#virtualization
از عمده ترین چالش هایی که در حوزه فناوری اطلاعات مطرح می گردد تعداد بیش از اندازۀ سرویس دهنده های تک منظوره Single Purpose Server می باشد. در ظاهر افزایش تعداد سرورها چالش چندان بزرگی به حساب نمی آید اما در فرآیند توسعه سازمان، افزایش بی رویه سرورها موجب تحمیل هزینه های سنگین پنهانی می گردد. هزینه هایی چون نگهداری و پشتیبانی سخت افزار، تامین UPS، تجهیزات خنک کننده، محل نگهداری سرورها و از همه مهمتر افزایش کارشناسان خبرهای که وظـیفه مدیـریت سیستمها را بر عهده دارند، مدیران را مجاب می کند که تجمیع سرویسدهندهها Server Consolidation را به عنوان یک اصل و مجازی سازی Virtualization را به عنوان راهکاری موثر بپذیرند.
@unixmens
از عمده ترین چالش هایی که در حوزه فناوری اطلاعات مطرح می گردد تعداد بیش از اندازۀ سرویس دهنده های تک منظوره Single Purpose Server می باشد. در ظاهر افزایش تعداد سرورها چالش چندان بزرگی به حساب نمی آید اما در فرآیند توسعه سازمان، افزایش بی رویه سرورها موجب تحمیل هزینه های سنگین پنهانی می گردد. هزینه هایی چون نگهداری و پشتیبانی سخت افزار، تامین UPS، تجهیزات خنک کننده، محل نگهداری سرورها و از همه مهمتر افزایش کارشناسان خبرهای که وظـیفه مدیـریت سیستمها را بر عهده دارند، مدیران را مجاب می کند که تجمیع سرویسدهندهها Server Consolidation را به عنوان یک اصل و مجازی سازی Virtualization را به عنوان راهکاری موثر بپذیرند.
@unixmens
با استفاده از مجازی سازی Downtime به عنوان یکی از بارزترین مخاطرات عملکرد سرویس دهنده ها در مفاهیمی چون #Availability و Fault Tolerance مرتفع، و امکان انتقال سرویس ، پردازش ها و همچنین اختصاص منابع و جابجایی یک ماشین مجازی از یک هاست به هاست دیگر به صورت داینامیک ( پویا ) میسر گردیده است و همچنین در سایه تکنولوژی مجازی سازی مفهوم Disaster_Recovery# ارتقاء چشمگیری داشته و در ابعاد وسیعی نیازهای سازمان ها را در جهت پایداری سرویس ها مرتفع ساخته است.
در مسیر پیاده سازی ساختارهای مجازی سازی Virtualization، سازمانها از ویژگیهایی فراوانی بهرمند می شوند که هر یک به نوبه خود امکانات و قابلیت های فراوانی را برای سازمانها ایجاد می نماید.
استفاده بهینه از منابع سخت افزاری
قابلیت تقسیم بار، برروی هاست ها و تجهیزات ذخیره سازی
مجزا بودن ماشین های مجازی
عدم وابستگی ماشین های مجازی به منابع سخت افزاری
تحمل خطا و کاهش Downtime سرویس دهنده ها
تعیین سطوح دسترسی کاربران و مدیران به زیرساخت پیاده سازی شده
HA) High Availability)
FT) Fault Tolerance)
سهولت در پیاده سازی ساختارهای Disaster Site
امکان پیاده سازی High Availability در لایه Application
سهولت در پشتیبان گیری از ماشین ها مجازی
امکان برگرداندن سرویس دهند ها در سریع ترین زمان ممکن به حالت سرویس دهی در زمان بروز مشکل
امکان مجازی سازی در لایه تجهیزات ذخیره سازی(Storage)
امکان مجازی سازی در لایه تجهیزات زیرساختی
امکان پیاده سازی Desktop Virtualization
در مسیر پیاده سازی ساختارهای مجازی سازی Virtualization، سازمانها از ویژگیهایی فراوانی بهرمند می شوند که هر یک به نوبه خود امکانات و قابلیت های فراوانی را برای سازمانها ایجاد می نماید.
استفاده بهینه از منابع سخت افزاری
قابلیت تقسیم بار، برروی هاست ها و تجهیزات ذخیره سازی
مجزا بودن ماشین های مجازی
عدم وابستگی ماشین های مجازی به منابع سخت افزاری
تحمل خطا و کاهش Downtime سرویس دهنده ها
تعیین سطوح دسترسی کاربران و مدیران به زیرساخت پیاده سازی شده
HA) High Availability)
FT) Fault Tolerance)
سهولت در پیاده سازی ساختارهای Disaster Site
امکان پیاده سازی High Availability در لایه Application
سهولت در پشتیبان گیری از ماشین ها مجازی
امکان برگرداندن سرویس دهند ها در سریع ترین زمان ممکن به حالت سرویس دهی در زمان بروز مشکل
امکان مجازی سازی در لایه تجهیزات ذخیره سازی(Storage)
امکان مجازی سازی در لایه تجهیزات زیرساختی
امکان پیاده سازی Desktop Virtualization
در صورت وقت مطالعه شود // مقاله در مورد کرنل و چند وظیفه ای در کرنل
https://www.tldp.org/HOWTO/SMP-HOWTO-3.html
#kernel #smp #largesmp @unixmens
https://www.tldp.org/HOWTO/SMP-HOWTO-3.html
#kernel #smp #largesmp @unixmens
منتظر مقاله تکمیلی در مورد waf باشید
امروزه، کسب آگاهی در مورد آنچه راهکارهای سنتیِ امنیت شبکه قادر به انجام نمیباشند و همچنین دلایل نیاز سازمانها به تجهیز Web Application Firewall یا به اختصار WAF، به عنوان مبنایی برای استراتژی امنیت IT ضرورت یافته است.
محافظت موثر از داراییهای وب در سراسر سازمان، مستلزم درک کاملی از قابلیتها و همچنین محدودیتهای تکنولوژیهای امنیتی فعلی آن سازمان میباشد. به عنوان مثال، اگرچه فایروالهای سنتی شبکه و سیستمهای جلوگیری از نفوذ یا به اختصار IPS، برای فیلتر نمودن حجم زیادی از تهدیدات در لایههای پایینی مفید میباشند، اما از قابلیتهای کافی جهت جلوگیری از تهدیداتِ هدفمند و مختص به برنامه، که امروزه مرتب علیه سازمانها به کار میروند، برخوردار نمیباشند. حتی فایروالهای نسل بعدی (Next-Generation Firewall) نیز علیرغم ارائه قابلیت توسعهپذیریِ بهبودیافته، جهت کنترل دسترسی به منابع شبکه، همچنان از محافظت وب سازمانها، درحوزههای مهم باز میمانند.
#waf #security @unixmens
محافظت موثر از داراییهای وب در سراسر سازمان، مستلزم درک کاملی از قابلیتها و همچنین محدودیتهای تکنولوژیهای امنیتی فعلی آن سازمان میباشد. به عنوان مثال، اگرچه فایروالهای سنتی شبکه و سیستمهای جلوگیری از نفوذ یا به اختصار IPS، برای فیلتر نمودن حجم زیادی از تهدیدات در لایههای پایینی مفید میباشند، اما از قابلیتهای کافی جهت جلوگیری از تهدیداتِ هدفمند و مختص به برنامه، که امروزه مرتب علیه سازمانها به کار میروند، برخوردار نمیباشند. حتی فایروالهای نسل بعدی (Next-Generation Firewall) نیز علیرغم ارائه قابلیت توسعهپذیریِ بهبودیافته، جهت کنترل دسترسی به منابع شبکه، همچنان از محافظت وب سازمانها، درحوزههای مهم باز میمانند.
#waf #security @unixmens
در این مقاله، چالشهای مربوط به نگهداری از داراییهای تحت وب امروزی در مقابل تهدیدات سایبری به طور مختصر عنوان شده و به بررسی نقشهای ایفا شده توسط تکنولوژیهای مختلف امنیتی و یا مواردی میپردازد که قادر به ایفای آن نمیباشند. در ضمن بررسی میشود که چرا Web Application Firewall، یکی از مولفههای مهم و ضروری در استراتژی حفاظت از وب برای سازمانها محسوب شده و NetScaler AppFirewall , mod-security, varnish ...چگونه راهکاری ایدهال برای دستیابی به این نیاز به شمار میرود.
مشکلات محافظت از برنامههای تحت وب
در عصر تکنولوژی به دلایل بیشماری، داراییهای وب برای سازمانهای امروزی به عنوان یک ریسک مهم به شمار میروند. فراگیر بودن داراییهای تحت وب برای سازمانها، آنها را به اهدافی برای هکرها تبدیل نموده است و محافظت ناکافی به واسطه راهکارهای امنیتی به اصطلاح Application-Layer از موضوعات مهم و مورد توجه در این حوزه میباشند.
-فراگیری داراییهای تحت وب در سازمانها
امروزه سازمانها به شدت مشغول ارائه و خرید برنامههای تحت وب میباشند. این موضوع در برنامههای مشتری محور نمود یافته و برای Mobile App و همچنین برنامههای مورد استفاده جهت فعال نمودن سرویس و عملکرد دفاتر پشتیبانی نیز صدق میکند. اگرچه برنامههای درآمدزا همچنان توجه زیادی را به خود معطوف مینمایند، دست کم گرفتن طبقهبندیهای دیگرِ برنامه، از جمله برنامههای مدیریت زنجیره عرضه، امور مالی، توسعه محصول و تحقیقات غیرعاقلانه خواهد بود.
این مساله برای تیمهای امنیتی IT چه معنایی را در بر میگیرد؟ به دلیل رواج برنامههای تحت وب در سراسر سازمان و کاربرد فراوان آن توسط کاربران داخلی و خارجی، حفاظت مربوطه نیاز به مواردی بیش از محیط شبکه دارند.
یکی از پیامدهای مهم دیگر، ناشی از تنوع برنامههای تحت وب میباشد که در شرکتها پیادهسازی میشوند. با ترکیبهای بیشمار Web Application ها که به صورت تجاری و یا سفارشی قابل دسترس میباشند ، شاید دور از انتظار نباشد که تکنولوژیهای امنیتی با استفاده از طیف وسیعی از قواعد و مکانیسمها (مانند شناسایی غیرمتعارف پروتکل لایهی شبکه) بتوانند از تمامی آنها به طور کامل محافظت نمایند. علاوه بر موارد عنوان شده، تیمهای امنیتی به ابزاری نیاز دارند که انعطافپذیری بیشتر، توسعهپذیری عمیقتر فرآیند بررسی و کنترل و همچنین قابلیت یادگیری و انطباق خودکار با برنامههای جدید را امکانپذیر نماید.
-هکرها و داراییهای تحت وب
با توجه به اینکه قابلیت فراگیر بودن نمیتواند داراییهای تحت وب را به اندازه کافی برای هکرها به اهدافی جذاب تبدیل نماید، اما همچنان این داراییها به شدت در معرض آسیبپذیری قرار دارند. این وضعیت پرخطر به واسطه فاکتورهای زیر میباشد:
پیچیدگی بالا در بسیاری از داراییها وب
کاربرد منظم کتابخانههای Third-Party
ادغام پروتکلها، ویژگیها و تکنولوژیهای پیشرفته
برنامهنویسان و مدیران کسبوکار، افرادی که با تاکید بر ویژگیها و زمان بازدهی سریع با توجه به اقدامات صورت گرفته، به بهبود کیفیت کد و کاهش آسیبپذیریها میپردازند.
با توسعه و گسترش هدف در backهای مجازی، بسیاری از برنامههای تحت وب به عنوان یک مجرای مستقیم برای اطلاعات حساس یا ارزشمند مانند اطلاعات پرداخت مشتری یا اطلاعات مربوط به سفارش، مشخصات محصول، سوابق پزشکی و ازدیاد سایر اطلاعات شناسایی شخصی (PII) محسوب میشود. وقتی یک هکر تصمیم به نفوذ از طریق مسیر اصلی و کاربر پسند برنامههای تحت وب عمومی میگیرد، انتخاب یک یا چند مسیر پیکربندی شده برای پایگاههای مرتبط Backend اهمیت مییابد.
در این شرایط عجیب نیست که اخباری در مورد نقضهای گسترده وب شنیده شود که موجبات تهدید میلیونها رکورد را فراهم نموده یا آماری مانند گزارش بررسی نقض دادهها در سال 2014 را ارائه نماید که حاکی از مشارکت حملات برنامه تحت وب در 35 درصد از نقض دادههای بررسی شده در سال2013 میباشد. نکته دیگر آن است که تشخیص حملات وبی بسیار مهم میباشند. در واقع، در اکثر مواقع وضعیت بسیار حادتر از چیزی است که اغلب مدیران کسبوکار انتظار دارند، زیرا حجم بسیار زیادی از حملات وب مهم به نظر نمیرسند یا اینکه از سوی سازمانهای آسیبدیده گزارش نمیشوند.
-محافظت از سرویسهای App-Layer
اختلال بالقوهی ناشی از چارچوبهای شبکهبندی سنتی را نباید نادیده گرفت. اگرچه لایه 7 در مدل OSI با نام لایهی برنامه یا Application Layer خوانده میشود اما مانند سایر لایهها، این مدل همچنان در مورد ارتباطات شبکهای میباشد.
#waf #security @unixmens
مشکلات محافظت از برنامههای تحت وب
در عصر تکنولوژی به دلایل بیشماری، داراییهای وب برای سازمانهای امروزی به عنوان یک ریسک مهم به شمار میروند. فراگیر بودن داراییهای تحت وب برای سازمانها، آنها را به اهدافی برای هکرها تبدیل نموده است و محافظت ناکافی به واسطه راهکارهای امنیتی به اصطلاح Application-Layer از موضوعات مهم و مورد توجه در این حوزه میباشند.
-فراگیری داراییهای تحت وب در سازمانها
امروزه سازمانها به شدت مشغول ارائه و خرید برنامههای تحت وب میباشند. این موضوع در برنامههای مشتری محور نمود یافته و برای Mobile App و همچنین برنامههای مورد استفاده جهت فعال نمودن سرویس و عملکرد دفاتر پشتیبانی نیز صدق میکند. اگرچه برنامههای درآمدزا همچنان توجه زیادی را به خود معطوف مینمایند، دست کم گرفتن طبقهبندیهای دیگرِ برنامه، از جمله برنامههای مدیریت زنجیره عرضه، امور مالی، توسعه محصول و تحقیقات غیرعاقلانه خواهد بود.
این مساله برای تیمهای امنیتی IT چه معنایی را در بر میگیرد؟ به دلیل رواج برنامههای تحت وب در سراسر سازمان و کاربرد فراوان آن توسط کاربران داخلی و خارجی، حفاظت مربوطه نیاز به مواردی بیش از محیط شبکه دارند.
یکی از پیامدهای مهم دیگر، ناشی از تنوع برنامههای تحت وب میباشد که در شرکتها پیادهسازی میشوند. با ترکیبهای بیشمار Web Application ها که به صورت تجاری و یا سفارشی قابل دسترس میباشند ، شاید دور از انتظار نباشد که تکنولوژیهای امنیتی با استفاده از طیف وسیعی از قواعد و مکانیسمها (مانند شناسایی غیرمتعارف پروتکل لایهی شبکه) بتوانند از تمامی آنها به طور کامل محافظت نمایند. علاوه بر موارد عنوان شده، تیمهای امنیتی به ابزاری نیاز دارند که انعطافپذیری بیشتر، توسعهپذیری عمیقتر فرآیند بررسی و کنترل و همچنین قابلیت یادگیری و انطباق خودکار با برنامههای جدید را امکانپذیر نماید.
-هکرها و داراییهای تحت وب
با توجه به اینکه قابلیت فراگیر بودن نمیتواند داراییهای تحت وب را به اندازه کافی برای هکرها به اهدافی جذاب تبدیل نماید، اما همچنان این داراییها به شدت در معرض آسیبپذیری قرار دارند. این وضعیت پرخطر به واسطه فاکتورهای زیر میباشد:
پیچیدگی بالا در بسیاری از داراییها وب
کاربرد منظم کتابخانههای Third-Party
ادغام پروتکلها، ویژگیها و تکنولوژیهای پیشرفته
برنامهنویسان و مدیران کسبوکار، افرادی که با تاکید بر ویژگیها و زمان بازدهی سریع با توجه به اقدامات صورت گرفته، به بهبود کیفیت کد و کاهش آسیبپذیریها میپردازند.
با توسعه و گسترش هدف در backهای مجازی، بسیاری از برنامههای تحت وب به عنوان یک مجرای مستقیم برای اطلاعات حساس یا ارزشمند مانند اطلاعات پرداخت مشتری یا اطلاعات مربوط به سفارش، مشخصات محصول، سوابق پزشکی و ازدیاد سایر اطلاعات شناسایی شخصی (PII) محسوب میشود. وقتی یک هکر تصمیم به نفوذ از طریق مسیر اصلی و کاربر پسند برنامههای تحت وب عمومی میگیرد، انتخاب یک یا چند مسیر پیکربندی شده برای پایگاههای مرتبط Backend اهمیت مییابد.
در این شرایط عجیب نیست که اخباری در مورد نقضهای گسترده وب شنیده شود که موجبات تهدید میلیونها رکورد را فراهم نموده یا آماری مانند گزارش بررسی نقض دادهها در سال 2014 را ارائه نماید که حاکی از مشارکت حملات برنامه تحت وب در 35 درصد از نقض دادههای بررسی شده در سال2013 میباشد. نکته دیگر آن است که تشخیص حملات وبی بسیار مهم میباشند. در واقع، در اکثر مواقع وضعیت بسیار حادتر از چیزی است که اغلب مدیران کسبوکار انتظار دارند، زیرا حجم بسیار زیادی از حملات وب مهم به نظر نمیرسند یا اینکه از سوی سازمانهای آسیبدیده گزارش نمیشوند.
-محافظت از سرویسهای App-Layer
اختلال بالقوهی ناشی از چارچوبهای شبکهبندی سنتی را نباید نادیده گرفت. اگرچه لایه 7 در مدل OSI با نام لایهی برنامه یا Application Layer خوانده میشود اما مانند سایر لایهها، این مدل همچنان در مورد ارتباطات شبکهای میباشد.
#waf #security @unixmens
همچنین جهت مشاوره پیرامون waf و پیکربندی و راهکار های مربوطه می توانید با @yashar_esmaildokht در ارتباط باشید .
#waf #security @unixmens
#waf #security @unixmens
این مقوله به لحاظ فنی به مجموعهای از پروتکلها و سرویسها اطلاق میشود که برنامهها جهت شناسایی شرکتهای ارتباطات، تشخیص دسترسپذیری منابع و همگامسازی ارتباط بین دو طرف، با استفاده از یک برنامه مشابه از آن استفاده مینمایند. نمونههایی از پروتکلهایApplication-Layer شاملHTTP برای وب، FTP برای انتقال فایل و SMTP برای ایمیل میباشد.
این اختلال از تکنولوژیهای امنیتی بسیار زیادی ناشی میشود که با عنوان دارا بودن قابلیت محافظت Application-Layer به بازار عرضه میشوند. اگرچه ممکن است این گونه ادعاها به لحاظ فنی دقیق و درست باشند (برای مثال وقتی سیستم پیشگیری از نفوذ به اجرای RFC برای HTTP میپردازد) اما متاسفانه به نوعی، گمراه کننده میباشند. مشکل اینجاست که محافظت ارائه شده با این راهکارها قادر به پوشش کامل برنامه نمیباشد و تنها میتواند به طور غیرمستقیم به ایجاد امنیت برای برنامههای زیرساختی در لایههای بالاتر (مانند وب سرورها و سیستمهای مدیریت پایگاهداده)، برنامههای کسبوکار (مانند Salesforce.com) و دادههایی بپردازد که همواره ارائه میگردند. (شکل زیر را ملاحظه فرمایید).
#waf #security @unixmens
این اختلال از تکنولوژیهای امنیتی بسیار زیادی ناشی میشود که با عنوان دارا بودن قابلیت محافظت Application-Layer به بازار عرضه میشوند. اگرچه ممکن است این گونه ادعاها به لحاظ فنی دقیق و درست باشند (برای مثال وقتی سیستم پیشگیری از نفوذ به اجرای RFC برای HTTP میپردازد) اما متاسفانه به نوعی، گمراه کننده میباشند. مشکل اینجاست که محافظت ارائه شده با این راهکارها قادر به پوشش کامل برنامه نمیباشد و تنها میتواند به طور غیرمستقیم به ایجاد امنیت برای برنامههای زیرساختی در لایههای بالاتر (مانند وب سرورها و سیستمهای مدیریت پایگاهداده)، برنامههای کسبوکار (مانند Salesforce.com) و دادههایی بپردازد که همواره ارائه میگردند. (شکل زیر را ملاحظه فرمایید).
#waf #security @unixmens
سازمانها به منظور محافظت کامل از داراییهای مهم وب نیاز به تکنولوژیهای امنیتی دارند که قابلیتهای زیر را به طور کامل ارائه نماید:
پوشش فیزیکی- از کلیه موارد کاربردی داخلی و خارجی به طور کامل محافظت می نماید.
پوشش کاربردی- نه تنها اجرای Policyها را به شکل کنترل دسترسی جزئیات به صورت Granular ارائه مینماید، بلکه امکان شناسایی و پیشگیری ضمنی تهدیدات را نیز فراهم میآورد.
پوشش منطقی- محافظت تمامی لایههای پشته محاسباتی (Computing Stack) را از پروتکلها و سرویسهایApplication-Layer و شبکه تا برنامههای زیرساختی، برنامههای سفارشی کسبوکار و حتی دادهها را میسر مینماید.
ارائه پوششهای جامع مستلزم سرمایهگذاری بیشتر بر روی مواردی فراتر از فایروالهای شبکه معمولی و سیستمهای جلوگیری از نفوذ (IPS) میباشد.
#waf #security @unixmens
پوشش فیزیکی- از کلیه موارد کاربردی داخلی و خارجی به طور کامل محافظت می نماید.
پوشش کاربردی- نه تنها اجرای Policyها را به شکل کنترل دسترسی جزئیات به صورت Granular ارائه مینماید، بلکه امکان شناسایی و پیشگیری ضمنی تهدیدات را نیز فراهم میآورد.
پوشش منطقی- محافظت تمامی لایههای پشته محاسباتی (Computing Stack) را از پروتکلها و سرویسهایApplication-Layer و شبکه تا برنامههای زیرساختی، برنامههای سفارشی کسبوکار و حتی دادهها را میسر مینماید.
ارائه پوششهای جامع مستلزم سرمایهگذاری بیشتر بر روی مواردی فراتر از فایروالهای شبکه معمولی و سیستمهای جلوگیری از نفوذ (IPS) میباشد.
#waf #security @unixmens
تکنولوژیهای برقراری امنیت شبکه
امروزه تکنولوژیهای معمول پیادهسازیشده برای امنیت شبکه، به طور واضح نقش مهمی را در محافظت از داراییهای مهم وب برای کسبوکار در سازمانها ایفا مینمایند و درک این نکته حائز اهمیت است که این داراییها دارای محدودیتهایی بوده و به تنهایی نمیتوانند محافظت کافی را به عمل آورند.
#security #waf @unixmens
امروزه تکنولوژیهای معمول پیادهسازیشده برای امنیت شبکه، به طور واضح نقش مهمی را در محافظت از داراییهای مهم وب برای کسبوکار در سازمانها ایفا مینمایند و درک این نکته حائز اهمیت است که این داراییها دارای محدودیتهایی بوده و به تنهایی نمیتوانند محافظت کافی را به عمل آورند.
#security #waf @unixmens
-فایروالهای شبکه
عملکرد اصلیِ فایروالهای معمولی شبکه، کنترل دسترسیها میباشد، که درواقع سیاستگذاریهایی است که در آن تعیین میشود کدام ترافیک برنامه، اجازه تردد در محدوده شبکهای را دارد که در آن پیادهسازی شده است. قابلیت Stateful، توانایی انطباق به صورت پویا را فراهم نموده و امکان بازگشت ترافیک مربوط به Sessionهای مجاز (و برعکس) را میسر میسازد.
در زیر به بررسی معایب استفاده از فایروالهای معمولی شبکه می پردازیم:
از آنجاییکه این مقوله صرفا بر اساس ویژگیهای Application-Layer (مانند پورت، پروتکل و IP آدرسهای منبع و مقصد) میباشد، قابلیت کنترل دسترسی برای یک فایروال معمولی به صورت توسعهپذیر فراهم نخواهد بود؛ در نتیجه فایروال نمیتواند همواره ایجاد تمایز کند، بنابراین برنامههای مجزا را با استفاده از یک پروتکل و یا پورت مورد نظر (مانند آرایهای از برنامههای تحت وبِ HTTP، که از TCP پورت 80 استفاده مینماید) کنترل مینماید.
فایروالهای معمولِ شبکه برای شناسایی یا جلوگیری صریح و مستقیم تهدیدات، تجهیز نشدهاند. تنها محافظتی که در برابر بدافزارها (Malware)، حملات و سایر فعالیتهای غیرمجاز ارائه میدهند، پیامد سیاستهای کنترل دسترسی میباشد که برای اجرا شدن، پیکربندی شدهاند. به عنوان مثال، اگر برای یک تهدید از مجرای ارتباطی که Open نیست، استفاده شود به صورت پیشفرض (و بدون انجام فرآیند شناسایی) از آن جلوگیری خواهد شد.
در نتیجه با توجه به موارد فوق، فایروالهای معمولی شبکه میتوانند محافظت نسبتا محدودی را برای داراییهای تحت وب در سازمانها ارائه نمایند.
-سیستمهای جلوگیری از نفوذ شبکه (IPS)
تکنولوژی IPS در شبکه به ارائه موارد اندکی در زمینه قابلیتهای کنترل دسترسی پرداخته و بیشتر بر روند شناسایی تهدیدات تمرکز مینماید. طیف وسیعی از مکانیسمهای مورد استفاده در این تکنولوژی شامل Signature برای تهدیدات و آسیبپذیریهای شناخته شده، شناسایی ناهنجاریهای رفتاری برای فعالیتهای مخرب و مشکوک و همچنین تهدیدات ناشناخته است. معمولا پوشش تا حد زیادی ارائه و شامل لایهی سرویسهای برنامه میشود و برای تمامی پروتکلهای معمول اینترنت از قبیل HTTP، DNS، SMTP، SSH، Telnet و FTP میباشد.
از آنجاییکه وجود Signatureهایی برای تهدیدات و آسیبپذیریهای شناخته شده و مرتبط با برنامههای کسبوکار و همچنین زیرساختهای متداول اجرا شده در سازمانها غیرمعمول نمیباشد، پوشش پراکنده در لایههای بالاترِ پشتهی محاسباتی نیز در دسترس میباشد. این پوشش اضافی علیرغم گام برداشتن در مسیر صحیح، کافی نبوده و تکنولوژی IPS را در رابطه با دو موضوع در میانه راه نگهمیدارد:
False Negative یا منفی کاذب- به دلیل عدم درک و قابلیت دید دقیق برنامه نسبت به اکثر تهدیدات در لایههای بالاتر (مانند مواردی که از طریق دستکاری منطق فرآیند برنامه کار میکند) نامناسب میگردد.
False Positive یا مثبت کاذب- همگام با تلاش برای ایجاد Signatureهای کاربردی و مورد استفاده برای طیف وسیعی از تهدیدات مربوط به لایه بالاتر در برنامههای تحت وب استاندارد و سفارشی، همواره به ایجاد تعداد بسیار زیادی هشدار کاذب منجر میشود.
اگرچه تکنولوژی IPS با فرآیند شناسایی و جلوگیریِ صریح و مستقیم تهدیدات، به یک مولفه ارزشمند برای فایروالهای معمولی شبکه تبدیل میگردد، پوشش ناهماهنگ (Spotty Coverage) در بالای لایهی سرویسهای برنامه، صرفا موجب افزایش تدریجی در روند محافظت از داراییهای تحتوب در سازمان میشود.
-فایروالهای نسل بعدی (NGFW)
فایروالهای نسل بعدی (NGFW) به ترکیب قابلیتهای فایروالهای شبکه و IPSها در یک راهکار واحد میپردازند. NGFW جهت کنترل دسترسی به شبکه و یا از شبکه، معمولا هویت برنامه و کاربر را هم به این قابلیتها اضافه مینماید. یک راهکار ترکیبی با چندین زنگ و هشدار اضافی برای مقیاس و ارزیابی مطلوب به عنوان نتیجهای برای موارد کاربردی با تمام و بالاترین توان عملیاتی (به عبارتی بیش از چندین Gbps) میباشد. بهرحال آگاهی و اطلاع از برنامه (Application Awareness) در رابطه با محافظت از برنامههای تحت وب همچنان به عنوان یک کاستی مهم باقی میماند. قابلیت شناسایی درست برنامهها، صرف نظر از پورت و پروتکل مورد استفاده در آن که تحت عنوان آگاهی از برنامه (Application Awareness) نام برده میشود، با روان بودن برنامه، یکسان نمی باشد.
با آگاهی از برنامه، تکنیکهایی مانند رمزگشایی پروتکل برنامه و Signatureهای برنامه به شناسایی درست برنامههای کسبو کار و زیرساختهای ویژهای میپردازند که مسئولیت تمامی ترافیک شبکه را به عهده دارند.
#security #waf @unixmens
عملکرد اصلیِ فایروالهای معمولی شبکه، کنترل دسترسیها میباشد، که درواقع سیاستگذاریهایی است که در آن تعیین میشود کدام ترافیک برنامه، اجازه تردد در محدوده شبکهای را دارد که در آن پیادهسازی شده است. قابلیت Stateful، توانایی انطباق به صورت پویا را فراهم نموده و امکان بازگشت ترافیک مربوط به Sessionهای مجاز (و برعکس) را میسر میسازد.
در زیر به بررسی معایب استفاده از فایروالهای معمولی شبکه می پردازیم:
از آنجاییکه این مقوله صرفا بر اساس ویژگیهای Application-Layer (مانند پورت، پروتکل و IP آدرسهای منبع و مقصد) میباشد، قابلیت کنترل دسترسی برای یک فایروال معمولی به صورت توسعهپذیر فراهم نخواهد بود؛ در نتیجه فایروال نمیتواند همواره ایجاد تمایز کند، بنابراین برنامههای مجزا را با استفاده از یک پروتکل و یا پورت مورد نظر (مانند آرایهای از برنامههای تحت وبِ HTTP، که از TCP پورت 80 استفاده مینماید) کنترل مینماید.
فایروالهای معمولِ شبکه برای شناسایی یا جلوگیری صریح و مستقیم تهدیدات، تجهیز نشدهاند. تنها محافظتی که در برابر بدافزارها (Malware)، حملات و سایر فعالیتهای غیرمجاز ارائه میدهند، پیامد سیاستهای کنترل دسترسی میباشد که برای اجرا شدن، پیکربندی شدهاند. به عنوان مثال، اگر برای یک تهدید از مجرای ارتباطی که Open نیست، استفاده شود به صورت پیشفرض (و بدون انجام فرآیند شناسایی) از آن جلوگیری خواهد شد.
در نتیجه با توجه به موارد فوق، فایروالهای معمولی شبکه میتوانند محافظت نسبتا محدودی را برای داراییهای تحت وب در سازمانها ارائه نمایند.
-سیستمهای جلوگیری از نفوذ شبکه (IPS)
تکنولوژی IPS در شبکه به ارائه موارد اندکی در زمینه قابلیتهای کنترل دسترسی پرداخته و بیشتر بر روند شناسایی تهدیدات تمرکز مینماید. طیف وسیعی از مکانیسمهای مورد استفاده در این تکنولوژی شامل Signature برای تهدیدات و آسیبپذیریهای شناخته شده، شناسایی ناهنجاریهای رفتاری برای فعالیتهای مخرب و مشکوک و همچنین تهدیدات ناشناخته است. معمولا پوشش تا حد زیادی ارائه و شامل لایهی سرویسهای برنامه میشود و برای تمامی پروتکلهای معمول اینترنت از قبیل HTTP، DNS، SMTP، SSH، Telnet و FTP میباشد.
از آنجاییکه وجود Signatureهایی برای تهدیدات و آسیبپذیریهای شناخته شده و مرتبط با برنامههای کسبوکار و همچنین زیرساختهای متداول اجرا شده در سازمانها غیرمعمول نمیباشد، پوشش پراکنده در لایههای بالاترِ پشتهی محاسباتی نیز در دسترس میباشد. این پوشش اضافی علیرغم گام برداشتن در مسیر صحیح، کافی نبوده و تکنولوژی IPS را در رابطه با دو موضوع در میانه راه نگهمیدارد:
False Negative یا منفی کاذب- به دلیل عدم درک و قابلیت دید دقیق برنامه نسبت به اکثر تهدیدات در لایههای بالاتر (مانند مواردی که از طریق دستکاری منطق فرآیند برنامه کار میکند) نامناسب میگردد.
False Positive یا مثبت کاذب- همگام با تلاش برای ایجاد Signatureهای کاربردی و مورد استفاده برای طیف وسیعی از تهدیدات مربوط به لایه بالاتر در برنامههای تحت وب استاندارد و سفارشی، همواره به ایجاد تعداد بسیار زیادی هشدار کاذب منجر میشود.
اگرچه تکنولوژی IPS با فرآیند شناسایی و جلوگیریِ صریح و مستقیم تهدیدات، به یک مولفه ارزشمند برای فایروالهای معمولی شبکه تبدیل میگردد، پوشش ناهماهنگ (Spotty Coverage) در بالای لایهی سرویسهای برنامه، صرفا موجب افزایش تدریجی در روند محافظت از داراییهای تحتوب در سازمان میشود.
-فایروالهای نسل بعدی (NGFW)
فایروالهای نسل بعدی (NGFW) به ترکیب قابلیتهای فایروالهای شبکه و IPSها در یک راهکار واحد میپردازند. NGFW جهت کنترل دسترسی به شبکه و یا از شبکه، معمولا هویت برنامه و کاربر را هم به این قابلیتها اضافه مینماید. یک راهکار ترکیبی با چندین زنگ و هشدار اضافی برای مقیاس و ارزیابی مطلوب به عنوان نتیجهای برای موارد کاربردی با تمام و بالاترین توان عملیاتی (به عبارتی بیش از چندین Gbps) میباشد. بهرحال آگاهی و اطلاع از برنامه (Application Awareness) در رابطه با محافظت از برنامههای تحت وب همچنان به عنوان یک کاستی مهم باقی میماند. قابلیت شناسایی درست برنامهها، صرف نظر از پورت و پروتکل مورد استفاده در آن که تحت عنوان آگاهی از برنامه (Application Awareness) نام برده میشود، با روان بودن برنامه، یکسان نمی باشد.
با آگاهی از برنامه، تکنیکهایی مانند رمزگشایی پروتکل برنامه و Signatureهای برنامه به شناسایی درست برنامههای کسبو کار و زیرساختهای ویژهای میپردازند که مسئولیت تمامی ترافیک شبکه را به عهده دارند.
#security #waf @unixmens
در صورتیکه هنگام استفادهی چندین سرویس و برنامه از پروتکلها و پورتهای مشابه، Policyهای جداگانهای تدوین و تنظیم شوند، آگاهی از برنامه موجب دقت بیشتر در کنترل دسترسی میگردد. برای مثال میتوان Web Bucket ترافیک را بخشبندی نمود تا دسترسی به تعداد انگشتشماری از برنامههای تحت وبِ سودمند و مهم برای کسبوکار فراهم گردد، در حالی که میتوان برنامههای تحت وب با مطلوبیت کمتر مانند Web Mail، سرویسهای File-Sharing و بازیهای فیسبوک را به صورت انتخابی محدود نموده یا به طور کامل Block کرد.
روان بودن برنامه به عنوان یکی از پیششرطها برای شناسایی واضح و مستقیم تهدیدات در لایههای بالاتر مستلزم درک عمیقتری از برنامههای محافظتشده بوده و در برگیرنده مواردی از این قبیل است که کدام ورودی و توالیهای جهتیابی (Navigation Sequence) معتبر بوده و اینکه برنامه باید چگونه کارکند.
نکته آخر اینکه، اگرچه NGFW میتواند قابلیت کنترل دسترسی را ارتقا بخشیده و فرصتی را برای حذف تعداد زیادی از تجهیزات با تکنولوژی واحد فراهم نماید، سازمانها همچنان با قابلیتهای شناسایی و یا محافظت صریح و مستقیم تهدیدات مربوط به یک IPS معمولی، باقی میمانند. این در حالی است که عرض و عمق این پوشش برای محافظت از داراییهای وب (خصوصا موارد سفارشیشده) در مقابل حملات پیچیده و هدفمندی که در حال حاضر بخش عمدهای از تهدیدات را تشکیل میدهند، کافی نمیباشند.
#waf #security @unixmens
روان بودن برنامه به عنوان یکی از پیششرطها برای شناسایی واضح و مستقیم تهدیدات در لایههای بالاتر مستلزم درک عمیقتری از برنامههای محافظتشده بوده و در برگیرنده مواردی از این قبیل است که کدام ورودی و توالیهای جهتیابی (Navigation Sequence) معتبر بوده و اینکه برنامه باید چگونه کارکند.
نکته آخر اینکه، اگرچه NGFW میتواند قابلیت کنترل دسترسی را ارتقا بخشیده و فرصتی را برای حذف تعداد زیادی از تجهیزات با تکنولوژی واحد فراهم نماید، سازمانها همچنان با قابلیتهای شناسایی و یا محافظت صریح و مستقیم تهدیدات مربوط به یک IPS معمولی، باقی میمانند. این در حالی است که عرض و عمق این پوشش برای محافظت از داراییهای وب (خصوصا موارد سفارشیشده) در مقابل حملات پیچیده و هدفمندی که در حال حاضر بخش عمدهای از تهدیدات را تشکیل میدهند، کافی نمیباشند.
#waf #security @unixmens
ویژگی استفاده از Web Application Firewall
Web Application Firewall یا به اختصار WAF، با کنار گذاشتن سایر تکنولوژیهای امنیتی میتواند مورد استفاده قرار گیرد و همچنین محافظت در برابر تهدیدات فعال در بالاترین لایههای پشتهی محاسباتی (Computing Stack) را نیز میسر میسازد. روندهای معمول یادگیری خودکار به واسطه Policyهای پیکربندی شده به صورت دستی تکامل یافته و درک کاملی از نحوه عملکرد هر یک از برنامههای محافظتشدهی تحت وب ایجاد میکند که شامل تمامی ویژگیهای سفارشی و منطق کسبوکار را میگردد.
#security #waf @unixmens
Web Application Firewall یا به اختصار WAF، با کنار گذاشتن سایر تکنولوژیهای امنیتی میتواند مورد استفاده قرار گیرد و همچنین محافظت در برابر تهدیدات فعال در بالاترین لایههای پشتهی محاسباتی (Computing Stack) را نیز میسر میسازد. روندهای معمول یادگیری خودکار به واسطه Policyهای پیکربندی شده به صورت دستی تکامل یافته و درک کاملی از نحوه عملکرد هر یک از برنامههای محافظتشدهی تحت وب ایجاد میکند که شامل تمامی ویژگیهای سفارشی و منطق کسبوکار را میگردد.
#security #waf @unixmens