जुलाई 20, 2022
टोनी फ्रुम द्वारा - उत्पाद विशेषज्ञ, Skyhigh Security
व्यक्तिगत और व्यावसायिक दोनों उद्देश्यों के लिए भारी क्लाउड उपयोग की आज की वास्तविकता में, वेब सुरक्षा सर्वोपरि चिंता का विषय बन गई है, फिर भी बेहद जटिल है। विविध नेटवर्क आर्किटेक्चर, दूरस्थ उपयोगकर्ता, क्लाइंट प्लेटफ़ॉर्म की अधिकता, अपना खुद का डिवाइस (BYOD), पारंपरिक नेटवर्क परिधि का घटना, और अनगिनत अन्य तकनीकी विचार सुरक्षा पेशेवरों को चुनौती देते हैं जो अपने संगठन के वेब ट्रैफ़िक को सुरक्षित करने का प्रयास करते हैं।
DNS सुरक्षा एक पूर्ण विकसित के विकल्प के रूप में उभरी है secure web gateway (एसडब्ल्यूजी) समाधान सरलता और शीघ्र तैनाती का वादा करता है। अनिवार्य रूप से, DNS सुरक्षा जोखिम भरे डोमेन तक पहुंच को रोकने के लिए डोमेन नाम रिज़ॉल्यूशन में प्लग करती है। यह संगठनों को डोमेन को "पड़ोस" के रूप में मानकर वेब सुरक्षा को सुव्यवस्थित करने की अनुमति देता है। यह जोखिम भरे डोमेन तक पहुंच को रोकता है और उपयोगकर्ताओं को अधिक सुरक्षित क्षेत्रों की ओर ले जाता है। हालांकि यह दृष्टिकोण वेब सुरक्षा समस्या को बहुत सरल करता है, यह कुछ सीमाओं के साथ आता है। आइए देखें कि DNS सुरक्षा को इतना आकर्षक क्या बनाता है और विश्लेषण करें कि क्या यह वास्तव में सिल्वर बुलेट है जिसकी कई संगठन तलाश कर रहे हैं।
क्या DNS सुरक्षा पर्याप्त है?
DNS सुरक्षा के लाभ स्पष्ट हैं। इसकी सबसे आकर्षक विशेषता यह है कि नेटवर्क रीआर्किटेक्टिंग की कोई आवश्यकता नहीं है। नेटवर्क टीम की भागीदारी आमतौर पर न्यूनतम होती है। DNS सुरक्षा संगठनों को ऑफसाइट उपयोगकर्ताओं की बढ़ती संख्या को सुरक्षित करने के लिए आसानी से नेटवर्क को सुरक्षा प्रदान करने में सक्षम बनाती है। एक अतिरिक्त बोनस के रूप में, DNS सुरक्षा सभी बंदरगाहों और प्रोटोकॉल के लिए कवरेज प्रदान करके SWG की क्षमताओं से परे जाती है। नीति प्रवर्तन सरल है। आप उच्च-जोखिम वाले डोमेन और संभावित रूप से दुर्भावनापूर्ण वेब श्रेणियों को ब्लॉक कर सकते हैं। इन सभी लाभों को ध्यान में रखते हुए, DNS सुरक्षा एक तार्किक विकल्प की तरह लगती है।
लेकिन यह सब अच्छाई एक कीमत पर आती है। एक शब्द में, दृश्यता। जब आप DNS अनुरोधों को देखने के लिए अपनी वेब सुरक्षा को फिर से सौंपते हैं, तो आप महत्वपूर्ण संदर्भ और तीक्ष्णता खो देते हैं। DNS सुरक्षा समाधान जानता है कि किसी डोमेन क्लाइंट द्वारा हल किया गया था। लेकिन DNS रिज़ॉल्यूशन के बाद डोमेन पर भेजे गए ट्रैफ़िक के बारे में प्रासंगिक जानकारी अज्ञात है। आपका DNS सुरक्षा समाधान इन प्रश्नों का उत्तर नहीं दे सकता है: "इस डोमेन को कितना ट्रैफ़िक भेजा गया या उससे प्राप्त किया गया? किन प्रोटोकॉल का उपयोग किया गया और किन बंदरगाहों पर? कौन सी फाइलें प्रेषित की गईं, और क्या वे दुर्भावनापूर्ण थीं? क्या कोई संवेदनशील डेटा व्यक्तिगत क्लाउड खातों पर अपलोड किया गया था?" ये अनुत्तरित प्रश्न दृश्यता और संदर्भ की कमी को रेखांकित करते हैं और DNS सुरक्षा में स्पष्ट सुरक्षा अंतराल को उजागर करते हैं।
आइए सबसे खराब स्थिति पर विचार करें। क्या होगा यदि आपके संगठन को वेब-आधारित खतरों के साथ लक्षित किया गया था? किसी हमलावर के लिए आपकी DNS सुरक्षा को पूरी तरह से दरकिनार करना कितना कठिन होगा? एक विकल्प "ज्ञात अच्छा" डोमेन पर दुर्भावनापूर्ण सामग्री प्राप्त करना होगा। यह व्यक्तिगत ड्रॉपबॉक्स या OneDrive खाते पर किसी फ़ाइल के साझा लिंक के रूप में तुच्छ हो सकता है। एक हमलावर पूरी तरह से डोमेन नाम का उपयोग करने से भी बच सकता है। फ़िशिंग ईमेल में IP पते वाले URL का उपयोग करना संभवतः एक भोले-भाले उपयोगकर्ता को होस्टनाम का उपयोग करके लिंक के रूप में बरगलाने की संभावना है। यहां तक कि अगर हमलावर को गतिशील रूप से आईपी का उपयोग करने की आवश्यकता होती है, तो पीड़ित मशीन को आईपी प्राप्त करने के अन्य तरीके हैं, जैसे कि सोशल मीडिया अकाउंट पर पोस्ट करना, इसे अमेज़ॅन एस 3 बाल्टी में छोड़ना, या अनगिनत अन्य विकल्प। आप बस यह नहीं मान सकते कि DNS प्रश्न आपके पर्यावरण पर हर हमले का एक हिस्सा होंगे।
दृश्यता के अलावा, सादगी और तेजी से तैनाती के नाम पर नियंत्रण का भी त्याग किया जाता है। जब आपका नियंत्रण बिंदु DNS अनुरोध तक सीमित होता है, तो आपके प्रतिक्रिया विकल्प भी सीमित होते हैं। अक्सर, आपको अनुमति देने या ब्लॉक करने के विकल्प के साथ छोड़ दिया जाता है, और यह निर्णय डोमेन नाम से अधिक संदर्भ के साथ नहीं किया जाना चाहिए। इसका परिणाम या तो अत्यधिक उदार और जोखिम भरी नीति या अधिक गंभीर विकल्प होता है जो उपयोगकर्ताओं को सुरक्षा टीम को नकारात्मक प्रकाश में देखने का कारण बनेगा। अधिक व्यावहारिक नीति को लागू करने का कोई विकल्प नहीं है जैसे, "फेसबुक की अनुमति है, लेकिन आप चैट नहीं कर सकते" या "व्यक्तिगत ड्रॉपबॉक्स खातों की अनुमति है, लेकिन संवेदनशील डेटा के अपलोड स्कैन किए जाते हैं।
क्यों SWG एक बेहतर, अधिक व्यापक विकल्प है
इसे ध्यान में रखते हुए, यह स्पष्ट है कि SWG तालिका में कई लाभ लाता है। यह एक अत्यधिक परिपक्व तकनीक है जिसका उद्देश्य एक प्रोटोकॉल को समझने और उसकी जांच करने के लिए बनाया गया है जो संभवतः आपके समापन बिंदुओं द्वारा उत्पन्न 90% से अधिक ट्रैफ़िक के लिए जिम्मेदार है: HTTP/S. SWG दृश्यता और संदर्भ प्रदान करता है जो DNS सुरक्षा के साथ उपलब्ध नहीं हैं। डोमेन नाम पूर्ण URL के रूप में दिखाए जाते हैं. आप हर एक अनुरोध की सामग्री की जांच कर सकते हैं, जिसमें एंडपॉइंट द्वारा भेजा और प्राप्त किया गया ट्रैफ़िक दोनों शामिल हैं।
यह बढ़ी हुई दृश्यता सीधे बेहतर सुरक्षा में तब्दील हो जाती है। एसडब्ल्यूजी समाधान न केवल यह सुनिश्चित करते हैं कि उपयोगकर्ता उपयुक्त और विश्वसनीय डोमेन पर जा रहे हैं, यह सभी डाउनलोड की गई सामग्री पर मैलवेयर विश्लेषण भी करता है, जिसमें व्यक्तिगत ड्रॉपबॉक्स खाते से फ़ाइल का लिंक भी शामिल है। जब सामग्री अपलोड की जाती है, तो इसे संवेदनशील डेटा के लिए स्कैन किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि कोई नियम नहीं टूटा है या बौद्धिक संपदा खो गई है।
SWG टूलकिट के एक और हालिया जोड़ में किरायेदार प्रतिबंधों को लागू करने की क्षमता शामिल है। टैनेंट प्रतिबंध केवल उपयोगकर्ताओं को उन सेवाओं के भीतर स्वीकृत टैनेंट (या एक उदाहरण) के साथ स्वीकृत सेवाओं तक पहुंचने की अनुमति देकर डेटा सुरक्षा सुनिश्चित करने का एक महत्वपूर्ण तरीका है। के साथ युग्मित cloud access security broker (CASB) नियंत्रण, किरायेदार प्रतिबंधों को लागू करने से डेटा को संगठन के नियंत्रण में रहते हुए वेब सुरक्षा समाधान के माध्यम से "दरवाजे से बाहर" सुरक्षित रूप से माइग्रेट करने की अनुमति मिलती है। API-आधारित CASB नियंत्रण केवल संगठन के स्वामित्व वाले किरायेदारों पर लागू किए जा सकते हैं, क्योंकि उपयोगकर्ताओं को "छाया" टैनेंट का उपयोग करने से रोकना महत्वपूर्ण है।
सभी वेब ट्रैफ़िक का गहन निरीक्षण संगठनों को कुछ उपयोगकर्ता व्यवहारों के लिए अधिक सामरिक प्रतिक्रियाओं को लागू करने का अधिकार देता है। DNS सुरक्षा के साथ यह संभव नहीं है। उदाहरण के लिए, SWG के साथ, गतिविधि नियंत्रण एक सामान्य क्षमता है जो सुरक्षा टीमों को कुछ क्लाउड अनुप्रयोगों से संबंधित डोमेन की अनुमति देने की अनुमति देती है लेकिन उन अनुप्रयोगों के भीतर कुछ गतिविधियों को रोकती है। उपयोगकर्ता अपने व्यक्तिगत ड्रॉपबॉक्स या एवरनोट खातों तक पहुंच चाहते हैं, लेकिन सुरक्षा दल डेटा सुरक्षा के बारे में चिंतित हैं। गतिविधि नियंत्रणों का उपयोग करके, आप इन अनुप्रयोगों को अनुमति दे सकते हैं लेकिन अपलोड को रोक सकते हैं.
एक अन्य उदाहरण उपयोगकर्ता कोचिंग है। मान लें कि किसी अनुमत डोमेन के साथ छेड़छाड़ की गई है. डोमेन को अवरुद्ध करके प्रतिक्रिया करने के बजाय, संगठन उपयोगकर्ताओं को सूचित करने का निर्णय ले सकता है और उन्हें तुरंत अपने क्रेडेंशियल्स बदलने की आवश्यकता हो सकती है।
एक और काफी हालिया प्रगति अज्ञात या केवल थोड़ा संदिग्ध जोखिम वाली सामग्री को एक अलग ब्राउज़र के माध्यम से देखने की अनुमति देती है। Remote browser isolation (आरबीआई) उपयोगकर्ताओं को ऐसी सामग्री तक पहुंचने की अनुमति देता है जो सुरक्षित नहीं है, जबकि अभी भी जोखिम से समापन बिंदुओं को इन्सुलेट कर रहा है। अनुरोधित सामग्री एक अस्थायी ब्राउज़र में लोड की जाती है जिसे वेब सुरक्षा विक्रेता के डेटा सेंटर में अलग किया जाता है। उपयोगकर्ता को स्थानीय रूप से साइट की किसी भी सामग्री को लोड किए बिना उस दूरस्थ ब्राउज़र को देखने और उसके साथ बातचीत करने की अनुमति है। यह समापन बिंदु पर किसी भी मैलवेयर जोखिम को रोकते हुए सामग्री तक पहुंच की अनुमति देता है।
SWG को तैनात करना कितना आसान है?
अंतिम लक्ष्य ऑन-प्रिमाइसेस समाधानों के बजाय क्लाउड नेटिव परिनियोजन का उपयोग है। लेकिन, जैसा कि पहले उल्लेख किया गया है, कई मामलों में पथ को चीर-फाड़ और बदलने के दृष्टिकोण से ऊबड़-खाबड़ बनाया जा सकता है, या इसे व्यवधान को कम करते हुए परिवर्तन को सक्षम करने के लिए अनुकूलित सहक्रियात्मक समाधान के साथ ऑन-प्रिमाइसेस उपकरण को चरणबद्ध करके सुचारू बनाया जा सकता है।
जबकि DNS सुरक्षा की तुलना में SWG समाधानों को तैनात करते समय संगठनों के पास विचार करने के लिए बहुत कुछ है, उद्योग ने इस तकनीक के दृष्टिकोण को सरल बनाने की दिशा में एक लंबा सफर तय किया है। दुनिया भर के डेटा केंद्रों में सर्वर को रैक करने और ढेर करने के दिन खत्म हो गए हैं, क्योंकि कई एसडब्ल्यूजी विक्रेता आपके लिए लेगवर्क करते हैं। SWG समाधान क्लाउड-नेटिव इन्फ्रास्ट्रक्चर का उपयोग करके वितरित किए जाते हैं जो एक वैश्विक पदचिह्न प्रदान करते हैं, प्रदर्शन और विश्वसनीयता के साथ जो सबसे बड़े संगठनों को भी प्राप्त करने की संभावना है। नेटवर्क और सुरक्षा टीमों को अब फ़िल्टरिंग के लिए छोटी साइटों से केंद्रीय स्थान पर ट्रैफ़िक को बैकहॉल करने के तरीके खोजने की ज़रूरत नहीं है, क्योंकि साइट-टू-साइट वीपीएन क्षमताएं एसडब्ल्यूजी विक्रेता के बुनियादी ढांचे के प्रत्यक्ष उपयोग की अनुमति देती हैं। इसी तरह, दूरस्थ उपयोगकर्ताओं को अपनी सुरक्षा के लिए वीपीएन पर निर्भर नहीं रहना पड़ता है - बुद्धिमान एजेंट यह सुनिश्चित करते हैं कि उनका ट्रैफ़िक ऑन-प्रिमाइसेस या क्लाउड संपत्तियों का उपयोग करके सुरक्षित है जहां उपयुक्त हो।
SWG तकनीक ने वेब सुरक्षा नीति को भी नाटकीय रूप से सरल बनाया है। URL या IP श्रेणियों की सूचियों को परिभाषित करने के दिन गए जिन्हें अनुमति देने या अवरुद्ध करने की आवश्यकता है। वेब नीति URL के बजाय डोमेन और गतिविधि स्तर के बजाय क्लाउड अनुप्रयोग स्तर पर लागू की जाती है. आउट-ऑफ-द-बॉक्स नीतियां सुरक्षा टीमों को मिनटों में अपने सभी वांछित परिणाम प्राप्त करने की अनुमति देती हैं, बिना अल्पविकसित नियंत्रण के लिए समझौता किए या जटिल कॉन्फ़िगरेशन का सहारा लिए।
दोनों हाथों से लड्डू खाना
आम धारणा के बावजूद, SWG और DNS सुरक्षा प्रौद्योगिकियां प्रतिस्पर्धी प्रौद्योगिकियां नहीं हैं, बल्कि पूरक समाधान हैं। दृश्यता के दृष्टिकोण से दो पेशकशों को देखते हुए, आप पाएंगे कि ओवरलैप काफी कम है।
DNS सुरक्षा को एक मील चौड़ा और एक इंच गहरा बताया जा सकता है। दृश्यता की चौड़ाई स्पष्ट है, क्योंकि सभी पोर्ट और प्रोटोकॉल कवर किए गए हैं, लेकिन थोड़ी गहराई है, क्योंकि डीएनएस सुरक्षा पूरी तरह से एक डोमेन नाम के साथ काम करती है।
दूसरी ओर, एसडब्ल्यूजी एक मील गहरा और एक इंच चौड़ा है। आम तौर पर, महत्वपूर्ण प्रोटोकॉल का एक छोटा सेट समर्थित होता है, लेकिन निरीक्षण वेब ट्रैफ़िक के सबसे गहरे स्तर तक जाता है।
एक मध्यम आकार के संगठन का एक CISO जो सुरक्षा की समस्या से निपटना शुरू कर रहा है, DNS सुरक्षा के साथ "त्वरित जीत" के रूप में शुरू हो सकता है और फिर वास्तव में व्यापक वेब सुरक्षा प्राप्त करने के लिए SWG समाधान के लिए आगे बढ़ सकता है।
SWG के साथ वेब सुरक्षा अंतराल को बंद करना
DNS सुरक्षा अकेले सही वेब सुरक्षा का गठन नहीं करता है। दृश्यता में बस बहुत अधिक अंतराल हैं, सुरक्षा प्रदान करना और रिपोर्टिंग अपर्याप्त है। अपलोड की गई सामग्री के लिए डाउनलोड की गई सामग्री या डेटा सुरक्षा की कोई मैलवेयर स्कैनिंग नहीं है। इस डोमेन और आपके समापन बिंदुओं के बीच वास्तव में क्या हुआ था, इसके बारे में सवालों के जवाब देने के लिए न्यूनतम संदर्भ है।
दूसरी ओर, SWG तकनीक, क्लाउड-फर्स्ट दुनिया की जटिलता के बावजूद, दुनिया के सबसे बड़े संगठनों के सुरक्षा लक्ष्यों को प्राप्त करने के लिए पूरे दशकों में उन्नत हुई है। SWG शक्तिशाली एंटी-मैलवेयर और डेटा सुरक्षा तकनीकों के साथ-साथ सभी वेब ट्रैफ़िक का गहन निरीक्षण प्रदान करता है ताकि यह सुनिश्चित किया जा सके कि सूचना और समापन बिंदु संपत्ति विभिन्न प्रकार के खतरों से सुरक्षित हैं। रिपोर्टिंग और दृश्यता क्लाउड-आधारित अनुप्रयोगों के साथ सभी इंटरैक्शन में समृद्ध विवरण और संदर्भ प्रदान करती है। और, सबसे अच्छी बात यह है कि DNS सुरक्षा और SWG आज के खतरों से किसी भी संगठन को सुरक्षित करने के लिए सर्वश्रेष्ठ-दोनों-दुनिया के दृष्टिकोण की पेशकश करने के लिए जोड़ी बनाते हैं।
इसके बारे में अधिक जानें Skyhigh Security Secure Web Gateway यहां क्लिक करके।
यहां लाइव डेमो के लिए साइन अप करें।
ब्लॉग पर वापस जाएं