طرح جامع

اکوسیستم امن شبکه‌های سازمان

 

تهیه شده در:

دپارتمان شبکه و امنیت زیرساخت

 

به نام خداوندی که به ما تعقل، تفکر و علم قلم آموخت.

 

 

امروزه پدافند غیرعامل برای ما مهم است. بخش‌هایی دارند انجام می‌دهند اما در عین حال، باز بایستی کار کرد، تلاش کرد.

مقام معظم رهبری حضرت آیت الله العظمی خامنه‌ای (دامت برکاته)

 

فصل اول- مقدمه

زیرساخت‌های هر کشور از بسترهای اصلی رشد و تعالی آن بشمار رفته و نقشی اساسی در حفظ و ارتقاء منافع ملی دارند. کوچکترین اختلال عمدی و غیرعمدی می تواند به ضررهای جبران ناپذیری منتهی گشته و آسایش، امنیت و اعتماد کاربران آن حیطه را مختل نماید. باید اذعان داشت که حفظ امنیت این بخش در برابر تهدیدات داخلی و خارجی از برنامه‌های اصلی هر سازمان و ارگان مربوطه می‌باشد.

تجربه‌ی سال‌های گذشته حاکی از این امر است که تهدیدهای دشمنان از حملات نظامی به سوی تخریب و اتک زیرساخت‌های سازمان‌ها از جمله بخش فناوری اطلاعات و ارتباطات معطوف شده است. که از آن جمله می‌توان به آلوده‌سازی نیروگاه‌های اتمی نظنز و بوشهر به ویروس استاکسنت  (Stuxnet)و از کار انداختن سیستم کنترل نیروگاه، حمله سایبری به وزارت نفت، حمله سایبری و اختلال در صدا و سیما و شهرداری و… اشاره کرد. این مشکلات از دید مسئولین و قانونگذاران کشور دور نمانده و همواره تأکید ویژه‌ای بر امن‌سازی فضای فناوری اطلاعات کشور داشته‌اند. سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) کشور و قوانین مصوب در قالب برنامه‌های پنج ساله توسعه، به منظور حمایت و گسترش خدمات امنیت فضای تولید و تبادل اطلاعات (افتا) در کشور نمونه بارز این امر است که به موضوع امن‌سازی زیرساخت‌های حیاتی کشور در مواجه با حملات سایبری در بخش فناوری اطلاعات پرداخته است.

خوشبختانه کشور عزیزمان ایران، نیروهای متخصص ارزنده‌ای در این حیطه پرورش داده که تخصصی هم‌پایه رقبای بین‌المللی خود (و گاهاً بیشتر) داشته و با بکارگیری بهینه از این ظرفیت ملی و سازماندهی این شرکت‌های توانمند می‌توان در زمینه ارائه خدمات افتا به سازمان‌های دولتی و خصوصی همت گماشته و سطح امنیت زیرساخت سایبری کشور را به بهترین وجه ارتقاء دهیم.

 

 

فصل دوم – معرفی طرح:

واحد فناوری اطلاعات هر سازمانی از چندین مولفه تشکیل یافته است که عبارتند از:

الف) نیروی انسانی – نیروی انسانی واحد فناوری اطلاعات شامل مدیران و کارشناسان این واحد می‌باشند و در سطوح مختلف، مجوز نظارت، کنترل و مدیریت سایر مولفه‌های واحد فناوری اطلاعات را دارند.

ب) کاربران – کاربران شامل تمامی افرادی می‌باشد که به هر شکل (محلی / راه دور) امکان استفاده از سرویس‌ها و سامانه‌های سازمان را دارند.

ج) نقاط پایانی – نقاط پایانی شامل تمامی سیستم‌های کامپیوتری کاربران و سرورها که بصورت ماشین‌های مجازی یا بصورت فیزیکی راه‌اندازی شده‌اند می‌شود که مبدا یا مقصد جریان ترافیکی شبکه سازمانی می‌باشند.

د) زیرساخت فیزیکی– زیرساخت فیزیکی یا بستر فیزیکی شامل تمامی تجهیزات زیرساخت شبکه از جمله مسیریاب‌ها، سوئیچ‌ها، کابل‌های شبکه‌، کارت شبکه و … می‌باشد که ارتباطات مابین نقاط پایانی شبکه سازمان با یکدیگر و ارتباط با خارج از سازمان را فراهم می‌آورند.

واحد فناوری اطلاعات با داشتن این مولفه‌ها همانند یک اکوسیستم زنده می‌باشد که نیازمند نگهداری، پشتیبانی و امنیت می‌باشد.

در این طرح هدف تامین امنیت این اکوسیستم می‌باشد که جهت برقراری امنیت آن، بایستی امنیت تمامی مولفه‌های تشکیل دهنده این اکوسیستم، و حتی امنیت ارتباطات مابین مولفه‌های آن تامین گردد. به عنوان مثال: تامین امنیت نقاط پایانی مانند نصب آنتی‌ویروس بر روی سیستم کاربران و ماشین‌های مجازی، به تنهایی به هیچ عنوان نمی‌تواند ضامن امنیت کل اکوسیستم باشد، یا صرف جداسازی اینترنت از شبکه داخلی سازمان نمی‌تواند پاسخ‌گوی دغدغه‌های مدیران سازمان باشد، چرا که هیچ نظارت و کنترلی بر روی فایل‌ها و داده‌های در جریان وجود ندارد، لذا در بحث امنیت، واحد فناوری اطلاعات سازمان به مثابه اکوسیستم زنده و پویا می‌باشد و بایستی امنیت تمامی مولفه‌های آن تامین گردد.

در این اکوسیستم از لحظه ایجاد بسته (Packet) در یک نقطه پایانی یا از لحظه ورود بسته از بیرون سازمان به داخل شبکه، بسته، تحت نظارت و کنترل ابزارها و سرویس‌های امنیتی متعدد قرار می‌گیرد تا چنانچه تهدیدی برای امنیت سایبری سازمان باشد بلافاصله پروتکل‌های امنیتی از جمله قرنطینه نمودن ماشین مجازی و قطع ارتباطات آن با سایر نقاط پایانی در دستور کار قرار گیرد.

این طرح از سه ویژگی بارز زیر برخوردار می‌باشد:

الف) استفاده از ابزارهای کارآمد و توانمند مانند Browser Isolation جهت جداسازی اینترنت از شبکه داخلی سازمان و محصولات vRealize Operation جهت نظارت بر عملکرد ماشین‌های مجازی و سرورها

ب) دارا بودن هوش یادگیری که به موجب آن رفتار نقاط پایانی بخصوص ماشین‌های مجازی سامانه‌ها و سرویس‌های سازمانی را مورد تجزیه و تحلیل قرار می‌دهد و چنانچه نقطه پایانی، رفتاری نامتعارف از جمله ارسال ترافیک بیش از حد نرمال داشته باشد اقدامات امنیتی را در دستور کار قرار می‌گیرد.

ج) در این طرح تمامی مراحل نظارت، کنترل و اجرای پروتکل‌های امنیتی کاملا بصورت مکانیزه انجام می‌شود، در واقع ساختار شبکه و مرکز داده سازمان اتوماسیون‌سازی می‌شود و تنها وظیفه مدیران و کارشناسان واحد فناوری اطلاعات، آشنائی و تسلط کامل به سامانه‌ها و سرویس‌های سازمانی و نحوه ارتباطات فی مابین آنهاست و در نهایت تعریف پروتکل‌های امنیتی مورد نظر خود می‌باشد.

از جمله اهداف اکوسیستم امن شبکه سازمان شامل موارد زیر می‌باشد:

  • اطمینان از ایمنی زیرساخت فناوری اطلاعات و ارتباطات سازمان در برابر حملات سایبری
  • همسوسازی اهداف و راهبردهای فناوری اطلاعات و ارتباطات با اهداف و استراتژی‌های سازمان
  • اطمینان از کارائی و اثربخشی سرمایه‌گذاری‌ها و فعالیت‌های فناوری اطلاعات و ارتباطات سازمان
  • بهینه‌سازی سرمایه‌گذاری سازمان در حوزه امنیت فناوری اطلاعات و ارتباطات
  • برنامه‌ریزی بلند مدت برای بکارگیری هدفمند فاوا در سازمان

 

 

فصل سوم: روند اجرای طرح

در طرح «اکوسیستم امن شبکه سازمان» چرخه حیات امنیت شبکه از چهار مرحله تشکیل شده است که عبارتست از:

الف) برنامه ریزی

ب) طراحی

ج) پیاده‌سازی و بهره‌برداری

د) بهینه‌سازی

که با توجه به مراحل طرح، اجرای طرح در قالب 4 گام به شرح زیر خواهد بود:

3-1- گام اول: ارزیابی و تحلیل وضعیت موجود واحد فناوری اطلاعات و ارتباطات

هدف از انجام این مرحله شناخت وضعیت موجود و ارزیابی سطح بلوغ فناوری اطلاعات و ارتباطات سازمان و بررسی سطح امنیتی آن می‌باشد. لذا در همین راستا، واحد فناوری اطلاعات و ارتباطات از ابعاد زیر بایستی مورد ارزیابی قرار گیرد:

3-1-1- ارزیابی سامانه‌های نرم‌افزاری

در این ارزیابی، سرویس‌ها و سامانه‌های سازمان که خود دارای چندین ماشین مجازی یا سرور از جمله SQL Server، Web Server و … می‌باشند مورد ارزیابی و تحلیل قرار می‌گیرند تا ارتباطات فی‌مابین ماشین‌های مجازی سامانه‌ها و ارتباط آن‌ها با سایر نقاط پایانی شناسائی شده و محدوده ارتباطات و دسترسی‌ها تعیین می‌گردد. این مرحله در اصل بخش‌بندی سامانه‌ها و سرویس‌های سازمان و تعیین محدودیت ارتباطات و سطح دسترسی هر کدام از آنها به سایر سرویس‌ها و سامانه‌ها یا هر کدام از نقاط پایانی می‌باشد.

3-1-2- ارزیابی سرویس‌های زیرساختی، تجهیزات، شبکه و ارتباطات

در این ارزیابی، زیرساخت فیزیکی، نحوه ارتباط مابین ساختمان‌ها، شعبات، تجهیزات مورد استفاده، پیکربندی‌های مسیریابی و سوئیچینگ، پهنای باند موجود شناسائی شده و پیشنهادات فنی و تخصصی جهت بهبود عملکرد ساختار متناسب با ماهیت اکوسیستم امن شبکه سازمان ارائه می‌گردد.

3-2- طراحی اکوسیستم امن شبکه سازمان

پس از شناسائی و ارزیابی مولفه‌های اکوسیستم، مطابق با نیازمندی‌های اکوسیستم امن شبکه سازمان، تمامی سرویس‌ها، نرم‌افزارها و ابزارهای لازم برآورد شده و زیرساخت فیزیکی مورد نیاز هر کدام از این سرویس‌ها و نرم‌افزارها محاسبه می‌شود. برخی از سرویس‌های کاربردی عبارتند از:

  • سرور اختصاصی و ایزوله D&U
  • سرور اختصاصی و ایزوله مرورگرهای استاندارد
  • سرور اختصاصی و ایزوله اینترنت
  • سرویس اختصاصی Browser Isolation
  • سرویس Accounting اختصاصی
  • سرویس DNS Cache اختصاصی
  • سیستم Zero Trust
  • سرویس Log Management
  • سیستم DMZ Anywhere
  • سرویس vRealize Operation
  • سرویس VMware NSX-T

3-2- پیاده‌سازی و بهره‌برداری اکوسیستم امن شبکه سازمان

پیاده‌سازی اکوسیستم شامل سه مرحله می‌باشد:

3-2-1- بهینه‌سازی ساختار فعلی – بر اساس طراحی اکوسیستم بدست آمده از مرحله، ساختار فعلی متناسب با اکوسیستم بهینه‌سازی خواهد شد.

3-2-2- تامین تجهیزات – بر اساس سرویس‌ها و ابزارهای بدست آمده در مرحله طراحی، تجهیزات مورد نیاز برآورد شده و تامین می‌گردد.

3-2-3- پیاده‌سازی اکوسیستم – پس از بهینه‌سازی زیرساخت شبکه فعلی و تامین تجهیزات مورد نیاز، اکوسیستم امن شبکه سازمان پیاده‌سازی می‌شود که دارای ساختار زیر خواهد بود:

  • سرور Temporary، ایزوله و اختصاصی D&U
  • سرور Temporary، ایزوله و اختصاصی مرورگرهای استاندارد
  • جداسازی جریان ترافیک اینترنت از شبکه سازمان
  • نظارت و کنترل محتوایی داده‌های دانلودی وآپلودی کاربران
  • تعریف، نظارت، کنترل و مدیریت Transport Node و Transport Zone
  • نظارت و کنترل ترافیک North/South و East/West
  • نظارت و کنترل از لایه 2 تا 7 سرورها
  • پیاده‌سازی سیستم Accounting اختصاصی
  • پیاده‌سازی Ruleهای User Base و Filter Base
  • پیاده‌سازی سرویس DNS Cache اختصاصی
  • پیاده‌سازی Policyهای امنیتی تمامی سرویس‌های پیاده‌سازی شده
  • پیاده‌سازی Ruleهای اختصاصی برای log گیری‌های مختلف از connection‌های اینترنتی کاربران
  • پیاده‌سازی و پیکربندی سیستم کنترلی و نظارتی بر تمامی Flow ترافیکی
  • پیاده‌سازی Identity Firewall در سطح E/W و N/S
  • پیاده‌سازی Rule های هوشمند جهت قرنطینه‌سازی ماشین مجازی آلوده
  • پیاده‌سازی سیستم نظارتی و کنترلی بر روی Guest OS های دیتاسنتر
  • پیاده‌سازی سیستم Log Management و سیستم آنالیز عملیاتی VMها
  • پیاده‌سازی سیستم Zero Trust
  • پیاده‌سازی سیستم DMZ Anywhere

3-3- بهینه‌سازی اکوسیستم

با توجه به اینکه این اکوسیستم دارای هوش یادگیری می‌باشد، پس از پیاده‌سازی آن، سیستم در ضمن تامین امنیت ساختار واحد فناوری اطلاعات سازمان، در حالت یادگیری قرار می‌گیرد تا رفتار نقاط پایانی و ماشین‌های مجازی، حجم و میزان جریان ترافیک شبکه حتی نسبت به روزهای هفته را یاد بگیرد، این یادگیری به ارائه پیشنهادات جهت بهبود و ارتقاء امنیت از طرح اکوسیستم به مدیران واحد فناوری اطلاعات سازمان منجر می‌شود و کمک شایانی به مدیران می‌کند تا دید جامع‌تری از ساختار شبکه سازمان و حتی جریان ترافیک آن داشته باشند.