امنیت VMware NSX

امنیت VMware NSX

VMware NSX یک ‌‌پلت‌فرم مجازی‌سازی شبکه است که امکان اجرای شبکه‌‌های مجازی در شبکه‌‌های فیزیکی و در زیرساخت‌‌های سرور مجازی را فراهم می‌کند. NSX تحت عنوان شبکۀ تعریف شده از جانب ‌‌نرم‌افزار (SDN) قرار می‌گیرد‌‌، که مفهوم مجازی‌سازی سرور را که از طریق VMware محبوبیت یافته است، به فضای شبکه گسترش می‌دهد. VMware NSX می‌تواند برای پیاده‌سازی جزئی تقسیم‌بندی‌ها در محیط‌‌های مجازی‌‌، جدا کردن تراکم‌های فردی در یک منطقه، اعتماد مشخص و کمک به کاهش سطح حملۀ سازمان مورد استفاده قرار گیرد.

همان طور که زیرساخت‌‌های فناوری اطلاعات از مرکز دادۀ متمرکز و سنتی به معماری‌‌های پراکنده‌تر تبدیل شده است‌‌، NSX به دو پیشنهاد مجزا تبدیل می‌شود: NSX-V وNSX-T. به عنوان یک ساختار مستقیم، ‌‌راه‌حل اصلی NSX که در سال ۲۰۱۳ معرفی شد‌‌، NSX-V عملکرد SDN را روی فضاهای ابری خصوصی مبتنی بر VMware vSphereقرار می‌دهد. VMware NSX-T جدیدتر ــ فکر کنید «Tبرای تغییر شکل» ــ از محیط‌‌های ناهمگن متشکل از چندین فضای ابری، محیط‌‌های چند ‌‌هایپروایزر‌‌، برنامه‌‌های بومی ابری و بارهای فلزی بدون روکش پشتیبانی می‌کند.

 

مقایسه امنیت در NSX-V و NSX-T

 

NSX یک پایۀ محکم برای امنیت محیط‌‌های مجازی فراهم می‌کند‌‌، اما موارد بیشتری لازم است. در کنار بارهای مجازی شده‌‌، تیم‌‌های امنیتی شبکه همچنین باید از مرکز داده و محیط دانشگاه خود محافظت کنند. شبکه‌‌های فیزیکیِ آن‌ها را تقسیم کنید و مرزهای مطمئن بین بارهای ابری فیزیکی‌‌، مجازی و عمومی ایجاد کنید. به‌علاوه‌‌، برخی از مقررات ــ مانند استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) ــ تدابیر امنیتی سختگیرانه‌تری را می‌طلبد، نسبت به آنچه NSX می‌تواند به صورت بومی ارائه دهد‌‌.

این نیازها بسیاری از سازمان‌ها را وادار می‌کند تا به دنبال روش‌هایی برای تقویت زیرساخت‌های امنیتی خود باشند. برای ایمن‌سازی شبکه‌‌های مجازی‌‌، تیم‌‌های امنیتی باید سه هدف اصلی را تحقق بخشند: محدود کردن حرکت تهدید جانبی‌‌، واکنش سریع و مؤثر به نفوذها و جلوگیری از از دست دادن اطلاعات.

هدف ۱: افزایش امنیت برای محدود کردن حرکت تهدید در NSX

جنبش تهدید جانبی (همچنین به عنوان جنبش شرق به غرب شناخته می‌شود) یک استراتژی حملۀ متداول است که در آن تهدید ابتدا یک نقطۀ ورودی به یک موجود آسیب‌پذیر را پیدا می‌کند ــ مانند یک ماشین مجازی یا عملکرد شبکۀ مجازی ــ و سپس یواشکی درون توپولوژی شبکه حرکت می‌کند تا سایر اجزا را آلوده کند. در صورت عدم وجود دفاع داخلی‌‌، چنین عفونت‌‌هایی کاملاً سریع و به صورت جانبی حرکت می‌کنند. برای تیم‌‌های امنیتی که پرونده‌‌های وقایع را مرور می‌کنند و از ابزارهای امنیتی قدیمی استفاده می‌کنند‌‌، تشخیص سریع آن‌ها دشوار است.

‌‌راه‌حل در تقسیم‌بندی بخش‌های جزئی است‌‌؛ یکی از موارد اصلیِ استفاده از VMware NSX. معماران امنیتی می‌توانند از تقسیم‌بندی‌های کوچک برای جدا کردن تراکم کاری از یکدیگر و جلوگیری از فعل و انفعالات بار به بار استفاده کنند‌‌، مگر اینکه صریحاً خود را مجاز اعلام کرده باشد. این تکنیک به هیچ دخالت انسانی احتیاج ندارد و حتی در مواردی از نفوذ قبل از تشخیص نیز تأثیرگذارتر است.

هدف ۲: بهبود پاسخ سریع و مؤثر به نفوذها در NSX

در حالی که تقسیم‌بندی‌های جزئی می‌تواند به طور مؤثر تراکم کاری را از یکدیگر جدا کند‌‌، اما برای کارکرد صحیح ممکن است لازم باشد تا حجم کاری مشخص با سایر کارها یا سرویس‌‌های خاص شبکه ارتباط برقرار کند. به عنوان مثال‌‌، برنامه‌‌های مالی اغلب نیاز به برقراری ارتباط با سرورهای DNS دارند که در منطقۀ مطمئن دیگری قرار می‌گیرند. برنامه‌‌ها همچنین می‌توانند در مناطق مطمئن مختلف از داده‌‌های مهم قرار بگیرند. به عنوان مثال‌‌، یک سیستم سفارش تحت وب ممکن است نیاز به ارسال و دریافت اطلاعات حساس مشتری به یک پایگاه داده داشته باشد که در یک بخش با اعتماد بالا قرار می‌گیرد. کارمندان امنیتی می‌توانند سیاست‌‌هایی را تأیید کنند که به این تعاملات مورد نیاز اجازۀ برقراری ارتباط مورد نظر را می‌دهد. ترفند این است که مطمئن شوید مهاجمان سایبری با مجوز عبور از مرزهای ایمن به عنوان مؤلفه‌هایی مورد اطمینان نقاب به چهره نمی‌زنند.
برای این منظور‌‌، جلوگیری از تهدید پیشرفته‌‌، از جمله پیشگیری از نفوذ‌‌، برای تأمین امنیت ترافیکی واجب است، چون بین مناطق مورد اعتماد حرکت می‌کند‌؛ به ویژه هنگامی که سطح اطمینان متفاوت است. سیستم‌‌های پیشگیری از نفوذ (IPS) به تیم‌‌های امنیتی کمک می‌کنند تا شبکه‌‌های خود را از نظر ترافیک مخرب کنترل کنند تا مطمئن شوند که فقط سرویس‌‌های شناخته‌شده و قابل قبول در حال اجرا هستند. با شناسایی امضاهای مخرب‌‌، IPS می‌تواند اقدامات اصلاحی مناسب را انجام دهد.

هدف ۳: روشی برای جلوگیری از اتلاف اطلاعات در NSX

برای ایجاد یک دفاع تأثیرگذار، معماران امنیتی باید وارد مغز دشمنان خود شوند. انگیزۀ بسیاری از حملات سایبری به سرقت اطلاعات مشتری یا مالکیت معنوی آن بستگی دارد که می‌توان از طریق باج‌خواهی شرکت‌‌ها یا فروش غیرقانونیِ آن، درآمد به دست آورد. متأسفانه‌‌، مهاجمان معمولاً یک ورودی باز پیدا می‌کنند: اتصال شبکه به اینترنت عمومی. بنابراین‌‌، آخرین خط دفاعی باید مطمئن شود که حتی تهدیدهایی که از دو اقدام امنیتی دیگر فرار می‌کنند‌‌، نمی‌توانند اطلاعات خارج از محیط امنیتی را به هر سو پراکنده کنند.

تیم‌‌های امنیتی معمولاً دیوارهای فایروال نسل جدید را در کلیۀ نقاط ورود به شبکه مستقر می‌کنند تا از نفوذ بدافزارها به آن جلوگیری کنند‌‌، اما دخل و تصرف در آن‌ها دیر یا زود اتفاق می‌افتد. به همین دلیل‌‌، توصیه می‌شود ویژگی‌‌های ضد انفجار را به فایروال‌‌های نسل بعدی اضافه کنید ــ به ویژه امنیت DNSو فیلتر کردن URL. امنیت DNS با استفاده از تجزیه و تحلیل‌‌های پیش‌بینی‌شده حملاتی را مختل می‌کند‌‌ که سعی در استفاده از DNS برای سرقت داده‌‌ها دارند‌‌، در حالی که فیلتر کردن URL با استفاده از یادگیری ماشینی‌‌، دسترسی به سایت‌‌های مخربی را مسدود می‌کند که بدافزارها را تحویل می‌دهند و مدارک را می‌دزدند.

خلاصه

نفوذ در محیط‌‌های NSX اجتناب‌ناپذیر است‌‌، اما می‌توان با استفاده از ابزارهای امنیتی تأثیرگذار که حرکت تهدید را محدود می‌کند‌‌، به تیم‌‌های امنیتی اجازه داد تا سریع و مؤثر پاسخ دهند و از اتلاف اطلاعات جلوگیری کنند و با این کار می‌توان دامنه آسیب احتمالی را کاهش داد. در حالی که هر یک از قابلیت‌‌های فوق‌الذکر امنیت NSX را بهبود می‌بخشد‌‌، اما فقط ترکیبی از تمام آن‌ها پاسخ بسیار مؤثری به تهدیدهای پیشرفتۀ امروز ارائه می‌دهد.

 

درباره‌ی Bloger

پست‌های مرتبط

0 پاسخ

دیدگاهتان را بنویسید

می خواهید در گفت و گو شرکت کنید؟
خیالتان راحت باشد :)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *