همه ی نوشته های:Ms Sobhani

در دنیای دیجیتالی امروز، شاید کمتر کسی پیدا شود که واژه رمز ارز را نشنیده باشد؛ حال در این عصر پر از کلاهبرداری چطور می توان اثبات کرد که تراکنش انجام گرفته یا اصلا طرف مقابل ما تراکنش رو انجام داده است یا خیر؟ همانطور که هر دردی چاره ای دارد، چاره این چنین مسائل نیز بلاک چِین ها هستند.

امنیت بلاک چین چیست؟

امنیت بلاک چین یک سیستم مدیریت ریسک جامع برای شبکه بلاک چین است که از چارچوب های امنیت سایبری، خدمات تضمینی و بهترین شیوه ها برای کاهش خطرات در برابر حملات و کلاهبرداری استفاده می کند. به طور کل، امنیت بلاک‌چین به مجموعه‌ای از تکنیک‌ها و پروتکل‌ها اشاره دارد که به منظور حفظ سلامت، شفافیت، و مقاومت در برابر تهدیدات در شبکه‌های مبتنی بر بلاک‌چین استفاده می‌شود. بلاک‌چین با استفاده از تکنولوژی رمزنگاری پیشرفته، تضمین می‌کند که داده‌ها در هر بلوک غیرقابل تغییر هستند و تنها با اجماع کاربران شبکه می‌توان تغییراتی در آن‌ها ایجاد کرد. این ویژگی، حملات مخربی مانند دستکاری داده‌ها یا دو بار خرج کردن ارزهای دیجیتال را تقریباً غیرممکن می‌کند.

علاوه بر این، معماری غیرمتمرکز بلاک‌چین باعث می‌شود که هیچ نقطه‌ی مرکزی برای حمله وجود نداشته باشد، و این امر به افزایش امنیت شبکه کمک می‌کند. هرچند بلاک‌چین به خودی خود ایمن است، حملات خارجی مانند حملات ۵۱٪ یا مشکلات امنیتی در لایه‌های کاربردی (مثل کیف پول‌ها) می‌توانند امنیت شبکه را تهدید کنند.

چگونه بلاک چین امنیت اطلاعات را تضمین می کند؟

امنیت اطلاعات در بلاک چین از طریق هش‌های رمزنگاری تأمین می‌شود. هش رمزنگاری، یک تابع ریاضی است که داده‌ها را به یک رشته‌ی منحصر‌به‌فرد از اعداد و حروف تبدیل می‌کند. هر بلوک در بلاک چین شامل داده‌های تراکنش، هش بلوک قبلی و هش اختصاصی خود است. این مکانیزم به بلاک چین اجازه می‌دهد تا ساختاری متصل و پیوسته داشته باشد که این موضوع تغییر یا دستکاری داده‌ها را عملاً غیرممکن می‌کند.

اگر کوچکترین تغییری در محتوای یک بلوک اعمال شود، هش آن تغییر می‌کند و زنجیره‌ی بلوک‌ها به هم می‌ریزد، زیرا هش بلوک‌ها به هم وابسته هستند. به این دلیل، هر گونه تلاش برای دستکاری داده‌ها به سرعت قابل شناسایی است، زیرا با هش‌ها دیگر مطابقت نخواهند داشت. این مکانیسم به بلاک چین توانایی محافظت در برابر تغییرات و حملات را می‌دهد، که یکی از دلایل اصلی استفاده از این تکنولوژی برای ذخیره اطلاعات حساس مانند تراکنش‌های مالی و قراردادهای هوشمند است.

همچنین، روش‌های رمزنگاری قوی برای افزایش امنیت بیشتر استفاده می‌شوند، تا فقط افراد مجاز بتوانند به داده‌ها دسترسی پیدا کنند و تراکنش‌های امنی انجام دهند. این روش‌ها شامل امضای دیجیتال و کلیدهای عمومی و خصوصی هستند.

امنیت اطلاعات در بلاک چین از طریق سازوکارهای الگوریتم اجماع مانند اثبات کار (PoW) و اثبات سهام (PoS) تضمین می‌شود. این سازوکارها پروتکل‌هایی هستند که برای تایید و اعتبارسنجی تراکنش‌ها استفاده می‌شوند و به حفظ یکپارچگی شبکه و جلوگیری از حملات کمک می‌کنند.

اثبات کار (PoW)

در مکانیسم اثبات کار (PoW)، ماینرها برای حل مسائل ریاضی پیچیده رقابت می‌کنند تا یک بلوک جدید را به زنجیره اضافه کنند. این فرایند نیاز به قدرت محاسباتی بالا دارد و زمانی که یک ماینر موفق به حل این مسئله شود، تراکنش‌های موجود در آن بلوک تأیید و به بلاک چین اضافه می‌شوند. یکی از مزایای اصلی PoW این است که حمله به شبکه و تغییر داده‌ها بسیار دشوار و پرهزینه است، زیرا مهاجم نیاز به کنترل بیش از نیمی از توان محاسباتی شبکه (حمله ۵۱ درصدی) دارد.

اثبات سهام (PoS)

در مکانیسم اثبات سهام (PoS)، به جای استفاده از قدرت محاسباتی، تایید تراکنش‌ها بر اساس میزان سهام یا دارایی شرکت‌کنندگان در شبکه انجام می‌شود. در این روش، اعتبارسنجان یا نودهای منتخب که دارای سهام بیشتری هستند، مسئولیت تایید تراکنش‌ها و ایجاد بلوک‌های جدید را بر عهده دارند. PoS انرژی کمتری مصرف می‌کند و حملات به شبکه از طریق دستکاری سهام یا مالکیت بزرگ تر نیز دشوارتر می‌شود.

مزایای سازوکارهای اجماع

این مکانیسم‌ها نقش حیاتی در امنیت بلاک چین ایفا می‌کنند:

1. جلوگیری از حملات: با PoW، حملات مبتنی بر قدرت محاسباتی و در PoS، حملات مبتنی بر مالکیت زیاد دشوارتر می‌شوند.
2. تأیید همزمان: همه اعضای شبکه باید به اجماع برسند که تراکنش معتبر است، و این تضمین می‌کند که هیچ نود مخربی نمی‌تواند به تنهایی داده‌ها را تغییر دهد.
3. غیرمتمرکز بودن: عدم وجود مرجع مرکزی در این مکانیسم‌ها به امنیت بیشتر و مقاومت در برابر حملات کمک می‌کند.

این مکانیسم‌ها در کنار هش‌های رمزنگاری و ساختار زنجیره‌ای بلوک‌ها، بلاک چین را به یک فناوری امن برای ذخیره و انتقال اطلاعات تبدیل می‌کنند.

نود در بلاک چین چیست؟

نود (Node) در بلاک چین به هر دستگاه یا کامپیوتری اطلاق می‌شود که به شبکه بلاک چین متصل است و در مدیریت، تأیید، و نگهداری تراکنش‌ها و داده‌های شبکه شرکت می‌کند. نودها با یکدیگر در ارتباط هستند و وظیفه آن‌ها تأیید تراکنش‌های جدید و ذخیره‌ی تاریخچه‌ی بلاک چین است. برخی از نودها، به نام نودهای کامل (Full Nodes)، تمام تاریخچه بلاک چین را دانلود و ذخیره می‌کنند و هر تراکنش یا بلوک جدید را به‌صورت مستقل بررسی می‌کنند. این نودها تضمین می‌کنند که قوانین شبکه رعایت می‌شود و داده‌ها درست و امن هستند.

نودها نقش حیاتی در غیرمتمرکز بودن و امنیت بلاک چین ایفا می‌کنند. هر نود یک نسخه از کل بلاک چین یا بخشی از آن را نگه می‌دارد و به پردازش و تایید تراکنش‌ها کمک می‌کند. برخی نودها، مانند نودهای ماینر (Mining Nodes) یا نودهای اعتبارسنج (Validator Nodes)، وظیفه ایجاد و تایید بلوک‌های جدید را بر عهده دارند .

امنیت پایه ای بلاک چین

تکنولوژی بلاک چین ساختاری از داده را با خصوصیات امنیتی ذاتی و بر اساس اصول رمزنگاری، تمرکز زدایی و اجماع (Consensus) تولید می کند که اعتماد در تراکنش ها را تضمین می کند. در بیشتر بلاک چین ها یا تکنولوژی های دفتر کل توزیع‌شده (DLT)، داده‌ به صورت بلوک‌هایی ساختار یافته‌ و هر بلوک شامل یک تراکنش یا بسته‌ای از تراکنش‌ها است.

بلوک های جدید به گونه ای به همه بلوک های قبل از خود در یک زنجیره رمزنگاری متصل شده اند که دستکاری در آن تقریباً غیرممکن است. تمام تراکنش‌های درون بلوک‌ها توسط یک مکانیسم اجماع تایید شده و مورد توافق قرار می‌گیرند، در نتیجه صحت و درستی هر تراکنش تضمین می‌شود.

تمرکز زدایی تکنولوژی بلاک چین از طریق مشارکت اعضا در یک شبکه توزیع شده ممکن می شود. هیچ نقطه شکستی وجود ندارد و هیچ کاربری نمی تواند به تنهایی رکورد تراکنش ها را تغییر دهد. با این وجود، تکنولوژی های بلاک چین در برخی از جنبه‌های امنیتی حیاتی از همدیگر متفاوت هستند.

چگونه امنیت بر اساس انواع بلاک چین ها متفاوت می شود؟

تفاوت شبکه‌های بلاک چین می‌تواند در این باشد که چه کسی می‌تواند مشارکت کند و چه کسی به داده‌ دسترسی دارد. شبکه‌ها معمولاً بر این اساس که چه کسی مجاز به مشارکت است، عمومی و یا خصوصی نامگذاری می شوند و همچنین به دارای مجوز یا بدون مجوز بودن تقسیم می شوند که نحوه دسترسی مشارکت‌کنندگان به شبکه را توصیف می‌کند.

بلاک چین های عمومی و خصوصی

در شبکه‌های بلاک چین عمومی معمولاً همه اجازه پیوستن دارند و شرکت‌کنندگان ناشناس می مانند. این نوع بلاک چین ها از کامپیوترهای متصل به اینترنت برای تاییدتراکنش ها و دستیابی به اجماع استفاده می کنند. شاید بتوان گفت که بیت‌کوین شناخته‌شده‌ترین نمونه یک بلاک‌چین عمومی است و از طریق استخراج بیت‌کوین به اجماع می‌رسد.

کامپیوترهای موجود در شبکه بیت کوین یا ماینرها سعی می کنند با حل یک مسئله رمزنگاری پیچیده، انجام کار را اثبات کرده و در نتیجه تراکنش را تاییدکنند. در این نوع شبکه ها بغیر از کلیدهای عمومی، چند کنترل هویت و دسترسی نیز وجود دارد.

بلاک چین های خصوصی از هویت برای تاییدعضویت و امتیازات دسترسی استفاده می کنند و معمولاً تنها به سازمان های شناخته شده اجازه پیوستن می دهند. سازمان ها با هم یک شبکه تجاری خصوصی و فقط برای اعضا تشکیل می دهند. یک بلاک چین خصوصی در یک شبکه مجاز از طریق فرایندی به نام تایید انتخابی (selective endorsement) به اجماع می رسد؛ یعنی جایی که کاربران شناخته شده تراکنش ها را تاییدمی کنند. تنها اعضای دارای دسترسی و مجوزهای ویژه می توانند دفتر کل معاملات را نگهداری کنند. این نوع شبکه به کنترل های هویت و دسترسی بیشتری نیازمند است.

هنگام ساخت یک اپلیکیشن بلاک چین، ارزیابی اینکه کدام نوع شبکه به بهترین وجه با اهداف تجاری شما مطابقت دارد، بسیار مهم است. امکان کنترل شدید شبکه های خصوصی و مجاز وجود دارد و به دلایل انطباق و مقرراتی این نوع شبکه ها مورد ترجیح هستند. مزیت شبکه های عمومی و بدون مجوز نیز در توانایی آن ها در تمرکززدایی و توزیع بیشتری است.

ویژگی های بلاک چین های عمومی و خصوصی

بلاک چین های عمومی، عمومی هستند پس همه می تواند به آنها بپیوندند و تراکنش ها را تاییدکند.

بلاک چین های خصوصی محدود هستند و معمولاً به شبکه های تجاری محدود می شوند. یک نهاد یا کنسرسیوم واحد، کنترل عضویت اعضا را انجام می دهد.

بلاک چین های بدون مجوز (Permissionless) هیچ محدودیتی برای پردازنده ها ندارند.

بلاک‌چین‌های مجاز (Permissioned) به مجموعه‌ای از کاربران محدود می‌شوند که با استفاده از گواهی‌، هویت خود را دریافت کرده اند.

حملات سایبری و کلاهبرداری

اگرچه تکنولوژی بلاک چین یک دفتر کل تراکنش های ضد دستکاری ایجاد می کند، ولی شبکه های بلاک چین از حملات سایبری و کلاهبرداری مصون نیستند. افرادی با نیات پلید می توانند آسیب پذیری های شناخته شده در زیرساخت بلاک چین را دستکاری کنند و در برخی موارد نیز در طول سالیان گذشته در هک ها و کلاهبرداری های مختلف موفق بوده اند. در اینجا چند نمونه ذکر شده است:

سواستفاده از کد

سازمان غیر متمرکز مستقل (DAO) که یک صندوق سرمایه گذاری خطرپذیر است و از طریق یک بلاک چین غیر متمرکز با الهام از بیت کوین فعالیت می کند، بیش از 60 میلیون دلار ارز دیجیتال اتر (حدود یک سوم ارزش خود) را از طریق سواستفاده از کد، از دست داد.

هک کامپیوتر پرسنل

هنگامی که Bithumb که یکی از بزرگترین صرافی‌های ارز دیجیتال اتریوم و بیت‌کوین است، هک شد، هکرها اطلاعات 30,000 کاربر را به خطر انداختند و 870,000 دلار بیت‌کوین را به سرقت بردند. این در حالی بود که تنها کامپیوتر یک کارمند هک شده بود و نه سرورهای اصلی؛ این رویداد سوالاتی را در مورد کل امنیت ایجاد کرد.

کلاهبرداران چگونه به تکنولوژی بلاک چین حمله می کنند؟

هکرها و کلاهبرداران به چهار روش اصلی بلاک چین ها را تهدید می کنند: فیشینگ، مسیریابی، سایبیل و حملات 51 درصدی.

حملات فیشینگ

فیشینگ نوعی کلاهبرداری جهت دستیابی به اطلاعات اکانت یک کاربر است. کلاهبرداران، ایمیل هایی را برای صاحبان کلید کیف پول ارسال می کنند؛ این ایمیل ها به گونه ای طراحی شده اند که ظاهرا از یک منبع قانونی ارسال شده اند و با استفاده از لینک های جعلی، اطلاعات اکانت کاربران را دریافت می کنند. دسترسی به اطلاعات اکانت و سایر اطلاعات حساس می تواند منجر به ضرر و زیان برای کاربر و شبکه بلاک چین شود.

حملات مسیریابی

بلاک چین‌ها به انتقال داده‌های بزرگ و در لحظه متکی هستند. هکرها می توانند داده را هنگام انتقال به ارائه دهندگان خدمات اینترنتی رهگیری کنند. در حملات مسیریابی، شرکت کنندگان در بلاک چین معمولاً نمی توانند تهدید را ببینند، بنابراین همه چیز عادی به نظر می رسد. ولی در پشت صحنه، کلاهبرداران داده ها یا ارزهای محرمانه را استخراج کرده اند.

حملات سایبیل

در یک حمله سایبیل (Sybil)، هکرها با ایجاد هویت های شبکه جعلی بسیار، حملات سیل آسایی را به شبکه انجام می دهند و سیستم را از کار می اندازند. سایبیل به یک شخصیت مشهور اشاره دارد که مبتلا به اختلال هویت چندگانه بود.

حملات 51 درصد

استخراج رمز ارز نیازمند مقدار زیادی توان محاسباتی، به ویژه برای بلاک چین های عمومی با مقیاس بزرگ است. اما اگر یک ماینر یا گروهی از ماینرها، منابع کافی را تجمیع کنند، ممکن است بیش از 50 درصد از قدرت استخراج شبکه بلاک چین را به دست آورند. داشتن بیش از 50 درصد قدرت به معنای کنترل دفتر کل (ledger) و توانایی دستکاری آن است.

بهتر است بدانید بلاک چین های خصوصی نسبت به حملات 51 درصد آسیب پذیر نیستند.

امنیت بلاک چین برای شرکت ها

هنگام ساخت یک اپلیکیشن بلاک چین سازمانی، ملاحظات امنیتی در تمام لایه‌های استَک تکنولوژی و نحوه مدیریت حاکمیت و دسترسی های شبکه، مهم است. یک استراتژی امنیتی جامع برای راهکار بلاک چین سازمانی شامل استفاده از کنترل‌های امنیتی قدیمی و کنترل‌های منحصر به فرد تکنولوژیک است. برخی از کنترل های امنیتی مختص راهکارهای بلاک چین سازمانی از این قرار هستند:

• مدیریت هویت و دسترسی
• مدیریت کلید
• حریم خصوصی داده
• ارتباطات امن
• امنیت قرارداد هوشمند
• تاییدتراکنش

نکات و بهترین روش های امنیتی بلاک چین

هنگام طراحی راهکار بلاک چین، این سوالات کلیدی را در نظر بگیرید:

• سازمان ها یا اعضای شرکت کننده از چه مدل حاکمیتی استفاده می کنند؟
• چه داده هایی در هر بلوک جمع آوری می شود؟
• الزامات نظارتی مربوطه چه مواردی هستند و برای برآورده سازی آن ها چه می توان کرد ؟
• جزئیات هویت چگونه مدیریت می شود؟ آیا داده های (payloads) بلاک رمزگذاری شده اند؟ کلیدها چگونه مدیریت و باطل می شوند؟
• طرح بازیابی فاجعه (DRP) برای شرکت کنندگان در بلاک چین چیست؟
• حداقل وضعیت امنیتی مشتریان بلاک چین جهت مشارکت چیست؟
• منطق حل برخوردهای بلوک بلاک چین چیست؟

هنگام ایجاد یک بلاک چین خصوصی، باید اطمینان حاصل شود که بلاک چین روی زیرساخت ایمن و انعطاف پذیر مستقر شده است. انتخاب‌هایی با زمینه ی تکنولوژیک ضعیف برای نیازها و فرآیندهای شرکتی می‌تواند منجر به خطرات امنیتی داده‌ از طریق آسیب‌پذیری‌های آن ها شود.

ریسک های تجاری و حاکمیتی را در بررسی کنید. ریسک‌های تجاری شامل پیامدهای مالی، سابقه و خوشنامی و ریسک‌های انطباق می باشد. ریسک‌های حاکمیتی عمدتاً از ماهیت غیرمتمرکز راهکارهای بلاک‌چین سرچشمه می گیرد و به کنترل‌های قوی روی معیارهای تصمیم‌گیری، سیاست‌های حاکمیتی، هویت و مدیریت دسترسی نیاز دارند.

امنیت بلاک چین به درک خطرات شبکه بلاک چین و مدیریت آن ها بر می گردد. طرحی برای اجرای امنیت برای این کنترل ها، تشکیل دهنده یک مدل امنیتی بلاک چین خواهد بود. با ایجاد یک مدل امنیتی بلاک چین، اطمینان حاصل خواهید کرد که تمام اقدامات برای ایمن سازی مناسب راهکارهای بلاک چین شما مهیا هستند.

برای استقرار یک مدل امنیتی راهکار بلاک چین، مدیران می بایست مدل ریسکی ایجاد کنند که بتواند تمام ریسک های تجاری، حاکمیتی، تکنولوژیک و فرآیندی را در بر بگیرد. در مرحله بعد، آنها باید تهدیدات راهکار بلاک چین را ارزیابی کرده و یک مدل تهدید ایجاد کنند. کار بعدی مدیران تعریف کنترل‌های امنیتی است که خطرات و تهدیدات را بر اساس سه دسته زیر کاهش می‌دهند:

• اعمال کنترل های امنیتی که منحصر به بلاک چین هستند
• اعمال کنترل های امنیتی متعارف
• اعمال کنترل های تجاری برای بلاک چین

سخن پایانی

در مقاله امروز امنیت بلاک چین ها بررسی شد و چنین عنوان شد که تکنولوژی بلاک چین ساختاری از داده را با خصوصیات امنیتی ذاتی و بر اساس اصول رمزنگاری، تمرکززدایی و اجماع تولید می کند که اعتماد در تراکنش ها را تضمین می کند. با اشاره به دو نوع عمومی و خصوصی بلاک چین ها، چهار روش اصلی تهدید بلاک چین ها توسط هکرها و کلاهبرداران را توضیح دادیم: فیشینگ، مسیریابی، سایبیل و حملات 51 درصدی.

سوالات متداول

تکنولوژی بلاک چین چیست؟

تکنولوژی بلاک چین یک مکانیسم پایگاه داده پیشرفته است که امکان به اشتراک گذاری شفاف اطلاعات در یک شبکه تجاری را فراهم می کند. پایگاه داده بلاک چین، داده ها را در بلوک هایی ذخیره می کند که در یک زنجیره به یکدیگر متصل هستند.

هدف اصلی تکنولوژی بلاک چین چیست؟

هدف بلاک چین اجازه دادن به ثبت و توزیع اطلاعات دیجیتال، بدون ویرایش آن است. به این ترتیب، می توان گفت بلاک چین پایه‌ای است برای دفاتر کل غیرقابل تغییر و یا سوابق تراکنش‌هایی که نمی‌توان آن ها را تغییر داد، حذف کرد یا از بین برد.

امن ترین بلاک چین چیست؟

اتریوم؛ این رمز ارز در مقایسه با سایر دارایی های دیجیتال، امن ترین ارز دیجیتال محسوب می شود و این بیشتر به دلیل استفاده از یکی از قوی ترین تکنولوژی های بلاک چین برای تراکنش های دیجیتالی در پلت فرم آن است.

آیا تابه حال به این فکر کرده اید که امنیت داده‌های ارسال شده میان دستگاه های موجود در شبکه چگونه ایجاد می شود؟ این بخش از کار شبکه، یعنی ایمن سازی داده‌های ارسالی با استفاده از پروتکل‌ها و الگوریتم‌هایی که از آن‌ها به عنوان IPsec یاد می شود، انجام می گیرد. در ادامه مقاله با داریا همراه باشید.

IPsec چیست؟

IPsec یا Internet Protocol Security (امنیت پروتکل اینترنت) مجموعه‌ای از پروتکل ها و الگوریتم ها برای ایمن سازی داده های ارسال شده از طریق اینترنت یا هر شبکه ی عمومی است. کارگروه مهندسی اینترنت (IETF) پروتکل های IPsec را در اواسط دهه 1990 برای تامین امنیت لایه آی پی از طریق احراز هویت و رمزگذاری پکیت‌های شبکه آی پی ایجاد کرد.

IPsec در ابتدا دو پروتکل را برای ایمن سازی پکیت‌های IP تعریف می کند: هِدِر احراز هویت یا Authentication Header (AH) و Encapsulating Security Payload (ESP). AH یکپارچگی داده و خدمات ضد پخش را ارائه می دهد و ESP داده ها را رمزگذاری و احراز هویت می کند.

مجموعه IPsec همچنین شامل تبادل کلید اینترنت (IKE) است که برای تولید کلیدهای امنیتی مشترک برای ایجاد یک انجمن امنیتی (SA) استفاده می شود. SAها برای فرآیندهای رمزگذاری و رمزگشایی مورد نیاز هستند تا سطح امنیتی بین دو نهاد مورد بحث قرار گیرد. یک روتر یا فایروال ویژه که بین دو شبکه قرار می گیرد، معمولاً فرآیند مذاکره SA را انجام می دهد.

IPsec برای چه مواردی استفاده می شود؟

از آنجاییکه IPsec در سراسر شبکه منتقل می شود، برای محافظت از داده های حساس مانند تراکنش های مالی، سوابق پزشکی و ارتباطات شرکتی مورد استفاده قرار می گیرد. همچنین برای ایمن سازی VPNها یعنی جایی که تانل IPsec تمام داده‌های ارسال شده بین دو نقطه پایانی را رمزگذاری می کند، نیز استفاده می شود. همچنین IPsec می‌تواند با رمزگذاری داده‌های لایه اپلیکیشن، برای روترهایی که داده‌های مسیریابی را در سراسر اینترنت عمومی ارسال می‌کنند، امنیت ایجاد کند. از IPsec برای ارائه احراز هویت بدون رمزگذاری نیز می توان استفاده کرد؛ به عنوان مثال، جهت احراز هویت داده‌ای که از جانب یک فرستنده شناخته شده ارسال شده باشد.

رمزگذاری در لایه‌های اپلیکیشن یا انتقال مدل OSI، داده‌ها را بدون استفاده از IPsec می‌تواند به طور ایمن منتقل کند. در لایه اپلیکیشن، رمزگذاری توسط HTTPS انجام می گیرد؛ در حالی که در لایه انتقال، پروتکل امنیت لایه انتقال (TLS) رمزگذاری را فراهم می کند. این در حالی است که رمزگذاری و احراز هویت در لایه‌های بالاتر، احتمال در معرض (تهدید) قرار گرفتن داده‌ها و همچنین رهگیری اطلاعات پروتکل توسط مهاجمان را افزایش می‌دهد.

پروتکل های IPsec

IPsec پکیت‌های داده ارسال شده از طریق شبکه های مبتنی-بر-IPv4 و -IPv6 را احراز هویت و رمزگذاری می کند. هِدِرهای پروتکل IPsec در هدر آی پی پکیت‌ یافت می‌شوند و نحوه مدیریت داده‌ پکیت‌، از جمله مسیریابی و تحویل آن در شبکه را مشخص می‌کنند. IPsec چندین مولفه از جمله اطلاعات امنیتی و یک یا چند الگوریتم رمزنگاری را به هدر آی پی اضافه می کند.

پروتکل‌های IPsec از قالبی به نام RFC برای توسعه الزامات استانداردهای امنیت شبکه استفاده می‌کنند. استانداردهای RFC در سراسر اینترنت برای ارائه اطلاعات مهمی استفاده می‌شوند که به کاربران و توسعه‌دهندگان امکان ایجاد، مدیریت و نگهداری شبکه را می‌دهد.

موارد زیر پروتکل های کلیدی IPsec هستند:

IP AH :AH در RFC 4302 مشخص شده است و سرویس های یکپارچگی داده و حفاظت از انتقال را ارائه می دهد. AH برای درج در پکیت آی پی برای افزودن داده‌ی احراز هویت و محافظت از محتویات در برابر تغییرات طراحی شده است.

IP ESP :ESP در RFC 4303 مشخص شده است و احراز هویت، یکپارچگی و محرمانگی را از طریق رمزگذاری پکیت‌های آی پی فراهم می کند.

IKE :IKE در RFC 7296 تعریف شده و پروتکلی است که دو سیستم یا دستگاه را قادر می‌سازد تا یک کانال ارتباطی امن را روی یک شبکه غیرقابل اعتماد ایجاد کنند. این پروتکل از یک سری تبادلات کلید جهت ایجاد یک تانل امن بین مشتری و سرور استفاده می کند که از طریق آن‌ها می تواند ترافیک رمزگذاری شده را ارسال کند. تبادل کلید Diffie-Hellman جهت تامین امنیت تانل است.

انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP): ISAKMP به عنوان بخشی از پروتکل IKE وRFC 7296 مشخص شده است و چارچوبی برای ایجاد کلید، احراز هویت و مذاکره یک SA برای تبادل امن پکیت‌ها در لایه آی‌پی است. به عبارت دیگر، ISAKMP پارامترهای امنیتی را برای نحوه ارتباط دو سیستم یا هاست با یکدیگر تعریف می کند. هر SA یک ارتباط را در یک جهت، از یک هاست به دیگری تعریف می کند. SA شامل تمام ویژگی های ارتباط، از جمله الگوریتم رمزنگاری، حالت IPsec، کلید رمزگذاری و سایر پارامترهای مربوط به انتقال داده از طریق ارتباط است.

IPsec یا از بسیاری از پروتکل های دیگر مانند الگوریتم‌های سیگنیچر دیجیتال و بیشتر پروتکل های مشخص شده در IPsec و نقشه راه سند IKE یا RFC 6071 استفاده می‌کند یا توسط آن‌ها استفاده می شود.

IPsec چگونه کار می کند؟

پنج مرحله ی کلیدی در ارتباط با نحوه عملکرد IPsec وجود دارد:

تشخیص هاست: فرآیند IPsec زمانی شروع می شود که یک سیستم هاست تشخیص دهد که یک پکیت نیاز به حفاظت دارد و باید با استفاده از پالیسی های IPsec منتقل شود. چنین پکیت هایی برای اهداف IPsec، ترافیک جالب در نظر گرفته می شوند و پالیسی های امنیتی را فعال می کنند. برای پکیت‌های خروجی، این بدان معنی است که رمزگذاری و احراز هویت مناسب اعمال می شود. هنگامی که پکیت دریافتی جالب تعیین شود، سیستم هاست تأیید می کند که به درستی رمزگذاری و احراز هویت شده است.

در زمینه IPsec در فایروال های فورتی‌گیت، ترافیک جالب به ترافیک شبکه خاصی اشاره دارد که باعث ایجاد یک تانل IPsec VPN می‌شود. این ترافیک با شرایط خاصی تعریف می شود که معمولاً در فایروال کانفیگ می شود و شامل موارد زیر است:

1. آدرس آی‌پی مبدا و مقصد: ترافیک یک آی‌پی منبع خاص (به عنوان مثال، یک شبکه داخلی) که به یک آی‌پی مقصد خاص (به عنوان مثال، یک شبکه راه دور) می رود.
2. پروتکل ها و پورت ها: ترافیک با استفاده از پروتکل‌های خاص (به عنوان مثال، TCP، UDP، ICMP) یا پورت ها
3. زیرشبکه‌ها یا محدوده آی‌پی: زیرشبکه‌ها یا محدوده‌های آی‌پی تعریف شده که باید از طریق VPN ارتباط برقرار کنند.

هنگامی که ترافیک با معیارهای ترافیک جالب مطابقت دارد (مانند آی‌پی‌های منبع یا مقصد و پروتکل ها)، در صورتی که قبلاً ایجاد نشده باشد، فورتی‌گیت تانل VPN را راه اندازی یا مذاکره می کند،. به عبارت دیگر، این ترافیک برای عبور از VPN، به اندازه کافی جالب است. ترافیک خارج از این پارامترها از تانل استفاده نمی کند.

مذاکره، یا فاز 1 IKE: در مرحله دوم، هاست‌ها از IPsec برای مذاکره درباره مجموعه پالیسی‌هایی که برای یک مدار امن بکار برده می شود، استفاده می کنند. همچنین هاست ها خودشان را برای همدیگر احراز هویت می‌کنند تا یک کانال امن بین خودشان برای مذاکره درباره نحوه رمزگذاری یا احراز هویت داده‌های ارسال شده از طریق مدار IPsec راه‌اندازی کنند. فرآیند مذاکره با استفاده از حالت اصلی (main mode) یا حالت تهاجمی (aggressive mode) انجام می شود.

با حالت اصلی (main mode)، هاستی که سِشن را آغاز می کند، پیشنهادهایی را که نشانگر الگوریتم های رمزگذاری و احراز هویت ترجیحی خود است، ارسال می کند. مذاکره تا زمانی که هر دو میزبان برای راه‌اندازی یک IKE SA جهت تعریف مدار IPsec مورد استفاده توافق کنند، ادامه می‌یابد. این روش از حالت تهاجمی ایمن تر است، چرا که یک تانل امن برای تبادل داده ایجاد می کند.

در حالت تهاجمی(aggressive mode)، هاست شروع کننده اجازه مذاکره را نمی دهد و IKE SA مورد استفاده را مشخص می کند. پذیرش هاست پاسخ دهنده، جلسه را احراز هویت می کند. با این روش، هاست‌ها می توانند مدار IPsec را سریعتر راه‌اندازی کنند.

مدار IPsec یا فاز 2 IKE: مرحله سوم یک مدار IPsec را روی کانال امن ایجاد شده در فاز 1 IKE تنظیم می‌کند. هاست‌های IPsec، الگوریتم‌هایی که در طول انتقال داده استفاده خواهند شد را مذاکره می‌کنند. هاست‌ها همچنین روی کلیدهای رمزگذاری و رمزگشایی که قصد دارند از آن‌ها برای (انتقال) ترافیک به (مقصد) و از (مبدا) شبکه محافظت شده استفاده کنند، توافق کرده و مبادله می کنند. هاست‌ها همچنین nonceهای رمزنگاری را مبادله می کنند؛ nonceها اعداد تصادفی هستند که برای احراز هویت سِشن‌ها مورد استفاده قرار می گیرند.

انتقال IPsec: در مرحله چهارم، هاست‌ها داده‌های واقعی ایجاد شده در تانل امن را مبادله می کنند. IPsec SAهایی که قبلاً راه اندازی شده‌اند، برای رمزگذاری و رمزگشایی پکیت‌ها استفاده می شوند.

خاتمه IPsec: در نهایت، تانل IPsec خاتمه می یابد. معمولاً این اتفاق پس از گذشتن تعداد مشخصی از بایت‌ها از تانل IPsec یا اتمام زمان سِشن رخ می‌دهد. هنگامی که هر یک از این رویدادها اتفاق می افتد، هاست‌ها ارتباط برقرار می کنند و خاتمه رخ می دهد. پس از خاتمه، هاست‌ها کلیدهای خصوصی مورد استفاده در حین انتقال داده را از بین می برند.

IPsec چگونه در VPN استفاده می شود؟

VPN اساساً یک شبکه خصوصی است که روی یک شبکه عمومی مستقر شده است. هر کسی که به VPN متصل شود، امکان دسترسی به این شبکه خصوصی را خواهد داشت؛ این دسترسی به نحوی خواهد بود که گویا مستقیماً به آن متصل شده است. VPNها معمولاً توسط کسب و کارها جهت ایجاد دسترسی کارمندان راه دور به شبکه شرکت مورد استفاده قرار می گیرند.

عموما از IPsec برای ایمن سازی VPNها استفاده می شود. در حالی که یک VPN یک شبکه خصوصی بین کامپیوتر کاربر و سرور VPN ایجاد می کند، پروتکل‌های IPsec، یک شبکه امنی برای محافظت از داده های VPN در برابر دسترسی خارجی، پیاده سازی می کنند. VPNها را می توان با استفاده از یکی از دو حالت IPsec یعنی حالت تانل و حالت انتقال راه اندازی کرد.

حالت های مختلف IPsec

حالت انتقال، داده را هنگام انتقال از یک دستگاه به دستگاه دیگر، معمولاً در مدت یک سِشن، ایمن می کند. در مقابل، حالت تانل، کل مسیر داده را، از نقطه A تا نقطه B، بدون توجه به دستگاه های موجود بین آن‌ها، ایمن می کند.

حالت تانل (Tunnel mode): حالت تانل IPsec که معمولاً بین گیت‌وِی‌های شبکه ایمن استفاده می‌شود، هاست‌های پشت یکی از گیت‌وِی‌ها را قادر می‌سازد تا به طور ایمن با هاست‌های پشت گیت‌وِی‌ دیگر ارتباط برقرار کنند. برای مثال، همه کاربران سیستم‌ها در یک شعبه سازمان می‌تواند به‌طور ایمن با تمامی سیستم‌های دفتر اصلی ارتباط برقرار کند؛ البته به شرطی که آن شعبه و دفتر اصلی گیت‌وِی‌های امنی داشته باشند تا در دفاتر مربوطه، به‌عنوان پروکسی IPsec برای هاست‌ها عمل کنند. تانل IPsec بین دو هاست گیت‌وِی‌ ایجاد می شود، اما خود تانل، ترافیک را از هر هاستی در داخل شبکه‌های محافظت شده، حمل می کند. حالت تانل برای راه‌اندازی مکانیزمی برای محافظت از تمام ترافیک بین دو شبکه مفید است.

حالت انتقال (Transport mode): اگر راه اندازی یک اتصال IPsec VPN که مستقیماً متصل است توسط دو هاست انجام بگیرد، مدار IPsec در حالت انتقال است. به عنوان مثال، این نوع مدار ممکن است به گونه ای تنظیم شود که تکنسین پشتیبانی آی پی از راه دور را قادر سازد تا برای انجام کارهای تعمیر و نگهداری به سرور راه دور لاگین کند. حالت انتقال IPsec در مواردی استفاده می شود که یک هاست نیازمند تعامل با یک هاست دیگر است. این دو هاست، مدار IPsec را مستقیماً با یکدیگر مذاکره می کنند و مدار معمولاً پس از اتمام سِشن از بین می رود.

مرحله بعدی: مقایسه IPsec VPN با SSL VPN

VPN لایه ی سوکِت ایمن (SSL)، روش دیگری برای ایمن سازی ارتباط شبکه عمومی است. از این دو، بسته به شرایط و الزامات امنیتی، می توان همزمان یا به صورت جداگانه استفاده کرد.

با IPsec VPN، پکیت‌های آی پی هنگام حرکت به و از گیت‌وِی‌ IPsec در لبه یک شبکه خصوصی و هاست‌ها و شبکه های راه دور محافظت می شوند. یک SSL VPN از ترافیک هنگام حرکت بین کاربران راه دور و یک گیت‌وِی‌ SSL محافظت می کند. VPNهای IPsec از همه اپلیکیشن‌های مبتنی بر آی‌پی پشتیبانی می کنند، در حالی که VPNهای SSL فقط از اپلیکیشن‌های مبتنی بر مرورگر پشتیبانی می کنند، اگرچه می توانند اپلیکیشن‌های دیگر را نیز با فارشی سازی، پشتیبانی کنند.

سخن پایانی

IPsec گروهی از پروتکل‌ها برای ایمن سازی ارتباطات بین دستگاه‌ها است. IPsec به حفظ امنیت داده های ارسال شده از طریق شبکه های عمومی کمک می کند و اغلب برای راه اندازی VPN مورد استفاده قرار می گیرد، و از طریق رمزگذاری پکیت‌های آی‌پی، همراه با احراز هویت منبعی که پکیت‌ها از آنجا آمده اند، کار می کند. IPsecها دارای پروتکل های فراوانی از جمله IP AH، IP ESP، IKE و ISAKMP هستند؛ همچنین دو حالت در IPsecها وجود دارد که یکی حالت تانل (Tunnel mode) و دیگری حالت انتقال (Transport mode) است.

سوالات متداول

تفاوت IPsec با VPN چیست؟

IPsec معمولا برای ارتباط سایت به سایت استفاده می شود و به طور موثر دو بخش از یک شبکه خصوصی را از طریق اینترنت به هم مرتبط می کند. VPNهای SSL در لایه اپلیکیشن کار می کنند و برای فراهم سازی دسترسی ایمن به اپلیکیشن‌های خاص به جای کل شبکه، طراحی شده اند.

آیا به IPsec نیاز دارم؟

IPsec یک پروتکل بسیار امن است که از احراز هویت و رمزگذاری برای پنهان کردن ترافیک شما و جلوگیری از تداخل استفاده می کند. اگر سرو کارتان با بانکداری اینترنتی است، به فایل‌های کاری دسترسی پیدا می‌کنید یا حتی فقط قصد ارسال چیزی بسیار حساس را از طریق ایمیل دارید، پس IPsec می‌تواند حریم خصوصی و آرامش ذهنی مورد نیاز را، به شما بدهد.

IPsec چقدر امن است؟

IPsecها انتقال ایمن و دو طرفه داده از طریق شبکه‌های خصوصی و حتی عمومی، از جمله هات‌اِسپات‌های (hotspots) وای فای روشن و اینترنت جهانی را فراهم می کنند. IPsec از تکنیکی استفاده می‌کند که تمام داده‌های در حال انتقال را رمزگذاری می‌کند و ترتیب آن‌ها را به طور موثری درهم می‌زند تا فقط دریافت کنندگان مجاز، امکان رمزگشایی آن‌ها را داشته باشند.

IPsec برای چه مواردی استفاده می شود؟

IPsec گروهی از پروتکل‌ها است که به حفظ امنیت داده‌های ارسال شده از طریق شبکه های عمومی کمک می کند. اغلب برای راه اندازی VPN استفاده می شود، و با رمزگذاری پکیت‌های آی‌پی، به همراه احراز هویت منبع ارسال پکیت‌ها، کار می کند.

فایروال نقشی حیاتی در امنیت شبکه ایفا می کند و باید به درستی تنظیم شود تا از سازمان ها در برابر نشت داده و حملات سایبری محافظت کند. جهت انجام این تنظیمات، نام دامنه و آدرس های پروتکل اینترنت  (IP) باید تنظیم شود. تنظیمات پالیسی فایروال بر اساس نوع شبکه (عمومی یا خصوصی) انجام می شود، و می‌تواند با قوانین امنیتی تنظیم شود که دسترسی را برای جلوگیری از حملات احتمالی هکرها یا بدافزارها بلاک یا مجاز کند.

تنظیم درست فایروال ضروری است، زیرا تنظیمات پیش‌فرض ممکن است حداکثر محافظت را در برابر حمله سایبری ارائه نکنند. در ادامه توضیحات کاملی راجع به تنظیمات فایروال ارائه خواهد شد.

اهمیت تنظیمات اولیه فایروال

تنظیمات نادرست فایروال می تواند منجر به دسترسی غیرمجاز مهاجمان به شبکه ها و منابع داخلی محافظت شده شود. به همین دلیل است که مجرمان سایبری همیشه به دنبال شبکه‌هایی هستند که از نرم افزار یا سرورهای قدیمی استفاده میکنند و یا اصلا محافظت نمی شوند. گارتنر اندازه و بزرگی این موضوع را برجسته کرد و پیش‌بینی کرده بود که 99 درصد از نقض‌های فایروال در سال 2020 به دلیل تنظیمات نادرست ایجاد شده است.

تنظیمات پیش‌فرض در اکثر فایروال‌ها و پروتکل‌ها به مانند پروتکل انتقال فایل (FTP)، سطح حفاظتی لازم را برای ایمن نگه داشتن شبکه‌ها در برابر حملات سایبری فراهم نمی‌کند. سازمان ها باید اطمینان حاصل کنند که تنظیمات اولیه فایروال نیازهای منحصر به فرد شبکه های آنها را برآورده می کند.

نحوه تنظیم فایروال

تنظیمات مناسب برای پشتیبانی از شبکه های داخلی و بازرسی پکیت‌های stateful ضروری است. در اینجا نحوه تنظیم ایمن فایروال آورده شده است:

1. ایمن سازی فایروال

ایمن سازی یک فایروال اولین قدم حیاتی برای حصول اطمینان از این موضوع است که صرفا مدیران مجاز به آن دسترسی داشته باشند. این شامل اقداماتی نظیر:

1. 1. با آخرین فریمور (Firmware) به روز رسانی کنید.
2. 2. هرگز فایروال ها را بدون تنظیمات مناسب وارد مدار شبکه خود نکنید.
3. 3. حساب های پیش فرض را حذف، غیرفعال یا تغییر نام دهید و رمزهای عبور پیش فرض را تغییر دهید.
4. 4. از رمزهای عبور منحصر به فرد و ایمن استفاده کنید.
5. 5. هرگز از حساب های کاربری مشترک نباید استفاده شود. اگر یک فایروال توسط چندین مدیر مدیریت شود، حساب‌های مدیریتی اضافه شده باید بر اساس مسئولیت‌های فردی، دارای امتیازات محدودی باشند.
6. 6. پروتکل مدیریت شبکه ساده (SNMP)، که اطلاعات مربوط به دستگاه‌های موجود در شبکه‌های آی پی را جمع‌آوری و سازماندهی می‌کند، را غیرفعال کنید (منظور SNMP V2 & SNMP V1) و یا آن را برای استفاده ایمن تنظیم کنید (حتما از SNMP V3 استفاده شود).
7. 7. ترافیک شبکه خروجی و ورودی برای اپلیکیشن‌های خاص یا پروتکل کنترل انتقال (TCP) را محدود کنید.
8. ایجاد مناطق (Zoneبندی) فایروال و ساختار آدرس IP

شناسایی دارایی ها و منابع شبکه ای که باید محافظت شوند بسیار مهم است و شامل ایجاد ساختاری است که دارایی های شرکت را بر اساس عملکردهای مشابه و سطح ریسک در مناطق مختلف گروه بندی می کند.

یک مثال خوب از این نوع، سرورهایی (مانند سرورهای ایمیل، سرورهای شبکه خصوصی مجازی (VPN)  و سرورهای وب) هستند که در یک منطقه اختصاصی قرار می‌گیرند که ترافیک اینترنت ورودی را محدود می‌کند، و اغلب به عنوان منطقه غیرنظامی (DMZ) شناخته می‌شود. یک قاعده کلی این است که هرچه مناطق بیشتری ایجاد شود، امنیت شبکه بیشتر است.

با این حال، داشتن مناطق (Zoneها) بیشتر به زمان بیشتری برای مدیریت آنها نیاز دارد. با ایجاد یک ساختار منطقه شبکه، ایجاد یک ساختار آدرس آی پی مربوطه نیز مهم است که مناطق را به اینترفیس و اینترفیس زیرمجموعه فایروال اختصاص می‌دهد.

3. تنظیم لیست های کنترل دسترسی (ACL)

لیستهای کنترل دسترسی (ACL) سازمان‌ها را قادر می‌سازد تا تعیین کنند که کدام ترافیک مجاز است به داخل و خارج از هر منطقه جریان یابد. ACL ها به عنوان قوانین فایروال عمل می کنند که سازمان ها می توانند آن ها را برای هر اینترفیس و اینترفیس زیرمجموعه (Vlanها) فایروال اعمال کنند.

ACLها باید مختص شماره پورت منبع و مقصد و آدرس آی‌پی دقیق باشند. هر ACL باید دارای یک قانون رد کردن همه باشد که در انتهای آن ایجاد می شود و به سازمان‌ها امکان می دهد ترافیک تایید نشده را فیلتر کنند. هر اینترفیس و اینترفیس زیرمجموعه همچنین به یک ACL ورودی و خروجی نیاز دارد تا اطمینان حاصل شود که تنها ترافیک تایید شده می تواند به هر منطقه برسد. همچنین توصیه می شود برای محافظت از تنظیمات، دسترسی عمومی به اینترفیس های مدیریت فایروال و همچنین پروتکل های مدیریت فایروال رمزگذاری نشده را غیرفعال کنید.

4. تنظیم سایر خدمات فایروال و ورود به سیستم را

برخی از فایروال‌ها را می توان برای پشتیبانی از سرویس های دیگر، مانند سرور پروتکل تنظیمات هاست داینامیک (DHCP)، سیستم جلوگیری از نفوذ (IPS) و سرور پروتکل زمان شبکه (NTP) تنظیم کرد. همچنین غیرفعال سازی خدمات اضافی که استفاده نخواهند شد نیز مهم است.

علاوه بر این، فایروال‌ها باید طوری تنظیم شوند که لاگ های ایجاد شده را به یک سرویس لاگینگ ارسال کنند تا با الزامات استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS) مطابقت داشته باشند.

5. تست تنظیمات فایروال

پس از انجام تنظیمات، آزمایش آن ها برای اطمینان از بلاک‌سازی صحیح ترافیک و عملکرد فایروال به شیوه‌ای که در نظر گرفته شده است، بسیار مهم است. تنظیمات را می‌توان از طریق تکنیک هایی مانند تست نفوذ و اسکن آسیب پذیری تست کرد. به خاطر داشته باشید که بدلیل بروز هرگونه شکست در طول فرآیند تست و به منظور rollback، نسخه پشتیبانی از تنظیمات دستگاه مذکور تهیه شود و در یک مکان امن نگهداری گردد.

6. مدیریت مداوم فایروال

مدیریت و نظارت فایروال برای اطمینان از ادامه عملکرد فایروال همانطور که در نظر گرفته شده است بسیار مهم است. و این شامل نظارت بر لاگ ها، انجام اسکن آسیب‌پذیری و بازبینی منظم قوانین است. همچنین مهم است که فرآیندها را مستند کنید و تنظیمات را به طور مداوم و با جدیت مدیریت کنید تا از حفاظت مداوم شبکه اطمینان حاصل کنید.

اشتباهاتی که هنگام راه اندازی فایروال صورت میگیرد

تنظیم یک فایروال می‌تواند مشکلاتی را ایجاد کند که معمولاً با اجتناب از اشتباهات رایج می‌توان از آن‌ها جلوگیری کرد؛ از جمله این اشتباهات موارد زیر را می توان عنوان کرد.

1. 1. استفاده از پالیسی‌های گسترده یا تنظیمات نادرست فایروال می تواند منجر به مشکلات سرور مانند DNS و مشکلات اتصال شود.
2. 2. نادیده گرفتن ترافیک خروجی می تواند خطری برای شبکه ایجاد کند.
3. 3. تنها اتکا به فایروال برای امنیت شبکه یا روش‌های احراز هویت غیراستاندارد ممکن است از همه منابع شرکت محافظت نکند.

سخن پایانی

تنظیمات فایروال فرایند تنظیم قوانین و پالیسی های خاصی است که بر نحوه نظارت و کنترل ترافیک ورودی و خروجی توسط فایروال نظارت می کند. در زمان کانفیگ یک فایروال، این موارد باید مد نظر گرفته شود: ایمن سازی فایروال، Zone بندی فایروال، تنظیم لیست‌های کنترل دسترسی، تست تنظیمات فایروال و مدیریت مداوم فایروال.

سوالات متداول

سه نوع تنظیمات فایروال چیست؟

انواع مختلفی از معماری‌های استقرار فایروال، از جمله مبتنی بر شبکه (نرم افزار)، مبتنی بر هاست (سخت افزار) و مبتنی بر ابر وجود دارد. هر فایروال بر اساس قوانین از پیش تعیین شده عمل می کند تا مشخص کند کدام شبکه‌ها و اپلیکیشن‌های خارجی قابل اعتماد هستند.

تنظیمات فایروال چیست؟

قوانین تنظیمات فایروال احتمالا مشخص کنند که ترافیک باید به یک آدرس آی پی یا پورت خاص مجاز باشد یا بلاک شود. تنظیمات فایروال به فرایند تنظیم این قوانین و سایر تنظیمات امنیتی در یک فایروال بر‌می‌گردد.

تنظیمات فایروال چگونه انجام می شود؟

تنظیمات فایروال شامل تنظیم نام دامنه و آدرس های پروتکل اینترنت (آی‌پی) و انجام چندین عمل دیگر برای ایمن نگه داشتن فایروال‌ها است. کانفیگ پالیسی فایروال بر اساس انواع شبکه است و می تواند با قوانین امنیتی برای جلوگیری از حملات سایبری تنظیم شود.

VDOM مخفف Virtual Domains است و برای تقسیم فورتی گیت به دو یا چند واحد مجازی که به طور مستقل عمل می کنند، استفاده می شود. VDOMها می توانند پالیسی های امنیتی جداگانه ای ارائه کنند؛ همچنین در حالت NAT، تنظیمات کاملا مجزایی برای مسیریابی و سرویس های VPN برای هر شبکه متصل ارائه می کنند.

تعریف VDOM

مزایای VDOM

انواع VDOM

VDOMها دارای دو حالت هستند:

حالت Split-task VDOM

در این حالت VDOM، فورتی گیت از دو VDOM بهره می گیرد؛ VDOM مدیریتی (ریشه) و VDOM ترافیک (FG-ترافیک).

VDOM مدیریتی: از VDOM مدیریتی برای مدیریت فورتی گیت استفاده می شود ولی برای پردازش ترافیک نمی توان از آن استفاده کرد. در VDOM مدیریتی، بخش های زیرین در GUI دسترس هستند:

• داشبورد Status
• توپولوژی و تنظیمات Security Fabric
• تنظیمات پورت و مسیر استاتیک
• تنظیمات FortiClient
• پیام های جایگزین
• گواهینامه ها
• رویدادهای سیستم
• تنظیمات هشدار لاگ و ایمیل
• تعاریف وزن تهدید

VDOM ترافیک: پالیسی های امنیتی جداگانه ای را ارائه می دهد و برای پردازش تمام ترافیک شبکه استفاده می شود. بخش‌هایGUI زیر در VDOM ترافیک موجود هستند:

• داشبوردهای Status، LAN/DMZ و Security
• توپولوژی Security Fabric، تنظیمات (فقط خواندنی، به جز تنظیمات سرویس HTTP) و External Connectors (فقط اتصالات Endpoint/Identity)
• FortiView
• تنظیمات پورت
• ضبط پکِت
• SD-WAN، SD-WAN Rules، و Performance SLA
• مسیرهای استاتیک و پالیسی
• RIP، OSPF، BGP، و Multicast
• پیام های جایگزین
• قابلیت مشاهده ویژگی
• برچسب ها
• گواهینامه ها
• پالیسی ها و اشیاء
• پروفایل های امنیتی
• VPNها
• احراز هویت کاربر و دستگاه
• کنترل کننده وای فای و سوئیچ
• لاگینگ
• نظارت

حالت Split-task VDOM در همه مدل‌های فورتی گیت در دسترس نیست. فبریک امنیتی فورتی نت از حالت Split-task VDOM پشتیبانی می کند.

حالت Multi VDOM

در این حالت چندین VDOM را می توان به عنوان واحدهای مستقل ایجاد و مدیریت کرد؛ فورتی گیت می تواند دارای چندین VDOM باشد که به عنوان واحدهای مستقل عمل می کنند. برای مدیریت تنظیمات جهانی از یک VDOM استفاده می شود؛ VDOM ریشه را نمی توان حذف کرد و حتی اگر ترافیکی را پردازش نکند در تنظیمات باقی می ماند.

سه نوع تنظیمات اصلی در حالت Multi VDOM وجود دارد:

VDOM های مستقل:

چندین VDOM کاملا مجزا ایجاد می شود. به شرط دسترسی به اینترنت، همه VDOMها می تواند VDOM مدیریتی باشد. هیچ لینک بین VDOM وجود ندارد و هر VDOM به طور مستقل مدیریت می شود.

VDOM مدیریتی:

یک VDOM مدیریتی بین سایر VDOMها و اینترنت قرار دارد و سایر VDOMها با استفاده از لینک بین-VDOM به VDOM مدیریتی متصل می شوند. VDOM مدیریتی، کنترل کاملی به دسترسی به اینترنت، از جمله انواع ترافیکی که در هر دو جهت مجاز است، دارد و این می تواند امنیت را بهبود بخشد، چرا که تنها یک نقطه ورود و خروج وجود دارد. بین سایر VDOMها هیچ ارتباطی وجود ندارد.

Meshed VDOM:

VDOMها می توانند با لینک های بین VDOM ارتباط برقرار کنند. در تنظیمات تمام مش، تمام VDOMها به هم متصل هستند. در تنظیمات مش جزئی، تنها برخی از VDOM ها به هم متصل هستند. در این تنظیمات، با استفاده از پالیسی های فایروال باید امنیت مناسب حاصل شود و اطمینان از دسترسی امن به حساب‌ها برای مدیران و کاربران تضمین شود.

به طور پیش فرض، اکثر واحدهای فورتی گیت از ده عدد VDOM پشتیبانی می کنند و بسیاری از مدل های فورتی گیت از خرید یک کلید لایسنس برای افزایش حداکثر تعداد پشتیبانی می کنند.

تنظیمات گلوبال (Global) خارج از VDOM انجام می شوند. آن ها کل فورتی گیت را تحت تاثیر قرار می دهند و شامل تنظیماتی مانند پورت ها، فیرم ویرها، DNS، برخی از گزینه های لاگ و سندباکسینگ و موارد دیگر می شوند. تنظیمات گلوبال (Global) می بایست تنها توسط مدیران سطح بالا تغییر کند.

فعال سازی حالت Multi VDOM

حالت Multi VDOM را می توان در رابط کاربری گرافیکی (GUI) یا رابط خط فرمان (CLI) فعال کرد. فعال کردن آن نیازی به راه اندازی مجدد ندارد، اما شما را از دستگاه لاگ آوت می کند. تنظیمات فعلی به VDOM ریشه اختصاص داده شده است.

در مدل‌های سری فورتی گیت 60 و پایین‌تر، VDOM‌ها را تنها با استفاده از CLI می‌توان فعال کرد.

• برای فعال کردن حالت Multi VDOM در رابط کاربری گرافیکی این مراحل را طی کنید:

1. در فورتی‌گیت، بروید به < System Settings.
2. در قسمت System Operation Settings، گزینه Virtual Domains را فعال کنید.
3. Multi VDOM را برای حالت VDOM انتخاب کنید.
4. روی OK کلیک کنید.

• برای فعال کردن حالت Multi VDOM با رابط خط فرمان این مراحل باید طی شود:

config system global

set vdom-mode multi-vdom

end

ایجاد VDOM

برای ایجاد VDOM در رابط کاربری گرافیکی این مراحل را طی کنید:

1. در Global VDOM، بهSystem > VDOM رفته و روی Create New کلیک کنید. صفحه New Virtual Domain باز می شود.

2. در قسمت Virtual Domain، VDOM-A را وارد کنید.
3. در صورت نیاز، حالت NGFW را تنظیم کنید. اگر حالت NGFW مبتنی-بر-پالیسی است، SSL/SSH Inspection را از لیست انتخاب کنید.
4. در صورت تمایل، یک کامنت بنویسید.
5. برای ایجاد VDOM روی OK کلیک کنید.
6. مراحل بالا را برای VDOM-B تکرار کنید.

برای ایجاد VDOM با رابط خط فرمان این مراحل باید طی شود:

config vdom

edit <VDOM-A>

next

edit <VDOM-B>

next

end

end

منابع VDOM Global و VDOMهای دیگر

هنگامی که فورتی‌گیت در حال VDOM Split-Task یا Multi VDOM است، منابع گلوبال و VDOMهای دیگر را می توان تنظیم کرد. منابع VDOM Global برای منابعی اعمال می شود که در کل فورتی‌گیت مشترک هستند، در حالی که منابع VDOMهای دیگر برای VDOMهای خاص اعمال می شود.

به طور پیش‌فرض، تمام تنظیمات منبع VDOMهای دیگر بدون محدودیت تنظیم شده‌اند. این بدان معنا است که هر VDOM منفرد می تواند از تمام منابع دستگاه فورتی گیت استفاده کند. این موضوع می تواند سایر VDOMها را از منابع مورد نیاز خود محروم کند تا جایی که نتوانند به کار خود ادامه دهند. لذا توصیه می شود حداکثر مقادیر را در منابعی که برایتان حیاتی هستند، تنظیم کنید.

چگونه VDOM کارها را سریع‌تر می‌کند؟

زمانی که که مورد جدیدی به اپلیکیشن اضافه می شود، یک DOM مجازی ایجاد می شود و به صورت درختی نمایش داده می شود. هر عنصر در این اپلیکیشن یک node در این درخت است. بنابراین، با هر تغییری در وضعیت یک عنصر، یک درخت VDOM جدید ایجاد می‌شود. سپس این درخت VDOM جدید با درخت VDOM قبلی مقایسه شده و تغییرات یادداشت می شوند. سپس، بهترین راه ممکن برای ایجاد این تغییرات در DOM واقعی یافت می شود. اکنون فقط عناصر به روز شده دوباره در صفحه نمایش داده می شوند.

چگونه VDOM به React کمک می کند؟

در React، همه چیز به عنوان یک مولفه در نظر گرفته می شود، خواه یک مولفه عملکردی باشد یا مؤلفه کلاس. یک مولفه می تواند شامل یک حالت باشد. هر زمان که حالت یک مولفه تغییر کند، React درخت VDOM آن را آپدیت می کند. اگرچه ممکن است به نظر برسد که بی اثر است، اما لود چندان قابل توجهی ندارد، زیرا به روز رسانی VDOM زمان زیادی نمی برد.

React هر بار دو VDOM را نگهداری می‌کند، یکی حاوی Virtual DOM به‌روزرسانی‌شده و دیگری که نسخه قبل از به ‌روزرسانی VDOM است. اکنون نسخه پیش از به‌روزرسانی را با VDOM به‌روزرسانی شده مقایسه می‌کند تا متوجه می‌شود که دقیقاً چه چیزی در DOM تغییر کرده است؛ مثلا کدام مولفه‌ها تغییر کرده‌اند. این فرآیند مقایسه درخت VDOM فعلی با درخت قبلی به عنوان diffing شناخته می شود. زمانی که React متوجه شد دقیقاً چه چیزی تغییر کرده است، فقط آن موارد را در DOM واقعی به روز می کند.

React برای به روز رسانی DOM واقعی از batch استفاده می کند؛ به این معنی که تغییرات در DOM واقعی به جای ارسال جداگانه به روز رسانی هر تغییر در حالت یک مولفه، به صورت دسته ای ارسال می شوند.

رِندر کردن مجدد رابط کاربری (UI) پرهزینه ترین قسمت است و React با اطمینان از اینکه Real DOM به‌روزرسانی‌های batch را برای رندر مجدد UI دریافت می‌کند، این کار را به بهترین نحو انجام می‌دهد. کل فرآیند تبدیل تغییرات به DOM واقعی، Reconciliation نامیده می شود. و در نهایت این کار به بهبودی قابل توجه عملکرد می انجامد. از این رو می توان گفت به همین دلیل است که React و VDOM مربوط به فورتی گیت در سراسر جهان محبوب هستند.

منابع VDOM Global

هنگامی که فورتی گیت در حال VDOM Split-Task یا Multi VDOM است، منابع گلوبال و هر VDOM دیگر را می توان تنظیم کرد. منابع VDOM Global برای منابعی اعمال می شود که در کل فورتی گیت مشترک هستند، در حالی که منابع هر VDOM دیگر برای VDOMهای خاص اعمال می شود.

به طور پیش‌فرض، تمام تنظیمات منبع هر VDOM دیگر بدون محدودیت تنظیم شده‌اند. این بدان معنی است که هر VDOM منفرد می تواند از تمام منابع دستگاه فورتی گیت استفاده کند. این می تواند سایر VDOM ها را از منابع مورد نیاز خود محروم کند تا جایی که نتوانند به کار خود ادامه دهند. توصیه می شود حداکثر مقادیر را در منابعی که برایتان حیاتی هستند، تنظیم کنید.

سخن آخر

VDOM یا Virtual Domain یک مفهوم مهم در فناوری شبکه و به ویژه در محصولات امنیتی مانند FortiGate است. این تکنیک به کاربران این امکان را می‌دهد که یک واحد فورتی گیت را به چندین واحد مجازی تقسیم کنند که به طور مستقل عمل می‌کنند. این تقسیم‌بندی نه تنها به بهبود مدیریت و امنیت کمک می‌کند، بلکه امکان ایجاد سیاست‌های امنیتی جداگانه و تنظیمات مجزای NAT، مسیریابی و VPN را برای هر VDOM فراهم می‌آورد.

سوالات متداول

VDOM به چه معناست؟

Virtual Domain (VDOM) یک مفهوم برنامه نویسی است که در کتابخانه هایی مانند React برای بهبود کارایی و سرعت به روز رسانی اپلیکیشن های وب استفاده شده است. این یک کپی سبک از Document Object Model (DOM) است که پورت کاربری یک اپلیکیشن وب را نشان می دهد.

VDOM در فورتی گیت چیست؟

VDOM را می توان برای تقسیم یک واحد فورتی گیت به دو یا چند واحد مجازی که به عنوان واحدهای مستقل عمل می کنند، استفاده کرد. مثال عینی این موضوع می تواند یک ISP باشد که به شرکت A و شرکت B خدمات اینترنتی متمایزی ارائه می دهد.

انواع مختلف VDOM چیست؟

سه نوع تنظیمات اصلی در حالت multi VDOM وجود دارد:

VDOMهای مستقل که در آنها چندین VDOM کاملا مجزا ایجاد می شود.

VDOM مدیریتی که در آن یک VDOM مدیریتی بین سایر VDOMها و اینترنت قرار دارد و سایر VDOM ها با لینک های بین-VDOM به VDOM مدیریت متصل می شوند.

Meshed VDOM که در آن VDOMها می توانند با لینک های بین-VDOM ارتباط برقرار کنند. در تنظیمات تمام مش، تمام VDOMها به هم متصل هستند.

همچنان که که زندگی روزانه بیشتر و بیشتر با اینترنت در هم تنیده می شود، اصطلاحاتی مانند Wi-Fi 5 و 5G نیز بیشتر رایج می شوند. علیرغم اینکه به صورت مکرر از آن ها استفاده می کنیم، بسیاری از ما راجع به این عبارات به غیر از اینکه به ما توانایی اتصال به اینترنت بی سیم را می دهند، اطلاع چندانی نداریم. در ادامه با داریا همراه باشید.

داده موبایل در مقابل وای فای

هم داده تلفن همراه و هم وای فای از امواج رادیویی برای اتصال دستگاه های سازگار به اینترنت استفاده می کنند. علارغم این شباهت، تفاوت‌های زیادی بین این دو از نظر نحوه عملکرد و توانایی‌هایشان وجود دارد. ارائه‌دهندگان خدمات تلفن همراه مانند Verizon، T-Mobile و AT&T در ایالات متحده از شبکه‌های دکل مخابراتی بزرگ برای انتقال داده‌ به تلفن‌های همراه، لوازم جانبی هوشمند و سایر دستگاه‌های سیار در سراسر کشور استفاده می‌کنند. از آنجایی که این نوع ارتباط، رمزگذاری شده است، پس داده تلفن همراه امن تر از وای فای در نظر گرفته می شود.

برای استفاده از وای فای، ارائه دهندگان خدمات اینترنت از یک مودم برای ایجاد یک شبکه سیمی در داخل یک ساختمان، مثلا منزل مسکونی یا کتابخانه محلی استفاده می کنند. سپس جهت انتقال سیگنال از مودم به دستگاه های سازگار به صورت بی سیم، از یک روتر استفاده می شود. ممکن است برای سهولت استفاده،  دو تکنولوژی مودم و روتر در یک دستگاه واحد ترکیب شوند.

Cisco ASR 9000 Series Aggregation Services Routers

Cisco 1000 Series Integrated Services Routers

Cisco 4000 Series Integrated Services Routers

اینترنت 5G چیست؟

5G پنجمین نسل از تکنولوژی شبکه‌های تلفن همراه از زمان آغاز به کار آن در اوایل دهه 1980 است. نسل 5 از طیف موج میلی‌متری (mmWave) استفاده می‌کند؛ در نسل قبلی یعنی 4G، از طیف‌های باند متوسط ​​و پایین استفاده می‌شوند.

استفاده از mmWaves برای دستیابی به سرعت‌های بالاتر و تأخیر کمتر نسبت به گذشته، عالی است. در حالی که سرعت نسل 4 در عمل به 50 مگابیت در ثانیه می رسد، سرعت دانلود نسل 5 بین 50 مگابیت بر ثانیه و بیش از 3 گیگابیت در ثانیه است.

علاوه بر افزایش سرعت و کاهش تأخیر، 5G کارآمدتر نیز هست و توانایی مدیریت همزمان دستگاه‌های بیشتری را دارد. به دلیل این پیشرفت ها، ارائه دهندگان خدمات تلفن همراه شروع به ارائه اینترنت خانگی نسل 5 به عنوان جایگزینی برای فیبر نوری و کابل کرده اند.

ایراد تکنولوژی 5G اینجاست که mmWaveها بسیار مستعد تداخل هستند. برای مبارزه با این مشکل، شرکت‌های مخابراتی از ایستگاه‌های پایه مینیاتوری به نام سلول‌های کوچک، MIMOهای عظیم (که مخفف Multiple-Output، Multiple-Input  به معنی چندین ورودی، چندین خروجی) و شکل‌دهی پرتو (یا Beamforming که تکنیکی برای بهبود نسبت سیگنال به نویز، حذف منابع تداخل نامطلوب و تمرکز سیگنال های ارسالی به مکان های خاص است) برای تقویت و هدایت سیگنال های بی‌سیم استفاده می‌کنند.

وای فای 5 چیست؟

وای-فای 5 که با استاندارد IEEE 802.11ac نیز شناخته می شود، ششمین نسل از وای-فای از زمان انتشار نسخه اولیه آن در اواخر دهه 1990 است که به طور غیر رسمی به عنوان Wi-Fi Legacy یا Wi-Fi 0 شناخته می شود. وای-فای 5 همچنین نسل دوم از تکنولوژی اینترنت بی سیم است که قادر به استفاده از فرکانس های 2.4 گیگاهرتز و 5 گیگاهرتز است.

با وجود اینکه دو نسل وای فای از فرکانس‌های مشابهی استفاده می کنند، وای فای 5 بسیار سریع‌تر از وای فای 4 است و تأخیر کمتری دارد. Wi-Fi 5 به صورت تئوری دارای سرعت تا 1300 مگابیت در ثانیه است که بیش از دو برابر سرعت وای فای 4 است. حداکثر سرعت تئوری وای فای 4، 600 مگابیت در ثانیه است. سرعت واقعی به عوامل مختلفی از جمله سخت افزار مورد استفاده و موقعیت جغرافیایی بستگی دارد. وای فای 5 همچنین پشتیبانی از MIMO چند کاربره (MU-MIMO) را ارائه می کند؛ در مقابل وای فای 4 از تکنولوژی MIMO تک کاربره (SU-MIMO) استفاده می کرد.

اینترنت خانگی 5G در مقایسه با وای فای 5

روترهای 5G از تکنولوژی بسیار متفاوتی نسبت به مودم ها و روترهای وای فای 5 استفاده می کنند، در نتیجه  شما امکان جابجایی بین این دو را نخواهید داشت. همانطور که قبلا ذکر شد، مودم های وای فای سیمی هستند و از روترهای اکسترنال یا یکپارچه برای اتصال دستگاه ها به اینترنت بی سیم استفاده می کنند.

از طرف دیگر، روترهای 5G  دارای یک مودم داخلی هستند که سیگنال 5G ارسال شده از دکل های تلفن همراه را گرفته و در منزل یا محل کار پخش می کند. به همین دلیل است که وای-فای از طریق ارائه دهنده خدمات اینترنت ارائه می شود، در حالی که اینترنت 5G خانگی از طریق ارائه دهنده خدمات تلفن همراه شما توزیع می شود.

همچنین ذکر این نکته ضروری است که جدیدترین نسل وای-فای، وای فای 7 است که در آن، مشکلات تداخل کاهش یافته، آخرین پروتکل های امنیتی لحاظ شده و تکنولوژی جدیدی معرفی شده است. همچنین در تبلیغ وای-فای 7 آمده است که سرعت آن با محدودیت تئوری 46 گیگابیت بر ثانیه، بسیار بهبود یافته و باعث شده که سریعتر از وای فای 5 و 5G باشد.

وای فای 5 هنوز استاندارد است و اگرچه می توانید از دستگاه های وای فای 5، 6، و6E  در شبکه وای فای 7 استفاده کنید، اما امکان بهره مندی از تمام مزایای وعده داده شده را نخواهید داشت.

سخن پایانی

خوانندگان عزیز داریا، در مطلب امروز دو گونه اینترنت بی سیم یعنی 5G و Wi-Fi 5 را با هم مقایسه کردیم. عنوان شد که 5G نسل پنجم از تکنولوژی شبکه‌های تلفن همراه بی‌سیم است و از طیف موج میلی‌متری استفاده می کند، در حالی که وای فای 5 که ششمین نسل از وای فای ها است، قادر به استفاده از فرکانس های 2.4 گیگاهرتز و 5 گیگاهرتز است.

سوالات متداول

آیا وای فای 5 همان 5G است؟

جواب خیر می باشد؛ تفاوت اصلی بین وای فای GHz5 و 5G در این نهفته است که در حالی که هم روترهای وای فای 5 گیگاهرتزی و هم روترهای سلولار 5G از امواج رادیویی برای فعال کردن ارتباطات بی سیم استفاده می کنند و هر دو بر روی فرکانس 5 گیگاهرتز فعال هستند، ولی از تکنولوژی های امواج رادیویی مختلفی برای اتصال استفاده می کنند و برای اهداف متفاوتی ساخته شده اند.

استفاده از 5G بهتر است یا وای فای؟

اگر بر روی طیف مجاز کار کند، 5G قابلیت اطمینان و پیش بینی بهتری را برای رفع نیازهای ارتباطی حیاتی ارائه می دهد. 5G نسبت به وای فای برای برآوردن طیف وسیع تری از الزامات QoS طراحی شده است.

آیا 5G می تواند جایگزین وای فای شود؟

5G جایگزینی برای وای فای نیست، بلکه مکمل آن است. 5G برای کار کردن به تعداد زیادی دکل نیاز دارد. وای-فای ارزان است و با ارائه دهندگان اینترنت کابلی، DSL و فیبر موجود کار می کند. 5G ظرفیت جایگزینی وای-فای را ندارد و با محدودیت پهنای باند داده ی بی سیم، جایگزین ضعیفی برای آن است.

اگر در کشوری مانند ایران زندگی می‌کنید، برایتان تعجب آور نخواهد بود که هر روز اخبار کاملا حیرت انگیزی از انواع نقض های اطلاعات و نشت داده بشنوید؛ حتما کاملا موافق هستید که این اتفاقات حاصل و ناشی از چه هستند. گاه یک راهکار بسیار ساده و بدون هزینه مانند آموزش و یا گوشزد کردن به یک کارمند، از به بار آمدن یک خسارت بسیار بزرگ جلوگیری خواهد کرد.

تعریف امنیت داده

امنیت داده (Data Security) فرآیند حفاظت از اطلاعات دیجیتال در برابر فساد، سرقت یا دسترسی غیرمجاز است و همه چیز را از جمله سخت افزار، نرم افزار، دستگاه های ذخیره سازی و دستگاه های کاربر، دسترسی، کنترل های اداری و سیاست ها و پالیسی‌های سازمان را پوشش می دهد.

امنیت داده‌ از ابزارها و تکنولوژی‌هایی استفاده می‌کند که عملکرد داده‌های یک شرکت و نحوه استفاده از آن‌ها را افزایش می‌دهد. این ابزارها می توانند از داده ها با فرایندهایی مانند پوشش داده، رمزگذاری و ویرایش اطلاعات حساس، محافظت کنند. این فرآیند همچنین به سازمان‌ها کمک می‌کند تا پالیسی‌ها حسابرسی خود را ساده‌تر کرده و از مقررات حفاظت از داده، به‌طور سختگیرانه ای پیروی کنند.

یک مدیریت قوی امنیت داده، سازمان را قادر می سازد تا از اطلاعات خود در برابر حملات سایبری محافظت کنند. همچنین به آن‌ها کمک می‌کند تا خطر خطای انسانی و تهدیدات داخلی را که عامل بسیاری از نقض‌های داده‌ است را به حداقل برساند.

چرا امنیت داده مهم است؟

دلایل زیادی وجود دارد که چرا امنیت داده ها برای سازمان ها در تمام صنایع در سراسر جهان مهم است. سازمان‌ها از نظر قانونی موظف هستند از داده‌های مشتریان و کاربران در برابر گم شدن یا دزدیده شدن و قرار گرفتن در اختیار افراد غیرمجاز محافظت کنند. به عنوان مثال، مقررات صنعتی و ایالتی مانند قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA)، مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)، قانون حمل و نقل و پاسخگویی بیمه سلامت (HIPAA)، و استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)، تعهدات قانونی سازمان ها برای حفاظت از داده ها را تشریح می کنند.

امنیت سایبری داده، همچنین برای جلوگیری از به خطر افتادن اعتبار شرکت که با نقض داده همراه خواهد بود، بسیار مهم است. هک یا از دست دادن داده‌های پرمخاطب می‌تواند منجر به از دست دادن اعتماد مشتریان به یک سازمان شود. این موضوع همچنین خطر خسارات مالی جدی همراه با جریمه، پرداخت های قانونی و جبران خسارت در صورت از بین رفتن داده های حساس را به همراه دارد.

مزایای امنیت داده

با بررسی مزایای امنیت داده، که در ذیل با جزئیات بیشتر توضیح داده شده است، تعریف امنیت داده آسان تر خواهد بود.

اطلاعات شما را ایمن نگه می دارد: با اتخاذ یک تفکر متمرکز بر امنیت داده و اجرای مجموعه ای مناسب از ابزارها، اطمینان حاصل می شود که داده های حساس در اختیار افراد غیرمجاز قرار نمی گیرند؛ داده‌های حساس می‌تواند شامل اطلاعات پرداخت مشتری، سوابق بیمارستانی و اطلاعات شناسایی باشد. با یک برنامه امنیت داده که برای پاسخگویی به نیازهای خاص سازمان شما ایجاد شده است، این اطلاعات ایمن باقی می ماند.

به حفظ شهرت شما کمک می کند: هنگامی که افراد با سازمان شما تجارت می کنند، اطلاعات حساس خود را به شما می سپارند؛ یک استراتژی امنیت داده شما را قادر می سازد تا حفاظت مورد نیاز خود را ارائه دهید. آوازه و شهرت خوب در بین مشتریان، شرکا و به طور کلی در دنیای تجارت، به شما یک مزیت رقابتی خواهد داد: در بسیاری از صنایع، نقض داده، امری عادی است، بنابراین اگر بتوانید داده را ایمن نگه دارید، خود را از رقبا جدا می کنید.

صرفه‌جویی در هزینه‌های پشتیبانی و توسعه: اگر اقدامات امنیتی داده‌ را در مراحل اولیه توسعه به کار ببرید، احتمالا مجبور نخواهید بود تا منابع ارزشمندی را برای طراحی و استقرار پَچ‌ها یا رفع مشکلات کدنویسی در این مسیر خرج کنید.

امنیت داده در مقابل حریم خصوصی داده

امنیت داده و حریم خصوصی داده هر دو شامل محافظت از داده هستند، اما این دو مورد تفاوت هایی نیز با یکدیگر دارند. امنیت داده مستلزم کنترل دسترسی به داده با استفاده از عبارات واضح و سیاه و سفید است. برای مثال، یک پالیسی امنیت داده ممکن است حکم کند که هیچ کس به جز کسی که مشکل پایگاه داده را عیب‌یابی می‌کند، اجازه دیدن اطلاعات پرداخت مشتری را نداشته باشد. به این ترتیب، احتمال نقض امنیت داده کاهش می یابد.

از سوی دیگر، حریم خصوصی داده‌ شامل تصمیم‌های ظریف‌تر و استراتژیک‌تری است که تعیین می کند چه کسی به انواع خاصی از داده،‌ دسترسی داشته باشد. با استفاده از همین مثال، سازمانی را در نظر بگیرید که  چنین می اندیشد: دانستن اینکه که مشتریان زیادی با استفاده از PayPal پرداخت انجام داده اند، احتمالا به تیم توسعه کمک خواهد کرد؛ پس با استفاده از این اطلاعات، تیم توسعه می تواند تصمیم بگیرد که آیا پذیرش Payoneer، Skrill، یا  Stripe عاقلانه خواهد بود یا نه. در نتیجه اجازه می دهد  این درگاه های پرداخت به مدت دو هفته به اطلاعات پرداخت، دسترسی داشته باشند. وقتی صحبت از امنیت داده در محاسبات ابری یا در محل می‌شود، این نوع تصمیم‌ها بیشتر در حوزه حریم خصوصی داده‌ها قرار می‌گیرند.

بهترین روش ها برای تضمین امنیت داده و حریم خصوصی

دلیل اهمیت امنیت داده در درجه اول، ایمن نگه داشتن داده و همچنین ایجاد اعتماد در بین مشتریان است. در این بخش، برخی از بهترین شیوه هایی که برای سازمان ها موثر بوده است، ذکر می شود.

ایمن سازی اطلاعات: ایمن سازی اطلاعات یعنی رمزگذاری داده و همچنین مدیریت اینکه چه کسی به داده دسترسی دارد. فقط افرادی که برای انجام عملکردهای ضروری به آن نیاز دارند باید دسترسی داشته باشند و همچنین اطلاعات هنگام رفت و برگشت بین پایگاه داده و کامپیوترها یا دستگاه‌ها می بایست رمزگذاری شوند.

آمادگی به موقع برای مقابله با تهدیدات: می توانید با تست کردن سیستم خود، آموزش کارمندان، طراحی یک برنامه مدیریت حادثه و ایجاد یک برنامه بازیابی اطلاعات، برای مقابله با یک حادثه احتمالی امنیت داده آماده شوید.

حذف داده های بلااستفاده: باید از شر نسخه‌های دیجیتال و فیزیکی داده هایی که دیگر به آن نیاز ندارید خلاص شوید. به این ترتیب احتمال کشف آن توسط هکرها و استفاده شدن برای سودجویی، کاهش می یابد.

انواع امنیت داده

سازمان ها می توانند از طیف گسترده ای از انواع امنیت داده برای حفاظت از داده، دستگاه‌ها، شبکه‌ها، سیستم‌ها و کاربران خود استفاده کنند. برخی از رایج‌ترین انواع امنیت داده‌ که سازمان‌ها باید به دنبال ترکیب آن‌ها برای اطمینان از داشتن بهترین استراتژی ممکن باشند، از این قرار هستند:

رمزگذاری

رمزگذاری داده یعنی استفاده از الگوریتم ها برای به هم زدن ترتیب داده و پنهان کردن معنای واقعی آن. رمزگذاری داده ها تضمین می کند که پیام ها فقط توسط گیرندگان با کلید رمزگشایی مناسب قابل خواندن هستند. این امر به ویژه در صورت نقض داده، بسیار مهم خواهد بود؛ زیرا اگر مهاجم بتواند به داده دسترسی پیدا کند، بدون کلید رمزگشایی قادر به خواندن آن نخواهد بود. رمزگذاری داده همچنین شامل استفاده از راهکار‌هایی مانند توکن‌سازی است که از داده‌ در حین حرکت در کل زیرساخت آی تی سازمان حفاظت می‌کند.

پاک کردن داده

مواردی وجود خواهد داشت که در آن سازمان‌ها دیگر نیازی به داده ندارند و ضروری است که برای همیشه آن‌ها را از سیستم خود حذف کنند. پاک کردن داده، یک تکنیک موثر مدیریت امنیت داده است که مسئولیت و احتمال وقوع نقض داده را حذف می کند.

پنهان کردن داده

پنهان کردن داده به یک سازمان امکان می دهد تا با پنهان کردن و جایگزین کردن حروف یا اعداد خاص، داده را پنهان کند. این فرآیند نوعی رمزگذاری است که موجب می شود حتی در صورت رهگیری داده توسط هکر، داده بدون استفاده شود. پیام اصلی فقط توسط شخصی قابل کشف است که کد رمزگشایی یا جایگزینی کاراکترهای ماسک شده را داشته باشد.

تاب آوری داده ها

سازمان‌ها می‌توانند با ایجاد نسخه‌های پشتیبان یا کپی گرفتن از داده‌، خطر تخریب یا از بین رفتن تصادفی داده‌ها را کاهش دهند. پشتیبان گیری از داده برای محافظت از اطلاعات و اطمینان از همیشه در دسترس بودن آنها حیاتی است. این امر به ویژه در هنگام نقض داده یا حمله باج افزار مهم است و اطمینان حاصل می کند که سازمان می تواند نسخه پشتیبان قبلی را بازیابی کند.

بزرگترین خطرات امنیت داده

با وجود حملات سایبری که توسط مهاجمان پیشرفته‌تر انجام می‌شوند، سازمان‌ها با چشم‌انداز پیچیده‌تر تهدیدات امنیتی مواجه می‌شوند. برخی از بزرگترین خطرات برای امنیت داده در ذیل آورده شده است.

در معرض قرار گرفتن تصادفی داده 

بسیاری از نقض‌های داده‌، نتیجه هک نیست؛ بلکه از طریق کارمندانی است که به‌طور تصادفی یا سهل‌انگارانه اطلاعات حساس را افشا کرده اند. کارمندان به راحتی می توانند داده را به اشتباه از دست دهند، به اشتراک گذارند، به فرد غیرمجاز اجازه دسترسی به داده را بدهند و یا به دلیل عدم آگاهی از پالیسی های امنیتی شرکت، اطلاعات را اشتباه مدیریت کرده و یا از دست دهند.

حملات فیشینگ

در یک حمله فیشینگ، یک مجرم سایبری، پیام‌هایی را معمولاً از طریق ایمیل، اس ام اس یا سرویس‌های پیام‌رسان فوری ارسال می‌کند که به نظر می‌رسد از یک فرستنده قابل اعتماد باشد. پیام‌ها شامل لینک های مخرب یا پیوست‌هایی هستند که گیرندگان را به دانلود بدافزار یا بازدید از یک وب‌سایت جعلی ترغیب می کنند که مهاجم را قادر می‌سازد تا اطلاعات لاگین به سیستم یا اطلاعات مالی آنها را بدزدد.

این حملات همچنین می تواند به مهاجم کمک کند دستگاه های کاربر را به خطر بیندازد یا به شبکه های شرکتی دسترسی پیدا کند. حملات فیشینگ اغلب با مهندسی اجتماعی همراه می‌شوند، که هکرها از آن برای تحت تاثیر قرار دادن قربانیان استفاده می‌کنند تا اطلاعات حساس یا اطلاعات لاگین به حساب‌ها را ارائه دهند.

تهدیدات داخلی

یکی از بزرگترین تهدیدات امنیت داده برای هر سازمانی، کارکنان آن سازمان هستند. تهدیدات داخلی افرادی هستند که عمدا یا سهوا داده‌های سازمان خود را در معرض خطر قرار می دهند و بر سه نوع هستند:

1. کارکنان در معرض خطر: کارمند متوجه نمی شود که حساب یا اطلاعات اکانت وی به خطر افتاده است و طی آن یک مهاجم می تواند فعالیت های مخربی را به عنوان کاربر انجام دهد.
2. کارکنان مخرب: کارمند آگاهانه تلاش می کند تا داده ها را از سازمان خود بدزدد یا به نفع شخصی خود آسیب برساند.
3. خودی غیر مخرب: کارمند به طور تصادفی از طریق رفتار سهل‌انگارانه، با رعایت نکردن پالسی‌ها یا رویه‌های امنیتی یا بی‌اطلاعی از آن‌ها باعث آسیب می‌شود.

بدافزار

نرم افزارهای مخرب معمولاً از طریق ایمیل و حملات مبتنی بر وب پخش می شوند. مهاجمان از بدافزارها برای آلوده کردن کامپیوترها و شبکه‌های شرکتی با سواستفاده از آسیب‌پذیری‌ها در نرم‌افزار خود، مانند مرورگرهای وب یا اپلیکیشن های وب استفاده می‌کنند. بدافزار می‌تواند منجر به حوادث جدی امنیت داده‌ مانند سرقت داده، اخاذی و آسیب شبکه شود.

باج افزار

حملات باج‌افزاری خطری جدی برای امنیت داده‌ برای تمام سازمان‌ها در هر اندازه‌ای ایجاد می‌کنند و نوعی بدافزار هستند که هدف آن آلوده کردن دستگاه‌ها و رمزگذاری داده‌های روی آن ها است. سپس مهاجمان، در ازای بازگرداندن یا بازیابی داده ها پس از پرداخت مبلغ، از قربانی خود باج می خواهند. برخی از قالب‌های باج‌افزار به سرعت پخش می‌شوند و کل شبکه‌ها را آلوده می‌کنند که حتی می‌تواند سرورهای داده پشتیبان را نیز از بین ببرد.

ذخیره سازی داده های ابری

سازمان‌ها به طور فزاینده‌ای داده‌ها را به فضای ابری منتقل می‌کنند تا همکاری و اشتراک‌گذاری آسان‌تر را فراهم کنند. اما انتقال داده به ابر می تواند کنترل و محافظت از آن را در برابر از دست دادن داده دشوارتر کند. ابر برای تیم دورکاری، که در آن کاربران با استفاده از دستگاه‌های شخصی و در شبکه‌های نیمه امن به اطلاعات دسترسی دارند، حیاتی است. این کار، اشتراک‌گذاری تصادفی یا مخرب داده‌ها را با اشخاص غیرمجاز آسان‌تر می‌کند.

راهکارهای امنیت داده حیاتی

طیف گسترده ای از راهکارها برای کمک به سازمان‌ها برای محافظت از اطلاعات و کاربران خود وجود دارد که شامل موارد ذیل می شود.

کنترل های دسترسی

کنترل‌های دسترسی سازمان‌ها را قادر می‌سازد تا قوانینی را در مورد افرادی که می‌توانند به داده‌ها و سیستم‌ها در محیط‌های دیجیتالی خود دسترسی داشته باشند، اعمال کنند. آنها این کار را از طریق لیست‌های کنترل دسترسی (ACL) انجام می‌دهند، که دسترسی به فهرست‌ها، فایل‌ها و شبکه‌ها را فیلتر می‌کنند و مشخص می‌کنند که کدام کاربران مجاز به دسترسی به اطلاعات و سیستم‌ها هستند.

امنیت داده های ابری

همانطور که سازمان‌ها به طور فزاینده ای داده‌های خود را به ابر منتقل می کنند، به راهکاری نیاز دارند که آن ها را قادر می سازد تا:

• داده‌ها را در حین انتقال به فضای ابری ایمن کنند.
• از اپلیکیشن های مبتنی بر ابر محافظت کنند.

این امر حتی برای ایمن کردن فرآیندهای کاری داینامیک بسیار مهم است، چرا که کارمندان به طور فزاینده ای به کار از راه دور و در منزل شخصی بسیار تمایل دارند.

پیشگیری از از دست دادن داده

پیشگیری از از دست دادن داده (DLP) سازمان ها را قادر می سازد تا نقض احتمالی داده را شناسایی کرده و از آن جلوگیری کنند. همچنین به آن‌ها کمک می‌کند نفوذ و اشتراک‌گذاری غیرمجاز اطلاعات در خارج از سازمان را شناسایی کنند، دید بهتری نسبت به اطلاعات کسب کنند، از تخریب داده‌های حساس جلوگیری کنند و با مقررات داده‌های مربوطه مطابقت داشته باشند.

امنیت ایمیل

ابزارهای امنیتی ایمیل به سازمان ها این امکان را می دهد تا تهدیدات امنیتی ناشی از ایمیل را شناسایی کرده و از آنها جلوگیری کنند. این موضوع نقش مهمی در جلوگیری از کلیک کردن کارمندان بر روی لینک های مخرب، باز کردن پیوست های مخرب و بازدید از وب سایت‌های جعلی دارد. راهکارهای امنیتی ایمیل همچنین می‌توانند رمزگذاری سرتاسری را در ایمیل و پیام‌های موبایل ارائه دهند که داده‌ها را ایمن نگه می‌دارد.

مدیریت کلیدی

مدیریت کلید شامل استفاده از کلیدهای رمزنگاری برای رمزگذاری داده‌ها است. از کلیدهای عمومی و خصوصی برای رمزگذاری و سپس رمزگشایی داده ها استفاده می شود که امکان اشتراک گذاری امن داده‌ها را فراهم می سازد. سازمان ها همچنین می توانند از هش برای تبدیل هر رشته از کاراکترها به مقادیر دیگر استفاده کنند که از استفاده از کلیدها جلوگیری می کند.

مقررات امنیت داده

امنیت داده به سازمان ها اجازه می دهد تا از مقررات صنعتی و ایالتی پیروی کنند؛ در ادامه به این مقررات می پردازیم.

مقررات عمومی حفاظت از داده‌  (GDPR)

قانون GDPR، یک قانون است که از داده های شخصی شهروندان اروپایی محافظت می کند. هدف آن افزایش کنترل و حقوق حریم خصوصی افراد بر داده‌هایشان است و کنترل‌های شدیدی را بر نحوه پردازش این اطلاعات توسط سازمان‌ها اعمال می‌کند. GDPR تضمین می‌کند که سازمان‌ها داده‌های شخصی را به صورت ایمن پردازش می کنند و از آنها در برابر پردازش غیرمجاز، از دست دادن تصادفی، آسیب و تخریب محافظت می‌کند. همچنین جریمه ای معادل 4 درصد از گردش مالی سالانه یک شرکت یا 20 میلیون یورو (هر کدام که بیشترین باشد) را به همراه دارد.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا  (CCPA)

هدف CCPA این است که به مصرف کنندگان کنترل بیشتری بر نحوه جمع آوری داده های شخصی کسب و کارها بدهد و شامل این حقوق می شود:

• حق دانستن اطلاعاتی است که یک کسب و کار دارد و چگونگی اشتراک گذاری یا استفاده از آن ها
• حق حذف آن اطلاعات
• حق انصراف از فروش آن داده به اشخاص ثالث
• و حق اجتناب از تبعیض برای اعمال این حقوق CCPA.

سازمان ها باید در مورد شیوه های حفظ حریم خصوصی خود به مصرف کنندگان اطلاع رسانی کنند.

 HIPAA

HIPAA یک قانون فدرال است که از داده های سلامتی بیماران در برابر در معرض قرار گرفتن بدون رضایت یا اطلاع آنها محافظت می کند و حاوی قانون حفظ حریم خصوصی است که به افشا و استفاده از اطلاعات بیمار می پردازد و تضمین می کند که داده ها به درستی محافظت می شوند. همچنین دارای یک قانون امنیتی است که از تمام اطلاعات بهداشتی قابل شناسایی فردی که یک سازمان به صورت الکترونیکی ایجاد، نگهداری، دریافت یا انتقال میدهد، محافظت می کند.

عدم رعایت می تواند منجر به جریمه تا 50،000 دلار به ازای هر تخلف، حداکثر جریمه سالانه 1.5 میلیون دلاری و مجازات حبس تا 10 سال شود.

قانون Sarbanes-Oxley (SOX)

(SOX) یک قانون فدرال است که مقررات حسابرسی و مالی را برای سازمان های عمومی ارائه می کند. این مقررات از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیت های مالی متقلبانه محافظت می کند. هدف اصلی این مقررات تنظیم حسابرسی، گزارشگری مالی و سایر فعالیت های تجاری در سازمان های سهامی عام است. دستورالعمل‌های آن برای سایر شرکت ها، سازمان های خصوصی و شرکت های غیرانتفاعی نیز اعمال می شود.

استاندارد امنیت داده های صنعت کارت پرداخت  (PCI DSS)

استاندارد امنیت داده های PCI (PCI DSS) تضمین می کند که سازمان ها به طور ایمن داده های کارت اعتباری را پردازش، ذخیره و انتقال دهند. توسط شرکت هایی مانند American Express، Mastercard و Visa برای کنترل و مدیریت استانداردهای امنیتی PCI و افزایش امنیت حساب در طول تراکنش های آنلاین راه اندازی شد. PCI DSS توسط شورای استانداردهای امنیتی (PCI SSC) اداره می شود. عدم رعایت می تواند منجر به جریمه ماهانه تا 100،000 دلار و تعلیق پذیرش کارت شود.

سازمان بین المللی استاندارد    (ISO) 27001

ISO 27001 یک استاندارد بین المللی برای ایجاد، استقرار، نگهداری و بهبود سیستم های مدیریت امنیت اطلاعات است و برای سازمان‌ها، بینش عملی را در مورد چگونگی توسعه پالیسی های امنیتی جامع و به حداقل رسانی خطرات آنها ارائه می دهد.

جمع بندی

سوالات متداول

امنیت داده چیست؟

امنیت داده، فرایند حفاظت از اطلاعات دیجیتال در تمام چرخه حیات آن برای محافظت از آن در برابر فساد، سرقت یا دسترسی غیرمجاز است و همه چیز را تحت پوشش قرار می دهد؛ اعم از سخت افزار، نرم افزار، دستگاه های ذخیره سازی و دستگاه های کاربر، دسترسی و کنترل های اداری، و پالیسی‌ها و رویه های سازمان.

چرا امنیت داده ها مهم است؟

سازمان‌ها از نظر قانونی موظف هستند از داده‌های مشتریان و کاربران در برابر گم شدن یا دزدیده شدن و قرار گرفتن در اختیار افراد غیرمجاز محافظت کنند. امنیت سایبری داده ها همچنین برای جلوگیری از به خطر افتادن شهرت و اعتبار که با نقض داده همراه است، بسیار مهم است. هک یا از دست دادن داده‌های پرمخاطب می‌تواند منجر به از دست دادن اعتماد مشتریان به یک سازمان شود.

انواع امنیت داده چیست؟

برخی از رایج‌ترین انواع امنیت داده‌، که سازمان‌ها باید به دنبال ترکیب آن‌ها برای اطمینان از داشتن بهترین استراتژی ممکن باشند، عبارت هستند از: رمزگذاری، پاک کردن داده‌، پنهان کردن داده‌ و تاب آوری داده‌.

در دنیای دیجیتال، محافظت از اطلاعات شخصی و داده‌های حساس به یک اولویت مهم تبدیل شده است چرا که کاربران اینترنت، شرکت‌ها و سازمان‌ها همواره در معرض تهدیدات مختلف سایبری مانند بدافزارها، ویروس‌ها و هکرها قرار دارند. برای مقابله با این تهدیدات، ابزارهای امنیتی مختلفی طراحی و عرضه شده‌اند که از جمله مهم‌ترین آن‌ها می‌توان به آنتی ویروس و فایروال اشاره کرد. هر کدام از این ابزارها نقش مهمی در تامین امنیت سیستم‌های کامپیوتری و شبکه‌های ارتباطی ایفا می‌کنند. اما تفاوت این دو در چیست؟ در ادامه این مطلب با شرکت داریا همراه باشید.

آنتی ویروس چیست؟

آنتی ویروس یک نوع نرم افزار کامپیوتری است که در واقع به عنوان ضد بدافزار هم شناخته می شود؛ بهتر است بدانید از آنتی ویروس برای تشخیص انواع بد افزار ها مانند کرم، تروجان، باج افزار و … روی سیستم های نرم افزاری خود یا جلوگیری از ورود و حذف آن ها روی سیستم نرم افزاری استفاده میشود. در حقیقت، آنتی ویروس ها بیشتر ضد بدافزار هستند و هدف اصلی آنها شناسایی و حذف ویروس های کامپیوتری  است و به همین علت به آنها آنتی ویروس می گویند.

انواع آنتی ویروس

آنتی ویروس‌ها به طور کلی به سه دسته اصلی تقسیم می‌شوند که هر کدام ویژگی‌ها و کاربردهای خاص خود را دارند که در ادامه به بررسی انواع مختلف آنتی ویروس ها میپردازیم.

آنتی ویروس مستقل

آنتی ویروس مستقل یک نوع ابزار خصوصی شناسایی و حذف ویروس های کامپیوتری است. به این نوع از آنتی ویروس ها، آنتی ویروس قابل حمل نیز می گویند؛ به این خاطر که می توان آن را روی دستگاه USB نصب کرد و در صورت نیاز، فورا آن را به هر سیستمی متصل کرد و آن سیستم را برای حضور بدافزار اسکن کرد.

سرویس نرم افزار امنیتی

عملکرد سیستم نرم افزار امنیتی فقط به برنامه آنتی ویروس محدود نمی شود. علاوه بر شناسایی و حذف ویروس های کامپیوتری، سرویس های نرم افزار امنیتی این قابلیت را دارند تا تمام بد افزار های کامپیوتری را شناسایی کرده و در تمام مدت از سیستم های نرم افزاری محافظت کنند.

نرم افزار آنتی ویروس بر رایانش ابری

نرم افزار آنتی ویروس مبتنی بر رایانش ابری یک فناوری آنتی ویروس جدید است که به جای این که بر روی سیستم کامپیوتر شما نصب شده باشد و از داده های سیستم کامپیوتری شما استفاده کند، در مخازن ابری واقع شده و دیگر نیازی به دیسک حافظه کامپیوتری شما ندارد تا عملیات خود را انجام دهند.

استفاده از نرم‌ افزار آنتی ویروس مزایای فراوانی دارد که به بهبود امنیت سیستم‌های کامپیوتری و محافظت از داده‌ها کمک می‌کند. در ادامه به مهمترین مزایای یک نرم‌ افزار آنتی ویروس خوب اشاره می‌کنیم:

• در برابر تروجان ها، بدافزارها و باج افزارها دفاع می کند.
• هرزنامه ها و سایر تبلیغات ناخواسته را مسدود می کند.
• در برابر هک و سرقت اطلاعات از سیستم محافظت می کند.
• از تهدیدات جانبی خارجی که قابل حذف هستند محافظت می کند.
• از داده ها محافظت می کند.
• از رمزهای عبور محافظت کرده و از نشت آن جلوگیری می کند.
• با شناسایی و محدود کردن وب‌سایت‌های مشکوک، حفاظت عالی‌تری را تضمین می‌کند.
• حتی گاهی اوقات می‌تواند ویروس‌های جدید تعریف‌نشده را با امضا و فعالیت‌هایشان قبل از اینکه آسیبی وارد کنند، شناسایی کند، حتی اگر برنامه به طور خاص نتواند تهدید را شناسایی کند. به هر حال این برنامه سعی خواهد کرد مهاجم ناشناس را ایزوله کند.
• مقرون به صرفه است و در دراز مدت باعث صرفه جویی در هزینه ها می شود.

فایروال یک سیستم امنیتی است که به محافظت از شبکه شما در برابر تهدیدات خارجی کمک می کند و به عنوان یک مانع بین شبکه های داخلی قابل اعتماد و شبکه های خارجی غیر قابل اعتماد عمل می کند. فایروال ها می توانند جریان داده ها را در داخل و خارج از سیستم شما، با بررسی درخواست های دریافتی در برابر قوانین امنیتی تعیین شده کنترل کنند.

مزایای فایروال

فایروال ها به سرورها و سیستم های کامپیوتری مجموعه ای همه کاره از مزیت ها را ارائه می دهند، از جمله این مزایا می توان به موارد زیر اشاره کرد:

• جلوگیری از هک و دسترسی غیرمجاز از راه دور.
• اولویت اصلی را برای حفظ حریم خصوصی و امنیت فراهم می کند.
• اولویت اصلی را برای حفظ حریم خصوصی و امنیت فراهم می کند.
• از سیستم ها در برابر تروجان ها دفاع می کند.
• فایروال های مبتنی بر شبکه از طریق روترها می توانند به طور بالقوه از بسیاری از سیستم ها محافظت کنند. با این حال، یک فایروال مبتنی بر یک سیستم عامل فقط از رایانه های فردی محافظت می کند.
• با هیچ یک از عملکردهای سیستم تداخلی ندارد.

تفاوت بین فایروال و نرم افزار آنتی ویروس چیست؟

فایروال ابزاری است که ترافیک ورودی و خروجی شبکه را کنترل می‌کند و با ایجاد قوانین مشخص، مانع از دسترسی‌های غیرمجاز به سیستم می‌شود. این ابزار با جلوگیری از حملات شبکه‌ای مانند هک و DDoS، از سیستم‌ها در برابر تهدیدات خارجی محافظت می‌کند و بیشتر به تنظیم ارتباطات بین شبکه و اینترنت می‌پردازد.

در مقابل، نرم‌افزار آنتی ویروس برای شناسایی، حذف و جلوگیری از اجرای بدافزارها مانند ویروس‌ها و تروجان‌ها طراحی شده است. آنتی ویروس‌ها به طور مستقیم سیستم را اسکن کرده و بدافزارهای مخفی یا فعال را شناسایی و از بین می‌برند. توجه داشته باشید که فایروال بر ترافیک شبکه تمرکز دارد، در حالی که آنتی ویروس بر شناسایی و حذف تهدیدات داخلی سیستم متمرکز است.

تفاوت اصلی بین فایروال و نرم افزار آنتی ویروس هدف آنهاست؛ بهتر است بدانید فایروال ها برای جلوگیری از دسترسی غیرمجاز با کنترل جریان داده ها در داخل و خارج از شبکه طراحی شده اند، در مقابل نرم افزار آنتی ویروس برای شناسایی فعالیت های مخرب در سیستم شما طراحی شده اند. فایروال ها معمولاً همراه با نرم افزار آنتی ویروس برای ارائه رویکردی جامع در امنیت سایبری استفاده می شوند. با ترکیب این دو، کسب و کارها می توانند از خود در برابر تهدیدات خارجی و داخلی محافظت کنند.

تفاوت های کلیدی بین فایروال و نرم افزار آنتی ویروس

تفاوت‌های کلیدی بین فایروال و نرم‌افزار آنتی ویروس به شرح زیر است:

1. هدف اصلی:

• فایروال: جلوگیری از دسترسی‌های غیرمجاز به شبکه و کنترل ترافیک ورودی و خروجی بین شبکه و اینترنت. به طور کلی فایروال مانع از ورود تهدیدات از طریق اینترنت یا شبکه‌های دیگر به سیستم می‌شود.
• آنتی ویروس: شناسایی، حذف و جلوگیری از اجرای بدافزارها (مانند ویروس‌ها، تروجان‌ها، و روت‌کیت‌ها) در سیستم. آنتی ویروس پس از ورود بدافزارها به سیستم، آن‌ها را شناسایی کرده و پاکسازی می‌کند.

2. محدوده عملکرد:

• فایروال: بر مدیریت و نظارت ترافیک شبکه متمرکز است. این ابزار از دسترسی‌های مشکوک و غیرمجاز به شبکه جلوگیری می‌کند و معمولاً قوانین مبتنی بر پروتکل‌ها، پورت‌ها، و IPها تنظیم می‌شود.
• آنتی ویروس: بیشتر بر روی فایل‌ها و برنامه‌های داخل سیستم کار می‌کند. این نرم‌افزار فایل‌ها را اسکن می‌کند تا بدافزارهای مخفی‌شده یا مشکوک را شناسایی و حذف کند.

3. نصب و نوع:

• فایروال: می‌تواند به صورت سخت‌افزاری یا نرم‌افزاری نصب شود و معمولاً برای شبکه‌های بزرگ از فایروال‌های سخت‌افزاری استفاده می‌شود.
• آنتی ویروس: یک نرم‌افزار نصب‌شده روی سیستم‌عامل است و بر اساس دیتابیس امضای ویروس‌ها یا تکنیک‌های تحلیل رفتاری کار می‌کند.

4. نوع حمله:

• فایروال: از سیستم در برابر حملات شبکه‌ای مانند DDoS، هک و دسترسی‌های غیرمجاز محافظت می‌کند.
• آنتی ویروس: از سیستم در برابر بدافزارهایی که از طریق فایل‌های مخرب، ایمیل‌ها یا دانلودها وارد شده‌اند، محافظت می‌کند.

سخن پایانی

آگاهی از تفاوت بین آنتی ویروس و فایروال می تواند کمک بزرگی در حفظ امنیت سازمان ها و شرکت ها به حساب بیاید، با شناخت ویژگی ها و کاربرد هر کدام می توانید به عنوان تیم فنی شرکت از اطلاعات و داده های سری و حساس به طور قابل توجهی محافظت کنید و بر اساس نیاز سازمان از آنتی ویروس و یا فایروال استفاده کنید.

سوالات متداول

آیا فایروال محافظت کافی دارد؟

فایروال ها می توانند آدرس های IP مخرب شناخته شده را مسدود و دسترسی به پورت های خاص را محدود کنند و بسته های شبکه را برای محتوای مشکوک بازرسی کنند. 

آیا فایروال هکرها را متوقف می کند؟

فایروال به عنوان فیلتر عمل می کند که دسترسی بین سیستم عامل شما و ترافیک ناخواسته یا منابع خارجی را کنترل می کند. به طور خلاصه، فایروال ها از شما در برابر هکرها یا بدافزارهایی که ممکن است سعی در سرقت اطلاعات شخصی شما را داشته باشند، محافظت  کند.

آیا فایروال هنوز مفید است؟

هنوز نیاز شدیدی به امنیت فایروال وجود دارد که از محیط شبکه و دسترسی شما به اینترنت محافظت کند.

آیا فایروال آنتی ویروس است؟

فایروال به عنوان مانعی برای جلوگیری از دسترسی غیرمجاز به یک شبکه یا سیستم عمل می کند، در حالی که نرم افزار آنتی ویروس، نرم افزارهای مخرب (بدافزار) را در دستگاه شناسایی و حذف می کند. هر دو برای امنیت همه جانبه ضروری هستند، زیرا تهدیدات و آسیب پذیری های مختلف را مورد توجه قرار می دهند.

تحول از پردازنده‌های 32 بیتی به 64 بیتی، یکی از مهم‌ترین تحولات فناوری در دو دهه گذشته بوده است. این تغییر نه‌تنها در نحوه پردازش داده‌ها تأثیر گذاشته، بلکه دنیای رایانه‌ها و دستگاه‌های دیجیتال را به کلی دگرگون کرده است. با افزایش نیاز به قدرت پردازش بیشتر و مدیریت داده‌های پیچیده، پردازنده‌های 64 بیتی به تدریج جایگزین مدل‌های قبلی شدند. اما آیا این روند متوقف خواهد شد؟ آیا روزی فرا می‌رسد که ما به پردازنده‌های 128 بیتی نیاز داشته باشیم؟

تعریف پردازنده

پردازنده (CPU)  جزء اصلی یک کامپیوتر است که وظیفه انجام محاسبات و پردازش اطلاعات را بر عهده دارد. پردازنده به‌عنوان “مغز” کامپیوتر عمل می‌کند و می‌تواند دستورات برنامه‌ها را اجرا کند. این دستگاه وظیفه انجام عملیات منطقی، ریاضی و کنترلی را دارد و داده‌ها را از حافظه دریافت کرده، آن‌ها را پردازش کرده و نتایج را به حافظه یا دستگاه‌های خروجی ارسال می‌کند.

پردازنده‌ها معمولاً شامل هسته‌های متعدد هستند که به‌صورت همزمان قادر به پردازش چندین دستورالعمل هستند. همچنین، آن‌ها دارای کش (Cache) برای ذخیره‌سازی موقت داده‌ها و اطلاعات مورد نیاز برای افزایش سرعت پردازش هستند. پردازنده‌ها به دو دسته اصلی تقسیم می‌شوند:

1. پردازنده‌های مرکزی (CPU): برای انجام محاسبات و پردازش‌های عمومی طراحی شده‌اند.
2. پردازنده‌های گرافیکی (GPU): برای پردازش داده‌های گرافیکی و محاسبات موازی بهینه‌سازی شده‌اند.

پردازنده های 32 بیتی در مقابل 64 بیتی

پردازنده‌های 32 بیتی قادر به پردازش 32 بیت اطلاعات به‌طور همزمان هستند، در حالی که پردازنده‌های 64 بیتی می‌توانند 64 بیت را همزمان پردازش کنند. این افزایش ظرفیت باعث می‌شود که پردازنده‌های 64 بیتی بتوانند اطلاعات بیشتری را به‌طور همزمان مدیریت کنند و به این ترتیب عملکرد و قابلیت‌های بهتری را ارائه دهند.

اکثر کامپیوترها و دستگاه‌های موبایل مدرن از پردازنده‌های 64 بیتی استفاده می‌کنند، اما برخی از دستگاه‌های قدیمی هنوز با پردازنده‌های 32 بیتی کار می‌کنند. به همین دلیل هنوز سیستم‌ عامل‌های 32 بیتی وجود دارند. قابل ذکر است که ویندوز 11 نسخه 32 بیتی ندارد و ویندوز 10 آخرین نسخه‌ای است که از این پردازنده‌های قدیمی پشتیبانی می‌کند. همچنین، اپل به‌طور کامل پشتیبانی از اپلیکیشن‌های 32 بیتی را کنار گذاشته است و به‌نظر می‌رسد که هر دو پلتفرم اصلی کامپیوتر برای همیشه با پردازنده 32 بیتی خداحافظی کرده‌اند.

اندازه بیت و رم

یک CPU 32 بیتی برای مدیریت داده‌ها در واحدهای 32 بیتی طراحی شده است، که به آن امکان می‌دهد به 4,294,967,296 (یا 32^2) مکان حافظه جداگانه دسترسی داشته باشد که هر یک آدرس منحصر به فرد دارند. با این حال، حافظه واقعی قابل استفاده در سیستم‌های 32 بیتی اغلب کمتر از 4 گیگابایت است، زیرا فضای آدرس حافظه برای سایر دستگاه‌های سخت‌افزاری مانند پردازنده‌های گرافیکی محفوظ است. به عنوان مثال، اگر پردازنده گرافیکی شما دارای 512 مگابایت VRAM باشد، تنها می‌توانید 3.5 گیگابایت از RAM سیستم را آدرس‌دهی کنید.

در عوض، CPUهای 64 بیتی می‌توانند حافظه بسیار بیشتری نسبت به همتایان 32 بیتی خود آدرس‌دهی کنند. یک CPU 64 بیتی برای مدیریت داده‌ها در واحدهای 64 بیتی طراحی شده است، که به آن اجازه می‌دهد به 18,446,744,073,709,551,616 (یا 64^2) مکان حافظه جداگانه دسترسی داشته باشد. از نظر تئوری، یک CPU 64 بیتی می‌تواند تا 16 اگزابایت RAM را آدرس‌دهی کند.

در عمل، مقدار RAM که یک CPU 64 بیتی می‌تواند آدرس‌دهی کند، به سیستم‌عامل و محدودیت‌های فیزیکی سخت‌افزار کامپیوتر بستگی دارد. با این حال، کامپیوترها و سرورهای مدرن با پردازنده‌های 64 بیتی می‌توانند مقادیر قابل توجهی RAM نسبت به سیستم‌های 32 بیتی را در خود جای دهند و بسیاری از سیستم‌ها از صدها گیگابایت یا حتی ترابایت RAM پشتیبانی می‌کنند.

چرا CPU ها به سمت 64 بیت رفتند؟

برای پاسخگویی به تقاضاهای رو به رشد برای قدرت پردازش بیشتر و آدرس‌پذیری حافظه، معماری پردازنده‌ها از 32 بیتی به 64 بیتی تغییر یافت. کامپیوترهای شخصی در اوایل دهه 2000 شروع به استفاده از پردازنده های 64 بیتی کردند، اما این پردازنده ها قبلاً در دهه 1990 برای سرورها و ایستگاه های کاری در دسترس بودند.

پردازنده های 64 بیتی می توانند حجم زیادی از داده ها را پردازش کنند و به حافظه بسیار بیشتری دسترسی داشته باشند. آنها عملکرد و کارایی بالاتری را در مقایسه با پردازنده های 32 بیتی ارائه می دهند. به همین دلیل است که امروزه اکثر کامپیوترها و دستگاه های موبایل از پردازنده های 64 بیتی استفاده می کنند. افزایش تعداد هسته‌های CPU به‌طور خاص منجر به نیاز اجتناب‌ناپذیر به ظرفیت RAM بیشتر شد.

مزایای اندازه ­های بیت بزرگتر

اندازه بیت بزرگتر دامنه بیشتری از مقادیر عددی را امکان‌پذیر می‌سازد که می‌تواند برای کارهایی که به دقت بالایی نیاز دارند، مانند محاسبات علمی و مالی، مفید باشد. همچنین می‌توانید امنیت بهبود یافته‌ای را برای کارهایی مانند رمزگذاری پیاده‌سازی کنید، زیرا با افزایش اندازه بیت، شکستن کدها چالش‌برانگیزتر می‌شود.

بیت‌های بیشتر، پردازنده را قادر می‌سازد تا عملیات پیچیده‌تر و مقادیر بیشتری از داده‌ها را به‌طور همزمان مدیریت کند و عملکرد و کارایی کلی را بهبود بخشد. همچنین، اندازه بیت بزرگتر می‌تواند سازگاری کامپیوتر را با مجموعه داده‌های بزرگ و اپلیکیشن‌های پیچیده بهبود بخشد. این مسئله در یادگیری ماشین و سایر بارهای کاری HPC (محاسبات با عملکرد بالا) اهمیت ویژه‌ای دارد.

چرا ممکن است هرگز به کامپیوترهای 128بیتی نیاز نداشته باشیم؟

پیش بینی آینده عملا غیرممکن است، اما چند دلیل وجود دارد که چرا کامپیوترهای 128بیتی ممکن است هرگز مورد نیاز نباشند:

کاهش بازدهی: با افزایش اندازه بیت پردازنده، معمولا بهبود عملکرد و قابلیت­ها کمتر قابل توجه است. به عبارت دیگر، بهبود از 64 به 128بیت به هیچ وجه قابل مقایسه با تغییر از پردازنده های 8 بیتی به 16 بیتی نیست.

راه حل­ های جایگزین: ممکن است راهکارهای جایگزینی برای رفع نیاز به افزایش قدرت پردازش و آدرس دهی حافظه وجود داشته باشد، مانند استفاده از چندین پردازنده یا سخت افزار تخصصی به جای یک پردازنده واحد و بزرگ با اندازه بیت بزرگ.

محدودیت های فیزیکی: ممکن است به دلیل محدودیت های تکنولوژیکی یا مواد، ایجاد یک پردازنده 128بیتی مدرن پیچیده، غیرممکن باشد.

هزینه و منابع: توسعه و تولید پردازنده‌های 128 بیتی می‌تواند هزینه‌ و منابع­ زیادی طلب کند و تولید انبوه به صرفه نباشد.

جمع بندی

درست است که مزایای تغییر از 64 بیتی به 128 بیتی ممکن است امروز ارزشش را نداشته باشد ولی امکان دارد اپلیکیشن ها یا تکنولوژی های جدیدی در آینده ظاهر شوند که می توانند توسعه پردازنده های 128 بیتی را به جلو ببرند.

پیشرفت‌ها در هوش مصنوعی، محاسبات کوانتومی یا سایر فناوری‌هایی که هنوز کشف نشده‌اند ممکن است نیاز به پردازنده‌های قدرتمندتر با اندازه بیت‌های بزرگتر را ایجاد کند. آینده تکنولوژی­ همیشه نامشخص است و آنچه امروز غیر ضروری یا غیرمحتمل به نظر می رسد می تواند در سال های آینده ضروری شود.

از آنجایی که حملات سایبری به ‌طور مداوم در حال افزایش است، امنیت شبکه به یکی از دغدغه‌های اصلی سازمان‌ها تبدیل شده است. یکی از راهکارهای نوین و موثر برای حفاظت از شبکه‌های سازمانی، استفاده از میکروسگمنتیشن است. این تکنیک امنیتی پیشرفته با تقسیم‌ بندی دقیق و جدا کردن بخش‌های مختلف شبکه، کنترل بیشتری بر جریان داده‌ها فراهم می‌کند و از نفوذ تهدیدات به شبکه جلوگیری می کند.

تعریف میکروسگمنتیشن

میکروسگمنتیشن (Microsegmentation) یک روش امنیتی است که با جداسازی مناطق امن در یک مرکز داده یا محیط ابری، امکان کنترل دقیق ‌تر به برنامه‌ها و بارهای کاری را فراهم می ‌کند. این روش به مدیران فناوری اطلاعات اجازه می ‌دهد نظارت بیشتری بر عملکرد شبکه داشته باشند.

چرا باید از میکروسگمنتیشن استفاده کرد؟

با بهره ‌گیری از معماری میکروسگمنتیشن، هر منطقه امنیتی خدمات سفارشی‌شده‌ای دریافت می‌ کند که متناسب با نیازهای آن بخش از شبکه طراحی شده است. در زمان پیاده ‌سازی معماری شبکه اعتماد صفر (ZTNA)، این روش بسیار کارآمد است.

مدیران شبکه از میکرو سگمنتیشن برای جداسازی بخش‌های مختلف شبکه، حتی دستگاه‌های منفرد، استفاده می ‌کنند. سپس از طریق یک دروازه تقسیم‌ بندی، معماری امنیتی مبتنی بر اعتماد صفر را برای هر بخش پیاده‌سازی کرده و نظارت دقیقی بر افراد و داده‌هایی که وارد شبکه می‌شوند، اعمال می‌کنند. جالب است بدانید این دروازه افراد و داده‌ها را هنگام ورود تحت نظارت قرار می‌دهد و با اعمال تدابیر امنیتی، اطمینان حاصل می‌کند که آن‌ها شرایط لازم برای ورود را دارند.

میکروسگمنتیشن چگونه کار می‌کند؟

میکروسگمنتیشن امکان تقسیم‌بندی دقیق ‌تر برنامه‌ها و جلوگیری از حرکت جانبی تهدیدها در شبکه را فراهم می‌کند. این راهکار تهدیدات را در بخش‌های ایزوله شبکه به دام می اندازد و اجازه نمی‌دهد به سایر بخش‌ها نفوذ کنند. با استفاده از این روش، اگر یک تهدید وارد شبکه شود، می‌توانید از گسترش آن به بخش‌های دیگر جلوگیری کنید و آن را در همان بخشی که به آن حمله کرده است، متوقف کنید.

یکی دیگر از مزایای میکرو سگمنتیشن، دید بهتر به فعالیت‌های شبکه است. چون هر بخش به ‌صورت جداگانه نظارت می‌شود و به این صورت شما می‌توانید برای هر بخش به ‌طور اختصاصی تنظیمات هشدار و مدیریت خاصی را طراحی کنید. برای مثال شما می‌توانید یک دستگاه یا گروهی از دستگاه‌ها را بر اساس نوع کاربرانی که از آن‌ها استفاده می‌کنند، میکروسگمنت کنید و نظارت دقیق‌ تری بر فعالیت‌های هر بخش داشته باشید.

جالب است بدانید هر بخش از شبکه دارای یک دیوار امنیتی مخصوص به خود است؛ یعنی اگر تهدیدی بخواهد از بخش A به بخش B برود، هم در هنگام خروج از بخش A و هم در هنگام ورود به بخش B توسط این دیوارهای امنیتی شناسایی می‌شود.

مزایای میکروسگمنتیشن

1. کاهش تأثیر حمله
   میکروسگمنتیشن می‌تواند تأثیر حملات را کاهش دهد، زیرا می‌تواند سطح آسیب‌ پذیری را با محدود کردن حمله به ناحیه اولیه نفوذ، کاهش دهد. به گونه ای که اگر یک مهاجم بتواند به یک بخش نفوذ کند، سایر بخش‌های شبکه که توسط معماری میکروسگمنتیشن جدا و محافظت شده‌اند، از آسیب مصون می‌مانند؛ حتی اگر مهاجم تلاش کند تا به بخش‌های دیگر نفوذ کند، با سیاست‌های امنیتی اطراف آن بخش مواجه خواهد شد. بهتر است بدانید این سیستم تضمین می‌کند که سایر فرآیندها و سیستم‌ها تحت تأثیر قرار نمی‌گیرند. همچنین، این موضوع به ساده‌ تر شدن استقرار سیستم‌های جدید، بدون داشتن نگرانی در مورد تهدیدات از بخش‌های دیگر کمک می‌کند،.
2. بهبود محدودیت نفوذ
   میکرو سگمنتیشن می ‌تواند دامنه تاثیر یک نفوذ را محدود کند؛ زیرا تمام ترافیک ها قبل از خروج از یک بخش، مورد بررسی و فیلتر قرار می‌گیرند، حرکت جانبی در شبکه مسدود می‌شود و نفوذ در همان بخش محدود می‌ماند. این موضوع مانع گسترش حمله به سایر برنامه‌ها یا بخش‌های شبکه می‌شود.
3. تقویت انطباق با مقررات
   رعایت الزامات قانونی می‌تواند چالشی بزرگ باشد، به‌خصوص زمانی که انواع خاصی از داده‌ها، مانند اطلاعات شخصی مشتریان، تحت قوانین انطباق متفاوتی قرار می‌گیرند. با استفاده از میکروسگمنتیشن، می‌توانید محیط‌هایی را که داده‌های خاص و محافظت ‌شده را نگه‌ داری می‌کنند، جدا کرده و سپس تدابیر امنیتی دقیقی را که برای حفظ انطباق لازم است، به آن ناحیه اعمال کنید.

تفاوت میکروسگمنتیشن با تقسیم‌ بندی سنتی شبکه

در تقسیم ‌بندی سنتی، شبکه به بخش‌های کوچک ‌تر مانند زیرشبکه‌ها تقسیم می‌شود و سیاست‌های امنیتی برای هر بخش تعیین می‌شود. این روش بیشتر برای ترافیک “شمال به جنوب” (از مشتری به سرور) کارایی دارد، اما در مقابل، میکرو سگمنتیشن بر ترافیک داخلی (شرق به غرب) نیز نظارت دارد و امنیت بیشتری را فراهم می‌کند.

استفاده از محصولات  Fortinet

برای پیاده‌سازی میکروسگمنتیشن، می‌توانید از فایروال‌های نسل جدید FortiGate استفاده کنید که با ایجاد یک سیاست امنیتی اعتماد صفر، از گسترش بدافزارها جلوگیری می‌ کنند.

تفاوت میکروسگمنتیشن با تقسیم‌ بندی شبکه

در تقسیم‌ بندی سنتی شبکه، یک شبکه به بخش‌های کوچک ‌تر، که معمولاً زیرشبکه نامیده می‌شوند، تقسیم می‌شود و هر کدام به‌عنوان یک شبکه مجزا عمل می‌کنند. این روش به مدیران اجازه می‌دهد تا جریان ترافیک بین زیرشبکه‌ها را مدیریت کنند. بهتر است بدانید تقسیم‌ بندی سنتی از طریق تنظیم سیاست‌های امنیتی خاص برای هر زیرشبکه، حفاظت از شبکه را امکان ‌پذیر می‌کند. هرچه این سیاست‌ها دقیق ‌تر و متناسب ‌تر با نیازهای هر بخش باشند، توانایی آن‌ها برای شناسایی و مقابله با تهدیداتی که آن بخش را به‌عنوان سطح حمله هدف قرار می ‌دهند، بیشتر خواهد بود.

در تقسیم‌ بندی سنتی شبکه، از فایروال‌ها، شبکه‌های محلی مجازی (VLAN) و سیستم‌های پیشگیری از نفوذ (IPS) برای جداسازی هر بخش استفاده می‌شود. داده‌هایی که از یک زیرشبکه به زیرشبکه دیگر منتقل می‌شوند، ممکن است از طریق فایروال‌ها فیلتر شوند. این فایروال‌ها قبل از اجازه دادن به عبور داده‌ها، تهدیدات احتمالی را شناسایی و از نفوذ آن‌ها جلوگیری می‌کنند. با استفاده از VLAN، یک شبکه محلی (LAN) به بخش‌های کوچکتر تقسیم شده و امکان حفاظت اختصاصی برای هر بخش فراهم می‌شود. در سیستم‌های پیشگیری از نفوذ (IPS)، هر بخش از شبکه به‌ طور مداوم تحت نظارت قرار می‌گیرد و سیستم به ‌صورت فعال به ‌دنبال فعالیت‌های مخرب است.

با این حال، تقسیم‌ بندی سنتی شبکه محدودیت‌هایی دارد؛ زیرا تنها بر ترافیک شمال-جنوب تمرکز می‌کند، یعنی ترافیکی که از سمت کاربر به سرور می‌رود. این روش قادر است داده‌های ورودی به شبکه را بررسی و فیلتر کند. اما اگر فعالیت‌های مخرب در داخل شبکه رخ دهد، تقسیم ‌بندی سنتی ممکن است آن‌ها را شناسایی نکند.

یکی از مزایای اصلی میکروسگمنتیشن این است که می‌تواند پروتکل‌های امنیتی را برای ترافیکی که در داخل شبکه جریان دارد و بین سرورهای داخلی (ترافیک شرق-غرب) حرکت می‌کند، اعمال کند.

روش‌های میکروسگمنتیشن

سه رویکرد اصلی برای امنیت میکروسگمنتیشن وجود دارد که بر اساس محل پیاده‌سازی دسته ‌بندی می‌شوند: مبتنی بر شبکه، مبتنی بر هایپر وایزر و مبتنی بر میزبان.

1. مبتنی بر شبکه
   میکرو سگمنتیشن مبتنی بر شبکه شامل این است که چه کسانی یا چه مواردی می‌توانند وارد بخش‌های مختلف شبکه شوند. یکی از مزایای این روش، سادگی در مدیریت آن است که باعث می‌شود کار کمتری برای مدیران نیاز باشد. با این حال، میکروسگمنتیشن مبتنی بر شبکه در واقع بسیار شبیه به تقسیم ‌بندی سنتی است و اگر با بخش‌های بسیار بزرگی روبه‌ رو شوید، مدیریت کنترل‌های امنیتی می‌تواند دشوار و پرهزینه باشد.
2. مبتنی بر هایپر وایزر
   با استفاده از هایپر وایزر، شما دارای نرم‌افزار یا سخت‌افزاری هستید که ماشین‌های مجازی را ایجاد و اجرا می‌کند. میکروسگمنتیشن مبتنی بر هایپر وایزر تمام ترافیک شما را از طریق هایپر وایزر هدایت می‌کند و به شما این امکان را می‌دهد که آن را نظارت و مدیریت کنید. در بسیاری از موارد، این مورد گزینه‌ای راحت است، زیرا می‌توانید این کار را با فایروال‌های موجود خود انجام دهید و سیاست‌های امنیتی را از یک هایپر وایزر به هایپر وایزر دیگر منتقل کنید. با این حال، یکی از معایب این رویکرد این است که در پیاده‌ سازی‌های ابری یا با بارهای کاری فیزیکی، کانتینری یا بدون سیستم‌عامل به خوبی عمل نمی‌کند.
3. مبتنی بر میزبان
   میکروسگمنتیشن مبتنی بر میزبان به قرار دادن عوامل (ایجنت‌ها) در هر نقطه پایانی وابسته است. با این نوع معماری، یک مدیر قادر به مشاهده تمام داده‌ها، فرآیندها، نرم‌افزارها، ارتباطات در شبکه و آسیب ‌پذیری‌های احتمالی است. با این حال، برای دستیابی به این دید، مدیر باید یک عامل را بر روی هر میزبان نصب کند. اما توجه داشته باشید که این ممکن است برای هر دو گروه مدیران و کاربران نهایی زمان ‌بر باشد.

“هایپر وایزر (Hypervisor) نرم‌افزاری است که به ایجاد و مدیریت ماشین‌های مجازی (Virtual Machines) کمک می‌کند.“

سخن پایانی

میکروسگمنتیشن انتخاب مناسبی برای سازمان‌هایی است که به دنبال بهبود نظارت و مدیریت اطلاعات و داده‌های خود هستند. این روش امنیت شبکه را افزایش داده و عملکرد آن را بهبود می‌بخشد.

یکی از مهم ترین مواردی که باید در خرید فایروال های سخت افزاری از جمله برندهای فورتی نت، سیسکو و سوفوس دقت کنید، این است که از داشتن گارانتی معتبر محصول اطمینان کافی حاصل کنید. اما نکته مهمی که در این بین هست، بسیار بیشتر حائز اهمیت و آن این است که چگونه از معتبر بودن گارانتی ارائه شده توسط شرکت اطمینان حاصل کنیم؟ در ادامه این مطلب با ما همراه باشید تا به بررسی جامع این موضوع بپردازیم.

انواع فایروال سخت افزاری

فایروال ‌های سخت ‌افزاری به عنوان بخشی از تجهیزات شبکه، نقش بسیار مهمی در حفاظت از شبکه ‌ها در برابر حملات سایبری و تهدیدات خارجی دارند. بهتر است بدانید فایروال ها به دلیل مجهز بودن به IPS از نفوذ به شبکه جلوگیری می کنند. انواع مختلفی از فایروال ‌های سخت‌افزاری وجود دارند که بر اساس نیازهای مختلف امنیتی و مقیاس سازمانی طراحی شده‌اند. در ادامه به برخی از بهترین فایروال های سخت‌ افزاری اشاره می ‌کنیم:

فایروال‌های فورتی ‌گیت (FortiGate)

فورتی‌ گیت یکی از بهترین برندهای معتبر در زمینه فایروال‌ های سخت ‌افزاری است که امنیت شبکه را با ترکیب قابلیت ‌های NGFW  و UTM تضمین می‌ کند. این فایروال‌ها به دلیل سیستم‌عامل اختصاصی  FortiOS، امکان ارائه مدیریت یکپارچه برای شناسایی و جلوگیری از تهدیدات را دارند.

سرویس‌ های FortiGuard فورتی ‌گیت نیز به طور مداوم از شبکه در برابر تهدیدات روز صفر و بدافزارهای پیشرفته محافظت می ‌کنند. فورتی ‌گیت طیف وسیعی از مدل‌ها را ارائه می ‌دهد که امنیت دفاتر کوچک تا سازمان‌های بزرگ را پوشش می‌دهند.

فایروال‌های سوفوس (Sophos)

سوفوس با تمرکز بر سادگی و امنیت یکپارچه، فایروال ‌هایی ارائه می‌ دهد که قابلیت هماهنگی با دیگر محصولات امنیتی این شرکت را دارند. فایروال ‌های سری XG سوفوس با قابلیت‌ های پیشرفته مثل Sandboxing و کنترل دقیق ترافیک شبکه، امکان شناسایی و جلوگیری از تهدیدات پیچیده را فراهم می‌ کنند. ویژگی Synchronized Security این فایروال ‌ها به بهبود امنیت از طریق هماهنگی بین فایروال و دستگاه‌های کاربری کمک می ‌کند و برای سازمان‌ های کوچک تا بزرگ مناسب است.

فایروال‌های سیسکو (Cisco)

سیسکو به عنوان یکی از پیشگامان در تولید تجهیزات شبکه، فایروال‌های سخت ‌افزاری با قابلیت‌های پیشرفته ارائه می‌دهد. سری ASA  و Firepower این برند با ویژگی‌هایی مانند حفاظت در برابر بدافزارهای پیشرفته (AMP) و تشخیص تهدیدات پیشرفته، امنیت شبکه‌ های بزرگ را تضمین می‌ کنند. با استفاده از هوش مصنوعی و یادگیری ماشین، فایروال‌های سیسکو قابلیت مقابله با حملات پیچیده و روز صفر را دارند و در شبکه‌ های بزرگ و مراکز داده بسیار مورد استفاده قرار می‌ گیرند.

اهمیت گارانتی در خرید فایروال

گارانتی در خرید فایروال به عنوان یک ضمانت‌ نامه معتبر، نقش مهمی در محافظت از سرمایه‌ گذاری شما دارد. فایروال ‌ها از جمله تجهیزات حیاتی امنیت شبکه هستند؛ که هرگونه نقص یا مشکل در عملکرد آن ‌ها می‌ تواند منجر به آسیب‌ های جدی به امنیت شبکه و اطلاعات حساس شود.

از این رو با داشتن گارانتی معتبر، می توانید در صورت بروز هرگونه خرابی یا نقص فنی، خدمات پشتیبانی و تعمیرات لازم را بدون هزینه‌ های اضافی دریافت کنید. توجه داشته باشید، گارانتی می ‌تواند شامل به ‌روزرسانی‌های نرم ‌افزاری و پشتیبانی فنی باشد که برای مقابله با تهدیدات امنیتی جدید بسیار حائز اهمیت است. برای برخورداری از این سری گارانتی نیاز است که برای خرید فایروال به شرکت های معتبر در این زمینه مراجعه کنید؛ یکی از شرکت های معتبر در زمینه فروش تجهیزات امنیت شبکه از جمله فایروال ها می توان به شرکت داریا اشاره کرد.

خرید فایروال با گارانتی معتبر و تضمینی از شرکت داریا

شرکت داریا به عنوان یکی از تأمین‌ کنندگان پیشرو تجهیزات امنیتی شبکه، فایروال‌ های معتبر و باکیفیتی را با گارانتی ۱۲ ماهه تضمینی ارائه می‌ دهد. این گارانتی شامل پوشش کامل تعمیرات، تعویض قطعات معیوب و پشتیبانی فنی در صورت بروز هرگونه نقص فنی یا مشکل در عملکرد دستگاه است.

با خرید فایروال از شرکت داریا، شما از خدمات پس از فروش حرفه ‌ای برخوردار خواهید شد و می‌ توانید مطمئن باشید که در صورت بروز هرگونه مشکل، تیم پشتیبانی داریا در کمترین زمان ممکن آماده خدمت رسانی و ارائه خدمات به شما هستند.

توجه داشته باشید این گارانتی ۱۲ ماهه همچنین شامل به‌ روزرسانی‌های نرم‌ افزاری است که شبکه شما را در برابر تهدیدات جدید ایمن نگه می ‌دارد. با انتخاب فایروال‌های داریا، امنیت شبکه خود را تضمین کنید و از خدمات باکیفیت و پشتیبانی 24 ساعته بهره‌ مند شوید. برای داشتن اطلاعات بیشتر و خرید فایروال های سوفوس، فورتی نت، سیسکو با شماره 0416224 تماس حاصل کنید.