امنیت ابری خود را با مناطق ایزوله به حداکثر برسانید

مناطق امنیتی برنامه‌های شما و داده‌های آن‌ها را در برابر عوامل بد محافظت می‌کنند و می‌توانند به محدود کردن تأثیر نقض امنیتی کمک کنند.

ایمن نگه داشتن برنامه کاربردی برای یک شرکت موفق بسیار مهم است. چه از معماری‌های برنامه‌های بومی ابری یا سیستم‌های داخلی – یا هر چیز دیگری استفاده کنید – معمولاً تقسیم زیرساخت خود به مناطق امنیتی بهترین روش است. این مناطق جداسازی امنیتی را فراهم می‌کنند که برنامه‌های شما و داده‌های آن‌ها را از عوامل بد خارجی در امان نگه می‌دارد. یک نقض امنیتی در یک منطقه را می توان محدود کرد که فقط بر منابع آن منطقه تأثیر بگذارد.

این فرآیند جداسازی مبتنی بر منطقه می‌تواند به‌درستی انجام شود، می‌تواند یک نقض امنیتی داشته باشد که در غیر این صورت ممکن است تأثیر زیادی بر یکپارچگی برنامه شما بگذارد، و آن را به یک مشکل بسیار کوچک‌تر، شاید یک نقض ناچیز با حداقل تأثیر تبدیل کند.

درک مناطق امنیتی

در حالی که روش‌های مختلفی برای معماری مناطق امنیتی شما وجود دارد، یک مدل رایج استفاده از سه منطقه است. این سه منطقه جداسازی بین اینترنت عمومی (منطقه عمومی) و سرویس‌های داخلی و فروشگاه‌های داده (منطقه خصوصی) را فراهم می‌کنند و یک لایه جداسازی (DMZ) بین این دو قرار می‌دهند. شکل ۱ نحوه کار آنها را با هم نشان می دهد.

شکل ۱. خدمات در مناطق ایزوله.

کاربران از طریق اینترنت عمومی با دسترسی به خدمات در منطقه عمومی با برنامه شما تعامل دارند. منطقه عمومی در معرض دید قرار گرفته و به اینترنت متصل است. خدمات در این منطقه مستقیماً در معرض اینترنت قرار دارند و مستقیماً از طریق اینترنت قابل دسترسی هستند. این سرویس ها بر روی سرورهایی اجرا می شوند که از طریق فایروال های مختلف محافظت می شوند، اما در غیر این صورت ترافیک را مستقیماً از کاربران در اینترنت خارجی دریافت می کنند.

این سرویس‌های عمومی تا حد امکان کار کمتری انجام می‌دهند، اما یکی از وظایف مهم‌تر آنها تنظیم و بازرسی داده‌های دریافتی از اینترنت خارجی برای اطمینان از معتبر و مناسب بودن آن است. این سرویس‌ها باید حملات انکار سرویس (DoS)، نفوذ بازیگر بد، و ورودی نامعتبر کاربر نهایی را فیلتر کنند.

بخش عمده ای از برنامه در منطقه خصوصی وجود دارد. این منطقه جایی است که داده های برنامه و همچنین سرویس هایی که به داده ها دسترسی دارند و آنها را دستکاری می کنند، ذخیره می شود و قسمت عمده ای از قسمت پشتی برنامه شما وجود دارد. در واقع، تا آنجا که ممکن است برنامه باید در این منطقه باشد. این منطقه دورترین منطقه از اینترنت عمومی است. هیچ سرور عمومی در این منطقه وجود ندارد. این منطقه تا حد امکان از اینترنت عمومی جدا است.

برای ایمن نگه داشتن منطقه خصوصی، هیچ کس نمی تواند مستقیماً به خدمات این منطقه دسترسی داشته باشد. حتی سرویس‌های موجود در منطقه عمومی برنامه نمی‌توانند به خدمات در منطقه خصوصی دسترسی داشته باشند. در عوض، خدمات در منطقه عمومی از طریق منطقه سوم، DMZ به منطقه خصوصی دسترسی دارند. DMZ یا منطقه غیرنظامی، یک منطقه واسطه ای است که سطح ایزوله و امنیت اضافی را بین مناطق عمومی و خصوصی فراهم می کند و بیشتر از بخش عمده برنامه موجود در منطقه خصوصی محافظت می کند.

هدف این مدل سه منطقه ای این است که “اینترنت خام وحشی” را از قسمت های حساس برنامه شما دور نگه دارد. دو منطقه جدا شده، منطقه عمومی و DMZ، لایه ای از حفاظت را بین اینترنت عمومی و بخش عمده ای از خدمات پشتیبان ارائه می دهند.

مناطق با استفاده از بخش‌های جداگانه، خصوصی و شبکه‌ای که دارای شبکه‌های خاص و فایروال‌های امنیتی سطح برنامه هستند، از یکدیگر جدا می‌شوند. در حالی که ترافیک به طور کلی آزادانه در منطقه عمومی در قسمت جلویی جریان دارد، در منطقه خصوصی در انتهای عقب محدود شده است، به طوری که تنها سرویس هایی که برای گفتگو با یکدیگر طراحی شده اند می توانند ارتباط برقرار کنند. هیچ ارتباط غیر ضروری بین سرویس های پشتیبان مجاز نیست. همه این محدودیت‌ها برای محدود کردن شعاع انفجار یا ناحیه ضربه‌ای یک حمله طراحی شده‌اند. اگر بخشی از سیستم شما به خطر بیفتد، این حفاظت ها کار نفوذگر را برای کاوش بیشتر در برنامه شما دشوار می کند. داده‌های حساس شما که در اعماق روده‌های منطقه خصوصی ذخیره می‌شوند، با لایه‌های حفاظتی زیادی از هر عامل بدی جدا می‌شوند.

کنترل های استاندارد امنیت ابر

در فضای ابری، خدمات وب آمازون (AWS)، Microsoft Azure و Google Cloud همگی مکانیسم‌های امنیتی استانداردی را ارائه می‌کنند که به ساخت و مدیریت این مناطق کمک می‌کنند. به عنوان مثال، AWS ابزارها و خدمات خاصی را ارائه می دهد که به ایجاد این مناطق امنیتی کمک می کند و جداسازی مورد نیاز بین آنها را فراهم می کند:

• VPCهای آمازون. VPC ها یا ابرهای خصوصی مجازی، محدوده آدرس IP ایزوله و قوانین مسیریابی را ارائه می دهند. هر منطقه امنیتی می تواند به عنوان یک VPC جداگانه ایجاد شود. سپس، قوانین مسیریابی خاصی برای کنترل جریان ترافیک در بین VPC ها ایجاد می شود. با ساختن هر زون یک VPC مجزا، می توانید به راحتی زون ها را ایجاد کرده و آنها را ایزوله نگه دارید. این مدل ترافیک داخل هر منطقه را محلی به آن منطقه نگه می دارد. ترافیکی که قرار است از یک سرویس در یک منطقه به یک سرویس در منطقه دیگر منتقل شود، باید از نقاط طبیعی «انتخاب ترافیک» عبور کند که نوع ترافیکی را که می‌تواند جریان داشته باشد محدود می‌کند. این فایروال های سطح شبکه اولین خط دفاعی در ایزوله نگه داشتن مناطق امنیتی شما هستند.
• گروه های امنیتی. گروه‌های امنیتی فایروال‌هایی در سطح سرور ارائه می‌کنند که ترافیک ورودی به نمونه‌های فردی را کنترل می‌کنند. آنها معمولاً به هر نمونه سروری که اختصاص می‌دهید، همراه با سایر نمونه‌های مؤلفه ابری، مانند پایگاه‌های داده، متصل می‌شوند. از گروه های امنیتی می توان برای جلوگیری از دسترسی غیرمجاز به هر مؤلفه استفاده کرد. به عنوان مثال، یک گروه امنیتی می‌تواند مطمئن شود که ترافیک وارد شده به سرور سرویس انتقال باید از مجموعه خاصی از سرویس‌های فرانت‌اند نشات گرفته باشد، و نمی‌تواند از هیچ سرور دیگری در اینترنت منشأ گرفته باشد. گروه‌های امنیتی امنیت کامل و در سطح سرور را فراهم می‌کنند، اما برای اطمینان از پیکربندی آن‌ها به گونه‌ای پیکربندی شده‌اند که فقط ترافیک مناسب را به نمونه‌های خاص اجازه می‌دهد. به این ترتیب، آنها باید با VPCها استفاده شوند، نه به جای آنها، برای ایجاد مناطق ایزوله شما.
• شبکه های ACL. اینها کنترل دسترسی در سطح شبکه را فراهم می کنند. آنها از جریان یافتن ترافیک ناخواسته در هر نقطه از VPC معین در بین سرورها و سرویس‌ها جلوگیری می‌کنند. ACL های شبکه بدون حالت هستند، به این معنی که ترافیک IP سطح پایین را مدیریت می کنند و کانال های ارتباطی نقطه به نقطه خاصی را مدیریت نمی کنند. به این ترتیب، آنها یک سپر گسترده برای مناطق امنیتی شما ایجاد می کنند، در حالی که گروه های امنیتی حفاظت خاص و دقیق را ارائه می دهند. برای مثال، ACL های شبکه را می توان برای جلوگیری از تلاش هر کسی برای ورود مستقیم به یک سرویس پشتیبان با غیرمجاز کردن تمام ترافیک SSH در منطقه استفاده کرد.

هر منطقه امنیتی معمولاً قوانین امنیتی متفاوتی را تنظیم می کند. برای مثال، در منطقه عمومی، ممکن است منطقی باشد که به سرویس‌های داخل این منطقه کمتر امن اجازه داده شود تا به شیوه‌ای بسیار باز ارتباط برقرار کنند. با این حال، در منطقه خصوصی، ارتباطات بین خدمات ممکن است به شدت محدود شود. البته، بسته به برنامه شما، الزامات امنیتی خاصی که برای هر منطقه استفاده می کنید ممکن است بسیار متفاوت باشد.

هر چه مناطق امنیتی خود را تنظیم کنید، آنها بهترین روش را برای بهبود امنیت برنامه شما و برای ایمن و ایمن نگه داشتن داده های شما ارائه می دهند. مناطق امنیتی باید به عنوان ابزار مهمی در زرادخانه شما برای حفظ امنیت برنامه در نظر گرفته شوند.