IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

سامانه دسترسی شبکه اعتماد صفر - IPImen ZTNA

فناوری Zero Trust Network Access (ZTNA)  به معنی " دسترسی به شبکه اعتماد صفر " اصلی‌ترین فناوری است که سازمان‌ها را قادر می‌سازد تا امنیت Zero Trust را پیاده‌سازی کنند. این فناوری بیشتر زیرساخت‌ها و خدمات را پنهان می‌کند و ارتباطات رمزگذاری شده یک‌به‌یک بین دستگاه‌ها و منابع موردنیاز آنها را ایجاد می‌کند.

امروزه، یک Firewall یا UTM ساده یا یک EDR در شبکه، دیگر برای ایمن‌سازی شبکه کافی نیست. طبق گزارش مؤسسه پونمون در سال 2022، تهدیدات داخلی 82 درصد از تمام حوادث سایبری را تشکیل می‌دهند که با راه‌حل‌های فایروال سنتی قابل‌پیشگیری نیستند. برای درک بهتر مهم‌ترین مزایای Zero Trust باید بدانیم که امروزه ملاک کارآمدی استفاده از محصولات امنیتی در قدم اول مبتنی بر پلتفرم‌های امنیتی یکپارچه است تا بهتر بتوان به نیازهای تجاری مشتریان نیز پاسخ داد؛ لذا محصول IPImen ZTNA نیز با همین رویکرد بین‌المللی ارائه شده است و در تکمیل ترین حالت و عملکرد در کنار راهکار فایروال نسل بعدی (IPImen NGFW) و سایر محصولات این شرکت نیز به‌سهولت قابل‌ارائه است و مشتریان ما به‌راحتی می‌توانند حتی در تعامل با سایر تجهیزات امنیتی خود، در ایجاد و پیاده‌سازی ساختار Zero Trust پیش‌گام و موفق باشند؛ این محصول به‌صورت کاملاً تخصصی بر بستر سیستم‌عامل سفارشی‌سازی شده توسط این شرکت بانام ImenOS ارائه می‌گردد.

در یک نگاه اجمالی این محصول خدمات زیر را به شما ارائه خواهد داد:

  • Allow/Block APP communications
  • Encrypt data between LAN Clients
  • Firewalling traffic between LAN Clients
  • Report APP and LAN  Logs
  • Micro Segmentation
  • User Verification for LAN Clients
  • Posture Conditions for connect
  • Bandwidth control for each Process/APP
  • Report of clients' assets and resources

 

  • معرفی ZTNA
  • امنیت سازمان
  • ZTNA در مقابل VPN
  • برترین مزایای ZTNA
  • قابلیت Emergency Block
  • قدم‌به‌قدم تا اجرای کامل IPImen ZTNA
  • تجارب مفید سایر مشتریان
  • مدل بندی
  • دانلود فایل ها
  • دمو آنلاین

 شبکه Zero Trust چیست؟

قبل از آشنایی با محصول ZTNA (Zero Trust Network Access)، ابتدا باید با شبکه Zero Trust آشنا شویم.

در ساختار سنتی امنیت، شبکه‌ها را به دو بخش داخلی (Trust) و بیرونی (Untrust) تقسیم می‌کردند و عقیده داشتند که شبکه داخلی (علی‌الخصوص بخش DMZ) کاملاً امن است اما شبکه بیرونی کاملاً غیرقابل‌اعتماد و ناامن است و دقیقاً اولین اشتباه همین بود و مهاجمین باتکیه‌بر همین رویکرد سعی می‌کنند تا از طریق بخش داخلی شبکه به کل شبکه نفوذ کنند. چرا نفوذگر، مهاجم، هکر و هر فرد غیرمجاز دیگری تمام انرژی وتوان خود را بگذارد برای عبور از Gateway شبکه و رسیدن به شبکه داخلی درحالی‌که می‌داند راهبر شبکه بیشترین تنظیمات امنیتی را در این نقطه معطوف کرده است؟ درصورتی‌که بجای صرف این‌همه انرژی می‌تواند از  طریق کاربران ناآگاه در شبکه داخلی به همه جای شبکه دسترسی داشته باشد؛ و همین‌جا بود که مفهوم Zero Trust شکل گرفت با این رویکرد که "هیچ‌کس و هیچ‌چیز قابل‌اعتماد نیست". البته این رویکرد اولین‌بار در سال 2010 توسط جان کیندرواگ (تحلیلگر اصلی شرکت تحقیقات فارستر) معرفی گردید و بعد از مدتی گوگل اعلام کرد که در شبکه خود Zero Trust را پیاده‌سازی کرده‌  است و در نهایت منجر به رواج آن در جامعه فناوری شد و امروز شبکه Zero Trust Network یا شبکه ZTN یک مدل مدیریت امنیت و کنترل شبکه به شمار می‌رود که همان‌طور که از نام آن پیداست میزان اعتماد به صفر می‌رسد. به این معنی که در این مدل هیچ ماشین، سرویس و یا شخصی معتبر نبوده و در تمام مراحل و از هر جایی (داخل شبکه، بیرون شبکه و DMZ) کاربران و دستگاه‌ها باید احراز و تأیید هویت شوند و دسترسی آنها به‌صورت کاملاً محدود و تنها بر حسب نیاز تعریف خواهد شد.

در معماری امنیتی شبکه های سنتی به هر کسی و هر چیزی در داخل شبکه اعتماد وجود دارد. اما در معماری Zero Trust به هیچ کس و هیچ چیز اعتماد وجود ندارد.

 

فناوری Zero Trust Network Access یا ZTNA چیست؟

فناوری Zero Trust Network Access (ZTNA)  به معنی " دسترسی به شبکه اعتماد صفر " اصلی‌ترین فناوری است که سازمان‌ها را قادر می‌سازد تا امنیت Zero Trust را پیاده‌سازی کنند. این فناوری بیشتر زیرساخت‌ها و خدمات را پنهان می‌کند و ارتباطات رمزگذاری شده یک‌به‌یک بین دستگاه‌ها و منابع موردنیاز آنها را ایجاد می‌کند.

مؤسسه ملی فناوری و استانداردها (NIST) به‌عنوان مسئول وضع استانداردها و روش‌ها (مانند حداقل نیازمندی‌ها) برای امنیت اطلاعات عملیات و دارایی‌های سازمان‌های ایالات متحده آمریکا، در اسناد  IST SP 800-207A Sep 2023 (ZTA Model for Access Control in Cloud-Native Applications in Multi-Location Environments) و NIST SP 800-215 Nov 2022 (Guide to a Secure Enterprise Network Landscape) تأکید قطعی بر این راهکار و میزان اهمیت و لزوم پیاده‌سازی ZTNA بجای راهکارهای سنتی داشته و چشم‌انداز سازمانی با شبکه‌ای ایمن را طبق چهارچوب‌های یکپارچه ترسیم نموده است.

ZTNA با اتخاذ رویکرد «هرگز اعتماد نکنید، همیشه تأیید کنید» امنیت را افزایش می‌دهد و تضمین می‌کند که کاربران از راه دور فقط می‌توانند به برنامه‌ها و سیستم‌هایی دسترسی پیدا کنند که مجاز به دسترسی هستند. این مدل در درجه اول در جهت کاهش سطح حمله و به‌حداقل‌رساندن خطر دسترسی گسترده به منابع کارایی دارد و علاوه بر IT، در حوزه OT و شبکه‌های بی‌سیم (5G) نیز به چالش‌های سنتی مانند اتصال سایت از راه دور می‌پردازد.

مؤسسه گارتنر نیز ZTNA را این‌گونه تعریف می‌کند: محصولات و خدماتی که یک مرز دسترسی منطقی مبتنی بر هویت (Identity) و کانتکست را ایجاد می‌کنند که شامل یک کاربر سازمانی و یک برنامه کاربردی داخلی یا مجموعه‌ای از برنامه‌ها را در برمی‌گیرد. برنامه‌ها از کشف پنهان هستند و دسترسی از طریق یک کارگزار معتمد به مجموعه‌ای از موجودیت‌های نام‌گذاری شده محدود می‌شود. کارگزار قبل از اجازه دسترسی، هویت، زمینه و پایبندی به خط‌مشی شرکت‌کنندگان مشخص شده را تأیید می‌کند و حرکت جانبی را در سایر نقاط شبکه به حداقل می‌رساند.ipimen ztna

مفهوم اصلی و کلیدی در پشت پرده ZTNA که ما در شرکت تاکیان اقدام به توسعه آن کردیم، سازمان‌ها را ملزم می‌کند که در صورت نیاز هر منبع و دارایی را به‌عنوان "کاملاً در معرض اینترنت" قرار دهند. هیچ کاربری به طور پیش‌فرض قابل‌اعتماد نیست، همه کاربران باید به حداقل حقوق دسترسی موردنیاز محدود شوند و باید کاملاً نظارت شوند.

فایروال‌ها و لایه‌های امنیتی که قبلاً فقط در نقاط دسترسی شبکه (در Gateway یا Edge یا Core شبکه) وجود داشتند، اکنون برای هر نقطه پایانی، سرور و حتی برنامه‌ها قابل‌اعمال و اجرا هستند. هر درخواست دسترسی و هر کانکشن باید با این فرض شروع شود که کاربر و دستگاه ممکن است در معرض خطر قرار گیرند و نیاز به امن‌سازی و احراز هویت مجدد دارند. در واقع این‌گونه فرض کنید که شما به‌عنوان مدیر امنیت شبکه سازمان، بر روی هر دستگاه در شبکه خود یک فایروال و لایه امنیتی دارید در عین اینکه همچنان مدیریت آن بر عهده شماست و کاربران درگیر هیچ کار سخت یا پیچیده بیشتری نشده‌اند.

چرا ZTNA مورد نیاز سازمان شماست؟

سازمان‌ها به ZTNA نیاز دارند زیرا با چالش‌هایی با مهاجرت ابری، کار ترکیبی و از راه دور و زیرساخت‌های فناوری اطلاعات ساخته شده از محیط‌های مختلف مواجه هستند. آنها به دنبال راه‌حلی ساده برای ایمن‌سازی دارایی‌های ابری و داخلی هستند تا بتوانند به نیروی کار متنوع و از راه دور خود خدمت کنند.

ZTNA از سازمان‌ها به روش‌های زیر محافظت می‌کند:

  • حداقل دسترسی: همه درخواست‌های اتصال را بر اساس سیاست‌های هویت و زمینه مجاز می‌کند و دسترسی به برنامه‌ها را بر اساس نیاز به دانستن محدود می‌کند.
  • تقسیم‌بندی: محیط اطراف دارایی‌های منفرد یک شبکه را تقسیم‌بندی می‌کند تا جریان ترافیک را کنترل کند و حرکت تهدید را در یک رخنه محدود کند.
  • نامرئی‌بودن: زیرساخت‌ها را با مخفی‌کردن برنامه‌ها از اکتشاف عمومی و پل زدن کاربران به برنامه‌ها بدون اتصال به شبکه، پنهان می‌کند.

محصول ZTNA در کنار فایروال‌ نسل جدید IPImen قادر به ارائه شفافیت بالا بر روی ترافیک عبوری است و این امکان را به شما می‌دهد که لایه‌های مختلف نظارت و کنترل دسترسی مبتنی بر پالیسی‌های امنیتی را بر روی ترافیک‌ها اعمال کنید و بتوانید برای سؤالات مختلف از ترافیک و بسته‌ها جواب مناسب پیدا کنید. از جمله:

ipimen ztna2

  • What: از چه برنامه‌ای برای دسترسی به منابع خارجی یا داخلی استفاده می‌شود؟
  • Who: چه کسی باید به یک منبع دسترسی داشته باشد؟
  • Why: چرا این بسته سعی می‌کند به این منبع در سطح محافظت دسترسی پیدا کند؟
  • When: چه زمانی به منابع دسترسی پیدا می‌شود؟
  • Where: مقصد بسته کجاست؟
  • How: چگونه بسته از طریق یک برنامه خاص به سطح محافظ دسترسی پیدا می‌کند؟

 

 

راهکار ZTNA چگونه بصورت اختصاصی امنیت شما را فراهم میکند؟

محصول دسترسی برنامه‌های کاربردی بدون اعتماد (ZTNA)، برنامه‌ها و سرویس‌ها را از کشف پنهان می‌کند و اجازه دسترسی فقط به برنامه‌های خاص را می‌دهد. ZTNA با اجازه ندادن به دسترسی به کل شبکه، تأثیر نقض را کاهش می‌دهد، دید کسب‌وکار را در اینترنت عمومی کاهش می‌دهد و خطر امنیتی را به حداقل می‌رساند و طبق اصل سه‌گانه زیر از داده‌ها محافظت می‌کند:

  • اعطای دسترسی مبتنی بر نقش و با کمترین امتیاز
  • تنظیم محیط اطراف دارایی‌ها و کنترل جریان شبکه
  • پنهان‌کردن برنامه‌ها از اینترنت عمومی

اجرای موفقیت‌آمیز اولیه فناوری ZTNA نیاز به پاسخگویی به این سؤالات دارد:ipimen ztna3

  • هویت: شما که هستید، آیا شما که ادعا می‌کنید هستید و مجوز لازم را دارید؟
  • امنیت: آیا دستگاه شما امن است؟
  • زمینه: آیا فقط به منابعی که نیاز دارید درخواست دسترسی دارید؟

ZTNAهم به کاربر و هم دستگاهش نیاز دارد که هویت خود را ثابت کند. دستگاه باید یک دستگاه شناخته شده و مجاز باشد. این را می‌توان با ثبت‌نام دستگاه مرتبط با یک کاربر خاص در راه‌حل مدیریت دستگاه خود انجام داد. کاربر همچنین باید اعتبارنامه‌ها و پاسخ‌های صحیح را به احراز هویت چندعاملی ارائه‌دهنده هویت ابری خود ارائه دهد.

با وجود تأیید هویت، اطمینان از ایمن بودن دستگاه‌ها برای کاهش خطرات بیشتر هنگام تلاش برای دسترسی به منابع شرکت، مهم است. این بدان معنی است که دستگاه‌ها باید باسیاست‌های امنیتی شما مطابقت داشته باشند و آخرین سیستم‌عامل‌ها و آسیب‌پذیری‌ها را وصله کرده باشند.

آیا وجود ZTNA به معنای عدم وجود VPN است؟

با ذکر یک مثال عمومی موضوع را شفاف‌تر می‌کنیم:  فرض کنید برای برداشت پول به بانک خود وارد می‌شوید و در ابتدا هویت شما با شماره‌حساب و شناسه شما تأیید می‌شود. حال اگر نام و اطلاعات شما منطبق با حساب است، به آن حساب و فقط آن حساب دسترسی دارید. حالا تصور کنید: شما شناسنامه خود را تحویل می‌دهید و متصدی بانک شما را مستقیماً به تمام محتویات و داده‌های بانکی هدایت می‌کند. آیا چنین کاری دیوانه‌کننده و خنده‌دار به نظر نمی‌رسد؟ پس چرا با ارائه دسترسی به شبکه(از طریق VPN)، خودتان این کار را انجام می‌دهید؟

یک VPN به طور عمومی به کاربران امکان دسترسی به کل شبکه را می‌دهد، صرف‌نظر از اینکه به دسترسی جامع نیاز دارند یا خیر و این شما را در معرض خطر قرار می‌دهد. اما ZTNA دسترسی به شبکه را با فراهم‌کردن حداقل دسترسی و تنها محدود به منابعی که کارمندان به آن نیاز دارند و درعین‌حال هویت کاربر و دستگاه را برای هر برنامه به طور دقیق تأیید می‌کند و درواقع انبار اطلاعات شرکت شما را قفل می‌کند. همچنین تقاضای پهنای باند شبکه شما را کاهش می‌دهد و حریم خصوصی کاربر را با  تقسیم‌بندی شبیه تونل حفظ می‌کند.ipimen ztna4

تا همین اواخر، بیشتر شرکت‌ها برای دسترسی از راه دور ایمن به شبکه‌های خصوصی مجازی (VPN) و روش‌های امنیتی مبتنی بر محل متکی بودند. از سال 2020، محدودیت های این روش ها به طرز دردناکی مشخص شده است:

  • آنها نمی‌توانند به‌راحتی مقیاس‌پذیر باشند
  • آنها برای استفاده در محیط‌های ابری پیچیده هستند
  • کنترل های مهم فناوری اطلاعات در بین کاربران و فعالیت‌ها دیده نمی‌شود
  • هنگام بازگردانی ترافیک به پشته امنیتی در مرکز داده، عملکرد ضعیف می‌شود
  • نصب و نگهداری سرویس‌گیرندگان VPN در BYOD و دستگاه‌های شریک عملی نیست
  • آنها فاقد قابلیت‌های مدیریت دسترسی ممتاز (PAM) برای DevOps و کاربران مهندسی هستند

محصول IPImen ZTNA هر چند می‌تواند با VPNهای اختصاصی IPImen در تعامل کامل باشد اما به‌طورجدی می‌تواند جایگزین VPNهای عمومی برای محیط‌های دورکاری، حضوری و ترکیبی باشد. VPNها حفاظت گسترده‌ای از شبکه را ارائه می‌دهند، اما ZTNA یک راه‌حل جامع است که سازمان‌ها را توانمند می‌کند تا کنترل دقیق‌تر داشته باشند؛ لذا چند تفاوت مهم بین VPN و ZTNA می‌توان قائل بود:

  • مجوز: VPN کاربران را در نقطه ورود به شبکه شرکت خصوصی با ورود و رمز عبور تأیید می‌کند. اما راه‌حل بالغ ZTNA ، نظارت مستمر پروسس‌های پس‌زمینه دستگاه کاربر را انجام می‌دهند تا سطوح دسترسی را در هر درخواست اتصال تطبیق دهد.
  • دسترسی: هنگامی که کاربران وارد VPN می‌شوند، به آنها دسترسی کامل به کل شبکه داده می‌شود. راه‌حل‌ ZTNA، کاربران مجاز را مستقیماً به برنامه‌ها متصل می‌کند تا به شبکه و با انطباق پالیسی‌ها، فقط به برنامه‌هایی مجاز اجازه دسترسی می‌دهد.
  • سرعت: راه‌حل ZTNA سریع‌تر از VPNها است، زیرا به‌جای ارسال ترافیک از طریق یک مرکز داده شرکتی، کاربران را مستقیماً به برنامه‌ها متصل می‌کند. منابع همچنین می‌توانند در فضای ابری ذخیره شوند و نیازی به شبکه محلی ندارند که این روش هم منجر به دسترسی سریع‌تر می‌شود.
  • امنیت: VPNهای عموماً دسترسی کامل به منابع شبکه را در اختیار کاربران قرار می‌دهند و در معرض خطر افشای اطلاعات شبکه هستند. ازآنجایی‌که ZTNA اتصالات کاربر را به برنامه‌های خاص محدود می‌کند و به طور مداوم اعتماد کاربر و دستگاه را تأیید می‌کند لذا بهتر می‌تواند ریسک را کاهش دهد و انعطاف‌پذیری امنیتی را نسبت به VPN ‌ها ایجاد نماید.

برترین مزایای راهکار IPImen ZTNA به شرح زیر است:

  • فرایند امنیت از انتهایی‌ترین نقطه شبکه یعنی دستگاه خود کاربران شروع می‌شود.
  • دورکاری امن و درعین‌حال ساده را به معنای واقعی میسر می‌سازد.
  • بلاک کردن ضربتی ترافیک شبکه هنگام کشف و اعلام حمله، ویروس و باج‌افزار توسط واکنش سریع (Emergency Block).
  • می‌تواند با فایروال نسل بعدی (NGFW) کاملاً سازگار و یکپارچه باشد، لذا صرفه اقتصادی بالایی دارد.
  • می‌تواند با راهکارهای VPN عمومی و اختصاصی کاملاً سازگار و یکپارچه باشد.
  • می‌تواند با ساختار DAAS (Desktop as a Service) ابری شما کاملاً سازگار و یکپارچه باشد.
  • با رویکرد CASB (Cloud Access Security Broker)، جای‌گذاری محصول حتی می‌تواند در کلود باشد و تمام دارایی‌ها در سطح کشور از آن دستور بگیرند.
  • فایروالینگ ترافیک بین دارایی‌ها از نظر پورت و اتصالات، به‌گونه‌ای که تنها کلاینت‌های خاص با پورت خاص با هم در ارتباط‌اند.
  • ترافیک بین کلاینت‌های شبکه داخلی شما بدون نیاز به VPN و با الگوریتم‌های پیشرفته (مثل AES256) در لایه 7 رمز می‌شود.
  • تعیین شروط اتصال (Posture Conditions) برای احراز صلاحیت کلاینت‌ها قبل از اتصال و دسترسی
  • امکان ثبت لاگ سایت‌های مشاهده شده توسط تمامی نرم‌افزارها (حتی فیلترشکن ها، VPN ها، پراکسی ها و ...)
  • اعمال Black/White List جهت نرم‌افزارها و پروسه‌های مجاز و غیرمجاز در سمت کلاینت‌ها.
  • جهت یکپارچگی با NGFW، مدیریت پروسس‌های کاربر را جهت پالیسی نویسی به فایروال اصلی هدایت می‌کند.
  • جهت یکپارچگی با NGFW، مدیریت نوع OS را جهت پالیسی نویسی به فایروال اصلی هدایت می‌کند.
  • جهت یکپارچگی با NGFW، نمایش ارتباطات مرتبط با پروسس و گزارشات را به فایروال اصلی هدایت می‌کند.
  • دسترسی دائمی، کنترل شده و امن به اپلیکیشن‌ها را برای کاربران داخل شبکه و بیرون شبکه امکان‌پذیر می‌کند.ipimen ztna5
  • احراز هویت‌های چندمرحله‌ای کاربران شبکه داخلی و شبکه بیرونی به‌راحتی مقدور است.
  • یکپارچگی با سیستم‌های شناسایی از جمله SIEM، XDR، EDR، Anti-Virus، DLP، Firewall و... جهت کسب دستورات.
  • با اجرای Micro Segmentation، نیاز به سخت‌افزار را مرتفع کرده و به‌سهولت شبکه منطقی را محدود می‌کنید.
  • امکان تفکیک منطقی ترافیک اینترنت از شبکه داخلی (Internet Separation) به‌صورت لحظه‌ای در ازای هر پالیسی.
  • لاگ‌ها و گزارشات کاملی از هر نوع ارتباط، سایت، منابع سیستمی و... حتی ارتباطات TLS برای شما فراهم است.
  • امکان نمایش لحظه‌ای وضعیت کل دارایی‌های (کلاینت‌ها و سرورها) متصل و منابع سیستمی
  • امکان ارسال لحظه‌ای یا آرشیو شده لاگ‌ها به سمت سامانه‌های LOG، SIEM، Monitoring، Analyzer و...

قابلیت Emergency Block چیست و چرا انقدر با اهمیت است؟

ipimen ztna6هنگامی که در سازمانی یک آتش سوزی رخ داده و دیتاسنتر سازمان در حال سوختن است، افراد در اولین حرکت از یک ابزار واکنش سریع بنام "کپسول آتش‌نشانی" استفاده میکنند تا علاوه بر کنترل آتش، از انتشار آتش به سایر بخش ها جلوگیری کنند.حال فرض کنیم که مشابه مثال ذکر شده قبلی، با اینکه بخش امنیت و واحد SOC سازمان شما مجهز به به‌روزترین و تخصصی‌ترین تجهیزات امنیتی است، یک رخداد امنیتی ناشناخته گریبان‌گیر شبکه شما شود و همچون آتش در شبکه شما منتشر شود.

قطعاً یکی از کارهای اصلی و مهم این است که تیم‌ها یا شرکت‌های امنیتی ارائه‌دهنده محصولات را در جریان می‌گذارید. اما پروسه اعلام آلودگی به شرکت‌های تولیدکننده محصولات امنیتی تا لحظه تحویل "نسخه جدید" و یا "ابزار رفع مشکل امنیتی" پروسه‌ای زمان بر و طولانی است و عملاً تا آن لحظه کل شبکه سازمان آلوده شده و از دسترس خارج شده است. حال اگر سازمان شما در رده‌بندی حیاتی و حساس قرار داشته باشد مثل یک بیمارستان، نیروگاه برق، سیستم حمل‌ونقل، سامانه‌های سوخت، سازمان‌های مالیاتی، سامانه‌های بانکی و سامانه‌های بورسی که با مال و جان انسان‌ها در ارتباط‌اند و عدم سرویس‌دهی صحیح آنها حتی در یک مقطع کوتاه ممکن است عواقب انسانی، اجتماعی و اقتصادی شدیدی را در بر داشته باشد.

ipimen ztna7لذا برای جلوگیری و کنترل این رخداد بزرگ، باید ابزاری در اختیار داشته باشید که همچون کپسول آتش‌نشانی از انتشار آن به‌صورت وسیع‌تر جلوگیری شود. ابزاری که خودش درگیر این آتش نشود و تنها با فشار یک دکمه و در کوتاه‌ترین زمان ممکن عمل کند.

 اینجاست که قابلیت Emergency Block در محصول IPImen ZTNA می‌تواند مشابه یک کپسول آتش‌نشانی و در نقش یک ابزار واکنش سریع (Rapid Response) به سازمان کمک کند و در لحظه خطر تنها کافی است یکی از سنسورهای سازمانی شما فعال شود و اعلام هشدار نماید یا یکی از کارشناسان وضعیت اضطراری را فعال نماید تا با APIهای تعبیه شده در کسری از ثانیه درخواست Emergency Block به محصول IPImen ZTNA ارسال شود و حداکثر طی 5 ثانیه، ارتباط کل کلاینت ها و سرورها ایزوله شده و سریعاً از انتشار رخداد جلوگیری شود و پس از بررسی رخداد توسط تیم های CERT و SOC در سازمان، تنها با فشردن مجدد کلید Emergency Block همه ارتباطات از سر گرفته شود.

اجرای کاملا ZTNA تنها در 20 قدم:

برای درک بهتر عملکرد محصول IPImen ZTNA در زیر مراحل اجرا و عملکرد آن با یک مثال عملیاتی ساده ذکر شده است:

  1. محصول را به‌صورت سخت‌افزاری یا ماشین مجازی دریافت می‌کنید.
  2. محصول IPImen ZTNA در شبکه شما نصب و راه‌اندازی اولیه می‌شود (نصب آن در هر جایی مقدور است، در Gateway، در کلود یا حتی به‌صورت آفلاین در هر VLAN یا Zone که همه به آن دسترسی داشته باشند)
  3. گروه‌بندی‌های دلخواه را بر روی کلاینت‌ها و شبکه‌های مختلف تعریف نمایید یا در صورت استفاده از دامین، دسترسی لازم به Active Directory را فراهم نمایید تا لیست گروه‌ها و کاربران به‌صورت اتوماتیک Sync شود.
  4. پالیسی‌های امنیتی جهت فایروالینگ ترافیک بین کلاینت‌ها و موجودیت‌های شبکه (مبدأ، مقصد، اکشن، زمان‌بندی، سرویس و پورت) را تعریف کنید. این تعریف می‌تواند با درنظرگرفتن Micro Segmentation بر روی هر دارایی باشد.
  5. پالیسی‌های امنیتی جهت تعیین نوع و الگوریتم رمزنگاری ترافیک بین کلاینت‌ها را تعریف نمایید.
  6. امکان ثبت لاگ ارتباطات بین کلاینت‌ها یا همان دارایی‌ها را در ازای هر پالیسی فعال نمایید.
  7. آدرس کلاینت‌ها، سرورها و تجهیزاتی که Agent پذیر نیستند را به‌عنوان استثنا (Exclude) تعریف کنید.
  8. آدرس IPImen ZTNA را در DNS Server سازمان تعریف نمایید تا توسط کاربران قابل Resolve باشد.
  9. در حالت دامین از طریق Active Directory یا در حالت Workgroup به‌صورت مستقیم، نرم‌افزار ZTNA Agent که یک سرویس است را بر روی سیستم کلاینت‌ها نصب کنید.
  10. شروط لازم (Posture Conditions) برای اجازه برقراری ارتباطات در سمت کاربر را تعیین نمایید. به طور مثال ارتباطات کاربر تنها در صورتی فعال شود که آنتی‌ویروس کاربر فعال باشد، یا کاربر عضو دامین باشد یا...
  11. به‌محض Start شدن سرویس مرتبط با Agent در کلاینت‌ها، به‌صورت اتوماتیک درخواست احراز هویت اولیه در قالب Verification ارسال می‌شود.
  12. کلاینت‌های مجاز را بر حسب Hostname، IP و MAC تأیید (Verified) کنید.
  13. نرم‌افزارهای موردنظر جهت White/Black List را انتخاب نموده و در گروه‌بندی‌های دلخواه قرار دهید.
  14. پالیسی‌های امنیتی جهت مجاز/غیرمجاز نمودن نرم‌افزارها (پروسس‌ها) برای هر کلاینت، گروه، کاربر و... را تعریف نمایید. در فاز اول می‌توانید دسترسی *.* به هر جایی را بلاک کنید و سپس موارد دلخواه را مجاز نمایید.ipimen ztna8
  15. پهنای باند موردنظر برای هر نرم‌افزار (پروسس) در ازای هر پالیسی را تعیین نمایید.
  16. در صورت نیاز، در پالیسی‌ها امکان برقراری کانکشن‌ها را از نرم‌افزارها (پروسس‌ها) سلب نمایید.
  17. در صورت نیاز به برقراری ارتباط VPNهای اختصاصی از جمله L7 SSL VPN و L3 Secure VPN، آنها را نصب نمایید و پالیسی‌های ترافیکی مرتبط با آنها را تنظیم نمایید.
  18. دریافت پالیسی‌های مرتبط با ترافیک و یا نرم‌افزارها (پروسس‌ها) را رصد نمایید.
  19. به‌صورت دوره‌ای گزارش وضعیت دارایی‌ها از نظر منابع سخت‌افزاری را بررسی و کنترل نمایید و پالیسی‌های مناسب را به سیستم اضافه نمایید.
  20. به‌صورت دوره‌ای گزارشات مرتبط با میزان، حجم و ترافیک استفاده شده توسط پروسس‌ها را کنترل و پالیسی‌های مناسب را به سیستم اضافه نمایید.

 

برخی از تجارت مفید استفاده از IPImen ZTNA در سازمان ها:

1 - رفع چالش باج‌افزارها در سازمان:

این روزها به طور فزاینده‌ و پیچیده‌ای، باج‌افزار (Ransomware) ها 70 درصد از نقض‌های مربوط به بدافزار را تشکیل می‌دهند و سریع‌ترین رشد را در بین فعالیت‌های جرایم سایبری دارند و طبق گزارش Data Breach Investigations Report (DBIR) در سال 2022، استفاده از باج‌افزار به‌عنوان سریع‌ترین روند هک سازمانی درحال‌رشد است. هرچند که همه سازمان‌ها دارای آنتی‌ویروس‌های بروز شده هستند اما باز هم باج‌افزارها با متدهای جدید خود را مخفی‌سازی کرده و شبکه را آلوده می‌کنند. عملکرد اصلی باج‌افزار، توان حرکت جانبی است که موجب می‌گردد تا خود را در شبکه یک سازمان گسترش دهد و حداقل کلیه تجهیزات موجود در VLAN یا Segment Zone مرتبط با خود را آلوده نماید و دقیقاً به همین دلیل است با کوچک‌تر کردن Segmentها می‌توان بازه انتشار را محدود کرد. اینجاست که ZTNA با پیاده‌سازی Micro Segmentation ، می‌تواند هر سگمنت تنها را محدود به یک تجهیز کند و همچون یک حباب فایروالی، اطراف هر دارایی در شبکه را فراگیرد و این مؤثرترین دفاع در برابر باج‌افزار است و در حداقل زمان از انتشار باج‌افزار در سایر تجهیزات موجود در شبکه جلوگیری می‌کند. از طرفی با استفاده از دکمه Emergency Block ادمین شبکه می‌تواند در لحظه کل ترافیک تجهیزات شبکه را قطع نموده و از هرگونه ارتباطی جلوگیری کند تا از انتشار ویروس، باج‌افزار و... جلوگیری شود و ادمین بتواند سرفرصت منشأ خطر را پیدا کرده و رفع نماید.

 2 – رفع چالش احراز هویت چندعاملی (MFA):

احراز هویت چندعاملی (MFA) تقریباً می‌تواند همه سرقت‌های هویت را متوقف ‌کند، اما معمولاً به برنامه‌های SaaS که در فضای ابری فعال هستند محدود می‌شود. در نتیجه MFA در بیشتر محیط‌های سازمانی مورداستفاده قرار نمی‌گیرد.چه در حالت دائمی و چه در فضای ابری، IPImen ZTNA تنها راه‌حلی است که MFA را در ازای هر پالیسی ارتباطی مختلف اعمال می‌کند و MFA به‌موقع را برای کلاینت‌ها، سرورها و هر دارایی که تاکنون توسط MFA محافظت نشده است، امکان‌پذیر می‌کند.

 3 - رفع چالش تقسیم‌بندی هر دارایی:

هر چند که ریز بخش‌بندی (Micro Segmentation) با کوچک‌کردن بخش‌ها، امکان گسترش خطرات را محدودتر می‌کند اما بااین‌حال، به دلیل استفاده از پالیسی‌های متعدد با عوامل مختلف که اغلب به برنامه‌های خراب و خرابی ختم می‌شود، مقیاس‌بندی آن نیز بسیار سخت است و عملیاتی‌کردن آن به طور گسترده در مقیاس بالا پذیرفته نشده است. زیرا هزینه‌های اولیه قابل‌توجه سخت‌افزار، و استقرار و نگهداری طولانی و پرهزینه، که به‌شدت به خدمات حرفه‌ای متکی هستند، موجب می‌گردد که بسیاری از سازمان‌ها ماه‌ها و حتی سال‌ها درگیر استقرار کامل آن باشند و در نهایت نمی‌توانند کل شبکه خود را ریز بخش‌بندی کنند. علاوه بر این، بسیاری از پورت‌های سمت کاربران، مانند پورت‌های مدیریت، باید باز باقی بمانند و بنابراین همواره در معرض حرکت جانبی باج افزارها و بدافزارها قرار دارند.

اما IPImen ZTNA با تشخیص کل ارتباطات و پروسس‌ها با نام‌ها و پسوندهای مختلف (*.*) به‌صورت معکوس عمل می‌کند و در پیاده‌سازی مفهوم Micro Segmentation حتی در بزرگ‌ترین مقیاس‌ها، کار را به‌گونه‌ای تسهیل می‌کند که می‌تواند هر سگمنت تنها را محدود به یک تجهیز یا حتی یک پروسس کند و همچون یک حباب فایروالی، اطراف هر دارایی یا پروسسی در شبکه را فراگیرد و برخلاف راهکارهای قدیمی که باید حداقل برخی از پورت‌های ممتاز را باز نگه دارند و در نتیجه آسیب‌پذیر باشند، پورت‌ها را بسته نگه می‌دارد و پس از احراز هویت کاربران سرپرست با استفاده از MFA به‌موقع، آنها را باز خواهد کرد.

 4 – رفع چالش اتصال ایمن فروشندگان و کارکنان دورکار:

راهکارهای VPN و ZTNA تاکنون راه‌حل‌های اصلی برای اتصال ایمن کارمندان و فروشندگان دورکار به شبکه بوده‌اند. با افزایش دورکاری، معماران امنیتی با یک معامله فاوستی (معامله فاوستی به قربانی کردن خود یا ارزش‌های خود در ازای به دست آوردن خواسته‌های خود اشاره دارد.) روبرو هستند: اولویت‌دادن به‌سرعت و هزینه (VPN) یا امنیت بیشتر باتجربه‌ای کاربرپسندانه (ZTNA)، کدام را باید قربانی کرد؟

VPNها سریع هستند، اما باتوجه‌به درگاه باز آنها در اینترنت، امنیت کمتری دارند. ZTNA امن است، اما باتوجه‌به مسیریابی تمام ترافیک از طریق ارتباطی اختصاصی یا ابری، گران‌تر و کندتر است.

اما IPImen ZTNA ، امنیت ZTNA را با سرعت VPN، در یک پلت فرم یکپارچه ترکیب می‌کند به‌گونه‌ای که کاربران را به‌صورت Peer to Peer به هم متصل کرده و با رمزنگاری این ارتباط، دیگر نیازی نیست که ترافیک هر کاربر برای رسیدن به کاربر دیگر از طریق VPN Server انجام شود. همه چیز در لایه Application و بدون نیاز به VPN رمز می‌شود، اتصال مستقیم و بدون ابهام. حتی در صورت نیاز به ارتباطات VPN، هیچ پورت بازی به سمت اینترنت وجود ندارد و فقط یک دارایی تأیید شده (پس از تأیید MFA) می‌تواند پورت را ببیند و به آن متصل شود و سرعت‌های بی‌نظیر شبکه را حتی در صورت نیاز از طریق L7 SSL VPN و L3 Secure VPN تجربه کند.

 5 - هزینه‌های عملیاتی (OpEX) امنیت را کاهش دهید و نرخ بازگشت سرمایه (ROI) را احساس کنید:

بخش‌بندی (Segmentation) شبکه‌های سنتی گران است. فایروال‌های سخت‌افزاری پرهزینه هستند، پروسه استقرار آنها طولانی است، دائماً نیاز به ممیزی دارند و نگهداری مداوم آنها به خدمات حرفه‌ای برای به‌روزرسانی‌های مداوم و دستی قوانین وابسته است و تفاوتی با تکنیک ریز بخش‌بندی (Micro Segmentation) قدیمی و تجزیه شبکه به بخش‌های کوچک‌تر و محافظت شده با استفاده از فایروال‌های نرم‌افزاری، ندارد.

اما خبر خوب این است که از نگاه معماری IPImen ZTNA، بخش‌بندی به‌جای گره‌خوردن به سخت‌افزار، با خود دارایی سروکار دارد و اجرای مفهوم ریز بخش‌بندی شبکه و دارایی‌ها را با سرعتی بالا، از همیشه آسان‌تر کرده است و تقریباً به هیچ تعمیر و نگهداری نیاز ندارد؛ این بدان معنی است که هنگام تغییر یا به‌روزرسانی سخت‌افزارهای خود نیازی به بخش‌بندی مجدد ندارید. در عوض، قوانینی که شما تعریف کرده‌اید، در مورد هر دارایی، مشتری یا سرور یا OT، صرف‌نظر از اینکه در کجا قرار دارد، از قبل تعریف شده است.

این تفاوت‌ها با رفع نیاز به کارمندان بیشتر در بخش IT یا Helpdesk، به‌تنهایی ده‌ها هزار ساعت برای سازمان‌ها صرفه‌جویی می‌کند و در نهایت باعث صرفه‌جویی خیره‌کننده 83 درصد از هزینه تقسیم‌بندی سنتی و 71 درصد از هزینه ریزبخش‌بندی قدیمی می‌شود و طبق امار موجب می‌گردد ROI تا 30 درصد افزایش یابد.

 6 - رفع چالش‌های بیمه سایبری:

همان‌طور که حملات سایبری بیشتر و پیچیده‌تر می‌شوند، بیمه سایبری برای مشاغل در هر اندازه‌ای اجباری می‌شود. بیمه‌گران، چک‌لیست‌هایی با الزامات سخت‌گیرانه امنیت شبکه را مطرح می‌کنند که اجرای این الزامات نه‌تنها به پیروی از خط‌مشی بیمه‌گر کمک می‌کند، بلکه به کاهش حق بیمه‌های اخیر و مطابقت با مقررات دولتی، مانند PCI DSS برای تراکنش‌های کارت اعتباری، HIPAA برای صنعت مراقبت‌های بهداشتی و حتی GDPR اتحادیه اروپا کمک می‌کند؛ درصورتی‌که متقابلاً هزینه‌های سرسام‌آوری را به سازمان‌ها تحمیل خواهد کرد و خبر خوب اینکه تنها راهکار رفع این الزامات استفاده از قابلیت‌های مفید یک محصول موفق ZTNA است.

حمله هکرها به زیرساخت شبکه شرکت‌های بزرگ چندملیتی می‌تواند بسیار خسارت‌بار باشد و این رقم گاهی به بیش از ۳۰ میلیارد دلار هم می‌رسد. در سال 2023 مؤسسه رتبه‌بندي «اي ام بست» آمريكا گزارشي منتشر و اعلام كرد در بازار بيمه سايبري، شرايط فوق العاده‌اي براي گسترش وجود دارد، اما ناتوانی سازمان‌ها در پاس‌کردن چک لیست های سخت‌گیرانه بیمه ای و خطرات حملات ديجيتالي در كنار استراتژي‌هايي كه براي قيمت‌گذاري به كار گرفته مي‌شود، اجازه نمي‌دهد تا بازار به شرايط ايده‌آل برسد.

از طرفی در این روزها با تصمیمات جدیدی که اتخاذ شده است، برخی از صنایع در حال حاضر به‌عنوان بخشی از تعهدات قراردادی خود یا به‌عنوان شرطی برای انجام تجارت با مشتریان یا شرکای خاص، به بیمه سایبری نیاز دارند. در سایر کشور ها از جمله آمریکا قراردادها جدی‌تر هستند و به‌عنوان‌مثال، اداره خدمات مالی ایالت نیویورک، مقررات امنیت سایبری را صادر کرده است که مؤسسات مالی را ملزم می‌کند برنامه‌های امنیت سایبری را که شامل ارزیابی پوشش بیمه برای خطرات سایبری است، حفظ کنند. به طور مشابه، برخی از پیمانکاران فدرال ملزم به داشتن بیمه سایبری به‌عنوان بخشی از الزامات قرارداد خود هستند.

 7 – قدمی عملیاتی و مهم جهت موفقیت در تست نفوذ (Pen Test):

تست نفوذ نوعی ارزیابی امنیت سایبری است که برای شبیه‌سازی اینکه چگونه و تا چه حد مهاجم می‌تواند به شبکه سازمانی آسیب برساند، طراحی شده است و  پاس‌کردن موفقیت‌آمیز یک تست نفوذ اجباری یا حتی داوطلبانه ثابت می‌کند که سازمان می‌تواند از خود در برابر انواع حملات محافظت کند. به‌علاوه، بسیاری از شرکت‌های بیمه سایبری و مقررات مختلف به‌عنوان بخشی از خط‌مشی خود نیاز به تست نفوذ برتر دارند.

اما مشکل اینجاست که گذراندن بسیاری از این تست‌ها حتی با بهترین راه‌حل‌های امنیتی بسیار دشوار است و چه برای رعایت مقررات و چه برای کشف و حل مسائل امنیتی در یک سازمان، تست‌های نفوذ به‌سختی پاس خواهند شد. یک جدول زمانی فشرده، یک بودجه محدود، یک تیم کوچک IT، اینها برخی از چالش‌های اولیه و رایج سازمانی هستند که قبولی در تست نفوذ را حتی سخت‌تر از آنچه باید باشد، می‌کنند.

علت اصلی اکثر تست‌های نفوذ ناموفق، و همچنین نقض واقعی شبکه، مجوزهای بیش از حد شبکه است. شبکه‌ها برای اتصال طراحی شده‌اند، نه امنیت، و معمولاً از داخل کاملاً باز هستند و به ماشین‌ها اجازه می‌دهند بیش از آنچه نیاز دارند یا همیشه باید داشته باشند، به شبکه دسترسی داشته باشند. این توانایی مهاجم را برای حرکت جانبی پس از اینکه یک ماشین را به خطر انداخته است، ساده می‌کند.

خبر خوب اینکه، به‌جای برخورد واکنشی با هر مسئله‌ای که تست نفوذ نشان می‌دهد، ZTNA فعال است و یک رویکرد پیشگیرانه برای مقابله با علت اصلی چرایی رخنه‌ها اتخاذ می‌کند و تضمین می‌کند که سازمان‌ها در اولین تلاش‌ها تست نفوذ را با موفقیت پشت سر بگذارند. چون فرایند شناسایی نمی‌تواند اطلاعات مربوط به شبکه و پشت پورت‌هایی که اکنون بسته هستند را جمع‌آوری کند، آسیب‌پذیری‌ها در پشت پورت‌های بسته قابل‌شناسایی و بهره‌برداری نیستند، و حرکت جانبی بدافزار یا نفوذگر غیرممکن است و در نهایت، اگر مهاجمان نتوانند چیزی را در شبکه سازمانی ببینند، نمی‌توانند داده‌های آن را استخراج یا رمزگذاری کنند.

 

 

مدل بندی محصول:

این محصول دارای 4 مدل اولیه است که در 3 کلاس دسته بندی شده است، برای آشنایی بیشتر با مدل های این محصول با بخش فروش تماس حاصل نمایید.

 

مستندات و فایل های ارائه شده:

 

جهت آشنایی بیشتر با این محصول و کسب اطلاعات کامل تر در زمینه نصب و راه اندازی میتوانید فایل های زیر را دانلود نمایید:

 (برای دسترسی به فایل های زیر باید سطح دسترسی کافی داشته باشید، در غیراینصورت با بخش فروش یا پشتیبانی تماس حاصل نمایید)

راهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTMراهنمای معرفی قابلیت ها (پروپوزال) IPImen ZTNA

راهنمای کاربری محصول IPImen NGFW-UTMراهنمای کاربری محصول IPImen ZTNA

راهنمای نصب و راه اندازی محصول IPImen NGFW-UTMراهنمای نصب و راه اندازی محصول IPImen ZTNA

پرزنت IPImen NGFW-UTMپرزنت معرفی محصول IPImen ZTNA

 

دموی محصول:

جهت مشاهده دموی محصول با بخش فروش تماس حاصل فرمایید.

چاپ ایمیل