0
محصولات درون سبد خرید 0
سبد خرید شما خالی است

امنیت Zero Trust برای API های شما با استفاده از MuleSoft

zero trust security for your apis using mulesoft
زنواتوزنواتو

رم در یک روز ساخته نشد … اما تقریباً در یک شب ویران شد. این چیزی است که در مورد امپراتوری ها وجود دارد، آنها شکننده هستند. درست مثل اعتماد امنیت Zero Trust برای API های شما با استفاده از MuleSoft رم در یک روز ساخته نشد … اما تقریباً در یک شب ویران شد. […]

منتشر شده در 1 خرداد 1402

رم در یک روز ساخته نشد … اما تقریباً در یک شب ویران شد. این چیزی است که در مورد امپراتوری ها وجود دارد، آنها شکننده هستند. درست مثل اعتماد امنیت Zero Trust برای API های شما با استفاده از MuleSoft

رم در یک روز ساخته نشد … اما تقریباً در یک شب ویران شد. این چیزی است که در مورد امپراتوری ها وجود دارد، آنها شکننده هستند. درست مثل اعتماد ما می توانیم این قیاس را به معماری سازمانی خود بیشتر بسط دهیم. برای ایجاد یک سازمان موفق و جلب اعتماد مشتری، زمان طولانی و تلاش گسترده ای نیاز است، اما یک اشتباه امنیتی می تواند تمام تلاش های شما را کاهش دهد.

آنچه در این مقاله می‌خوانید

در سال 2022، همه ما در مورد لو رفتن بازی GTA 6 درست قبل از تاریخ انتشار آن شنیدیم. این نشت به اندازه‌ای بزرگ بود که ناشر بازی را در مشکلات مالی قرار دهد و گمانه‌زنی‌ها مبنی بر اینکه یک شخص خودی، مانند یک کارمند، درگیر آن بوده است. بنابراین سؤال این است: “امنیت به چه کسی باید اعتماد کنیم؟” امنیت به اندازه ضعیف ترین حلقه قوی است.

و پاسخ این است: «به هیچ‌کس اعتماد نکن»، و این چیزی است که ما را به امنیت Zero Trust (ZTS) هدایت می‌کند.

ZTS یک چارچوب معماری است که هدف آن محافظت از سازمان ها در برابر تهدیدات امنیتی، حملات و نقض داده ها با رعایت پروتکل های امنیتی در هر نقطه دسترسی است.

1

قبل از ZTS، امنیت مبتنی بر محیط رویکرد رایج بود. در امنیت مبتنی بر محیط، ما نهاد را فقط در سطح محیطی با استفاده از فایروال، شبکه‌های خصوصی مجازی و غیره احراز هویت و مجوز می‌دهیم. هنگامی که موجودیت دسترسی پیدا کرد، می تواند به همه منابع دسترسی داشته باشد. حرکت جانبی غیرمجاز یکی از نگرانی های اصلی در امنیت محیطی بوده است.

در مقابل، ZTS احراز هویت و مجوز را در هر نقطه ورودی اعمال می کند. به طور کلی، می‌توانیم ZTS را برای برنامه‌های سازمانی، برنامه‌های بومی ابری، APIها و غیره اعمال کنیم. در این پست وبلاگ، ما عمدتاً بر روی پیاده‌سازی ZTS برای APIها و بررسی آنچه که MuleSoft در مورد امنیت Zero Trust ارائه می‌دهد تمرکز خواهیم کرد.

اصول اصلی ZTS

کل مفهوم ZTS بر اساس چهار اصل اصلی زیر است:

  • به هیچ کس اعتماد نکنید و همیشه تأیید کنید: صرف نظر از شخصیت – مشتری، مدیر عامل، توسعه دهنده و غیره – ما دسترسی آنها را در هر مرحله احراز هویت می کنیم و مجوز می دهیم. اگر چندین نقطه ورودی برای دسترسی به یک منبع خاص وجود دارد، باید اعتبارسنجی را در هر نقطه ورودی اعمال کنیم. ما از مدیریت هویت و دسترسی (IAM) و احراز هویت چند عاملی (MFA) استفاده می‌کنیم و سیاست‌های امنیتی را اعمال می‌کنیم.
  • حداقل امتیازات و رد پیش فرض: به طور پیش فرض، دسترسی به همه منابع ممنوع می شود. پس از احراز هویت و مجوز، بر اساس اعتبار، می‌توانیم با کمترین امتیاز دسترسی را اعطا کنیم. ما باید اطمینان حاصل کنیم که فقط منابع ضروری را مجاز می‌دانیم. ما می‌توانیم با استفاده از مدل دسترسی مبتنی بر نقش، دسترسی نقش‌های مختلف را کنترل کنیم و بر اساس آن، امتیازات را تغییر دهیم.
  • بازرسی کامل و مشاهده جریان داده ها: ما باید از شفافیت در جریان داده اطمینان حاصل کنیم. ما باید در ثبت محموله محتاط باشیم زیرا ممکن است شامل اطلاعات حساس باشد. اگر چندین سیستم نهایی و API درگیر هستند، باید یک نمای کلی 360 درجه از معماری سیستم و جریان داده داشته باشیم. به این ترتیب می توانیم سوء استفاده از اطلاعات حساس و نشت اطلاعات را کنترل کنیم.
  • مدیریت کنترل متمرکز: برای اجرای تدابیر امنیتی قوی به یک مرکز مدیریت متمرکز نیاز داریم. این ما را قادر می سازد تا اقدامات امنیتی را در همه نهادها اعمال کنیم. همچنین از منظر امنیتی به ما کنترل کاملی بر زیرساخت های سازمان می دهد. API Manager مکانی برای توقف مدیریت API ها، Mule و برنامه های Non-MuleSoft است. با کمک API Manager می توانید برنامه ها را مدیریت، ایمن و مدیریت کنید.

2 e1682617271925

پیاده سازی امنیت صفر اعتماد

زیرساخت های موجود شما به احتمال زیاد برخی از اقدامات امنیتی را قبلاً اجرا کرده است. برای پیاده سازی ZTS، لازم نیست همه چیز را از ابتدا شروع کنید یا زیرساخت امنیتی موجود خود را بازسازی کنید. تنها کاری که باید انجام دهید این است که اقدامات امنیتی را به خوبی برنامه ریزی کنید و نقاط ضعف را شناسایی کنید. شما می‌توانید با اتخاذ رویکرد امنیتی لایه‌ای یا خرد به این هدف دست پیدا کنید.

میکروسگمنتیشن یا رویکرد امنیتی لایه ای

این تکنیکی است که در آن زیرساخت را به سطوح یا بخش‌ها تقسیم می‌کنیم و سپس اقدامات امنیتی را اعمال می‌کنیم. ما همچنین می‌توانیم آن را به‌عنوان «تفرقه و تسخیر» در نظر بگیریم، جایی که زیرساخت‌های بزرگ را برای امنیت و کنترل بهتر به قطعات کوچک‌تر تقسیم می‌کنیم. این رویکرد امنیت را در سطح گرانول به ما می دهد.

Screenshot 2023 04 27 at 10.43.38 AM

ما می توانیم اصول اصلی ZTS را به روش زیر پیاده سازی کنیم:

  1. تمام دارایی ها، سیستم های پایانی، برنامه های کاربردی، داده ها و نقاط پایانی API را فهرست کنید. سلامت دستگاه و سیستم را بررسی کنید. احراز هویت سرتاسر را اجرا کنید و اجازه دسترسی جانبی را ندهید.
  2. جریان داده و اتصالات را تشریح کنید. زیرساخت فعلی خود را معمار کنید.
  3. بر اساس بحرانی بودن اطلاعات، سیاست های امنیتی را که در هر نقطه ورودی اعمال می شود، شناسایی کنید. دسترسی مبتنی بر نقش و سیاست را پیاده سازی کنید.
  4. اجرای امنیت را از طریق یک سیستم مدیریت مرکزی اجرا کنید و زیرساخت خود را نظارت کنید.

ZTS با MuleSoft

ممکن است قبلاً با قابلیت‌های یکپارچه سازی MuleSoft و نحوه استفاده از اتصال مبتنی بر API برای ایجاد یک زیرساخت قابل ترکیب آشنا باشید. موارد زیر به شما کمک می کند تا درک کنید که چگونه ZTS را با استفاده از قابلیت های امنیتی MuleSoft پیاده سازی کنید.

بیایید یک معماری ترکیبی را که با استفاده از اتصال به رهبری API ساخته شده است را در نظر بگیریم (تصویر زیر را ببینید). خط بیرونی و با نقطه قرمز نشان دهنده امنیت مبتنی بر محیط است زیرا ما امنیت را در سطح محیطی اعمال می کنیم. برای اعمال ZTS، اقدامات امنیتی را در هر لایه API و در سراسر نقطه پایانی API اعمال خواهیم کرد. خطوط با نقطه قرمز داخلی در لایه فرآیند نشان می دهد که ما یک خط مشی اساسی احراز هویت و حذف سرصفحه را در نقطه ورودی از لایه تجربه به لایه فرآیند اعمال کرده ایم.

4

چگونه با MuleSoft به ZTS برسیم؟

  1. اعمال سیاست های امنیتی خارج از جعبه: MuleSoft چندین خط مشی امنیتی خارج از جعبه را از احراز هویت اولیه تا OAuth و JWT ارائه می دهد. ما به راحتی می توانیم این سیاست ها را در سطح دروازه API خود با استفاده از Anypoint API Manager اعمال کنیم. ما همچنین می‌توانیم این خط‌مشی‌ها را برای مطابقت با استانداردها و مقررات سازمانمان سفارشی کنیم.
  2. ایجاد محیط‌های امن: می‌توانیم با استفاده از Anypoint Security در پلتفرمی با ISO 27001، SOC 1 و 2، HIPAA، PCI DSS و GDPR، حفاظت از تهدید را در هر محیط لبه به‌طور خودکار اعمال کنیم.
  3. ثبت و نظارت موثر: ما می‌توانیم با استفاده از قابلیت‌های ثبت و نظارت MuleSoft به شفافیت دست پیدا کنیم و از API Catalog CLI برای کشف و فهرست‌نویسی API‌های خود استفاده کنیم.
  4. حاکمیت مستمر: ما از Anypoint API Governance برای شناسایی، اعتبارسنجی و اجرای بهترین شیوه‌های امنیتی برای APIها، مانند OWASP Top 10، از طراحی تا اجرا استفاده می‌کنیم.

نتیجه

در این وبلاگ، با امنیت Zero Trust و اصول اصلی آن آشنا شدیم. ما همچنین از تفاوت بین امنیت مبتنی بر محیط و ZTS و چرایی اهمیت ZTS آگاه هستیم. علاوه بر این، ما یاد گرفتیم که چگونه می توانیم ZTS را با استفاده از MuleSoft و قابلیت های امنیتی که MuleSoft ارائه می دهد پیاده سازی کنیم.

به اشتراک بگذارید تلگرام
به اشتراک بگذارید واتساپ
به اشتراک بگذارید لینکدین
کپی لینک کوتاه

دیدگاهتان را بنویسید