دیتاسنترها از فرآیند مجازیسازی سرور برای ارائهی هرچه سریعتر و کارآمدتر سرویسها استفاده مینمایند و این موضوع در حالی است که چالشهای جدیدی همگام با مجازیسازی دیتاسنترها مطرح میشود که مستلزم ملاحظات ویژهی امنیتی بوده و فراتر از اقدامات ضروری برای محافظت از تجهیزات فیزیکی میباشد.
ماشینهای مجازی (VM) در دیتاسنترهای مجازیسازیشده به دلیل وقوع مکرر تغییرات، جابجایی و افزایش ماشینها از انعطافپذیری بالایی برخوردار میباشند. بدین معنا که اضافه نمودن Policyهای امنیتی در ایجاد Instanceهای ماشین مجازی و همچنین ردیابی این Policyها جهت تضمین تطبیقپذیری آن با قوانین با وجود جابجایی ماشینهای مجازی، پیچیده میگردد. به طور خلاصه ماهیتِ Dynamic و انعطافپذیر مجازیسازی به راحتی منجر به از دست رفتن قابلیت دید (Visibility) و کنترل میگردد که در محیطهای فیزیکی مورد توجه قرار نمیگیرد.
کارشناسان امنیت و شبکه باید یک رویکرد ظریف و متوازن را بین ارائه مزایای مجازیسازی و تکنولوژیهای Cloud بدون ایجاد خدشه در امنیت سازمان در پیش گیرند. رفع این چالش تنها با بهکارگیری نسل جدیدی از راهکارهای امنیتی حاصل میشود؛ راهکارهایی که همگام با روند رو به تکامل تهدیدات پیش رفته و در عین حال با قابلیت مقیاسپذیری (Scalability) و چابکی (Agility) در محیطهای Cloud و مجازیسازیشده تطبیق مییابد، بدون اینکه به قابلیت دید، کنترل و اطمینان خدشه وارد نماید.
Juniper میتواند این چالشها را با گسترش قابلیتهایJuniper Networks SRX Series Services Gateways به دنیای مجازی از طریق vSRX Services Gateway پشت سر بگذارد. سیستم عاملJuniper Networks Junos این توانایی را برای vSRX فراهم میکند تا یک راهکار امنیتی مجازیِ کامل و یکپارچه را در اختیار سرویسدهندگان و سازمانها قرار دهد که شامل سرویسهای امنیتی پیشرفته L4 تا L7، شبکههای قدرتمند و قابلیتهای مدیریت چرخهی عمر خودکار میگردد.
قابلیتهای خودکار vSRX برای آمادهسازی از طریق Junos Space Virtual Director فعال شده و این امکان را برای مدیران حوزهی شبکه و امنیت فراهم میکند تا به صورت سریع و کارآمد اقدام به آمادهسازی و توسعه فایروال نموده و به این ترتیب نیازهای Dynamic در محیطهای مجازیسازیشده و Cloud را تامین نمایند. مدیران با ترکیب برنامههای آمادهسازی vSRX با Junos Space Security Directo میتوانند از یک پلتفرم متمرکز و معمولی به بهبود قابل توجه در روند تنظیم، مدیریت و قابلیت دید Policy در تجهیزات فیزیکی و مجازی بپردازند.
برای سرویسدهندگان و سازمانهایی که برنامههای کاربردی مبتنی بر سرویس را به صورت نرمافزاری پیادهسازی میکنند، مجموعه شبکهی مجازی و سرویسهای امنیتی در vSRX به پشتیبانی از طیف وسیعی از کاربردهای Network Functions Virtualization یا به اختصار NFV میپردازد. علاوه بر این، vSRX میتواند از Juniper Networks Contrail، OpenContrail و سایر راهکارهای Third-Party نیز پشتیبانی کرده و با ابزارهای Next-Generation برای تنظیماتCloud مانند OpenStack به صورت مستقیم و یا به واسطهی APIهای قدرتمند یکپارچه گردد.
معماری و اجزای vSRX Services Gateway
سرویسهای امنیتی پیشرفته
اجرای سیستمهای قدیمی و غیریکپارچه که پیرامون فایروالهای سنتی، تجهیزات مستقل و نرمافزارها صورت میگیرد، درحالحاضر برای محافظت در برابر حملات پیشرفته کافی نمیباشد. مجموعه پیشرفته امنیتی Juniper به کاربران این امکان را میدهد تا به منظور تامین نیازهای منحصربهفرد و رو به تکامل سازمانهای مدرن و اهداف همواره در حال تغییر تهدیدات، اقدام به پیادهسازی تکنولوژیهای گوناگون نمایند. علاوه بر آن، هدف از بهروزرسانیهای Realtime آن است که تکنولوژیها، Policyها و سایر اقدامات امنیتی همواره جدید باشند. vSRX با استفاده از AppSecure میتواند یک مجموعه قدرتمند و چندمنظوره از سرویسهای امنیتی پیشرفته را به طور خاص در حوزه مجازیسازی ارائه نماید که شامل مدیریت یکپارچهی تهدیدات (UTM)، سیستم شناسایی و پیشگیری از نفوذ (IDP) و سرویسهای ارائهدهندهی قابلیت دید و کنترل برنامههای کاربردی میشود.
مدیریت یکپارچهی تهدیدات (UTM)
vSRX با بهرهمندی از بهترین نوع آنتیویروس، آنتیاسپم، قابلیت فیلترینگ وب و ویژگیهای فیلترینگ محتوا به محافظت از دادهها در برابر بدافزارها، حملات Phishing، ویروسها، نفوذها، اسپمها و سایر تهدیدات پرداخته و امنیت کامل آنها را تامین مینماید.
در جدول زیر ویژگیها و مزایای vSRX UTM بیان شده است:
ویژگی | تعریف ویژگی | مزایا |
آنتیویروس | · قابلیتهای Reputation و مبتنی بر Cloud آنتیویروس موجب شناسایی و مسدود نمودن Spyware، adware، Keyloggerها، ویروسها و سایر بدافزارها در پروتکلهای POP3، HTTP، SMTP و FTP میشود.
· ارائه سرویس با همکاری Sophos Labs که در ارائهی تکنولوژیهای مقابله با بدافزار پیشرو میباشد. |
· محافظت پیشرفته از سوی کارشناسان برجسته در حوزهی آنتیویروسها در برابر حملات بدافزاری و حملاتی که منجر به هزینههای سنگین ناشی از نقص امنیتی دادهها و کاهش بهرهوری میشود. |
فیلترینگ وب | · فیلترینگ وب پیشرفته شامل دستهبندیهای مختلف (بیش از 90 دستهبندی) و ارائه کارتهای Real-Time با همکاری Websense است که از پیشتازان حوزه امنیت در وب است. | · محافظت در برابر کاهش بهرهوری و تاثیر URLهای مخرب، همچنین کمک به حفظ پهنای باند شبکه برای ترافیکهای ضروری در کسبوکار |
فیلترینگ محتوا | · فیلترینگ موثر محتوا در داخل و خارج از محدوده براساس نوع MIME، پسوند فایل و دستورات پروتکل | · محافظت در برابر انتقال فایل مخرب یا اشتباه و محتوای مخرب برروی شبکه به منظور به حداقل رساندن ریسک تهدید یا نشت دادهها |
آنتیاسپم | · محافظت چندلایه در برابر اسپمها، شناسایی Phishing URLهای بهروز، رمزگذاری Open PGP و TLS و S/MIME مبتنی بر استاندارد، MIME و Blockerها به صورت Extension همراه با Sophos Labs | · محافظت در برابر تهدیدات پیشرفته و مداوم از طریق حملات شبکههای اجتماعی و محافظت در برابر جدیدترین Phishing Scamها با فیلترینگ E-Mail به صورت پیچیده و Blockerهای محتوا |
سیستم پیشگیری از نفوذ (IPS)
Intrusion prevention system یا به اختصار IPS، برای vSRX به کنترل دسترسی در شبکهها پرداخته و به این ترتیب از سیستمها در برابر حملات محافظت میکند. این کنترل از طریق بررسی دادهها و انجام اقداماتی همچون مسدود کردن حملات همزمان با گسترش یافتن و قبل از موفقیت آنها و یا تدوین برخی قواعد در فایروال صورت میگیرد. IPS به ادغام ویژگیهای امنیتی در برنامههای کاربردی Juniper با زیرساخت شبکه میپردازد تا در راستای کاهش هرچه بیشتر تهدیدات و محافظت بیشتر در برابر طیف وسیعی از تهدیدات و آسیبپذیریها عمل نماید.
در جدول زیر به ویژگیهای و مزایای vSRX IPS پرداخته شده است:
ویژگی | شرح ویژگی | مزایا |
بررسی Signatureهای Stateful | Signatureها تنها برروی بخشهای مرتبط از ترافیک شبکه به کار میروند که توسط ساختار پروتکل تعیین میشود. | به حداقل رساندن میزان اعلام خطاهای نادرست (False Positive) و ارائه Signature منعطف |
کدبرداری (Decode) پروتکل | پشتیبانی از بیش از 65 روند Decode پروتکل، همراه با بیش از 500 ساختار برای تضمین کاربرد مناسب پروتکلها | میزان دقت Signatureها از طریق ساختار دقیق پروتکلها بهبود مییابد. |
Signatureها | وجود بیش از 8.500 Signature برای شناسایی اختلالات، حملات، Spywareها و برنامههای کاربردی | شناسایی دقیق حملات و تلاش برای Exploit نمودن آسیبپذیریهای شناختهشده |
نرمالسازی ترافیک | گردآوری مجدد، نرمالسازی و Decode نمودن پروتکل | غلبهی سیستم بر تلاشهای صورتگرفته جهت گریز از سایر فرآیندهای شناسایی IPS با استفاده از روشهای مختلف Obfuscation |
محافظت Zero-Day | شناسایی اختلالات پروتکل و پوشش آسیبپذیریهای تازه کشفشده در هنگام وقوع | محافظت از شبکهها در برابر هرگونه Exploit جدید |
Policyهای توصیهشده | شناسایی Signatureهای حملات توسط تیم امنیتی Juniper، که محافظت در برابر آنها در سازمانها از اهمیت حیاتی برخوردار است. | تسهیل فرآیندهای نصب و نگهداری و در عین حال اطمینان از برقراری بالاترین سطح امنیت در شبکه |
مانیتورینگ ترافیک به صورت Active-Active | مانیتورینگ IPS شامل کلاسترهایActive-Active vSRX Chassis | پشتیبانی از مانیتورینگ Active-Active IPS |
Packet Capture | پشتیبانی IPS Policy از فرآیند Log نمودن Packet Capture بر اساس هر یک از قواعد | امکان انجام آنالیز بیشتر برروی ترافیک اطراف و تعیین مراحل بیشتر برای محافظت از موارد هدف |
قابلیت دید و کنترل برنامههای کاربردی با AppSecure
AppSecure به عنوان یک مجموعه امنیتی نوین برای vSRX و SRX Series Services Gateways میباشد که قابلیت دید (Visibility) نسبت به تهدیدات، محافظت، اجرا و کنترل را ارائه میکند.
در صورت نیاز به آگاهی از تعداد کاربرانی که هرروزه به برنامههای کاربردی مبتنی بر Cloud از همانند Facebook دسترسی دارند یا نیاز به شناخت برنامههای کاربردی با بیشترین مصرف پهنای باند، AppSecure میتواند اقدام به فراهم آوردن قابلیت دید قدرتمند و ردیابی مداوم برنامههای کاربردی نموده و به این ترتیب درک درستی از مسائل فوق ارائه نماید. با Open Signatureها میتوان مجموعههای خاصی از برنامههای کاربردی را مانیتور، ارزیابی و کنترل نمود و آنها را با اولویتهای کسبوکار در سازمان مرتبط ساخت.
در جدول زیر ویژگیها و مزایایAppSecure برای vSRX نمایش داده شده است:
ویژگی | تعریف ویژگی | مزایا |
AppTrack | آنالیز دادههای برنامه کاربردی و دستهبندی آنها براساس میزان ریسک، محدودهها، آدرسهای منبع و مقصد | ردیابی روند استفاده از برنامههای کاربردی به منظور شناسایی برنامههای کاربردی با ریسک بالا و آنالیز الگوهای ترافیک که به بهبود مدیریت و کنترل شبکه میانجامد. |
AppFW | تدوین Policyهای کنترل برنامه کاربردی که مجاز بودن ترافیک یا مسدود نمودن آن را بر اساس نام برنامه کاربردی پویا یا مجموعهای از نامها میسر مینماید. | ارتقای روند ایجاد و اجرای Policyهای امنیتی براساس برنامههای کاربردی به جای تجزیهوتحلیل بر اساس پروتکل یا پورتهای قدیمی |
AppQos | اندازهگیری و تشخیص ترافیک بر اساس Policyهای امنیتی ارائه شده توسط مدیر برای برنامههای کاربردی | اولویتبندی ترافیک و تعیین حدود و شکل ترافیک براساس اطلاعات و ساختار برنامههای کاربردی با هدف هدف بهبود عملکرد کلی |
ـــــــــــــــــــــــــــــــــــــــــ
آشنایی با vSRX Services Gateway و ویژگی های آن – قسمت اول
آشنایی با vSRX Services Gateway و ویژگی های آن – قسمت دوم (پایانی)