مقاله توسط مت کابل ، معمار VP Solutions و MD اروپا ، گواهینامه های شبکه
سازمان های بخش دولتی در انگلستان در حال تغییر در مقررات امنیت سایبر هستند. در اواسط سال 2018 ، دولت با همکاری NCSC حداقل مجموعه ای از استانداردهای امنیت سایبری را منتشر کرد. این استانداردها اکنون به همراه تمرکز بر "بالا بردن نوار" به طور اجباری تنظیم شده اند. این استانداردها برای حفاظت از اطلاعات حساس و خدمات عملیاتی کلیدی حداقل الزامات را تعیین می کند ، که – با توجه به شیوه پراکندگی این سرویس ها – باعث ایجاد تغییرات اساسی در معماری و امنیت شبکه های بخش عمومی می شود.
علاوه بر تعیین استانداردهای امروز ' حداقل ، امروز ، راهنمایی ها همچنین تاریخ هدف سال 2023 را تعیین می کند که پیش بینی می شود سازمان های بخش دولتی یک' استاندارد طلای را برای امنیت سایبری اتخاذ کرده اند. . Matt Cable، VP Solutions Architect و MD Europe ، Certes Networks ، ملاحظات اساسی را تشكیل می دهد كه به سازمانها در انتخاب یك ارائه دهنده راه حل رمزنگاری كمك می كند كه بتواند به راحتی در هر زیرساختهای شبکه ادغام شود زیرا از Legacy MPLS به معماری های شبکه SDN یا SD-WAN مهاجرت می كنند.
اصول
برای هر دو سازمان بخش دولتی و خصوصی ، تجربه مشتری مهم است. از منابع مالی و خدمات شهری ، گرفته تا مقامات محلی و شهرهای هوشمند ، نقاط تماس مشتری به طور فزاینده ای پراکنده ، از راه دور و برنامه محور هستند ، و این امر نیازمند انتقال از Legacy MPLS به SDN یا SD-WAN است. با این حال ، در چارچوب حداقل استانداردهای جدید امنیت سایبری دولت ، اطمینان از محافظت از اطلاعات حساس و خدمات کلیدی یک نکته مهم است.
مرکز امنیت سایبری ملی انگلیس (NCSC) بنابراین اصولی را برای فناوری سازمانی در فضای مجازی در اختیار سازمان ها قرار داده است ، از جمله راهنمایی هایی برای استقرار و خرید رمزگذاری شبکه ، با هدف کاهش خطرات برای انگلیس با ایمن سازی شبکه های بخش خصوصی و دولتی. این راهنما با چارچوب امنیت سایبری موسسه ملی استاندارد و فناوری (NIST) ایالات متحده موازی است و بنابراین در یک سناریوی مشابه به طور یکسان در مورد ایالات متحده و سایر سازمان های فدرال اعمال می شود.
مشابه چارچوب NIST ، راهنمایی NCSC با همان اصل مشترک است که نباید به شبکه ها اعتماد کرد. توصیه می کند برای محافظت از اطلاعات حساس ، باید از رمزگذاری بین دستگاه ها ، برنامه های موجود در آنها و سرویس های مورد استفاده استفاده شود. IPsec یک روش پیشنهادی برای محافظت از کلیه داده های مسافرتی بین دو نقطه در یک شبکه برای فراهم کردن سطح درک شده از امنیت است ، با راهنمایی های بیشتر نمایه های رمزنگاری شده با استاندارد "طلا" معروف به PRIME.
این راهنمایی بر مبنای ارائه دهنده خدمات گواهینامه CAS (T) مبتنی بر CAS (T) (CESG (گروه امنیتی الکترونیک ارتباطات) خدمات مطمئن (ارتباطات)) است ، که شامل ارزیابی مستقل با محوریت در زمینه های امنیتی مهم در دسترس بودن سرویس ، حمله به خودی ، دسترسی غیرمجاز به شبکه و حمله فیزیکی.
با این وجود ، چالش هایی وجود دارد.
Challenge # 1 – پایبندی بخش عمومی به CAS (T)
بسیاری از سازمان های بخش دولتی دیگر مجبور به ارائه خدمات مبتنی بر CAS (T) نیستند و بنابراین انتظار می رود اشتهای ریسک کاهش یابد ، به طور عمده برای حمایت از ظهور راه حل های شبکه تأمین کنندگان اینترنت و SD-WAN. این مسئله مهم است زیرا استانداردهای فعلی بنیاد توصیه NCSC برای IPsec در سال 2023 منقضی می شود ، و کاربران تشویق می شوند که به سرعت از سیستم عامل های قدیمی استفاده کنند.
Challenge # 2 – تأثیر بر ارائه دهندگان خدمات ابر و شبکه های حامل
این راهنما ، مانند حفاظت از جریان اطلاعات در پیوندهای اختصاصی بین سازمان ها ، همچنین برای ارائه دهندگان خدمات ابری یا در موارد دیگر اعمال می شود. اتصالات بین مرکز داده در شبکه های ارائه دهندگان.
فرض بر این است که شبکه تحمل کننده زیرساخت امنیت و مقاومت را به وجود نمی آورد. این بدان معنی است که می توان از هر شبکه حامل (مانند اینترنت ، Wi-Fi 4 / 5G یا شبکه تجاری MPLS) استفاده کرد. انتخاب شبکه (های) حامل تأثیری در دسترس بودن یک سرویس رمزگذاری شده خواهد داشت.
Challenge # 3 – همکاری شریک
NCSC صریحاً در راهنمایی خود اظهار داشت که ایجاد پیوندهای رمزگذاری شده قابل اعتماد شبکه فقط مربوط به فناوری نیست. همچنین حائز اهمیت است که مدیریت این پیوندهای شبکه توسط افراد مناسب و با انجام فعالیتهای مدیریتی اختصاصی خود با روشی صالح و قابل اعتماد ، از یک سیستم مدیریتی انجام می شود که از تمامیت کلی سیستم محافظت می کند. بنابراین ، برای ارائه دهندگان راه حل رمزگذاری ، اعتبار خدمات شریک بر نحوه استفاده کاربر نهایی از فناوری تأثیر می گذارد.
The Solution
IPsec با محافظت از محرمانه بودن و یکپارچگی اطلاعات هنگام سفر در شبکه های کم اعتماد ، با اجرای رمزگذاری مبتنی بر شبکه برای ایجاد شبکه های خصوصی مجازی (VPN).
بر اساس اصول PRIME ، دستگاه هایی که محافظت رمزنگاری اطلاعات را با استفاده از IPsec انجام می دهند باید:
- توسط یک مرجع ذیصلاح به شیوه ای که موجب حفاظت از آنها نمی شود تضعیف شود ، از یک بستر مدیریتی مناسب
- تنظیم شود. محافظت از رمزنگاری مؤثر
- استفاده از گواهینامه ها به عنوان ابزاری برای شناسایی و اعتماد به سایر دستگاه ها ، با استفاده از PKI مناسب
- به طور مستقل به بنیاد درجه اطمینان داده شود ، و مطابق با روال های امنیتی منتشر شده
- در ابتدا بکار گرفته شود. اطمینان از اعتماد به نفس آتی آنها
- در امان ماندن
ساده نگه داشتن طراحی شبکه یکی از مؤثرترین راهها برای اطمینان از تأمین شبکه امنیت و عملکرد مورد انتظار است. استفاده از گواهینامه های تولید شده به صورت رمزنگاری ایمن به دروازه های VPN و مشتریان امکان می دهد تا ضمن کمک به کاهش حملات بی رحمانه ، خود را با موفقیت شناسایی کنند.
نتیجه گیری
راه حل های رمزگذاری زیادی برای کمک به آژانس ها و دولت های فدرال که می خواهند از Legacy MPLS به SDN یا SD-WAN انتقال دهند وجود دارد. برای مثال رمزگذاری لایه 4 می تواند به راحتی در هر شبکه ادغام شود و داده ها را در ترانزیت رمزگذاری کند بدون اینکه عملکرد را مختل کند یا جایگزین معماری شبکه فعلی شود.
انتخاب ارائه دهنده ای که می تواند یک راه حل سازگار با PRIME – مانند رمزگذاری Layer 4 – ارائه دهد ، مطابق با استانداردهای امنیت سایبری امروز و فردا است. و با شروع NCSC برخورد با همه شبکه ها به عنوان شبکه های غیر قابل اعتماد (به خصوص آژانس هایی که از اینترنت استفاده می کنند) ، PRIME به استاندارد طلایی تبدیل می شود که NCSC انطباق نظارتی را اندازه می گیرد.
بنابراین ، مهم است که یک فروشنده را در نظر بگیرید که می تواند یک راه حل امنیتی را ارائه دهد که نه تنها سازگار بلکه ساده و بدون عارضه است ، به حداقل رساندن اختلال ، منابع و هزینه ها.
*** این یک وبلاگ سندیکای شبکه بلاگ نویسان امنیت است. از وبلاگ خبره فناوری اطلاعات تالیف شده توسط SecurityExpert. پست اصلی را در این مقاله بخوانید: http://feedproxy.google.com/~r/securityexpert/~3/pcyQ9-E8gRM/uk-cyber-security-standards-challenges.html
