کنترل دسترسی شبکه (NAC) که با نام کنترل پذیرش شبکه هم شناخته میشود، فرآیندی است که دسترسی کاربران و دستگاههای غیرمجاز به یک شبکه شرکتی یا خصوصی را محدود میکند. NAC تضمین میکند که فقط کاربرانی که احراز هویت شدهاند و دستگاههایی که مجاز و تابع سیاستهای امنیتی هستند، میتوانند وارد شبکه شوند.
همگام با افزایش نقاط پایانی (Endpoints) در یک سازمان –که معمولاً به واسطه خطمشیهای BYOD و گسترش استفاده از دستگاههای اینترنتِ اشیاء (IoT) حادث میشوند– نیاز به کنترل هم بیشتر میشود. حتی بزرگترین سازمانهای فناوری اطلاعات هم منابع لازم برای پیکربندیِ دستیِ همه دستگاههای مورد استفاده را ندارند.
ویژگیهای اتوماتیک راهکار کنترل دسترسی شبکه (NAC)، مزیتی قابل توجه است که زمان و هزینههای مرتبط با احراز هویت و مجوز دادن به کاربران و تعیین اینکه دستگاههای آنها تابع مقررات شبکه باشند را کاهش میدهد.
علاوه بر این، مجرمان سایبری به خوبی از این افزایش نقاط پایانی آگاه هستند و کماکان به طراحی و راهاندازی کمپینهای پیچیدهای ادامه میدهند که از هرگونه آسیبپذیری در شبکههای شرکتی سوءاستفاده کنند. هرچه نقاط پایانی بیشتر شود، سطح حمله افزایش مییابد، که به معنای فرصتهای بیشتر برای کلاهبرداران برای کسب دسترسی است.
راهکار NAC را میتوان طوری پیکربندی کرد که هرگونه فعالیت غیرمعمول یا مشکوک داخل شبکه را کشف کرد و با اقدامات فوری به آن واکنش نشان داد، از جمله ایزوله کردن دستگاه از شبکه برای جلوگیری از گسترش احتمالی حمله.
اگرچه IoT و BYOD راهکارهای NAC را تغییر دادهاند، اما کنترل دسترسی شبکه همچنان به عنوان یک فهرست دائمی کاربران، دستگاهها و سطح دسترسی آنها خدمت میکند. همچین به عنوان یک ابزار اکتشافی فعال برای کشف دستگاههای ناشناخته قبلی که ممکن است به تمام یا بخشهایی از شبکه دسترسی پیدا کرده باشند، عمل میکند و مدیران فناوری اطلاعات را ملزم میکند که خطمشیهای امنیتی را تنظیم نمایند.
علاوه بر این، سازمانها میتوانند انتخاب کنند که NAC، چگونه کاربرانی را که تلاش میکنند به شبکه دسترسی پیدا کنند، احراز هویت کند. ادمینهای فناوری اطلاعات میتوانند احراز هویت چند عاملی (MFA) را انتخاب کنند، که یک لایه امنیتی اضافی را برای ترکیب نام کاربری و رمز عبور فراهم میکند.
محدود کردن دسترسی به شبکه همچنین به معنای کنترل برنامههای کاربردی (اپلیکیشنها) و دادهها در داخل شبکه است که معمولاً مورد نظر مجرمان سایبری هستند. هرچه کنترلهای شبکه قویتر باشند، نفوذ هرگونه حمله سایبری به شبکه دشوارتر خواهد بود.
مزایای کنترل دسترسی شبکه چیست؟
کنترل دسترسی شبکه، چندین مزیت را برای سازمانها به همراه دارد:
- کنترل کاربرانی که وارد شبکه شرکتی میشوند.
- کنترل دسترسی به اپلیکیشنها و منابعی که کاربران قصد دسترسی به آنها را دارند.
- اجازه دادن به پیمانکاران، شرکا و مهمانان برای ورود به شبکه در صورت لزوم، اما با اِعمال برخی محدودیتها برای دسترسیهای آنها.
- تقسیم بندی کارکنان به گروهها بر اساس عملکرد شغلی آنها، و ایجاد خطمشیهای دسترسی مبتنی بر نقش (role-based access).
- محافظت در برابر حملات سایبری از طریق قرار دادن سیستمها و کنترلهایی که فعالیتهای غیرعادی یا مشکوک را کشف میکنند.
- پاسخگویی اتوماتیک به رخدادها.
- تهیه گزارشها و دیدگاهها در مورد تلاشها برای دسترسی به شبکه در سرتاسر سازمان.
موارد استفاده متداول برای کنترل دسترسی شبکه چیست؟
1- BYOD (Bring Your Own Device)
به واسطه گسترش خطمشیهای «کار از منزل»، کارمندان برای تکمیل وظایف مربوط به کار، به طور فزایندهای به دستگاههای شخصی خود متکی هستند. BYOD (یعنی خطمشیِ اجازه دادن به کارمندان برای انجام کار با استفاده از دستگاههای خودشان)، کارایی را افزایش و هزینه کلی را کاهش میدهد. کارمندان احتمالاً با دستگاههای انتخابی خودشان، در مقایسه با دستگاههایی که توسط شرکت ارائه میشود، بهرهوری بیشتری دارند.
خطمشیهای NAC را میتوان به BYOD تعمیم داد تا اطمینان حاصل شود که هم دستگاه و هم مالک آن، احراز هویت شده و مجاز به ورود به شبکه بشوند.
2- دستگاههای اینترنت اشیاء (IoT)
دوربینهای امنیتی، کیوسکهای ثبت ورود و حسگرهای ساختمان تنها چند نمونه از دستگاههای اینترنت اشیاء هستند. اگرچه دستگاههای اینترنت اشیاء، شبکه یک سازمان را گسترش میدهند، اما سطح حمله به آن را نیز گسترش میدهند.
علاوه بر این، دستگاههای IoT ممکن است برای مدتی طولانی بدون نظارت یا در حالت خواب (sleep mode) باشند. NAC میتواند خطرات احتمالی ناشی از این نقاط پایانی را با انجام اقدامات پروفایلبندی تعریفشده و اِعمال کردن خطمشیهای دسترسی برای دستهبندیهای مختلف دستگاههای اینترنت اشیاء، کاهش دهد.
3- دسترسی شبکه برای افرادی غیر از کارمندان شرکت
NAC برای اعطای دسترسی موقت به افرادی غیر از کارمندان شرکت، مثلاً پیمانکاران، مشاوران و شرکاء هم مفید است. NAC میتواند اجازه دسترسی به چنین کاربرانی را بدهد تا آنها بتوانند بصورتی یکدست و هماهنگ، و بدون مشغول کردن تیم فناوری اطلاعات، به شبکه متصل شوند. بدیهی است که خطمشیها برای افراد غیر کارمند باید متفاوت از خطمشیها برای کارمندان رسمی باشد.
قابلیتهای کنترل دسترسی شبکه چیست؟
– مدیریت چرخه عمر خطمشی
NAC خطمشیهایی را برای همه کاربران و دستگاههای موجود در سرتاسر سازمان اعمال میکند و این خطمشیها را همگام با تغییرات افراد، نقاط پایانی و کسبوکار، تنظیم میکند.
– پروفایلبندی و قابلیت رؤیت
NAC کاربران و دستگاهها را احراز هویت، مجوزدهی و پروفایلبندی میکند. همچنین از ارائه دسترسی به کاربران و دستگاههای غیرمجاز خودداری میکند.
– دسترسی به شبکه مهمان (شبکه مخصوص مهمانها)
NAC سازمان را قادر میسازد تا کاربران و دستگاههای موقت را از طریق یک پورتالِ سلفسرویس، مدیریت و احراز هویت کند.
– بررسی وضعیت امنیتی
تبعیت از خطمشیهای امنیتی را بر اساس کاربر، دستگاه، مکان، سیستم عامل و سایر معیارها ارزیابی و طبقهبندی میکند.
– پاسخ به رخدادها
NAC با ایجاد و اعمال خطمشیهایی، جلوی فعالیتهای مشکوک را گرفته و دستگاهها را بدون مداخله منابع IT ایزوله میکند، و بدین طریق تعداد تهدیدات سایبری را کاهش میدهد.
– یکپارچهسازی دوجهته (دوسویه)
NAC میتواند با سایر محصولات نقطه امنیت و راهکارهای شبکه از طریق رابط API یکپارچه شود.
کنترل دسترسی شبکه چه اهمیتی دارد؟
– امنیت بهبودیافته
از آنجایی که NAC بر همه دستگاههای مورد استفاده در سراسر سازمان نظارت میکند، لذا ضمن احراز هویت کاربران و دستگاهها در لحظه ورود به شبکه، امنیت را ارتقاء میبخشد. توانایی پایش و نظارت بر فعالیت شبکه و اقدام فوری در برابر رفتارهای غیرمجاز یا غیرعادی به این معنی است که تهدیدات بدافزارها و سایر حملات سایبری کاهش مییابند.
– صرفهجویی در هزینهها
ردیابی و حفاظت اتوماتیک از دستگاهها، در مقیاس کلان به معنای صرفهجویی در هزینههای سازمانها است زیرا منابع IT کمتری مورد نیاز میشود. علاوه بر این، جلوگیری از دسترسیهای غیرمجاز یا یک حمله بدافزاری مشکوک، باعث میشود که از وارد آمدن ضررهای مالی به شرکتها، که در صورت خنثی نشدن آن فعالیتها ممکن بود به وجود بیایند، جلوگیری شود.
– اتوماسیون
با افزایش تعداد و تنوع دستگاههایی که سازمانها آنها را مورد استفاده قرار میدهند، سازمانها نمیتوانند بهطور دستی کاربران و خطمشیهای امنیتی نقاط پایانی آنها را هنگام تلاش برای ورود به شبکه صحهگذاری کنند. ویژگیهای اتوماسیونی NAC، کارایی فوقالعادهای را برای فرآیند احراز هویت کاربران و دستگاهها، و صدور مجوز دسترسی ارائه میدهد.
– تجربیات پیشرفته در زمینه فناوری اطلاعات
با دسترسی یکدست و هماهنگ، تجربه کاربر هنگام اتصال به شبکه بدون دردسر است. وجود کنترلهایی که در پس زمینه کار میکنند، به کاربران این اطمینان را میدهد که از تجربه آنها از فناوری اطلاعات، بدون نیاز به انجام هیچگونه تلاشی از سوی خودشان، محافظت میشود.
– سهولت کنترل
ویژگیهای قابل رؤیت بودن NAC به صورتی اثربخش در نقش یک فهرست 24*7 (24 ساعته در هفت روز هفته) از تمام نقاط پایانی دارای مجوز سازمان، عمل میکند. این قابلیت نه تنها در مواقعی که IT نیاز دارد تعیین کند به کدام نقاط پایانی یا کاربران اجازه دسترسی به شبکه داده شده است مفید است، بلکه برای مدیریت چرخه عمر در زمانی که دستگاهها باید به تدریج حذف یا جایگزین شوند نیز به درد میخورد.
انواع کنترل دسترسی شبکه کدامند؟
1) پیشپذیرش (Pre-admission)
کنترل دسترسی شبکه بصورت پیشپذیرش، قبل از اعطای دسترسی انجام میشود. کاربری که قصد ورود به شبکه را دارد درخواست ورود میکند. یک کنترل شبکه پیشپذیرشی، درخواست را بررسی میکند و در صورتی که دستگاه یا کاربر بتواند احراز هویت خود را به انجام برساند، به او دسترسی میدهد.
2) پساپذیرش (Post-admission)
کنترل دسترسی شبکه پساپذیرشی، فرآیند اعطای مجوز به یک دستگاه یا کاربر احراز هویت شده است که میخواهد وارد منطقه جدید یا متفاوتی از شبکه شود که مجوز آن به آنها اعطا نشده است. برای دریافت مجوز، کاربر یا دستگاه باید هویت خود را مجدداً به تأیید برساند.
FortiNAC: راهکار امنیت دسترسی شبکه
FortiNAC راهکار شرکت فورتی نت برای کنترل دسترسی شبکه است. امنیت کامپیوتری NAC با بهرهگیری از قابلیت رؤیت، کنترل، و پاسخ اتوماتیک برای هر چیزی که به شبکه وصل میشود، کل Fortinet Security Fabric (مجموعهای از ویژگیهای امنیتی گسترده شرکت فورتینت) را ارتقاء میدهد.
از اینترنت اشیا در برابر تهدیدات محافظت میکند، کنترل را به دستگاههای طرف ثالث تعمیم میدهد، و پاسخهای اتوماتیک به طیف گستردهای از رخدادهای شبکه را هماهنگ میکند.
FortiNAC سه قابلیت کلیدی را برای ایمنسازی دستگاههای IoT فعال میکند:
- قابلیت رؤیت در شبکه برای دیدن هر دستگاه و کاربر هنگام پیوستن به شبکه
- کنترل شبکه برای محدود کردن مکانهایی که دستگاهها میتوانند از آنجا وارد شبکه بشوند
- پاسخ دهی اتوماتیک برای سرعت بخشیدن به زمان واکنش به رخدادها از چند روز به چند ثانیه
راهکار FortiNAC هم از شبکههای بیسیم و هم شبکههای باسیم که دارای معماری متمرکز هستند و امکان استقرار توزیعشده (پراکنده) با پاسخگویی اتوماتیک را فراهم میآورند، محافظت میکند.
FortiNAC یک راهکار ایدهآل برای هر سطح بلوغ یک راهبرد امنیتی است
سازمانها با استفاده از FortiNAC میتوانند:
- اسکن با عامل و بدون عامل شبکه را برای کشف و طبقهبندی دستگاهها ارائه دهند.
- فهرستی از تمام دستگاههای موجود در شبکه ایجاد کنند و خطر احتمالی هر «نقطه پایان» متصل به شبکه را ارزیابی کنند.
- از یک معماری متمرکز برای استقرار و مدیریت آسان استفاده کنند.
- از پشتیبانی گسترده برای دستگاههای شبکه طرف ثالث برای تضمین اثربخشی کلی استفاده کنند.
- کنترل دسترسی پویا (دینامیک) را اعمال کنند.
- برای واکنش به رخدادها آماده باشند و زمان مهار را، گاهی اوقات از چند روز یا چند هفته، به چند ثانیه کاهش دهند.
- راهکار NAC را با راهکارهای SIEM یکپارچهسازی نمایند تا دادههای زمینهای (contextual data) دقیقی را بدست آورند و زمان بررسی را کاهش دهند.
- آنها میتوانند فرآیند ورود و صدور مجوز را برای تعداد زیادی دستگاه نقطه پایانی، کاربر و مهمان، اتوماتیک کنند.