Fortinet Security Fabric: بالاترین عملکرد در پلتفرم‌های امنیت سایبری صنعتی

Fortinet Security Fabric: بالاترین عملکرد در پلتفرم‌های امنیت سایبری صنعتی

/۰ دیدگاه /در /توسط

همانطور که شبکه‌ها پیچیده‌تر و گسترده‌تر می‌شوند، آگاهی از تهدیدات و واکنش مناسب نشان دادن به آن‌ها هم به‌طور فزاینده‌ای دشوار شده است. این روند منجر به پراکندگی سیستم‌های امنیتی شده است که مدیریت آن‌ها را پیچیده، دید را تکه‌تکه و توانایی سازمان‌ها را برای پاسخگویی موثر به تهدیدات محدود می‌کند. دلیل این اتفاق، تا حد زیای این است که امروزه شرکت‌های زیادی، به‌طور متوسط ۴۵ راه‌حل امنیتی را در سراسر شبکه مستقر کرده‌اند و این اقدام، هر نوع مدیریت متمرکزی را تقریبا غیرممکن می‌کند. شرایط وقتی بدتر می‌شود که هنگام شناسایی و پاسخ به یک حادثه سایبری نیاز به هماهنگی بین ۱۹ مورد از این ابزارها خواهد بود. چنین شرایطی منجر به راه‌حل‌های پیچیده‌ای می‌شود که باید به‌طور مداوم مدیریت و هر بار که یک دستگاه ارتقا پیدا می‌کند، مجددا پیکربندی شوند.

علی‌رغم این چالش‌ها، هنوز هم رایج است که بسیاری از سازمان‌ها ابتدا فعالیتشان را شروع می‌کنند و سپس به دنبال ایجاد تغییرات در شبکه، ایمن‌سازی و مدیریت آن می‌روند. این کار باعث ایجاد شرایطی عالی برای مهاجمان می‌شود و سازمان را با تهدیدهای جدیدی که به دنبال بهره‌برداری از سیلوها، ایجاد پیچیدگی و شکاف‌های امنیتی هستند مواجه می‌کند. بنابراین، جای تعجب نیست که Cybersecurity Mesh Architecture یا به اختصار CSMA، که مجموعه‌ای یکپارچه از ابزارهای امنیتی و APIهای ترکیبی با مدیریت متمرکز، تجزیه و تحلیل تهدیدها و اطلاعات کامل مربوط به آن‌ها است و توسط Gartner توسعه یافته، در فهرست برترین روندهای حوزه امنیت سایبری برای سال ۲۰۲۲ قرار گرفته است.

پلتفرم Mesh امنیت سایبری چیست؟

شرکت‌های امروزی دیگر فقط به دنبال معماری‌ یکپارچه‌ای که بتواند زیرساخت‌ها و استقرارهای چند تکه‌ای آن‌ها را تحت کنترل درآورد نیستند. آن‌ها به سیستمی نیاز دارند که استقرار فناوری‌ها و خدمات جدید را ایمن و البته ساده کند. برآورده کردن خواسته شرکت‌ها، به چیزی فراتر از راه‌حل‌هایی برای اتصال فناوری‌های امنیتی متفاوت نیاز دارد. آن‌ها به یک پلتفرم Mesh امنیت سایبری گسترده نیاز دارند که یکپارچه و خودکار باشد و مدیریت و دید متمرکز را برایشان فراهم کند. این پلتفرم همچنین باید از اکوسیستم گسترده‌ای از انواع راه‌حل‌ها پشتیبانی کند و با آن‌ها تعامل داشته باشد و به‌طور خودکار، با تغییرات پویای شبکه سازگار شود.

در حالی که Gartner این ایده را «معماری Mesh امنیت سایبری» می‌نامد، بیش از یک دهه است که آن را با نام «Fabric امنیتی Fortinet» می‌شناسیم. Fortinet این مکتب جدید را رهبری کرد و نشان داد که استفاده از یک پلتفرم Mesh امنیت سایبری گسترده، یکپارچه و خودکار برای کاهش پیچیدگی و افزایش اثربخشی کلی امنیت در شبکه‌های در حال گسترش امروزی ضروری است. روندهای جدید مثل Work From Anywhere (WFA)، به‌طور فزاینده‌ای پیچیده هستند و مواردی عالی برای استفاده از یک معماری یکپارچه Mesh امنیتی به‌شمار می‌روند. WFA به راه‌حل‌های متعددی نیاز دارد تا بتواند در مجموعه‌ای پویا از Data Centerها، دفاتر خانگی توزیع‌شده و برنامه‌های کاربردی مبتنی بر Cloud کار کند.

Fortinet Security Fabric : بالاترین عملکرد در پلتفرم‌های امنیت سایبری صنعتی

Fabric امنیتی Fortinet، برای مقابله با این چالش‌های جدید و پیچیده، گزینه‌ای ایده‌آل است. این مجموعه از بالغ بر ۵۰ فناوری در حوزه امنیت و شبکه تشکیل شده که برای این همکاری مشترک، از ابتدا طراحی شده‌اند. این مجموعه اطلاعات تهدید را به اشتراک می‌گذارد، بین داده‌ها ارتباط مفهومی ایجاد می‌کند و به‌طور خودکار به تهدیدها به عنوان یک سیستم واحد و هماهنگ پاسخ می‌دهد. علاوه بر این، Fortinet نه تنها در مورد امنیت سایبری، بلکه همگرایی را در سطح امنیت و شبکه ارائه می‌دهد؛ این کار با ارائه نوآوری‌های متعددی مثل Secure SD-WAN ارائه می‌شود و دقیقا همان چیزی است که می‌توانیم داریم آن را به عنوان «شبکه مبتنی بر امنیت» معرفی کنیم.

از یک پلتفرم Mesh امنیت سایبری واقعی، انتظار می‌رود که به کمک یک اکوسیستم باز و گسترده و به‌کمک شرکای فناوری، سیلوها را تا حد زیادی از بین ببرد. در حال حاضر با بیش از ۴۵۰ شریک فناوری Third Party، به عنوان بخشی از اکوسیستم Fabric امنیتی Fortinet، ادغام و همکاریمورد نظر صورت گرفته است. چنین اکوسیستمی اهمیت بالایی دارد؛ زیرا با ایجاد انعطاف‌پذیری در سراسر استقرار، در حالی که امکان بهره‌برداری بیشتر از نظر عملیات، دید و امنیت یکپارچه و همگرا فراهم می‌شود، سازمان‌ها را بیش از پیش توانمند می‌سازد. همچنین نباید فراموش کرد که این پروسه، با حفظ سرمایه‌گذاری‌های موجود در فن‌آوری‌ها و راه‌حل‌ها، سازمان‌ها را آماده حرکت به سمت تجربه یک Fabric امنیتی یکپارچه و خودکار می‌کند.

مقاله پیشنهادی: “Fortinet LAN Edge: چشم‌انداز زیرساخت شبکه

چنین رویکردی صرفا برای شرکت‌ها نیست و فروشنده‌های زیرمجموعه آن‌ها هم می‌توانند به کمک آن، راه‌حل قوی‌تری را به مشتریان خود ارائه دهند و در نتیجه، درآمد بیشتری داشته باشند. این مجموعه گسترده از راه‌حل‌های یکپارچه، به آن‌ها اجازه می‌دهد تا با استفاده از تخصص و قابلیت‌های معماری خود بر حل چالش‌های مهم‌تری که سازمان‌های امروزی با آن مواجه هستند تمرکز کنند.

گرایش به سمت رویکردهای امنیتی یکپارچه اجتناب‌ناپذیر است؛ چه برای ایمن‌سازی چالش‌های نوظهور امنیت شبکه مانند WFA، برای مبارزه با تهدیدهای باج‌افزار یا کاهش هزینه‌های سربار مدیریت مجموعه گسترده‌ای از راه‌حل‌های امنیتی مجزا. در واقع، Gartner معتقد است که تا سال ۲۰۲۴، سازمان‌هایی که از معماری Mesh امنیت سایبری برای ادغام ابزارهای امنیتی به کار رفته و تبدیل آن‌ها به یک اکوسیستم مشترک استفاده می‌کنند، تاثیرات مالی ناشی از حوادث امنیتی را به‌طور متوسط ۹۰ درصد کاهش خواهند داد.

Fortinet Security Fabric : بالاترین عملکرد در پلتفرم‌های امنیت سایبری صنعتی

جمع‌بندی: باید چه انتظاری از پلتفرم Mesh‌ امنیت سایبری داشت؟

خبر خوب برای مشتریان Fortinet این است که آن‌ها مجبور نیستند برای استفاده از معماری Mesh امنیت سایبری تا سال ۲۰۲۴ منتظر بمانند. همین امروز هم می‌توانید با Fabric امنیتی Fortinet از مزایای زیر بهره‌مند شوید.

  • دید عمیق در تمام Edgeها
  • مدیریت متمرکز راه‌حل‌های توزیع‌شده
  • اجرای مداوم سیاست‌ها
  • دسترسی به اطلاعات تهدید مشتریان Fortinet Security Fabric که به‌صورت ناشناس و سراسری منتشر می‌شود.
  • امکان انجام ادغام‌های Third Party برای محافظت بهتر در برابر حملات شناخته شده و ناشناخته
  • خودکارسازی پاسخ‌های عملی در محیط‌های Hybrid

ویلیام شکسپیر نقل قول معروفی دارد: «گل رز هر اسم دیگری هم داشته باشد، عطر خوشی دارد.» این جمله در مورد پلتفرم Mesh امنیت سایبری گسترده، یکپارچه و خودکار نیز صدق می‌کند. فرقی ندارد که نام آن «معماری Mesh امنیت سایبری»، «پلتفرم امنیت سایبری» یا «Fabric امنیتی Fortinet» باشد، نتیجه یکسان است. نکته مهم این است که سازمان‌ها رویکردی یکپارچه برای امنیت را به عنوان بخشی از اقدامات دیجیتال خود بپذیرند و آن را اجرایی کنند. این امر فارغ از نوع فعالیت آن‌ها، برایشان پیچیدگی کمتر، عملیات ساده‌تر و کارآیی امنیتی بیشتر را به ارمغان می‌آورد.

منبع 

رویکرد Zero Trust

چرا رویکرد Zero Trust برای امنیت سایبری حیاتی است؟

/۰ دیدگاه /در /توسط

حتی در بهترین شرایط ممکن هم احتمال این وجود دارد که حفظ دید، تنظیم سیاست‌های امنیتی و اجرای مداوم کنترل‌‌ها در سراسر شبکه، چالش برانگیز شود. این فرآیند به‌ویژه در چند سال گذشته و به‌واسطه استقبال سازمان‌ها از نوآوری‌های دیجیتال، دشوار شده است. تحول استراتژی‌های تجاری و شدت رقابت در بازار دیجیتال امروزی، محیط شبکهها را چندتکه کرده، سطح حملات احتمالی را گسترش داده و باعث منسوخ شدن مدل‌‌ها و راه‌حل‌های امنیتی سنتی شده است. شدت این چالش‌ها زمانی شدیدتر شد که سازمان‌ها برای فراهم کردن امکان دورکاری برای کارکنانشان به رقابت پرداختند. از منظر شبکه و امنیت که به این اقدام نگاه کنیم، هر کارمند در هر زمان و از یک شعبه مستقل نیاز به اتصال دارد و این خواه‌ناخواه با ناامنی ختم می‌شود.

علاوه بر این، کارمندان راه دور اغلب نیاز دارند که به منابع مهم شرکت، چه در Data Center یا در Cloud متصل شوند؛ بخش چالش‌برانگیز ماجرا اینجاست که کارکنان با استفاده از دستگاه‌های کاری یا شخصی و به‌کمک شبکه‌های خانگی که عمدتا امن نیستند فعالیت می‌کنند. در چنین شرایطی، سازمان‌‌ها دیگر نمی‌توانستند به راه‌حل‌های امنیتی که در شبکه و برای محافظت در برابر مجرمان سایبری به کار گرفته بودند تکیه کنند؛ بنابراین، آن‌‌ها مجبور شدند از VPN استفاده کنند و حالا با در دسترس بودن ۵G، این چالش‌‌ها بیشتر هم خواهند شد.

تکیه بیش از حد به فناوری VPN مشکلاتی در محافظت از شبکه ایجاد می‌کند. راه‌اندازی، نگهداری و عیب‌یابی اتصالات VPN همیشه ساده نیست و یک VPN اساسا مسیری برای دستیابی به منابعی است که کاربران برای انجام کارهای خود نیاز دارند. VPN بازرسی خاصی روی ترافیک عبوری انجام نمی‌دهد و فقط می‌تواند به اندازه دستگاه یا شبکه‌ای که از آن استفاده می‌کند ایمن باشد.

رویکرد Zero Trust

علاوه بر این، بسیاری از شبکه‌‌ها حول یک مدل اعتماد Implicit ساخته شده‌اند؛ این در واقع بدین معناست که «اگر توانستید از شبکه عبور کنید، می‌توانید به هر کجا که بخواهید بروید» و در نتیجه، VPN کاربران را از فایروال رد می‌کند و درست به وسط شبکه می‌برد! مجرمان سایبری به دنبال راه‌هایی برای ورود به شبکه‌های شرکتی هستند و چنین فرصت‌هایی را از دست نمی‌دهند. بنابراین با ورود به شبکه از طریق VPN، می‌توانند آزادانه در سراسر شبکه به دنبال منابع مهم برای سرقت یا از بین بردن آن‌ها باشند. این‌ها فقط بخشی از دلایلی است که باعث شد آزمایشگاه FortiGuard شاهد افزایش هفت برابری حملات باج‌افزار در نیمه دوم سال ۲۰۲۰ باشد.

 

ایمن‌سازی شبکه با Zero Trust آغاز می‌شود

اولین قدم برای ایمن‌سازی شبکه‌های Highly Distributed این است که به هیچ چیز و هیچ کس اعتماد نکنید. این امر به‌ویژه برای شبکه‌هایی که تعداد زیادی کارمندان دورکار، حجم انبوهی از کاربران جدید و دستگاه‌های IoT دارند مهم است. رویکرد درست این است که فرض کنیم به هیچ چیز و هیچ کس نمی‌توان اعتماد کرد و Zero Trust دقیقا تصور می‌کند که هر کاربر یا دستگاهی که به دنبال دسترسی به شبکه است خطرناک محسوب می‌شود.

رویکرد Zero Trust دقیقا همان چیزی است که به نظر می‌رسد؛ سازمان‌‌ها به جای اینکه به دستگاه‌‌ها اجازه دهند آزادانه به منابع شرکت متصل شوند، برای حفظ امنیت اجازه دسترسی ندادن را به عنوان گزینه پیش‌فرض در نظر می‌گیرند. هر کاربر یا دستگاهی که می‌خواهد به شبکه دسترسی داشته باشد، برای دریافت دسترسی باید اعتبارنامه‌های معتبری را ارائه کند. در صورت موفق بودن اعتبارسنجی، آن‌‌ها فقط اجازه استفاده از منابعی را دارند که به‌طور خاص برای انجام کارشان به آن‌ها نیاز دارند. از آنجایی که تمام ترافیک‌های تایید نشده، به‌طور پیش‌فرض رد می‌شوند، مهاجمان و دستگاه‌هایی که مشکلات امنیتی دارند، حتی نمی‌توانند شبکه را Ping کنند تا منابع موجود دیگر را ببینند. با این حساب آن‌ها حتی متوجه وجود باقی بخش‌های شبکه نخواهند شد. اجرای کامل رویکرد Zero Trust، مستلزم اتخاذ دو استراتژی حیاتی است که دسترسی Zero Trust (ZTA) و دسترسی به شبکه Zero Trust (ZTNA) هستند.

مقاله پیشنهادی: “سه نکته برای افزایش امنیت با Zero Trust

دسترسی Zero Trust (ZTA)

ZTA کنترل‌های دسترسی محیطی معمول که سازمان‌‌ها دارند، مانند فایروال‌ها، احراز هویت، صدور مجوز و حسابرسی (AAA) و SSO را گسترش می‌دهد. در واقع سطوح تایید بیشتری مانند دسترسی به نقش هر کاربر، موقعیت جغرافیایی آن‌ها و حتی زمان درخواست دسترسی اضافه می‌شوند. دستگاه‌‌ها چه دارایی شرکت باشند یا غیرشرکتی و فارق از نرم‌افزاری که اجرا می‌کنند، در صورتی که آخرین Patchهای امنیتی و راه‌حل‌های مورد نیاز را داشته باشند، سطح یکسانی از بررسی روی آن‌ها انجام می‌گیرد.

هر شبکه‌ای شامل دستگاه‌های زیادی مثل چاپگرها، دوربین‌های امنیتی، سیستم‌های HVAC و سایر راه‌حل‌های IoT است که کاربر نهایی را مستقیما درگیر نمی‌کنند. هر راه‌حل ZTA باید شامل NAC برای کشف، احراز هویت و کنترل دستگاه‌هایی باشد که به‌طور مستقیم توسط انسان کنترل نمی‌شوند. در نتیجه حتی این دستگاه‌ها هم با همان رویکرد Zero Trust و با حداقل دسترسی ممکن فعالیت خواهند کرد. درست مثل کاربران معمول، این دستگاه‌ها هم فقط مجوزهای لازم برای انجام نقش‌هایشان را خواهند داشت. از آنجایی که هر دستگاه و کاربر با ZTA احراز هویت می‌شود، تیم‌های فناوری اطلاعات هم همیشه در مورد هر چیزی که در شبکه حضور دارد، اطلاعاتی کامل و به‌روز دارند تا بتوانند سطح ثابتی از کنترل‌ را روی همه آن‌ها داشته باشند. آن‌‌ها همچنین می‌توانند هر چیزی را که نباید در شبکه وجود داشته باشد، به‌راحتی شناسایی کرده و اقدامات مناسب را در برابر آن انجام دهند.

رویکرد Zero Trust

دسترسی به شبکه Zero Trust (ZTNA)

ZTNA بخش‌های جدیدی را به مدل Zero Trust اضافه کرد و در واقع برای مشاغل و کاربرانی طراحی شده که به برنامه‌ها متکی هستند و نیاز دارند که امکان استفاده از برنامه‌ها با VPN را داشته باشند. ZTNA دسترسی پویا و ایمن به برنامه‌های تجاری را فراهم می‌کند که می‌توانند در Data Center و در Cloud خصوصی یا عمومی مستقر شوند. این محافظتی فراتر از آنچه توسط توسط VPN ارائه می‌شود دارد، زیرا مبتنی بر محیط نیست؛ کاربران و دستگاه‌‌ها احراز هویت می‌شوند، بر اساس خط‌مشی‌های تعیین شده دسترسی‌های لازم به آن‌ها اعطا، ترافیک عبوری بازرسی و امنیت اعمال می‌شود. با چنین سناریوی کاملی، هر کاربر، در هر مکان و با هر شبکه و دستگاهی، از سطح یکسانی از حفاظت برخوردار می‌شود. وقتی که کاربری احراز هویت شد، به‌ازای هر تراکنش، دسترسی مجزایی دریافت خواهد کرد. به عبارت دیگر، اگر کاربر بخواهد به یک برنامه HR دسترسی داشته باشد، به او اجازه داده می‌شود که فقط از آن منبع استفاده کند و هیچ دسترسی دیگری نخواهد داشت.

جمع‌بندی: پذیرش Zero Trust مهم است

بیشتر شدن تعداد کارمندان دورکار، پیش از همه‌گیری ویروس کرونا هم اتفاق افتاده بود و تیم‌‌ها و مدیران فناوری اطلاعات به دنبال راه‌هایی برای حفظ کنترل و ایجاد دید کافی بودند، چرا که شبکه‌ها روزبه‌روز متنوع‌تر و گسترده‌تر می‌شدند. اما پس از تغییرات ناشی از همه‌گیری، نیاز به داشتن دید مداوم روی شبکه و کنترل داشتن روی دسترسی‌ها برای همه حیاتی شد. این روند به احتمال زیاد تغییر نخواهد کرد، زیرا دورکاری حتی درصورت بازگشایی تمام دفاتر در سراسر جهان هم تا حد زیادی ادامه پیدا خواهد کرد. از طرفی شبکه‌ها در هر شرایطی به سمت پیچیده‌تر شدن می‌روند و از آنجایی که کاربران و دستگاه‌‌ها ممکن است در موقعیت‌های جغرافیایی و شرایط مختلفی قرار داشته باشند، برای کنترل دسترسی به شبکه و منابع آن، تیم‌های فناوری اطلاعات و امنیتی، نیاز به اجرای سیاست‌های Zero Trust دارند.

منبع

راه‌کارهای جلوگیری از دستیابی مهاجمان به رمز عبور

راه‌کارهای جلوگیری از دستیابی مهاجمان به رمز عبور

/۰ دیدگاه /در /توسط

با توجه به Sophos Active Adversary Playbook 2021، استفاده حساب‌های معتبر از طریق نام کاربری و رمز عبور، یکی از پنج تکنیک برتر مهاجمان برای ایجاد دسترسی اولیه است. با اینکه اعتبارنامه‌های معتبر در مرحله دسترسی اولیه به‌سادگی لو می‌روند، اما می‌توان از آن‌ها در سراسر زنجیره حمله استفاده کرد. در این مطلب، با روش‌های دستیابی مهاجمان به رمز عبور آشنا خواهید شد تا با شناخت بیشتر، بتوانید سطح امنیت رمز عبورهای سازمانی را افزایش دهید.

یک موضوع چالش برانگیز

استفاده دشمنان از حساب‌های معتبر، به‌ویژه برای متخصصان امنیت سایبری، موضوعی چالش‌برانگیز است. تشخیص استفاده غیرمجاز از حساب‌های معتبر، در میان انبوهی از موارد استفاده قانونی بسیار دشوار است. اعتبار را می‌توان به روش‌های مختلفی به دست آورد و یک حساب معتبر می‌تواند سطوح مجوز متفاوتی در یک سازمان داشته باشد که از یک کاربر ساده تا سرپرست دامنه متغیر هستند.

یکی دیگر از مسائلی که شرایط را پیچیده‌تر می‌کند، وجود انواع مختلفی از حساب‌‌ها است که شامل مواردی همچون حساب‌های آزمایشی، حساب‌های خدماتی برای دسترسی غیر انسانی، APIها و حساب‌های Third Party می‌شوند. از طرفی هم افراد بسیاری از اعتبار سازمانی خود در خدمات آنلاین نامرتبط استفاده می‌کنند. بیشتر آن‌ها از یک آدرس ایمیل به جای نام کاربری استفاده می‌کنند که خطر قرار گرفتن در معرض تهدید را افزایش می‌دهد. متاسفانه استفاده از رمز عبور مشابه برای حساب‌های مختلف هم امری عادی است که باعث می‌شود در صورت لو رفتن یک رمز عبور، حساب‌های دیگر آن فرد هم در معرض خطر قرار بگیرند. از سوی دیگر هم، همه‌گیری ویروس کرونا باعث شد سازمان‌ها امکان دسترسی از راه دور را برای همه کارکنان فراهم کنند که باعث افزایش موارد استفاده غیرمجاز از VPNها و ابزارهای دسترسی از راه دور شد.

مهاجمان چگونه اعتبار را به دست می‌آورند؟

فهرست راه‌های دستیابی به اعتبار، بسیار گسترده است و فقط چند مورد از آن‌ها را بررسی خواهیم کرد. هدف نهایی عوامل تهدید، دستیابی به بالاترین سطح امتیاز برای دستیابی به اهدافشان مثل غیرفعال کردن راه‌کارهای امنیتی، استخراج داده‌ها، حذف پشتیبان‌گیری و استقرار باج‌افزار است. آن‌ها انتظار ندارند حساب سرپرست دامنه را از طریق یک ایمیل فیشینگ دریافت کنند! در عوض با اهداف ساده‌تر شروع می‌کنند و طی یک مسیر، به هدف اصلی می‌رسند.

روش‌های خارجی شامل فیشینگ، Brute Force، مهندسی اجتماعی (به عنوان مثال، فردی که تظاهر می‌کند یک ارائه‌دهنده خدمات IT قابل اعتماد است و درخواست ایجاد حساب کاربری می‌کند) و SQL Injection می‌شوند. این روش‌ها در مواردی به‌عنوان مجموعه‌هایی قابل فروش یا حتی رایگان در دسترس قرار می‌گیرند.

مهاجمان تلاش می‌کنند اعتبارنامه‌های به‌دست‌آمده را با روش‌های دسترسی خارجی، در تکنیکی که به عنوان Stuffing شناخته می‌شود، تطبیق دهند. از آنجایی که نمی‌توان انتظار داشت که کاربران بیش از چند کلمه عبور را به خاطر بسپارند، استفاده مجدد از اعتبارنامه‌ها رایج است و نام‌های کاربری اغلب بر اساس فرمت‌های آدرس ایمیل استخراج می‌شوند. به همین دلیل است که احراز هویت چند عاملی در تمام دسترسی‌های خارجی اهمیت بسیار بالایی دارد. وقتی که یک مورد از مجموعه‌ اعتبارنامه‌ها با روش دسترسی از راه دور همخوانی داشت، عامل تهدید می‌تواند به یک کاربر معتبر تبدیل شود و در سازمان شما پنهان شود.

راه‌کارهای جلوگیری از دستیابی مهاجمان به رمز عبور

پیش از اینکه به روش‌های Privilege Escalation برسیم، باید به این نکته مهم توجه کنیم که روش‌های دسترسی دیگری هم وجود دارند که به اعتبار نیازی ندارند. Exploitها یا رمزهای عبور پیش‌فرض در متمرکزکننده‌های VPN، Exchange، فایروال‌ها، روترها، وب‌سرورها و SQL Injection، همگی برای ورود به سازمان مورد استفاده قرار گرفته‌اند. پس از ورود، از آنجایی که حساب‌های کاربری ساده دسترسی کافی برای انجام تکنیک‌های شناسایی مختلف ندارند، تمرکز مهاجم روی ایجاد مسیری مناسب برای دستیابی به دسترسی‌های سطح بالاتر یا ایجاد حساب‌های مختلف برای حفظ دسترسی خواهد بود. به‌طور کلی ابزارها و روش‌هایی که ممکن است در این پروسه توسط مهاجم استفاده شوند، شامل موارد زیر هستند:

  • کشف اطلاعات مربوط به سیستم و محیط اطراف با استفاده از دستورات ساده‌ای مثل whoami و ipconfig.
  • جستجوی دستگاهی که وارد آن شده برای پیدا کردن فایل‌هایی که دارای رمز عبور در نام یا محتویاتشان باشند.
  • جستجوی LDAP برای کسب اینکه چه حساب‌های دیگری ممکن است اهداف مناسبی باشند.
  • بررسی رجیستری ویندوز برای یافتن اطلاعات کاربری که در این بخش ذخیره شده‌اند.
  • جستجوی کوکی‌های وب برای کشف اطلاعات کاربری ذخیره شده.
  • آماده‌سازی یک ابزار فرمان مبتنی بر PowerShell، تا حتی اگر کاربر رمز عبور خود را تغییر داد، همچنان امکان ورود به سیستم وجود داشته باشد.
  • جستجو و کشف اینکه چه برنامه‌هایی روی سیستم نصب شده‌اند. ابزارهای دسترسی از راه دور و ابزارهای مدیریتی مانند PSExec و PSKill، در صورتی که در سیستم وجود داشته باشند می‌توانند برای پیشبرد اهداف مهاجم بسیار مفید باشند.

مقاله پیشنهادی: “محصولات و امکانات جدید امنیت شبکه

در مرحله بعد و البته تنها در صورت نیاز، مهاجم ممکن است این روند را با نصب و استفاده از برنامه‌های ناخواسته ادامه دهد. PSExec و PSKill، ابزارهای رسمی مدیریتی مایکروسافت هستند، اما کاربردهای فراوان دیگری نیز دارند. IObit، GMER، Process Hacker، AutoIT، Nircmd، اسکنرهای پورت و ابزارهای Packet Sniffer، همگی در حملاتی که روی آن‌ها بررسی انجام گرفته، استفاده شده‌اند. هدف این ابزارها فلج کردن راه‌حل‌های امنیتی EndPoint است. بنابراین عامل تهدید می‌تواند به مرحله بعدی برود، یعنی جایی که از ابزارهایی استفاده می‌کند که احتمالا شرایط را واقعا خطرناک می‌کنند.

ابزارهای محبوبی که برای یافتن حساب‌های دارای امتیاز بالاتر استفاده می‌شوند عبارتند از Mimikatz، IcedID، PowerSploit و Cobalt Strike.  Trickbotنیز یکی از همین ابزارهاست که دیگر محبوبیت چندانی ندارد. این ابزارها توانایی‌های پیچیده‌ای برای ضبط، تفسیر، دستکاری و ارسال اطلاعاتی دارند که شبکه‌ها برای احراز هویت کاربران (مثل Kerberos) از آن‌ها استفاده می‌کنند. در حالی که داده‌ها رمزگذاری شده‌اند، ثابت شده که این اقدام صرفا سرعت عمل مهاجمان ماهر را کاهش داده و جلوی رسیدن به اهدافشان را نمی‌گیرد. رمز عبورهای رمزگذاری‌شده مربوط به حساب‌های معتبر، اغلب می‌تواند از طریق شبکه ارسال و پذیرفته شوند؛ این روش به عنوان تکنیک‌های Pass-the-Hash و Pass-the-Ticket شناخته می‌شود.

برای تطبیق سریع رمز عبور رمزگذاری‌شده با اطلاعات متنی، از جداول گسترده گذرواژه‌ها استفاده می‌شود. ابزارهای Keylogger ممکن است برای ضبط کلیدهای فشرده‌شده صفحه کلید روی دستگاه اضافه شوند تا رمز عبور بدون هیچ رمزگذاری را فاش کنند. اخیرا آسیب‌پذیری‌های خاصی مانند HiveNightmare/SeriousSam و PrintNightmare آش شده‌اند که امکان دسترسی به اعتبارنامه‌ها را حتی بدون حقوق مدیریتی فراهم می‌کنند. همه این موارد را که کنار بگذاریم، ابزارهایی مانند LaZagne به‌راحتی در دسترس هستند و توانایی انجام همه این کارها را دارند! مهاجمان به‌کمک چنین ابزراهایی می‌توانند حتی رمزهای عبور ذخیره‌شده در مرورگرها، نرم‌افزارهای پیام‌رسان، پایگاه‌های داده، بازی‌ها، ایمیل و وای‌فای را بازیابی کنند.

استفاده از مدارک معتبر

اعتبارنامه‌های معتبر، به‌ویژه آن‌هایی که حقوق سطح مدیریت دارند، چند کاربرد قابل توجه دارند؛ آن‌ها می‌توانند در سراسر یک سازمان، برای تغییر Group Policy، غیرفعال کردن ابزارهای امنیتی، حذف و ایجاد حساب‌های جدید استفاده شوند. بسیاری از مهاجمان، داده‌ها را پس از استخراج برای فروش گذاشته یا به‌منظور اخاذی یا جاسوسی از آن‌ها استفاده می‌کنند. داده‌ها ممکن است برای جعل هویت و انجام حملاتی با ایمیل‌های تجاری هم استفاده شوند. اما در اغلب موارد، قصد مهاجم فقط فراهم کردن راهی برای توزیع و اجرای هر گونه باج‌افزار به عنوان سرویس است و اگر این کار انجام نشد، در موارد بسیاری، مهاجمان  فقط از حساب معتبر برای فعال کردن BitLocker یا تغییر کلید آن استفاده می‌کنند.

جمع‌بندی: راه محافظت از سازمان چیست؟

با مشکلی جدی مواجه هستیم که می‌تواند عواقب جبران‌ناپذیری داشته باشد؛ اما خبر خوش اینجاست که راه‌حل این مشکل هم به خوبی شناخته شده است و از طریق افراد، فرآیند و فناوری به آن پرداخته می‌شود. بخش‌هایی از آموزش امنیت سایبری که روی افراد متمرکز است، شامل موارد زیر می‌شود:

  • نحوه شناسایی ایمیل‌های فیشینگ
  • عدم استفاده مجدد از رمزهای عبور
  • عدم استفاده از رمزهای عبور کاری برای حساب‌های شخصی
  • پیچیده کردن رمز عبور
  • اجتناب از مراجعه به وب‌سایت‌های مشکوک

و در سمت دیگر، یعنی از نظر فرآیند و تکنولوژی هم شامل موارد زیر می‌شود:

  • احراز هویت چند عاملی باید تا حد امکان به‌طور گسترده مورد استفاده قرار گیرد.
  • سطح حمله خارجی باید تا حد امکان کوچک باشد و به‌روز نگه داشته شود.
  • تعداد حساب‌هایی که بالاترین سطح را دارند باید به حداقل برسد.
  • استفاده از حقوق مدیریت محلی باید محدود شود.
  • حساب‌های خدمات و آزمایشی استفاده نشده باید حذف شوند.
  • باید بر استفاده از ابزارهای قدرتمند مدیریت و برنامه‌های ناخواسته کنترل و نظارت وجود داشته باشد.
  • وجود نظارت کافی بر ورودهای غیرمنتظره از نظر موقعیت جغرافیایی و زمان.

منبع 

 

راه‌حل پشتیبان‌گیری

۳ هزینه پنهان در خرید راه‌حل پشتیبان‌گیری

/۰ دیدگاه /در /توسط

اگر تا به حال راه‌حل‌های مختلف پشتیبان‌گیری را مقایسه کرده باشید، قطعا متوجه شده‌اید که گزینه‌ها، مجموعه ویژگی‌ها و مدل‌های مجوز مختلفی وجود دارند و انتخاب بین آن‌ها کار ساده‌ای نیست. اگر به دنبال یک راه‌حل پشتیبان‌گیری هستید، امیدواریم این مطلب بینشی به شما بدهد و کمکتان کند که از میان گزینه‌های مختلف، انتخاب درستی داشته باشید. در مجموع، دو نوع مدل کسب‌وکار در بازار راه‌حل‌های پشتیبان‌گیری وجود دارد؛ در یک سمت، دستگاه‌های پشتیبان‌گیری یکپارچه و در سمت دیگر، سخت‌افزار و نرم‌افزار پشتیبان‌گیری که به طور جداگانه به فروش می‌رسند.

برای اکثر شرکت‌ها، یکی از دلایل اصلی خرید نرم‌افزار پشتیبان‌گیری این است که می‌توانند آن را روی سخت‌افزار موجود خود اجرا کنند. با این حال، آنچه اغلب نادیده گرفته می‌شود، هزینه‌های مجوز نرم‌افزار است که تاثیر چشم‌گیری روی هزینه مالکیت می‌گذارد. بنابراین، سوالی که مطرح می‌شود این است که مجوز نرم‌افزار چقدر می‌تواند هزینه در پی داشته باشد، و از چه هزینه‌های پنهانی باید آگاه باشیم؟ اگر VMware Backup را به عنوان نمونه بررسی انتخاب کنیم، ۳ هزینه پنهان وجود دارند که اغلب نادیده گرفته می‌شوند.

۱.  مجوز و هزینه تعمیر و نگهداری

در اکثر مواردی که از VM Backup استفاده می‌شود، فروشندگان رویکردهای متفاوتی را برای نحوه تعیین هزینه نهایی در نظر می‌گیرند؛ چه به ازای هر سوکت CPU یا به ازای هر میزبان یا سیستم VM، بسته به تنظیماتی که انتخاب می‌کنید ممکن است هزینه هر میزبان الزاما گران‌تر از هر سوکت نباشد. به عنوان مثال، اگر سرویس‌هایی را روی یک سرور VMware با ۲ سوکت با قیمت ۵۰۰ دلار آمریکا برای هر سوکت اجرا می‌کنید، برای خود میزبان هزینه‌ای بیش از ۸۰۰ دلار خواهد داشت. هنگام مقایسه و بررسی قیمت‌ها، مطمئن شوید که فقط برچسب قیمت اولیه را در نظر نگیرید و به هزینه کل توجه کنید. جدول زیر نحوه عملکرد مدل‌های مجوز در موارد مختلف استفاده را نشان می‌دهد.

مورد اول مورد دوم
قیمت هاست ۲ سوکتی ESXi هاست تک سوکتی ESXi
فروشنده A ۸۰۰ دلار به ازای هر هاست ۸۰۰ دلار ۸۰۰ دلار
فروشنده B ۵۰۰ دلار به ازای هر سوکت ۵۰۰ دلار * ۲ = ۱۰۰۰ دلار ۵۰۰ دلار

 

به غیر از هزینه‌های مجوز، هزینه‌های تعمیر و نگهداری برای به‌روزرسانی نرم‌افزاری، patchهای امنیتی و پشتیبانی فنی را فراموش نکنید. به عنوان مثال، هزینه تمدید پشتیبانی سالانه می‌تواند ۲۲ تا ۲۷ درصد از هزینه مجوز دائمی را شامل شود. همان‌طور که نمودار زیر نشان می‌دهد، اگر کل هزینه ۳ ساله پشتیبانی نرم‌افزاری را مقایسه کنیم، پس از محاسبه هزینه تمدید پشتیبانی، تقریبا هیچ تفاوتی بین مجوزهای دائمی و اشتراک وجود ندارد.

 

هزینه مجوز دائمی ۳ ساله در مقابل اشتراک
اختلاف هزینه خاصی وجود ندارد تمدید پشتیبانی
اشتراک ۱ ساله اشتراک ۳ ساله مجوز دائمی
۳ سال ۲ سال ۱ سال

۲.  هزینه مدیریت

وقتی صحبت از مدیریت نرم‌افزار می‌شود، از آنجایی که ادغام نرم‌افزار و سخت‌افزار دو شرکت مختلف با سیستم‌های پشتیبانی متفاوت را شامل می‌شود، بنابراین کسب‌وکارها باید به نرم‌افزار و سخت‌افزار جداگانه‌ای را مدیریت کنند تا در صورت بروز مشکل، علت اصلی را تشخیص دهند. اگر تیم حرفه‌ای و مستقل IT ندارید، احتمالا مجبور خواهید شد که برای حل مشکل با فروشندگان مختلف تماس بگیرید و این کار اغلب منجر به اتلاف وقت و البته هزینه بیشتر می‌شود.

راه‌حل پشتیبان‌گیری

۳.  هزینه ذخیره‌سازی

آخرین چیزی که باید در نظر داشت و اغلب توجه چندانی به آن نمی‌شود، هزینه سخت‌افزار ذخیره‌سازی است. از آنجایی که بسیاری از کسب‌وکارها بودجه محدودی دارند، بنابراین معمولا نرم‌افزارهای رایگان را انتخاب می‌کنند. با این حال، هیچ برنامه رایگانی کامل نیست و هر کدام از آن‌ها با محدودیت‌های خاص خود همراه هستند. اشکال عمده و معمول آن‌ها ذخیره یک نسخه پشتیبان کامل در هر پشتیبان‌گیری است.

یک سناریوی ساده را به عنوان مثال در نظر بگیرید. فرض کنید که قصد دارید نسخه‌های پشتیبان روزانه را به مدت ۷ روز نگه دارید و حجم داده‌ها هم ۱ ترابایت، با میانگین نرخ تغییر روزانه ۵ درصد باشد. در چنین شرایطی پشتیبان‌گیری Incremental، تا ۸۰ درصد کمتر فضای ذخیره‌سازی شما را اشغال می‌کند. در مقابل، این احتمال وجود دارد که با نرم‌افزارهای رایگان، بیش از ۶ برابر فضای بیشتری در سرور مقصد هدر رود. مطمئن شوید که هزینه هارد دیسک و سخت‌افزار سرور را نیز در محاسباتتان در نظر می‌گیرید؛ به خصوص زمانی که می‌خواهید از حجم کاری پیچیده‌تری را پشتیبان‌‌گیری کنید.

حجم نسخه‌های پشتیبان روزانه (TB) حجم کل نسخه‌های پشتیبان (TB)
نوع نسخه پشتیبان روز ۱ روز ۲ روز ۳ روز ۴ روز ۵ روز ۶ روز ۷
نرم‌افزار رایگان کامل ۱.۰۰ ۱.۰۵ ۱.۱۰ ۱.۱۶ ۱.۲۲ ۱.۲۸ ۱.۳۴ ۸.۱۴
Synology Incremental ۱.۰۰ ۰.۰۵ ۰.۰۵ ۰.۰۶ ۰.۰۶ ۰.۰۶ ۰.۰۶ ۱.۳۴

راه‌حل جامع پشتیبان‌گیری Synology

راه‌حل پشتیبان‌گیری Synology می‌تواند به شما کمک کند تا تمام هزینه‌های پنهان ممکن را به حداقل برسانید. مقایسه هزینه‌های مجوز سایر فروشندگان راه‌حل‌های پشتیبان‌گیری با مجموعه ویژگی‌های مشابه نشان داده که راه‌حل Synology Active Backup تنها در سال اول، باعث صرفه‌جویی بیش از ۵۰ درصدی در هزینه‌ها می‌شود. وقتی آن را با Dell EMC یا HPE به‌عنوان سرورهای ذخیره‌سازی پشتیبان مقایسه می‌کنید، یا زمانی که نیاز به پشتیبان‌گیری از حجم کاری بزرگ‌تری دارید، صرفه‌جویی در هزینه‌ها می‌تواند بسیار چشم‌گیر باشد.

به طور خلاصه، با هزینه‌ای که برای مجوز نرم‌افزار پشتیبان می‌پردازید، برای سال اول می‌توانید در واقع یک Synology NAS دریافت کنید و در عین حال از بار کاری کسب‌وکار در ماشین‌های مجازی، سرورهای فیزیکی، Microsoft 365 و Google Workspace محافظت کنید. با Deduplication سرتاسری که از تجمیع داده‌های اضافی هنگام پشتیبان‌گیری از چندین دستگاه جلوگیری می‌کند، می‌توانید کارایی ذخیره‌سازی را بیشتر کنید. به عنوان مثال، کمپانی SHISEIDO، توانست به کمک Deduplication سرتاسری، استفاده از فضای ذخیره‌سازی را ۵۴ درصد (۲۸ ترابایت از مجموع ۵۸ ترابایت) در محیط تجاری خود کاهش دهد. بدون این فناوری، ذخیره ۳۰ ترابایت اطلاعات اضافی روی هارد دیسک و واحدهای توسعه می‌توانست تقریبا ۱۵۰۰ دلار هزینه داشته باشد.

مقاله پیشنهادی: “DSM 7.0: آینده مدیریت داده و ابر ترکیبی (hybrid-cloud)

جمع‌بندی

Synology Active Backup for Business باعث صرفه‌جویی در هزینه‌ها می‌شود. علاوه بر مزایای مالی، Active Backup همچنین بسیاری از ویژگی‌هایی را که می‌توانید در نرم‌افزار پشتیبان‌گیری مدرن داشته باشید، ادغام می‌کند. Synology Active Backup for Business به شما این امکان را می‌دهد تا وظایف پشتیبان‌گیری را از یک کنسول ساده مدیریت کنید و بازیابی سریع و مطمئن را تضمین می‌کند.

منبع

 

امنیت شبکه ، محصولات و امکانات جدید امنیت شبکه

محصولات و امکانات جدید امنیت شبکه

/۰ دیدگاه /در /توسط

سال‌های اخیر در حوزه محصولات امنیت شبکه، شلوغ و پرتکاپو بودند. در سال گذشته هم سخت‌افزار، نرم‌افزار و قابلیت‌های مدیریت ابری جدیدی معرفی شدند. در این مطلب، محصولات و قابلیت‌های جدید و عالی در دنیای امنیت شبکه که در چند ماه آینده ارائه خواهند شد را معرفی می‌کنیم. تمام این محصولات و امکانات جدید، از طریق Sophos Central مدیریت می‌شوند و امنیت شبکه را آسان‌تر و در عین حال قدرتمندتر می‌کنند.

دستگاه‌های سری XGS

دستگاه‌های سری XGS با پردازنده‌های اختصاصی Xstream Flow، حفاظت و عملکرد قدرتمند و اتصال پیشرفته، اولین دستگاه فایروال نسل بعدی هستند که همراه با سیستم عامل Sophos Firewall نسخه ۱۸.۵ راه‌اندازی شده‌اند. این پلتفرم سخت‌افزاری برای مدیران شبکه مهندسی شده و مشکلات رایجی را برطرف می‌کند؛ از جمله حفاظت از شبکه‌های بسیار متنوع، توزیع‌شده و رمزگذاری‌شده امروزی که بدون کاهش عملکرد شبکه صورت می‌گیرد.

سری جدید XGS با قیمتی مناسب، دنیای فایروال‌های شبکه را تغییر می‌دهند و از سخت‌افزار جدید هم پشتیبانی می‌کند. دستگاه‌های جدید XGS با معماری پردازنده دوگانه و Xstream طراحی شده‌اند و حفاظت و عملکردی مطلوب را ضمن پوشش Edge ارائه می‌دهند.

Sophos Firewall OS v18.5 MR1

Sophos Firewall OS v18.5 MR1 انبوهی از پیشرفت‌های جدید برای امنیت، بهبود عملکرد و ویژگی‌های مفید را ارائه می‌دهد. آخرین نسخه SFOS شامل بسیاری از بهبودهای مهم در زمینه عملکرد، امنیت و ویژگی است. SFOS تمام قابلیت‌های عالی منتشر شده در سال گذشته را در یک نسخه جدید و بزرگ که اکنون در همه دستگاه‌های در دسترس است، شامل می‌شود؛ دستگاه‌های سری XG، سری XGS، مجازی، نرم‌افزاری، AWS و Azure، همگی در SFOS پشتیبانی می‌شوند. SFOS v18.5 MR1 در حال حاضر برای تمام دستگاه‌های فایروال Sophos ارائه شده است.

SD-WAN VPN Orchestration

SD-WAN VPN Orchestration که از طریق Sophos Central مدیریت می‌شود، با خودکار کردن راه‌اندازی شبکه‌های پیچیده SD-WAN بین فایروال‌ها، صرفه‌جویی زیادی در زمان می‌کند. اگر تا به حال بیش از چند تونل VPN را بین فایروال‌های مختلف راه‌اندازی کرده باشید، می‌دانید که این فرآیند چقدر زمان‌بر و خسته‌کننده است. Sophos Central Orchestration اتصال تونل‌های VPN بین چندین فایروال Sophos را به یک کار سریع و آسان تبدیل می‌کند. سه پیش‌نیاز برای SD-WAN VPN Orchestration وجود دارد؛ فایروال‌های درگیر این پروسه باید بتوانند SFOS v18.5 MR1 را اجرا کنند، توسط Sophos Central مدیریت شوند و دارای مجوز آزمایشی یا مجوز Central Orchestration باشند.

Central Orchestration یک اشتراک مجوز جدید است که به صورت آزمایشی و ۳۰ روزه برای تمام دستگاه‌های فایروال Sophos که دارای SFOS هستند در دسترس است. Central Orchestration به عنوان بخشی از بسته جدید Xstream Protection برای Sophos Firewall، بدون پرداخت هزینه اضافی، گنجانده شده و به عنوان یک اشتراک مجوز جداگانه نیز در دسترس است.

مقاله پیشنهادی: “حفاظت از داده‌ها: ۱۰ نکته امنیتی

محصولات و امکانات آینده

علاوه بر این، تیم به تازگی بخش جدیدی با نام Partner Dashboard را در Sophos Central برای تمام شرکایی که فایروال‌های مشتری را مدیریت می‌کنند، راه‌اندازی کرده است. این قابلیت جدید، در واقع وضعیت تمام فایروال‌های تحت مدیریت را در یک نگاه و با دسترسی آسان به فایروال‌های هر مشتری ارائه می‌کند.

تعدادی از محصولات هیجان‌انگیز امنیت شبکه معرفی شده‌اند که انتشارشان برای چند ماه آینده برنامه‌ریزی شده است. همه این محصولات بخشی از Secure Access Portfolio هستند، که به شما امکان می‌دهد شبکه خود را چه در Edge و چه در Core، به‌طور ایمن و با انعطافی بیشتر از همیشه متصل کنید. در ادامه، محصولاتی که در ماه‌های آینده منتشر خواهند شد را معرفی خواهیم کرد.

امنیت شبکه ، محصولات و امکانات جدید امنیت شبکه

Sophos Firewall OS v19 با Xstream SD-WAN

نسخه بعدی SFOS تعدادی ویژگی هیجان‌انگیز را برای فایروال Sophos به ارمغان می‌آورد. از جمله Xstream SD-WAN با قابلیت‌های پیشرفته کاوش، عملکرد Multi-Link، نظارت و مسیریابی. همچنین شامل پیشرفت‌های بسیاری در زمینه VPN، از جمله شتاب Xstream FastPath IPsec و افزایش چشمگیر عملکرد و ظرفیت SSL است. قابلیت‌های جستجوی جدیدی هم در کنسول مدیریت و بخش‌های دیگر وجود دارد. انتظار می‌رود که دسترسی زودهنگام به این ویژگی‌های جدید در ماه اکتبر آغاز شود.

ویژگی‌های مدیریت Sophos Central

می‌توانید برای ماه‌های آینده منتظر چندین ویژگی مدیریت فایروال مرکزی باشید که مهم‌ترین‌هایشان شامل موارد زیر می‌شوند و طی چند ماه آینده عرضه خواهند شد:

  • توکن بدون اعتبار فایروال‌های جدید برای شرکا
  • تعریف قانون مرکزی برای محافظت از قوانین فایروال در برابر تغییرات محلی
  • دسترسی API به بسیاری از ویژگی‌های مدیریتی
  • پیشرفت‌های بیشتر در SD-WAN VPN Orchestration برای پشتیبانی از افزونگی Multi-Tunnel و سناریوهای Failover

Sophos Zero Trust Network Access (ZTNA)

Sophos Zero Trust Network Access در دسترسی اولیه‌اش عملکرد موفقی داشت و اکنون آماده انتشار در دسامبر است. Sophos ZTNA دسترسی ایمن از راه دور به برنامه‌ها و داده‌های شرکتی را آسان می‌کند. این راه‌حل بسیار بهتری نسبت به VPN برای دسترسی از راه دور است. علاوه بر این، امنیت و Micro Segmentation بهتری را ارائه می‌دهد و جلوی حملات احتمالی باج‌افزارها را می‌گیرد.

سوئیچ Sophos

در اوایل دسامبر، سوئیچ جدید Sophos راه‌اندازی شد. این سوئیچ‌های لایه دسترسی، کل شبکه شما را قادر می‌سازند که توسط یک پنل مشترک در ابر و از طریق Sophos Central مدیریت شوند. مدل‌های ۸، ۲۴ و ۴۸ پورت و گزینه‌های مختلف PoE برای هر شبکه وجود خواهد داشت. سوئیچ جدید Sophos، از Synchronized Security و Security Heartbeat Enforcement پشتیبانی و امنیت منحصر به فرد و قدرتمندی را برای شبکه فراهم می‌کند.

Sophos Wireless

از ماه اکتبر، همه حساب‌های Sophos Central به صورت کاملا رایگان به مدیریت Sophos Wireless دسترسی خواهند داشت. این بدان معناست که همه می‌توانند از Sophos Central برای مدیریت نقاط دسترسی بی‌سیم خود استفاده کنند. این امکان، مقیاس‌پذیری و ویژگی‌های بیشتری را نسبت به شبکه‌های بی‌سیم مدیریت‌شده با فایروال ارائه می‌دهد. از ماه اکتبر با انتقال مدیریت نقطه دسترسی بی‌سیم به Sophos Central، می‌توانید بدون پرداخت هزینه از این مزیت استفاده کنید.

جمع‌بندی

محصولات و امکانات جدیدی که معرفی شدند، نوید امنیت شبکه بیشتر شبکه را برای سال آینده می‌دهند. دستگاه‌های سری XGS، Sophos Firewall OS v18.5 MR1 و SD-WAN VPN Orchestration همین حالا هم در دسترس قرار دارند. Sophos Firewall OS v19 با Xstream SD-WAN، ویژگی‌های مدیریت Sophos Central، Sophos Zero Trust Network Access (ZTNA)، سوئیچ Sophos و Sophos Wireless هم به‌زودی و طبق برنامه‌ریزی عرضه خواهند شد.

منبع

 

فناوری‌های رمزگذاری Hyper Backup

فناوری‌های رمزگذاری Hyper Backup

/۰ دیدگاه /در /توسط

برای حفاظت از دارایی‌های ارزشمند، همیشه سعی می‌کنیم بیشترین سطح از ایمنی را فراهم کنیم. فرض کنید شما مجموعه‌ای از جواهرات گرانبها دارید. برای محافظت از آن‌ها در برابر سرقت، در جعبه جواهرات را قفل می‌کنید، اما حس می‌کنید این کار به اندازه کافی ایمن نیست. بنابراین شما به بانک مراجعه کرده و جواهرات خود را در یک صندوق امانات که به‌طور ایمن نگهداری می‌شود قرار می‌دهید. این کار را برای محافظت بیشتر و آرامش خاطر انجام می‌دهید.

در دنیای امروز، داده‌ها اهمیت زیادی دارند و برای محرمانه نگه داشتن آن‌ها باید تا آنجا که می‌توانیم تلاش کنیم. کسب و کارها باید جلوی از دست رفتن داده‌های ارزشمند خود به دلیل اشتباهات انسانی و خرابی سخت‌افزار را بگیرند. در عین حال، آن‌ها باید از نقض داده‌ها و نسخه‌های پشتیبان به دلیل دسترسی‌های غیرمجاز، نشت‌های ناخواسته و حملات مخرب جلوگیری کنند. Synology C2 Storage به کاربران ابزاری برای اطمینان از در دسترس بودن داده‌ها در فضای ابری و اطمینان از تداوم کسب و کار در هر زمان ارائه می‌دهد. برای حفاظت از داده‌ها از رمزگذاری استفاده می‌شود. فناوری‌های رمزگذاری AES-256 و RSA-2048، داده‌های پشتیبان شما را عملا در برابر دسترسی‌های غیرمجاز و حملات مخرب، غیرقابل نفوذ می‌کنند. اما این فناوری‌ها دقیقا چه هستند و چطور کار می‌کنند؟

AES-256 (Advanced Encryption Standard)

AES یک الگوریتم استاندارد رمزگذاری پیشرفته و متقارن است. رمزگذاری متقارن به این معنی است که برای رمزگذاری و رمزگشایی از یک کلید مشترک استفاده می‌شود. هر نسخه از فایل‌های پشتیبان، با یک کلید AES که به طور تصادفی تولید می‌شود، رمزگذاری شده و برای رمزگشایی داده‌ها هم به همان کلید نیاز خواهید داشت. اندازه کلیدها ۲۵۶ بیتی است که پیچیده‌ترین حالت در بین کلیدهای ۱۲۸، ۱۹۲ و ۲۵۶ بیتی است؛ این همان چیزی است که شکستن AES-256 را بسیار دشوار می‌کند.

RSA-2048 (Rivest–Shamir–Adleman)

برای افزودن یک لایه حفاظتی اضافی به AES، یک بار هم توسط یک کلید عمومی RSA-2048 رمزگذاری می‌شود. RSA برعکس AES، نامتقارن است. الگوریتم رمزگذاری مورد استفاده برای ایمن‌سازی انتقال داده‌ها در واقع با یک جفت کلید انجام می‌شود؛ یک کلید عمومی و یک کلید خصوصی که به ترتیب برای رمزگذاری و رمزگشایی استفاده می‌شود. پیام رمزگذاری شده با کلید عمومی، فقط توسط کسی که کلید خصوصی را در اختیار دارد قابل رمزگشایی است.

مقاله پیشنهادی: “راهکار مقابله با آسیب‌پذیری Log4J از طریق قابلیت IPS

AES و RSA: یک ترکیب عالی

هنگامی که از طریق Hyper Backup برای پشتیبان‌گیری داده‌ها از NAS سمت کلاینت روی Cloud سمت سرور اقدام می‌کنید، در واقع دو کلید AES-256 ایجاد می‌شود؛ یکی برای نام فایل و دیگری برای نسخه پشتیبان. نام فایل‌ها غیرقابل خواندن می‌شود تا مخفی نگه داشتن آن‌ها راحت‌تر باشد. با رمزگذاری نام فایل، هیچ‌کس در سمت سرور نام فایل شما را نمی‌بیند. در مورد کلید نسخه پشتیبان هم شرایط مشابه است؛ برای هر نسخه پشتیبان به صورت تصادفی یک کلید تولید می‌شود و هنگامی که پشتیبان‌گیری انجام شد، پیش از اینکه داده‌های پشتیبان به سمت سرور بروند، کلید نسخه توسط یک کلید عمومی RSA رمزگذاری می‌شود.

شکل زیر کلیت این پروسه را نمایش می‌دهد. فرض کنید یک پشتیبان (نسخه ۱) ایجاد می‌کنید. یک کلید برای نام فایل و یک کلید برای نسخه ۱ ایجاد شده که توسط AES-256 محافظت می‌شوند. برای تقویت بیشتر حریم خصوصی و امنیت داده‌ها، کلید نسخه ۱ با استفاده از کلید عمومی RSA-2048 رمزگذاری خواهد شد. مطمئن باشید که اطلاعات پشتیبان شما در حال حاضر امن و سالم است زیرا تمام مواردی که در سمت سرور قرار خواهند گرفت، رمزگذاری شده‌اند.

تا اینجا همه چیز در رابطه با رمزگذاری بود و حالا وقت آن است که در مورد نحوه بازیابی یک نسخه پشتیبان صحبت کنیم. برای کلید نام فایل، از آنجایی که از یک الگوریتم متقارن استفاده شده، برای رمزگشایی نام فایل، به همان کلید استفاده شده برای رمزگذاری نیاز است. کار ساده‌ای به نظر می‌رسد، اما در مورد کلید نسخه، شرایط کمی پیچیده می‌شود. برای رمزگشایی کلید نسخه محافظت شده با AES باید از یک کلید خصوصی RSA استفاده شود.

کلیدها چگونه توزیع می‌شوند؟

در سمت مشتری، یک کلید عمومی RSA و یک کلید نام فایل که Hard-code شده داریم. هنگام راه‌اندازی Hyper Backup Explorer، از شما خواسته می‌شود یک رمز عبور برای دریافت کلید خصوصی RSA تنظیم کنید. حفظ این کلید خصوصی از اهمیت بالایی برخوردار است، زیرا هر چیزی که توسط کلید عمومی رمزگذاری شده باشد، فقط توسط آن قابل رمزگشایی خواهد بود. توصیه اکید می‌شود که کلید خصوصی را در NAS خود آپلود کنید. کلید رمزگذاری که از Hyper Backup دانلود شده، تا وقتی توسط شخص شما در جای دیگری ذخیره نشود، فقط در NAS باقی می‌ماند. این سیاست به این معناست که هیچ‌کس، حتی Synology، نمی‌تواند داده‌های شما را رمزگشایی کند. اما در چنین شرایطی، اگر کلید خصوصی را از دست دهید، آیا به این معنی است که داده‌های خود را برای همیشه از دست داده‌اید؟!

خیر! Synology به سادگی اجازه نمی‌دهد چنین اتفاقی رخ دهد و به اندازه شما برای داده‌هایتان ارزش قائل است! شما می‌توانید به عنوان آخرین راه حل، کلید خصوصی محافظت شده با رمز عبور ذخیره شده در سمت سرور را درخواست دهید. پس تا زمانی که رمز عبورتان را فراموش نکنید، همچنان می‌توانید به داده‌های پشتیبان خود به صورت یکپارچه دسترسی داشته باشید. توجه داشته باشید که اگر کلید خصوصی را گم کنید و رمز عبور را هم فراموش کنید، اطلاعات برای همیشه از بین خواهند رفت! اقدامات احتیاطی را همان‌طور که در بالا ذکر شده انجام دهید تا از وقوع چنین شرایطی جلوگیری کنید.

جمع‌بندی: جای اطلاعات امن است

از آنجایی که مراکز داده Synology C2 داده‌های ورودی را تنها با حساب Synology شما تشخیص می‌دهند، در هر عملیاتی که انجام می‌دهید، فقط و فقط شما به داده‌هایتان دسترسی دارید. می‌توانید رمزگذاری سمت کلاینت را از طریق Hyper Backup فعال کنید تا داده‌های خود را با AES-256، قبل از ارسال به مراکز داده Synology C2 رمزگذاری کنید. به علاوه، NAS و Synology C2 از طریق کانال‌های امن با رمزگذاری SSL با هم ارتباط برقرار می‌کنند. هنگام ورود به Synology C2 خود، می‌توانید این احراز هویت دو مرحله‌ای را فعال کنید تا سطح امنیت را افزایش دهید.

منبع

 

Fortinet LAN Edge

Fortinet LAN Edge: چشم‌انداز زیرساخت شبکه

/۰ دیدگاه /در /توسط

Fortinet دنیای دیجیتالی را ممکن ساخته که همیشه می‌توانیم برای محافظت از افراد، دستگاه‌ها و داده‌ها در هر شرایطی به آن اعتماد کنیم. به همین دلیل است که بزرگترین شرکت‌ها، ارائه‌دهندگان خدمات و سازمان‌های دولتی، Fortinet را برای ایمن‌سازی دیجیتالی خود انتخاب می‌کنند. پلتفرم Fortinet Security Fabric حفاظت‌های گسترده، یکپارچه و خودکار را در کل سطح حمله دیجیتال ارائه می‌دهد و دستگاه‌ها، داده‌ها، برنامه‌ها و اتصالات مهم را از مرکز داده و ابر گرفته تا دفاتر خانگی ایمن می‌کند. بیش از ۵۵۰ هزار مشتری در سراسر جهان، برای محافظت از کسب و کار خود به Fortinet اعتماد دارند.

چرا LAN Edge؟

LAN یکی از بزرگترین سطوح حمله در شبکه سازمان‌ها را شامل می‌شود و تعداد و انواع دستگاه‌ها و برنامه‌های متصل به این شبکه به طور تصاعدی در حال رشد است. در حالی که کاربران نهایی بدون در نظر گرفتن نوع اتصالشان، انتظار تجربه سرعتی بالا را دارند، فناوری اطلاعات نیازمند افزایش امنیت، کاهش سربار و پیچیدگی است. راه حل Fortinet LAN Edge، مدیریت شبکه را با FortiGate ادغام می‌کند که منجر به امنیت جامع در کل زیرساخت LAN و ساده‌تر شدن مدیریت می‌شود.

SD-Branch ایمن

از آنجایی که عموم شبکه‌ها از SD-WAN پشتیبانی می‌کنند و برنامه‌های خود را با ابزارهای مبتنی بر ابر گسترش می‌دهند، تمایل به ادغام اجزای شبکه شعب برای جلوگیری از پیچیدگی وجود دارد. شرکت‌ها به راه‌حل‌هایی نیاز دارند که امنیت شبکه، WAN و LAN آن‌ها را همگرا کند تا ضمن حفظ امنیت، کیفیت  خوب تجربه نهایی را تضمین کنند.

ادغام SD-WAN و LAN

Fortinet با ترکیب روتر، فایروال، SD-WAN و کنترل‌کننده LAN در یک دستگاه، پراکندگی دستگاه را در شعبه کاهش می‌دهد.

شبکه امنیت‌محور

Fortinet تنها فروشنده‌ای است که خدمات امنیتی پیشرو در صنعت را با WAN و LAN بومی همگرا می‌کند و امکان مدیریت یکپارچه خدمات شبکه شعب را برای ساده‌سازی و صرفه‌جویی در زمان فراهم می‌کند.

مزایای LAN Edge

Fortinet راه حل LAN Edge را سرشار از ویژگی‌های مختلف ارائه می‌دهد. با این راه حل، مشتریان می‌توانند مزایای زیر را دریافت کنند:

    • سطح بالای امنیت با کاهشTCO: راه حلFortinet LAN Edge با ترکیب تمام ویژگی‌های کلیدی آن در فایروال نسل بعدی FortiGate، بدون نیاز به مجوزهای اضافی، TCO کلی را کاهش می‌دهد و همپوشانی‌ها را به‌منظور بهبود امنیت و ایجاد دید بهتر از شبکه حذف می‌کند. هیچ مجوز یا هزینه اضافی برای فعال کردن مدیریت LAN Edge مورد نیاز نیست و حتی ویژگی‌های کنترل دسترسی شبکه (NAC) را می‌توان بدون نیاز به مجوزهای اضافی و اغلب پرهزینه فعال کرد و مورد استفاده قرار داد.

    • مدیریت ساده‌شده: راه حل Fortinet LAN Edge با استفاده از یک پلتفرم مدیریتی که مرکز مدیریت Fortinet نام دارد، مدیریت شبکه و حفظ امنیت آن را ساده می‌کند. Fortinet که مستقیما از داخل فایروال نسل بعدی FortiGate مدیریت می‌شود، انعطاف‌پذیری بالایی را ارائه می‌دهد. به کمک قابلیت‌های هوش مصنوعی و یادگیری ماشین، مدیریت حتی در شرکت‌های بزرگ ساده‌تر می‌شود.

    • عملکرد بهبود یافته: راه حل Fortinet LAN Edge از هوش مصنوعی برای کاهش پیچیدگی LAN با متمرکز کردن مدیریت آن و استفاده از عملکردهای امنیتی در دستگاه FortiGate استفاده می‌کند. با یک دید واحد از شبکه‌های پیچیده LAN، تیم‌های فناوری اطلاعات می‌توانند از اختلالات کمتر و عملکرد کلی بهتر اطمینان حاصل کنند.

    • ادغام یکپارچه با Fabric امنیتی Fortinet: توانایی اشتراک‌گذاری اطلاعات در تمام لبه‌های شبکه، به Fortinet Security Fabric که بهترین پلتفرم Mesh در زمینه امنیت سایبری شبکه را دارد، اجازه می‌دهد تا دید کامل و جامعی از هر نوع شبکه، شامل LAN، WAN و حتی Cloud ایجاد کند. به کمک هوش مصنوعی، مدیریت کاملا هوشمند شده و می‌تواند از مجموعه گسترده‌تری از داده‌ها برای تصمیم‌گیری آگاهانه‌تر استفاده کند.

    • کاهش هزینه و پیچیدگی: با LAN Edge، هزینه استقرار به طور قابل توجهی کاهش پیدا می‌کند. ویژگی‌های پایه NAC نیز بدون هزینه اضافی، به صورت پیش‌فرض در آن گنجانده شده است.

ضمن بلوغ و تکاملی که در بازار امنیت سایبری حس می‌شود، Fortinet همچنان متعهدانه به ادامه نوآوری می‌پردازد. Fortinet معتقد است که راه حل LAN Edge، به دلیل تمرکز بیشتر بر ویژگی‌ها از عموم روش‌هایی که بیشتر بر مجوز تمرکز دارند متمایز شده است. راه حل LAN Edge، امنیت را با طراحی اصولی و ادغام پلتفرم با تجهیزات هوشمند داخلی که نیازهای نوآوری دیجیتال را برطرف می‌کند و به همین دلیل از رقبایش متمایز است.

کسب عنوان Visionary در Gartner Magic Quadrant

Fortinet که در ارائه راه حل‌های امنیت سایبری گسترده، یکپارچه و خودکار در سطح جهانی پیشرو است، اعلام کرد در سال ۲۰۲۱ برای دومین سال عنوان Visionary در Gartner Magic Quadrant برای زیرساخت‌های شبکه باسیم و بی‌سیم سازمانی را از آن خود کرده است. جان مدیسون، مدیر ارشد بازاریابی Fortinet در این‌باره گفته:

«راه حل Fortinet LAN Edge با اتخاذ رویکرد شبکه‌ای مبتنی بر امنیت، ویژگی‌های قوی امنیتی و مدیریت ساده شده به‌کمک هوش مصنوعی و یادگیری ماشینی را برای حمایت از ابتکارات نوآوری دیجیتال مشتریان ارائه می‌دهد. ما بر این باوریم که کسب افتخار در Gartner Magic Quadrant 2021 در زمینه زیرساخت شبکه باسیم و بی‌سیم سازمانی برای دومین سال پیاپی، گواهی بر تعهد مستمر Fortinet به نوآوری و ارائه راه حل‌های امنیت شبکه‌ هوشمند و یکپارچه است.»

Fortinet معتقد است که دریافت این عنوان، تا حد زیادی به دلیل توانایی آن‌ها در ارائه راه حل هوشمند LAN Edge به مشتریان است که مجموعه‌ای قوی از ویژگی‌ها، از جمله کنترل دسترسی داخلی (NAC) و امنیت یکپارچه و فراگیر را ارائه می‌دهد. مدیریت ساده با پشتیبانی هوش مصنوعی و یادگیری ماشین هم از فاکتورهای مهمی است که به آن اشاره شده است. Fortinet با ارائه یک راه حل Edge برای شبکه‌های LAN که رویکرد شبکه مبتنی بر امنیت را به مشتریان ارائه می‌دهد. این راه حل سازمان‌ها را قادر می‌سازد تا زیرساخت شبکه و معماری امنیتی خود را برای ارائه ساده‌تر نتایج در زمینه نوآوری‌های دیجیتال یکپارچه کنند. همچنین به تیم‌های فناوری اطلاعات اجازه می‌دهد به جای صرف زمان برای مدیریت مشکلات رایج شبکه، بر روی ابتکارات استراتژیک تمرکز کنند.

منبع 

طراحی سریع: محاسبات و ذخیره‌سازی سطح‌بالا

طراحی سریع: محاسبات و ذخیره‌سازی سطح‌بالا

/۰ دیدگاه /در /توسط

نسل جدیدی از طراحی به‌کمک کامپیوتر و با نرم‌افزارهای مشارکتی پدید آماده که پروسه تولید را دگرگون کرده است. حالا دیگر مهندسان و طراحان می‌توانند مشکل‌ها را با اهداف و محدودیت‌ها تعریف کنند و ایجاد راه‌حل را به هوش مصنوعی بسپارند. طی رویداد Supercomputing در سال ۲۰۲۱، راه‌حل‌های جدیدی برای کمک به مشتریان در زمینه افزایش سرعت بازار با مهندسی و طراحی به‌کمک کامپیوتر معرفی شد. همچنین خدمات مدیریت توسعه‌یافته HPC/AI، PowerSwitch جدید Dell EMC و گزینه‌های شتاب‌دهنده جدید برای سرورهای PowerEdge معرفی شد. تمام این موارد برای همراهی با سازمان‌ها برای انجام مدل‌سازی بهتر کاهش و حجم کاری فشرده شبیه‌سازی در مواردی مثل توسعه محصول طراحی شده‌اند.

بهبودهای کوچک، مزایای رقابتی بزرگ

در مسابقات فرمول یک، اتومبیل‌ها با سرعتی بالغ بر ۲۰۰ مایل در ساعت مسابقه می‌دهند. تفاوت‌های کوچکی در آیرودینامیک خودرو می‌تواند نتیجه مسابقه را تغییر دهد. اختلاف سریع‌ترین و کندترین خودروها در مسابقات فرمول یک، به‌صورت میانگین ۴ درصد است.‌ این اختلاف در مورد پنج خودروی برتر به ۰.۱۵ درصد می‌رسد!‌ در چنین شرایطی حتی کوچک‌ترین بهبود می‌تواند به یک مزیت بزرگ تبدیل شود. بسیاری از این بهینه‌سازی‌ها با استفاده از دینامیک سیالات محاسباتی (CFD) انجام می‌شوند. این مطالعات پیچیده از طریق جدیدترین زیرساخت High Performance Computing یا همان HPC در مقر مک‌لارن در بریتانیا انجام می‌شود. برای تصمیم‌گیری‌های حیاتی در مورد مسابقات و ماشین‌ها، مهندسان مک‌لارن به‌کمک یک مرکز داده ماژولار، به داده‌ها در زمان واقعی دسترسی پیدا می‌کنند.

ادوارد گرین، معمار دیجیتال اصلی در مک‌لارن ریسینگ، در این مورد می‌گوید: «ماشین‌های ما در هر ثانیه حجم زیادی از داده‌ها را منتقل می‌کنند. هر خودرو داده‌های کلیدی مربوط به اندازه‌گیری را در لحظه انتقال می‌دهد و زیرساخت‌های فناوری اطلاعات ما که در پیست متسقر هستند، از طریق Dell Technologies داده‌ها را به مهندسان دفتر مرکزی منتقل می‌کنند. همکاران ما در دفتر مرکزی، از HPC و شبیه‌سازی‌های پیشرفته برای یافتن راه‌هایی برای افزایش حداکثری عملکرد استفاده می‌کنند.»

به‌منظور سازگار کردن HPC برای مهندسی و طراحی به کمک کامپیوتر، طرح‌های جدید و به‌روزرسانی‌شده Dell Technologies Validated برای Siemens Simcenter Star CCM+ در دسترس هستند. این سیستم‌ها، نوآوری‌هایی در زمینه مهندسی را با شبیه‌سازی CFD بر روی جدیدترین سرورهای Dell EMC PowerEdge با شبکه PowerSwitch و InfiniBand، در کنار گزینه‌هایی برای ذخیره‌سازی HPC ارائه می‌کنند. با اعتبارسنجی مهندسی، اندازه‌گیری و نتایج معیار، نصب، پیکربندی و مدیریت این سیستم‌های مقیاس‌پذیر آسان می‌شوند و خدمات و پشتیبانی آن‌ها به راحتی در دسترس خواهد بود.

تغییرات بزرگ برای محیط زیست

Wirth Research در سال‌های اولیه خود، از سیستم‌های HPC داخلی برای اجرای بارهای کاری CFD استفاده می‌کرد و با گذشت زمان، این سیستم‌ها به یک خوشه بزرگ با مصرف بالای انرژی تبدیل شدند. این موضوع پارادوکس عظیمی را برای شرکت ایجاد کرد؛ با اینکه Wirth Research روزانه به مشتریان زیادی کمک می‌کرد تا مصرف انرژی خود را کاهش دهند، اما خودش برای انجام این کار انرژی بسیار زیادی مصرف می‌کرد! راب راسل، رئیس محیط زیست در Wirth Research در این‌ مورد می‌گوید: «ما همیشه نسبت به پایداری انرژی اشتیاق خاصی داشتیم. از طرفی به واسطه همه‌گیری ویروس کرونا، شرایط افراد زیادی را مجبور به دورکاری کرد. این دو فاکتور در کنار هم، باعث شد فرصتی را ببینیم که ردپای کربن خود را با جابجایی منابع محاسباتی خود به Verne Global در ایسلند کاهش دهیم. اکنون ما می‌توانیم با استفاده از ابزارهای مناسب، راه‌حل‌های پایداری بدون ردپای کربن را به مشتریان خود ارائه کنیم. من تا امروز شخص دیگری را نمی‌شناسم که از پس انجام این کار برآمده باشد.»

Verne Global، شریک و ارائه‌دهنده خدمات Dell Technologies است که انتقال به منابع میزبانی‌شده از دسکتاپ مجازی به HPC/AI را برای مشتریانش آسان می‌کند. این شرکت خدمات و قابلیت‌هایی را ارائه می‌کند که پا را فراتر از ارائه‌های عمومی زیرساخت به‌عنوان سرویس برای مراکز داده ابری در مقیاس امروزی گذاشته است. این شرکت از طریق ارائه خدمات مدیریت شده HPC، سرورهایی با امکان سفارشی‌سازی را به صورت رزرو شده و بر اساس تقاضا، با تمام منابع پشتیبانی‌شده توسط تیم فنی HPC ارائه می‌دهد. نکته قابل توجه اینجاست که انرژی لازم برای همه این سرویس‌ها از منابع انرژی پاک ایسلند با قیمتی قابل‌قبول تامین می‌شود.

قابلیت‌های جدید Dell EMC PowerSwitch و PowerEdge GPU

سوئیچ جدید Dell EMC PowerSwitch S5448F-ON به مشتریانی که از آخرین نسل سرورها، بسترهای ذخیره‌سازی و زیرساخت‌های فوق‌همگرا استفاده می‌کنند، این امکان را می‌دهد که ضمن ارائه چابکی، اتوماسیون و یکپارچگی در مرکز داده، توان عملیاتی را افزایش دهند. علاوه بر تراکم بالاتر با سرعت GbE ۴۰۰/۱۰۰، S5448F-ON جدید به ساده‌سازی طراحی شبکه‌های پیچیده، یادگیری ماشینی، تجزیه و تحلیل پیش‌بینی و استقرار و نگهداری در هنگام اجرای Dell EMC SmartFabric OS10 با سرویس‌های SmartFabric یکپارچه یا Dell EMC CloudIQ برای نظارت مبتنی بر ابر کمک می‌کند.

Dell Technologies در سرورهای Dell EMC PowerEdge، اکنون از پردازنده‌های گرافیکی AMD Instinct Mi-210 استفاده می‌کند. همچنین پردازنده‌های گرافیکی NVIDIA A2 و A16 Tensor Core هم در دسترس هستند که برای سرعت بخشیدن به هر چیزی از Workstationهای مجازی گرفته تا حجم‌های کاری مهندسی و طراحی به کمک کامپیوتر به‌کار می‌آیند.

منبع

SSDهای سازمانی

۳ دلیل برای انتخاب SSDهای سازمانی

/۰ دیدگاه /در /توسط

هنگام خرید SSD، برای اکثر کاربران عملکرد و قیمت تنها فاکتورهای انتخاب هستند. شما برای پیکربندی حافظه پنهان SSD در NAS یا برای بهره‌مندی از ذخیره‌سازی تمام‌فلش حاضرید چقدر هزینه کنید؟ آمارها نشان می‌دهند که متوسط هزینه‌ای که کاربران Synology برای هر گیگابایت SSD که روی مدل‌های پیشرفته‌ای مثل xs و xs+ نصب کرده‌اند، ۰.۳۱ دلار آمریکاست. این نشان می‌دهد که با وجود حساسیت کاربران Synology روی قیمت، آن‌ها همچنین به دنبال افزایش عملکرد هم هستند. کافیست عبارت «عملکرد SSD» را جستجو کنید تا اطلاعات زیادی در مورد مشخصات SSD پیدا کنید و بتوانید اعداد و ارقام ارائه‌شده را تفسیر کنید. به عنوان مثال ۴K IOPS جزو مشخصاتی است که لازم است توجه ویژه‌ای به آن داشته باشید؛ زیرا عملکرد خواندن و نوشتن تصادفی فایل‌های کوچک ۴K می‌تواند عملکرد واقعی SSD را با دقت خوبی منعکس کند. با خواندن ارقام مربوط به عملکرد در برگه مشخصات، به دو واقعیت پی خواهید برد:

  • تنها یک عدد برای عملکرد خواندن و نوشتن تصادفی ۴K وجود دارد.
  • عملکرد برخی از SSD‌های درجه یک سازمانی، حتی ضعیف‌تر از SSD‌های معمول است.

دلیل اول: عملکرد پایدار

وقتی تست دقیق عملکرد را مشاهده می‌کنید، ممکن است متوجه شوید که عملکرد SSD در طول زمان تغییر خواهد کرد. فروشندگان SSD ارقام مربوط به عملکرد را تنها با شرایط خاصی مشخص می‌کنند. برای SSDهای  معمول که برای کاربران عادی تولید می‌شوند، ارقام IOPS عالی به نظر می‌رسند و به ۱۴۰ هزار هم می‌رسند. گرچه نتایج در مراحل اولیه نسبتا بالا و از صفر تا حدود ۳۰۰ ثانیه باقی می‌مانند، اما مدتی بعد به میزان چشمگیری کاهش پیدا می‌کنند. با توجه به اوج و فرودهای چشمگیر، اعداد به‌صورت سینوسی در نوسان هستند. در سوی دیگر، SSDهای سازمانی در تضاد کامل با SSD کاربران عادی است؛ منحنی IOPS آن‌ها در طول زمان به‌شکل واضحی پایدارتر است و از آنجایی که ارقام در طول زمان افزایش و کاهش شدیدی ندارند و نسبتا ثابت باقی می‌مانند، عملکرد کلی SSDهای سازمانی پایدارتر و قابل اطمینان‌تر است.

۳ دلیل برای انتخاب SSDهای سازمانی

دلیل دوم: استقامت و Over-provisioning

یکی از عوامل کلیدی در SSDهای سازمانی که باعث پایداری بیشتر عملکرد می‌شود، ظرفیت پیش‌فرضی است که برای عملیات Over-provisioning در نظر گرفته شده است. اگر تجربه نصب SSD یک ترابایتی را داشته باشید، حتما متوجه شده‌اید که تنها ۹۶۰ گیگابایت از این فضا در اختیار شما قرار دارد. ۶۴ گیگابایت از SSD یک ترابایتی که در واقع ۶.۲ درصد از کل ظرفیتش است، به Over-provisioning اختصاص داده می‌شود. اما چه دلیلی برای این کار وجود دارد؟

یک SSD پس از تعداد محدودی از چرخه‌های پاک کردن اطلاعات به پایان عمر خود می‌رسد. از آنجایی که دستور رونویسی در فلش NAND در دسترس نیست، یک بلوک NAND قبل از رونویسی باید پاک شود. بلوک کوچک‌ترین واحد ذخیره‌سازی است که از چندین صفحه تشکیل شده است. نوشتن‌های مکرر می‌تواند منجر به فرسایش سلول‌های حافظه و در نتیجه، کاهش طول عمر SSD شود.

برای کاهش فرسایش و افزایش طول عمر SSD، اغلب از تکنیک‌هایی مانند Garbage collection یا Wear-leveling استفاده می‌شود. Garbage collection فرآیندی است که در آن در حالی که صفحات معتبر به بلوک‌های آزاد منتقل می‌شوند، بلوک‌های حاوی صفحات نامعتبر پاک می‌شوند. Wear-leveling هم الگوریتمی است که بلوک‌های پرکاربرد را با بلوک‌های آزاد تعویض می‌کند تا عملیات نوشتن و پاک کردن، به‌طور مساوی بین تمام بلوک‌ها پخش کند. در واقع با یکسان‌سازی مصرف بلوک‌ها، از فرسودگی زودهنگام آن‌ها جلوگیری می‌کند. هر دوی این تکنیک‌ها نیاز به تخصیص فضای اضافی دارند. Over-provisioning عملکردی است که با در اختیار گرفتن بخشی از کل ظرفیت SSD، فضای اضافی لازم برای دو تکنیک فوق را فراهم می‌کند تا کنترل‌کننده SSD بتواند با اجرای آن‌ها، باعث افزایش عملکرد و عمر مفید SSD‌ شود.

۳ دلیل برای انتخاب SSDهای سازمانی

نکته: اگر با کندی SSD Cache در NAS مواجه شده‌اید، می‌توانید مقدار آن را روی ۶۵ درصد از ظرفیت ذخیره‌سازی تنظیم کنید تا عملکرد پایدار پیشین را بازگردانید.

هدف اصلی Over-provisioning، افزایش طول عمر SSD است، بنابراین ارتباط نزدیکی با استقامت آن دارد. برای انتخاب SSD مناسب، می‌توانید مقادیر مجموع نوشتن کلی (TBW) یا مجموعه نوشتن در روز (DWPD) را مدنظر قرار دهید. اگر ظرفیت و مدت گارانتی درایو خود را می‌دانید، می‌توانید با فرمول زیر TBW را به DWPD یا برعکس تبدیل کنید:

TBW = DWPD * ۳۶۵ * ظرفیت درایو (به ترابایت) * زمان باقی‌مانده از گارانتی (به سال)

DWPD = ۳۶۵ * ظرفیت درایو (به ترابایت) * زمان باقی‌مانده از گارانتی (به سال) / TBW

به عنوان مثال، فرض کنید مقدار TBW برای یک SSD با ظرفیت ۱.۹۲ ترابایت که دارای ضمانت‌ ۵ ساله است، ۱۴۰۰ مشخص شده باشد. پس می‌توانیم با استفاده از فرمول دوم به رقم ۰.۴ برای DWPD برسیم که یعنی شما می‌توانید از ۴۰ درصد ظرفیت درایو که ۷۶۸ گیگابایت می‌شود استفاده کنید.

دلیل سوم: حفاظت در برابر نوسانات برق

در هر SSD، یک Cache برای بهینه‌سازی عملیات نوشتن وجود دارد. دستورات نوشتن ابتدا در Cache انباشته می‌شوند و پس از رسیدن به عددی مشخص، عملیات نوشتن انجام می‌گیرد. اگر زمانی که داده‌ها هنوز در Cache هستند به هر دلیلی با قطعی برق مواجه شوید، احتمال از دست دادن داده‌هایی که هنوز نوشته نشده‌اند وجود دارد. اینجاست که نوبت به بافر ذخیره‌کننده می‌رسد؛ بیشتر SSDهای سازمانی به خازن یا باتری‌های کوچک مجهز هستند تا در صورت قطع ناگهانی برق، مطمئن شوند داده‌ها همچنان روی SSD نوشته می‌شوند. در صورتی که افت ولتاژ رخ دهد، کنترل‌کننده SSD انرژی لازم برای نوشتن هرآنچه که هنوز در Cache قرار دارد را از طریق خازن تامین می‌کند. با چنین فرآیندی، خطر از دست دادن داده‌ها کاهش چشم‌گیری پیدا می‌کند.

جمع‌بندی

با بلوغ فناوری SSD و تبدیل شدن به جریان اصلی، SSD‌های موجود از نظر فاکتورها، قابلیت‌ها و ظرفیت‌هایی که ارائه می‌دهند متفاوت شده‌اند. برای کسب‌وکارها با توجه به حجم کاری بیشتر، انتخاب SSD مناسب به یک ضرورت تبدیل شده است. با این حال، اگر در تصمیم‌گیری خرید فقط قیمت و عملکرد را به‌عنوان فاکتور در نظر بگیرید، احتمالا در آینده متضرر خواهید شد؛ چه از نظر الزام به هزینه مجدد برای تهیه SSD جدید، چه خطر از دست دادن داده‌ها. عملکرد پایدار، استقامت SSD و حفاظت در برابر نوسانات برق، سه فاکتور مهمی هستند که لازم است حتما در نظر بگیرید. در نهایت امیدواریم گزینه‌ای را پیدا کنید که به بهترین وجه با نیازهای شما مطابق باشد.

منبع

حفاظت از داده‌ها

حفاظت از داده‌ها: ۱۰ نکته امنیتی

/۱ دیدگاه/در /توسط

در سال‌های اخیر شاهد تشدید تهدیدها در حوزه امنیت سایبری بوده‌ایم. بر اساس گزارش نیویورک‌تایمز، در سال ۲۰۱۹ بیش از ۲۰۰ هزار سازمان مورد حملات باج‌افزارها قرار گرفته‌اند که افزایش ۴۱ درصدی نسبت به سال گذشته را نشان می‌دهد. در این مقاله، فهرستی از ۱۰ نکته امنیتی برای حفاظت از داده‌ها که اغلب نادیده گرفته می‌شوند را گردآوری کرده‌ایم. توجه داشته باشید که اکثر تنظیمات معرفی شده فقط توسط حساب کاربری با دسترسی‌های در سطح مدیریت قابل مشاهده و تغییر هستند.

۱.اکانت پیش‌فرض مدیریت را غیرفعال کنید

نام‌های کاربری متداول مدیریتی می‌تواند شما را در برابر حملات مخرب Brute-force که از ترکیب‌های رایج نام کاربری و رمز عبور استفاده می‌کنند آسیب‌پذیر کند. هنگام تنظیم NAS از نام‌های رایجی مانند admin، administrator و root استفاده نکنید. توصیه می‌شود بلافاصله پس از راه‌اندازی NAS، اکانت پیش‌فرض مدیریت را غیرفعال کرده و به جای آن از نام کاربری و رمز عبوری قوی و منحصر به فرد استفاده کنید. اگر در حال حاضر با استفاده از حساب کاربری admin وارد سیستم می‌شوید، به Control Panel>User بروید و یک حساب کاربری جدید ایجاد کنید. سپس با استفاده از اکانت جدید وارد شوید و اکانت پیش‌فرض را غیرفعال کنید.

۲.از رمز عبورهای قوی و پیچیده استفاده کنید

یک رمز عبور قوی از سیستم شما در برابر دسترسی غیرمجاز محافظت می‌کند؛ این را همه می‌دانند، اما در بسیاری موارد رعایت نمی‌شود. پیش از هر اقدامی باید رمز عبور پیچیده‌ای برای از ترکیب حروف بزرگ و کوچک، اعداد و کاراکترهای خاص ایجاد کنید. به هیچ وجه از یک رمز عبور برای حساب‌های مختلف استفاده نکنید؛ چرا که در این صورت اگر یک حساب کاربری در معرض خطر قرار گیرد، هکرها می‌توانند به راحتی به حساب‌های دیگر هم دسترسی پیدا کنند. اگر هم از Synology NAS ، LDAP Server یا Directory Server استفاده می‌کنید، می‌توانید از بخش Password Setting خط‌مشی‌های مشخصی برای تعیین رمز عبور توسط کاربران تعیین کنید.

حفاظت از داده‌ها

۳.به‌روزرسانی خودکار و نمایش اعلان‌ها را فعال کنید

به‌روزرسانی‌های DSM به طور مرتب منتشر می‌شوند و با بهبود عملکرد و کاهش آسیب‌پذیری همراه هستند. تیم پاسخ‌گویی به رویدادهای امنیتی محصول (PSIRT) وقتی با آسیب‌پذیری امنیتی جدیدی مواجه می‌شوند، به سرعت به‌روزرسانی جدیدی منتشر می‌کنند. بنابراین کافیست به‌روزرسانی خودکار را فعال کنید تا از دریافت جدیدترین به‌روزرسانی‌های امنیتی مطمئن شوید. نکته مهم دیگر، فعال کردن اعلان‌ها برای اطلاع از رخدادهای مهم است. اعلان‌های Synology NAS از طریق ایمیل و پیامک، و توسط مرورگر یا موبایل قابل مشاهده هستند. اگر از سرویس DDNS Synology استفاده می‌کنید، حتی می‌توانید انتخاب کنید که در صورت قطع اتصال شبکه به شما اطلاع داده شود. واکنش سریع به اعلان‌های مربوط به اتمام فضای ذخیره‌سازی، یا عملیات پشتیبان‌گیری و بازیابی ناموفق، نقش مهمی در تضمین حفاظت از داده‌ها دارد.

۴.ورود دو مرحله‌ای را فعال کنید

اگر می‌خواهید یک لایه امنیتی اضافی به حساب خود اضافه کنید، توصیه می‌کنیم ورود دو مرحله‌ای را فعال کنید. برای فعال‌سازی این قابلیت در حساب DSM و Synology، به یک دستگاه تلفن همراه و یک برنامه احراز هویت نیاز دارید که از پروتکل رمز عبور یک‌بار مصرف پشتیبانی کند. با این کار، ورود به سیستم علاوه بر رمز عبور به یک کد ۶ رقمی موقت نیاز دارد که توسط Microsoft Authenticator، Authy یا سایر برنامه‌های مشابه تولید می‌شود.

۵.Security Advisor را اجرا کنید

Security Advisor یک برنامه از پیش نصب شده است که می‌تواند با اسکن NAS، مشکلات رایج پیکربندی DSM را مشخص کند. همچنین اقداماتی را برای ایمن نگه داشتن Synology NAS پیشنهاد خواهد داد. به عنوان مثال می‌تواند موارد رایجی مانند باز گذاشتن دسترسی SSH، تلاش‌های غیرعادی برای ورود به سیستم و تغییرات ناخواسته فایل‌های سیستم DSM را تشخیص دهد.

۶.ویژگی‌های امنیتی DSM

شما می‌تواید برای ایمن‌سازی حساب‌های کاربری، تعدادی از تنظیمات امنیتی را در Control Panel>Tab Security پیکربندی کنید که شامل موارد زیر می‌شوند:

مسدودسازی خودکار IP: می‌توانید مسدودسازی خودکار IP کلاینت‌هایی که بازه زمانی مشخصی وارد سیستم نشده‌اند را فعال کنید. برای این کار به Control Panel>Security>Auto Block رفته و فعالش کنید. در این بخش امکان اضافه کردن IPهای خاصی به لیست سیاه هم وجود دارد. حداکثر تعداد تلاش‌ها را بر اساس نوع استفاده عادی کاربرانتان پیکربندی کنید.

حفاظت از حساب: در حالی که مسدودسازی خودکار، IPهایی که تلاش ناموفق برای احراز هویت  داشته‌اند در لیست سیاه قرار می‌دهد، گزینه حفاظت از حساب با مسدود کردن دسترسی مشتریان نامعتبر، از حساب‌های کاربران محافظت می‌کند. به Control Panel>Security>Account Protection بروید و تعداد دفعات معینی را به عنوان حداکثر تلاش ناموفق برای ورود تعیین کنید.

HTTPS را فعال کنید: با فعال کردن HTTPS می‌توانید ترافیک شبکه بین Synology NAS و کلاینت‌های متصل را رمزگذاری و ایمن کنید. این اقدام جلوی حملات man-in-the-middle را می‌گیرد. در مسیر Control Panel>Network>DSM Setting، گزینه Automatically redirect HTTP connections to HTTPS را تیک بزنید تا نوع اتصال DSM به HTTPS تغییر کند.

شخصی‌سازی قوانین فایروال: فایروال به عنوان یک مانع مجازی عمل کرده و ترافیک شبکه را از منابع خارجی و بر اساس مجموعه‌ای از قوانین فیلتر می‌کند. برای تنظیم قوانین فایروال به Control Panel>Security>Firewall بروید تا از ورود غیرمجاز و دسترسی به سرویس‌ها جلوگیری کنید. همچنین می‌توانید تصمیم بگیرید که IPهای خاصی به پورت‌های مشخصی دسترسی داشته باشند یا خیر. این روش راه خوبی برای صادر کردن اجازه دسترسی از راه دور به یک دفتر خاص، یک سرویس یا پروتکل است.

۷.HTTPS را رمزگذاری کنید

گواهی‌های دیجیتال نقشی کلیدی برای HTTPS دارند، اما اغلب گران هستند و نگهداری از آن‌ها خصوصا برای کاربران غیرتجاری دشوار است. DSM برای ساده کردن ایمن‌سازی اتصالات برای همه کاربران، با سازمان صادرکننده گواهی رایگان و خودکار Let’s Encrypt همکاری می‌کند. اگر از قبل یک دامنه ثبت شده دارید یا از DDNS استفاده می‌کنید، به Control Panel>Security>Certificate  بروید و روی Add a new certificate>Get a certificate from Let’s Encrypt کلیک کنید. سپس تیک گزینه Set as default certificate را بزنید و برای دریافت گواهی، نام دامنه خود را وارد کنید. پس از دریافت گواهی، مطمئن شوید که تمام ترافیک روی HTTPS قرار گرفته باشد. دقت کنید که اگر دستگاه خود را برای ارائه خدمات از طریق چندین دامنه یا زیردامنه تنظیم کرده‌اید، باید از Control Panel>Security>Certificate>Configure تعیین کنید که کدام گواهی توسط هر سرویس استفاده می‌شود.

۸.پورت‌های پیش‌فرض را تغییر دهید

با اینکه تغییر پورت‌های پیش‌فرض HTTP (5000) و HTTPS (5001) در DSM به پورت‌های سفارشی نمی‌تواند به‌طور کامل از حملات جلوگیری کند، اما می‌تواند جلوی تهدیدات رایجی که فقط به سرویس‌های از پیش تعریف‌شده حمله می‌کنند را بگیرد. برای تغییر پورت‌های پیش‌فرض، به آدرس Control Panel>Network>DSM Settings رفته و شماره پورت‌ها را تغییر دهید. همچنین اگر به‌طور منظم از دسترسی Shell استفاده می‌کنید، ایده خوبی است که پورت پیش‌فرض SSH (22) را هم تغییر دهید.

همچنین می‌توانید برای افزایش بیشتر حفاظت از داده‌ها، یک Reverse proxy برای کاهش مسیرهایی که عموما برای حمله استفاده می‌شوند تعریف کنید. Reverse proxy به عنوان یک واسطه برای ارتباطات بین سرور داخلی و مشتریان راه دور عمل می‌کند و داده‌های خاصی در مورد سرور، مانند آدرس IP واقعی آن را از دید کاربر پنهان می‌کند.

۹.اگر از SSH/telnet استفاده نمی‌کنید، غیرفعالش کنید

اگر اغلب به دسترسی Shell نیاز ندارید، به یاد داشته باشید که SSH/telnet را در صورت عدم استفاده خاموش کنید. از آنجایی که دسترسی root به طور پیش‌فرض فعال است و SSH/telnet فقط حساب‌های مدیریتی اجازه ورود به سیستم می‌دهد. هکرها ممکن است در صورت فعال بودن SSH/telnet برای دستیابی به رمز عبور تلاش کنند. اگر به دسترسی سرویس ترمینال نیاز دارید، توصیه می‌شود که یک رمز عبور قوی برای آن تنظیم کنید و شماره پورت پیش‌فرض SSH را که ۲۲ است، برای افزایش حفاظت از داده‌ها تغییر دهید. همچنین می‌توانید با استفاده از  VPN و محدودسازی دسترسی SSH، فقط به IP‌های محلی و قابل اعتماد اجازه دسترسی بدهید.

۱۰.پوشه‌های اشتراکی را رمزگذاری کنید

DSM به‌منظور جلوگیری از استخراج داده‌ها و تهدیدهای فیزیکی، از رمزگذاری AES-256 برای پوشه‌های اشتراکی استفاده می‌کند. مدیران می‌توانند هم پوشه‌های اشتراکی جدید ایجاد و هم پوشه‌های موجود را رمزگذاری کنند. برای رمزگذاری پوشه‌های اشتراکی موجود به آدرس Control Panel>Shared Folder بروید و پوشه را ویرایش کنید. در بخش Encryption، یک کلید رمزگذاری انتخاب کنید تا DSM شروع به رمزگذاری پوشه کند. توصیه می‌شود که فایل کلید تولید شده را در مکانی امن ذخیره کنید؛ زیرا در صورت فراموش کردن رمز عبور، داده‌های رمزگذاری‌شده تنها با داشتن همین کلید قابل بازیابی هستند.

جمع‌بندی

یک چیز را فراموش نکنید؛ حفاظت از داده‌ها به‌طور جدایی‌ناپذیری با یکپارچگی آن‌ها مرتبط است. در واقع امنیت داده‌ها پیش‌نیازی برای یکپارچگی داده‌ها است، زیرا دسترسی غیرمجاز می‌تواند منجر به دستکاری داده‌ها یا از دست رفتن آن‌ها شود و به داده‌های مهم شما آسیب وارد کند. تهدیدهای آنلاین همیشه در حال تحول هستند و امنیت داده‌ها باید به همان اندازه پیشرفت کند. همانطور که دستگاه‌های بیشتری در خانه و محل کار به شبکه متصل می‌شوند، سوء استفاده از حفره‌های امنیتی و ورود به شبکه هم برای مجرمان سایبری آسان‌تر می‌شود. ایمن‌سازی کاری نیست که یک بار انجامش دهید فراموشش کنید؛ حفاظت از داده‌ها یک فرآیند مداوم است.

منبع