امنیت سایبری، آخرین جبهه دفاعی در برابر اختلالات و رخدادهایی است که مدیران شبکه روزانه با آنها مواجه هستند. گاهی به نظر میرسد مدیران شبکه، همانند کاپیتانهای ناوگان خیالیِ Starfleet باشند و وقتی زیرساخت سازمانها پیچیدهتر میگردد، گویی که در حال مسیریابی در کهکشانهای ناشناخته هستند. به دلیل استفاده از ترکیب پیچیدهای از برنامههای کاربردی Cloud، سیستمهای On-premises، اینترنت اشیا (IoT) و BYOD و سایر موارد، دوران منابع اختصاصی سازمان، به سر آمده است. این بدین معنی است که سختتر از گذشته میتوان به تجهیزات شبکه اطمینان نمود و با در نظر داشتن اینکه محیط شبکه تغییر یافته است، کاربران و دستگاهها به نقاط ورودی اولیه برای دسترسی به شبکه و برنامههای کاربردی سازمان تبدیل شدهاند و اغلب متکی بر کنترلهای دسترسی مبتنی بر رمز عبور قدیمی و ضعیف میباشند و برای کنترل دسترسی شبکه و برنامهی کاربردی در سرتاسر Campus، دیتاسنتر و Cloud باید از تجربیات مدیران در مشکلاتی که در گذشته وجود داشته است، استفاده نمود.
در شبکههای مدرن امروزی، مدیران شبکه به راهکارهایی برای ایجاد قابلیت دید عمیق نسبت به کاربران، دستگاهها و برنامههای کاربردی، هم در داخل و هم در خارج از شبکهی سازمان، نیاز دارند، بنابراین نیازی نیست برای مقابله با دستگاهها و یا کاربران ناشناس شبکه را جداسازی نمایند، یک مدل امنیتی «Zero-Trust برای کاربران» برای اینگونه چالشها کارآمد خواهد بود. این روش با هرگونه تلاش جهت دسترسی، به نحوی رفتار میکند که گویی دستگاه کاملا ناشناس بوده و یا از یک شبکهی نامطمئن، وارد شده است.
در این مدل احراز هویت، ابتدا کاربران و وضعیت امنیتی تجهیزاتشان را بررسی میکنند و فعالیت امنیتی و بررسی آن قبل از ارائهی دسترسی به برنامههای کاربردی، تمرکز دارند. با ادغام Duo Security با (Cisco Identity Services Engine (ISE میتوان دستورالعملی برای پیادهسازی موفق کنترلهای دسترسی مدرن داشت که ساده و در عین حال، برای برطرفسازی برخی موارد کاربرد اصلی حول این چالشها، بسیار موثر بوده است.
دستورالعملی برای تسهیل قابلیت دید و تطبیقپذیری تجهیزات
غیرمتمرکز بودن مدیریت تجهیزات ممکن است مدیران را با این مساله مواجه کند که کاربران چگونه به منابع دسترسی دارند، علاوه بر آن مشخص شدن اینکه چه تجهیزی به منابع سازمانی متصل شده است، حیاتی است؛ زیرا نرمافزارهایی که به روزرسانی نشده اند و یا توسط کمپانی مربوطه دیگر پشتیبانی نمیشوند، غالبا آسیبپذیریهایی دارند که باعث نفوذ به سازمان میشود. بدون امنیت ایجاد شده توسط Endpointهای فعلی، افراد ممکن است سهوا تجهیزات خود را به تهدیدی جدی در شبکه تبدیل کنند. دو جزء ساده، رویکردی مطلوب برای کنترلهای دسترسی قوی ارائه میکنند که به راحتی میتوان در هر جایی از محیط آن را Replicate نمود.
ISE دیدی عمیق و کنترلی کامل به اینکه چه کسی یا چه چیزی در شبکه سازمان و در ارتباطات بیسیم و VPN در حال جابجایی است، ارائه میدهد. زمانی که کاربران و تجهیزات به شبکه متصل میشوند، ISE ، هویت آنها را مطابق با User Repository خود تایید نموده و کاربرها را پیش از دریافت هرگونه دسترسی، بر اساس این که چه کسی و چه چیزی دسترسی شبکه را درخواست کرده است، احراز هویت مینماید. Duo Security با قابلیت Device Insight ، دید خود را نسبت به ارتباطات تجهیزات به نرمافزارهای کاربردی، از جمله تجهیزاتی که به شبکه سازمان متصل نیستند تکمیل مینماید.
Duo با استفاده از احراز هویت چندمرحلهای و کنترلهای دسترسی قابل تطبیق، قابلیت احراز هویت کاربر در حال اتصال به شبکه سازمان و قابلیت تایید درخواست برای دسترسی را ارائه مینماید. مدیرها میتوانند از طریق سیاستهای دسترسی خاص در سطح عضویت گروه یا برنامهی کاربردی، کنترلهای امنیتی برای عبور یا Block کردن درخواستهای دسترسی توسط هویت یا دستگاه و براساس عوامل ساختاری مانند موقعیت مکانی کاربر، گسترههای آدرس شبکه، دادههای بیومتریک، امنیت دستگاه و غیره، ایجاد نماید.
برای تجهیزاتی که به شبکه سازمان از طریق ISE و Cisco AnyConnect متصل شدهاند، امکان جابجایی تجهیزات به صورت امن را نسبت به وضعیت امنیتی آنها فراهم میسازد. Endpointهای قابل اعتماد در Duo باعث افزایش کنترلها میشود و به تجهیزاتی که در ابتدای ورودشان مورد بررسی قرار گرفته باشند Certificateی بعنوان ایمن بودن میدهد و باعث ایجاد دید و کنترل وسیعتری در محیط BYOD، برای محدودسازی دسترسی تجهیزات شخصی که دارای مشخصههای امنیتی لازم نیست، میگردد. با ISE و Duo میتوان از کنترلهای امنیتی ایمن، راحت و لازم برای ارائهی دسترسی مناسب در حین محافظت از سازمان در برابر ریسکهای دستگاهها و افراد غیرمجاز، بهره برد.
