دریافت مقالات

امنیت

اهمیت دسترسی در برقراری امنیت سازمانی از دیدگاه Citrix

104 مشاهده ۳۱ تیر, ۱۳۹۶ 4

بهترین راهکارهای امنیتی از دیدگاه Citrix

با افزایش چشمگیر بدافزار‌ها و باج افزار‌ها، لزوم مدیریت دسترسی‌ها به شکلی دقیق‌تر در سازمان‌ها حس می‌گردد. مهاجمان می‌توانند با به دست آوردن تنها یک نام کاربری و رمز عبور خسارات جبران ناپذیری را ایجاد نمایند. در همین راستا شرکت Citrix با ارائه‌ی بهترین راهکارها، سازمان‌ها را در تامین امنیت لازم یاری می‌نماید.

احراز هویت و دسترسی

بدیهی است که جلوگیری از دسترسی غیرمجاز به برنامه‌های کاربردی، داده‌ها و شبکه یک الزام مهم امنیتی محسوب می‌شود. کاربران فعال در حوزه‌های مختلف کسب‌وکار از جمله کارکنان، مدیران و مسئولین اجرایی غالبا هدف حملات Phishing قرار می‌گیرند. نقص‌های امنیتی مخرب در نگاه اول به شکل ایمیل‌های معتبر و یا URL با اشتباه تایپی به نظر می‌رسند. پس از تصمیم مهاجمان به سرقت اطلاعات اعتباری حتی رمزهای عبور قدرتمند که به طور معمول تغییر می‌یابند، کمک چندانی به محافظت از اقدامات  امنیتی از جمله رمزگذاری پایگاه‌داده‌ در مقابل تهدیدات نمی‌کند. نکته قابل توجه آن است که سرقت یک نام کاربری و رمزعبور ممکن است برای ایجاد دسترسی مهاجمان به سایت‌ها و سرویس‌های مختلف کافی باشد؛ بنابراین یک بی‌دقتی از سوی کاربران در حساب‌کاربری آنها در رسانه‌‌های اجتماعی ممکن است سرویس‌دهی سازمان را در معرض خطر قرار دهد. بدین ترتیب فرآیند مدیریت دسترسی کاربران به دنبال ایجاد یک رویکرد متوازن است که سهولت کاربری و امنیت بیشتری را نسبت به ترکیب ساده‌ی نام کاربری و رمز عبور برای کاربران فراهم نماید.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

اعمال احرازهویت دو‌مرحله‌ای برای تمامی کاربران

با توجه به آسیب‌پذیری رمزهای عبور دربرابر تهدیدات، احرازهویت دومرحله‌ای در برنامه‌های کاربردی و دسکتاپ‌ها به عنوان یک امر حیاتی در ایجاد امنیت مطلوب محسوب می‌گردد. آنچه کاربر می‌داند (رمزعبور) و آنچه که مورد استفاده قرار می‌دهد (برای مثال یک Token فیزیکی) در واقع دو شیوه‌ی متفاوت برای احرازهویت می‌باشند که به‌کارگیری توأم آنها به عنوان یک اصل در احراز هویت دومرحله‌ای مطرح می‌گردد؛ بدین ترتیب حتی در شرایطی که رمزعبور اول در معرض تهدید قرار‌گرفته باشد، از جعل هویت کاربر به میزان قابل‌توجهی جلوگیری می‌شود. در همین راستا برنامه‌های کاربردی قدیمی که به صورت Native از احرازهویت دومرحله‌ای پشتیبانی نمی‌کنند نیز باید به گونه‌ای از آن بهره‌مند گردند که این امر با بهره‌‌گیری از NetScaler و XenApp امکانپذیر می‌گردد.

مدیران IT به منظور تشویق کاربران به استفاده از رمزهای عبور قوی‌تر و در عین حال کاهش پیچیدگی و سردرگمی آنان می‌توانند اقداماتی را درپیش گیرند که تجربه Login با محدودیت‌های کمتر را ایجاد نماید:

  • فرآیند یکسان سازی هویت‌ها (Federation of Identity)

استفاده از سرویس‌های  Cloud به صورت Third-Party به کاربرانی نیاز دارد که بتوانند یک مجموعه‌ دیگر از اطلاعات اعتباری را مدیریت نمایند. با استفاده از Federation of Identity می‌توان عملیات Loginهای جداگانه را از طریق اشتراک فرآیند احراز هویت و داده‌های مرتبط با آن به صورت ایمن در شبکه‌های عمومی حذف نمود. بدین ترتیب سازمان‌ها می‌توانند دسترسی به سرویس‌هایی همچون Microsoft Office 365 را نیز از طریق دایرکتوری کاربران امکانپذیر می‌سازد. در عین حال، در صورت خروج یک فرد از سازمان کارشناسان IT می‌توانند قطع دسترسی وی به تمامی سرویس‌های Third-Party را به سادگیِ قطع دسترسی به منابع داخلی به انجام برسانند. NetScaler و ShareFile از استانداردی با نام SAML پشتیبانی می‌کنند که معمولا فرآیند Federation را مدیریت می‌نماید.

  • قابلیت Single Sign-on یا به اختصار SSO

 قابلیت SSO در محیط‌های Federated  و Non-Federated با رفع نیاز به وارد نمودن User Accountهای یکسان در سیستم‌های متعدد برای چندین بار به ایجاد سهولت بیشتر برای کاربران می‌انجامد. NetScaler از مکانیسم‌های معمول SSO مانند مکانیسم‌های مبتنی بر فرم، مبتنی بر 401 و Kerberos Constrained Delegation پشتیبانی نموده و می‌تواند Cookie‌های مربوط به Siession احرازهویت را نگهداری نماید؛ بدین ترتیب قابلیت SSO در تمام برنامه‌های کاربردی تحت‌ وب و قابل دسترسی از طریق وب‌سایت، داشبورد یا پورتال‌هایی مانند Microsoft SharePoint ارائه می‌شود.

ایجاد کمترین حق دسترسی با استفاده از کنترل دسترسی

کاربران احراز‌ هویت ‌شده بایستی مجاز به دسترسی به برنامه‌های کاربردی، دسکتاپ‌ها و داده‌های مهم و ضروری برای انجام امور باشند که در صورت عدم نیاز، این امتیازات و دسترسی ها محدود می‌گردد. در فرآیند Authorization باید به موارد زیر توجه نمود:

  • برای کاهش ریسک‌های مربوط به بدافزارها، مدیران نباید با Userهای دارای دسترسی Administrator به سیستم‌های خود Login کنند؛ مگر آنکه اجرای برخی وظایف مدیریتی مستلزم برخورداری از اکانت‌ها دارای دسترسی‌های خاص باشد و برای انجام کارهای معمول مانند سرزدن به ایمیل و مرور وب باید از Userهای استاندارد استفاده شود.
  • برنامه‌های کاربردی و سرویس‌ها باید به نحوی پیکربندی شوند که با نیاز به کمترین میزان دسترسی راه‌اندازی شوند و همچنین اکانت‌هایی که برای سرویس‌ها مورد استفاده قرار می‌گیرد باید با حداقل مجوزهای لازم ایجاد گردد.
  • وظایف مدیریتی باید به صورت مجزا انجام شوند تا توان یک کاربر را محدود نموده و مانع اقدام به حمله و پنهان‌سازی آن توسط ادمین متخلف شود.

تعیین دسترسی معمولا با عضویت کاربران در گروه‌ها تعیین می‌گردد، اما این رویکرد ممکن است از قابلیت بررسی دقیق و جزئی (Granularity) مورد نیاز برای موارد کاربری بی بهره باشد. این احتمال وجود دارد که میزان دسترسی متناسب با عواملی همچون وظایف یا موقعیت مکانی خصوصا برای دادن دسترسی Remote برای کارکنان دورکار، کسب‌و‌کار‌های برون‌مرزی و راهکار‌های Third-Party متفاوت باشد. NetScaler این قابلیت را داراست که با ادغام شدن با مکانیسم‌های دسترسی مبتنی بر Role مانند Microsoft Active Directory این امکان را فراهم نماید تا چندین Policy‌ دسترسی از پیش تعریف‌شده متناسب با دو سطح کاربری انفرادی و گروهی ایجاد شود.

کنترل دسترسی: مدیریت دسترسی با تایید اعتبار Endpoint‌ها

سازمان‌ها همگام با بهره‌مندی از مزایای بهره‌وری و رضایتمندی کارکنان از دورکاری و ساعات کاری انعطاف‌پذیر، با نیاز به کنترل دسترسی دقیق‌تر و با جزییات بیشتر مواجه می‌گردند. این احتمال می‌رود که Policy‌های امنیتی بسته به مکان فعالیت کاربر (داخل یا خارج شبکه‌ی سازمانی) و یا تمایزات بین کارکنان Third-Party و سازمانی بتوانند سطوح مختلفی از دسترسی را مجاز نمایند. ایجاد تنوع در Endpoint‌ها و افزایش تکنولوژی BYOD، موجب بروز پیچیدگی‌های بیشتری در فرآیند مدیریت دسترسیِ مبتنی بر تجهیزات شده ‌است. گاهی اوقات برخی از سازمان‌ها دسترسی هرگونه لپ‌تاپ، کامپیوتر، تلفن یا تبلت به شبکه را بدون نیاز به ایجاد هرگونه محدودیت در ارتباط با بدافزارها، آنتی‌ویروس‌ها یا برنامه‌های کاربردی مجاز می‌دانند.

برترین راهکارهای شرکت Citrix بر اساس ترکیبی از خصوصیات کاربر، دستگاه، موقعیت مکانی، منبع و عملکرد به ارائه سطح قابل قبولی از دسترسی برای برنامه‌های کاربردی و داده‌ها تاکید می‌نماید‌. NetScaler پیش از اعطای مجوز، اقدام به بررسی Endpoint می‌نماید تا از صحت عملکرد و تطبیق‌پذیری در زمینه‌ی عضویت در دامین، فعال بودن آنتی‌ویروس و محافظت در برابر بدافزارها اطمینان حاصل نماید. این آنالیز Policy SmartAccess را قادر می‌سازد تا Policy‌های سازگار با Session را بر مبنای پنج اصل مربوط به دسترسی (چه‌کسی، چه‌چیزی، چه زمانی، کجا و چرا) ایجاد نماید. مدیران با NetScaler از انعطاف‌پذیری کاملی برای تعریف سناریوهای مختلف دسترسی و قواعد و مقررات مربوطه بر اساس نیاز سازمان بهره‌مند می‌شوند، ضمن اینکه آزادی عمل لازم برای فعالیت از هر دستگاهی را برای کاربران امکانپذیر می‌نمایند. لازم به ذکر است که در رابطه با تجهیزات فاقد تطبیق‌پذیری نیز می‌توان کاربران را قرنطینه نمود و دسترسی آنها به سایت‌ها و منابع را محدود ساخت.

مطلب مفید بود؟


?