امنیت دیتاسنترها بسیار حائز اهمیت است زیرا این مراکز سروری برای ذخیره و پردازش دادههای حساس و اطلاعات حساب کاربری در سازمانها و شبکههای بزرگ استفاده میشوند. دیتاسنترها نقش مهمی در حفظ امنیت و عملکرد صحیح شبکهها دارند و تاثیر قابل توجهی بر عملکرد سازمانها دارند. در زیر به برخی از نقشهای دیتاسنترها در شبکه و اهمیت امنیت آنها میپردازیم:
۱. ذخیرهسازی اطلاعات: دیتاسنترها برای ذخیرهسازی دادهها و اطلاعات سازمانها استفاده میشوند. این اطلاعات ممکن است شامل اطلاعات کاربران، فایلها، پایگاهدادهها و سایر موارد مربوط به عملکرد سازمان باشند. به همین دلیل، امنیت دیتاسنترها بسیار حائز اهمیت است تا از دسترسی غیرمجاز و سوء استفادههای احتمالی جلوگیری شود.
۲. پردازش دادهها: دیتاسنترها نقش مهمی در پردازش دادهها دارند. زمانی که دادهها به دیتاسنتر ارسال میشوند، فرآیندهای پردازشی از جمله تحلیل، محاسبه و استخراج اطلاعات از دادهها انجام میشوند. امنیت دیتاسنترها در این مرحله بسیار حائز اهمیت است تا اطلاعات حساس در حین پردازش محافظت شوند.
۳. ارائه خدمات شبکه: دیتاسنترها نقشی بسیار مهم در ارائه خدمات شبکه دارند. آنها میزبان سرورها، تجهیزات شبکه و سرویسهای مختلفی هستند که برای ارتباطات داخلی و خارجی سازمان استفاده میشوند. امنیت دیتاسنترها در این مورد باعث حفاظت از ارتباطات شبکه و اطمینان از عملکرد صحیح شبکه میشود.
۴. حفظ کنترل دسترسی: دیتاسنترها باید کنترل دسترسی به دادهها و سیستمها را برقرار کنند. نقش اصلی این مراکز در این زمینه، اجازه دسترسی مجاز به افراد و دستگاههای مجاز و جلوگیریاز دسترسی غیرمجاز و نقض امنیت سیستمها است. برای این منظور، از روشهای احراز هویت، کنترل دسترسی، رمزنگاری و سایر فناوریهای امنیتی استفاده میشود.
۵. پشتیبانی و بهرهوری: دیتاسنترها نقش مهمی در پشتیبانی و بهرهوری شبکهها دارند. آنها باید قادر باشند تا در صورت بروز خطا یا اختلال در سرویسها، به سرعت و بازیابی دادهها و سیستمها، بهرهوری شبکه را برقرار کنند. بنابراین، امنیت دیتاسنترها در این زمینه نقش حیاتی دارد تا از از دست رفتن دادهها و خسارات احتمالی جلوگیری شود.
به طور کلی، امنیت دیتاسنترها برای حفاظت از دادهها، حفظ عملکرد صحیح شبکه و جلوگیری از حملات سایبری بسیار حائز اهمیت است. برای ایجاد امنیت در دیتاسنترها، از تکنولوژیهای رمزنگاری، جداسازی شبکه، نظارت و کنترل دسترسی مورد استفاده قرار میگیرد. همچنین، باید به روزرسانیهای امنیتی منظم، آموزش کارکنان و پیادهسازی روشهای پیشگیری و پاسخگویی به حملات سایبری توجه شود.
برای جلوگیری از حملات سایبری در دیتاسنترها، میتوان اقدامات امنیتی زیر را انجام داد:
1. استفاده از روشهای رمزنگاری: از رمزنگاری برای محافظت از دادهها در طول انتقال و در ذخیرهسازی استفاده کنید. استفاده از پروتکلهای امن انتقال داده مانند HTTPS برای ارتباطات شبکه و استفاده از رمزنگاری برای ذخیرهسازی دادهها میتواند در جلوگیری از دسترسی غیرمجاز به اطلاعات کمک کند.
2. ایجاد کنترل دسترسی محکم: تعیین سطوح دسترسی و اجرای کنترل دسترسی محکم برای سیستمها و دادهها در دیتاسنتر بسیار مهم است. فقط کاربران و دستگاههای مجاز باید به منابع دسترسی داشته باشند و نیاز به احراز هویت قبل از دسترسی داشته باشند. همچنین، اصول حداقل مجازیت (principle of least privilege) را رعایت کنید، به این معنی که هر کاربر و دستگاه فقط دسترسی لازم برای انجام وظایف خود را داشته باشد.
3. نظارت و آشکارسازی تهدیدات: استفاده از سیستمهای نظارت و آشکارسازی تهدیدات (Intrusion Detection and Prevention Systems) که به صورت مداوم فعالیتها و ترافیک شبکه را مانیتور میکنند و هرگونه فعالیت مشکوک یا نامتعارف را تشخیص میدهند، میتواند در شناسایی حملات سایبری و جلوگیری از آنها مفید باشد. این سیستمها میتوانند از الگوریتمهای تشخیص نفوذ (Intrusion Detection Algorithms) استفاده کنند و به صورت اتوماتیک و بر اساس الگوهای شناخته شده، تهدیدات را تشخیص دهند و برخورد مناسب را انجام دهند.
4. بهروزرسانی و مدیریت پچها: اطمینان حاصل کنید که سیستمها و نرمافزارهای مورد استفاده در دیتاسنترها بهروزرسانی شده و دارای آخرین پچها و بهروزرسانیهای امنیتی هستند. آسیبپذیریهای نرمافزاری ممکن است توسط هکرها بهرهبرداری شوند، بنابراین بهروزرسانی منظم و مدیریت پچها بسیار مهم است.
5.توسعه و پیادهسازی یک طرح بزرگ امنیتی: ایجاد یک طرح جامع امنیتی برای دیتاسنتر شامل مواردی مانند سیاستها و رویههای امنیتی، آموزش کارکنان، مدیریت ریسک، مداومت عملیات، پشتیبانی از بازیابی بعد از حادثه (Disaster Recovery) و پشتیبانی از پایگاه دادهها (Backup) است. این طرح باید به طور مداوم بروزرسانی و ارزیابی شود و با تغییرات محیطی و تهدیدات جدید همگام شود.
6. ایجاد یک سیاست امنیتی قوی: تعیین یک سیاست امنیتی که برای همه کارکنان و کاربران دیتاسنتر الزامی باشد، میتواند در جلوگیری از حملات سایبری مفید باشد. این سیاست باید مواردی مانند ایمنی رمز عبور، استفاده از نرمافزارهای امنیتی، ممنوعیت اتصال دستگاههای ناشناخته به شبکه و آموزش کارکنان در خصوص امنیت را پوشش دهد.
7. آموزش کارکنان: آموزش کارکنان در خصوص مفاهیم امنیت سایبری، شناسایی فایلها و ایمیلهای مشکوک، روشهای حفاظت از رمزها و اطلاعات حساس، و گزارش دادن از تهدیدات امنیتی میتواند اهمیت بالایی در جلوگیری از حملات سایبری داشته باشد. کارکنان باید آگاهی کافی در خصوص مسائل امنیتی داشته باشند و باید به منظور رعایت اصول امنیتی در کارهای روزمره آموزش داده شوند.
8. بررسی و ارزیابی امنیتی: بررسی و ارزیابی دورهای امنیت دیتاسنتر میتواند به شناسایی نقاط ضعف و آسیبپذیریهای احتمالی کمک کند. از طریق آزمون نفوذ (Penetration Testing)، بررسی آسیبپذیریها و ارزیابی امنیتی سیستمها و شبکهها میتوانید بهبودهای لازم را اعمال کنید.
9. پشتیبانی از بازیابی بعد از حادثه: ایجاد یک طرح پشتیبانی و بازیابی بعد از حادثه (Disaster Recovery Plan) برای دیتاسنتر بسیار مهم است. این طرح شامل فرایندها، فناوریها
برای محافظت از تهدیدات سایبری و بهبود امنیت شبکه در سازمان خود، میتوانید اقدامات زیر را انجام دهید:
1. ارزیابی ریسک: ابتدا باید تهدیدات امنیتی محتمل را شناسایی کنید و ارزیابی ریسک امنیتی انجام دهید. این فرایند شامل بررسی ضعفها و آسیبپذیریهای موجود در شبکه شما است.
2. استفاده از رمزنگاری: استفاده از رمزنگاری برای محافظت از اطلاعات محرمانه و حساس در شبکه بسیار مهم است. از رمزنگاری قوی برای ارتباطات شبکه، فایلها، دادهها و رمز عبور استفاده کنید.
3. بهروزرسانی نرمافزارها و سیستمعامل: اطمینان حاصل کنید که تمامی نرمافزارها و سیستمعاملهای استفاده شده در شبکه بهروزرسانی شده و آخرین آپدیتها و بهبودهای امنیتی را دارند. این کار میتواند ضعفها و آسیبپذیریهای موجود را کاهش دهد.
4. استفاده از راهکارهای تشخیص و پیشگیری از نفوذ: نصب و پیکربندی سیستمهای تشخیص نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) میتواند به شناسایی و جلوگیری از حملات و نفوذهای سایبری کمک کند.
5. رمزنگاری ارتباطات شبکه: استفاده از پروتکلهای امنیتی مانند TLS/SSL برای رمزنگاری ارتباطات شبکه استفاده شده در سازمان، از همزمانی و تهدیدات مربوط به امنیت شبکه جلوگیری میکند.
6. آموزش کارکنان: آموزش کارکنان درباره مسائل امنیتی و رفتارهای امنیتی در استفاده از شبکه بسیار مهم است. آنها باید آگاهی کافی در مورد رمزنگاری، رمز عبور قوی، ایمیلهای پیشرفته و پیامرسانهای امن داشته باشند.
7. ایجاد سیاستهای امنیتی: تعیین سیاستهای امنیتی قوی برای سازمان و اجرای آنها از اهمیت بالایی برخوردار است. این سیاستها شامل ایجاد رمز عبور قوی، محدودیت دسترسی، مدیریت منابع شبکه و نگهداری پشتیتدام دادهها و سیستمهای موجود در شبکه است.
8. پشتیبانی و بازیابی: باید راهحلهای پشتیبانی و بازیابی قوی را برای مواقع حملات سایبری و خرابی سیستم در نظر بگیرید. ایجاد نسخه پشتیبان از دادهها و سیستمها، تعیین سیاستهای بازیابی و اجرای تستهای بازیابی منظم میتواند در مواقع بحرانی به شما کمک کند.
9. پیگیری و نظارت مداوم: باید فعالیتها و رویدادهای شبکه را به طور مداوم پیگیری کرده و نظارت داشته باشید. استفاده از سیستمهای نظارت شبکه (Network Monitoring) و سیستمهای تشخیص تهدیدات (Threat Detection) میتواند به شناسایی زودهنگام تهدیدات و حملات کمک کند.
10. اجرای سیستمهای حفاظت در لایههای مختلف: استفاده از (Firewalls)، سیستمهای تشخیص تهدیدات و پیشگیری از نفوذ (Intrusion Prevention Systems)، سیستمهای مدیریت دسترسی (Access Management Systems) و سیستمهای ضد ویروس (Antivirus Systems) در لایههای مختلف شبکه میتواند امنیت شبکه را بهبود بخشد.
11. آزمایشهای امنیتی: اجرای تستهای امنیتی، مانند تست نفوذ (Penetration Testing) و تست آسیبپذیری (Vulnerability Testing)، میتواند ضعفها و نقاط ضعف امنیتی را در شبکه شناسایی و بهبود بخشد.
12. همکاری با تیمهای امنیتی: در صورت امکان، همکاری با تیمهای امنیتی داخلی یا خارجی را در نظر بگیرید. آنها میتوانند به شما در شناسایی و رفع تهدیدات سایبری کمک کنند و به روزرسانیهای امنیتی را پیشنهاد دهند.
13. مدیریت دسترسی: مدیریت دسترسی به سیستمها و منابع شبکه، از جمله نقاط اتصال، کارتهای شبکه و دستگاهها، بسیار مهم است. فقط افراد مجاز باید به اطلاعات و منابع حساس دسترسی داشته باشند.
14. پشتیبانی از سیاستهای امنیتی در بستر فیزیکی: بهطور مثال، اطمینان حاصل کنید که کابلها و دستگاههای شبکه در مکانهای مناسب و محافظت شده قرار دارند
شبکه های سازمانی مدام در حال تغییر از ساختار قدیمیِ hub-and-spoke به hybrid IT می باشند. و اما تنها فاکتوری که همچنان ثابت باقی مانده، جدایی ناپذیر بودنِ دیتاسنترها از سازمان های مدرن می باشد. به طور کلی دیتاسنترها، از اپلیکیشن ها، کاربران و تجهیزات پشتیبانی می کنند؛ بنابراین بدیهی است که تامین امنیت آن ها دشوارتر باشد. فایروال های نسل جدید یا همان NGFWها که مسئولِ تامین امنیت مراکز داده هستند، می بایست از قابلیت های رده بالا برخوردار بوده و threat protection را به طور جامع و گسترده تری در کل زیرساخت ها ارائه دهند. ضمنا این اطمینان باید حاصل شود که زیرساخت های فناوری اطلاعات، از جمله دیتاسنترها و همین طور راهکارهای امنیت شبکه به گونه ای عمل می کنند که با صرفه جویی در مصرف انرژی، اثرات زیست محیطی را به حداقل برسانند.
این در حالی است که فایروال های جدید فورتی گیت؛ FG-3200F و FG-900G به طور خاص طراحی و ساخته شده اند تا به نیازهای امنیتی مراکز داده ی مدرن و محیط های hybrid پاسخ دهند. آن ها با ادغام خدمات امنیتی مبتنی بر هوش مصنوعی و عملکرد بی نظیر و بهینه این کار را انجام می دهند. فورتی گیت های مدل FG-900G و FG-3200F نیز مانند سایر FortiGate NGFWها از مدیریت متمرکز و یکپارچه برای محافظت از hybrid IT و hybrid mesh firewall پشتیبانی می کنند.
شکل1- نحوه محافظت از یک محیط ترکیبی توسط Hybrid Mesh firewall
لازم به ذکر است امروزه سیاست سازمان ها از اتخاذ راهکار تک فایروالی برای محافظت از کل ترافیک شبکه تغییر کرده است. آن ها دیگر فایروال های NGFW را به منظور بازرسی ترافیک های مختلف مانند محیط های ابری و یا شبکه های OT انتخاب می کنند.
ضمن اینکه ساختار فایروال های hybrid mesh به گونه ای است که قدرت محافظتِ NGFW را فراتر از دیتاسنترها برده و شبکه های campus، شعب سازمانی، شبکه های OT، محیط های کلود و به طور کلی لوکیشن های خارج سازمانی را نیز پشتیبانی می کنند تا با ارتقا امنیت سازمانی، سطح حملات را هرچه کمتر کنند. بر اساس گزارش گارتنر، 60 درصد از سازمان ها تا سال 2026 از لایه های فایروالی متعددی در استراتژی امنیتی خود استفاده خواهند کرد که این امر به “به کارگیری hybrid mesh firewall” خواهند انجامید.
به لطفِ سیستم عامل انحصاری FortiOS، فایروال های نسل جدید فورتی گیت به طور اختصاصی به پشتیبانی از ساختار hybrid mesh firewall می پردازند که امنیتی مبتنی بر AI و همین طور عملکردی بهینه را ارائه می دهند. از طرفی کلیه ی فایروال های فورتی گیت قادر به یکپارچگی با FortiManager بوده تا علاوه بر ارتقا اتوماسیون، بتوان کنترل بهتر و ساده تری بر روی تمامیِ form factorهای فایروال اعم از سخت افزاری، مجازی، کلود و همین طور Firewall-as-a-Service داشت.
فایروال های فورتی گیت FG-3200F به طور خاص برای دیتاسنترهای بزرگ طراحی شده اند که در مقایسه با محصول مشابه سایر برندها، 4 برابر firewall throughput بیشتر، 4.7 برابر SSL Inspection throughput بیشتر و 3.5 برابر IPsec VPN throughput بیشتر ارائه می دهند؛ این در حالی است که 72 درصد مصرف انرژی پایین تری دارند. از چهار اینترفیس 400GE برخوردار بوده که به مدیریت ترافیک های پرحجم کمک می کند. در ضمن از 800.000 کانکشن همزمان پشتیبانی می کنند، بنابراین می توان ظرفیت و منابع دیتاسنتر را طوری تنظیم نمود که با نیازهای تجاری، هماهنگ باشد.
فورتی گیت مدل FG-900G نیز با ارائه عملکرد مناسب برای دیتاسنترها، استاندارد صنعتی جدیدی را تعریف کرده است. این تجهیز که در فرم فاکتور 1U عرضه شده در مقایسه با میانگین صنعتی، 6 برابر firewall throughput بیشتر، 5 برابر IPsec VPN throughput بیشتر، سه برابر threat protection throughput بیشتر (20 Gbps) ارائه داده و بهره وری و امنیت بهینه را برای سازمان شما تضمین می کند.
FortiGate 3200F series
فایروال های فورتی گیت مدل FG-3200F و FG-900G به واسطه ی برخورداری از پردازنده های اختصاصی امنیت (SPU) از دیتاسنترها به بهترین نحو ممکن محافظت نموده و در عین حال در مقایسه با سایر محصولاتِ این صنعت، بهره وری انرژی بالاتری دارند. این امر به انتخاب تیم شبکه کمک فراوانی می کند، زیرا صرفه جویی انرژی برای آن ها یک اولویت مهم است.
اگر بخواهیم جزیی تر نگاه کنیم باید بگوییم مصرف انرژی در SPUهای فورتی گیت در مقایسه با CPUهای استاندارد موجود در سایر فایروال ها به طور میانگین 88 درصد کمتر انرژی مصرف می کنند. میزان مصرف انرژی در دو مدل مذکور به طور خاص تری مورد توجه قرار گرفته، به طوری که می توان گفت FG-3200F 4.6 برابر کمتر از استاندارد صنعتی و FG-900G 6.6 برابر کمتر مصرف انرژی دارند.
این SPUها با مدیریت کارآمدِ وظایفِ resource-intensive و آزاد سازی CPU اصلی، تمرکز را به سوی عملکرد بهینه و روانِ شبکه سوق می دهد، حتی در شرایطی که شبکه با ترافیک های بسیار سنگین روبرو می باشد. از وظایفِ resource-intensive می توان به “فایروالینگ”، “SSL/TLS inspection”و همین طور “IPS” اشاره نمود.
در جدول زیر مقایسه ای بین برترین فایروال های موجود در بازار شبکه با فایروال های FortiGate 3200F و FortiGate 900G انجام شده است. رتبه بندی پردازش امنیتی، معیاری است که متریک های مختلف عملکرد فورتی گیت را با محصولات مشابه که در رده قیمتی یکسانی نیز قرار دارند، مقایسه می کند. در ضمن متریک های power و heat (BTU) نیز برای محصولات رقبا گنجانده شده تا بهره وری واقعی این دو فورتی گیت را نشان دهد.
عملکرد بی نظیر و خدمات امنیتی جامعی که توسط FortiGate 3200F و FortiGate 900G ارائه می شود، تنها محدود به این دو مدل نیست، بلکه به کل خانواده FortiGate NGFW تعمیم داده می شود. همان طور که در 2022 Gartner® Magic Quadrant™در بخش Network Firewalls و همچنین 2022 The Forrester Wave در بخش Enterprise Firewalls آمده، جمعی از تحلیلگران و متخصصان صنعت امنیت سایبری، فورتی نت را در حوزه های مذکور برتر می دانند و عنوان leader را به وی اعطا کرده اند.
البته افتخارات FortiGate NGFW باز هم فراتر رفته و موفق شده رتبه Recommended را توسط CyberRatings.org در آخرین گزارش فایروالهای سازمانی در سال 2023 دریافت کند. فایروال های فورتی گیت امتیاز اثربخشی 99.88 درصد و رتبه AAA را در دسته های مختلف آزمایشی به دست آورده و به دلیل ارائه بالاترین ROI در میان فروشندگان اصلی فایروال، به شدت مورد توجه قرار گرفته اند.
با توجه به پیچیدگی روزافزونِ حملات سایبری در دنیای امروزه، فورتی گیت های 3200F و 900G به عنوان گزینه ای بی رقیب در زمینه ی تامین امنیت زیرساخت های شبکه، وارد میدان شده اند. آن ها با مدیریتی متمرکز در قالب یک راهکار hybrid mesh firewall به سازمان ها این امکان را می دهند که همواره از داده های ارزشمند خود محافظت نموده و در عین حال از آپتایم شبکه اطمینان حاصل کنند.