استفاده از طراحی زیرساخت مناسب برای حذف باج‌افزار – قسمت سوم (پایانی)

در قسمت قبل در مورد باج‌افزار چیست؟ آیا امکان حذف باج‌افزار وجود دارد؟ صحبت کردیم و توضیح دادیم متأسفانه هیچ تضمینی وجود ندارد که کلیدهای رمزنگاری موردنیاز برای رمزگشایی پس از پرداخت باج توسط مهاجم پس داده شود یا اینکه فرایند رمزگشایی به‌درستی و به‌سرعت اجرا شود. همچنین هیچ تضمینی وجود ندارد که اگر این باج پرداخته شود، مهاجمین داده‌ها را به سرقت نخواهند.

تصمیمات طراحی به‌خصوص

در طراحی یک سیستم تصمیمات زیادی اتخاذ می‌شوند. برخی از ویژگی‌های امنیت و تکنیک‌های ترمیم خودکار نیازمند تغییرات در سخت‌افزار هستند و خیلی مهم است که آن‌ها را نیز به‌عنوان بخشی از فرایند طراحی در نظر بگیریم. تصمیمات در مورد دسترس‌پذیری منجر می‌شوند به سهولت استفاده و حفظ و نگهداری زیرساخت که سپس در حفظ محرمانگی و دسترس‌پذیری در سطح زیرساخت مؤثر خواهند بود. وقتی‌که Patch کردن ساده باشد و موجب قطعی در بارهای کاری نشود، سازمان‌ها بیشتر این کار را انجام می‌دهند. Patch کردن فرصت را از مهاجمین می‌گیرد و دفاع عمیق را حفظ می‌نماید.

در این مقاله فرض بر این است که زیرساخت خارج از کنترل مستقیم یک پیاده‌سازی VMware vSphere، Cloud Foundation یا VMware Cloud ایمن است. پیکربندی شبکه به‌عنوان بخشی از تلاش برای شناسایی و کنترل نقض‌های امنیتی در حال پیشرفت درون یک سازمان‌ حیاتی می­باشد. شبکه‌ها را می‌توان برای جداسازی سیستم‌های مختلف پیکربندی کرده و نقاطی را برای بررسی و لاگ کردن دسترسی به شبکه فراهم نمود.

ارزیابی میزان آسیب‌پذیری امنیت سازمان نسبت به باج‌افزار با راهکار اسپلانک

ویدیوهای بیشتر درباره ی باج افزار

جداسازی، VLANها و بخش‌های جداگانه شبکه

در بین ادمین‌های مجازی‌سازی این دانش وجود دارد که پیاده‌سازی VMware vSphere باید ترافیک مدیریتی، ترافیک vMotion، ترافیک vSAN و Storage، ترافیک NSX Overlay و غیره را جداسازی کند. قطعاً می‌توان این کار را در vSphere با استفاده از رابط‌های شبکه فیزیکی مجزا یا NICها انجام داد، اما بیشتر با استفاده از تگ 802.1q VLAN انجام می‌شود که پیکربندی‌های سرور و کابل‌کشی را ساده کرده و استفاده از پورت سوئیچ شبکه فیزیکی را کاهش می‌دهد. VLANها معمولاً برای کنترل کردن مسیریابی بخش‌های شبکه مجزا مورداستفاده قرار می‌گیرند و امکان کنترل Perimeter و فایروال‌ها را فراهم می‌آورند. اما، مسیریابی انواع به‌خصوصی از ترافیک همیشه الزامی نیست. می‌توان به ترافیکی که برای پیاده‌سازی vSphere کاملاً Local باشد آدرس‌های Local و مسیریابی نشده روی بخش جداسازی‌شده‌ای از شبکه داد.

بیشتر بخوانید: حملات باج افزاری چیست؟ عوامل مقابله و حذف باج افزار

با توجه به اینکه این روزها اکثر ترافیک­ها رمزگذاری شده هستند، آیا استفاده از VLANهای جداگانه ضروری است؟ شاید لزوماً ضروری نباشد، اما قطعاً مفید است. قرار دادن مرزهای بیشتر بین انواع مختلف ترافیک شبکه، نوعی دفاع عمیق است که به جلوگیری از سوءاستفاده از اشتباه‌های جزئی در پیکربندی در حین نفوذ کمک می‌کند و کار را برای مهاجمی که ممکن است دسترسی مدیریتی به یک سیستم داشته باشد، دشوارتر می‌کند. یکی از نمونه‌های آن جایی است که یک رابط شبکه ESXi VMkernel، که معمولاً فقط برای ارتباطات vSAN استفاده می‌شود، ممکن است دارای خدمات مدیریتی فعال برای دور زدن کنترل‌های امنیتی محیطی باشد. جداسازی به این روش همچنین می‌تواند در پیدا کردن عیب مؤثر باشد.

VLANها راهکار کاملی برای جداسازی شبکه نیستند. آن‌ها نیز مثل هر ساختار منطقی دیگری ممکن است مورد حمله یا پیکربندی اشتباه قرار گیرند، به‌خصوص در شرایطی که Trunkهای VLAN به‌صورت پویا ایجاد شوند. همچنین، بسیاری از شبکه‌ها دارای یک VLAN پیش‌فرض هستند که روی آن‌ها پیکربندی‌شده است و معمولاً VLAN 1 نام دارد که ممکن است فرصت‌هایی را برای مهاجمین فراهم کند تا با ایجاد Packetهای Tagشده خود ارتباط برقرار کنند.

محیط ما: ما چندین VLAN و بخش شبکه و گستره IP را برای جداسازی امنیت و مدیریت ترافیک به کار گرفتیم. یک VLAN پیش‌فرض یا Native روی پورت‌های سوئیچ پیکربندی نشده است. پورت‌های سوئیچ به‌صورت آماری به‌عنوان Trunkهای VLAN پیکربندی می‌شوند.

مانیتورینگ و کنترل‌های Perimeter

تکنیک‌های جداسازی بدون وجود یک چک‌پوینت برای محدود کردن دسترسی مفید نیستند. استفاده ساده از ACL های روتر تا فایروال‌های نسل بعدی شیوه‌هایی هستند که با استفاده از آن‌ها دسترسی به یک بخش شبکه خاص ممکن است ممیزی و محدود شود. جداسازی ترافیک شبکه می‌تواند به تسهیل قوانین فایروال برای محیط‌ها کمک کند.

اکثر مدیران مجازی‌سازی به کنترل‌های Perimeter در یک‌جهت فکر می‌کنند: Inbound یا Ingress. اما محدود کردن اتصالات Outbound یا Egress (خروجی) نیز بسیار مهم است. یک مثال خوب از این آسیب‌پذیری‌ها، Log4j از اواخر سال 2021 است، که در آن یک سیستم آسیب‌پذیر درخواست‌های خروجی را به سرورهای مخرب LDAP ارسال می‌کرد. محیط‌هایی که برای ترافیک خروجی شبکه محدودیت ایجاد می‌کردند، تا زمانی که بتوانند اقدامات کاهشی یا اصلاحی را اجرا کنند محافظت شدند.

بهتر از آن محیط‌هایی هستند که ترافیک ورودی و خروجی شبکه را مانیتور می‌کنند و می‌توانند نقض‌های امنیتی که در حال رخ دادن هستند را ببینند. پیکربندی فایروال Perimeter برای لاگ کردن ترافیک مردود و هشداردهی برای ترافیک مردود روش مهمی برای شناسایی ورود مهاجمین به یک محیط است.

بیشتر بخوانید: آسیب‌پذیری دیتابیس‌های MongoDB در برابر باج افزارها

باید توجه داشت که سیستم‌هایی که به VLAN یا شبکه فیزیکی یکسانی متصل هستند می‌توانند به اختیار با یکدیگر ارتباط برقرار کنند، بدون اینکه لازم باشد از یک چک‌پوینت Perimeter عبور کنند که به‌طور متداول تحت عنوان ترافیک East-West شناخته می‌شود. این یعنی مهم است که سیستم‌هایی با الزامات امنیتی و دسترسی مشابه روی شبکه‌های فیزیکی در یک گروه قرار بگیرند. اگر سیستم دیگری متصل به شبکه فیزیکی یکسان دچار نقض امنیتی شده باشد، مهاجمان می‌توانند بدون تحریک هشدارها، سیستم‌های دیگر را در آن بخش اسکن و سپس حمله کنند. VMware NSX این مشکل را برای بارهای کاری حل می‌کند، اما سیستم‌های فیزیکی نیاز به ملاحظات دیگری نیز دارند.

محیط ما: کنترل‌های Perimeter برای اینترفیس‌های مدیریت زیرساخت، vMotion، vSAN و ترافیک انتقال NSX روی هر بخش از شبکه پیکربندی می‌شوند. ترافیک vSAN به‌طور کامل جداسازی می‌شود، زیرا نیازی به ترک سایت ندارد، اما vMotion دارای آدرس‌های IP با قابلیت مسیریابی است که از Cross-vCenter vMotion یا xvMotion برای انتقال بین سایت‌ها و VMware Cloud استفاده می‌کند. دسترسی به این اینترفیس‌ها با کنترل‌های Perimeter کنترل می‌شود.

جداسازی Storage

یکی از مثال‌های قابل‌توجه ترافیک شبکه که به‌طور گسترده رمزگذاری نشده باشد، ارتباطات Datastore است. درحالی‌که vSAN دارای قابلیت‌های رمزگذاری Data-in-Transit کامل است، انواع دیگر Storage مثل Fibre Channel، iSCSI یا NFS اینطور نیستند. جداسازی این ترافیک معمولاً یک کنترل جبرانی قابل‌قبول برای سازمان‌هایی است که Storageی را مورداستفاده قرار می‌دهند که از رمزگذاری پشتیبانی نمی‌کند یا رمزگذاری در آن موجب کاهش عملکرد می‌گردد.

محیط ما: محیط ما از رمزگذاری Data-at-Rest و Data-in-Transit مربوط به vSAN استفاده می‌کند که هدف از آن حفاظت از ترافیک Storage در حرکت است. استفاده از یک بخش شبکه جداگانه، یک لایه حفاظتی را به‌عنوان دفاع عمیق اضافه می‌کند که اگر پیکربندی اشتباه انجام شود و رمزگذاری غیرفعال باشد، مفید خواهد بود. همچنین اگر لازم باشد برای عیب‌یابی عملکرد، رمزگذاری به‌صورت دستی غیرفعال گردد. به‌علاوه اگر ترافیک شبکه جداسازی شود، ممکن است مانیتورینگ و عیب‌یابی آن ترافیک و عملکرد Storage تسهیل گردد.

Overlays

VMware NSX در اصل یک تکنولوژی شبکه Overlay است که تونل‌های رمزگذاری‌شده‌ای را می‌سازد که روی یک فابریک شبکه فیزیکی موجود اجرا می‌گردند. NSX فریم‌های داخل Packetها را محفوظ (Encapsulate) می‌کند و سپس این Packetها را از طریق شبکه انتقال زیرین منتقل می‌نماید. این امر اجازه می‌دهد که تمام ترافیک شبکه توسط نرم‌افزار تعریف شود و امنیت و Policy به‌صورت مستقیم حول هر بار کاری قرار گیرد. اتصالات Endpoint تونل مجازی NSX یا vTEP اینترفیس‌هایی هستند که شبکه Overlay برای ارتباط بین Hostها و VMهای Edge از آن‌ها استفاده می‌کند. سوئیچ توزیعی مجازی یا vDS برای استفاده این اتصالات ساخته می‌شود و vTEP به آن vDS متصل می‌گردد.

NSX عمیقاً با vSphere یکپارچه‌سازی شده است؛ هم از طریق یکپارچه‌سازی کنسول‌های مدیریت بین vCenter Server و NSX Manager و هم در سطح شبکه. علاوه بر فایروال‌های قدیمی مبتنی بر پروتکل‌ها، IP و آدرس‌های MAC، قواعد فایروال توزیعی را می‌توان روی ماشین‌های مجازی و تگ‌های ماشین مجازی تعریف کرد. این قابلیت، انعطاف‌پذیری بیشتری را در تخصیص و حفظ و نگهداری Policyهای امنیتی ایجاد می‌کند.

درون یک محیط vSphere، NSX از VLANهای قدیمی استفاده نمی‌کند، بلکه در عوض امکان ایجاد بخش‌های مجزای شبکه را فراهم می‌نماید که گزینه‌های بیشتری را برای مسیریابی و Policyها فراهم می‌کنند. این بخش‌های شبکه از طریق شبکه NSX Overlay بین روترهای توزیعی روی Hostهای ESXi به یکدیگر مرتبط می‌شوند و امکان حرکت ترافیک «East-West» را مثل یک سوئیچ شبکه قدیمی فراهم می‌کند. این همان روشی است که NSX Distributed Firewall از طریق آن قواعد و Policyها را اعمال می‌کند. قواعد NSX Distributed Firewall در سطح NIC مجازی ارزیابی می‌گردد، یعنی تمام ترافیک درون و بیرون ماشین مجازی تحت تأثیر اعمال Policy امنیتی قرار می‌گیرد. این امر با فایروال‌های قدیمی تفاوت دارد که فقط Policyها را در ترافیک North-South اعمال می‌کند که از مرزهای بخش‌های شبکه عبور می‌کنند.

مقاله های مرتبط: