اصل اساسی در انتخاب بهترین ابزار امنیت شبکه برای هر سازمانی، انتخاب از میان محصولاتی است که به عنوان یک استراتژی یکپارچه امنیتی کار خواهند کرد.

در هنگام انتخاب ابزار امنیت شبکه، با انتخاب‌های متعددی روبرو هستیم، اما محدود کردن این انتخاب‌های متعدد به یک انتخاب می‌تواند چالشی بزرگ به شمار می‌رود. به همین دلیل توصیه می‌کنیم به دنبال ابزارهای مختلف از  network-wide perspective باشید.

به جای انتخاب تصادفی ابزارهای امنیت شبکه بر اساس تبلیغات عجیب و غریب بازاریابی یا گزارش‌های تحقیقاتی بدون منبع، به معماری کلی شبکه خود نگاه کنید تا محل استقرار داده‌ها و چگونگی دسترسی کاربران نهایی به این داده‌ها را مشخص کنید. می‌توان از این اطلاعات برای سنجش بهترین ویژگی‌های خاص و یا روش‌های پیاده‌سازی استفاده کرد.

علاوه بر این، حتما نحوه عملکرد متقابل ابزار امنیت شبکه با دیگر ابزارهای امنیتی موجود یا آینده را مقایسه کنید. یک استراتژی امنیتی در لایه‌ها و انتخاب محصولات امنیتی که منافع و قابلیت‌های دیگر برنامه‌های امنیتی را تامین کند، برای موفقیت کلی معماری امنیت شبکه بسیار مهم است.

در اینجا، دو سناریوی مختلف شرکت‌ها ارائه و معیارهای واقعی حالت‌های کاملا مختلف شبکه به تفضیل شرح داده می‌شود. با استفاده از هر سناریو، سعی می‌کنیم نیازهای امنیتی کسب و کارها به محصولات امنیتی خاص را نشان دهیم. در پی آن هستیم تا چگونگی انتخاب بهترین ابزار امنیت شبکه ، بسته به محل استقرار اطلاعات در شرکت‌ها، چگونگی دستیابی کاربران و دستگاه‌ها به داده‌های شرکت، محل استقرار ابزارهای امنیتی و نیاز به معماری دفاع در عمق را نشان دهیم.

در ادامه ابزارهای امنیتی و تولیدکنندگان برتر ذکر خواهند شد:

  • فایروالهای نسل بعدی (NGFW): شرکت امنیت سایبری چک پوینت، سیسکو و شرکت Palo Alto Networks
  • دروازههای امنیتی وب (SWG). شرکت‌های سیمنتک، فورس پوینت و Zscaler
  • کنترل دسترسی به شبکه (NAC): شرکت شبکه‌های برادفورد، سیسکو و ForeScout Technologies.
  • سندباکس کردن بدافزار: شرکت‌های FireEye، Palo Alto Networks و فورس پوینت
  • واسطه‌ی امنیت دسترسی ابر (CASB): سیسکو، نتسکوپ، Skyhigh و سیمنتک

 

کنترل ابری و کنترل داخلی (درون شرکتی)

دو شرکت X و Y را تصور کنید. شرکت X هنوز از محاسبات ابری استفاده نمی کند، در حالی که شرکت Y کاملا از ابر به منظور پیشنهاد سرویس‌های مختلف بهره می‌برد. در شرکت X تمام نرم افزارها و داده‌های حیاتی در داخل مراکز داده خصوصی قرار دارند. از سوی دیگر، شرکت Y تصمیم گرفته است اطلاعات خود را در ابر ذخیره کند. هر دو شرکت اطلاعات بسیار حیاتی داشته و از این رو نیاز است که برای کاربران و همه دستگاه‌ها خط مشی‌های کنترل دسترسی سختگیرانه‌ای اعمال کنند.

با در نظر گرفتن سناریوی معماری شبکه سنتی شرکت X، مرکز داده خصوصی برای آن ایده آل بوده و در عوض ابزار امنیت شبکه ابری نامعقول شمرده می‌شود؛ چرا که سازمان تصمیم گرفته است اطلاعات مهم و اجزای شبکه را در محل نگهداری کند. اما برای شرکت Y ابزارهای اجرا و مدیریت شده مبتنی بر ابر ترجیح داده می شود، زیرا انعطاف پذیری بیشتری را از لحاظ جایگذاری و مدیریت آسان ابزارها ارائه می‌دهند.

هر یک از فایروال های نسل بعدی پیشرویی که در سناریوی شرکت X انتخاب می کنید عملکرد خوبی خواهد داشت. هر یک از سه تولید کننده، فایروال های لایه 7 بسیار توانمند با قابلیت حفاظت پیشرفته در برابر تهدیدات ارائه می دهند. فارغ از فایروال انتخابی، دستگاه فایروال و یا ماشین مجازی را می توان به راحتی بین شبکه داخلی و اینترنت و یا WAN مستقر کرد.

با توجه به معماری استقرار ابری شرکت Y، چک پوینت و Palo Alto بر سیسکو برتری دارند، زیرا راه را برای ارائه فایروال های نسل بعدی مجازی که عمل مشابهی با همتایان دستگاه سخت افزار خود دارند هموار می کنند. علاوه بر این، هر دو این شرکتهای برتر، فایروال های نسل بعدی را به عنوان یک سرویس در ارائه دهندگان ابری بزرگ، از جمله بازار خدمات وب آمازون ارائه می دهند. علاوه بر این باید دروازه امنیتی وب ایده آل را به مزایای آنها افزود. سیمانتک و فورس پوینت دروازه های امن وب خود را به عنوان لوازم و خدمات ابری ارائه می دهند. Zscaler دروازه امن وب را فقط به عنوان یک سرویس ابری ارائه می دهد. بنابراین، در این وضعیت، Zscaler برای شرکت Y ایده آل است، اما نه برای شرکت X. سیمنتک و فورس پوینت گزینه های بهتری برای شرکت X خواهند بود؛ چرا که هر یک، پلتفرم های دروازه امن وب مبتنی بر دستگاهی ارائه می دهند که می توانند به راحتی در مراکز داده خصوصی مستقر شوند.

انتخاب بعدی تعیین بهترین شرکت کنترل دسترسی به شبکه برای هر نوع شبکه است. ویژگی های ضروری کنترل دسترسی به شبکه به شدت به اهمیت حفاظت از اطلاعات شرکت و نحوه رویکرد شرکت به BYOD و اینترنت اشیاء (IoT) بستگی دارد. بنابراین، نه تنها گزینه های استقرار ، بلکه مجموعه ویژگی هایی که هر محصول کنترل دسترسی به شبکه فراهم می کند حایز اهمیت هستند. برای مثال شرکت X دارای سیاست های دقیق BYOD است؛ تمرکز اصلی آن بر پیشگیری از خدشه بر اطلاعات و امنیت شبکه است. به احتمال زیاد این شرکت نیز در مورد مفهوم اینترنت اشیاء محتاط است.

 

 

در نتیجه، شرکت X علاقمند به استفاده از شناسایی کاربر و دستگاه و دسترسی به منابع است. برای استقرار داخلی – که در مورد شرکت X صدق می کند- سیسکو و ForeScout سیستم های قوی ارائه می دهند که برای معماری مرکز داده خصوصی مناسب است. شرکت های سیسکو و ForeScout معمولا در میان بهترین شرکت های ارائه دهنده کنترل های دسترسی به شبکه در صنعت امروزی قرار دارند. ویژگی های اجرای سیاست های تأیید هویت و مجوز از دیگر دلایل عمده شهرت این دو شرکت شمرده می شوند.

ممکن است محصول کنترل دسترسی به شبکه شرکت برادفورد نتورک مناسب ترین گزینه برای شرکت Y باشد. برادفورد لوازم سخت افزاری انعطاف پذیر و قدرتمندی ارائه می‌دهد که می‌تواند در مراکز داده خصوصی مستقر شود و کنترل دسترسی به شبکه خود را به عنوان یک دستگاه مجازی که می تواند در ابر مستقر شود، به فروش می رساند. هر محصول دارای ویژگی هایی با مدیریت آسان است که به خوبی در محیط های دوستدار BYOD کار می کند. بنابراین، اگر هدف شرکت Y مدیریت ابزار امنیت شبکه از ابر و توجه به امنیت BYOD باشد، برادفورد بهترین گزینه برای خرید است.

اکنون نوبت پرداختن به سندباکس بدافزار است. FireEye منطقی ترین ابزار امنیتی شبکه در یک محیط سنتی درون سازمانی است، مانند آنچه که برای شرکت X شرح داده شد. پلتفرم NX  شرکت FireEye سیستم مستقلی است که می تواند به آسانی در یک مرکز داده شخصی راه اندازی و ترافیک درون خطی را تجزیه و تحلیل کند.

محصولات Palo Alto و فورس پوینت در معماری ابری عملکرد بهتری دارند، مانند سناریویی که برای شرکت Y شرح داده شد، چرا که هر دو شرکت سندباکس را به عنوان سرویس ابری ارائه می دهند.

در نهایت، برای شرکت های فعال در محیط های بسیار پیچیده و چند ابری، انتخاب یک پلت فرم CASB ، راهی ساده برای مدیریت کنترل دسترسی، محافظت از داده ها و رمزگذاری داده ها در زیرساخت های مختلف شبکه است. این انتخاب به طور قابل توجهی وضوح سرتاسر جریان اطلاعات را افزایش می دهد. در حالیکه استقرار در مقایسه با اجرای ابزارهای فردی پیچیده تر است، آنها در توانایی خود برای ایجاد و اجرای سیاست های یکسان از کاربر نهایی تا تمام برنامه ها، بی نظیر هستند.

پلتفرم واسطه ی امنیت دسترسی ابر (CASB) برای شرکت X احتمالا مناسب نیست، مگر اینکه این شرکت قصد داشته باشد به زودی به سمت یک معماری ترکیبی یا چند ابری حرکت کند. برای آن دسته از سازمان هایی که به شدت SaaS گرا هستند، محصولات CASB پروکسی محور مانند سیستم عامل Netskope، Skyhigh Networks و سیمانتک انتخاب بهتری هستند. پروکسی اجازه می دهد تا داده های SaaS از طریق یک محصول امنیتی که خط مشی را می توان بدان افزود رد و بدل شوند. این موضوع هم برای ارائه دهندگان SaaS مجاز و هم غیرمجاز صادق است.

 

 

درست است که  واسطه ی امنیت دسترسی ابری مبتنی بر API در هنگام محافظت از معماری SaaS، کنترل و عمق بسیار بیشتری ارائه می دهد، اما همه APIهای SaaS پشتیبانی شده و حتی در دسترس نیستند.

بنابراین، هنگام استفاده از یک واسطه ی امنیت دسترسی ابری که از یک معماری پیشرو پروکسی پشتیبانی نمی کند، ممکن است میزانی از قابلیت دید را از دست بدهید. با این حال، این نقص به احتمال زیاد در آینده اصلاح خواهد شد، چرا که هر روزه بر تعداد ارائه دهندگان ابری رابط های کاربردی برنامه نویسی (API) افزوده می شود.

برای سازمان هایی که بر محیط های ترکیبی یا چندابری تکیه می کنند، یک واسطه ی امنیت دسترسی ابری  API محور ممکن است انتخاب خوبی باشد. از آنجا که پروکسی ها باید همه داده ها را از طریق دروازه های امنیتی انتقال دهند، این معماری در هنگامی که برنامه ها و داده ها در میان ارائه دهندگان متعدد و ابرهای خصوصی توزیع شود جذابیت کمتری دارد. در این جا یک رویکرد API محور ترجیح داده می شود. تجزیه و تحلیل امنیت می تواند متمرکز و در نتیجه ساده و موثر باشد. در حالی که تمام پلتفرم های برتر واسطه امنیت دسترسی ابری از میزانی از قابلیت های API برخوردارند، سیسکو یکی از معدود محصولاتی است که تنها بر روی API ها به عنوان پایه ای برای گردآوری اطلاعات واسطه ی امنیت دسترسی ابری تمرکز می کند.

 

دیگر ملاحظات معماری دفاع در عمق

اتخاذ تصمیمات در مورد ابزار امنیت شبکه بر اساس معماری داده ها و جریان داده ها هر چند شروع خوبی است، اما تمامی جوانب را ارائه نمی دهد. امروزه محصولات امنیتی دیگر نمی توانند به سادگی به عنوان سیستم های مستقل عمل کنند، بلکه باید با یکدیگر به منظور تامین امنیت مطلوب، راندمان بیشتر و سهولت مدیریت همکاری کنند. در بسیاری از موارد، تصمیم شما ممکن است به جای انتخاب یک ارائه کننده برتر مجزا برای هر محصول امنیتی شبکه به سمت استفاده از ابزارهای امنیتی مختلف از تنها یک ارائه دهنده تقلیل یابد.

یکپارچه سازی ابزارهایی که تنها از یک شرکت خریداری شده باشد آسان تر است؛ همچنین عیب یابی و پشتیبانی نیز در این حالت آسان تر خواهد بود. بنابراین، حتی اگر بهترین ابزار مطلق موجود در هر دسته امنیتی را نداشته باشید، می توانید اطمینان بیشتری داشته باشید که محصولات پوشش کامل و یکپارچه امنیتی فراهم می کنند. اکثر شرکت های عمده شبکه، مانند چک پوینت، سیسکو، Palo Alto و فورس پوینت، اغلب ابزارهای امنیتی جامع در دسته بندی هایی که مورد بحث قرار دادیم را دارا هستند.

اگر قصد انتخاب ابزارهای امنیتی شخصی درجه یک دارید، اطمینان حاصل کنید که محصولات انتخابی شما در محیط شبکه مشترک به خوبی کار می کنند. توصیه می کنیم به دسته بندی اولویت هر یک از ابزارهای امنیتی در استراتژی دفاع در عمق خود بپردازید. سپس، هر وسیله را به ترتیب اهمیت انتخاب کرده و اطمینان یابید که هر یک از ابزارهای متوالی با ابزار انتخاب شده قبلی هماهنگ است. طرز اولویت بندی ابزارهای امنیتی هر شرکت به نیازهای امنیتی خاص آن شرکت بستگی دارد. با این حال، در اغلب موارد، مهمترین ابزار امنیتی که شرکت شما به کار می برد، تقریبا قطعا NGFW خواهد بود. فایروال پایه اصلی بیشتر استراتژی های دفاع در عمق بوده و هست. بنابراین، ابتدا مطمئن شوید که ابتدا NGFW را انتخاب کرده اید.

 

 

فرض کنید که دومین ابزار امنیتی مهم را تعیین کرده اید، یعنی یک سند باکس مخرب (بدافزار). باید بهترین را انتخاب کنید، اما به شرط سازگاری و تطبیق با مجموعه NGFW. از این موضوع به سادگی نباید گذشت، زیرا NGFW ها اغلب با دروازه های مخرب ، با علامت زدن داده های مشکوک در هنگام عبور از فایروال همکاری می کنند. این داده های علامت گذاری شده سپس برای تجزیه و تحلیل به سند باکس بدافزار ارسال می شوند. اگر این دو تکنولوژی سازگاز نبوده و به خوبی با هم کار نکنند احتمالا باید دست به انتخاب دیگری زده و سندباکس بدافزاری را برگزینید که با فایروال شما برای ایجاد رویکرد امنیتی یکپارچه هماهنگی بهتری دارد.

هر یک از ابزارهای امنیتی مذکور در ارائه یک استراتژی دفاع در عمق کلی برای شبکه شرکت شما کمک خواهند کرد. به خاطر داشته باشید که ابزارهای امنیتی دیگری نیز وجود دارند که در این مجموعه ذکر نشده است، اما باید به عنوان بخشی از معماری امنیت عمومی شما در نظر گرفته شود. ما تنها پنج دسته ابزار با بیشترین تأثیر بر معماری امنیتی ارائه کردیم.

انتخاب ابزار امنیت شبکه مناسب به طور کلی به جریان داده ها و معماری و نحوه عملکرد محصولات در کنار هم به عنوان یک استراتژی یکپارچه امنیتی بستگی دارد. اکثر محصولات امنیتی شرکتی در غالب محیط ها کار می کنند. سناریوهای ذکر شده تنها نشان دهنده تفاوت در روشهای استقرار و سازگاری هستند که یک یا دو مورد را برای معماری شبکه خاص برجسته می کند.