موازنه امنیت، تهدید، کارایی و هزینه در پیاده سازی LUA

پیشرفت های اخیر در فناوری شبکه مانند امکان اتصال دائم به اینترنت، فرصت های زیادی را در اختیار انواع شرکت ها و سازمان ها و حتی کاربران عادی قرار داده است. اما متأسفانه اتصال به هر نوع شبکه ای و مخصوصاً اینترنت، خطر حملات بدافزاری را افزایش می دهد و در همین حال که متخصصان امنیتی مشغول مدیریت خطرات موجود هستند، خطرات جدیدی ایجاد و کشف می شوند.

یکی از فاکتورهای اصلی که خطر بدافزارها را به میزان چشمگیری افزایش می دهد، تمایل به دادن امکانات مدیر سیستم به کاربران است. زمانی که یک کاربر با حق دسترسی مدیر یا Administrator وارد سیستم می شود، تمام برنامه هایی که اجرا می کند مانند مرورگرها، برنامه های ایمیل و برنامه های پیام فوری نیز حق دسترسی مدیر سیستم را پیدا می کنند. در صورتی که این برنامه ها یک بدافزار را فعال سازند، آن بدافزار خود را نصب و خدمات برنامه های آنتی ویروس را دستکاری کرده و حتی ممکن است خود را از دید سیستم عامل پنهان سازد. از طرف دیگر کاربران نیز ممکن است به صورت ناخواسته (برای مثال از طریق بازدید از یک وب سایت آلوده شده و یا با کلیک بر روی پیوست ایمیل) برنامه های خرابکار را اجرا کنند. برنامه های خرابکار مذکور می توانند بسیار خطرناک بوده و کارهایی از قبیل دستکاری اطلاعات حساس، به دست آوردن کلمات عبور از طریق نصب ثبت کننده ضربات صفحه کلید (keystroke logger)، به دست گرفتن کنترل کامل رایانه قربانی و حتی شبکه ها را انجام داده و کاری کنند که وب سایت ها بالا نیایند و یا حتی دیسک سخت را فرمت کنند. در برخی موارد هزینه تحمیل شده بر اثر خرابکاری های مذکور غیر قابل جبران می باشد.

برای برخورد با تهدیدات مذکور، یک استراتژی دفاع چند لایه لازم است که راهکار حساب های کاربری با حداقل دسترسی (LUA-least-privileged user account)، یکی از بخش های مهم استراتژی دفاعی را تشکیل می دهد. راهکار LUA تضمین می کند که کاربران از اصول حداقل حق دسترسی پیروی کرده و با حساب های کاربری محدود شده وارد شبکه شوند. از طرف دیگر هدف LUA، اعطای حق دسترسی مدیریتی تنها به مدیران شبکه و تنها برای انجام کارهای مدیریتی است.

برای کسب اطلاعات بیشتر در مورد LUA و اصل حداقل حق دسترسی به مقاله حداقل حق دسترسی در ویندوز XP و برای کسب اطلاعات بیشتر در مورد پیاده سازی این راهکار به مقاله "پیاده سازی حداقل حق دسترسی در ویندوز XP" مراجعه فرمایید. همچنین برای آشنایی بیشتر با فواید این راهکار می توانید مقاله "فواید پیاده سازی LUA در ویندوز XP " را مطالعه کنید. در این مقاله در مورد اثراتی که پیاده سازی LUA بر امنیت شبکه، تهدیدها، کارایی سازمان و هزینه های تحمیلی می گذارد، بحث خواهیم کرد.

موازنه امنیت، تهدید، کارایی و هزینه در پیاده سازی LUA

ایجاد تغییرات در راهکار LUA نیز مانند بسیاری از راهکارهای دیگر مدیریت شبکه، مستلزم ایجاد موازنه بین تهدیدها، امنیت، کارایی و هزینه ها است. زمانی که راهکار LUA به درستی پیاده سازی شود، اثرات زیر را در پی دارد:

• کاهش تهدیدات
• افزایش امنیت
• محدودیت کارایی
• کاهش هزینه های مدیریتی

در ادامه در مورد هر یک از موارد فوق به تفصیل توضیح می دهیم.

کاهش خطرات

هر نوع اتصالی به شبکه، خطراتی را برای رایانه در پی دارد، واضح است که اتصال به اینترنت رایانه را در معرض خطرات بیشتر و سنگین تری نسبت به شبکه های محلی قرار می دهد. تنها راه از بین بردن خطرات مذکور عدم اتصال به شبکه است، اما بسیاری از سازمان ها و شرکت ها فواید اتصال به شبکه را بسیار بیشتر از مضرات آن می دانند. در اینجا است که اقدامات امنیتی و پیشگیرانه اهمیت بسزایی پیدا می کند.
راهکار LUA می تواند در خطراتی که در نتیجه اجرای برنامه ها با حق دسترسی مدیریتی به وجود می آیند، کاهش چشمگیری ایجاد کند. سازمان هایی که از راهکار LUA استفاده نمی کنند، نه تنها خطراتی را که در استفاده از رایانه نهفته است، به جان می خرند بلکه خود را نسبت به حملاتی که با استفاده از نقص های امنیتی جدید و اصلاح نشده انجام می شوند، آسیب پذیر می سازند. از طرف دیگر مشاهده شده است که سازمان هایی که راهکار LUA را پیاده سازی می کنند، تمایل بیشتری به استفاده از استراتژی های دیگر مدیریت امنیت همچون نصب خودکار به روز رسانی های امنیتی دارند. طبیعی است که استفاده از راهکارهای امنیتی مختلف که از یکدیگر پشتیبانی می کنند، میزان خطرات را تا حد زیادی پایین می آورد.

افزایش امنیت

راهکار LUA، امنیت زیادی را برای استفاده کنندگان تأمین می کند و در عین حال کارایی را هم تا حد زیادی حفظ میکند که در بخش بعدی در مورد آن صحبت خواهیم کرد.

باید در نظر داشته باشیم که راهکار LUA یک استراتژی امنیتی کامل نبوده و باید به همراه دیگر راهکارهای دفاعی در یک استراتژی امنیتی چند لایه به کار گرفته شود. این دفاع چند لایه شامل آموزش کاربر، فایروال های میزبان و شبکه، به روز رسانی های منظم امنیتی و آنتی ویروس های به روز برای تشخیص بدافزارها می شود. راهکار LUA یک امنیت اضافی را تأمین کرده و تا حد زیادی از انتشار بدافزارها در یک سازمان جلوگیری به عمل می آورد.

محدودیت کارایی

مسئله ای که در مدیریت شبکه واضح است، رابطه عکس امنیت و کارایی است که افزایش هر کدام موجب کاهش دیگری است.
توجه: نکته مهمی که در کارایی باید در نظر گرفته شود، راحتی کار با سیستم است و منظور این نیست که کاربر هر کاری را مایل بود با رایانه اش انجام دهد.
راهکار LUA، از مدیریت رایانه توسط کاربران جلوگیری کرده و محدودیتی را در به کارگیری رایانه برای آنها ایجاد نمی کند. از طرف دیگر حذف حق دسترسی مدیریتی باعث بالا بردن کارایی کاربران نیز می شود، زیرا تمرکز بیشتری بر روی کار خود داشته و امکان کمتری برای دستکاری و خراب کردن تنظیمات رایانه دارند.
به هر حال در صورتی که کاربران امکان تنظیمات مختلف را ببینند ولی نتوانند آن را تغییر دهند، دچار ناامیدی شده و مرتب با مسئولین شبکه برای ارتقای حق دسترسی خود تماس می گیرند. برای اجتناب از معضل مذکور، بهتر است از امکان Group Policy استفاده شود و امکانات غیر قابل تغییر از دید کاربر پنهان شوند. اگر کاربر تنها امکاناتی را که می تواند تغییر دهد مشاهده کند، محدودیت های ایجاد شده، کمتر او را اذیت خواهد کرد. پیاده سازی راهکار LUA همراه با Group Policy به شما امکان می دهد یک رابط کاربر ساده را ایجاد کنید که به کاربر تنها تنظیماتی را که می تواند دستکاری کند، نشان دهد.

کاهش هزینه های مدیریتی

مطالعات مختلف در سازمان های مستقل نشان داده اند که مدیریت مؤثر شبکه ها در دراز مدت می تواند موجب صرفه جویی قابل توجهی شود. راهکار LUA، رابطه بسیار نزدیکی با استراتژی مدیریتی دارد زیرا کاربران محدود شده نمی توانند در تنظیماتی که توسط استراتژی مدیریتی اعمال شده است، تغییر ایجاد کنند. با این وجود، سازمان ها برای اینکه درک درستی از صرفه جویی حاصله از راهکار LUA بیابند، لازم است اولاً سرمایه گذاری اولیه را که LUA نیازمند آن است، انجام دهند و ثانیاً هزینه هایی را که پیاده سازی و یا عدم پیاده سازی راهکار مذکور به آنها تحمیل می کند بررسی کنند.

برای پیاده سازی LUA هزینه های زیر در نظر گرفته می شوند:

• نامه ریزی و پیاده سازی آزمایشی پروژه
• تست برنامه های مختلف در محیط LUA
• رسیدگی به گردش های کاری برای کاربران محدود شده
• بازنویسی برنامه های کاربردی در صورت نیاز
• تست برنامه های جدید قبل از استفاده گسترده از آنها
• برنامه ریزی برای چگونگی پاسخگویی به هجوم درخواست های کاربران در اول کار (برای باز پس گرفتن حق دسترسی مدیریتی)
• رسیدگی به مسائلی که در اثر این تغییر برای سیاست سازمان به وجود می آید

بسیار مهم است که هزینه های فوق در برابر هزینه هایی که پیاده سازی نکردن LUA بر سازمان تحمیل می کند، سنجیده شوند. هزینه های مذکور از موارد زیر سرچشمه می گیرند:

• ظیمات نادرست رایانه بر اثر دستکاری ها کاربران
• نرم افزارهای تأیید نشده، تست نشده، بدون مجوز و یا خرابکار
• دعاوی قضایی بالقوه
• از دست دادن کسب و کار به علت سوءاستفاده های امنیتی

تحلیل هزینه های پیاده سازی و عدم پیاده سازی LUA نشان می دهد که بیشتر هزینه های پیاده سازی قابل محاسبه هستند، در حالی که هزینه های عدم پیاده سازی، اغلب ناشناخته هستند. برای مثال می توان هزینه بازنویسی مجدد قسمتی از یک برنامه کاربردی را تخمین زد ولی پیش بینی هزینه دادگاه و غرامت در صورت سوءاستفاده، غیر قابل پیش بینی است.
تغییر و پیشرفت روزافزون در انواع تهدیدها بر علیه شبکه ها و سیستم های رایانه ای از یک طرف و نیاز به ساده سازی و استاندارد کردن تنظیمات رایانه ها از طرف دیگر، سازمان های بیشتری را به استفاده از راهکار LUA تشویق می سازد. برای آشنایی با چگونگی پیاده سازی این راهکار به مقاله "پیاده سازی حداقل حق دسترسی در ویندوز XP" مراجعه فرمایید.