امنیت شبکه برای نیروهای کار از راه دور: مواجهه با چالشهای دسترسی توزیعشده
امکان کار از هر مکانی برای کارکنان امروزه در بسیاری از صنایع به یک استاندارد تبدیل شده است. کارکنان به انعطافپذیری دسترسی به شبکهها و برنامههای شرکت از خانه، کافهها، فرودگاهها و هر جایی دیگر عادت کردهاند.
به عنوان یک مدیر فناوری اطلاعات، باید تعادل دقیقی بین امکان این انعطافپذیری و حفظ تهدیدات سایبری و نقض دادهها ایجاد کنید. و این کار آسانی نیست.
به طور ناگهانی، کارکنان به سیستمها و منابع حساس با استفاده از تلفنهای هوشمند، تبلتها و لپتاپهای شخصی از بیرون دیوار آتش شرکت متصل میشوند. دیگر محیط شبکه به خوبی تعریف نشده است. نقاط دسترسی توزیعشده همه جا وجود دارند، که بسیاری از آنها نیز بر روی شبکههای WiFi امن نشده هستند.
بنابراین، چگونه میتوانید دسترسی از هر کجا را بدون باز کردن دروازهها برای مهاجمان فراهم کنید؟ چگونه اصلا مطمئن میشوید که فردی که از راه دور متصل میشود همان کسی است که ادعا میکند هست؟ به وضوح، نمیتوانیم مدلهای امنیتی قدیمی را که حول محیط سازمانی ایجاد شدهاند استفاده کنیم و انتظار داشته باشیم که در این محیط کاری همهجانبه جدید کار کنند.
استراتژیهایی که به طور منطقی منابع حضوری محافظتشده را به خوبی پوشش میدهند، به نیروی کار امروزی که اول موبایل و مبتنی بر ابر هستند، منتقل نمیشوند. به جای آن نیاز داریم که بازبینی کنیم که امنیت شبکه با استفاده از مفاهیم شناسه، رمزنگاری و صفر اعتماد برای تیمهای توزیعشده چگونه باید باشد.
امنیت شبکه در دنیای مبتنی بر دسترسی از راه دور
امکانپذیر کردن نیروی کار از راه دور توزیعشده در حالی که دادهها ایمن باشند به یک اولویت برتر تبدیل شده است. اما امنیت شبکه امروزه دقیقا چیست؟ هنگامی که محیط شبکه تار میشود، این چگونه وضعیت بازی را تغییر میدهد؟
در اصطلاحات اساسی، امنیت شبکه به سیاستها، کنترلها و فناوریهایی اشاره دارد که برای محافظت از شبکههای شرکتی، دادههای حساس و منابع شبکهای قابل دسترسی در برابر دسترسی غیرمجاز و تهدیدات طراحی شدهاند. این شامل بازرسی ترافیک، کنترلهای دسترسی، محافظتهای نقطه پایانی، رمزنگاری، اطلاعات تهدید و غیره میشود.
برای مدیران شبکه و امنیت، اهداف شامل تسهیل بهرهوری کسب و کار در حالی که ریسک را به حداقل میرسانند، است. با این حال، با دسترسی کارکنان به منابع خارج از شبکه سنتی شرکت، سطح حمله به شدت گسترش یافته است.
حال شما کاربران را دارید که از شبکههای خانگی مدیریت نشده و دستگاههای شخصی، اغلب از طریق VPNها متصل میشوند. این مدل توزیعشده نیاز به بازبینی چگونگی ایمنسازی داراییهای حیاتی و دادههای حساس در محیطهایی که کنترل کامل بر آنها ندارید را میطلبد. چگونه هویتها را تأیید و اعتماد برای تلاشهای دسترسی از راه دور برقرار می کنید؟ چگونه اطلاعات را بعد از برقراری جلسات محافظت میکنید؟ آیا میتوانید فعالیتهای مشکوک را شناسایی کنید؟ در صورتی که شبکههای از راه دور شکست بخورند چه اتفاقی میافتد؟
مواجهه با این چالشها نیاز به یک تغییر پارادایم فراتر از امنیت محیط به سمت معماری صفر اعتماد دارد.
ظهور دسترسی توزیعشده نیاز به یک پارادایم امنیتی جدید دارد
با دسترسی کارکنان به شبکهها از دستگاههای مدیریت نشده و شبکههای خانگی ناشناخته، مواجهه با ریسک بهطور نمایی افزایش مییابد. حالا شما کاربران را دارید که از چندین محیطی که کنترل ندارید متصل میشوند. ذکر این نکته ضروری است که اکثر کارمندان از تلفنهای هوشمند، لپتاپها و تبلتهای شخصی استفاده میکنند که به سیاستهای سختگیرانه فناوری اطلاعات شرکتی شما پیکربندی نشدهاند.
این مدل دسترسی توزیعشده نیازمند رویکرد صفر اعتماد است که به تأیید هویت و احراز چندعاملی برای ایمنسازی هر تلاش اتصال متکی است. اولویت محدود کردن دسترسی به دادهها و حرکت جانبی بر اساس هر جلسه میشود. اگر دستگاه آسیبدیدهای موفق به اتصال شود، هدف شما محدود کردن خسارت است.
خردهپارتیشنبندی، محیطهای تعریفشده توسط نرمافزار و دسترسی خصوصی میتواند تهدیدها را با اجازه دادن به اتصالات مجاز به جای نمایان کردن کل شبکه محدود کند. این فرضیه به این پیشنیاز است که تأیید هویت شما بسیار قوی باشد.
از هویت کاربران و دستگاه شروع کنید
برقرار کردن هویت کاربر معتبر پایهای حیاتی برای ایمنسازی کار از راه دور است. برای تأیید هویتها، از احراز چندعاملی (MFA) قوی برای تایید دسترسی پس از تایید عوامل اضافی مانند بیومتریک یا کدهای یکبار مصرف استفاده کنید. MFA باید هر بار که کاربر به یک منبع متصل میشود نیاز باشد و نباید تایید اعتبار به صورت نامحدود باقی بماند.
همچنین باید دستگاهها را قبل از اجازه دسترسی به شبکه اعتبارسنجی کنید. ابزارهای امنیتی نقطه پایانی مبتنی بر عامل میتوانند مواردی مانند سطح وصلههای امنیتی، ذخیرهسازی رمزنگاریشده، اپلیکیشنهای تاییدشده و مطابقت پیکربندی را قبل از اجازه دسترسی VPN و Wi-Fi بررسی کنند.
پس از تأیید هویتهای کاربر و دستگاه، دسترسی به دادهها را به شدت با استفاده از اصل کمترین امتیاز محدود کنید. کاربران باید فقط به برنامهها، منابع و دادههای خاص مورد نیاز برای نقش دقیقشان دسترسی داشته باشند — نه بیشتر. حقوق نباید از دفتر به خانه منتقل شوند. هر تلاش دسترسی از راه دور را به عنوان یک رویداد امنیتی منحصر به فرد ارزیابی کنید.
راهحلهای امنیتی مبتنی بر ابر برای تیمهای توزیعشده مناسباند
مدلهای امنیت شبکه قدیمی مانند معماریهای هابواسپوکه برای نیروهای کار از راه دور توزیعشده به خوبی ترجمه نمیشوند. به جای اینکه تنها محیط شبکه شرکتی را محافظت کنید، فرض کنید تهدیدات در همهجا وجود دارند. به همین دلیل تغییر به امنیت مبتنی بر ابر ترجیح داده میشود تا سطوح حمله گسترشیافته را محافظت کند.
واسطهای امنیتی دسترسی ابر (CASBها) دید و کنترل بر تمام جلسات راه دور از یک نقطه مرکزی، خواه در محل، میزبانی ابری یا ترکیبی فراهم میکنند. سایر کنترلهای مبتنی بر ابر، مانند حفاظت API، تحلیل بدافزار و پیشگیری از از دست دادن دادهها، نیز به راحتی ادغام میشوند.
سیاستهای امنیتی یکپارچه میتواند در وب، ابر و دسترسی خصوصی اعمال شود تا حفاظت یکپارچه و آگاه به بافت را امکانپذیر سازد. این ابزارهای بومی ابر معمولاً یکپارچگی بدون مشکل با زیرساخت و نرمافزاری که قبلاً در ابر قرار دارد را فراهم میکنند.
بر بهداشت امنیتی و آموزش کاربران تأکید کنید
با وجود این همه اتصالگیریها در خارج از لبههای شبکه شرکتی سابق، کارکنان مسئولیت بیشتری در زمینه امنیت بر عهده دارند. آموزشهای منظم ارائه دهید تا از اشتباهات ساده اما جدی جلوگیری کنند. رمزهای عبور قوی، مرور امن وب، رمزنگاری صحیح دادههای حساس و هوشیاری نسبت به حملات فیشینگ را تشویق کنید.
کارکنان را آموزش دهید تا اسناد چاپشده با اطلاعات حساس را به طور ایمن دفع کنند. نیاز به اجتناب از Wi-Fi های محافظتنشده و نصبهای اضافی اپلیکیشنها را مشخص کنید. تجزیه و تحلیل رفتار کاربران میتواند به شناسایی فعالیتهای مخاطرهآمیز نیازمند آموزش بیشتر کمک کند. یک فرهنگ متمرکز بر امنیت در نهایت بهترین محافظت را فراهم میکند.
حفظ مقاومت و دسترسی بالا
مقاومت و دسترسی شبکه با گرههای راه دور که به شدت به اینترنت عمومی وابسته هستند، دشوارتر میشود. در حالی که مشکلات اتصال اغلب موقتی هستند، قطعیهای بزرگ میتوانند به شدت بهرهوری نیروی کار را کاهش دهند.
به همین دلیل، معماریهای شبکه مقاوم که از راهکارهای SD-WAN با پیوندهای چندی بهرهبرداری میکنند ترجیح داده میشوند. توازن بار ترافیک بر روی اتصالات متنوع میتواند توانایی تحمل شکست را در صورت قطع یک لینک فراهم کند. ارتباط مستقیم با اینترنت از مکانهای شعبه به جای ارسال همه ترافیک از طریق مراکز داده شرکت نیز افزونگی را بهبود میبخشد.
بهینهکردن عملکرد اپلیکیشنهای نرمافزار به عنوان خدمت (SaaS) بر روی مسیرهای چندگانه نیز قابلیت اطمینان را افزایش میدهد. ابزارهای افزونگی نقطهای برای ابزارهای ابری حیاتی که بهطور فعال توسط کارکنان راه دور دسترسی مییابند را بر روی لایه بگذارید.
کلام آخر
اقتصاد کار از هر مکان برای ماندگاری آمده است. این بدان معناست که معماران شبکه و امنیت باید از مدلهای محیط به سمت چارچوبهای صفراعتماد آگاه بافت و مرکزیتها برای دوران ابر تغییر کنند. دسترسی به دادهها و اپلیکیشنها در سطوح متعدد را از طریق تأیید تطبیقی، قوانین کمترین امتیاز، رمزنگاری و تحلیلها محافظت کنید.
در فنآوریهای خودکارسازی، هوش مصنوعی و یادگیری ماشینی سرمایهگذاری کنید تا به مسائل در زمان واقعی پاسخ دهند. پوسچرهای در حال تحول را که نوع دسترسی، حساسیت دادهها، کنترلهای امنیتی موجود و ریسکهای احتمالی کاربران یا نقطههای انتهایی آنها را در نظر میگیرد، حفظ کنید.
در حالی که چالش سخت است، راهکارها و فنآوریها امروزه وجود دارند تا به تیمهای توزیعشده اجازه دهند به طور ایمن همکاری و نوآوری کنند. کارکنان میتوانند با استفاده از دستگاهها، شبکهها و خدمات ابری که برایشان مناسبتر است، بهرهوری خود را حفظ کنند بدون اینکه داراییهای شرکت به خطر بیفتد. انعطافپذیری امنی را که کارکنان راه دور در محیط کاری مدرن انتظار دارند، فراهم کنید.
