اشتراک مقالات

راهکار امنیتی Fortinet SDN چیست و موارد کاربرد این تکنولوژی – قسمت اول

437 مشاهده 1 10 بهمن, 1400

راهکار امنیتی Fortinet SDN چیست

شبکه‌ی مبتنی بر نرم‌افزار، Software-Defined Networking یا همان SDN تأثیر عمیقی روی شبکه دیتاسنتر و همچنین امنیت شبکه دارد. وقتی‌که SDN تبدیل به موضوعی استراتژیک برای  تیم‌های زیرساخت و شبکه IT شده است، نباید به‌صورت ایزوله برای آن برنامه‌ریزی شود، بلکه باید به‌عنوان بخشی از تکامل بزرگ‌تر دیتاسنترها با آن برخورد گردد.

این تغییر و تحول یک دهه پیش با Hypervisorهای x86 آغاز شد که از طریق مجازی‌سازی سرور، توانست به بهبود عملکرد تیم های IT  کمک فراوانی کن، اما زمانیکه رایانش ابری با چابکی و انعطاف بیشتر تکامل Infrastructure-as-a-Service یا IaaS را جلو برد، آن مفاهیم وارد مجازی‌سازی شبکه و SDN و همچنین Software-Defined Storage، Software-Defined WAN و غیره شده‌اند. بسیاری از تحلیلگران و کارشناسان نام‌های مختلفی روی دیتاسنتر مبتنی بر نرم‌افزار SDDC یا SDI/SDx SD Infrastructure/Anything گذاشته‌اند.

در این میان امنیت شبکه بسیار تحت تأثیر قرار گرفته است، فایروال‌ها، سیستم‌های پیشگیری از نفوذ و تجهیزات امنیتی دیگر از قدیم به‌عنوان دستگاه‌های سخت‌افزاری در نقاط مختلفی در شبکه‌ی فیزیکی مثل نقطه‌ی ingress/egress در کناره‌ی شبکه پیاده‌سازی می‌شدند. اما با توجه به اینکه امنیت باید در سرتاسر شبکه پیاده‌سازی شود تا با تهدیدات پیشرفته داخل Perimeter مقابله گردد، چالش‌هایی برای حفظ قابلیت دید و کنترل با جریان‌های شبکه پویا و منطقی در محیط‌هایی که بیش‌ازپیش مبتنی بر نرم‌افزار هستند، وجود دارد. با وجود تغییرات عمیق و اساسی در زیرساخت دیتاسنتر، محدود کردن ترافیک در چند نقطه‌ی بررسی استاتیک بسیاری از مزایای چابکی Infrastructure-as-a-Service را نقض می‌کند.

معرفی راهکار امنیتی SDN

راهکار امنیتی Fortinet SDN چیست؟ می توان گفت نیازهای امنیت شبکه به صورت مداوم تکامل پیدا می‌کنند، دیدگاه Fortinet این است که امنیت به‌خودی‌خود یک لایه‌ی اساسی از زیرساخت IT است که به‌اندازه‌ی رایانش، Storage و شبکه اهمیت دارد؛ درنتیجه نیازهای امنیتی باید تحول پیدا کنند تا مبتنی بر نرم‌افزار گردند، به‌عبارت‌دیگر باید به‌اندازه‌ی هر یک از زیرساخت های دیتاسنتر دیگر منعطف باشند. Fortinet برای تعریف اینکه راهکارهای امنیتی چگونه باید برای دیتاسنترها و شبکه‌های مبتنی بر نرم‌افزار تکامل پیدا کنند، SDN Security Framework را معرفی کرده است. بااینکه یکپارچه‌سازی با پلتفرم یا کنترلر SDN یکی از روش‌های کلیدی برای دستیابی به امنیت شبکه‌ی چابک می‌باشد، قابلیت یکپارچه‌سازی با Hypervisorها، مدیریت Cloud و ابزار تجزیه‌و‌تحلیل و هوش نیز به همان اندازه اهمیت دارند.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید.
  • SDN Security Framework به‌طور اصولی امنیت شبکه را در هر یک از لایه‌های مفهومی معماری شبکه جلو می‌برد. این بدان معنی است که در سطح داده، سطح کنترل و سطح مدیریت:
    • تجهیزها/خدمات مجازی – تکمیل‌کننده‌ی امنیت Runtime با تجهیزها و خدمات مجازی‌سازی‌شده‌ی منعطف شده اند.
    • خودکارسازی و تنظیم Orchestration پلتفرم – ایجاد چابکی و انعطاف از طریق هماهنگ‌سازی با پلتفرم‌های شبکه و زیرساخت زیرین.
    • مدیریت از یک کنسول واحد Single-Pane-of-Glass: فراهم کردن مدیریت یکپارچه‌ی پالیسی، رخدادها و تجزیه‌و‌تحلیل روی زیرساخت فیزیکی، مجازی و Cloud یا سطح مدیریت.

خدمات و تجهیزات مجازی

جدا از اینکه فایروال‌ها و دیگر ویژگی‌های امنیت شبکه در حال تکامل هستند تا به سخت‌افزارهای بزرگ‌تر و قدرتمند‌تر، موتورها و عملکردهای امنیتی تبدیل شوند، باید به‌عنوان تجهیزهای مجازی نیز ارائه گردند. تجهیزهای مجازی‌سازی‌شده در اصل خدمات L4-L7 مثل فایروال یا تعدیل‌‌کنندگان بار را به‌عنوان موتورهای نرم‌افزاری درون یک VM Container در بر می‌گیرند و به یک Hypervisor توانایی ارائه‌ی بسیاری از مزایای مجازی‌سازی یکسانی با سرورهای وب و برنامه‌های کاربردی دیگر را می‌دهند.

فایروال‌های مجازی را می‌توان در لایه‌ی سوئیچ مجازی، حتی نزدیک‌تر به بارهای کاری VM پیاده‌سازی نمود تا قابلیت دید بیشتری به داده و ترافیک East-West VM به دست آید و همچنین با گسترش دیتاسنتر می‌توان آن‌ها را با انعطاف‌پذیری بیشتری پیاده‌سازی کرد. درحالی‌که دیتاسنتر به Hybrid Cloud گسترش پیدا می‌کند، تجهیزهای مجازی تنها گزینه‌ برای آوردن امنیت شبکه به ارائه‌دهندگان Cloud عمومی هستند، جایی که تجهیزهای فیزیکی در آن مجاز نمی‌باشند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

بیشتر بخوانید: رفع چالش‌های سازمان‌های خدماتی با استفاده از راهکار SD-WAN امن Fortinet

بااینکه تجهیزهای سخت‌افزاری هنوز باید زودتر پیاده‌سازی گردند، می‌توانند از طریق دامین‌های مجازی یا VDOMها و VLANها انعطاف بیشتری را بدست آورند. با وجود سخت‌افزارهای ارتقا یافته Scale-Up که به توان عملیاتی بسیار مقرون‌به‌صرفه‌ی بالای 100Gbps تا 1Tbps و بالاتر می‌رسند، ارائه‌کنندگان خدمات و دیگران می‌توانند با استفاده از هزاران VDOM Instance منطقی به ازای هر دستگاه فیزیکی، با انعطاف بیشتری ظرفیت در حال رشد را مدیریت نمایند.

تنظیم و خودکارسازی پلتفرم

پلتفرم امنیتی باید بتواند از تغییرات پویا در رایانش، شبکه و دیگر لایه‌های زیرساخت پشتیبانی کند؛ مثلاً وارد کردن یک Tenant یا اضافه کردن یک Instance سرور به یک بار کاری موجود. مثلاً اگر چند روز یا هفته طول بکشد که امنیت به‌صورت دستی و از طریق ادمین‌ها انسانی فراهم شود، یا بدتر از آن، داده‌ها و خدمات بدون کنترل‌های ایمن و تطبیق‌پذیر وارد تولید شوند، مزایای استفاده از خدمات Cloud که برحسب تقاضا آماده On-Demand هستند نقض خواهد شد. مدل بهتر این است که بتوان این تغییرات مدیریتی را با تنظیم مدیریت امنیت با Hypervisorها، کنترلرهای SDN و دیگر پلتفرم‌های زیرساخت خودکارسازی نمود.

 مثلاً برای یک برنامه کاربردی Cloud با انعطاف بالا، وقتی‌که یک VM Instance جدید روی یک Host مجازی‌سازی ایجاد شد، Hypervisor می‌تواند به کنترلر SDN اطلاع دهد که پورت‌های سوئیچ و VLANهای مناسب را تنظیم کند و همچنین به‌طور پویا جریان‌ها را از طریق یک فایروال مجازی یا فیزیکی هدایت کند که برای اعمال پالیسی‌های امنیتی مناسب برای آن بار کاری مطلع شده بود.

یک کنسول واحد یا Single-Pane-of-Glass

درحالی‌که بارهای کاری دیتاسنتر پویاتر می‌شوند، ممکن است در صورت اعمال یک وضعیت امنیتی متفاوت، شکاف‌های حفاظتی یا تطبیق‌پذیری ایجاد شود و این امر بستگی به این دارد که آیا بارهای کاری فیزیکی هستند یا مجازی یا اینکه روی Cloud خصوصی اجرا می‌شوند یا عمومی یا اینکه توسط فایروال مجازی تحت حفاظت هستند یا فایروال فیزیکی. مدیریت امنیت باید بتواند اطمینان حاصل کند که یک کنسول واحد از پالیسی‌های امنیتی و رخدادها روی Hybrid Cloud وجود دارد، فارغ از اینکه یک بار کاری کجا اجرا می‌شود و چطور از آن محافظت می‌گردد.  مدیریت امنیت را می‌توان بیشتر به‌عنوان یک سرویس ارائه کرد، مثلاً با اجرای پالیسی و Log کردن موتورها در ماشین‌های مجازی یا حتی به‌صورت Hostشده به‌عنوان یک برنامه کاربردی SaaS در Cloud.

بیشتر بخوانید: معرفی 5 محصول با ویژگی جدید ارائه شده توسط شرکت Fortinet

توسعه‌پذیری پلتفرم و یکپارچه‌سازی اکوسیستم

  • تجهیزهای امنیتی و محصولات مدیریتی را دیگر نمی‌توان از باقی زیرساخت جداسازی نمود، بلکه باید نسبت به تغییرات Realtime در دیتاسنتر آگاه باشند. درنتیجه راهکارهای امنیتی باید روی یک پلتفرم توسعه‌پذیر ساخته شوند که بتواند از طریق APIهای قابل برنامه‌ریزی و نقاط رابط دیگر با زیرساخت‌های دیگر ارتباط برقرار کرده و یکپارچه‌سازی گردد. این ارتباطات می‌توانند از طریق استانداردهای باز یا رابط‌های کاربری اختصاصی باشند، هر کدام از این راهکارها در مورد قابلیت همکاری، زمان رسیدن به بازار و ملاحظات دیگر، نقاط مثبت و منفی خود را دارند.

Vendorهای امنیتی باید راهکارهای امنیتی Out-of-Box را ارائه نمایند تا بتوانند پلتفرم‌های زیرساختی را هدایت نمایند که بدون برنامه‌نویسی سفارشی یا موارد دیگر، به آسانی قابلیت پیکربندی و پیاده‌سازی توسط اکثر سازمان‌ها را داشته باشند. اما Vendorها باید تلاش کنند که پلتفرم خود را برای ارائه‌کنندگان خدمات، شرکت‌های پیشرفته‌تر و شرکای تکنولوژی دیگر منعطف نمایند تا قابلیت یکپارچه‌سازی کنترلرهای SDN دیگر، پلتفرم‌های تنظیم، مدیریت Cloud و قابلیت دید و ابزار تکنولوژی منتخب فراهم گردد.

موارد کاربرد برای امنیت SDN

امنیت SDN یک چارچوب معماری امنیتی عمومی را تعریف می‌کند که می‌توان آن را به انواعی از موارد کاربرد کسب‌و‌کار و IT اعمال نمود، اما فقط چند مورد کلیدی به‌طور متداول برای کسب‌و‌کارها و ارائه‌دهندگان سرویس عرضه می‌شوند که تکنولوژی‌های مجازی‌سازی، Cloud و SDN را پیاده‌سازی می‌نمایند.

برچسب ها : راهکار امنیتی Fortinet SDNFortinet SDN

مطلب مفید بود؟

 
بیشتر بخوانید