برای حفظ امنیت یک سیستم توزیع شده، (Distributed System Security)، باید خطرات احتمالی زیادی را در نظر گرفت. به منظور کاهش این خطرات، میتوان از استراتژیهای زیر استفاده کرد:
- الگوریتمهای رمزگذاری (Encryption) که از دادهها در حین انتقال و در حالت استراحت محافظت میکنند.
- فایروالهایی که دسترسی به پورتها/کابلهای خاص را محدود میکنند.
- سیستمهای تشخیص نفوذ که رفتار غیر عادی را در بین سرویسهای شبکه شناسایی میکنند.
- سیستمهای پیشگیری از نفوذ (IPS) که با شروع اقدامات دفاعی Distributed System Security مانند مسدودسازی IP های مشکوک و حذف سرویسهای آسیبدیده، به تلاش برای نفوذ پاسخ میدهند.
این اقدامات ممکن است بدون کمک سایر منابع، برای شناسایی حملات در سطح شبکه در راستای Distributed System Security کافی نباشند. ما نه تنها میتوانیم از دسترسی عوامل مخرب از ماشینهای دیگر به ماشینهای ما در همان فایروال جلوگیری کنیم، بلکه میتوانیم اقدامات خود را نیز نظارت کنیم. به اشتراکگذاری بیپروای دادهها میتواند آنها را در معرض تهدیدات سایبری قرار دهد و هزینه محافظت از آنها را ابالا ببرد.
اهداف Distributed System Security
امنیت در یک سیستم توزیع شده، چالشهای منحصر به فردی ایجاد میکند که باید در هنگام طراحی و پیادهسازی سیستمها لحاظ شوند. یک کامپیوتر یا شبکه در معرض خطر ممکن است تنها مکانی نباشد که دادهها در آن در معرض خطر هستند. کدهای مخرب ممکن است به سایر سیستمها یا بخشها نیز وارد شوند. این نوع تهدیدات میتوانند در هر جایی رخ دهند. حتی در فواصل مختلف در شبکههایی که کانکشنهای کمی در بین آنها وجود دارد. از این رو تحقیقات جدیدی برای کمک به اینکه معماریهای Distributed System Security واقعاً چقدر خوب عمل میکنند، انجام شده است.
در گذشته، امنیت سیستم معمولاً به صورت سرتاسری مدیریت میشد. تمام کارهای مربوط به تضمین ایمنی «در» یک سیستم واحد انجام میشود و توسط یک یا دو Administrator کنترل خواهد شد. ظهور سیستمهای توزیعشده (Distributed System) اکوسیستم جدیدی ایجاد کرده است که چالشهای امنیتی منحصر به فردی را به همراه دارد.
سیستمهای توزیع شده معمولاً از چندین گره (node) تشکیل میشوند که برای رسیدن به یک هدف مشترک، با همدیگر کار میکنند. این گرهها معمولاً همتا (peer) نام گذاری میشوند.
الزامات امنیتی و حملات مربوط به سیستمهای توزیع شده
یک سیستم توزیعشده از واحدهای مستقل زیادی تشکیل میشود. هر کدام از آنها برای اجرای وظایف خود بدون برقراری ارتباط با واحدهای دیگر، جز از طریق سرویس پیامرسانی (Messaging) طراحی شدهاند. این بدان معنیست که یک نقطه خرابی (Point of Failure) میتواند بدون هیچ هشداری کل یک سیستم را ناتوان کند، چرا که هیچ نقطه واحدی وجود ندارد که بتواند تمام عملیات را انجام دهد.
Distributed System Security یک حوزه تحقیقاتی فعال است. دو مکتب فکری اصلی در این تحقیقات وجود داشت. کسانی که معتقد بودند کرمهای شبکه (Network Worms) را میتوان با استفاده از فایروالها متوقف کرد و کسانی که این کار را نمیکنند.
یک فایروال ممکن است هیچ کاری در مورد کرمها و توانایی آنها برای گسترش در انواع مختلف شبکهها، به ویژه شبکههای وایرلس و اینترنت انجام ندهد. این بدین دلیل بود که اگرچه فایروالها میتوانستند مانع از دسترسی مزاحمان از طریق فایروالها شوند، اما قادر به جلوگیری از تکرار کرمی خود (Worm from Self-Replicating) نبودند.
به طور خلاصه، حملات متعددی وجود دارند که میتوانند علیه یک Network Worm انجام شوند. که شامل عملیاتهایی برای شکست عملکرد و تغییر دادهها، یا به سادگی حذف آن است.
Leave feedback about this