ایمن‌سازی لبه شبکه: چارچوبی جامع برای امنیت سایبری مدرن

آیندهٔ امنیت سایبری یعنی دفاع در همه‌جا؛ حفاظت از اینترنت اشیا، ابر و نیروی کار دورکار، مستلزم راهبردی یکپارچه از لبه تا ابر است.

5 ماه قبل 6 دقیقه مطالعه ارسال دیدگاه

محاسبات سازمانی با سرعت بالایی به سمت «لبه» در حال حرکت است. تحلیلگران پیش‌بینی می‌کنند تا سال ۲۰۳۰ بیش از ۱۰۰ میلیارد دلار هزینهٔ سالانه در حوزهٔ edge انجام شود و بخش عمده‌ای از داده‌های سازمانی خارج از دیتاسنترهای سنتی و ابرهای هایپراسکیل تولید و پردازش شود.

این جابه‌جایی با شتاب بیشتری ادامه دارد؛ زیرا اینترنت اشیا (IoT)، هوش مصنوعی (AI)، استقرارهای 5G و فشارهای ناشی از حاکمیت داده باعث شده زیرساخت‌های متمرکز ابری در بسیاری از موارد بیش از حد کند، پرهزینه و حتی در برخی سناریوها ناسازگار با الزامات مقرراتی باشند. پیامدهای این تحول برای معماری امنیت سایبری سازمان‌ها و شیوهٔ کار تیم‌های امنیتی بسیار جدی است.

به گفتهٔ ملایندا مارکس، مدیر حوزهٔ پژوهش در شرکت Omdia، سازمان‌ها به‌دلیل پذیرش AI و گرایش به نگه‌داری داده‌ها در محل (on-premises) برای امنیت بیشتر، به سمت ابر هیبریدی و محاسبات لبه حرکت می‌کنند.

او می‌گوید: «سازمان‌ها همچنان مزایای عدم درگیری با زیرساخت و مدیریت و توسعهٔ cloud-native را می‌خواهند»، اما تأکید می‌کند که امنیت همچنان چالش‌برانگیز است، زیرا هر ارائه‌دهندهٔ خدمات ابری ابزارهای امنیتی متفاوتی ارائه می‌دهد.

ترکیب بارهای کاری و داده‌ها که از ارائه‌دهندگان ابر هایپراسکیل تا سامانه‌های درون‌سازمانی توزیع شده‌اند، تصمیمی معماری است که تحت‌تأثیر مکان، اقتصاد و الزامات مقرراتی گرفته می‌شود. کاربردهایی با نیاز به تأخیر بسیار پایین ــ مانند جراحی از راه دور یا کنترل صنعتی بلادرنگ ــ نمی‌توانند تأخیر رفت‌وبرگشت چندمیلی‌ثانیه‌ای ابرهای متمرکز را تحمل کنند؛ موضوعی که پردازش را به نقاط لبهٔ اپراتوری، میکرو دیتاسنترهای محلی و گیت‌وی‌های هوشمند سوق می‌دهد.

هم‌زمان، حجم عظیم تله‌متری IoT و جریان‌های ویدیویی، انتقال همه‌چیز به AWS یا Azure را پرهزینه می‌کند. فیلترکردن، تجمیع و اجرای inference در مبدأ، هزینه‌های WAN و ذخیره‌سازی مرکزی را به‌طور قابل‌توجهی کاهش می‌دهد.

همین ابر هیبریدی و لبهٔ شبکه که مدام در حال گسترش است، دقیقاً همان محیطی است که معماری SASE (Secure Access Service Edge) برای حفاظت از آن طراحی شده است. به‌جای آن‌که تیم‌های امنیتی ناچار باشند فایروال‌های cloud-native پراکنده، CASBهای منطقه‌ای و تجهیزات درون‌سازمانی با سیاست‌های متناقض را به هم بدوزند، SASE همه‌چیز را در قالب یک پلتفرم واحدِ مبتنی بر هویت یکپارچه می‌کند و یک مجموعه قانون یکسان را صرف‌نظر از محل مبدأ ترافیک اعمال می‌کند.

چالش‌های فنی و مقرراتی SASE

معماری توزیع‌شدهٔ edge، الزامات انطباق پیچیده‌ای را ذیل مقرراتی مانند GDPR اتحادیهٔ اروپا و سایر چارچوب‌های حفاظت از داده ایجاد می‌کند. کشورهای مختلف در حال وضع قوانین سخت‌گیرانهٔ اقامت داده هستند که سازمان‌ها را مجبور می‌کند اطلاعات حساس را به‌صورت محلی پردازش و ذخیره کنند.

وقتی نودهای لبه داده را در چند کشور یا منطقه پردازش می‌کنند، الزامات هم‌پوشان اما متفاوتی به وجود می‌آید. اگرچه پردازش محلی edge از نظر تئوریک با اصول GDPR هم‌راستاست، اما از نظر فنی شکاف‌هایی ایجاد می‌کند: دستگاه‌های لبه با منابع محدود در اجرای رمزنگاری قوی مشکل دارند، کنترل دسترسی غیرمتمرکز فاقد استاندارد واحد است و نودهایی که از نظر فیزیکی در معرض دسترسی‌اند، ریسک نشت داده را افزایش می‌دهند.

این چالش زمانی تشدید می‌شود که داده‌ها باید از نظر قانونی در یک کشور باقی بمانند، اما سازمان به تحلیل و بینش در دفتر مرکزی جهانی نیاز دارد. اطمینان از اینکه دادهٔ حساس هرگز از مرزهای ممنوع عبور نکند و در عین حال دسترسی تجاری مشروع برقرار بماند، مسئله‌ای پیچیده در حاکمیت داده است؛ مسئله‌ای که با سامانه‌های قدیمیِ مبتنی بر معماری‌های cloud-centric سخت‌تر هم می‌شود. از آنجا که فروشندگان SASE صدها نقطهٔ حضور (PoP) در سراسر جهان دارند، ترافیک حساس نودهای لبه در نزدیک‌ترین PoP منطبق خاتمه یافته و بازرسی می‌شود و دادهٔ شخصی از مرزهای ممنوع عبور نمی‌کند.

جان گرِیدی، تحلیلگر ارشد Omdia، می‌گوید: «به همین دلایل، تقریباً هر سازمانی به‌نوعی در حال پیاده‌سازی SASE برای نوسازی ساختار امنیتی خود است.» با این حال، تعداد کمی از سازمان‌ها برنامه‌ای بلندمدت برای استقرار و مدیریت بهینهٔ معماری SASE دارند.

چرا دفاع پیرامونی سنتی برای edge کارساز نیست

لبهٔ شبکه مجموعه‌ای از آسیب‌پذیری‌های معماری و عملیاتی را آشکار می‌کند که امنیت پیرامونی سنتی قادر به پوشش آن‌ها نیست. فایروال‌ها، VPNها و فایروال‌های نسل بعدی بر فرض وجود یک مرز مشخص میان «داخلِ امن» و «خارجِ ناامن» بنا شده‌اند؛ در حالی که نودهای لبه در فروشگاه‌ها، کارخانه‌ها، خودروها، پست‌های برق و محل مشتریان قرار دارند و این مرز را محو می‌کنند.

دیو شَکل‌فورد، بنیان‌گذار و مدیرعامل Voodoo Security، می‌گوید: «مشکل این است که ابزارهای سنتی نمی‌توانند در جایی که کنترل و اعمال سیاست امنیتی رخ می‌دهد ــ یعنی ابر ــ عمل کنند.» او تأکید می‌کند که ۹۵٪ فعالیت روزمرهٔ کارکنان مبتنی بر ابر است و داده‌ها و رفتار کاربران نیز از همان‌جا دیده می‌شود.

فایروال‌ها و VPNهای متمرکز نمی‌توانند آنچه در شبکه‌های دوردست، شعب یا دستگاه‌های لبه‌ای که مستقیماً تحت کنترل نیستند رخ می‌دهد را مشاهده کنند. ارسال ترافیک کارکنان دورکار به یک نقطهٔ متمرکز، توهم پوشش امنیتی ایجاد می‌کند، اما امکان بازرسی ترافیک شبکهٔ خانگی، پایش دستگاه‌های لبهٔ آفلاین یا مشاهدهٔ فعالیت‌های درون محیط‌های ابری را ندارد.

از سوی دیگر، فایروال‌های سخت‌افزاری سنتی ظرفیت ثابتی دارند و برای افزایش ترافیک نیازمند ارتقای پرهزینه‌اند، در حالی که edge به مقیاس‌پذیری پویا نیاز دارد. تلاش برای گسترش ابزارهای قدیمی به ابر و لبه، یا به افت امنیت منجر می‌شود یا به کاهش کارایی ــ دوگانه‌ای که با نیازهای edge سازگار نیست.

نتیجه، معماری امنیتی تکه‌تکه‌ای است: فایروال‌های درون‌سازمانی برای دیتاسنتر، ابزارهای محدود cloud-native برای بارهای کاری ابری و تجهیزات لبه برای شعب؛ با شکاف‌های خطرناک در نقاط اتصال این محیط‌ها.

برچسب:
منبع: Dark Reading