در مقالات پیشین به تفصیل به بررسی دیدگاه مختلف شرکت Citrix جهت ارتقاء امنیتی سازمان ها پرداخته شد و در این مقاله به اهمیت نگهداری اطلاعات در شرایط ایمن می پردازیم.
با توجه به اینکه اطلاعات، اجزا اصلی هر سازمانی محسوب میگردند، می توانند انواع متفاوتی داشته باشند از جمله این اطلاعات سازمانی میتوان از مواردی نظیر اسناد قانونی، قراردادها، دادههای مربوط به تحقیق و توسعه یا R&D، اطلاعات مربوط به خرید و فروش، رسانهها و تمام حقوق مالکیت معنوی آن سازمان نام برد. هزاران مشکل امنیتی شناخته شده در سالیان اخیر منجر به به خطر انداختن سوابق خریداران و مشتریان شده است زیرا بسیاری از این اسناد حاوی اطلاعات قابل شناسایی شخصی یا به عبارتی دیگر PII هستند، این اطلاعات شخصی مواردی نظیر شماره کارت اعتباری، شناسههای امنیت اجتماعی، اطلاعات گواهینامه رانندگی، تاریخ تولد، آدرس، سوابق دانشجویی، سوابق پزشکی، سوابق دولتی و سربازی که حاوی اثر انگشت بوده و همچنین مجوزهای حفاظتی هستند.
تمامی مشکلات امنیتی صرفا به دلیل هک شدن سیستم مربوطه، استفاده از بدافزارها و یا سایر حملات امنیتی ایجاد نمیشوند، بلکه برخی از این نقصها به علت افشای ناخواسته اطلاعات، کلاهبرداری از طریق کارت اعتباری، هک و بدافزارها، خرابکاریهای درونسازمانی، گم کردن اسناد و تجهیزات سیار و ثابت ایجاد میشوند. علاوه بر موارد فوق، افزایش محبوبیت Cloud Storage در میان کاربران و انتقال اطلاعات از یک شبکه ایمن به سرورهایی که تحت کنترل سازمان نیستند، به معضل بزرگی تبدیل شده است.
متمرکزسازی: تجمیع، مانیتور و کنترل خروج اطلاعات
در محیطی که Desktop آن مجازیسازه شده باشد، اطلاعات در دیتاسنترها نگهداری میشوند و Applicationها تنها با کلیک بر روی سرور مجازی به اجرا در میآیند و هیچ اطلاعات دیگری به سمت دستگاه کاربر منتقل نمیشود و این امر موجب کاهش خطر از دست رفتن و نشت اطلاعات در صورت مفقودی، سرقت و یا از بین رفتن Endpointها خواهد شد. سازمانها با جلوگیری از انتقال فایلها و دیتاسنترها به Workstationها در مقابله با از دست دادن حجم عظیمی از اطلاعات، کارایی بیشتری خواهند داشت.
جهت ممانعت از ذخیرهسازی اطلاعات بر روی تجهیزاتی همچون درایوهای USB، ایمیل بین کاربران، پرینت اطلاعات و یا دیگر احتمالات مفقود شدن و یا سرقت اطلاعات، گروه IT سازمان میتوانند بصورت مرکزی Policyهایی برای کنترل قابلیت ذخیره، کپی، پرینت و هرگونه انتقال اطلاعات توسط کاربر، تنظیم نمایند. این Policyهای تجهیزاتی به منظور افزایش امنیت اطلاعات باید شامل موارد زیر باشند:
- بخشبندی نمودن اطلاعات سمتِ Client از برنامههای کاربردی با استفاده از مسدود نمودن کانالهای مجازی مثل Client Drive Mapping، پرینت و کپی و Paste نمودن.
- تعریف کردن تغییر مسیر پوشه برای ارتباط دادن پوشهی My Documents کاربر به یک Central File Store یا به اختصار CFS در دیتاسنتر
- محدود و کنترل نمودن مکان ذخیره فایلها به منظور محافظت در مقابل مفقود شدن، سرقت و یا خرابی Endpointها.
Container سازی: رمزنگاری دادههای در حال انتقال و ذخیره شده
هنگامی که برنامههای کاربردی سیار (Mobile App) به صورت Native اجرا میشوند، زمان احتمالی آنها بصورت Local ذخیره شده و در نتیجه ریسک از دست دادن و نشت اطلاعات چندین برابر خواهد شد. نرمافزار XenMobile با روش Containerization و رمزنگاری، معضل ذخیرهسازی ناامن اطلاعات متحرک را برطرف مینماید.
- با استفاده از Containerسازی و یا بخشبندی در سطح برنامه، اطلاعات مربوط به هر برنامه درون Container قرار گرفته و تنها با استفاده از همان Container اجرا میشود و نمیتوان از طریق برنامههای مستقر در هر مکان دیگری به آنها دسترسی پیدا کرد.
- بخش IT جهت کاهش خطر از دست دادن اطلاعات، باید قادر به رمزنگاری دادهها درون یک Container ایمن و مجزا بر روی Endpoint باشد.
اجرای استراتژی BYOD که استفاده از تجهیزات خود کاربران در محیط کاری می باشد، جداسازی برنامههای شخصی از برنامههای تجاری و همچنین جداسازی اطلاعات مربوط به این برنامهها را الزامآور مینماید، بخصوص با توجه به اشتراکگذاری گسترده دادهها میان Mobile Apps، مانند برنامههایی که بصورت Built-in در سیستم ساخته میشوند نظیر Contactها، اهمیت این جداسازی چندین برابر میشود. XenMobile اطلاعات iOS را با استفاده از مدیریت Open-in ایمن مینماید که این امر واحد IT را قادر میسازد تا جریان ترافیک اطلاعات و قابلیت دسترسی میان برنامههای مدیریت شده و مدیریت نشده را کنترل نماید. برای مثال مدیران شبکه قادر به مسدود نمودن دسترسی کاربران به برنامههای مدیریت نشده و باز نمودن اطلاعات ایجاد شده در یک برنامه کنترل شده و بالعکس هستند. پیوستهای ایمیل تنها توسط برنامههای مورد تایید سازمان باز میشوند و لینکهای وبسایتها تنها در مرورگرهای ایمن اجرا میشوند.
XenMobile هم در هنگام کامپایل نمودن اطلاعات برنامه و هم در زمان استفاده از پروسهی Wrapping، از رمزنگاری با معیار صنعتی استفاده میکند. تمامی اطلاعات مربوط به برنامهها در یک Container ایمن ذخیره شده که هم فایلها و هم فناوری SQL مرتبط با تجهیزات را رمزگذاری مینماید. اطلاعاتی که در دیتاسنتر Local ذخیره شدهاند، تحت استاندارد رمزنگاری پیشرفتهی AES-256، رمزگذاری شدهاند.
اشتراکگذاری ایمن: اشتراکگذاری فایلها به صورت ایمن و کاهش خطر از دست دادن اطلاعات
کاربران به منظور به اشتراکگذاری فایلها میان خود و با هدف همکاری موثر، به دنبال یافتن مسیری با حداقل مقاومت و با استفاده از Third-Partyها هستند، مثلا امکان دارد برای یافتن این مسیرها از راهکارهای Shadow IT که خارج از محدودهی دید، تایید و کنترل واحد IT هستند استفاده نمایند که این امر منجر به غیر منظر پخش شدن اطلاعات و اشتراکگذاری ناامن فایل از طریق درایوهای USB، اینترنت و سرویسهای Cloud شخصی خواهد شد، که اغلب تحت کنترلهای اساسی و پیشرفته نیستند. کاربران ممکن است از پروتکل FTP که فاقد احراز هویت ایمن میباشد استفاده کنند و یا از ایمیل رمزنگاری نشده استفاده نمایند و حتی بصورت تصادفی فایلها را به اشخاص غیرمجاز در داخل یا خارج از سازمان ارسال نمایند.
بررسی ویژگیهای Citrix ShareFile
Citrix با استفاده از Citrix ShareFile که در تمام سطوحِ احراز هویت، حق دسترسی، ممیزی و رمزگذاری ایمن شده است موجب اشتراکگذاری امن فایلها میگردد. در زیر به ارائه برخی ویژگی های آن میپردازیم.
- احراز هویت
روشهای احراز هویت دو مرحلهای که با عنوان Two-Factor Authentication شناخته میشوند، شامل احراز هویت مبتنی بر فرمها و Token بوده و با استفاده از SMS، صدا و کدهای پشتیبانگیری وضعیت هویت کاربران را مشخص مینمایند. Citrix ShareFile همچنین از مکانیزمهای احراز هویت Single Sign-On شامل SAML پشتیبانی مینماید که کاربران را ملزم میسازد تا ابتدا اعتبار خود را مقابل شرکت ارائه دهنده Identity تایید نمایند.
- حق دسترسی
واحدIT با قابلیت اعطا کردن، مانیتور نمودن و لغو کردن حق دسترسی به فایلها و تعیین تاریخ انقضا برای فایلها حتی پس از به اشتراکگذاری آنها، بر روی فایلهای به Shared شده، اشراف و کنترل مییابد. کاربران حتی پس از ارسال پیام قادر خواهند بود برای حذف آن پوشه و محتوای آن تاریخ خاصی را معین نمایند و علاوه بر کاربران و واحد IT نیز میتواند در صورت گم کردن و یا به سرقت رفتن تجهیزات سیار، از راه دور اقدام به حذف اطلاعات Share شده و نیز پسوردهای ذخیره شده بر روی آنها نمایند.
- ممیزی اطلاعات
Citrix ShareFile به منظور پشتیبانی از برخی نیازهای خاصِ تطبیقپذیری و همچنین فراهم نمودن قابلیت دید به استفاده از دادهها، ردیابی و ثبت تمامی فعالیتهای کاربران نظیر دسترسی کاربر به اطلاعات و اشتراکگذاری آنها میپردازد.
- رمزگذاری
هر فایل رمزگذاری شده قبل از انتقال به محل دائمی خود، از یک کلید منحصربهفرد استفاده مینماید و قبل از دانلود شدن به روی مرورگر کاربر، رمزگشایی میشود. به منظور تضمین اینکه دسترسی فیزیکی به سرور Storage، اجازه دسترسی به فایلهای موجود در آن محل را فراهم نکند، کلیدهای رمزگذاری هم مانند خود فایلها بر روی سرور یکسان ذخیره نمیشوند. همچنین Citrix ShareFile با استفاده از Microsoft Outlook موجب فراهم نمودن ایمیلهای رمزگذاری شده میشود تا بدین وسیله از اطلاعات حساسِ موجود در متن و پیوستها حفاظت نماید و نیز از تطبیق پذیری با HIPAA ، HITECH و CFPB پشتیبانی کند.
