دریافت مقالات

امنیت

ایجاد امنیت و کنترل دسترسی متمرکز با BIG-IP APM

163 مشاهده ۲۶ اسفند, ۱۳۹۶ 3

ایجاد امنیت و کنترل دسترسی متمرکز با BIG-IP APM

با توجه به اینکه در مقالات پیشین به بررسی مزایای استفاده از BIG-IP APM پرداخته شده است، در این مقاله به بررسی ویژگی های امنیتی و همچنین کنترل دسترسی متمرکز و داینامیک F5 Big-IP  می پردازیم. 

کنترل دسترسی Dynamic و متمرکز

BIG-IP APM با فراهم نمودن تصمیم‌های دسترسی با توجه به ساختار و مبتنی بر Policy، تطبیق‌پذیری در مقیاس‌های بالا را با استانداردهای امنیتی (و مقررات صنعتی و دولتی) تقویت می‌کند و در همین‌حال اطمینان حاصل می‌کند که کاربران بتوانند با امکان دسترسی مناسب به برنامه‌ها، کارایی خود را حفظ نمایند.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

ویرایشگر پیشرفته‌یVisual Policy Editor

ویرایشگر پیشرفته‌ی Visual Policy Editor یا به اختصار VPE که مبتنی بر GUI می‌باشد، طراحی و مدیریت Policyهای کنترل دسترسی جزئی و دقیق را بر مبنای فرد یا گروه، تسریع و تسهیل می‌نماید. با استفاده از VPE کاربر می‌تواند با سرعت و کارآمدی بالا Policyهای دسترسی Dynamic را تنها با چند کلیک بسازد یا ویرایش نماید.

برای مثال، می‌توان یک Policy سرور احراز هویت را طراحی کرد که با RADIUS تجمیع شده باشد، هنگامی که فرآیند Authentication  کامل شد منابعی را برای دسترسی تعیین کرد یا در صورت عدم تطبیق با Policy، دسترسی را منع نمود. یک Agent تعیین موقعیت فیزیکی Lookup و Logging خودکار را فراهم آورده و این امر فرآیند پیکربندی را تسهیل می‌نماید و به کاربر امکان می‌دهد که قوانین دسترسی‌اش را با توجه به Policy تعیین موقعیت فیزیکیِ سازمان خود، سفارشی‌سازی کند.

همچنین VPE قادر به تعریف قوانین بیشتری برای هر مسیر URL می‌باشد، برای مثال می‌تواند یک Policy برای محدود کردن دسترسی برنامه، شبکه و Cloud را بر اساس آدرس‌های IP، یا در یک زمان خاص از روز، یا Attributeهای مبتنی بر هویت فعال کند. با متمرکز کردن و تسهیل ایجاد و مدیریت Policyهای متنی و محتوایی، VPE به کاربر کمک می‌کند که به صورت مقرون به صرفه‌تری به کنترل دسترسی بپردازد.

ایجاد امنیت و کنترل دسترسی متمرکز با BIG-IP APM

VPE پیشرفته ایجاد، اصلاح و مدیریت Policyهای دسترسی جزئی و دقیق و ساختارمند را تسهیل می‌کند.

کنترل دسترسی بصورت Dynamic

BIG-IP APM با استفاده از لیست‌های کنترل دسترسی (ACLها) احراز هویت برای دسترسی و همچنین کاربران را با ACLهای لایه 4 و لایه 7 که به صورت Dynamic اعمال شده، در یک Session مجاز می‌نماید. از هردوی ACLهای L4 و L7، براساس وضعیت Endpoint به عنوان یک نقطه اعمال Policy، پشتیبانی می‌شود. BIG-IP APM با استفاده از ACLهای (L7 (HTTP که Dynamic هستند به ازای هر Session، توانایی دسترسی فرد و گروه را به برنامه‌ها و شبکه‌های تأیید شده فراهم می‌نماید. می‌توان با استفاده از Visual Policy Editor  به سرعت و به سادگی ACLها را ایجاد نمود.

تعیین Policyهای دسترسی

BIG-IP APM به کاربر امکان می‌دهد که Policyهای دسترسی را برای احرازهویت و حق‌دسترسی و همچنین بازرسی امنیتی Endpoint اختیاری را به منظور اعمال تطبیق‌پذیری کاربر با Policyهای سازمانی طراحی نماید. می‌توان یک پروفایل دسترسی برای تمام ارتباطات تعریف کرد که ممکن است از هر دستگاهی صورت پذیرند، یا اینکه می‌توان چندین پروفایل برای روش‌های دسترسی متفاوت از دستگاه‌های مختلف ساخت که هر کدام Policy دسترسی خاص خود را داشته باشند. برای مثال، می‌توان یک Policy برای احراز هویت دسترسی برنامه‌ها یا اتصالات ACL به صورت داینامیک ایجاد نمود. با وجود این Policyها، شبکه‌ ساختارمند شده و از هویت کاربر، نحوه، زمان و مکان تلاش برای دسترسی به برنامه آگاه شده و به صورت کلی شرایط شبکه قابل مشاهده می‌گردد.

احراز هویت مبتنی بر ساختار

BIG-IP APM هویت یا به عبارتی Identity را وارد شبکه می‌کند و نقطه‌ی کنترلی تسهیل‌شده و مرکزی برای دسترسی کاربر فراهم می‌سازد. وقتی ده‌ها هزار کاربر به برنامه دسترسی پیدا می‌کنند، BIG-IP APM پردازش رمزگذاری SSL را Offload کرده و سرویس‌هایAuthentication  وAuthorization  را فراهم می‌آورد و به صورت اختیاری یک اتصال SSL امن به سرور برنامه برقرار می‌نماید. حق دسترسی مبتنی بر ساختار، بر روی برنامه‌ها، شبکه و Cloud Navigation متعلق به کاربر کنترلی کامل، امن و مبتنی Policy فراهم می‌آورد.

برقراری امنیت در ساختار شبکه با استفاده از Big-IP APM

BIG-IP APM با ایجاد تصمیم‌های ساختارمند و مبتنی بر Policy، تطبیق‌پذیری شرکتی را با استانداردهای امنیتی، کنترل‌های شرکتی و مقررات صنعتی و دولتی تقویت می‌کند. این امر باعث می‌شود اطمینان حاصل شود که کاربران اثربخشی خود را با برنامه‌ی مناسب، شبکه و دسترسی Cloud حفظ می‌کنند.

تکنولوژی‌های VPN

BIG-IP APM با BIG-IP Edge Client برای کارکنان از راه دور (Remote) و سیار، دسترسی از راه دورِ امنی به SSL VPN با محوریت ساختار و Identity فراهم می‌کند. BIG-IP APM برای اتصالات از راه دور (Remote)، یک وضعیت امنیت لایه‌ای انتقال دیتاگرام (Datagram Transport Layer Security (DTLS ارائه می‌کند که برنامه‌هایی را که به تأخیر حساس هستند ایمن ساخته و Tunnel می‌نماید.

برای ترافیک بین دفترهای شعبات یا دیتاسنترها، رمزگذاری IPsec فعال شده و سازمان‌ها با استفاده از تکنولوژی‌های VPN در راهکار دسترسی یکپارچه‌ی BIG-IP APM، در تمام زیرساخت‌های جهانیِ خود و فراتر از آن، امنیت End-to-End به دست می‌آورند.

ایجاد امنیت در Endpoint

BIG-IP APM می‌تواند از طریق یک مرورگر وب یا از طریق کنسول BIG-IP Edge Client به بررسی وضعیت امنیتی یک Endpoint و تعیین این که آیا تجهیز مربوطه، بخشی از دامین شرکتی است یا خیر، بپردازد. سپس بر اساس نتایج، می‌تواند ACLهای Dynamic را برای ارائه‌ی امنیت با توجه به ساختار تعیین کند.

BIG-IP APM شامل بیش از ده‌ها نوع بازرسی Endpoint با پیکربندی از پیش تعیین شده و مجتمع، از جمله نوع سیستم‌عامل، نرم‌افزار آنتی‌ویروس، فرآیند، تأیید اعتبار ارزش ثبت و مقایسه (فقط در ویندوز)، همچنین آدرس MAC دستگاه، CPU ID و HDD ID می‌باشد. برای تجهیزات موبایل که از سیستم عامل Apple iOS یا Google Android استفاده می‌کنند، موتور بررسی Endpoint اقدام به بررسی UDID دستگاه کرده تا مشخص شود که دستگاه Jailbreak یا Root شده است یا خیر. وقتی که BIG-IP APM به همراه راهکارهای مدیریت دستگاه‌های موبایل و مدیریت دستگاه‌های Remote سازمانی مانند راهکارهای AirWatch کمپانی VMware و MaaS360 که توسط Fiberlink شرکت IBM ساخته شده، به کار گرفته شود، می‌تواند از طریق BIG-IP Edge Client از هر بررسی امنیتی و یکپارچگی دستگاه که توسط راهکارهای MDM یا EMM اجرا می‌شوند، بهره‌مند گردند. سپس می‌تواند براساس وضعیت امنیتی دستگاه، Policyهایی را با توجه به ساختار تعیین کند و از طریق آن Policyهای دسترسی به برنامه، شبکه و Cloud را از دستگاه یک کاربر فعال، اصلاح یا غیرفعال نمایند. مدیران می‌توانند Attributeهای سخت‌افزاری را به Role یک کاربر Map نمایند تا نقاط تصمیم‌گیری (Decision Pointها) به منظور کنترل دسترسی مجاز شوند. در انتهای یک Session کاربر، یک Cache Cleaner مرورگر، هر داده‌ی حساسی که وجود داشته باشد را پاک‌سازی می‌نماید.

Webtopهای داینامیک

Webtopهای داینامیک، لیستی از برنامه‌های مبتنی بر وب و مجازی‌سازی‌شده را به نمایش می‌گذارند که پس از احراز هویت در دسترس کاربر قرار می‌گیرند. محتوای Webtop به صورت داینامیک بوده و تنها آن منابعی را نشان می‌دهد که کاربر اجازه‌ی دسترسی به آن را دارا می‌باشد. وب‌تاپ طبق هویت و ساختار کاربر و عضویت وی در گروه‌ها، قابل شخصی‌سازی شدن بوده و این Webtopها را می‌توان با SSO که قابلیت SAML داشته باشد، راه‌اندازی نمود؛ تا تجربه‌ی کاربری یک‌پارچه‌ای ایجاد گردد.

بررسی Application Tunnel

اگر یک Endpoint با Policy تعریف‌شده‌ی وضعیت امنیتی کاربر تطبیق نداشته باشد، یک Application Tunnel می‌تواند دسترسی به برنامه‌ی خاصی را بدون ریسک باز شدن یک Tunnel دسترسی شبکه‌ی کامل فراهم نماید. برای مثال، کاربران می‌توانند به سادگی روی Clientهای Microsoft Outlook خود کلیک کنند تا به صورت ایمن به ایمیل آن‌ها دسترسی پیدا کنند، لازم به ذکر است که کاربر ممکن است در هر کجای جهان قرار داشته باشد. Application Tunnel همچنین برای WAN بهینه‌سازی شده‌اند تا به طور کارآمدی برای کاربران محتوا فراهم نمایند.

دسترسی ایمن با Patching جاوا

معمولاً کاربر یک Java Applet مثل شبیه‌ساز پایانه‌ی IBM یا IBM Terminal Emulator را باز نموده و این Applet اتصالات شبکه‌ای روی پورت‌های دلخواه را باز می‌کند، که این پورت‌ها ممکن است توسط فایروال‌ها مسدود شده و برای ایمن‌سازی ترافیک، از SSL استفاده کنند. این موضوع باعث می‌شود که Applet برای کارمندان Remote در دسترس نباشد. BIG-IP APM با بازنویسی جاوا سرورهای Java Applet را به صورت Real Time منتقل یا «Patch» می‌کند تا Clientهایی که برنامک‌ها را اجرا می‌کنند بتوانند دوباره از طریق BIG-IP APM با استفاده از یک Session احراز هویت‌شده‌ی BIG-IP APM، متصل شوند. BIG-IP APM جاوای Patch شده را یک بار بازنویسی می‌کند و آن را در RAM Cache ذخیره می‌کند، در نتیجه نیازی نیست که هربار بازنویسی انجام شود.

دسترسی و امنیت جامع برنامه

با پلتفرم BIG-IP کارآمد و چندجانبه، می‌توان بدون از دست دادن میزان دسترسی، از امنیت در برنامه نیز برخوردار بود. BIG-IP APM و BIG-IP Application Security Manager یا به اختصار ASM و فایروال برنامه‌ی وب مقیاس‌پذیر، با یکدیگر بر روی تجهیزات BIG-IP LTM اجرا می‌شوند تا از برنامه‌ها در مقابل حمله محافظت نموده و در همین حال کنترل دسترسی منعطف، چند لایه و جزئی و دقیق فراهم کنند. حمله‌ها بلافاصله فیلتر می‌شوند تا از دسترس‌پذیری و امنیت برنامه‌ها و تجربه‌ی کاربری بهینه اطمینان حاصل گردد. این راهکار مجتمع به کاربر کمک می‌کند از تطبیق با مقررات محلی و منطقه‌ای، از جمله PCI DSS مطمئن شود تا جریمه‌های عدم انطباق به حداقل برسد و از سازمان خود در برابر از دست رفتن داده محافظت کند. و از آن‌جایی که نیازی یه معرفی Appliance جدید به شبکه نیست، کاربر می‌تواند با یک راهکار All-In-One در هزینه‌های خود صرفه‌جویی نماید.

مطلب مفید بود؟


?