بهترین امنیت سایبری در لایه ها ایجاد می شود و کار مهاجم یا نفوذگر را برای مقابله با هر خط دفاعی و نفوذ به شبکه و دسترسی به داده ها دشوار یا خسته کننده می کند. یکی از لایه های دفاعی فرانت لاین باید کنترل دسترسی به شبکه (NAC) را در دست بگیرد و توانایی محدود کردن دسترسی به شبکه به دستگاه ها و کاربران مجاز و تأیید هویت را داشته باشد.

 

اما کنترل دسترسی به شبکه چیست؟

تاکید NAC بر کنترل دسترسی است؛ به عبارتی چه کسی یا چه دستگاهی مجاز به دسترسی به شبکه است و همه کاربران و دستگاه ها را در بر می گیرد. کنترل دسترسی به شبکه درخواستهای اتصال را متوقف می کند، این درخواست ها سپس به وسیله یک سیستم مدیریت دسترسی و هویت افراد تایید می شوند. دسترسی بر اساس مجموعه ای از پارامترها و سیاست هایی که در سیستم برنامه ریزی شده از پیش تعیین شده اند، پذیرفته شده یا رد می شود.

استقرار سیستم کنترل دسترسی به شبکه علیرغم مفهوم ساده آن چالش برانگیز است؛ چرا که NAC نیازمند تعامل بین پروتکل ها و فن آوری های مختلف از سیستم های فناوری اطلاعات تا امنیت برای عملکرد موثر است.

 

کاربرد سیستم کنترل دسترسی به شبکه چیست؟

به گفته تیم اجرایی ارائه دهنده سرویس مدیریت VirtualArmour، اهداف کنترل دسترسی به شبکه عبارتند از:

  • احراز هویت و مجوز اتصالات شبکه
  • کنترل مبتنی بر نقش کاربر، دستگاه یا برنامه پس از احراز هویت. به این معنی که یک کاربر فرضی و دستگاه وی در سطح مجوز مربوطه قرار می گیرد، به عنوان مثال پرسنل امور مالی و کارکنان منابع انسانی به منابع متفاوتی در محیط خود دسترسی پیدا می کنند.
  • محرمانه بودن و محدود کردن مالکیت معنوی از طریق اجرای سیاست
  • ارزیابی خودکار وضعیت امنیتی دستگاه و اجازه دهی یا مسدود کردن بر اساس عبور از بازرسی امنیتی (که می تواند بر اساس چیزهای متعددی نظیر نسخه سیستم عامل، آخرین پچ های نصب شده، یک آنتی ویروس نصب شده و غیره باشد).

به گفته وینای آناند معاون ClearPass Security در شرکت آروبا، به عنوان یکی از زیر مجموعه های شرکت HP، موارد استفاده متعددی وجود دارد که انواع سازمان های استفاده کننده از نرم افزارهای NAC را پوشش می دهد. این موارد عبارتند از:

  • سیاست دسترسی: پر کاربردترین مورد NAC است و به مدیران اجازه تعریف سیاست های دسترسی چندگانه می دهد، به گونه ای که کاربران و دستگاه های متصل به شبکه را بر اساس شرایط خاص مانند پروفایل کاربر، نوع دستگاه و یا محل کاربر تنظیم کنند.
  • بررسی سازگاری دستگاه های نهایی کاربر (endpoint): یک کاربر NAC به طور مداوم برای اطمینان از نصب نرم افزار مناسب و همچنین تأیید وجود نسخه های به روز شده و یا مدیریت پچ در دستگاه ها بررسی و تایید می شود.
  • اگر دستگاه در هر یک از این بازرسی های انطباق رد شود، به احتمال زیاد دسترسی به شبکه تا زمان انجام به روزرسانی های مناسب با مانع روبرو شود.
  • دسترسی مهمان: در برخی مواقع سازمان باید به افرادی غیر از کارکنان خود اجازه دسترسی به شبکه بدهد. نرم افزار NAC مهمانان را قادر می سازد به شبکه شرکت البته با دسترسی محدود متصل شوند.
  • کشف و تشخیص دستگاه: با توجه به افزایش استفاده از اینترنت اشیاء (IoT)، به ویژه در بخش های صنایع خاص مانند مراقبت های بهداشتی و یا تولید، مدیر IT به یک نمای کلی از تمامی دستگاه های متصل به شبکه نیاز دارد. به گفته آناند در این شرایط NAC بسیار مفید است زیرا توانایی کشف تمام دستگاههای شبکه و سپس تعیین هویت و پروفیل آنها را دارد، بنابراین مدیر فناوری اطلاعات دیدی کلی از شبکه پیدا می کند.
  • اجرا: گاهی اوقات یک دستگاه یا کاربر غیر مجاز تلاش می کند به شبکه متصل شود. در این مواقع، نرم افزار NAC می تواند به طور خودکار دستگاه را قطع کند. همچنین یک گزینه برای قرنطینه کردن دستگاه تا زمان بررسی و تعیین مجاز بودن دستگاه و دلایل نمایش رفتارهای غیر مجاز وجود دارد.
  • تحلیل امنیت: کنترل دسترسی به شبکه بخش مهمی از سیستم امنیتی به شمار می رود. آناند توضیح می دهد که NAC می تواند به طور مداوم از طریق جمع آوری ثبت ها، جریان ها و بسته ها بر رفتار دستگاه ها در شبکه نظارت کند. نرم افزار NAC همچنین می تواند از یادگیری ماشینی و تحلیل امنیتی به منظور شناسایی رفتارهای مخربی که می تواند منجر به انتقال غیر مجاز داده ها (exfiltration)، سرقت اطلاعات شناسایی کاربر یا حمله به زیرساخت شبکه شود، استفاده کند.

اگر چه این اهداف و موارد استفاده را می توان در تمامی بخش های صنعت مورد استفاده قرار داد، استقرار نرم افزارهای کنترل دسترسی به شبکه در صنایع تحت نظارت شدید مانند بهداشت و درمان و امور مالی دارای مزایای بیشتری است.

 

 

NAC، سیاست دستگاه خودتان را بیاورید (BYOD) را ممکن می سازد

سیاست دستگاه خودتان را بیاورید (BYOD) رکن اصلی شرکتهای امروزی است. اجازه دادن به کاربران برای اتصال دستگاه های خود، شبکه را در معرض صدمات شدیدی قرار می دهد، زیرا کنترل را برای بخش فناوری اطلاعات دشوار می سازد. حتی با اعمال سیاست BYOD، مدیران فناوری اطلاعات مجبورند در مورد اینکه چه دستگاه هایی برای اتصال به شبکه استفاده می شوند، برنامه های موجود در آن دستگاه ها و اینکه چه ابزارهای امنیتی برای محافظت از آنها استفاده می شود به صداقت کارکنان تکیه کنند. کارمندان در حال کم رنگ کردن مرزها بین حوزه فردی و حرفه ای هستند، زیرا با استفاده از دستگاه های خود، گاهی اوقات از طریق ارتباطات وای فای ناامن، می توانند کارآمدتر کار کنند. آیا این برای شرکت خوب نیست؟ شاید؛ اما مطمئنا برای امنیت شبکه و یا اطلاعات ذخیره شده در آن خوب نیست. در این جاست که امنیت از طریق کنترل دسترسی به شبکه تامین می شود. پلت فرم NAC قادر به نظارت بر دستگاه های BYOD، مشخص نمودن دستگاه های مجاز به دسترسی یا رد کردن دستگاه های اتصالات خطرناک خواهد بود.

 

کاربرد کنترل دسترسی به شبکه در بخش بهداشت و درمان

امنیت حوزه بهداشت و درمان به دلایل بی شماری به چالش کشیده شده است، از جمله: حجم عظیم اطلاعات شخصی و پزشکی در این بخش (و ارزش بالای این داده ها در بازار سیاه)، شمار شرکای ثالث که با یکدیگر همکاری می کنند؛ و تعداد روزافزون دستگاه های پزشکی که در حال حاضر به اینترنت متصل هستند – و اتصال به شبکه از سراسر جهان. BYOD یک نگرانی رو به رشد در بخش بهداشت و درمان محسوب می شود.

با این حال، صنعت بهداشت و درمان در اسکن شبکه ها عقب مانده است. استقرار نرم افزارهای NAC در حوزه بهداشت و درمان می تواند امنیت کلی را بهبود بخشیده و نیز ارائه دهندگان خدمات بهداشت و درمان را در مسیر مقررات انتقال و پاسخ گويي الکترونيک بيمه سلامت HIPAA)) نگه دارد. پرسنل پزشکی باید به سرعت و به آسانی به اطلاعات بیمار دسترسی داشته باشند، زیرا ممکن است در وضعیت زندگی یا مرگ آنها وجود این اطلاعات حیاتی باشد؛ اما در عین نیاز به دسترسی سریع پرسنل پزشکی به اطلاعات بیمار، کارکنانی که نیازی به دسترسی ندارند باید محدود شوند. این همان جایی است که NAC می تواند به رعایت قوانین و مقررات کمک کند.

 

 

کاربرد کنترل دسترسی به شبکه در دانشگاه ها

محیط دانشگاه ممکن است بزرگترین کابوس حرفه ای برای امنیت باشد. در سطح پایگاه داده، پایگاه کاربری دانشگاه ها هر 4 ماه یکبار تغییر می کند، چرا که دانشجویان ترم جدید وارد شبکه شده و دسترسی دانشجویان فارغ التحصیل باید قطع گردد، اما این دانشجویان همچنان به شبکه دسترسی دارند.

وضعیت کارکنان و اعضای هیات علمی ممکن است کمی پایدارتر باشند، اما آنها هم از طریق چندین دستگاه و از مکان های مختلف از شبکه استفاده می کنند. آژانس های کمک مالی، همکاری با سایر دانشگاه ها و پیمانکاران خارجی متعددی نیز به شبکه دسترسی وجود دارند. علاوه بر اینها، فارغ التحصیلان و والدین نیز خواهان دسترسی به شبکه های دانشگاهی هستند. همه این افراد باید سطح دسترسی متفاوتی داشته باشند.

نرم افزار امنیتی NAC به مدیران فناوری اطلاعات دانشگاه ها کمک می کند اعطای دسترسی و نیز حیطه دسترسی را تعیین و تنظیم نمایند. این نرم افزار همچنین می تواند دسترسی مکانی را کنترل کند – به عنوان مثال دستگاه دانشجو که می تواند در محوطه دانشگاه مورد استفاده قرار گیرد، ممکن است در مکانی تعطیلات وی قابلیت دسترسی نداشته باشد. کنترل NAC همچنین می تواند تعداد دستگاه هایی که یک کاربر می تواند به شبکه متصل شود یا نوع دستگاه های IoT مجاز را تعیین کند. یک پروژه تحقیق حساس ممکن است مجوز ایجاد یک سیستم دوربین امنیتی با دسترسی به شبکه داشته باشد تا بتواند از راه دور نظارت کرد، به عنوان مثال، مجوز هایی که ممکن است به سایر افراد یا ادارات ارائه نشده باشد.