دیتا سنتر و امنیت آن ها در شبکه

امنیت دیتاسنترها بسیار حائز اهمیت است زیرا این مراکز سروری برای ذخیره و پردازش داده‌های حساس و اطلاعات حساب کاربری در سازمان‌ها و شبکه‌های بزرگ استفاده می‌شوند. دیتاسنترها نقش مهمی در حفظ امنیت و عملکرد صحیح شبکه‌ها دارند و تاثیر قابل توجهی بر عملکرد سازمان‌ها دارند. در زیر به برخی از نقش‌های دیتاسنترها در شبکه و اهمیت امنیت آنها می‌پردازیم:

۱. ذخیره‌سازی اطلاعات: دیتاسنترها برای ذخیره‌سازی داده‌ها و اطلاعات سازمان‌ها استفاده می‌شوند. این اطلاعات ممکن است شامل اطلاعات کاربران، فایل‌ها، پایگاه‌داده‌ها و سایر موارد مربوط به عملکرد سازمان باشند. به همین دلیل، امنیت دیتاسنترها بسیار حائز اهمیت است تا از دسترسی غیرمجاز و سوء استفاده‌های احتمالی جلوگیری شود.

۲. پردازش داده‌ها: دیتاسنترها نقش مهمی در پردازش داده‌ها دارند. زمانی که داده‌ها به دیتاسنتر ارسال می‌شوند، فرآیندهای پردازشی از جمله تحلیل، محاسبه و استخراج اطلاعات از داده‌ها انجام می‌شوند. امنیت دیتاسنترها در این مرحله بسیار حائز اهمیت است تا اطلاعات حساس در حین پردازش محافظت شوند.

۳. ارائه خدمات شبکه: دیتاسنترها نقشی بسیار مهم در ارائه خدمات شبکه دارند. آنها میزبان سرورها، تجهیزات شبکه و سرویس‌های مختلفی هستند که برای ارتباطات داخلی و خارجی سازمان استفاده می‌شوند. امنیت دیتاسنترها در این مورد باعث حفاظت از ارتباطات شبکه و اطمینان از عملکرد صحیح شبکه می‌شود.

۴. حفظ کنترل دسترسی: دیتاسنترها باید کنترل دسترسی به داده‌ها و سیستم‌ها را برقرار کنند. نقش اصلی این مراکز در این زمینه، اجازه دسترسی مجاز به افراد و دستگاه‌های مجاز و جلوگیریاز دسترسی غیرمجاز و نقض امنیت سیستم‌ها است. برای این منظور، از روش‌های احراز هویت، کنترل دسترسی، رمزنگاری و سایر فناوری‌های امنیتی استفاده می‌شود.

۵. پشتیبانی و بهره‌وری: دیتاسنترها نقش مهمی در پشتیبانی و بهره‌وری شبکه‌ها دارند. آنها باید قادر باشند تا در صورت بروز خطا یا اختلال در سرویس‌ها، به سرعت و بازیابی داده‌ها و سیستم‌ها، بهره‌وری شبکه را برقرار کنند. بنابراین، امنیت دیتاسنترها در این زمینه نقش حیاتی دارد تا از از دست رفتن داده‌ها و خسارات احتمالی جلوگیری شود.

به طور کلی، امنیت دیتاسنترها برای حفاظت از داده‌ها، حفظ عملکرد صحیح شبکه و جلوگیری از حملات سایبری بسیار حائز اهمیت است. برای ایجاد امنیت در دیتاسنترها، از تکنولوژی‌های رمزنگاری، جداسازی شبکه، نظارت و کنترل دسترسی مورد استفاده قرار می‌گیرد. همچنین، باید به روزرسانی‌های امنیتی منظم، آموزش کارکنان و پیاده‌سازی روش‌های پیشگیری و پاسخگویی به حملات سایبری توجه شود.

برای جلوگیری از حملات سایبری در دیتاسنترها، می‌توان اقدامات امنیتی زیر را انجام داد:

1. استفاده از روش‌های رمزنگاری: از رمزنگاری برای محافظت از داده‌ها در طول انتقال و در ذخیره‌سازی استفاده کنید. استفاده از پروتکل‌های امن انتقال داده مانند HTTPS برای ارتباطات شبکه و استفاده از رمزنگاری برای ذخیره‌سازی داده‌ها می‌تواند در جلوگیری از دسترسی غیرمجاز به اطلاعات کمک کند.

2. ایجاد کنترل دسترسی محکم: تعیین سطوح دسترسی و اجرای کنترل دسترسی محکم برای سیستم‌ها و داده‌ها در دیتاسنتر بسیار مهم است. فقط کاربران و دستگاه‌های مجاز باید به منابع دسترسی داشته باشند و نیاز به احراز هویت قبل از دسترسی داشته باشند. همچنین، اصول حداقل مجازیت (principle of least privilege) را رعایت کنید، به این معنی که هر کاربر و دستگاه فقط دسترسی لازم برای انجام وظایف خود را داشته باشد.

3. نظارت و آشکارسازی تهدیدات: استفاده از سیستم‌های نظارت و آشکارسازی تهدیدات (Intrusion Detection and Prevention Systems) که به صورت مداوم فعالیت‌ها و ترافیک شبکه را مانیتور می‌کنند و هرگونه فعالیت مشکوک یا نامتعارف را تشخیص می‌دهند، می‌تواند در شناسایی حملات سایبری و جلوگیری از آنها مفید باشد. این سیستم‌ها می‌توانند از الگوریتم‌های تشخیص نفوذ (Intrusion Detection Algorithms) استفاده کنند و به صورت اتوماتیک و بر اساس الگوهای شناخته شده، تهدیدات را تشخیص دهند و برخورد مناسب را انجام دهند.

4. به‌روزرسانی و مدیریت پچ‌ها: اطمینان حاصل کنید که سیستم‌ها و نرم‌افزارهای مورد استفاده در دیتاسنترها به‌روزرسانی شده و دارای آخرین پچ‌ها و به‌روزرسانی‌های امنیتی هستند. آسیب‌پذیری‌های نرم‌افزاری ممکن است توسط هکرها بهره‌برداری شوند، بنابراین به‌روزرسانی منظم و مدیریت پچ‌ها بسیار مهم است.

5.توسعه و پیاده‌سازی یک طرح بزرگ امنیتی: ایجاد یک طرح جامع امنیتی برای دیتاسنتر شامل مواردی مانند سیاست‌ها و رویه‌های امنیتی، آموزش کارکنان، مدیریت ریسک، مداومت عملیات، پشتیبانی از بازیابی بعد از حادثه (Disaster Recovery) و پشتیبانی از پایگاه داده‌ها (Backup) است. این طرح باید به طور مداوم بروزرسانی و ارزیابی شود و با تغییرات محیطی و تهدیدات جدید همگام شود.

6. ایجاد یک سیاست امنیتی قوی: تعیین یک سیاست امنیتی که برای همه کارکنان و کاربران دیتاسنتر الزامی باشد، می‌تواند در جلوگیری از حملات سایبری مفید باشد. این سیاست باید مواردی مانند ایمنی رمز عبور، استفاده از نرم‌افزارهای امنیتی، ممنوعیت اتصال دستگاه‌های ناشناخته به شبکه و آموزش کارکنان در خصوص امنیت را پوشش دهد.

7. آموزش کارکنان: آموزش کارکنان در خصوص مفاهیم امنیت سایبری، شناسایی فایل‌ها و ایمیل‌های مشکوک، روش‌های حفاظت از رمزها و اطلاعات حساس، و گزارش دادن از تهدیدات امنیتی می‌تواند اهمیت بالایی در جلوگیری از حملات سایبری داشته باشد. کارکنان باید آگاهی کافی در خصوص مسائل امنیتی داشته باشند و باید به منظور رعایت اصول امنیتی در کارهای روزمره آموزش داده شوند.

8. بررسی و ارزیابی امنیتی: بررسی و ارزیابی دوره‌ای امنیت دیتاسنتر می‌تواند به شناسایی نقاط ضعف و آسیب‌پذیری‌های احتمالی کمک کند. از طریق آزمون نفوذ (Penetration Testing)، بررسی آسیب‌پذیری‌ها و ارزیابی امنیتی سیستم‌ها و شبکه‌ها می‌توانید بهبودهای لازم را اعمال کنید.

9. پشتیبانی از بازیابی بعد از حادثه: ایجاد یک طرح پشتیبانی و بازیابی بعد از حادثه (Disaster Recovery Plan) برای دیتاسنتر بسیار مهم است. این طرح شامل فرایندها، فناوری‌ها 

راه های محافظت از تهدیدات سایبری و بهبود امنیت شبکه

برای محافظت از تهدیدات سایبری و بهبود امنیت شبکه در سازمان خود، می‌توانید اقدامات زیر را انجام دهید:

1. ارزیابی ریسک: ابتدا باید تهدیدات امنیتی محتمل را شناسایی کنید و ارزیابی ریسک امنیتی انجام دهید. این فرایند شامل بررسی ضعف‌ها و آسیب‌پذیری‌های موجود در شبکه شما است.

2. استفاده از رمزنگاری: استفاده از رمزنگاری برای محافظت از اطلاعات محرمانه و حساس در شبکه بسیار مهم است. از رمزنگاری قوی برای ارتباطات شبکه، فایل‌ها، داده‌ها و رمز عبور استفاده کنید.

3. به‌روزرسانی نرم‌افزارها و سیستم‌عامل: اطمینان حاصل کنید که تمامی نرم‌افزارها و سیستم‌عامل‌های استفاده شده در شبکه به‌روزرسانی شده و آخرین آپدیت‌ها و بهبودهای امنیتی را دارند. این کار می‌تواند ضعف‌ها و آسیب‌پذیری‌های موجود را کاهش دهد.

4. استفاده از راهکارهای تشخیص و پیشگیری از نفوذ: نصب و پیکربندی سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) می‌تواند به شناسایی و جلوگیری از حملات و نفوذهای سایبری کمک کند.

5. رمزنگاری ارتباطات شبکه: استفاده از پروتکل‌های امنیتی مانند TLS/SSL برای رمزنگاری ارتباطات شبکه استفاده شده در سازمان، از همزمانی و تهدیدات مربوط به امنیت شبکه جلوگیری می‌کند.

6. آموزش کارکنان: آموزش کارکنان درباره مسائل امنیتی و رفتارهای امنیتی در استفاده از شبکه بسیار مهم است. آنها باید آگاهی کافی در مورد رمزنگاری، رمز عبور قوی، ایمیل‌های پیشرفته و پیام‌رسان‌های امن داشته باشند.

7. ایجاد سیاست‌های امنیتی: تعیین سیاست‌های امنیتی قوی برای سازمان و اجرای آنها از اهمیت بالایی برخوردار است. این سیاست‌ها شامل ایجاد رمز عبور قوی، محدودیت دسترسی، مدیریت منابع شبکه و نگهداری پشتیتدام داده‌ها و سیستم‌های موجود در شبکه است.

8. پشتیبانی و بازیابی: باید راه‌حل‌های پشتیبانی و بازیابی قوی را برای مواقع حملات سایبری و خرابی سیستم در نظر بگیرید. ایجاد نسخه پشتیبان از داده‌ها و سیستم‌ها، تعیین سیاست‌های بازیابی و اجرای تست‌های بازیابی منظم می‌تواند در مواقع بحرانی به شما کمک کند.

9. پیگیری و نظارت مداوم: باید فعالیت‌ها و رویدادهای شبکه را به طور مداوم پیگیری کرده و نظارت داشته باشید. استفاده از سیستم‌های نظارت شبکه (Network Monitoring) و سیستم‌های تشخیص تهدیدات (Threat Detection) می‌تواند به شناسایی زودهنگام تهدیدات و حملات کمک کند.

10. اجرای سیستم‌های حفاظت در لایه‌های مختلف: استفاده از  (Firewalls)، سیستم‌های تشخیص تهدیدات و پیشگیری از نفوذ (Intrusion Prevention Systems)، سیستم‌های مدیریت دسترسی (Access Management Systems) و سیستم‌های ضد ویروس (Antivirus Systems) در لایه‌های مختلف شبکه می‌تواند امنیت شبکه را بهبود بخشد.

11. آزمایش‌های امنیتی: اجرای تست‌های امنیتی، مانند تست نفوذ (Penetration Testing) و تست آسیب‌پذیری (Vulnerability Testing)، می‌تواند ضعف‌ها و نقاط ضعف امنیتی را در شبکه شناسایی و بهبود بخشد.

12. همکاری با تیم‌های امنیتی: در صورت امکان، همکاری با تیم‌های امنیتی داخلی یا خارجی را در نظر بگیرید. آنها می‌توانند به شما در شناسایی و رفع تهدیدات سایبری کمک کنند و به روزرسانی‌های امنیتی را پیشنهاد دهند.

13. مدیریت دسترسی: مدیریت دسترسی به سیستم‌ها و منابع شبکه، از جمله نقاط اتصال، کارت‌های شبکه و دستگاه‌ها، بسیار مهم است. فقط افراد مجاز باید به اطلاعات و منابع حساس دسترسی داشته باشند.

14. پشتیبانی از سیاست‌های امنیتی در بستر فیزیکی: به‌طور مثال، اطمینان حاصل کنید که کابل‌ها و دستگاه‌های شبکه در مکان‌های مناسب و محافظت شده قرار دارند

چه عاملی FortiGate NGFW را در تامین امنیت دیتاسنترها متمایز می کند؟

فهرست مطالب

• امنیت بهینه شده برای دیتاسنترها
• مزایای رقابتی فورتی گیت های FG-3200F و FG-900G
• دریافت همیشگی عنوان برتر توسط فورتی نت و فورتی گیت در صنعت امنیت شبکه
• راهکاری نوین برای محافظت از محیط های Hybrid IT

شبکه های سازمانی مدام در حال تغییر از ساختار قدیمیِ hub-and-spoke به hybrid IT می باشند. و اما تنها فاکتوری که همچنان ثابت باقی مانده، جدایی ناپذیر بودنِ دیتاسنترها از سازمان های مدرن می باشد. به طور کلی دیتاسنترها، از اپلیکیشن ها، کاربران و تجهیزات پشتیبانی می کنند؛ بنابراین بدیهی است که تامین امنیت آن ها دشوارتر باشد. فایروال های نسل جدید یا همان NGFWها که مسئولِ تامین امنیت مراکز داده هستند، می بایست از قابلیت های رده بالا برخوردار بوده و threat protection را به طور جامع و گسترده تری در کل زیرساخت ها ارائه دهند. ضمنا این اطمینان باید حاصل شود که زیرساخت های فناوری اطلاعات، از جمله دیتاسنترها و همین طور راهکارهای امنیت شبکه به گونه ای عمل می کنند که با صرفه جویی در مصرف انرژی، اثرات زیست محیطی را به حداقل برسانند.

این در حالی است که فایروال های جدید فورتی گیت؛ FG-3200F و FG-900G به طور خاص طراحی و ساخته شده اند تا به نیازهای امنیتی مراکز داده ی مدرن و محیط های hybrid پاسخ دهند. آن ها با ادغام خدمات امنیتی مبتنی بر هوش مصنوعی و عملکرد بی نظیر و بهینه این کار را انجام می دهند. فورتی گیت های مدل FG-900G و FG-3200F نیز مانند سایر FortiGate NGFWها از مدیریت متمرکز و یکپارچه برای محافظت از hybrid IT و hybrid mesh firewall پشتیبانی می کنند.

شکل1- نحوه محافظت از یک محیط ترکیبی توسط Hybrid Mesh firewall

لازم به ذکر است امروزه سیاست سازمان ها از اتخاذ راهکار تک فایروالی برای محافظت از کل ترافیک شبکه تغییر کرده است. آن ها دیگر فایروال های NGFW را به منظور بازرسی ترافیک های مختلف مانند محیط های ابری و یا شبکه های OT انتخاب می کنند.

ضمن اینکه ساختار فایروال های hybrid mesh به گونه ای است که قدرت محافظتِ NGFW را فراتر از دیتاسنترها برده و شبکه های campus، شعب سازمانی، شبکه های OT، محیط های کلود و به طور کلی لوکیشن های خارج سازمانی را نیز پشتیبانی می کنند تا با ارتقا امنیت سازمانی، سطح حملات را هرچه کمتر کنند. بر اساس گزارش گارتنر، 60 درصد از سازمان ها تا سال 2026 از لایه های فایروالی متعددی در استراتژی امنیتی خود استفاده خواهند کرد که این امر به “به کارگیری hybrid mesh firewall” خواهند انجامید.

به لطفِ سیستم عامل انحصاری FortiOS، فایروال های نسل جدید فورتی گیت به طور اختصاصی به پشتیبانی از ساختار hybrid mesh firewall می پردازند که امنیتی مبتنی بر AI و همین طور عملکردی بهینه را ارائه می دهند. از طرفی کلیه ی فایروال های فورتی گیت قادر به یکپارچگی با FortiManager بوده تا علاوه بر ارتقا اتوماسیون، بتوان کنترل بهتر و ساده تری بر روی تمامیِ form factorهای فایروال اعم از سخت افزاری، مجازی، کلود و همین طور Firewall-as-a-Service داشت.

امنیت بهینه شده برای دیتاسنترها

فایروال های فورتی گیت FG-3200F به طور خاص برای دیتاسنترهای بزرگ طراحی شده اند که در مقایسه با محصول مشابه سایر برندها، 4 برابر firewall throughput بیشتر، 4.7 برابر SSL Inspection throughput بیشتر و 3.5 برابر IPsec VPN throughput بیشتر ارائه می دهند؛ این در حالی است که 72 درصد مصرف انرژی پایین تری دارند. از چهار اینترفیس 400GE برخوردار بوده که به مدیریت ترافیک های پرحجم کمک می کند. در ضمن از 800.000 کانکشن همزمان پشتیبانی می کنند، بنابراین  می توان ظرفیت و منابع دیتاسنتر را طوری تنظیم نمود که با نیازهای تجاری، هماهنگ باشد.

فورتی گیت مدل FG-900G نیز با ارائه عملکرد مناسب برای دیتاسنترها، استاندارد صنعتی جدیدی را تعریف کرده است. این تجهیز که در فرم فاکتور 1U عرضه شده در مقایسه با میانگین صنعتی، 6 برابر firewall throughput بیشتر، 5 برابر IPsec VPN throughput بیشتر، سه برابر threat protection throughput بیشتر (20 Gbps) ارائه داده و بهره وری و امنیت بهینه را برای سازمان شما تضمین می کند.

FortiGate 3200F series

فایروال های فورتی گیت مدل FG-3200F و FG-900G به واسطه ی برخورداری از پردازنده های اختصاصی امنیت (SPU) از دیتاسنترها به بهترین نحو ممکن محافظت نموده و در عین حال در مقایسه با سایر محصولاتِ این صنعت، بهره وری انرژی بالاتری دارند. این امر به انتخاب تیم شبکه کمک فراوانی می کند، زیرا صرفه جویی انرژی برای آن ها یک اولویت مهم است.

اگر بخواهیم جزیی تر نگاه کنیم باید بگوییم مصرف انرژی در SPUهای فورتی گیت در مقایسه با CPUهای استاندارد موجود در سایر فایروال ها به طور میانگین 88 درصد کمتر انرژی مصرف می کنند. میزان مصرف انرژی در دو مدل مذکور به طور خاص تری مورد توجه قرار گرفته، به طوری که می توان گفت FG-3200F  4.6 برابر کمتر از استاندارد صنعتی و FG-900G  6.6 برابر کمتر مصرف انرژی دارند.

این SPUها با مدیریت کارآمدِ وظایفِ resource-intensive و آزاد سازی CPU اصلی، تمرکز را به سوی عملکرد بهینه و روانِ شبکه سوق می دهد، حتی در شرایطی که شبکه با ترافیک های بسیار سنگین روبرو می باشد. از وظایفِ resource-intensive می توان به “فایروالینگ”، “SSL/TLS inspection”و همین طور “IPS” اشاره نمود.

مزایای رقابتی فورتی گیت های FG-3200F و FG-900G

در جدول زیر مقایسه ای بین برترین فایروال های موجود در بازار شبکه با فایروال های FortiGate 3200F و FortiGate 900G انجام شده است. رتبه بندی پردازش امنیتی، معیاری است که متریک های مختلف عملکرد فورتی گیت را با محصولات مشابه  که در رده قیمتی یکسانی نیز قرار دارند، مقایسه می کند. در ضمن متریک های power و heat (BTU) نیز برای محصولات رقبا گنجانده شده تا بهره وری واقعی این دو فورتی گیت را نشان دهد.

• لازم به ذکر است پرفورمنس دو فورتی گیت FG-3200F و FG-900G در زمینه ی محافظت در برابر تهدیدات، تحت شرایط واقعی آزمایش و اندازه گیری می شود.
• اطلاعاتی که در مورد تجهیزات رقبا در جداول فوق اعلام شده، بر اساس منابع موجود در دسترس عموم است. ممکن است سایر تامین کنندگان، روش های مخصوص به خود را داشته باشند.
• اطلاعات مربوط به مصرف برق نیز از طریق دیتاشیت و دستورالعمل ها و با استفاده از حداکثر مصرف برق به دست آمده است.

دریافت همیشگی عنوان برتر توسط فورتی نت و فورتی گیت در صنعت امنیت شبکه

عملکرد بی نظیر و خدمات امنیتی جامعی که توسط FortiGate 3200F و FortiGate 900G ارائه می شود، تنها محدود به این دو مدل نیست، بلکه به کل خانواده FortiGate NGFW تعمیم داده می شود. همان طور که در 2022 Gartner® Magic Quadrant™در بخش Network Firewalls و همچنین 2022 The Forrester Wave در بخش Enterprise Firewalls آمده، جمعی از تحلیلگران و متخصصان صنعت امنیت سایبری، فورتی نت را در حوزه های مذکور برتر می دانند و عنوان leader را به وی اعطا کرده اند.

البته افتخارات FortiGate NGFW باز هم فراتر رفته و موفق شده رتبه Recommended را توسط CyberRatings.org در آخرین گزارش فایروال‌های سازمانی در سال 2023 دریافت کند. فایروال های فورتی گیت امتیاز اثربخشی 99.88 درصد و رتبه AAA را در دسته های مختلف آزمایشی به دست آورده و به دلیل ارائه بالاترین ROI در میان فروشندگان اصلی فایروال، به شدت مورد توجه قرار گرفته اند.

راهکاری نوین برای محافظت از محیط های Hybrid IT

با توجه به پیچیدگی روزافزونِ حملات سایبری در دنیای امروزه، فورتی گیت های 3200F و 900G به عنوان گزینه ای بی رقیب در زمینه ی تامین امنیت زیرساخت های شبکه، وارد میدان شده اند. آن ها با مدیریتی متمرکز در قالب یک راهکار hybrid mesh firewall به سازمان ها این امکان را می دهند که همواره از داده های ارزشمند خود محافظت نموده و در عین حال از آپتایم شبکه اطمینان حاصل کنند.

روش های تامین امنیت شبکه های wireless و wired

با توجه به این که لایه access، از کلیه ی اتصالات شبکه (از طریق سوئیچ های اترنت کابلی و اکسس پوینت های وایرلس) برای کاربران و مهمانان و همین طور دستگاه های IoT  پشتیبانی می کند، گسترده ترین سطوح حملات در بین شبکه های سازمانی، متوجه آن می گردد. از طرفی حدودا 21.5 میلیارد دستگاه به هم متصل، به صورت روزانه به شبکه ها متصل می شوند، بنابراین تضمین امنیت لایه access یک ضرورت مهم به شمار می رود. ناگفته نماند گستردگی و پرطرفدار شدن مدل work-from-anywhere نیز در افزایش اهمیت امنیت لایه access ، بی تاثیر نبوده است.

چالش های زیرساختی لایه access

بخش لبه Local-Area-Network (LAN)، یک هدف آسیب پذیر برای مجرمان سایبری است؛ به خصوص زمانی که کسب و کارها در بخش های مختلف برای تداوم خود به اتصال به شبکه نیاز دارند. در چنین شرایطی میزان حملات رو به افزایش می رود.

برخی از چالش هایی که سازمان های IT به هنگام مدیریت لایه ی access با آن ها روبرو هستند، به شرح ذیل می باشند:

• هماهنگ نگه داشتن تنظیمات مختلف
• نظارت بر کل شبکه
• مدیریت سطوح مختلف دسترسی
• هزینه های بالای مالکیت (TCO)

سازمان ها به منظور مدیریت بهتر شبکه های wireless و wired ، به دنبال رویکردهای mesh platform یکپارچه هستند. راهکاری که ترکیبی از مدیریت عملکردهای wired، wireless و امنیتی است. دلیل رواج پیدا کردن این رویکردها این است که گروه های IT می توانند عملکردهای اضافه و زمانبر را تسهیل کنند. اما این طور نیست که کلیه ی راهکارهای شبکه بتوانند عملکرد مورد نیاز را ارائه دهند.

چه چالش هایی به واسطه ی پیچیدگی ها برای LAN ایجاد می شود؟

گسترش شبکه های قدیمی ترِ LAN به واسطه ی رشد کسب و کارها و افزایش کاربران و دستگاه ها، موجب پیچیدگی های آن ها شده است. در نتیجه، مدیران IT می بایست بر کل ترافیک ورودی و خروجی نظارت داشته باشند. وضعیت شبکه های LAN به دلیل وجود شعب سازمانی و افزایش آمار دورکاری، بسیار پیچیده تر و پر هزینه تر می گردد.

مدیریت پیکربندی ها

• در نمونه های بزرگ شبکه های campus، یک تغییر کوچک می تواند منجر به اختلال در بخش های اصلی شبکه گردد. موسسات باید این اطمینان خاطر را کسب کنند که هر گونه افزایش، تغییر یا به روز رسانی را می توانند ردیابی و مدیریت کنند تا هماهنگیِ تمام بخش های شبکه حفظ گردد.

نظارت بر شبکه های wireless و  wired

• شبکه های campus بسیار پر ترافیک هستند. نظارت بر لبه ی شبکه های معمولی LAN می تواند جزییاتی در مورد دستگاه ها و اتصال آن ها ارائه دهد. با این حال ممکن است دستگاه های لایه های بالایی مانند احراز هویت کاربران و محدودیت دسترسی منابع مرتبط، از نظر پنهان بماند.
• دستگاه های اینترنت اشیا (IoT) را نمی توان به طور کامل تحت کنترل داشت. این دستگاه ها بر روی شبکه ظاهر می شوند و تیم IT تحت فشار قرار می گیرد تا اپلیکشن ها را بدون به خطر انداختن امنیت کلی شبکه، فعال کند. در نقاطی که تیم IT حضور فیزیکی ندارند، این موضوع پیچیده تر می گردد؛ زیرا اطلاعاتی که بر روی یک دستگاه خاص قرار می گیرد، تمامِ چیزی است که در لایه access ارائه می گردد.

هزینه های بالای مالکیت (TCO)

• ارائه دهندگان شبکه های مدرنِ LAN تلاش بسیاری کرده اند تا پیچیدگی های مذکور را با افزودن لایسنس یا سایر راهکارها برطرف کنند تا نیازهای مختلف تیم IT را برطرف کنند. با افزودن این ویژگی ها، هزینه های کلی، تا دو برابر یا حتی سه برابر بیشتر از هزینه های تجهیزات شبکه های wireless و wired به تنهایی افزایش می یابد.

امنیت شبکه های wireless و  wired

• با پیچیدگی روزافزون شبکه های LAN، امنیتِ نقاط ورودی شبکه های wireless و wired برای تمام کاربران مجاز بیش از حد دشوار می گردد. بسیاری از سازمان ها از تجهیزات امنیتی تک منظوره استفاده می کنند تا این مشلات را یکی یکی برطرف کنند. این رویکرد امنیتیِ پیچیده و تفکیک شده می تواند کل سازمان را در معرض خطر قرار دهد. حتی ممکن است پیکربندی نادرست شبکه های LAN، منجر به نفوذ مهاجمان به شبکه گردد.

چه نکاتی را برای ارزیابی راهکارها باید در نظر گرفت؟

نکات مختلفی وجود دارد که به هنگام به روز رسانی شبکه های wireless و wired باید در نظر گرفت.

• ساختار توپولوژی: به هنگام  بررسی چگونگی استقرار شبکه های ایمن LAN، ماهیت سایت هایی که شبکه قرار است در آن ها مستقر گردد، را باید به عنوان یک نکته کلیدی در نظر گرفت و سوالات زیر پرسیده شود.

آیا این مجموعه ای از شبکه های campus بزرگ است و یا چندین شعبه کوچک؟ آیا کاربران دورکار نیاز به کانکت شدن خواهند داشت؟ پاسخ این سوال غالبا ترکیبی از دو یا چند الزام عملیاتی خواهد بود. با توجه به این که هر توپولوژی، چالش ها و محدودیت های خود را دارد، بهتر است راهکارِ انتخابی برای عملکردهای مورد نظر، توسعه پذیر باشد.

• دستگاه های متصل: چه نوع دستگاه هایی قرار است به شبکه متصل گردد؟ و کاربران مختلف چه کسانی هستند؟ در صورتی که سایر کاربران مانند مهمانان توسط دستگاه های خارجی نیاز به دسترسی داشته باشند، امنیت شبکه ی LAN می بایست تامین گردد. یک راهکار مناسب برای تامین امنیت LAN باید دارای قابلیت هایی باشد که بتواند بدون نیاز به کاربران بخش IT، انواع کاربران و دستگاه هایی که قصد اتصال به شبکه های wireless و wired را دارند، پشتیبانی کند. در ضمن تکنولوژی link aggregation باعث می شود ساختار شبکه با نیازهای رو به افزایش پهنای باند، سازگار گردد.
• کاهش هزینه های TCO: ممکن است راهکاری، تمام ویژگی های فوق الذکر را ارائه دهد، اما هزینه های مرتبط افزایش می یابد. مدیران شبکه باید تصمیم بگیرند چه تعداد سیستم و تجهیزات باید خریداری شود تا برای عملکرد کلی سازمان مناسب باشد، چه تعداد لایسنس ممکن است مورد نیاز باشد و این که کدام یک از ویژگی های کلیدی نیاز به اشتراک شدن دارد. در ضمن هزینه های TCO فراتر از سایر هزینه ها است. مقدار زمانی که یک راهکار مشخص برای عملکرد و نگهداری نیاز دارند نیز ممکن است کمی متفاوت باشد.
• امنیت یکپارچه: بسیاری از راهکارهای LAN، فاقد امنیت تعبیه شده می باشند. این امر نیازمند یک رویکرد bolt-on برای ایمن سازی شبکه می باشد. گاهی اوقات گزینه های امنیتی وجود دارند، اما با بخش لبه ی شبکه LAN یکپارچه نیستند. این امر می تواند منجر به بروز نقطه ضعف های امنیتی گردد؛ که به این ترتیب فرصت هایی برای مهاجمان سایبری و حملات آن ها پیش می آید. بهتر است شبکه ها در یک شرایط امنیتی ایجاد و نگهداری شوند تا از مطلوب ترین سطح حفاظت و کمترین تاثیر بر مدیریت زیرساخت LAN اطمینان حاصل شود.

معرفی محصول : فایروال فورتی وب 600e

راهکاری یکپارچه جهت دسترسی ایمن

شاید شبکه های wireless و wired، عنصر اصلی سازمان ها باشند، اما از طرفی نیازمند صرف هزینه های فراوانی هستند. بنابراین انتخاب راهکار مناسب به تیم IT و امنیت کمک می کند تا سازمان ها، اقدامات خود را به طور مناسب و مطلوب پیش ببرند.

امروزه شاهد فروشندگان بسیاری در بازار تجهیزات شبکه هستیم، بنابراین تیم IT می بایست تمام راهکارهای موجود را به منظور یافتن بهترین روش بررسی نماید.

سیستم ذخیره سازی متصل به شبکه یا NAS

تجهیزات ذخیره سازی nas در دنیای دیجیتالی و سرشار از اطلاعات امروز، بیش از هر زمان دیگری اهمیت پیدا کرده است. نیاز به سیستم ذخیره سازی مربوط به گروه خاصی از افراد نمی شود، افرادی که از اطلاعات موسیقی خود بکاپ تهیه می کنند تا سازمان هایی که از اطلاعات شخصی مشتریان نگهداری می کنند، به نوعی به سیستم استوریج داده ها نیاز دارند.

دقیقا درهمین نقطه است که Network Attached Storage که به اختصار به آن NAS گفته می شود وارد عمل شده و روند ذخیره سازی داده ها را تسهیل می نماید. در این مقاله به بررسی NAS و نحوه ی عملکرد آن خواهیم پرداخت. در ضمن بررسی خواهیم کرد که آیا راهکار NAS یک راهکار امن به حساب می آید یا خیر. مسلما، یک راهکار استاندارد می بایست امنیت بیشتری برای داده ها تامین کند و بسیار کمتر در معرض حملات سایبری قرارگیرد.

Network Attached Storage یا NAS چیست؟

NAS یک راهکار معمول برای مدیریت فایل های به اشتراک گذاشته شده بر روی شبکه های سازمانی می باشد.

در سیستم NAS، درایوهای ذخیره سازی داده ها به عنوان یک جایگزین ساده برای سرورهای مستقل استفاده می شوند. همین امر موجب می شود مشاغل بتوانند بدون نیاز به سرمایه گذاری های هنگفت بر روی سیستم های IT، اطلاعات را بین دپارتمان های مختلف توزیع کنند. این درایوها در قسمت اصلی اکثرِ سیستم NAS قرار دارند و روند کاری را تا حد زیادی تسهیل می کنند. از یک هارد دیسک و یک سیستم عامل تشکیل شده که تنها برای ارتباط با کاربران شبکه محلی (local network) طراحی شده است؛ نه بیشتر.

به طور معمول، طراحیِ NASبه گونه ای است که دارای سریع ترین حالت ممکن باشد. کاربران می توانند بدون نیاز به استفاده از هارد دیسک های جداگانه و تنظیمات سرور، به NAS متصل شده و به داده های ذخیره شده ی خود دسترسی داشته باشند.

یکی دیگر از مزایای سیستم NAS این است که راه اندازی و نگهداری آن بسیار ساده است؛ بنابراین، از نظر صرفه جویی در زمان و همچنین سادگی، بهترین راهکار برای شبکه محسوب می شوند.

در کنار مزایای فروانی که تجهیزات ذخیره سازی nas دارد، نقطه ضعف هایی نیز مشاهده می شود که مدیران شبکه و سازمان ها باید از آن ها آگاه باشند. با استفاده از روش هایی که به آن ها اشاره می شود، می توان این نقاط ضعف را تا حدودی کاهش داد.

سیستم های NAS به صورت پیش فرض، دارای سیستم دفاعی در برابر حملات هستند؛ مانند: password authentication. اما در عین حال تهدیدات مهمی وجود دارند که بهتر است کاربران NAS نسبت به آن ها آگاهی داشته باشند.

• امنیت پسورد: گاهی اوقات ممکن است احراز هویت پیش فرضی که در سیستم امنیت NAS وجود دارد، به خودی خود یک تهدید محسوب شود. در نتیجه زمانی که ما به امنیت پسورد یا احراز هویت اعتماد می کنیم، از خطرات اصلی آن غافل می شویم. به عنوان مثال، پسوردهای ضعیف را می توان به سادگی با استفاده از ابزار های دیجیتالی حدس زد. به همین دلیل است که اولین کاری که باید انجام داد، تغییر پسورد پیش فرض است. زیرا سرورهای NAS مستقیما به شبکه متصل هستند (و همچنین به اینترنت)، بنابراین، به سادگی در معرض هک پسورد قرار می گیرند.

به علاوه، همه سازمان ها از شیوه های امنیتی بی نقص استفاده نمی کنند که در برابر حملات، مصون باشند. بنابراین، امکان سرقت اطلاعات یا شناسایی پسورد از طریق روش هایی مانند استفاده از اپلیکیشن بر روی WiFi نا امن وجود دارد.

در نتیجه می توان گفت با وجود این که اقدامات امنیتی استوریج های  NAS بسیار کمک کننده می باشند، اما هرگز نمی توانند حفاظت کامل از اطلاعات را تضمین کنند.

• نشت از سایر دستگاه های شبکه: سرورهای NAS می توانند به صورت مستقیم یا غیر مستقیم به طیف وسیعی از سایر دستگاه ها متصل شوند. منظور از دستگاه ها می تواند کامپیوترهای یک شبکه باشد. با این حال، گاهی دستگاه های هوشمند متصل به اینترنت اشیا نیز ممکن است درگیر شوند.

اخیرا، متخصصان امنیت در مورد دستگاه های متصل به اینترنت اشیا، احساس خطر بیشتری کرده اند. زیرا هکرها از این دستگاه ها استفاده می کنند تا بتوانند بدافزار را در سطح شبکه های سازمانی منتشر کنند. در نتیجه درایوهای متصل به NAS، آلوده به بدافزار شده و دسترسی نامحدودی به داده های موجود در این درایوها، در اختیار مهاجمان سایبری قرار می دهند.

• بدافزارها و ویروس ها: نگرانی هایی در خصوص آلوده شدن NAS به بدافزار و ویروس وجود دارد، هرچند که ممکن است از نظر علمی چنین چیزی، ممکن نباشد. اما به تجربه ثابت شده که سیستم NAS مورد حمله ویروس و بدافزار قرار می گیرد.

در سال 2017، یک عامل تهدید به نام SecureCrypt ظاهر شد که از آسیب پذیریِ SambaCry استفاده کرد و کنترل سرورها را در دست گرفت. SecureCrypt پس از رمزنگاری داده ها بر روی درایو قربانی، از وی تقاضای بیت کوین کرد تا آن ها را برگرداند.

حمله دیگری تحت عنوان StuxNet به تاسیسات هسته ای ایران انجام شد که دلیل آن ضعف امنیتی دستگاه های IOT و NAS بوده. با این حمله نشان داده شد که حتی بزرگ ترین سایت های صنعتی دنیا نیز می توانند مورد حمله قرار گیرند.

• آسیب پذیریِ Command Injection: این آسیب پذیری، یکی دیگر از نقاط ضعف رایج در مورد سیستم NAS می باشد که تولیدکنندگان به طور جدی به فکر مقابله با آن می باشند. اساسا حملات Command Injection به مهاجمان، این امکان را می دهد که درایوهای NAS را تحت کنترل خود در آورده و از امتیازاتی برخوردار می شوند که تنها مدیران شبکه به آن ها دسترسی دارند.

بر اساس گزارشات، تکنیک Command Injection برای دسترسی به سرورهای LG NAS در مقایسه با سایر برندها مانند Buffalo، Western Digital و ZyXEL نسبتا ساده تر می باشد.

لازم به ذکر است تاکنون هیچ درایو NASی نتوانسته از داده ها در برابر حملات Command Injection به طور کامل محافظت کند.

راهنمای امنیتی NAS

همان طور که می دانیم استوریج NAS، 100 درصد ایمن نیست، اما باز هم یک راهکار سریع و راحت به شمار می رود. به طور خلاصه می توان گفت مزایای NAS مانند بکاپ گیری و به اشتراک گذاری ساده ی فایل ها، بیشتر از خطر هک آن است.

البته به این معنی نیست که در مورد خطرات Network Attached Storage سهل انگار باشیم. روش هایی موثر برای ایمن سازی NAS در برابر حملات مخرب وجود دارد که به آن ها اشاره می کنیم:

• رمز عبور قوی: قرار دادن پسوردهای قوی، اولین قدمی است که باید انجام شود. اکثر حملات به شبکه های سازمانی بر اثر دانش ناکافی کارمندان صورت می گیرد. بنابراین ارزیابی سطح دانش و آگاهی کارمندان در خصوص امنیت و همچنین ارتقا مهارت های آن ها یک گام مهم محسوب می شود. در ضمن بهتر است برای کارمندان سازمان، قوانینی در راستای تعیین پسوردهای قوی وضع شود تا از پسوردهای ضعیف و کوتاه استفاده نشود.

بهتر است با استفاده از احراز هویت دو مرحله ای (2FA) از تمام اکانت ها محافظت به عمل آید. یکی از رایج ترین روش ها در این مورد، استفاده از اپلیکیشن احراز هویت بر روی تلفن می باشد. در این صورت، حتی اگر پسورد به سرقت برود، باز هم اکانت مورد نظر تا زمانی که با وارد کردن پین کد یا Touch ID تایید نشود، ایمن باقی می ماند.

• آپدیت منظم NAS firmware: مهاجمان سایبری همواره در جستجوی راهی برای نفوذ به NAS firmware هستند و البته در نهایت موفق هم می شوند. در حقیقت، هیچ سیستم عاملِ NASی را نمی توان به طور کامل ایمن دانست. در نتیجه نیاز به دریافت پچ های آپدیت و به روزرسانی مرتب دارد.

بهتر است به هنگام موجود شدن پچ آپدیت، نوتیفیکیشن دریافت نموده تا سریعا به روز رسانی انجام شود.

لازم به ذکر است به روز رسانی ها فقط مخصوص به firmware نیست، بلکه نرم افزار آنتی ویروس نیز باید مرتبا آپدیت شود. در این صورت قبل از این که مشکلات موجود، تبدیل به تهدیدات جدی شوند، برطرف می گردند.

• هرگز از اکانت های پیش فرض ادمین استفاده نشود: زمانی که سرورهای NAS نصب می شوند، معمولا امکان استفاده از نام کاربری “ادمین” پیشنهاد می شود. یک اشتباه بزرگ، استفاده از این نام کاربری است. به جای آن بهتر است از نام کاربری استفاده شود که قابل حدس زدن نباشد.

• پورت ها و کانکشن های خود را ایمن کنید: بهتر است به منظور ایمن سازی ترافیک، به جای HTTP از HTTPS استفاده شود و همچنین از ایمن بودن کانکشن FTP اطمینان حاصل شود.

در ضمن بهتر است تمام پورت هایی که برای ارتباط و دسترسی از خارج از شبکه به آن ها نیاز نیست، غیر فعال شوند. یکی دیگر از راه های کاهش حملات به تجهیزات ذخیره سازی NAS ، تغییر پورت های پیش فرض است. توصیه متخصصان امنیت در این خصوص، تغییر حداقل پورت های HTTP، HTTPS و SSH می باشد.

• از NAS firewall استفاده شود: اکثر سیستم های ذخیره سازی NAS به طور پیش فرض، دارای فایروال هستند که بهتر است همیشه فعال بماند. وظیفه ی فایروالِ NAS این است که کاربران قانونی را مجاز بداند و اجازه ی دسترسی به سایر افراد ندهد. این ویژگی اولین سیستم دفاعی را در برابر حملات احتمالی ایجاد می کند.
• گزینه ی حفاظت در برابر حملات DoS فعال شود: یکی دیگر از تنظیمات مهم سیستم NAS، فعال سازی گزینه محافظت در برابر حملات DoS می باشد که به طور پیش فرض، غیر فعال است. تنها ایرادی که دارد این است که ممکن است ترافیک مجاز را، حمله یDoS تشخیص دهد. برای حل این مشکل، می توان از لیست سفید استفاده کرد.
• استفاده از VPN با هر بار استفاده از NAS: در حقیقت VP.N را می توان یک ابزار ضروری برای امنیت NAS در نظر گرفت. استفاده از یک VP*N عالی و با کیفیت می تواند یک لایه ی اضافه ی رمزنگاری شده بر روی تمامی ترافیک های آنلاین بین شبکه و وب ایجاد کند. به عبارت دیگر مهاجمان احتمالی، نمی توانند جزییات پسورد یا آدرس آی پی کاربران مجاز را ردیابی کنند و تشخیص دهند.

یکی دیگر از مزایای استفاده از VPN این است که دسترسی از راه دور به سرورهای NAS را از خارج از منزل و یا محل کار، امکان پذیر می کنند. شاید در حالت معمول خطر آفرین به نظر برسد، اما زمانی که رمزنگاری کامل انجام شود و یا ناشناس سازی IP صورت گیرد، می توان این اطمینان را داشت که داده ها ایمن باقی می مانند.

امروزه NAS جایگاه خاصی پیدا کرده و مطمئنا می تواند یک راهکار ذخیره سازی مفیدی برای داده ها باشد. اما همان طور که متوجه شدیم، داده ها نمی توانند با این سیستم ذخیره سازی، صد در صد ایمن باشند. استفاده از VPN این ایراد را برطرف کرده و امنیت داده ها را تا حد قابل ملاحظه ای افزایش می دهد.

سیستم ذخیره سازی متصل به شبکه (NAS)

• آذر 21, 1400
• storage, ذخیره ساز, مقالات, ویکی رسیس

سیستم ذخیره سازی متصل به شبکه یا NAS

تجهیزات ذخیره سازی nas در دنیای دیجیتالی و سرشار از اطلاعات امروز، بیش از هر زمان دیگری اهمیت پیدا کرده است. نیاز به سیستم ذخیره سازی مربوط به گروه خاصی از افراد نمی شود، افرادی که از اطلاعات موسیقی خود بکاپ تهیه می کنند تا سازمان هایی که از اطلاعات شخصی مشتریان نگهداری می کنند، به نوعی به سیستم استوریج داده ها نیاز دارند.

دقیقا درهمین نقطه است که Network Attached Storage که به اختصار به آن NAS گفته می شود وارد عمل شده و روند ذخیره سازی داده ها را تسهیل می نماید. در این مقاله به بررسی NAS و نحوه ی عملکرد آن خواهیم پرداخت. در ضمن بررسی خواهیم کرد که آیا راهکار NAS یک راهکار امن به حساب می آید یا خیر. مسلما، یک راهکار استاندارد می بایست امنیت بیشتری برای داده ها تامین کند و بسیار کمتر در معرض حملات سایبری قرارگیرد.

Network Attached Storage یا NAS چیست؟

NAS یک راهکار معمول برای مدیریت فایل های به اشتراک گذاشته شده بر روی شبکه های سازمانی می باشد.

در سیستم NAS، درایوهای ذخیره سازی داده ها به عنوان یک جایگزین ساده برای سرورهای مستقل استفاده می شوند. همین امر موجب می شود مشاغل بتوانند بدون نیاز به سرمایه گذاری های هنگفت بر روی سیستم های IT، اطلاعات را بین دپارتمان های مختلف توزیع کنند. این درایوها در قسمت اصلی اکثرِ سیستم NAS قرار دارند و روند کاری را تا حد زیادی تسهیل می کنند. از یک هارد دیسک و یک سیستم عامل تشکیل شده که تنها برای ارتباط با کاربران شبکه محلی (local network) طراحی شده است؛ نه بیشتر.

به طور معمول، طراحیِ NASبه گونه ای است که دارای سریع ترین حالت ممکن باشد. کاربران می توانند بدون نیاز به استفاده از هارد دیسک های جداگانه و تنظیمات سرور، به NAS متصل شده و به داده های ذخیره شده ی خود دسترسی داشته باشند.

یکی دیگر از مزایای سیستم NAS این است که راه اندازی و نگهداری آن بسیار ساده است؛ بنابراین، از نظر صرفه جویی در زمان و همچنین سادگی، بهترین راهکار برای شبکه محسوب می شوند.

آیا NAS از امنیت کافی برخوردار است؟

پاسخ به این سوال، به عوامل مختلفی بستگی دارد؛ مانند مدل NAS و سیستم عامل آن. به طور معمول NAS از ویژگی های به روزرسانی امنیتی غنی تری در مقایسه با Windows یا ios برخوردار می باشد. در طول زمانِ به روز رسانی بهتر است مراقبت های بیشتر از آن شود و دسترسی به تجهیزات ذخیره سازی NAS محدود گردد.

بهتر است بگوییم مهم ترین نکته در مورد امنیت NAS بستگی به کاربر دارد. به عنوان مثال، باز کردن پورت های بسیار زیاد می تواند راه را برای مهاجمان، هموار کند و همچنین عدم تغییر پسورد پیش فرض، یکی دیگر از عوامل به خطر انداختن امنیت NAS به شمار می رود.

تجهیزات ذخیره سازی NAs یک دستگاه فیزیکی است؛ بنابراین درایوهای ذخیره سازی، نقش مهمی در سلامت دستگاه دارند. از طرفی، احتمال آسیبِ وارده توسط سرقت یا آتش سوزی بیشتر از احتمالِ حمله ی مهاجمان سایبری است. به همین دلیل است که داشتن یک بکاپ آفلاین جداگانه و یا فضای ابری از اهمیت بالایی برخوردار است.

شایع ترین مشکلات امنیتی NAS

در کنار مزایای فروانی که تجهیزات ذخیره سازی nas دارد، نقطه ضعف هایی نیز مشاهده می شود که مدیران شبکه و سازمان ها باید از آن ها آگاه باشند. با استفاده از روش هایی که به آن ها اشاره می شود، می توان این نقاط ضعف را تا حدودی کاهش داد.

سیستم های NAS به صورت پیش فرض، دارای سیستم دفاعی در برابر حملات هستند؛ مانند: password authentication. اما در عین حال تهدیدات مهمی وجود دارند که بهتر است کاربران NAS نسبت به آن ها آگاهی داشته باشند.

• امنیت پسورد: گاهی اوقات ممکن است احراز هویت پیش فرضی که در سیستم امنیت NAS وجود دارد، به خودی خود یک تهدید محسوب شود. در نتیجه زمانی که ما به امنیت پسورد یا احراز هویت اعتماد می کنیم، از خطرات اصلی آن غافل می شویم. به عنوان مثال، پسوردهای ضعیف را می توان به سادگی با استفاده از ابزار های دیجیتالی حدس زد. به همین دلیل است که اولین کاری که باید انجام داد، تغییر پسورد پیش فرض است. زیرا سرورهای NAS مستقیما به شبکه متصل هستند (و همچنین به اینترنت)، بنابراین، به سادگی در معرض هک پسورد قرار می گیرند.

به علاوه، همه سازمان ها از شیوه های امنیتی بی نقص استفاده نمی کنند که در برابر حملات، مصون باشند. بنابراین، امکان سرقت اطلاعات یا شناسایی پسورد از طریق روش هایی مانند استفاده از اپلیکیشن بر روی WiFi نا امن وجود دارد.

در نتیجه می توان گفت با وجود این که اقدامات امنیتی استوریج های  NAS بسیار کمک کننده می باشند، اما هرگز نمی توانند حفاظت کامل از اطلاعات را تضمین کنند.

• نشت از سایر دستگاه های شبکه: سرورهای NAS می توانند به صورت مستقیم یا غیر مستقیم به طیف وسیعی از سایر دستگاه ها متصل شوند. منظور از دستگاه ها می تواند کامپیوترهای یک شبکه باشد. با این حال، گاهی دستگاه های هوشمند متصل به اینترنت اشیا نیز ممکن است درگیر شوند.

اخیرا، متخصصان امنیت در مورد دستگاه های متصل به اینترنت اشیا، احساس خطر بیشتری کرده اند. زیرا هکرها از این دستگاه ها استفاده می کنند تا بتوانند بدافزار را در سطح شبکه های سازمانی منتشر کنند. در نتیجه درایوهای متصل به NAS، آلوده به بدافزار شده و دسترسی نامحدودی به داده های موجود در این درایوها، در اختیار مهاجمان سایبری قرار می دهند.

• بدافزارها و ویروس ها: نگرانی هایی در خصوص آلوده شدن NAS به بدافزار و ویروس وجود دارد، هرچند که ممکن است از نظر علمی چنین چیزی، ممکن نباشد. اما به تجربه ثابت شده که سیستم NAS مورد حمله ویروس و بدافزار قرار می گیرد.

در سال 2017، یک عامل تهدید به نام SecureCrypt ظاهر شد که از آسیب پذیریِ SambaCry استفاده کرد و کنترل سرورها را در دست گرفت. SecureCrypt پس از رمزنگاری داده ها بر روی درایو قربانی، از وی تقاضای بیت کوین کرد تا آن ها را برگرداند.

حمله دیگری تحت عنوان StuxNet به تاسیسات هسته ای ایران انجام شد که دلیل آن ضعف امنیتی دستگاه های IOT و NAS بوده. با این حمله نشان داده شد که حتی بزرگ ترین سایت های صنعتی دنیا نیز می توانند مورد حمله قرار گیرند.

• آسیب پذیریِ Command Injection: این آسیب پذیری، یکی دیگر از نقاط ضعف رایج در مورد سیستم NAS می باشد که تولیدکنندگان به طور جدی به فکر مقابله با آن می باشند. اساسا حملات Command Injection به مهاجمان، این امکان را می دهد که درایوهای NAS را تحت کنترل خود در آورده و از امتیازاتی برخوردار می شوند که تنها مدیران شبکه به آن ها دسترسی دارند.

بر اساس گزارشات، تکنیک Command Injection برای دسترسی به سرورهای LG NAS در مقایسه با سایر برندها مانند Buffalo، Western Digital و ZyXEL نسبتا ساده تر می باشد.

لازم به ذکر است تاکنون هیچ درایو NASی نتوانسته از داده ها در برابر حملات Command Injection به طور کامل محافظت کند.

راهنمای امنیتی NAS

همان طور که می دانیم استوریج NAS، 100 درصد ایمن نیست، اما باز هم یک راهکار سریع و راحت به شمار می رود. به طور خلاصه می توان گفت مزایای NAS مانند بکاپ گیری و به اشتراک گذاری ساده ی فایل ها، بیشتر از خطر هک آن است.

البته به این معنی نیست که در مورد خطرات Network Attached Storage سهل انگار باشیم. روش هایی موثر برای ایمن سازی NAS در برابر حملات مخرب وجود دارد که به آن ها اشاره می کنیم:

• رمز عبور قوی: قرار دادن پسوردهای قوی، اولین قدمی است که باید انجام شود. اکثر حملات به شبکه های سازمانی بر اثر دانش ناکافی کارمندان صورت می گیرد. بنابراین ارزیابی سطح دانش و آگاهی کارمندان در خصوص امنیت و همچنین ارتقا مهارت های آن ها یک گام مهم محسوب می شود. در ضمن بهتر است برای کارمندان سازمان، قوانینی در راستای تعیین پسوردهای قوی وضع شود تا از پسوردهای ضعیف و کوتاه استفاده نشود.

بهتر است با استفاده از احراز هویت دو مرحله ای (2FA) از تمام اکانت ها محافظت به عمل آید. یکی از رایج ترین روش ها در این مورد، استفاده از اپلیکیشن احراز هویت بر روی تلفن می باشد. در این صورت، حتی اگر پسورد به سرقت برود، باز هم اکانت مورد نظر تا زمانی که با وارد کردن پین کد یا Touch ID تایید نشود، ایمن باقی می ماند.

• آپدیت منظم NAS firmware: مهاجمان سایبری همواره در جستجوی راهی برای نفوذ به NAS firmware هستند و البته در نهایت موفق هم می شوند. در حقیقت، هیچ سیستم عاملِ NASی را نمی توان به طور کامل ایمن دانست. در نتیجه نیاز به دریافت پچ های آپدیت و به روزرسانی مرتب دارد.

بهتر است به هنگام موجود شدن پچ آپدیت، نوتیفیکیشن دریافت نموده تا سریعا به روز رسانی انجام شود.

لازم به ذکر است به روز رسانی ها فقط مخصوص به firmware نیست، بلکه نرم افزار آنتی ویروس نیز باید مرتبا آپدیت شود. در این صورت قبل از این که مشکلات موجود، تبدیل به تهدیدات جدی شوند، برطرف می گردند.

• هرگز از اکانت های پیش فرض ادمین استفاده نشود: زمانی که سرورهای NAS نصب می شوند، معمولا امکان استفاده از نام کاربری “ادمین” پیشنهاد می شود. یک اشتباه بزرگ، استفاده از این نام کاربری است. به جای آن بهتر است از نام کاربری استفاده شود که قابل حدس زدن نباشد.

• پورت ها و کانکشن های خود را ایمن کنید: بهتر است به منظور ایمن سازی ترافیک، به جای HTTP از HTTPS استفاده شود و همچنین از ایمن بودن کانکشن FTP اطمینان حاصل شود.

در ضمن بهتر است تمام پورت هایی که برای ارتباط و دسترسی از خارج از شبکه به آن ها نیاز نیست، غیر فعال شوند. یکی دیگر از راه های کاهش حملات به تجهیزات ذخیره سازی NAS ، تغییر پورت های پیش فرض است. توصیه متخصصان امنیت در این خصوص، تغییر حداقل پورت های HTTP، HTTPS و SSH می باشد.

• از NAS firewall استفاده شود: اکثر سیستم های ذخیره سازی NAS به طور پیش فرض، دارای فایروال هستند که بهتر است همیشه فعال بماند. وظیفه ی فایروالِ NAS این است که کاربران قانونی را مجاز بداند و اجازه ی دسترسی به سایر افراد ندهد. این ویژگی اولین سیستم دفاعی را در برابر حملات احتمالی ایجاد می کند.
• گزینه ی حفاظت در برابر حملات DoS فعال شود: یکی دیگر از تنظیمات مهم سیستم NAS، فعال سازی گزینه محافظت در برابر حملات DoS می باشد که به طور پیش فرض، غیر فعال است. تنها ایرادی که دارد این است که ممکن است ترافیک مجاز را، حمله یDoS تشخیص دهد. برای حل این مشکل، می توان از لیست سفید استفاده کرد.
• استفاده از VPN با هر بار استفاده از NAS: در حقیقت VP.N را می توان یک ابزار ضروری برای امنیت NAS در نظر گرفت. استفاده از یک VP*N عالی و با کیفیت می تواند یک لایه ی اضافه ی رمزنگاری شده بر روی تمامی ترافیک های آنلاین بین شبکه و وب ایجاد کند. به عبارت دیگر مهاجمان احتمالی، نمی توانند جزییات پسورد یا آدرس آی پی کاربران مجاز را ردیابی کنند و تشخیص دهند.

یکی دیگر از مزایای استفاده از VPN این است که دسترسی از راه دور به سرورهای NAS را از خارج از منزل و یا محل کار، امکان پذیر می کنند. شاید در حالت معمول خطر آفرین به نظر برسد، اما زمانی که رمزنگاری کامل انجام شود و یا ناشناس سازی IP صورت گیرد، می توان این اطمینان را داشت که داده ها ایمن باقی می مانند.

امروزه NAS جایگاه خاصی پیدا کرده و مطمئنا می تواند یک راهکار ذخیره سازی مفیدی برای داده ها باشد. اما همان طور که متوجه شدیم، داده ها نمی توانند با این سیستم ذخیره سازی، صد در صد ایمن باشند. استفاده از VPN این ایراد را برطرف کرده و امنیت داده ها را تا حد قابل ملاحظه ای افزایش می دهد.

سطح امنیت محبوب ترین دستگاه های NAS چقدر است؟

زمانی که صحبت از امنیت داده ها در میان باشد، باید گفت تجهیزات ذخیره سازی nas  از امنیت کمتری در مقایسه با سیستم ذخیره سازی ابری (cloud storage) برخوردار است. البته دسترسی به دستگاه های NAS را می توان با غیرفعال کردن پورت ها یا با استفاده از لیست سفید تنها به چند کانکشن، محدود کرد.

اکثر دستگاه های NAS، دارای بکاپ شبکه، فایروال، گزینه ی محافظت در برابر حملات DoS و سایر ویژگی های امنیتی می باشند. با این حال، بعضی از مدل ها و برندها نسبت به سایرین، از ویژگی های امنیتی بیشتری برخوردار هستند. در اینجا با تکنولوژی آن ها آشنا می شویم:

یکی از این تکنولوژی ها Self-Encrypted Drive یا SED است که به دلیل این که سیستم احراز هویت ایجاد می کند، حتی در حالت آفلاین نیز از داده ها محافظت می کند. تنها ایرادی که دارد ممکن است کار کردن را کمی مشکل کند، چون با هر بار استفاده می بایست کلید رمزنگاری وارد شود.

یکی از معایبی که برای NAS ذکر کردیم، خطر آتش سوزی و خراب شدن در آب بود. این موضوع در مورد همه ی سیستم های NAS صدق نمی کند. برخی از دستگاه های NAS در برابر آب و آتش، مقاوم هستند. بهترین نوع آن ها می توانند برای نیم ساعت در دمای 1500 درجه ی فارنهایت مقاومت کنند. این مدت زمان، کاملا مناسب است مگر این که منزل یا محل کار از ایستگاه آتش نشانی، فاصله زیادی داشته باشد. در مورد مقاومت آن ها در برابر آب، همین قدر بگوییم که حتی می توانند فشار آب شلنگ آتش نشانی را نیز تحمل کنند. در صورت وقوع سیل نیز می توانند در ده فوت زیر آب، اطلاعات را به مدت سه روز حفظ کنند.

به نظر می رسد در مورد تجهیزات ذخیره سازی nas یا سایر دستگاه ها، کمترین میزان امنیت را نرم افزارهای آن ها داشته باشند. این طور نیست که همه تولید کنندگان این دستگاه ها، صد در صد به فکر امنیت آن ها باشند؛ بنابراین ممکن است داده های ذخیره شده روی NAS، برای روزها یا هفته ها، آسیب پذیر بمانند. به عنوان مثال، در جولای سال 2020 بیش از 60000 دستگاه QNAP NAS به بدافزار آلوده شدند. در سال 2018 نیز 15 آسیب پذیری بزرگ در سیستم AS-602T مربوط به برند Asustor شناخته شد. همچنین در سال 2014 دستگاه های Synology که پچ آپدیت دریافت نکرده بودند، در معرض حملات باج افزار قرار گرفتند.

نتیجه گیری

آسیب پذیری های مختلف نرم افزاری و سخت افزاری می توانند امنیت دستگاه های NAS را به خطر بیاندازند. در مجموع می توان گفت چنانچه احتمال آسیب های فیزیکی به حداقل برسد، سیستم نرم افزاری آپدیت باشد و دسترسی های غیر مجاز محدود شوند، NAS و داده های موجود در آن، از امنیت کافی برخوردار خواهند بود.