمله دستگاههای نقطه پایانی، کاربران، برنامهها و مسیرهای داده وجود دارند.
در سال های اخیر سازمان ها و شبکه ها تغییر کرده اند. محیط مدرن فناوری اطلاعات با رشد ابر، محاسبات لبه و اینترنت اشیا (IoT) توزیع شده است. انتقال گسترده به کار از راه دور نیز چالش های امنیتی جدیدی ایجاد کرده است. در دهه ۲۰۲۰، امنیت شبکه باید از محیط سنتی شبکه فراتر رود تا رویکرد امنیتی بدون اعتماد را اتخاذ کند.
تهدیدات رایج امنیت شبکه
۱-حملات سایبری
حملات سایبری حملاتی هستند که توسط یک مجرم سایبری یک یا چند شبکه یا ماشین کامپیوتری را هدف قرار می دهند. حملات سایبری می توانند اقدامات مخربی مانند غیرفعال کردن رایانه ها، سرقت داده ها یا استفاده از رایانه های آلوده به عنوان محوری برای انجام حملات بیشتر انجام دهند. مهاجمان از روشهای مختلفی برای اجرای حملات سایبری استفاده میکنند، از جمله تکنیکهای مهندسی اجتماعی مانند فیشینگ، تکنیکهای brute force، انکار سرویس (DoS)، و تزریق بدافزار یا باجافزار.
۲-فیشینگ
این روش کلاهبرداری آنلاین تلاش می کند تا داده های حساس مانند جزئیات کارت اعتباری و اعتبارنامه ها را به دست آورد. یک حمله فیشینگ از پیامهای ایمیل تقلبی استفاده میکند که با جعل هویت یک موسسه بانکی معتبر، وبسایت یا مخاطب شخصی، قانونی به نظر میرسند. این کاربر را فریب می دهد تا روی یک URL مخرب کلیک کند یا با ارسال اطلاعات مالی و اعتباری به ایمیل پاسخ دهد.
۳-اکسپلویت های پیکربندی نادرست
پیکربندی نادرست امنیتی هر گونه پیکربندی نادرست یا ناایمن کنترل های امنیتی است که سیستم را در معرض خطر قرار می دهد. شیوههای مدیریت ضعیف مانند اسناد ناکافی تغییرات پیکربندی، تکیه بر پیشفرضها و مسائل فنی مؤثر بر اجزای نقطه پایانی میتواند منجر به پیکربندی نادرست شود.
خطاهای پیکربندی ممکن است به دلایل مختلفی رخ دهد – یک زیرساخت شبکه مدرن پیچیده است و دائما در حال تغییر است. سازمانها اغلب تنظیمات امنیتی مهم، مانند تنظیمات پیشفرض برای دستگاههای شبکه را نادیده میگیرند.یک بار ایمن کردن پیکربندیهای نقطه پایانی کافی نیست – سازمانها باید به طور دورهای پیکربندیها و کنترلهای امنیتی را برای شناسایی انحراف بررسی کنند. پیکربندی نادرست اغلب از افزودن دستگاه های جدید به شبکه یا اصلاح و وصله سیستم ها ناشی می شود.
۴-انکار سرویس (DoS)
حملات DoS از دسترسی کاربران قانونی به داده ها یا خدمات در یک وب سایت هدف جلوگیری می کند. آنها زمانی رخ می دهند که یک مهاجم مخرب وب سایت را با ترافیک ناخواسته بارگذاری می کند.حملات انکار سرویس توزیع شده (DDoS) مشابه DoS هستند اما غلبه بر آنها دشوارتر است. مهاجمان یک حمله DDoS را از چندین رایانه که در سراسر جهان در شبکه ای از ماشین های آلوده توزیع شده است، انجام می دهند.
۵-بد افزار
بدافزار مخفف نرم افزار مخرب است. مهاجمان معمولاً از آن برای به دست گرفتن کنترل سیستم هدف، استخراج داده های حساس یا نصب برنامه های ناخواسته بر روی دستگاه مورد نظر بدون اطلاع قربانی استفاده می کنند. بدافزارها میتوانند جاسوسافزارها، کرمها و اسبهای تروجان را از طریق تبلیغات پاپآپ، فایلهای در معرض خطر، وبسایتهای تقلبی یا ایمیلهای فیشینگ پخش کنند.
۶-باج افزار
باج افزار نوعی بدافزار است که مجرمان سایبری از آن برای قفل کردن دستگاه مورد نظر و درخواست باج در ازای باز کردن قفل آن استفاده می کنند. از طریق برنامههای مخرب و ایمیلهای فیشینگ پخش میشود و از راهاندازی برنامهها یا رمزگذاری فایلها توسط کاربران جلوگیری میکند.در برخی موارد، دستگاه را کاملاً غیرفعال میکند.
۷-نرم افزار امنیتی سرکش
بدافزار کاربران را فریب می دهد تا تصور کنند اقدامات امنیتی آنها قدیمی است یا ویروسی رایانه آنها را آلوده کرده است. از کاربر میخواهد یک ویژگی امنیتی را نصب کند یا تنظیمات امنیتی را بهروزرسانی کند، که اغلب برای ابزار یا دانلود درخواست پرداخت میکند. هنگامی که کاربران سعی می کنند ویروس مشکوک را حذف کنند، ناخواسته بدافزار واقعی را روی دستگاه خود نصب می کنند.
لایه های امنیتی شبکه
امنیت شبکه موثر باید چندین لایه حفاظتی را پوشش دهد:
خط مشی امنیت شبکه چیست؟
سیاست های امنیتی شبکه، فرآیندهای کنترل دسترسی به یک شبکه کامپیوتری را تعریف می کند و اقدامات اجرایی را ایجاد می کند. یک خط مشی امنیت شبکه همچنین باید ساختار امنیت شبکه را ترسیم کند و اجرای اقدامات امنیتی را در سراسر شبکه تعریف کند.
سازمان ها کنترل های امنیتی خود را در یک خط مشی امنیت شبکه توصیف می کنند. هدف این کنترل ها شناسایی و جلوگیری از رفتار مخاطره آمیز و مخرب در داخل سازمان (یعنی تهدیدات خودی) و در عین حال مسدود کردن کاربران غیرمجاز از نفوذ به شبکه است.
هنگام ایجاد یک خط مشی امنیتی شبکه، مهم است که بدانیم چه سرویسها و دادههایی در شبکه وجود دارد، چه کسی میتواند به آنها دسترسی داشته باشد، چه اقدامات حفاظتی در حال حاضر وجود دارد و تأثیر بالقوه قرار گرفتن در معرض. یک خط مشی مؤثر اطلاعات حیاتی را اولویت بندی می کند، از کنترل های موجود (به عنوان مثال، فایروال ها) استفاده می کند و از تقسیم بندی شبکه برای ارائه یک لایه امنیتی اضافی پشتیبانی می کند.
خطمشیهای امنیتی باید سلسله مراتبی از امتیازات دسترسی را با هر کاربر محدود به منابع لازم ایجاد کنند. سازمانها علاوه بر گنجاندن این کنترلها در خطمشیهای مکتوب خود، باید آنها را در زیرساختهای فناوری اطلاعات خود، از جمله کنترل شبکه و تنظیمات فایروال، پیادهسازی کنند.
سیاستهای امنیتی مؤثر باید عناصر زیر را مورد توجه قرار دهند:
۱-نوع و هدف داده ها
۲-مخاطب مورد نظر
۳-آگاهی امنیتی
۴-رفتار کاربر
۵-امتیازات و مسئولیت های کاربر
۶-کنترل های دسترسی
۷-سایر اهداف امنیت فناوری اطلاعات
۸-خودکارسازی سیاست های امنیتی شبکه در یک محیط فناوری اطلاعات مدرن
در گذشته، سیاست های امنیتی شبکه به صورت دستی با استفاده از ابزارهای مدیریت شبکه پیکربندی می شدند و تا حد زیادی ثابت بودند. این برای یک محیط IT سنتی و داخلی که در آن تغییرات کم و زیاد بود، مناسب بود. با این حال، در یک محیط شبکه مدرن، شامل مراکز داده داخلی و چندین ابر عمومی، نیاز به یک مکانیسم مرکزی و خودکار برای اعمال سیاستهای امنیتی وجود دارد.
فنآوریهای جدید که حول پارادایم امنیت صفر متمرکز شدهاند، به مدیریت شبکه و تیمهای امنیتی کمک میکنند تا سیاستهای امنیتی را به طور متمرکز تعریف کنند و آنها را در محیطهای ترکیبی اعمال کنند. سیستمهای دسترسی صفر اعتماد میتوانند کاربران، دستگاهها و سایر نهادها را شناسایی کرده و قوانین امنیتی پیچیده را برای تعیین اینکه به چه چیزی و در چه زمینهای باید اجازه دسترسی داشته باشند، اعمال کنند.
سیاست های انطباق فناوری اطلاعات برای شبکه ها
افزایش تعداد و شدت تهدیدات امنیت سایبری که منابع شبکه را هدف قرار می دهند، نهادهای صنعتی و دولت ها را بر آن داشته تا استانداردها و مقررات حاکم بر رویه های امنیت فناوری اطلاعات را ایجاد کنند. همه سازمان ها در یک صنعت مربوطه باید به این استانداردها پایبند باشند و سیاست هایی را برای اطمینان از انطباق اجرا کنند.
با توجه به هزینه های بالا و عواقب قانونی عدم انطباق، رعایت امنیت شبکه یک اولویت اصلی برای مدیران است.
خطمشیهای انطباق با فناوری اطلاعات به سازمانها این امکان را میدهد که از اجرای صحیح شیوههای امنیتی فناوری اطلاعات بر اساس استانداردهای صنعت تثبیت شده اطمینان حاصل کنند. رویکرد انطباق صحیح به شرکت ها کمک می کند تا الزامات انطباق خود را برای محافظت از داده های حساس و به حداقل رساندن ریسک های عملیاتی مدیریت کنند.
۱-فایروال/NGFW
فایروال ها مکانیزمی برای کنترل ترافیک ورودی و خروجی شبکه هستند. مدیران شبکه میتوانند فایروالها را با قوانینی پیکربندی کنند که تعیین میکنند چه نوع ترافیکی را مجاز یا رد کنند. یک فایروال معمولاً در لبه شبکه مستقر می شود و یک محیط شبکه ایجاد می کند که مهاجمان برای دسترسی به منابع داخل شبکه باید بر آن غلبه کنند.
فایروال های سنتی بازرسی حالتی را انجام می دهند که در لایه های ۳ و ۴ مدل شبکه OSI کار می کنند. این بدان معنی است که آنها می توانند IP مبدا و مقصد بسته های داده و پورت و پروتکلی که استفاده می کنند را بررسی کنند تا تعیین کنند که آیا آنها را مجاز یا مسدود کنند.
حفاظت از شبکه مدرن متکی بر فایروال های نسل بعدی (NGFW) است که در لایه ۷ مدل شبکه (لایه برنامه) کار می کند و توانایی انجام بازرسی بسته های عمیق (DPI) را اضافه می کند. NGFW ها می توانند بسته ها را بر اساس برنامه ای که برای آن در نظر گرفته اند مسدود کنند، بنابراین ترافیک برنامه های مخرب را شناسایی و مسدود می کنند.
۲-سیستم های پیشگیری از نفوذ (IPS)
IPS یک راه حل امنیتی فعال است که در لبه شبکه مستقر شده است و قادر است حملات را در صورت وقوع شناسایی و مسدود کند. یک IPS می تواند حملات brute force، حملات Denial of Service (DoS) و سوء استفاده از آسیب پذیری های شناخته شده را شناسایی کند. می تواند این الگوهای ترافیک مخرب را شناسایی کرده و قبل از رسیدن به دارایی های حساس در داخل شبکه، آن را مسدود کند.
۳-پیشگیری از دست دادن داده (DLP)
DLP یک راه حل امنیتی است که داده های ارزشمند را از حذف، دستکاری یا انتقال به خارج از شبکه یک سازمان شناسایی کرده و از آن جلوگیری می کند.داده های حساس اغلب با ارزش ترین دارایی در یک شبکه برای مهاجمان هستند. راه های مختلفی وجود دارد که تهدیدات داخلی و خارجی می توانند داده ها را استخراج کنند – از جمله انتقال فایل ها، دانلود و ذخیره آنها در رسانه های قابل جابجایی، چاپ آنها، یا ارسال آنها از طریق ایمیل یا ابزارهای پیام. DLP می تواند هر یک از این روش ها را شناسایی کرده و آنها را مسدود کند تا از از دست رفتن و نشت اطلاعات جلوگیری کند.
راهحلهای SIEM یک مخزن داده مرکزی هستند که میتوانند دادهها را از ابزارهای امنیتی و سیستمهای فناوری اطلاعات در سراسر سازمان، از جمله فایروالها، IPS، NAC و سیستمهای مدرن اعتماد صفر دریافت کنند. SIEM به تیم های امنیتی امکان مشاهده فعالیت در یک شبکه شرکتی را می دهد. همچنین می تواند رویدادهای امنیتی را برای شناسایی ناهنجاری هایی که نیاز به بررسی بیشتر دارند، مرتبط کند.SIEM هشدارهایی را تولید می کند که تیم های امنیتی برای شناسایی و بررسی حوادث امنیتی استفاده می کنند. این امکان دسترسی به دادههای پزشکی قانونی، اطلاعات دقیق در مورد ترافیک شبکه و دادههای تهدیدات بهدستآمده از فیدهای اطلاعاتی تهدید را فراهم میکند، که تحلیلگران امنیتی میتوانند از آنها برای تریاژ و پاسخ به یک حادثه امنیتی استفاده کنند.
راهحلهای مدرن SIEM شامل یا ادغام با سیستمهای هماهنگسازی امنیتی، اتوماسیون و پاسخ (SOAR) است که پاسخ خودکار به حوادث امنیتی را با استفاده از کتابهای از پیش تعریفشده ممکن میسازد. این میتواند پاسخ سریعتری به حوادث امنیتی بدهد و بار تیمهای امنیتی شبکه را کاهش دهد.
حفاظت DDoS
حملات انکار سرویس توزیع شده (DDoS) تلاشهای مخربی برای غیرقابل دسترس کردن سرویسهای آنلاین برای کاربران هستند که معمولاً با ایجاد اختلال در خدمات سرور میزبان به طور موقت انجام میشود. ایجاد دفاع در برابر DDoS به چیزی بیش از اقدامات کاهشی نیاز دارد – سازمان ها باید از راه حل های قوی و فعال استفاده کنند.
حملات DDoS در حال افزایش است و مهاجمان از روشهای جدید و پیچیدهای از جمله جعل ترافیک لایه برنامه استفاده میکنند. بنابراین، بسیاری از ارائه دهندگان DDoS پیشنهادات پیشگیری از DDoS خود را به روز کرده اند تا از کسب و کارها در برابر حملات DDoS بزرگتر، هوشمندتر و متنوع تر و استقرار بات نت محافظت کنند.
مدیریت گزارش
بیشتر سازمانها حجم زیادی از دادههای گزارش را در چندین شبکه، برنامهها، کاربران و سیستمها تولید میکنند که به یک فرآیند ساختاریافته برای مدیریت و نظارت بر دادههای متفاوت در فایلهای گزارش نیاز دارند. مدیریت گزارش فرآیند مداوم جمعآوری و ذخیرهسازی مرکزی، تجزیه و تحلیل، فیلتر کردن و اشتراکگذاری دادهها برای ارائه اطلاعات کاربردی برای پشتیبانی از عیبیابی، بهبود عملکرد و نظارت بر رویدادهای امنیتی است.
سازمانها به یک راهحل یکپارچه برای جمعآوری، ذخیره و سازماندهی دادهها نیاز دارند تا مقادیر زیادی از دادههای گزارش را به سرعت و به راحتی تریاژ کنند. با پیاده سازی یک راه حل مدیریتی کامل با ویژگی های هوشمند و یک رابط کاربری بصری، کسب و کارها می توانند دید جامعی از محیط IT خود برای شناسایی و حل سریع مسائل به دست آورند.
اتصال امن به شبکه
کنترل دسترسی به شبکه (NAC)
NAC یک پلتفرم مدیریت شبکه در سراسر شرکت است که هدف آن کنترل دستگاه هایی است که می توانند یا نمی توانند به شبکه متصل شوند. دستگاهها را بر اساس آدرسهای فیزیکی (MAC) یا با استفاده از اعتبارنامههای پیشرفته مانند گواهیها شناسایی میکند و تخصیص آدرس IP و اتصال به شبکه شرکتی را فقط برای دستگاههای تأیید شده اجازه میدهد.
NAC می تواند یک مکانیسم امنیتی موثر در یک محیط IT بسته با دستگاه های مدیریت شده ای باشد که از یک مکان اداری فیزیکی به شبکه دسترسی دارند. با این حال، در یک محیط IT مدرن، با ظهور دستگاه خود (BYOD)، دسترسی از راه دور، و مهاجرت برنامهها به ابر، NAC نمیتواند یک راهحل کنترل دسترسی کامل ارائه دهد.
VPN دسترسی از راه دور
شبکههای خصوصی مجازی (VPN) دسترسی به یک شبکه را برای کاربران راه دور فراهم میکنند – برای مثال، کاربرانی که از خانه خود یا از یک دستگاه تلفن همراه به یک شبکه شرکتی دسترسی دارند. این کار مستلزم استقرار یک سرور VPN در شبکه و نصب کلاینت های VPN در دستگاه هایی است که نیاز به دسترسی به شبکه دارند. VPN از یک کانال ارتباطی امن و رمزگذاری شده برای جلوگیری از حملات انسان در میان (MitM) استفاده می کند.
مشکل اصلی VPN این است که پس از احراز هویت کاربران، به طور ضمنی در شبکه به آنها اعتماد می شود. این چند چالش امنیتی را به همراه دارد:
VPN ها معمولاً دسترسی به کل شبکه را فراهم می کنند. آنها کنترل های دسترسی دانه بندی ندارند و با راه حل های تقسیم بندی شبکه یکپارچه نمی شوند. این به هر مهاجمی که اعتبار کاربر را به خطر می اندازد اجازه می دهد تا به طور بالقوه به همه چیز در شبکه دسترسی داشته باشد.
VPN ها معمولاً از احراز هویت مبتنی بر رمز عبور استفاده می کنند که به راحتی توسط مهاجمان به خطر می افتد.
VPN ها نمی توانند دستگاه های کاربر را تأیید کنند، بنابراین اگر دستگاهی به بدافزار آلوده شود، می تواند از طریق اتصال VPN به شبکه سرایت کند.
VPN ها را نمی توان برای ایمن سازی دسترسی به سیستم های خارج از کنترل سازمان، مانند برنامه های SaaS استفاده کرد.
با انتقال به نیروی کار از راه دور، VPN به طور گسترده ای برای ایمن سازی یک شبکه شرکتی ناکافی در نظر گرفته می شود که منجر به ظهور راه حل های جدیدی مانند ZTNA می شود.
SASE
Secure Access Service Edge (SASE) یک دسته شبکه سازمانی است که توسط گارتنر معرفی شده است. این یک سرویس شبکه یکپارچه و بومی ابری را ارائه می دهد که SD-WAN و راه حل های نقطه امنیت شبکه، از جمله فایروال به عنوان سرویس (FWaaS)، واسطه دسترسی به امنیت ابری (CASB)، دروازه وب امن (SWG) و دسترسی به شبکه بدون اعتماد را ارائه می دهد. (ZTNA).
SASE به چالش یکپارچهسازی راهحلهای چند نقطهای و مدیریت امنیت در سیلوهای جداگانه میپردازد که پیچیده، پرهزینه بود و پشتیبانی از فرآیندهای توسعه چابک را برای زیرساختهای شبکه دشوار میکرد.SASE یک محیط شبکه چابک را فراهم میکند که زمان ورود به بازار را کاهش میدهد و سازمانها را قادر میسازد تا سریعتر از همیشه به شرایط متغیر تجاری واکنش نشان دهند.
راه حل های امنیت شبکه ابری
سازمانها باید از سطح بالایی از امنیت برای زیرساختهای رایانش ابری خود مانند محیطهای داخلی خود اطمینان حاصل کنند. یک راه حل امنیتی شبکه ابری برای محافظت از برنامه ها، داده ها و منابع در محیط های ابری ضروری است. همچنین به امنیت ترافیک بین استقرارهای ابری سازمان و مرکز داده و اینترانت درون محل آن کمک می کند.
شبکههای داخلی معمولاً از یک راهحل امنیتی شبکه برای جلوگیری از حملات پیچیده، کنترل دسترسی به سیستمهای سازمانی، تقسیمبندی شبکه به مناطق ایزوله و اجرای قوانین امنیتی استفاده میکنند. راه حل امنیتی شبکه ابری به روشی مشابه کار می کند و حفاظت پیشرفته ای را برای شبکه ها و زیرساخت های مبتنی بر ابر ارائه می دهد.
تعویض برچسب چند پروتکلی (MPLS)
MPLS تکنیکی برای مسیریابی ترافیک است که برای شبکه های سازمانی و ستون فقرات حامل که چندین شعبه و سازمان را به هم متصل می کنند مفید است. این مسیریابی در زمان واقعی را برای خدمات با کیفیت ارائه می دهد. قابل اعتماد است زیرا از جستجوی جدول مسیریابی پیچیده که در شبکه های IP رایج است جلوگیری می کند.
هدف اصلی سوئیچینگ برچسب چند پروتکلی افزایش قابلیت اطمینان و عملکرد ترافیک شبکه است، اما چندین مزیت امنیتی را نیز به همراه دارد. MPLS از پیوندهای رمزگذاری شده استفاده نمی کند، اما آنها را از اینترنت عمومی جدا می کند و یک لایه امنیتی شبیه به VPN ایجاد می کند.
تقسیم بندی شبکه و کنترل دسترسی
تقسیم بندی شبکه
تقسیم بندی شبکه مکانیزمی است که بین بخش های مختلف شبکه ایزوله ایجاد می کند. یک شکل اساسی تقسیم بندی، تقسیم یک شبکه به زیرشبکه ها است، که در آن ترافیک در یک زیرشبکه مجاز است اما بین زیرشبکه ها محدود می شود. شبکههای مدرن از میکروسگمنتیشن استفاده میکنند که میتواند یک محیط ریز دانه در اطراف منابع محافظت شده خاص ایجاد کند.
تقسیم بندی شبکه می تواند به طور قابل توجهی امنیت شبکه را با جلوگیری از حرکت جانبی پس از نفوذ مهاجمان به شبکه بهبود بخشد. همچنین خطر ورود افراد مخرب داخلی یا حسابهای در معرض خطر را کاهش میدهد، زیرا حتی اگر کاربر به شبکه دسترسی داشته باشد، به بخشی از شبکه محدود میشود و نمیتواند به همه منابع حساس دسترسی داشته باشد.
میکروسگمنتیشن
Microsegmentation یک تکنیک شبکه سازی است که امنیت داخلی یک شبکه سازمانی را با تقسیم آن به مناطق مجزا افزایش می دهد. معماران امنیت شبکه می توانند به طور منطقی مراکز داده را بر اساس بار کاری فردی به بخش های شبکه تقسیم کنند و خدمات و کنترل های امنیتی مورد نیاز برای هر بخش را تعریف کنند.
Microsegmentation به تیمهای فناوری اطلاعات اجازه میدهد تا با مجازیسازی کنترلهای شبکه به جای نصب فیزیکی فایروال، یک سیاست امنیتی انعطافپذیر را در مرکز داده به کار گیرند. Microsegmentation همچنین به محافظت از ماشین های مجازی (VM) در شبکه سازمانی با استفاده از کنترل های امنیتی مبتنی بر سیاست در سطح برنامه کمک می کند. هر بار کاری دارای سیاست های امنیتی مجزایی است که هر قسمت از شبکه را ایمن می کند و تأثیر حملات را محدود می کند.
کنترل دسترسی مبتنی بر نقش (RBAC)
RBAC یک تکنیک کنترل دسترسی است که دسترسی در یک شبکه سازمانی را بر اساس نقش های فردی و گروهی کاربر محدود می کند. RBAC تضمین میکند که کاربران فقط به دادهها و اقداماتی که برای انجام وظایف خود نیاز دارند دسترسی دارند. هیچ کس نمی تواند به اطلاعاتی که مربوط به یک کار تایید شده نیست دسترسی پیدا کند.
اگر سازمانی پیمانکاران را استخدام کند، کارمندان زیادی داشته باشد یا به اشخاص ثالث مانند مشتریان یا تامین کنندگان اجازه دسترسی به شبکه خود را بدهد، باید دسترسی به شبکه را محدود کند. کنترل های دسترسی با توجه به چالش نظارت موثر بر شبکه های پیچیده اهمیت ویژه ای دارند. کسب و کارهایی که به RBAC متکی هستند بهتر می توانند از برنامه ها و داده های حساس خود محافظت کنند.
OpenID Connect (OIDC)
OIDC یک پروتکل احراز هویت باز است که با نمایه سازی و گسترش OAuth 2.0 یک لایه هویت اضافه می کند. این به مشتری اجازه می دهد تا با استفاده از یک سرور مجوز، کاربران نهایی را احراز هویت کند. سازمانها میتوانند OIDC را در بالای OAuth 2.0 پیادهسازی کنند تا یک چارچوب احراز هویت واحد ایجاد کنند که همه برنامههای بومی تلفن همراه، برنامههای مرورگر و APIها را ایمن کند.
پیاده سازی بخش بندی شبکه و اعتماد صفر
شبکه های بزرگ و بدون پارتیشن برای مدیریت پیچیده هستند و همچنین خطرات امنیتی را افزایش می دهند. مهاجمانی که موفق به نفوذ به شبکه یا تهدیدات داخلی می شوند، می توانند به راحتی به سمت جانبی حرکت کنند تا سیستم های حساس را به خطر بیاندازند. تقسیم یک شبکه به قطعات کوچکتر و راه اندازی مناطق قابل اعتماد نه تنها مدیریت را آسان تر می کند، بلکه داده ها و منابع حساس را در صورت بروز یک حادثه امنیتی جدا می کند.
تقسیم بندی شبکه پایه و اساس مدل امنیت صفر است که توسط دولت ایالات متحده، سازمان های استاندارد و برخی از بزرگترین سازمان های جهان پذیرفته شده است. یک مدل اعتماد صفر به طور پیشفرض دسترسی را رد میکند و اتصالات همه موجودیتها را، چه در داخل یا خارج از محیط شبکه باشند، تأیید میکند. همراه با تقسیم بندی شبکه، این امر به شدت توانایی مهاجمان را برای نقض بخش های محافظت شده شبکه محدود می کند.
مطالب مرتبط: