کنترل دسترسی در شبکه چیست؟+ 11 جزء کلیدی و معرفی 7 روش آن🟩

کنترل دسترسی در شبکه به عنوان یک راه حل امنیتی سازمانی تعریف می شود. که برای ارزیابی، مدیریت، اعمال و بهینه سازی سیاست های امنیتی و احراز هویت از طریق اقدامات مختلف مانند امنیت نقطه پایانی، احراز هویت دسترسی کاربر و سیاست های امنیتی شبکه استفاده می شود. این مقاله کنترل دسترسی شبکه، اجزای کلیدی آن و بهترین شیوه ها را توضیح می دهد.

کنترل دسترسی در شبکه (NAC) چیست؟

کنترل دسترسی شبکه یک راه حل امنیتی سازمانی است. که برای ارزیابی، مدیریت، اجرا و بهینه سازی سیاست های امنیتی و احراز هویت از طریق اقدامات مختلف مانند اقدامات امنیتی نقطه پایانی، احراز هویت دسترسی کاربر و سیاست های امنیتی شبکه استفاده می شود. اساساً، هدف NAC ایجاد یک قلعه امنیتی است. که از طریق آن کاربران غیرمجاز، فعالیت های غیرقانونی دستگاه و تهدیدات مبتنی بر شبکه نتوانند نفوذ کنند. در یک مقطع زمانی،NAC تماماً در مورد امنیت رایانه و شبکه بود، و اطمینان حاصل می‌کرد که تمام ترافیک عبوری از آن مشروع است.

با این حال، با ظهور اینترنت اشیا (IoT)، چندین نقطه پایانی متصل، برنامه‌های نرم‌افزار به‌عنوان سرویس (SaaS) و دستگاه‌های شخصی که برای استفاده حرفه‌ای دو برابر می‌شوند، کنترل دسترسی شبکه تأثیر بسیار گسترده‌تری دارد. حوزه.

بر اساس یک نظرسنجی در سال 2020 توسط Nexkey، 44 درصد از پاسخ دهندگان احساس کردند که کنترل دسترسی در عواقب همه‌گیری مهم‌تر از همیشه است. در همان سال، گارتنر اعلام کرد که گزارش کنترل دسترسی به شبکه را به عنوان بخشی از پیش بینی خود آغاز می کند . همچنین سهم درآمد فروشندگان را در گزارش های سهم بازار گارتنر ارزیابی می کند. این نشان می دهد که NAC آماده تبدیل شدن به یک جزء اصلی سازمانی است.

بیشتر بخوانید🚀🚀🚀🚀🚀: هک واتساپ

چندین محرک اتخاذ استراتژی ها و راه حل های NAC را تشویق می کنند:

تقویت امنیت پس از ممیزی:

با تسریع تحول دیجیتال، ممیزی های امنیتی موظفند زیرساخت های بدون نقشه، نقاط دسترسی آسیب پذیر و دستگاه های IoT مانند پوشیدنی ها یا اتوماسیون ساختمان را آشکار کنند که شرکت ها را در معرض دید قرار می دهد. NAC می تواند پاسخی برای این چالش باشد.

مقابله با افزایش آسیب‌پذیری‌های شخص ثالث:

دسترسی به شبکه شرکتی توسط انواع مختلف ذینفعان و دستگاه‌ها، از جمله مهمانان، شرکا، پیمانکاران، مشاوران و غیره، قرار گرفتن در معرض امنیت شما را افزایش می‌دهد. NAC به مدیریت دسترسی شخص ثالث و ایمن نگه داشتن جریان داده کمک می کند.

قرنطینه کردن دستگاه‌ها بدون ایجاد وقفه در کار معمول (BAU):

با اتکای فزاینده به فناوری، همیشه نمی‌توان سیستم را بلافاصله پس از شناسایی آسیب‌پذیری بازنشست کرد. کنترل دسترسی شبکه راه‌حل‌های موقتی مانند sandboxing یا شبکه محلی مجازی قرنطینه (VLAN) را برای ادامه عملیات تجاری تا رفع مشکل ارائه می‌دهد.

کنترل دسترسی در شبکه می تواند به شما در مدیریت منابع کمک کند

ادغام با سایر ملزومات امنیتی:

اکثر راه حل های NAC دارای قابلیت همکاری گسترده هستند تا بتوانند با اجزای infosec موجود “به خوبی بازی کنند”. این یک محرک اصلی برای سازمان های بالغ با ردپای دیجیتالی تثبیت شده است. همچنین، مقیاس NAC را آسان‌تر می‌کند و با تکامل سازمان به وضعیت امنیتی کلی می‌افزاید.

یک مفهوم مرتبط که متخصصان infosec باید هنگام بررسی NAC به خاطر بسپارند، دسترسی به شبکه بدون اعتماد (ZTNA) است.

ZTNA نوعی سیاست کنترل دسترسی به شبکه است که مرز دسترسی مبتنی بر هویت و زمینه را در اطراف یک یا چند برنامه کاربردی اعمال می کند. برای کاربر معمولی، برنامه های محافظت شده توسط ZTNA پنهان می مانند. یک کارگزار اعتماد تعیین شده، قبل از اجازه دسترسی به برنامه‌ها، کاربر را در برابر فهرستی از نهادهای نام‌گذاری شده، بر اساس هویت و زمینه، تأیید می‌کند. Zero Trust یک قابلیت کلیدی کنترل دسترسی به شبکه در سال 2020 بود که توسط 72٪ از پاسخ دهندگان در گزارش پیشرفت Zero Trust 2020 توسط Cybersecurity Insiders و Pulse Secure اولویت بندی شد.

اجزای کلیدی کنترل دسترسی به شبکه

NAC بر گستره وسیعی از سیستم های محاسباتی، هم در محل و هم از راه دور نظارت می کند. در نتیجه، شامل یک معماری راه حل با دقت طراحی شده است که هر جزء در اجرای امنیت، نگهداری و اصلاح نقش دارد. در زیر اجزای تشکیل دهنده یک راه حل استاندارد صنعتی NAC :

1. client

سیستم های نقطه پایانی یا مشتریان یکی از اجزای کلیدی NAC هستند. اینها رایج ترین پنجره ها برای دسترسی به شبکه، تبادل داده و به طور کلی هر نوع فعالیت محاسباتی هستند. آسیب‌پذیری‌های نقطه پایانی می‌توانند کل شبکه سازمانی را فلج کنند، زیرا در صورت داشتن اتصالات عمیق بین دستگاه‌ها و سرورهای داخلی وجود دارد. به غیر از نقاط پایانی فیزیکی مانند رایانه‌ها، لپ‌تاپ‌ها، چاپگرهای متصل، تلفن‌های IP و غیره، ماشین‌های مجازی که می‌توانید یک ایستگاه کاری را میزبانی کنید نیز به‌عنوان مشتری محسوب می‌شوند.

2. client’s software

گاهی اوقات، یک برنامه یا مجموعه ای از برنامه های کاربردی خاص است که علاوه بر کل سیستم محاسباتی، به عنوان دروازه دسترسی نیز شناخته می شود. در این موارد، برنامه نرم افزاری مشتری نیز بخشی از معماری NAC در نظر گرفته می شود و فعالانه در فرآیندهای احراز هویت و اجرای امنیت شرکت می کند.

3. سرور احراز هویت

سرور احراز هویت یکی از اجزای اصلی NAC است. این معمولاً یک سرور فیزیکی از نوع سرویس کاربر شماره گیری احراز هویت از راه دور (RADIUS) است که اعتبار دستگاه مشتری یا نرم افزار مشتری درخواست کننده دسترسی را تأیید می کند. در اکثر راه حل های کنترل دسترسی به شبکه، این اعتبارنامه ها بر اساس لیستی از موجودیت های نامگذاری شده مانند نام های کاربری، رمز عبور و گواهی های دیجیتال تایید می شوند. راه حل های پیشرفته تر، احراز هویت مبتنی بر زمینه و رفتار را نیز اعمال می کنند. برای راه حل کنترل دسترسی شبکه مبتنی بر ابر، این مؤلفه بر روی یک ابر عمومی میزبانی می شود.

4. احراز هویت

احراز هویت مسئول تسهیل احراز هویت بین مشتری (دستگاه یا نرم افزار) و سرور احراز هویت است. این شامل یک سوئیچ مدیریت شده یا نقطه دسترسی است. که به طور ایمن اعتبارنامه ها را بین اجزای 1 یا 2 و 3 ارسال می کند و اطمینان حاصل می کند که یک پورت همچنان به عنوان یک وضعیت غیرمجاز برچسب گذاری می شود. تا زمانی که احراز هویت انجام شود. احراز هویت همچنین مسئول تغییر وضعیت پورت به “مجاز” پس از نشان دادن چراغ سبز توسط سرور است.

5. چارچوب احراز هویت

چارچوب احراز هویت را می توان به عنوان زبانی در نظر گرفت که در آن اعتبارنامه ها بین دستگاه مشتری، نرم افزار مشتری، سرور احراز هویت و احراز هویت به اشتراک گذاشته می شود. از یک راه حل به راه حل دیگر متفاوت است. برای مثال، پروتکل احراز هویت قابل توسعه (EAP) یا EAP از طریق LAN (EAPoL) می تواند به عنوان چارچوب در صورت نیاز به پیکربندی چندین روش احراز هویت در سیستم استفاده شود.

6. قرنطینه

قرنطینه یک محیط جعبه شنی است که در آن ترافیک حامل مدارک تایید نشده قرار می گیرد و در انتظار اصلاح است. توجه داشته باشید که قرنطینه یک جزء کنترل دسترسی به شبکه فقط در NAC پس از پذیرش است، که در آن سیاست‌های احراز هویت و امنیتی پس از دسترسی کاربر یا دستگاه قبلاً در شبکه اعمال می‌شوند. قرنطینه امکان فعالیت تجاری در محیط را بدون تعامل یا آسیب رساندن به فایل های خارجی فراهم می کند.

بیشتر بخوانید🚀🚀🚀🚀🚀: هک تلگرام

7. شبکه های مهمان

سازمان‌ها ممکن است یک شبکه مهمان اختصاصی برای جداسازی تمام ترافیک شخص ثالث پیاده‌سازی کنند. این برای شرکت‌هایی که با نیروی کار بزرگ بدون حقوق و دستمزد و چندین ذینفع شخص ثالث مانند نهادهای نظارتی، مشاوران، فروشندگان و غیره، از همان محل شرکت کار می‌کنند، مرتبط است. شبکه‌های مهمان جزء مشترک NAC میزبان ابری هستند که دسترسی از راه دور توسط اشخاص ثالث را کنترل می‌کنند.

8. شبکه های شرکتی

این کانال اصلی برای ارتباط در سازمان است و به ترافیک مجاز اجازه می دهد تا توسط سرور احراز هویت تأیید شود. شبکه شرکتی را می‌توان با سیاست‌های امنیتی متناوب اضافی مانند دسترسی محدود به زمان که پس از رسیدن به زمان یا آستانه دسترسی خاص، مجوز را لغو می‌کند، ایمن شد. بنابراین، شبکه های شرکتی به هیچ وجه خارج از محدوده NAC یا منطقه عاری از سیاست امنیتی نیستند.

9. اینترنت عمومی

علاوه بر شبکه‌های مهمان و شبکه‌های شرکتی، از اینترنت عمومی نیز می‌توان برای دسترسی به دارایی‌های سازمانی، مشروط به محدودیت‌ها و پروتکل‌های احراز هویت استفاده کرد. به طور معمول، ترافیک عمومی اینترنت فقط از طریق دروازه‌های مهمان جریان دارد و نه از طریق شبکه شرکت.

10. کنسول مدیریت

کنترل دسترسی به شبکه را می توان از طریق داشبورد امنیتی که در محل یا در فضای ابری میزبانی می شود، مدیریت کرد. داشبورد دید دستگاه را فعال می‌کند، تنظیمات خط‌مشی امنیتی، نقشه‌های روندها یا تجزیه و تحلیل‌ها را امکان‌پذیر می‌کند، هشدارهای امنیتی را نمایش می‌دهد و اساساً به عنوان یک مرکز مدیریت همه‌جانبه برای مدیر infosec شما عمل می‌کند. در صورت نیاز می توان به کنسول مدیریتی به عنوان یک پورتال وب، یک برنامه دسکتاپ، یک برنامه تلفن همراه یا در یک ماشین مجازی دسترسی داشت.

کنترل دسترسی در شبکه می تواند محدودیت های مفیدی ایجاد کند

11. نماینده مشتری

عوامل سرویس گیرنده جزء اختیاری NAC هستند. اگر می خواهید کارمندان را برای ارزیابی وضعیت امنیتی خود، اقدام بر روی آسیب پذیری ها و بروز ناهنجاری ها یا رفتارهای مشکوک به اطلاع شما تقویت کنید، می توانید یک عامل کنترل دسترسی شبکه را روی دستگاه مشتری نصب کنید. اما به خاطر داشته باشید که این جایگزینی برای کنسول مدیریت متمرکز نیست.

در سطح بالایی، معماری NAC شما شامل برخی یا بیشتر این مؤلفه‌ها می‌شود – که مؤلفه‌های 1، 3، 4، 5، 8 و 10 اجباری هستند که می‌توانند به عنوان مؤلفه‌های اصلی راه‌حل‌های دسترسی به شبکه در نظر گرفته شوند. اجزای باقی‌مانده ارزش بیشتری می‌افزایند و کنترل دسترسی شبکه را برای انواع مختلفی از سناریوهای پیاده‌سازی تراز می‌کنند.

با توجه به این پیچیدگی معماری، ممکن است از خود بپرسید که آیا جایگزینی برای کنترل دسترسی به شبکه وجود دارد.

کنترل دسترسی به شبکه معمولاً برای اکوسیستم‌های دیجیتالی چند محیطی به کار می رود. توصیه می‌شود که به طور منظم درخواست‌های دسترسی را از کاربران یا دستگاه‌هایی با شخصیت‌های مختلف، امتیازات هویتی، زمینه‌ها، نیازمندی‌های داده، و پس‌زمینه‌های شبکه دریافت می‌کنند، با ترکیبی تقریباً برابر از اینترنت اشیا و سنتی.

نکته مهم

از سوی دیگر، اگر تنها به اینترنت اشیا اتکا دارید، راه‌حل‌های امنیتی فیزیکی سایبری که بر روی دستگاه‌های لبه تمرکز دارند، می‌توانند مناسب‌تر باشند. برای سازمان هایی که به دنبال ایمن سازی اکوسیستم های راه دور خود هستند، لبه سرویس دسترسی ایمن (SASE) یک راه حل نوظهور است که کاملاً مبتنی بر ابر است.

با در نظر گرفتن این گزینه ها، اگر کنترل دسترسی به شبکه همان چیزی است که سازمان شما نیاز دارد، این هفت بهترین روش را برای شروع به خاطر بسپارید.

7 روش برتر برای کنترل دسترسی در شبکه در سال 2021

سال 2023 سال مهمی برای امنیت سازمانی خواهد بود. زیرا شما باید ردپای خود را بیاورید (BYOD)، اتکای SaaS و نقاط دسترسی بدون نقشه، و در عین حال بر به حداقل رساندن کنترل های دسترسی مبتنی بر لمس تمرکز کنید. . بهترین شیوه های زیر می تواند به شما کمک کند تا راه حل های کنترل دسترسی به شبکه را به حداکثر برسانید و محیط های سازمانی خود را تقویت کنید.

1. کنترل دسترسی شبکه قبل از پذیرش با پس از پذیرش

کنترل دسترسی به شبکه را می توان به طور کلی به دو نوع طبقه بندی کرد: قبل از پذیرش و پس از پذیرش. در حالت اول، سیاست های احراز هویت قبل از اعطای دسترسی به شبکه، درست در لحظه ای که کاربر یا دستگاه درخواست دسترسی می کند، اعمال می شود. سپس کنترل دسترسی شبکه مبدأ درخواست، الگوی رفتاری آن و اعتبار مبدا را ارزیابی می‌کند تا دسترسی را مطابق با سیاست‌های امنیتی شرکت مجاز یا رد کند.

در مقابل، کنترل دسترسی به شبکه پس از پذیرش، زمانی که کاربر یا دستگاه دسترسی اولیه را به دست آورد و به دنبال سرمایه‌گذاری بیشتر به داخل باشد، در محیط سازمانی انجام می‌شود – برای مثال هنگام دسترسی به یک دارایی داده ممتاز. سیاست‌های کنترل دسترسی شبکه پس از پذیرش می‌توانند برای توقف حرکات جانبی در داخل محیط و کاهش آسیب وارد شوند. کاربر یا دستگاه باید هر بار که سعی می‌کند به دارایی‌های سازمانی محافظت شده توسط سیاست‌های پس از پذیرش دسترسی پیدا کند، احراز هویت جدید دریافت کند.

این دو نوع کنترل دسترسی به شبکه با هم راه حلی سرتاسر در برابر تهدیدات امنیت سایبری ارائه می کنند. در وهله اول از دسترسی کاربران غیرمجاز جلوگیری می شود. تهدیدهایی که قبل از پذیرش از طریق نوعی فریب نفوذ می کنند، باید قبل از دسترسی به حساس ترین اطلاعات شما، چرخه احراز هویت دیگری را طی کنند. این تاکتیک در برابر حملات خودی نیز موثر است.

2. راه حل کنترل دسترسی شبکه خود را هوشمندانه انتخاب کنید

وقتی نوبت به انتخاب شریک راه حل می رسد، شما چندین گزینه دارید. فروشندگان کنترل دسترسی به شبکه Pure-play یک راه حل اختصاصی برای کنترل دسترسی به شبکه دارند. که از هر دو فناوری منبع باز و اختصاصی استفاده می کند. ارائه دهندگان زیرساخت شبکه کنترل دسترسی به شبکه را به عنوان یک افزودنی برای محصولات شبکه ارائه می دهند. که با یکپارچه سازی یکپارچه و یکپارچه سازی دقیق به ارزش پیشنهادی می افزاید.

بیشتر بخوانید🚀🚀🚀🚀🚀: انواع سرور های شبکه

3. کارکنان فناوری اطلاعات را در زمینه کنترل دسترسی به شبکه آموزش دهید

NAC دارای واژگان فنی خاص خود است و یک متخصص فناوری اطلاعات ممکن است نتواند ارزش آن را به حداکثر برساند. حتی اگر یک فروشنده مالکیت کامل یا مشترک اجرای کنترل دسترسی و نگهداری شبکه را به عهده بگیرد، ماهیت داخلی آن به این معنی است که کارکنان فناوری اطلاعات شما باید درگیر نگهداری و نگهداری روزانه شوند.

علاوه بر این، تفسیر هشدارهای NAC و روند داده ها یکی دیگر از مهارت های مهم است. خواندن به موقع هشدارهای NAC  و عمل به آنها می تواند از آسیب شدید امنیتی ناشی از دسترسی غیرمجاز جلوگیری کند. از آنجایی که کنترل دسترسی به شبکه کل گستره دستگاه داخلی و ردپای کاربر شما را پوشش می‌دهد، طیف گسترده‌ای از هشدارها برای ارزیابی و تفسیر وجود خواهد داشت.

بسته به تعداد نقاط پایانی، ممکن است بخواهید یک سرپرست اختصاصی کنترل دسترسی به شبکه منصوب کنید. تا مراقب هشدارها باشد، موارد مثبت کاذب را فیلتر کند و سازمان را بدون وقفه در جریان کار یا ایجاد مزاحمت برای کاربران قانونی ایمن نگه دارد.

4. مراقب نامزدهای مورد استفاده اصلی باشید

در یک شرکت دیجیتال، موارد استفاده زیادی برای اجرای NAC ایده آل وجود دارد . اما آنها اغلب از زیر رادار عبور می کنند. اگر هر یک از سناریوهای زیر را در شرکت خود دارید، NAC را در نظر بگیرید:

یک اکوسیستم شخص ثالث بزرگ: کاربران شخص ثالث و غیر کارمندان به طور منظم در محل شرکت شما حضور دارند. حتی برخی از آنها امتیازات دسترسی به شبکه شرکتی را دارند.

خط‌مشی‌های دستگاه خود را بیاورید: کارمندان لپ‌تاپ‌های شخصی خود را به محل کار می‌آورند. یا دستگاه‌های کاری خود را به خانه می‌برند و به جای یکدیگر از آنها برای مقاصد شخصی و حرفه‌ای استفاده می‌کنند.

اینترنت اشیا (IoT): چندین نقطه پایانی متصل در محل شما وجود دارد، از درهای هوشمند با قابلیت بیومتریک تا چاپگرهای دارای IP.

داده‌های حساس ذخیره‌شده در لبه: دستگاه‌های توزیع‌شده مانند پوشیدنی‌های بهداشتی یا حسگرهای تولیدی دائماً داده‌های حساس را جمع‌آوری کرده و آنها را به شبکه شما منتقل می‌کنند.

5. تقسیم بندی شبکه را برای امنیت پس از پذیرش اتخاذ کنید

تقسیم‌بندی شبکه به شما امکان می‌دهد کاربران و دستگاه‌ها را به صورت پویا و خودکار، بر اساس سیاست‌های امنیتی از پیش پیکربندی‌شده، سطل کنید. دارایی آلوده یا نامشروع از طریق تقسیم بندی جدا می شود، که سطح حمله شما را کاهش می دهد.

راه‌های مختلفی برای سفارشی‌سازی تقسیم‌بندی شبکه وجود دارد . بر اساس هویت کاربران یا دستگاه، سطوح خطر آنها، مکان درخواست‌های دسترسی، زمان اتصال یا هر قانون تجاری دیگری. دستگاه هایی که در محیط شبکه شما به عنوان پرخطر اولویت بندی شده اند را می توان جدا کرد و تا تایید بعدی در قرنطینه قرار داد.

همچنین توصیه می‌شود سیاست‌های تقسیم‌بندی شبکه خود را متمرکز کنید. تا پروتکل‌های یکسانی در سراسر سازمان دنبال شود و پاسخی ثابت به تهدیدها داشته باشد. این به استاندارد کردن وضعیت امنیتی شما کمک می کند و اطمینان حاصل می کند. که در میان خط مشی های امنیتی پراکنده، روش های مختلف تقسیم بندی و غیره، هیچ خطایی از شکاف ها عبور نمی کند.

کنترل دسترسی در شبکه به شما امنیت بیشتری را ارائه می کند

6. فرآیند اجرای کنترل دسترسی در شبکه را به مراحل ساده و قابل مدیریت تقسیم کنید

معماری NAC می تواند در ابتدا بسیار زیاد به نظر برسد، زیرا چندین مؤلفه و وابستگی های نزدیک به زیرساخت های فناوری اطلاعات موجود وجود دارد. به همین دلیل بسیار مهم است که اجرای کنترل دسترسی به شبکه را به پنج مرحله ساده تقسیم کنیم:

7. ادغام های اختیاری را برای ارزش افزوده کاوش کنید

علاوه بر قابلیت‌های اصلی مانند قابلیت مشاهده شبکه، مدیریت دسترسی مهمان، انطباق، و امنیت دستگاه، می‌توانید ادغام‌ها را با فایروال‌های شبکه. اطلاعات امنیتی و مدیریت رویداد (SIEM)، IAM و سیستم‌های پیشرفته پیشگیری از تهدید بررسی کنید. این وضعیت امنیتی شما را در یک کل واحد تثبیت می کند و یک خط واحد از مسئولیت پذیری و کنترل ایجاد می کند.

همانطور که محیط شرکت شما به سمت بیرون کشیده می شود، NAC برای حفظ دید فعالیت کاربر و دستگاه در شبکه های شرکتی و مهمان حیاتی خواهد بود. ظهور کنترل‌های دسترسی به شبکه مبتنی بر ابر، مرز بعدی است که مدیریت آن را ساده می‌کند . فرصت‌هایی را برای خدمات کنترل دسترسی به شبکه مدیریت از راه دور فراهم می‌کند.