طراحی امنیت شبکه

فایروال ها، سیاست های امنیتی، آگاهی رسانی امنیتی برخی از مباحثی بودند که در مقاله های قبلی پوشش داده شده بودند. ما همچنین در مورد امنیت شبکه و دفاع در عمق بحث کردیم اکنون خواهیم دید که چگونه این مباحث مختلف گرد هم می آیند تا یک طرح کلی امنیت شبکه را برای یک کسب و کار را ایجاد کنند. امنیت شبکه شامل امن سازی سرورها، ایستگاه های کاری، پایگاه های داده و… با مفاهیم مختلف امنیتی است. در طراحی امنیت شبکه برای مقاومت در برابر هر نوع حمله باید تمام عناصر به صورت ایمن طراحی شود.

سه سوال که در طراحی امنیت شبکه باید از خودتان بپرسید؟

۱. مشخص کردن مواردی که ما سعی در محافظت از آن را داریم؟

ما باید سرورها، تجهیزات زیرساخت، کلاینت ها، بانکهای اطلاعاتی و سایر دستگاههایی که باید محافظت شوند را مشخص کنیم.

۲. تهدیدات امنیت شبکه شامل چه مواردی هستند؟

در مرحله بعد، ما تعیین می کنیم که انواع مختلف تهدیدات شامل چه مواردی هستند؟ سیستم های آنلاین همیشه در معرض حمله قرار دارند. تهدیدهای دیگر همچنین می تواند از طرف کارمندان سابقی باشد که هنوز به منابع حیاتی دسترسی دارند.

۳. مشخص کردن اهداف تجاری سازمان

طرح امنیت شبکه باید در راستای اهداف تجاری یک سازمان باشد. یک وب سایت تجارت الکترونیک با سیستم معاملات آنلاین بیشتر به یک طراحی امنیتی مستحکم، نسبت به یک وب سایت که فقط آنلاین است نیاز دارد.

حالا ما به بررسی الزامات طراحی امنیت شبکه برای کسب و کار های آنلاین خواهیم پرداخت. موارد زیر شامل جزئیاتی است که ما می خواهیم بر اساس آن طرح امنیت شبکه خود را پایه گذاری کنیم:

• اطلاعات مشتریان کسب و کار تجارت الکترونیک شامل اطلاعات مهم و حیاتی مانند: کد ملی، شماره حساب، موجودی و تراکنشها است باید محافظت شود.
• سایت باید ۲۴ ساعت شبانه روز و ۷ روز هفته در دسترس باشد.
• سیستم های کاری کارمندان نیز باید محافظت شوند.
• ممکن است کارمندان از یک مکان خارج از کشور نیز به منابع داخل سازمان نیاز داشته باشند.
• هیچ یک از عناصر طراحی نمی توانند برون سپاری شوند.
• بودجه امنیتی با در نظر گرفتن اندازه سازمان، محدود است.

با توجه به موارد ذکر شده می توانیم شبکه را به روش زیر طراحی کنیم:

در طراحی امنیت دو ناحیه امنیتی (Zone) جداگانه روی فایروال در نظر می گیریم: شبکه بیرونی و شبکه داخلی. شبکه عمومی خدمات و سرویس های عمومی مانند سرورهای وب، سرورهای ایمیل و… را در اختیار کاربران بیرونی قرار می دهد. این سرورها باید عمومی باشند زیرا مشتریان باید بتوانند سفارشات اینترنتی خود را انجام داده و همچنین ایمیل ها را ارسال و دریافت کنند. شبکه داخلی سیستم ها کارمندان و سرورهایی را نگه می دارد که در مقابل دسترسی عمومی محافظت می شود.

روتر مرزی (لبه شبکه) برای دستیابی به اینترنت قرار داده شده است. این روتر به عنوان  اولین لایه در خط دفاع در برابر عناصر مخرب است. بسته های ورودی که آدرس های غیرقانونی دارند در این خط دفاع مسدود خواهند شد. بسته های خروجی که آدرس IP معتبر ندارند نیز مسدود می شوند.(البته استفاده از قابلیت مسیر یابی روی فایروال به جای روتر پیشنهاد می شود.)

لایه بعدی امنیت شبکه در خط دفاع “فایروال” خواهد بود. فایروال ها مجموعه قوانین دارد که تعیین می کند چه نوع ترافیکی میتواند عبور کند و چه نوع ترافیکی نمی تواند. قوانین فایروال برای محافظت از داده ها تنظیم شده است. بنابراین فایروال  قوانین کنترل دسترسی را روی ترافیک اعمال می کند.
همچنین سیستم های IPS یا Intrusion Prevention طوری تنظیم شده اند که نسبت به ترافیک مخرب حساس باشند و جلوی آنرا بگیرند.

دسترسی به V-P–N به کارمندان داده می شود تا با استفاده از زیرساخت های عمومی موجود مانند اینترنت، به داده های داخل شرکت دسترسی پیدا کنند. دقت کنید که امنیت ارسال و دریافت اطلاعات در این شیوه با استفاده از پروتکل های رمزگزاری تضمین می شود.
ایستگاه های کاری کارمندان را می توان در شبکه داخلی قرار داد و فقط از طریق فایروال و یا پروکسی می تواند به اینترنت دسترسی پیدا کند. این تضمین می کند که آنها نیز محافظت می شوند.
علاوه بر این کنترل های امنیتی ، سیستم Patch Management نیز برای رفع آسیب پذیری های برنامه ها و بروز رسانی آنها نیز اعمال خواهد شد.
همه این کنترل های امنیتی هنگام اعمال و پیکربندی صحیح، محیط کسب و کار آنلاین را ایمن می کنند. این یکی از راه های طراحی یک برنامه امنیت شبکه برای کسب و کارهای آنلاین است. اما یادآوری این نکته ضروری است که طراحی امنیتی برای انواع مختلف سازمانها و اهداف تجاری آنها متفاوت خواهد بود.
در ضمن اگر دوست دارید آموزش امنیت شبکه را از ابتدا شروع کنید پیشنهاد میشود که با دوره Security+ به صورت اصولی، بروز و با متدهای جهانی شروع کنید.