خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکت‌ها بعد از بحران متوجه آن می‌شوند

خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکت‌ها بعد از بحران متوجه آن می‌شوند

در بسیاری از شرکت‌ها، خرید تجهیزات فناوری اطلاعات با یک سؤال ساده آغاز می‌شود:

خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکت‌ها بعد از بحران متوجه آن می‌شوند

«چه فایروالی بخریم؟» یا: «برای بکاپ چه NAS ای مناسب است؟» 

اما مشکل دقیقاً از همین‌جا شروع می‌شود.

در یک زیرساخت حرفه‌ای، انتخاب فایروال، سیستم ذخیره‌سازی، تجهیزات بکاپ و سیاست‌های امنیتی نباید جدا از یکدیگر انجام شوند. تصمیم درست زمانی گرفته می‌شود که ابتدا سناریوی واقعی سازمان مشخص باشد: تعداد کاربران، نوع سرویس‌ها، حجم ترافیک، تعداد شعب، میزان اطلاعات، سرعت رشد داده، مدت قابل‌تحمل قطعی و زمان لازم برای بازیابی.

بدون این اطلاعات، حتی خرید یک تجهیز بسیار قدرتمند نیز می‌تواند به تصمیمی اشتباه تبدیل شود.

در عمل، بسیاری از سازمان‌ها زمانی متوجه این موضوع می‌شوند که حادثه‌ای رخ داده است؛ سیستم کند می‌شود، فایل‌ها در دسترس نیستند، بکاپ قابل‌بازیابی نیست یا فایروال تحت بار واقعی نمی‌تواند عملکرد مورد انتظار را ارائه دهد.

بنابراین سؤال درست این نیست که «چه محصولی بهتر است؟»

سؤال درست این است:

«برای سناریوی واقعی این سازمان، چه معماری‌ای لازم است؟»

چرا خرید بر اساس برند کافی نیست؟

برندهای مطرح بازار محصولات متنوعی برای نیازهای مختلف ارائه می‌کنند. اما اشتباه رایج این است که مدیر یا واحد خرید، ابتدا برند را انتخاب می‌کند و سپس تلاش می‌کند یکی از مدل‌های آن برند را به نیاز سازمان تطبیق دهد.

در حالی که مسیر صحیح برعکس است.

ابتدا باید نیاز واقعی مشخص شود و سپس محصول متناسب با آن انتخاب گردد.

برای مثال، دو شرکت ممکن است هر دو ۱۰۰ کاربر داشته باشند، اما نیاز آن‌ها کاملاً متفاوت باشد.

شرکت اول فقط از اینترنت، ایمیل و نرم‌افزارهای ابری استفاده می‌کند.

شرکت دوم دارای سرویس‌های داخلی، VPN، چند شعبه، دوربین‌های تحت شبکه، سیستم VoIP و کاربران راه دور است.

اگر فقط تعداد کاربر معیار انتخاب فایروال باشد، احتمال انتخاب اشتباه بسیار زیاد خواهد بود.

در مورد ذخیره‌سازی نیز همین مسئله وجود دارد.

دو سازمان ممکن است هر دو ۲۰ ترابایت اطلاعات داشته باشند، اما یکی فقط فایل‌های آرشیوی نگهداری کند و دیگری ماشین مجازی، دیتابیس و بکاپ روزانه سرورها را روی NAS قرار دهد.

نیاز سخت‌افزاری و معماری این دو سازمان یکسان نیست.

تعداد کاربر به‌تنهایی معیار انتخاب فایروال نیست

یکی از رایج‌ترین سؤالات بازار این است:

«برای ۵۰ یا ۱۰۰ یا ۲۰۰ کاربر چه فایروالی مناسب است؟»

این سؤال مفید است، اما به‌تنهایی کافی نیست.

برای انتخاب فایروال باید عوامل دیگری نیز بررسی شوند.

نوع ترافیک کاربران اهمیت زیادی دارد. یک شرکت طراحی که فایل‌های سنگین را به‌صورت آنلاین منتقل می‌کند، الگوی ترافیکی متفاوتی با یک دفتر حسابداری دارد.

همچنین باید مشخص شود چه قابلیت‌هایی روی فایروال فعال خواهند بود.

اگر سازمان از IPS، کنترل برنامه‌ها، Web Filtering، آنتی‌ویروس، SSL Inspection و سایر قابلیت‌های امنیتی استفاده کند، ظرفیت واقعی فایروال با Throughput اسمی ساده تفاوت خواهد داشت.

تعداد تونل‌های VPN، تعداد کاربران Remote Access، ارتباط شعب و میزان ترافیک هم‌زمان نیز باید در نظر گرفته شوند.

بنابراین انتخاب فایروال بر اساس یک عدد ساده مانند «تعداد کاربر» می‌تواند پروژه را از ابتدا به مسیر اشتباه ببرد.

Throughput اسمی همیشه واقعیت شبکه نیست

یکی از اشتباهات رایج هنگام خرید تجهیزات امنیتی، تمرکز بیش از حد بر اعداد بزرگ درج‌شده در مشخصات محصول است.

ممکن است یک فایروال در حالت ساده Routing یا Firewall Throughput عدد بسیار بالایی ارائه دهد، اما زمانی که قابلیت‌های امنیتی مختلف فعال شوند، شرایط متفاوت خواهد بود.

در شبکه واقعی، ترافیک فقط از یک بسته ساده عبور نمی‌کند.

ممکن است لازم باشد ترافیک بررسی شود، محتوای رمزگذاری‌شده تحلیل شود، تهدیدات شناسایی شوند و سیاست‌های مختلف اعمال گردد.

به همین دلیل، هنگام انتخاب محصول باید به سناریوی واقعی توجه کرد، نه فقط به بالاترین عدد موجود در جدول مشخصات.

خرید مدلی که فقط در شرایط آزمایشگاهی مناسب به نظر می‌رسد، ممکن است بعد از اجرای کامل سیاست‌های امنیتی باعث افت سرعت یا ایجاد گلوگاه شود.

SSL Inspection چرا در انتخاب فایروال مهم است؟

بخش بزرگی از ترافیک اینترنت امروز رمزگذاری‌شده است. این موضوع از نظر حریم خصوصی و امنیت ارتباطات مزیت محسوب می‌شود، اما در عین حال چالشی برای ابزارهای امنیتی ایجاد می‌کند.

اگر سازمان بخواهد بخشی از ترافیک رمزگذاری‌شده را بررسی کند، فایروال باید عملیات بیشتری انجام دهد.

این فرایند می‌تواند منابع بیشتری مصرف کند و روی ظرفیت واقعی تجهیز تأثیر بگذارد.

بنابراین هنگام انتخاب فایروال باید مشخص باشد که آیا SSL Inspection استفاده می‌شود یا خیر، چه بخشی از ترافیک بررسی خواهد شد و چه میزان رشد ترافیک در آینده قابل انتظار است.

نادیده گرفتن این موضوع ممکن است باعث شود تجهیزی که در روز اول مناسب به نظر می‌رسد، بعد از فعال‌سازی سیاست‌های واقعی دچار محدودیت شود.

VPN و شعب سازمانی چگونه انتخاب را تغییر می‌دهند؟

سازمانی که فقط یک دفتر دارد، نیاز متفاوتی با شرکتی دارد که دارای چند شعبه، دفتر راه دور یا کارکنان دورکار است.

در چنین ساختاری، فایروال فقط نقش محافظ مرز اینترنت را ندارد.

باید ارتباط امن بین شعب، VPN کاربران، مسیرهای جایگزین، مدیریت پهنای باند و در برخی پروژه‌ها SD-WAN نیز بررسی شود.

همچنین اگر ارتباط شعبه‌ای به سرویس‌های مرکزی وابسته باشد، قطع ارتباط می‌تواند بخشی از کسب‌وکار را متوقف کند.

در این شرایط، طراحی مسیرهای ارتباطی و معماری بازیابی باید در کنار انتخاب فایروال انجام شود.

خرید یک تجهیز بدون توجه به این سناریوها ممکن است باعث شود بعداً هزینه بیشتری برای ارتقا یا جایگزینی زیرساخت پرداخت شود.

چرا فایروال و ذخیره‌سازی باید هم‌زمان طراحی شوند؟

در نگاه اول، فایروال و NAS دو محصول کاملاً متفاوت به نظر می‌رسند.

یکی برای امنیت شبکه است و دیگری برای ذخیره‌سازی اطلاعات.

اما در معماری واقعی سازمان، این دو بخش ارتباط زیادی با یکدیگر دارند.

فرض کنید یک NAS برای بکاپ سرورها خریداری شده است. اگر این سیستم بدون طراحی صحیح در شبکه قرار گیرد، ممکن است از بخش‌های مختلف شبکه قابل‌دسترسی باشد.

اگر حساب‌های مدیریتی آن نیز با ساختار دسترسی سازمان هماهنگ نباشند، در صورت نفوذ مهاجم، سیستم بکاپ نیز در معرض خطر قرار می‌گیرد.

از طرف دیگر، اگر شبکه به‌درستی Segment نشده باشد، یک حمله داخلی یا انتشار بدافزار ممکن است دامنه آسیب را افزایش دهد.

بنابراین سیاست‌های دسترسی، VLANها، فایروال، حساب‌های مدیریتی، Backup Network و مسیرهای Replication باید در یک معماری مشترک بررسی شوند.

در یک بررسی معماری امنیت شبکه و بازیابی اطلاعات در دیجیاتو نیز به همین موضوع پرداخته شده که امنیت شبکه، فایروال، NAS و برنامه بازیابی نباید به‌صورت جزیره‌ای طراحی شوند و باید به‌عنوان بخش‌های یک معماری هماهنگ دیده شوند.

رشد داده را باید قبل از خرید پیش‌بینی کرد

یکی دیگر از اشتباهات رایج، خرید سیستم ذخیره‌سازی بر اساس حجم فعلی اطلاعات است.

فرض کنید سازمان امروز ۱۲ ترابایت اطلاعات دارد.

اگر سیستم ذخیره‌سازی دقیقاً بر اساس همین عدد انتخاب شود، ممکن است در مدت کوتاهی ظرفیت آن به پایان برسد.

برای طراحی صحیح باید چند سؤال پاسخ داده شود:

حجم داده سالانه چقدر رشد می‌کند؟

بکاپ چند نسخه از اطلاعات را نگهداری می‌کند؟

Snapshotها چه میزان فضا مصرف می‌کنند؟

Retention Policy چیست؟

آیا اطلاعات ماشین‌های مجازی نیز روی همان سیستم ذخیره می‌شود؟

آیا در آینده شعبه جدید یا پروژه جدید اضافه خواهد شد؟

خرید NAS بدون پاسخ به این سؤالات ممکن است باعث شود سازمان در فاصله کوتاهی دوباره مجبور به ارتقا شود.

RAID بکاپ نیست

یکی از سوءبرداشت‌های رایج در زیرساخت ذخیره‌سازی این است که استفاده از RAID به معنی داشتن بکاپ است.

RAID برای افزایش دسترس‌پذیری و تحمل خرابی دیسک طراحی شده است.

برای مثال، در برخی ساختارهای RAID اگر یک یا چند هارد خراب شوند، سیستم می‌تواند همچنان به فعالیت ادامه دهد.

اما RAID از حذف اشتباه فایل جلوگیری نمی‌کند.

اگر کاربر یک پوشه مهم را حذف کند، RAID آن را برنمی‌گرداند.

اگر باج‌افزار فایل‌ها را رمزگذاری کند، داده رمزگذاری‌شده روی همه دیسک‌های RAID ذخیره می‌شود.

اگر مهاجم دسترسی مدیریتی پیدا کند و اطلاعات را حذف کند، RAID نیز مشکل را حل نمی‌کند.

بنابراین سیستم ذخیره‌سازی باید بخشی از معماری بکاپ باشد، نه جایگزین بکاپ.

هزینه Downtime را قبل از خرید حساب کنید

بسیاری از مدیران هنگام خرید تجهیزات فقط قیمت محصول را مقایسه می‌کنند.

اما هزینه واقعی یک زیرساخت نامناسب در روز بحران مشخص می‌شود.

فرض کنید سیستم مالی یک شرکت برای دو روز متوقف شود.

در این مدت ممکن است فروش متوقف شود، ثبت سفارش انجام نشود، ارسال کالا به تأخیر بیفتد و کارکنان نتوانند به اطلاعات دسترسی داشته باشند.

در برخی سازمان‌ها، هزینه چند ساعت توقف از اختلاف قیمت دو مدل تجهیز بیشتر است.

بنابراین هنگام طراحی زیرساخت باید هزینه Downtime نیز محاسبه شود.

اگر توقف سرویس برای سازمان بسیار پرهزینه است، معماری باید با افزونگی، بکاپ مناسب و برنامه بازیابی سریع طراحی شود.

اگر کسب‌وکار بتواند چند ساعت یا حتی یک روز قطعی را تحمل کند، ممکن است معماری اقتصادی‌تری نیز پاسخگو باشد.

هدف همیشه خرید گران‌ترین تجهیز نیست.

هدف، خرید متناسب با ریسک واقعی کسب‌وکار است.

Backup Window و Restore Window را نادیده نگیرید

دو مفهوم مهم در پروژه‌های بکاپ، مدت زمان اجرای بکاپ و مدت زمان بازیابی هستند.

ممکن است سیستم بتواند در طول شب از اطلاعات بکاپ بگیرد، اما بازیابی همان اطلاعات چند روز طول بکشد.

در زمان عادی این موضوع چندان مهم به نظر نمی‌رسد، اما در روز بحران تبدیل به مسئله اصلی می‌شود.

برای مثال، اگر یک سازمان ۳۰ ترابایت اطلاعات دارد و مسیر بازیابی آن محدود است، Restore کامل ممکن است مدت زیادی طول بکشد.

در چنین شرایطی باید مشخص شود کدام سرویس‌ها اولویت بیشتری دارند.

ممکن است لازم باشد ابتدا دیتابیس مالی، سپس فایل‌سرور و بعد سیستم‌های آرشیوی بازیابی شوند.

طراحی بازیابی باید بر اساس اولویت سرویس‌ها انجام شود.

NAS اقتصادی یا NAS سازمانی؟

انتخاب سیستم ذخیره‌سازی نیز نباید فقط بر اساس قیمت انجام شود.

یک NAS اقتصادی ممکن است برای دفتر کوچک، فایل‌اشتراک‌گذاری یا بکاپ محدود مناسب باشد.

اما در پروژه‌ای که تعداد زیادی کاربر، ماشین مجازی، Snapshotهای متعدد یا Replication بین سایت‌ها وجود دارد، باید به موارد بیشتری توجه کرد.

نوع پردازنده، مقدار RAM، تعداد درایوها، پشتیبانی از شبکه سریع، قابلیت توسعه، نوع RAID، Cache، Snapshot و امکانات مدیریت بکاپ همگی مهم هستند.

همچنین نوع هارد یا SSD نیز باید بر اساس Workload انتخاب شود.

استفاده از دیسکی که برای کاربری دسکتاپ طراحی شده در یک سیستم ذخیره‌سازی سازمانی دائماً روشن، ممکن است انتخاب مناسبی نباشد.

به همین دلیل، انتخاب NAS و دیسک باید به‌صورت یک مجموعه بررسی شود.

سه سناریوی ساده برای انتخاب معماری

برای درک بهتر موضوع، می‌توان سه سناریوی کلی را در نظر گرفت.

شرکت کوچک

یک دفتر با ۲۰ تا ۳۰ کاربر، فایل‌سرور، نرم‌افزار حسابداری و اینترنت سازمانی.

در چنین محیطی ممکن است یک فایروال مناسب، یک NAS کوچک با RAID مناسب، بکاپ دوره‌ای و یک نسخه خارج از محل کافی باشد.

اما حتی در همین سناریوی ساده، باید حساب مدیریتی جداگانه و تست Restore وجود داشته باشد.

شرکت متوسط

سازمانی با ۱۰۰ تا ۲۰۰ کاربر، VPN، چند سرویس داخلی و حجم قابل‌توجه اطلاعات.

در این سناریو، ظرفیت واقعی فایروال، ارتباط شعب، Segment بندی شبکه، سیستم بکاپ مرکزی و Replication اهمیت بیشتری پیدا می‌کند.

ممکن است لازم باشد Backup Network جداگانه و سیاست‌های دسترسی دقیق‌تری طراحی شوند.

سازمان بزرگ یا چندشعبه‌ای

در این سطح، طراحی باید بر اساس Business Continuity انجام شود.

ارتباط شعب، DR Site، Replication، افزونگی، نگهداری چند نسخه بکاپ و آزمایش دوره‌ای Disaster Recovery اهمیت بالایی دارند.

در چنین سازمانی خرید هر تجهیز به‌صورت جداگانه و بدون معماری جامع، ریسک قابل‌توجهی ایجاد می‌کند.

اشتباهات رایج مدیران IT هنگام خرید

یکی از اشتباهات رایج، خرید بر اساس تخفیف مقطعی بازار است.

ممکن است یک مدل با قیمت مناسب عرضه شود، اما اگر با نیاز واقعی سازمان هماهنگ نباشد، صرفه‌جویی اولیه به هزینه بیشتری در آینده تبدیل می‌شود.

اشتباه دوم، خرید محصولی است که فقط نیاز امروز را پوشش می‌دهد.

رشد کاربر، داده و سرویس باید از ابتدا دیده شود.

اشتباه سوم، تمرکز فقط بر فایروال و نادیده گرفتن Endpoint، Backup و دسترسی‌ها است.

اشتباه چهارم، اعتماد بیش از حد به برند است.

هیچ برند معتبری نمی‌تواند طراحی اشتباه را جبران کند.

اشتباه پنجم، تست نکردن بازیابی است.

اگر سازمان فقط Backup Job موفق دارد اما Restore آزمایش نشده، هنوز از سالم بودن مسیر بازیابی اطمینان ندارد.

قبل از خرید چه سؤالاتی باید پرسیده شود؟

پیش از انتخاب فایروال، NAS یا سیستم بکاپ، چند سؤال باید شفاف پاسخ داده شود.

تعداد کاربران واقعی و هم‌زمان چند نفر است؟

حجم ترافیک اینترنت چقدر است؟

چه سرویس‌هایی از بیرون قابل‌دسترسی هستند؟

چند شعبه یا کاربر راه دور وجود دارد؟

آیا SSL Inspection استفاده خواهد شد؟

حجم فعلی اطلاعات چقدر است؟

رشد سالانه داده چقدر پیش‌بینی می‌شود؟

حداکثر مقدار قابل‌قبول از دست رفتن اطلاعات چقدر است؟

حداکثر زمان قابل‌تحمل برای قطع سرویس چقدر است؟

آیا نسخه بکاپ خارج از سایت وجود خواهد داشت؟

چه کسی اجازه حذف بکاپ را دارد؟

آخرین بار چه زمانی Restore کامل آزمایش شده است؟

بدون پاسخ دقیق به این پرسش‌ها، انتخاب محصول بیشتر شبیه حدس است تا طراحی مهندسی.

مشاوره پیش از خرید چه ارزشی دارد؟

در بازار تجهیزات شبکه و ذخیره‌سازی، تفاوت قیمت مدل‌ها می‌تواند قابل‌توجه باشد.

به همین دلیل، برخی سازمان‌ها تصور می‌کنند مشاوره فنی فقط هزینه اضافی است.

اما یک انتخاب اشتباه می‌تواند هزینه بسیار بیشتری ایجاد کند.

خرید فایروال کوچک‌تر از نیاز باعث افت عملکرد و نیاز به تعویض زودهنگام می‌شود.

خرید فایروال بسیار بزرگ نیز سرمایه سازمان را بدون دلیل مصرف می‌کند.

در سیستم ذخیره‌سازی نیز همین وضعیت وجود دارد.

تعداد Bay نامناسب، انتخاب RAID اشتباه، هارد نامتناسب یا پیش‌بینی نکردن رشد داده می‌تواند پروژه را با مشکل مواجه کند.

مشاوره فنی واقعی باید محصول را از روی سناریوی سازمان انتخاب کند، نه اینکه سناریو را به محصول موجود در انبار تطبیق دهد.

جمع‌بندی

در زیرساخت فناوری اطلاعات، محصول خوب به‌تنهایی کافی نیست.

فایروال قدرتمند در شبکه‌ای که به‌درستی Segment نشده، بخشی از مشکل را حل می‌کند.

NAS پیشرفته بدون سیاست دسترسی و بکاپ مستقل، تضمین‌کننده امنیت اطلاعات نیست.

بکاپ بدون تست Restore نیز فقط یک امید است.

سازمان حرفه‌ای از خرید محصول شروع نمی‌کند.

از سناریو شروع می‌کند.

ابتدا مشخص می‌کند چه سرویس‌هایی حیاتی هستند، چه میزان توقف قابل‌تحمل است، چه مقدار از دست رفتن داده پذیرفته می‌شود و در صورت وقوع حادثه، چه مسیری برای بازیابی وجود دارد.

سپس بر اساس همین اطلاعات، فایروال، سیستم ذخیره‌سازی و راهکار بکاپ انتخاب می‌شوند.

این رویکرد شاید در مرحله خرید زمان بیشتری نیاز داشته باشد، اما در بلندمدت هزینه، ریسک و احتمال تصمیم اشتباه را کاهش می‌دهد.

در نهایت، بهترین تجهیز همیشه گران‌ترین تجهیز نیست.

بهترین تجهیز، محصولی است که در یک معماری صحیح و متناسب با سناریوی واقعی سازمان قرار گرفته باشد.

آیا شما به دنبال کسب اطلاعات بیشتر در مورد "خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکت‌ها بعد از بحران متوجه آن می‌شوند" هستید؟ با کلیک بر روی تکنولوژی, کسب و کار ایرانی، به دنبال مطالب مرتبط با این موضوع هستید؟ با کلیک بر روی دسته بندی های مرتبط، محتواهای دیگری را کشف کنید. همچنین، ممکن است در این دسته بندی، سریال ها، فیلم ها، کتاب ها و مقالات مفیدی نیز برای شما قرار داشته باشند. بنابراین، همین حالا برای کشف دنیای جذاب و گسترده ی محتواهای مرتبط با "خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکت‌ها بعد از بحران متوجه آن می‌شوند"، کلیک کنید.