خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکتها بعد از بحران متوجه آن میشوند
در بسیاری از شرکتها، خرید تجهیزات فناوری اطلاعات با یک سؤال ساده آغاز میشود:
«چه فایروالی بخریم؟» یا: «برای بکاپ چه NAS ای مناسب است؟»
اما مشکل دقیقاً از همینجا شروع میشود.
در یک زیرساخت حرفهای، انتخاب فایروال، سیستم ذخیرهسازی، تجهیزات بکاپ و سیاستهای امنیتی نباید جدا از یکدیگر انجام شوند. تصمیم درست زمانی گرفته میشود که ابتدا سناریوی واقعی سازمان مشخص باشد: تعداد کاربران، نوع سرویسها، حجم ترافیک، تعداد شعب، میزان اطلاعات، سرعت رشد داده، مدت قابلتحمل قطعی و زمان لازم برای بازیابی.
بدون این اطلاعات، حتی خرید یک تجهیز بسیار قدرتمند نیز میتواند به تصمیمی اشتباه تبدیل شود.
در عمل، بسیاری از سازمانها زمانی متوجه این موضوع میشوند که حادثهای رخ داده است؛ سیستم کند میشود، فایلها در دسترس نیستند، بکاپ قابلبازیابی نیست یا فایروال تحت بار واقعی نمیتواند عملکرد مورد انتظار را ارائه دهد.
بنابراین سؤال درست این نیست که «چه محصولی بهتر است؟»
سؤال درست این است:
«برای سناریوی واقعی این سازمان، چه معماریای لازم است؟»
چرا خرید بر اساس برند کافی نیست؟
برندهای مطرح بازار محصولات متنوعی برای نیازهای مختلف ارائه میکنند. اما اشتباه رایج این است که مدیر یا واحد خرید، ابتدا برند را انتخاب میکند و سپس تلاش میکند یکی از مدلهای آن برند را به نیاز سازمان تطبیق دهد.
در حالی که مسیر صحیح برعکس است.
ابتدا باید نیاز واقعی مشخص شود و سپس محصول متناسب با آن انتخاب گردد.
برای مثال، دو شرکت ممکن است هر دو ۱۰۰ کاربر داشته باشند، اما نیاز آنها کاملاً متفاوت باشد.
شرکت اول فقط از اینترنت، ایمیل و نرمافزارهای ابری استفاده میکند.
شرکت دوم دارای سرویسهای داخلی، VPN، چند شعبه، دوربینهای تحت شبکه، سیستم VoIP و کاربران راه دور است.
اگر فقط تعداد کاربر معیار انتخاب فایروال باشد، احتمال انتخاب اشتباه بسیار زیاد خواهد بود.
در مورد ذخیرهسازی نیز همین مسئله وجود دارد.
دو سازمان ممکن است هر دو ۲۰ ترابایت اطلاعات داشته باشند، اما یکی فقط فایلهای آرشیوی نگهداری کند و دیگری ماشین مجازی، دیتابیس و بکاپ روزانه سرورها را روی NAS قرار دهد.
نیاز سختافزاری و معماری این دو سازمان یکسان نیست.
تعداد کاربر بهتنهایی معیار انتخاب فایروال نیست
یکی از رایجترین سؤالات بازار این است:
«برای ۵۰ یا ۱۰۰ یا ۲۰۰ کاربر چه فایروالی مناسب است؟»
این سؤال مفید است، اما بهتنهایی کافی نیست.
برای انتخاب فایروال باید عوامل دیگری نیز بررسی شوند.
نوع ترافیک کاربران اهمیت زیادی دارد. یک شرکت طراحی که فایلهای سنگین را بهصورت آنلاین منتقل میکند، الگوی ترافیکی متفاوتی با یک دفتر حسابداری دارد.
همچنین باید مشخص شود چه قابلیتهایی روی فایروال فعال خواهند بود.
اگر سازمان از IPS، کنترل برنامهها، Web Filtering، آنتیویروس، SSL Inspection و سایر قابلیتهای امنیتی استفاده کند، ظرفیت واقعی فایروال با Throughput اسمی ساده تفاوت خواهد داشت.
تعداد تونلهای VPN، تعداد کاربران Remote Access، ارتباط شعب و میزان ترافیک همزمان نیز باید در نظر گرفته شوند.
بنابراین انتخاب فایروال بر اساس یک عدد ساده مانند «تعداد کاربر» میتواند پروژه را از ابتدا به مسیر اشتباه ببرد.
Throughput اسمی همیشه واقعیت شبکه نیست
یکی از اشتباهات رایج هنگام خرید تجهیزات امنیتی، تمرکز بیش از حد بر اعداد بزرگ درجشده در مشخصات محصول است.
ممکن است یک فایروال در حالت ساده Routing یا Firewall Throughput عدد بسیار بالایی ارائه دهد، اما زمانی که قابلیتهای امنیتی مختلف فعال شوند، شرایط متفاوت خواهد بود.
در شبکه واقعی، ترافیک فقط از یک بسته ساده عبور نمیکند.
ممکن است لازم باشد ترافیک بررسی شود، محتوای رمزگذاریشده تحلیل شود، تهدیدات شناسایی شوند و سیاستهای مختلف اعمال گردد.
به همین دلیل، هنگام انتخاب محصول باید به سناریوی واقعی توجه کرد، نه فقط به بالاترین عدد موجود در جدول مشخصات.
خرید مدلی که فقط در شرایط آزمایشگاهی مناسب به نظر میرسد، ممکن است بعد از اجرای کامل سیاستهای امنیتی باعث افت سرعت یا ایجاد گلوگاه شود.
SSL Inspection چرا در انتخاب فایروال مهم است؟
بخش بزرگی از ترافیک اینترنت امروز رمزگذاریشده است. این موضوع از نظر حریم خصوصی و امنیت ارتباطات مزیت محسوب میشود، اما در عین حال چالشی برای ابزارهای امنیتی ایجاد میکند.
اگر سازمان بخواهد بخشی از ترافیک رمزگذاریشده را بررسی کند، فایروال باید عملیات بیشتری انجام دهد.
این فرایند میتواند منابع بیشتری مصرف کند و روی ظرفیت واقعی تجهیز تأثیر بگذارد.
بنابراین هنگام انتخاب فایروال باید مشخص باشد که آیا SSL Inspection استفاده میشود یا خیر، چه بخشی از ترافیک بررسی خواهد شد و چه میزان رشد ترافیک در آینده قابل انتظار است.
نادیده گرفتن این موضوع ممکن است باعث شود تجهیزی که در روز اول مناسب به نظر میرسد، بعد از فعالسازی سیاستهای واقعی دچار محدودیت شود.
VPN و شعب سازمانی چگونه انتخاب را تغییر میدهند؟
سازمانی که فقط یک دفتر دارد، نیاز متفاوتی با شرکتی دارد که دارای چند شعبه، دفتر راه دور یا کارکنان دورکار است.
در چنین ساختاری، فایروال فقط نقش محافظ مرز اینترنت را ندارد.
باید ارتباط امن بین شعب، VPN کاربران، مسیرهای جایگزین، مدیریت پهنای باند و در برخی پروژهها SD-WAN نیز بررسی شود.
همچنین اگر ارتباط شعبهای به سرویسهای مرکزی وابسته باشد، قطع ارتباط میتواند بخشی از کسبوکار را متوقف کند.
در این شرایط، طراحی مسیرهای ارتباطی و معماری بازیابی باید در کنار انتخاب فایروال انجام شود.
خرید یک تجهیز بدون توجه به این سناریوها ممکن است باعث شود بعداً هزینه بیشتری برای ارتقا یا جایگزینی زیرساخت پرداخت شود.
چرا فایروال و ذخیرهسازی باید همزمان طراحی شوند؟
در نگاه اول، فایروال و NAS دو محصول کاملاً متفاوت به نظر میرسند.
یکی برای امنیت شبکه است و دیگری برای ذخیرهسازی اطلاعات.
اما در معماری واقعی سازمان، این دو بخش ارتباط زیادی با یکدیگر دارند.
فرض کنید یک NAS برای بکاپ سرورها خریداری شده است. اگر این سیستم بدون طراحی صحیح در شبکه قرار گیرد، ممکن است از بخشهای مختلف شبکه قابلدسترسی باشد.
اگر حسابهای مدیریتی آن نیز با ساختار دسترسی سازمان هماهنگ نباشند، در صورت نفوذ مهاجم، سیستم بکاپ نیز در معرض خطر قرار میگیرد.
از طرف دیگر، اگر شبکه بهدرستی Segment نشده باشد، یک حمله داخلی یا انتشار بدافزار ممکن است دامنه آسیب را افزایش دهد.
بنابراین سیاستهای دسترسی، VLANها، فایروال، حسابهای مدیریتی، Backup Network و مسیرهای Replication باید در یک معماری مشترک بررسی شوند.
در یک بررسی معماری امنیت شبکه و بازیابی اطلاعات در دیجیاتو نیز به همین موضوع پرداخته شده که امنیت شبکه، فایروال، NAS و برنامه بازیابی نباید بهصورت جزیرهای طراحی شوند و باید بهعنوان بخشهای یک معماری هماهنگ دیده شوند.
رشد داده را باید قبل از خرید پیشبینی کرد
یکی دیگر از اشتباهات رایج، خرید سیستم ذخیرهسازی بر اساس حجم فعلی اطلاعات است.
فرض کنید سازمان امروز ۱۲ ترابایت اطلاعات دارد.
اگر سیستم ذخیرهسازی دقیقاً بر اساس همین عدد انتخاب شود، ممکن است در مدت کوتاهی ظرفیت آن به پایان برسد.
برای طراحی صحیح باید چند سؤال پاسخ داده شود:
حجم داده سالانه چقدر رشد میکند؟
بکاپ چند نسخه از اطلاعات را نگهداری میکند؟
Snapshotها چه میزان فضا مصرف میکنند؟
Retention Policy چیست؟
آیا اطلاعات ماشینهای مجازی نیز روی همان سیستم ذخیره میشود؟
آیا در آینده شعبه جدید یا پروژه جدید اضافه خواهد شد؟
خرید NAS بدون پاسخ به این سؤالات ممکن است باعث شود سازمان در فاصله کوتاهی دوباره مجبور به ارتقا شود.
RAID بکاپ نیست
یکی از سوءبرداشتهای رایج در زیرساخت ذخیرهسازی این است که استفاده از RAID به معنی داشتن بکاپ است.
RAID برای افزایش دسترسپذیری و تحمل خرابی دیسک طراحی شده است.
برای مثال، در برخی ساختارهای RAID اگر یک یا چند هارد خراب شوند، سیستم میتواند همچنان به فعالیت ادامه دهد.
اما RAID از حذف اشتباه فایل جلوگیری نمیکند.
اگر کاربر یک پوشه مهم را حذف کند، RAID آن را برنمیگرداند.
اگر باجافزار فایلها را رمزگذاری کند، داده رمزگذاریشده روی همه دیسکهای RAID ذخیره میشود.
اگر مهاجم دسترسی مدیریتی پیدا کند و اطلاعات را حذف کند، RAID نیز مشکل را حل نمیکند.
بنابراین سیستم ذخیرهسازی باید بخشی از معماری بکاپ باشد، نه جایگزین بکاپ.
هزینه Downtime را قبل از خرید حساب کنید
بسیاری از مدیران هنگام خرید تجهیزات فقط قیمت محصول را مقایسه میکنند.
اما هزینه واقعی یک زیرساخت نامناسب در روز بحران مشخص میشود.
فرض کنید سیستم مالی یک شرکت برای دو روز متوقف شود.
در این مدت ممکن است فروش متوقف شود، ثبت سفارش انجام نشود، ارسال کالا به تأخیر بیفتد و کارکنان نتوانند به اطلاعات دسترسی داشته باشند.
در برخی سازمانها، هزینه چند ساعت توقف از اختلاف قیمت دو مدل تجهیز بیشتر است.
بنابراین هنگام طراحی زیرساخت باید هزینه Downtime نیز محاسبه شود.
اگر توقف سرویس برای سازمان بسیار پرهزینه است، معماری باید با افزونگی، بکاپ مناسب و برنامه بازیابی سریع طراحی شود.
اگر کسبوکار بتواند چند ساعت یا حتی یک روز قطعی را تحمل کند، ممکن است معماری اقتصادیتری نیز پاسخگو باشد.
هدف همیشه خرید گرانترین تجهیز نیست.
هدف، خرید متناسب با ریسک واقعی کسبوکار است.
Backup Window و Restore Window را نادیده نگیرید
دو مفهوم مهم در پروژههای بکاپ، مدت زمان اجرای بکاپ و مدت زمان بازیابی هستند.
ممکن است سیستم بتواند در طول شب از اطلاعات بکاپ بگیرد، اما بازیابی همان اطلاعات چند روز طول بکشد.
در زمان عادی این موضوع چندان مهم به نظر نمیرسد، اما در روز بحران تبدیل به مسئله اصلی میشود.
برای مثال، اگر یک سازمان ۳۰ ترابایت اطلاعات دارد و مسیر بازیابی آن محدود است، Restore کامل ممکن است مدت زیادی طول بکشد.
در چنین شرایطی باید مشخص شود کدام سرویسها اولویت بیشتری دارند.
ممکن است لازم باشد ابتدا دیتابیس مالی، سپس فایلسرور و بعد سیستمهای آرشیوی بازیابی شوند.
طراحی بازیابی باید بر اساس اولویت سرویسها انجام شود.
NAS اقتصادی یا NAS سازمانی؟
انتخاب سیستم ذخیرهسازی نیز نباید فقط بر اساس قیمت انجام شود.
یک NAS اقتصادی ممکن است برای دفتر کوچک، فایلاشتراکگذاری یا بکاپ محدود مناسب باشد.
اما در پروژهای که تعداد زیادی کاربر، ماشین مجازی، Snapshotهای متعدد یا Replication بین سایتها وجود دارد، باید به موارد بیشتری توجه کرد.
نوع پردازنده، مقدار RAM، تعداد درایوها، پشتیبانی از شبکه سریع، قابلیت توسعه، نوع RAID، Cache، Snapshot و امکانات مدیریت بکاپ همگی مهم هستند.
همچنین نوع هارد یا SSD نیز باید بر اساس Workload انتخاب شود.
استفاده از دیسکی که برای کاربری دسکتاپ طراحی شده در یک سیستم ذخیرهسازی سازمانی دائماً روشن، ممکن است انتخاب مناسبی نباشد.
به همین دلیل، انتخاب NAS و دیسک باید بهصورت یک مجموعه بررسی شود.
سه سناریوی ساده برای انتخاب معماری
برای درک بهتر موضوع، میتوان سه سناریوی کلی را در نظر گرفت.
شرکت کوچک
یک دفتر با ۲۰ تا ۳۰ کاربر، فایلسرور، نرمافزار حسابداری و اینترنت سازمانی.
در چنین محیطی ممکن است یک فایروال مناسب، یک NAS کوچک با RAID مناسب، بکاپ دورهای و یک نسخه خارج از محل کافی باشد.
اما حتی در همین سناریوی ساده، باید حساب مدیریتی جداگانه و تست Restore وجود داشته باشد.
شرکت متوسط
سازمانی با ۱۰۰ تا ۲۰۰ کاربر، VPN، چند سرویس داخلی و حجم قابلتوجه اطلاعات.
در این سناریو، ظرفیت واقعی فایروال، ارتباط شعب، Segment بندی شبکه، سیستم بکاپ مرکزی و Replication اهمیت بیشتری پیدا میکند.
ممکن است لازم باشد Backup Network جداگانه و سیاستهای دسترسی دقیقتری طراحی شوند.
سازمان بزرگ یا چندشعبهای
در این سطح، طراحی باید بر اساس Business Continuity انجام شود.
ارتباط شعب، DR Site، Replication، افزونگی، نگهداری چند نسخه بکاپ و آزمایش دورهای Disaster Recovery اهمیت بالایی دارند.
در چنین سازمانی خرید هر تجهیز بهصورت جداگانه و بدون معماری جامع، ریسک قابلتوجهی ایجاد میکند.
اشتباهات رایج مدیران IT هنگام خرید
یکی از اشتباهات رایج، خرید بر اساس تخفیف مقطعی بازار است.
ممکن است یک مدل با قیمت مناسب عرضه شود، اما اگر با نیاز واقعی سازمان هماهنگ نباشد، صرفهجویی اولیه به هزینه بیشتری در آینده تبدیل میشود.
اشتباه دوم، خرید محصولی است که فقط نیاز امروز را پوشش میدهد.
رشد کاربر، داده و سرویس باید از ابتدا دیده شود.
اشتباه سوم، تمرکز فقط بر فایروال و نادیده گرفتن Endpoint، Backup و دسترسیها است.
اشتباه چهارم، اعتماد بیش از حد به برند است.
هیچ برند معتبری نمیتواند طراحی اشتباه را جبران کند.
اشتباه پنجم، تست نکردن بازیابی است.
اگر سازمان فقط Backup Job موفق دارد اما Restore آزمایش نشده، هنوز از سالم بودن مسیر بازیابی اطمینان ندارد.
قبل از خرید چه سؤالاتی باید پرسیده شود؟
پیش از انتخاب فایروال، NAS یا سیستم بکاپ، چند سؤال باید شفاف پاسخ داده شود.
تعداد کاربران واقعی و همزمان چند نفر است؟
حجم ترافیک اینترنت چقدر است؟
چه سرویسهایی از بیرون قابلدسترسی هستند؟
چند شعبه یا کاربر راه دور وجود دارد؟
آیا SSL Inspection استفاده خواهد شد؟
حجم فعلی اطلاعات چقدر است؟
رشد سالانه داده چقدر پیشبینی میشود؟
حداکثر مقدار قابلقبول از دست رفتن اطلاعات چقدر است؟
حداکثر زمان قابلتحمل برای قطع سرویس چقدر است؟
آیا نسخه بکاپ خارج از سایت وجود خواهد داشت؟
چه کسی اجازه حذف بکاپ را دارد؟
آخرین بار چه زمانی Restore کامل آزمایش شده است؟
بدون پاسخ دقیق به این پرسشها، انتخاب محصول بیشتر شبیه حدس است تا طراحی مهندسی.
مشاوره پیش از خرید چه ارزشی دارد؟
در بازار تجهیزات شبکه و ذخیرهسازی، تفاوت قیمت مدلها میتواند قابلتوجه باشد.
به همین دلیل، برخی سازمانها تصور میکنند مشاوره فنی فقط هزینه اضافی است.
اما یک انتخاب اشتباه میتواند هزینه بسیار بیشتری ایجاد کند.
خرید فایروال کوچکتر از نیاز باعث افت عملکرد و نیاز به تعویض زودهنگام میشود.
خرید فایروال بسیار بزرگ نیز سرمایه سازمان را بدون دلیل مصرف میکند.
در سیستم ذخیرهسازی نیز همین وضعیت وجود دارد.
تعداد Bay نامناسب، انتخاب RAID اشتباه، هارد نامتناسب یا پیشبینی نکردن رشد داده میتواند پروژه را با مشکل مواجه کند.
مشاوره فنی واقعی باید محصول را از روی سناریوی سازمان انتخاب کند، نه اینکه سناریو را به محصول موجود در انبار تطبیق دهد.
جمعبندی
در زیرساخت فناوری اطلاعات، محصول خوب بهتنهایی کافی نیست.
فایروال قدرتمند در شبکهای که بهدرستی Segment نشده، بخشی از مشکل را حل میکند.
NAS پیشرفته بدون سیاست دسترسی و بکاپ مستقل، تضمینکننده امنیت اطلاعات نیست.
بکاپ بدون تست Restore نیز فقط یک امید است.
سازمان حرفهای از خرید محصول شروع نمیکند.
از سناریو شروع میکند.
ابتدا مشخص میکند چه سرویسهایی حیاتی هستند، چه میزان توقف قابلتحمل است، چه مقدار از دست رفتن داده پذیرفته میشود و در صورت وقوع حادثه، چه مسیری برای بازیابی وجود دارد.
سپس بر اساس همین اطلاعات، فایروال، سیستم ذخیرهسازی و راهکار بکاپ انتخاب میشوند.
این رویکرد شاید در مرحله خرید زمان بیشتری نیاز داشته باشد، اما در بلندمدت هزینه، ریسک و احتمال تصمیم اشتباه را کاهش میدهد.
در نهایت، بهترین تجهیز همیشه گرانترین تجهیز نیست.
بهترین تجهیز، محصولی است که در یک معماری صحیح و متناسب با سناریوی واقعی سازمان قرار گرفته باشد.
آیا شما به دنبال کسب اطلاعات بیشتر در مورد "خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکتها بعد از بحران متوجه آن میشوند" هستید؟ با کلیک بر روی تکنولوژی, کسب و کار ایرانی، به دنبال مطالب مرتبط با این موضوع هستید؟ با کلیک بر روی دسته بندی های مرتبط، محتواهای دیگری را کشف کنید. همچنین، ممکن است در این دسته بندی، سریال ها، فیلم ها، کتاب ها و مقالات مفیدی نیز برای شما قرار داشته باشند. بنابراین، همین حالا برای کشف دنیای جذاب و گسترده ی محتواهای مرتبط با "خرید تجهیزات امنیت شبکه بدون سناریو؛ اشتباهی که شرکتها بعد از بحران متوجه آن میشوند"، کلیک کنید.


