حفاظت از اپلیکیشنها هر روز پیچیدهتر میشود. اپلیکیشنها باید به شبکههایی متصل شوند که آنها را در معرض ناامنیهای پرشماری قرار میدهد. این باعث میشود که آرزو کنیم کاش میتوانستیم همه حملات را متوقف کنیم. تهدیدهای شبکه میتوانند وجود داشته باشند ولی به اپلیکیشنهای ما حمله نکنند. اگر این کار آسان، رایگان و اپن سورس باشد چه؟ شما از آن استقبال نمیکنید؟
آداپت کردن، اجرا و نگهداری از امنیت باید آسان باشد.
قبل از اینکه به سؤال نحوه غیرضروری کردن امنیت شبکه سنتی به عنوان یک استاندارد پاسخ دهیم، اجازه دهید مشکل اصلی را مطرح کنیم:
همه ما به امنیت اهمیت میدهیم، اما رسیدن به آن سخت است. آنقدر سخت است که وقتمان کفاف آن را نمیدهد. ما در نهایت وقت خود را بر روی پیادهسازی ویژگیها متمرکز میکنیم، نه امنیت.
تمام شبکهها در دورههایی ناامن میشوند. هدف یک شبکه، انتقال، تبادل و به اشتراکگذاشتن دادهها و منابع است، نه امنیت.
شبکههای ناامن باعث شکست ما در جنگ سایبری میشوند. برای عوامل تخریب، انجام دادن این حملات، حرکتهای جانبی و سوء استفاده از آنها بسیار ارزان و آسان است. در نقطه مقابل، ما کنترلها و زیرساختهای پیچیده، زمانبر و پرهزینهای را برای محافظت از اپلیکیشنهایمان اعمال میکنیم. اما نتیجه این میشود که عوامل تخریب، درآمد هنگفتی به دست میآورند که این درآمد ضرر سنگینی برای جامعه توسعهدهندگان شبکه دربر دارد.
اپراتورهای سیستم همیشه باید مراقب باشند تا از سوء استفادههایی که عوامل مخرب از آسیبپذیریهای سراسر شبکه انجام میدهند، جلوگیری کنند. این شامل مشاهده لیست ایمیلها، اسکن برای آپدیتها، مرتبط کردن تغییر ویندوز و downtime و پیادهسازی پچها میشود.
مدل امنیتی Zero Trust ، با استفاده از Identity های قوی و ایده «هرگز اعتماد نکنید»، برای کاهش ریسکهای شبکه ایجاد شد. اما از نظر زمانی، پیادهسازی و قرار دادن مسئولیت بر دوش مصرفکنندگان برنامهها و نه سازندگان آنها، دشوار است.
امنیت سخت است ولی اجباری است.
آداپت کردن، اجرا و نگهداری از امنیت باید آسان باشد. وقتی که اینها آسان باشند، این به نفع همه خواهد بود.
بیایید با استفاده از مطالعه موردی، این موضوع را ثابت کنیم. کمی بیش از ده سال پیش، هنگام استفاده از مرورگر برای دسترسی به وب سایتها، تمام دادهها با استفاده از HTTP رمزگذاری نشده منتقل میشدند. سپس فناوریهای (آزاد و اپنسورس) مانند HTTPS Everywhere و Let’s Encrypt آمدند. HTTPS یک ایده عالی بود و به قدری به راحتی در دسترس همه قرار گرفت که همه مرورگرهای اصلی آن را اجرا کردند و منجر به بازنشستگی HTTPS Everywhere شد.
برای ایمنسازی اپلیکیشنهایمان، باید همین روند را طی کنیم. ایمنسازی شبکه که اکنون عملاً غیر ممکن است، باید مانند HTTPS Everywhere به تاریخ بپیوندد.
حقایق اساسی درباره شبکهها
بهترین راه برای محافظت از برنامههای ما این است که امنیت را آنقدر آسان و ارزان کنیم تا به استانداردی تبدیل شود که همه بتوانند آن را پیادهسازی کنند. شبکهای که در اختیار داریم، دیگر کافی نیست. ما باید دوباره آن را اختراع کنیم.
خوشبختانه، ما مفاهیم اصلی فناوری را برای ارائه این کار در اختیار داریم. ما تا زمانی که تنها با حقایق اساسی یک موقعیت روبرو هستیم، باید از اصول اولیه تفکر برای کاوش عمیقتر استفاده کنیم.
مدل امنیتی Zero Trust
این مدل اصولی از جمله identity قوی، احراز هویت و authorization و سیاستهای کنترل دسترسی اکانتمحور را ارائه میدهد.
Virtualization شبکه
این به ما امکان میدهد تا شبکههای مجازی همپوشانی را به طور مستقل از شبکههای انتقال زیربنایی ایجاد کنیم.
حقیقت اساسی این است که شبکهها برای انتقال، تبادل و به اشتراکگذاری دادهها ساخته شدهاند. در حالی که Zero Trust و Virtualization را میتوان در شبکهها اعمال کرد، این راهحلها مشکل ما را کاملاً حل نمیکنند. ما به راه حلی آسان و ایمن نیاز داریم، نه پیچیده و پردردسر. تنها به این دلیل که «ما همیشه این کار را انجام دادهایم»، نمیتوانیم شبکه را دوباره اختراع کنیم.
با حذف شبکه، شبکه را دوباره اختراع کنید.
تنها راه چهارگوش کردن این دایره، (استعاره از امر غیرممکن) این است که از شبکه Zero Trust و قابل برنامهریزی در اپلیکیشنهایمان که بر اساس فناوریهای اپن سورس، آسان و رایگان هستند، استفاده کنیم.
این کار باعث میشود که شبکه را با قرار دادنش در اپلیکیشن، دوباره اختراع کنیم. همانطور که بروس لی گفت، «آب باش، دوست من». شبکههای Zero Trust را داخل اپلیکیشن قرار دهید و تبدیل به اپلیکیشن میشود! اپلیکیشن خود را روی اینترنت اجرا کنید و تبدیل به اینترنت میشود! اتصال برنامه به طور پیش فرض ایمن است و برنامهها را از اینترنت، شبکههای محلی و سیستم عامل هاست جدا میکند. ارتباط برنامه تا زمانی که صریحاً بر اساس یک هویت جاسازیشده تأیید نشده باشد، امکانپذیر نیست.
این جداسازی از لایه زیرین، شامل هیچ پورت exposed/listening ی نمیشود، و مانع از سوء استفادههای عوامل خارجی مخرب از شبکه میشود. این حملات شامل اکسپلویت zero-day/CVE ، DDoS ، port scanning ، پر کردن اعتبار / پسوورد، فیشینگ و غیره است. ما امنیت سنتی شبکه را غیرضروری کردهایم.
اپلیکیشنهای رایگان و اپن سورس که در شبکهها تعبیه شدهاند، دارای مزایای امنیتی عمیق و قابلیت افزایش توانایی ما برای تمرکز بر سرویسها و ویژگیهای ارزش افزوده هستند که جای امنیت سخت را میگیرد. آنها همچنین به ما کمک میکنند تا هزینههای کسب و کار و وابستگی به فروشنده را کاهش دهیم. این اپلیکیشنها فقط به اینترنت commodity outbound احتیاج دارند و نیاز به DNS عمومی، VPN ها، bastion ها، قوانین پیچیده فایروال، پورتهای inbound و سایر ابزارها و زیرساختهای اختصاصی را از بین میبرند. ما میتوانیم با استفاده از ابزارها و روششناسی DevOps، بدون نیاز به مهارتهای مهندسی شبکه، پوشش و خطمشیها را به صورت برنامهنویسی مدیریت کنیم.
OpenZiti
OpenZiti یک روش اپن سورس، رایگان و آسان برای همه مردم جهان است تا Zero Trust و شبکه قابل برنامه ریزی را در هر چیزی و هر جایی تعبیه کنند. تعبیه هر اپلیکیشن در جهان با Zero Trust زمانبر است، درست مانند ایمنسازی مرورگرها و VPN ها در گذشته! از این برنامههای محلی برای محافظت از اپلیکیشنها و زیرساختهای موجودتان استفاده کنید و به راه حلهای brownfield خود اجازه دهید در شبکه پوششی جدید و مبتنی بر Zero Trust شرکت کنند.
اپلیکیشنهای موجود، Zero Trust شبکههای محلی و اینترنتی را implement میکنند که باعث کاهش فوری و عظیم سطح حمله میشود. دسترسی انحصاری به اپهای شما از طریق شبکه پوششی Zero Trust ، نوار نفوذ مهاجمان را به مراتب افزایش میدهد. هکرها دیگر نمیتوانند از راه دور به اهداف خود حمله کنند. آنها باید در محل دستگاه باشند تا حملهای انجام شود که این موضوع، بازگشت سرمایه را برای عوامل مخرب مانند اپراتورهای باجافزار کاهش میدهد.
شبکه مرده است، زنده باد اپلیکیشن شبکه!
ما در این مقاله به امنیت سنتی شبکه به عنوان چیزهایی مانند DNS عمومی، VPN ها، MPLS ، bastion ها، APN ها، پراکسیها، قوانین پیچیده فایروال، پورتهای ورودی و سایر ابزارها و زیرساختهای اختصاصی اشاره کردیم.
منبع: HackerNoon نویسنده: عمران عزیز
Leave feedback about this