در حال بارگزاری...

سرویس Posture و مزایای آن!

محصول Cisco ISE دارای ویژگی های بسیاری است اما یکی از کاربردی ترین و مهم ترین آن ها سرویس Posture می باشد.  در ادامه با ما همراه باشید.

 سرویس  Posture

مکانیزم کار این سرویس به این شکل است که کلاینتهایی که سیاست های امنیتی سازمان را ندارند اجازه ورود به شبکه را نداشته و تنها پس از فراهم شدن شرایط، امکان اتصال و ورود به شبکه را خواهند داشت. تمامی این سیاست ها از قبیل تنظیمات امنیتی دستگاه ها و به روز بودن برنامه های کاربردی نصب شده و ... قابل تعریف هستند. در نهایت بررسی این سیاست ها بر روی دستگاه ها ما را قادر می سازد کنترل مناسبی از نظر امنیتی بر روی دستگاه هایی که می خواهند به شبکه وارد شوند داشته باشیم.

در این سرویس به دستگاه هایی که معیارها و سیاست های امنیتی مورد نظر را داشته باشند اصطلاحاً Compliance می گویند و به تجهیزاتی که شرایط مورد انتظار ما را ندارند  NonCompliance گفته می شود و  تنها در صورتی که دستگاه Compliance باشد امکان ورود به شبکه را دارد و در غیر این صورت شرایط برای فراهم کردن نیاز ها فراهم می شود تا دستگاه بتواند Compliance و سپس وارد شبکه شود. فرایند بررسی سیاست ها به صورت دوره ای نیز انجام می گیرد.

Security 0d952bd404ccad62728f99e0ee0e170e4cc0b986 compressor

برای بررسی سیاست های Posture بر روی دستگاه ها وجود یکی از برنامه های زیر برای ISE ضروری است:

-  برنامه Cisco NAC Web : یک برنامه موقت که کاربران در زمان ورود بر روی سیستم های خود نصب می کنند و بعد از خروج کاربر از سیستم پاک می شود و از بین می رود.

-  برنامهCisco NAC : یک برنامه ثابت که بر روی سیستم با هر سیستم عاملی (ویندوز مک و...) برای انجام تمام کابردهای امنیتی compliance  نصب می شود.

-  برنامه AnyConnect ISE : یک برنامه ثابت که می تواند بر روی سیستم های ویندوز و مک برای انجام کاربردهای posture compliance  نصب می شود.

برنامه های Network Admission Control یا NAC بر روی سیستم های کاربران نصب شده و با سرویس Posture در ارتباط هستند. برای اجرا کردن سیاست های امنیتی بر روی دستگاه هایی که می خواهند به شبکه وصل شوند برنامه های NAC برای ارزیابی سیستم های کاربران طبق سیاست های posture و اجرا کردن سیاست های امنیتی بر روی آن ها جهت تامین نیازمندی ها کمک می کند.

Client Provisioning  یک سرویس است برای اطمینان از اینکه برنامه مناسب هر سیستم بر روی  آن نصب است تا بتواند ارزیابی Posture  و اصلاح سیستم ها را فراهم می کند.

ملاحضات امنیتی که می توان بر روی دستگاه ها انجام داد از اهمیتی ویژه ای برخوردار است و قدرت اصلی سرویس Posture در اینجا نمایان می شود. معمولا ارزیابی به صورت فعال انجام می شود که می تواند به طور ثابت یا موقت باشد. ثابت مانند دستگاه هایی که همیشه در شبکه حضور دارند (سیستم های شرکت) و موقت مانند دستگاه هایی که ممکن است یک بار وارد شبکه شوند (تلفن های همراه). نحوه ی بررسی همانطور که پیش تر توضیح مختصری از آن داده شد می تواند به شکل استقرار NAC Agent بر روی سیستم ها باشد که معمولا برای دستگاه های ثابت در شبکه این گونه می باشد یا به شکل NAC Web Agent که موقتی است. از مواردی که می توانند مورد بررسی قرار بگیرند می توان به بررسی به روز بودن و فعال بودن آنتی ویروس یا برنامه های آنتی Spyware، بررسی و تغییر فایل های رجیستری، بررسی وجود یا ایجاد فایل های عادی در هر جای سیستم و ... اشاره کرد.

اما یک مسئله مهم دیگر زمانی است که دستگاه non-compliance باشد که می توان سیستم را قرنطینه کرد یا امکاناتی را برای اصلاح مشکلات دستگاه فراهم آورد.

باید دقت داشت که همواره سیاست های Posture را به روز نگه داریم تا بتوان با تهدیدات جدید و روز افزون که شبکه ما را تهدید می کنند مواجه کرد.

پشتیبانی سیستم عامل یا پلتفرم دستگاهی که می خواهد به شبکه وارد شود نیز بسیار با اهمیت است. دستگاه هایی با سیستم عامل های منحصر به فرد و اختصاصی ممکن است امکان اجرای Agent مورد نظر ما را نداشته باشند به همین دلیل کلا از حضور در شبکه منع خواهند شد. موارد مورد نیاز برای agent های موقت بر روی مرورگر وب نیز به اندازه پلتفرم دستگاه دارای اهمیت هستند مثلا نیاز به ActiveX یا پیشنیازهای JAVA بر روی مرورگر نمی تواند راه حل جایگزینی داشته باشد.

اهمیت وجود بیش از یک دستگاه بر روی یک پورت بسیار زیاد است چراکه ممکن است اعمال سیاست بر روی آن پورت را دچار تناقض کند. مثلا اگر به آن پورت IP Phone یا هاب وصل باشد.

Posturing Endpoint compressor

 موارد قابل بررسی برای در سرویس Posture شامل موارد زیادی است که تعدادی از آن ها در ادامه لیست شده اند:

-    آپدیت های مایکروسافت
                  o    شامل سرویس پک ها
                  o    مورد Hotfix ها
                  o    به روز رسانی سیستم عامل و     مرورگر

-    آنتی ویروس
                  o    وجود یا عدم وجود آن / داشتن Signatureهای مشخصی در آنتی ویروس

-    آنتی Spyware
                  o     وجود یا عدم وجود آن / داشتن Signatureهای مشخصی در آنتی Spyware

-    فایل های بخصوصی که مد نظر شما هستند مثلا در دایرکتوری های سیستمی ویندوز (system32 و...)

-    بررسی اجرا یا عدم اجرا سرویس های مشخص، برنامه های کاربردی یا حتی پروسه ها سیستم عامل

-    تغییر و بررسی کلید های رجیستری ویندوز

ISE Posture Assessment Checks compressor

 توضیحات تکمیلی در مورد سیاست های Posture را در ادامه با یک مثال بیان می کنیم:

همانطور که در شکل زیر می بینید دو کاربر می خواهند وارد شبکه شوند یکی از آن ها کارمند سازمان است و دیگری یک مهمان یا پیمانکار است که می توانند از هر طریقی اعم از VPN، Wireless، Wired به شبکه وصل شده باشند. سیاست هایی که برای هر کدام تعریف شده است را با هم بررسی می کنیم.

سیاست های کارمند:

-    برای دستگاه این کارمند تعریف شده است که حتما باید وصله (Patch) های مایکروسافت نصب باشد. (بسیاری از سازمان ها با استفاده از همین سرویس می توانستند از آلودگی سیستم ها به باج افزار WannaCry جلوگیری کنند.)

-    آنتی ویروس McAfee باید نصب، در حال اجرا و به روز باشد تا از ورود ویروس ها به سیستم تا حدی جلوگیری کند. 

-    بررسی های دارایی شرکت

-    برنامه سازمان در حال اجرا باشد.

همانطور که در شکل می بینید سیستم این کارمند یکی از این نیازمندی ها را برای ورود به شبکه ندارد و برنامه NAC Agent در یک پیام به او توضیح داده که مدت زمان مشخصی دسترسی موقت به شبکه دارد تا یا سیستم را اصلاح کند یا از شبکه خارج می شود.

سیاست های پیمانکار:

-    باید بر روی دستگاه فرد آنتی ویروس نصب شده و  در حال اجرا و به روز باشد اما اجبار به استفاده از آنتی ویروس خاصی را به اعمال نکرده است. بر خلاف سیستم کارمند که باید حتما McAfee نصب باشد

سیاست های مهمان:

-    پذیرفتن سیاست های استفاده قابل قبول که توسط مدیر شبکه تعریف شده است ضروری است. در غیر این صورت کاربر فقط به اینترنت دسترسی دارد.

نکته جالب در اینجا است که سیاست های مهمان بر روی پیمانکار نیز اعمال شده است به این معنی که کاربر پیمانکار ابتدا باید نیازمندی های کاربر مهمان را تامین کند سپس نیازمندی های مربوط به خود را باید داشته باشد اما در اینجا هنگامی که میخواند به شبکه وصل شوند اجازه دسترسی به دلیل عدم وجود آنتی ویروس داده نشده است.
ISE Posture Policies compressor

سلسله مراتب سیاست های  Posture:

در ابتدا هنگامی که کاربری به سیستم وارد می شود ابتدا داشتن برنامه مناسب برای بررسی سیاست ها بر روی دستگاه چک می شود سپس شروط Posture بررسی می شود که می تواند شامل شرط های متفاوتی مانند File Condition و Registry Condition و Service Condition و ... باشد پس از آن اگر سیستم compliance بود سیاست های مربوط به آن کاربر بر روی سیستم اعمال می شود مانند VLAN مخصوص به آن کاربر و اگر سیستم compliance نبود وارد مرحله Remediation می شویم و اعمالی برای اصلاح و compliance کردن بسته به نوع سیستم عامل بر روی سیستم انجام می شود و بعد از آن سیاست های مربوط بر روی سیستم اجرا می شود.
5 Posture Policy Hierarchy compressorمزایا:

۱-  کاهش ریسک:

یکی از مهمترین کارها برای هر تجارتی در دنیای مملو از تکنولوژی امروز کاهش ریسک است. یکی از مسائلی که برای آن باید کمترین سطح ریسک را داشته باشیم آلودگی به ویروس، بد افزارها و حملات هکر ها هستند. کاهش ریسک را اگر بخواهید خودتان انجام دهید می تواند بسیار سخت یا حتی غیر ممکن باشد حتی اگر سازمان شما یک دپارتمان فناوری اطلاعات تمام وقت داشته باشد باز هم پیاده سازی آن می تواند پیچیده باشد. به همین دلیل می توانید از یک تیم متخصص در این امر کمک بگیرید.

۲-  افزایش کارایی شبکه:

کارایی شبکه های کامپیوتری برای هر شرکتی مسئله ای حیاتی است. downtime و تاخیر برای شرکت ها هزینه در بر خواهد داشت. حتی کاهش سرعت نیز می تواند تاثیر مستقیمی بر روی سود شرکت داشته باشد و پایداری را کاهش دهد. شرکت تتیس می تواند با خدمات پشتیبانی شبکه که در اختیار شما قرار می دهد سطح قابل قبولی از کارایی شبکه شما را تضمین دهد.

۳-  استرس کمتر برای کارمندان فناوری اطلاعات:

مدیریت یک شبکه قطعا کار راحتی نیست و سخت بودن آن به تناسب با پیچیدگی آن افزایش می یابد. اضافه کردن سیستم عامل های متفاوت خرابی های بالقوه تجهیزات شبکه و دسترسی های ریموت و عدم وجود یک استراتژی درست در نهایت منجر به یک فاجعه می شود (که می تواند کل تیم فناوری اطلاعات را روزها مشغول کند). اما با بکارگیری ویژگی Posture بسیاری از مشکلاتی که گریبان گیر تیم فناوری اطلاعات هستند قبل از وقوع جلوگیری و کم خواهند شد. افراد نیز در ساختار درست و بهینه تری می توانند کنترل بیشتری بر شبکه و بازدهی بالاتری داشته باشند.

۴-  راه حل سریع و فعالانه برای مشکلات:

بیشتر صاحبان شرکت ها سعی می کنند حالت واکنشی در زمان حل مشکلات داشته باشند و زمانی وارد عمل می شوند که مشکلی پیش بیاید. داشتن حالت واکنشی فعالانه می تواند مزیت های خود را داشته باشد به طور مثال می تواند کمک کند که مسائل را قبل از اینکه مشکلاتی در کارایی شبکه، uptime و پایداری به وجود آورند شناسایی کرد. وقتی شما قادر باشید که مشکلات را قبل از اینکه خسارتی در شبکه شما به وجود آورند پیدا کنید پایداری و کارآیی شبکه شما به خطر نمی افتد که لازمه آن ها نیز مکانیزم های امنیتی پیشگیرانه است.

۵- هزینه های کمتر:

استفاده از سرویس های مدیریت امنیت مانند Cisco ISE بسیار به صرفه تر از انجام کارها به صورت سنتی و به کار گرفتن نیرو برای انجام آن ها می باشد. در نهایت نیز این هزینه کمتر به شما کمک می کند که بتوانید سرمایه های ذخیره شده را برای بهبود در زیر ساخت شبکه یا دیگر قسمت ها تجارت خود به کار بگیرید.