در این مقاله قصد داریم تا شما را با قابلیت Call Park در CMEسیسکو آشنا کنیم . همچنین نحوه ی کانفیگ کردن این قابلیت را برای شما شرح خواهیم داد.با ما همراه باشید:
معمولا زمانی که یک داخلی تماسی را Hold میکند فقط خودش میتواند آن تماس را از Hold خارج کرده و پاسخگوی آن تماس باشد . به کمک قابلیت Call Park شما میتوانید تماسهای مورد نظرمان را در داخلیهایی که از قبل برای Call Park ایجاد کردهاید پارک کنید و سپس آن تماس را توسط تلفنهای دیگر سازمان از پارک خارج کرده و پاسخگوی آن باشید.
به طور کلی Call Park به دو شکل قابل اجرا میباشد . یکی این که مرکز تلفن تماسها را به صورت خودکار در داخلیهای از قبل ساخته شده به صورت Random پارک کند و دیگری این که فرد پاسخگو ، تماس را به طور هدفمند در یکی از داخلیهای مورد نظر خود پارک کند . برای درک بهتر این موضوع تصور کنید در یک محیط کاری بزرگ مانند انبار یا فروشگاه که کاربران مدام در حال حرکت هستند و میخواهید این قابلیت را راهاندازی کنید . در چنین محیطی از سناریوی اول استفاده میکنید ، به این صورت که تلفنچی تماسهای ورودی را پاسخ داده و سپس آنها را پارک میکند و بعد در بلندگوی محیط فرد مورد نظر را صدا زده و میگوید ” آقای X یک تماس در داخلی Y داری ، لطفا جواب بده ” . در مرحله بعدی فرد مورد نظر توسط هر یک از داخلیهای محیط تماس را از پارک خارج کرده و پاسخ میدهد .
از حالت دوم معمولا در محیطهای اداری استفاده میشود . به این صورت که تلفنچی تماسها را به صورت مستقیم در داخلیهای از قبل تعیین شده ( مثلا ۳۰۰ برای مالی ، ۳۰۱ برای فنی ، ۳۰۲ برای فروش و … ) پارک میکند و سپس کارشناسان هر بخش از سازمان تماسهای پارک شدهی مرتبط با خود را پاسخ میدهند .
اولین قدم برای پیادهسازی قابلیت Call Park در CME ساخت داخلیهایی است که برای پارک تماس میخواهید از آنها استفاده کنید . برای این کار کافیست در ابتدا داخلی مورد نظر را ساخته و سپس با زدن دستور Park-slot آن داخلی را به سیستم Call Park اختصاص دهید .
همانطور که مشاهده میکنید در ادامهی کامند Park-slot میتوانید پارامترهای دیگری را نیز برای این قابلیت تنظیم کنید که برخی از این پارامترها عبارت است از :
Timeout : در این پارامتر تعیین میکنید که پس از چه مدت روتر به فرد پارک کننده تماس یادآوری کند که تماس همچنان پارک بوده و پاسخ داده نشده است .
Limit : در این پارامتر تعیین میکنید که پس از چند بار Timeout شدن ، تماس قطع شود .
Reserved-for : به کمک این کامند میتوانید این Park-slot را به یک داخلی خاص اختصاص داده تا فقط وی بتواند تماسها را در آن پارک کند .
Recall : با این گزینه میتوانید تعیین کنید که پس از Timeout شدن ، تماس به تلفن فرد پارک کننده باز گردد .
…
پس از ساخت Park-slot ها با ریست کردن تلفنها Softkey پارک تماس روی تلفنها ظاهر میشود . در این مرحله برای پارک تماس باید زمانی که در حال مکالمه هستید این Softkey را بزنید تا مانند تصویر ذیل پیغام پارک تماس برای شما نمایش داده شود .
نکته : برای پارک تماس به یک Park-slot خاص میتوانید تماس را به آن داخلی Transfer کنید .
در قدم بعدی برای پاسخگویی به تماسهای پارک شده سه راه دارید :
مستقیما شماره Park-slot را بگیرید .
کلید Pickup را زده و سپس شماره Park-slot را بگیرید .
بر روی تلفنی که تماس را پارک کرده ابتدا Pickup را زده و سپس * را بزنید تا آخرین تماس پارک شده پاسخ داده شود .
یکی از متداولترین قابلیتهایی که مراکز تلفنی در اختیار شما قرار میدهند قابلیت انتقال تماس یا Call Transfer میباشد . به کمک این قابلیت میتوانید در زمان مکالمه با زدن Transfer Softkey موجود بر روی گوشی تلفن تماس را به نقاط دیگر انتقال دهید . اما در مورد نحوه انتقال تماس یا Call Transfer در CME پیکربندیها و تنظیماتی روی این مرکز تلفن وجود دارد که میخواهیم به بررسی آنها بپردازیم .
به طور کلی به دو شکل میتوان انتقال تماس را انجام داد که عبارت است از :
Consult ( مشورتی ) : در این حالت زمانی که شما میخواهید تماس را به سمت مقصد مورد نظر خود انتقال دهید در مرحلهی اول تلفن مقصد زنگ خورده و شما با فرد مورد نظر مشورت میکنید که آیا میخواهد تماس به سمت وی انتقال داده شود یه خیر ، اگر جواب بله بود با زدن مجدد کلید Trnsfer تماس به سمت تلفن مقصد انتقال داده میشود . به یاد داشته باشید که این نوع از Call Transfer در CME که به صورت پیشفرض استفاده میشود نیاز به دو خط یا Dual-Line دارد .
Blind ( مستقیم ) : در این حالت زمانی که شما تماس را Transfer میکنید تماس بلافاصله منتقل شده و دیگر با طرف مقابل خود مشورت نمیکنید . این نوع از Call Transfer در CME روی حالت Single Line نیز کار میکند .
همانطور که در تصویر فوق مشاهده میکنید در تنظیمات مرکز تلفن میتوانید نوع انتقال تماس را تعیین کنید ، اما اگر دقت کنید به غیر از حالت Consult و Blind نوع Local Consult نیز در Help کامند دیده میشود ، این متد از روش انحصاری Cisco استفاده میکند که اگر تلفن حالت چند خطی یا Dual باشد به صورت Consult و اگر به صورت Single Line باشد به صورت Blind عمل میکند .
نکته : به یاد داشته باشید که شما میتوانید این تنظیمات را زیر پیکربندی هر DN نیز با کامند Transfer-mode تعیین کنید .
به صورت پیشفرض در CME کاربران میتوانند تماسهای خود را تنها به داخلیها Transfer کنند . به عبارتی زمانی که یک کاربر در حال مکالمه با تلفن است نمیتواند تماس را به یک شماره خارج سازمان انتقال دهد . برای این که این اجازه را به کاربران سازمان بدهیم میتوانیم از دستورات ذیل استفاده کنیم . کامند اول اجازه انتقال تماس به داخلیهای رنج ۵XXX را میدهد و کامند دوم اجازه انتقال تماس به خارج از سازمان .
نکته : به یاد داشته باشید که اجازه انتقال تماس به خارج از سازمان میتواند هزینههای تلفنی را بالا ببرد ، چرا که کاربران میتوانند تماسها را به شمارههای خارج سازمان هدایت کرده و از بستر PSTN برای برقراری برخی ارتباطات تلفنی خود استفاده کنند .
یکی از کلماتی که احتمالا این روزها بیشتر شنیدهاید سافت فون است. این نرمافزارها که به تلفن نرم افزاری نیز شهرت دارند یک برنامه است که به شما این امکان را میدهد تا تماسهای خود را در بستر اینترنت انجام دهید. عملکرد سافت فونها به این صورت است که از کامپیوتر شخصی شما به عنوان یک سخت افزار و از برنامههای مختلفی مانند xlite به عنوان نرمافزار برای برقراری تماسهای صوتی و ویدیویی استفاده میشود. پس در صورتی که قصد استفاده از آن را دارید پیشنهاد ما به شما برای قسمت نرمافزاری ن دانلود xlite است.
با هربار پلک زدن در دنیای بیانتها فناوری، دستگاه یا نرمافزاری جدید به بازار معرفی میشود. یکی از همین دستگاهها و نرم افزارها برنامه xliteاست. اما این برنامه دقیقا چه کاربردی دارد؟ نرمافزار xlite به صورت رایگان روی تلفن همراه یا کامپیوتر شما نصب میشود و درست مثل یک تلفن انتقالی با کمک گرفتن از اینترنت تماسهای صوتی، تصویری و … را با یکدیگر ترکیب میکند و به صورت یکپارچه منتقل میکند. همانطور که گفتیم دانلود xlite کاملا رایگان است و به راحتی میتوانید آن را در اختیار داشته باشید. به کمک این نرمافزار شما میتوانید تماسهای شرکت خود را به راحتی مدیریت کنید و مشکلی در هنگام برگزاری کنفرانسهای خود نداشته باشید.
دانلود Xlite به صورت رایگان
دانلود xlite کاملا رایگان است و نیاز به پرداخت هزینهای برای در اختیار داشتن این سافتفون نخواهید داشت. برنامه xlite قابلیتهای بسیاری دارد که بعد از نصب با آنها آشنا میشوید و بدون شک میتواند نیازهای شما در خصوص ترکیب تماسهای صوتی و ویدیویی را در جلسات حل کند، تا دیگر مشکلی برای برگزاری جلسات از راه دور خود نداشته باشید و به راحتی و بدون قطعی بتوانید آن را مدیریت کنید.
نصب برنامه xlite
زمانی که دانلود xlite با موفقیت انجام شد، باید مراحل نصب را انجام دهید. اما نکته مهمی که در هنگام نرمافزار xlite باید در نظر داشته باشید، استفاده از VOIP یا IP PBX است. دلیل استفاده از این تجهیزات ترکیب برنامه xlite با آنها است، چرا که xlite یک تلفن همراه نیست. زمانی که این برنامه را نصب کردید میتوانید از برقراری تماس با دوستان یا شرکای تجاری خود لذت ببرید. مراحل نصب میتواند توسط متخصصینی که وظیفه راهاندازی سیستم VIOPشما را دارند انجام دهند تا دچار مشکلی نشوید و این مراحل به آسانی سپری شود.
قابلیتهای نرمافزار xlite
از جمله قابلیتها و ویژیگیهایی که بعد از دانلود xlite با آنها مواجه میشوید دارا بودن پیامگیر صوتی، ذخیره ایمن مکالمات، نگهداری تاریخچه تماسها، صندوق ایمیل صوتی و … است. اما نکته مهمی که باید در هنگام استفاده از نرمافزار xliteبه آن توجه داشته باشید، این است، امکانات ذکر شده باید متناسب با خدمات ارائه دهنده اینترنت شما باشد. در صورتی که شرکت اینترنت قادر به ارائه این خدمات نباشد، شما نمیتوانید به صورت کامل از این قابلیتها استفاده کنید.
الزامات استفاده از xlite
بعد از دانلود xlite و نصب آن بر روی تلفن همراه یا لپتاپ خود نیاز است که در مرحله اول یک نام کاربردی متناسب برای خود انتخاب کنید. توجه داشته باشید که این نام باید برای اهداف رسمی شما باشد تا بتوانید به راحتی از آن در همه موقعیتها استفاده کنید. مرحله دوم انتخاب رمز برای نرمافزار xlite است. این رمز باید ترکیبی از حروف و اعداد باشد که به راحتی قابل تشخیص نباشد. زمانی که این دو مرحله را پشت سر گذاشتید برای ادامه به یک دامنه نیاز دارید. بعد از اتمام تمامی مراحل میتوانید از برنامه xlite به راحتی و در هر زمانی بدون محدودیت استفاده کنید.
مزایای استفاده از xlite
دانلود xlite و استفاده از آن به عنوان یک تلفن نرمافزاری میتواند مزایای بیشماری داشته باشد. از جمله این مزایا میتوان به: عدم نگرانی درباره ترک کردن میز کار برای جواب دادن به شیوه سنتی، گذاشتن پیام صوتی فوری برای فردی که آنلاین است اما قادر به صحبت کردن در آن لحظه نیست، فواصل جغرافیایی هیچ محدودیتی ندارند و شما میتوانید با افراد در هر نقطهای صحبت کنید.
عملکرد xlite چگونه است؟
نرمافزار xlite به کمک کدهای نرمافزار counterPath X_ liteکه متفاوت از یکدیگر نیز هستند، بدون هیچ قطعی در ارتباط جلسات را مدیریت میکند. این برنامه همچنین توانست ویژگیهای تلفنهای سنتی را همانند تلفنهای جهانی IP کند تا بتواند از ویژگیهای آن استفاده بهره مند شود. استانداردهای باز و سیگنالینگ مکالمه این نرمافزار این اجازه را به کاربر میدهد تا بدون هیچ محدودیتی با شبکههای مختلف کار کند.
گجتهای قابل استفاده برای xlite
دانلود xlite ونصبآنرویگجتهاوسیستمعاملهایمختلفیامکانپذیراست. ازجملهاینگجتها،کامپیوتر،لپتاپو Ultrabook هاهستندوسیستم عاملهایپشتییاناینبرنامهشامل windows 7 Ultimate, starter, Home Premium, Enterprise/ service pack/ mac/ Home Basic و … میشود.
امکانات برنامه xlite
برگزاری جلسات و کنفرانسها در هر نقطه از جهان به صورت تصویری و ویدیویی
امکان ارسال پیام فوری و پشتیبانی از آن به وسیله SIP SIMPLE
سازگاربا Linux, Mac OSX, Windows
ارسال و دریافت پیامهای ویدویی، پیامک فوری و تماس صوتی
نحوه اعمال امنیتشبکه در ویندوز می بایست اقداماتی صورت پذیرد، که در اینجا به نحوه انجام این اقدامات می پردازیم. برای اینکه شبکه ایمنی داشته باشید، می بایست مسائل امنیتی را در شبکه خود رعایت کنید. کارهای امنیتی که برای شبکه ها انجام می شود طیف گسترده ای است. در این محتوا ما امنیت را به دو قسمت کاربران و اعمال محدودیت ها توضیح خواهیم داد.
امنیت شبکه از طریق محدود کردن کاربران
تعریف کاربرد محدود در ویندوز ایکس پی به دو صورت انجام می شود. برای ایجاد یک کاربر جدید در ویندوز به سراغ کنترل پنل رفته و بر روی آیکون یوزر اکانت کلیک نموده تا پنجره مربوط به کاربران سیستم باز می شود.
در این فهرست کاربران سیستم مشاهده می شود. برای تعریف کاربر جدید در این صفحه بر روی Creat a new account کلیک کنید. سپس نام کاربر جدید را در قسمت نام تایپ کرده و بر روی دکمه بعد یا Next کلیک کنید.
در این قسمت برای تعریف کردن کاربر محدود، گزینه Limited و برای تعریف کاربر اصلی ( Admin ) گزینه Computer administrator را انتخاب نمایید.
امنیت شبکه از طریق محدود کردن کلاینت ها
حال اگر بخواهید کلاینت ها را در شبکه ورک گروپ محدود کنید، باید به این صورت عمل نمایید. در شبکه های نظیر به نظیر از آنجا که کامپیوتر مرکزی وجود ندارد، تا بر اعمال کاربران نظارت کند، لازم است تا برخی اعمال توسط شما جهت محدود کردن کاربران انجام می شود تا امنیتشبکه بهبود یابد. یکی از ابزارهایی که ویندوز در اختیار شما قرار می دهد تا کامپیوترتان را مدیریت کنید، ابزارGroup Policyاست. فعال کردن این ابزار به این صورت می باشد؛ که روی Run از منوی Start ویندوز کلیک کنید تا پنجره روبرو باز شود و دستور gpedit.msc را وارد کرده و اینتر بزنید، تا این ابزار فعال شود.
در زیر این ابزار مشاهده می کنید، که در این ابزار می توانید با پیکر بندی سیاست های آورده شده مدیریت سطح بالایی روی کامپیوتر خود داشته باشید. سیاست های شما در دو بخش پیکر بندی کامپیوتر و پیکر بندی یوزر تقسیم بندی می شود. سیاست های بخش اول مربوط به کامپیوتر و سیاست های بخش دوم مربوط به کاربر جاری است.
امنیت شبکه از طریق مخفی کردن کنترل پنل
مخفی کردن کنترل پنل نیز یکی از اقداماتی است که می توان برای ایجاد امنیتشبکه بر روی ویندوز خود اعمال نمایید.
برای اینکه کنترل پنل را از دید کاربران سیستم پنهان نمایید وارد این ابزار شوید و به سراغ سیاست گروهی زیر بروید.
Administrative template\control panel\prohibit access to the control panel
این سیاست می تواند در حالت Not Configured، به معنای تنظیم نشده و نیز Enabel به معنای فعال بودن سیاست قرار داشته باشد. با فعال کردن این سیاست ( Enabled )کسی نمی تواند به Control Panelشما دسترسی داشته باشد.
مخفی کردن کاربر Administrator هنگام Log on نیز شگرد دیگری برای ایمن نمودن سیستم خود در مقابل عوامل مخرب اینترنتی می باشد.
پس از اجرای ویندوز ایکس پی برای ورود از شما خواسته می شود از میان فهرست کاربران نام یک کاربر را انتخاب کنید. اگر می خواهید که کاربر اصلی را از این فهرست حذف نمایید، به طریق زیر عمل کنید. ابتدا بر روی My Computerراست کلیک کرده و از منوی میانبر باز شده Manage را انتخاب کنید تا پنجره Computer Managment نمایش داده شود.
سپس از شاخه System Tools وارد زیرشاخه Local User and Groupشوید و زیر شاخه Users را انتخاب کنید. در این مسیر می توانید فهرست کاربران سیستم را مشاهده نمایید. برای غیر فعال کردن یک کاربر مانند Administrator روی آن راست کلیک کرده Properties را انتخاب کنید. تا پنجرهProperties Administrator باز شود.
سپس کنار نام Acount is disabled تیک زده و گزینه Ok را فشار می دهیم. به این صورت این کاربر غیر فعال شده و دیگر در فهرست کاربرانی که هنگام Log on نشان داده می شوند، نخواهد بود.
اما چنانچه مایل باشید به وسیله این کاربر وارد ویندوز شوید، می توانید در صفحه Log on نشان داده می شوند، نخواهد شد.
اما چنانچه مایل باشید به وسیله این کاربر وارد ویندوز شوید، می توانید در صفحه Log on با فشردن Alt+Ctrl+Del آن را از حالت انتخابی خارج کرده و به حالت کلاسیک بروید تا بتوانید به جای انتخاب کاربر نام آن را بنویسید.
امنیت شبکه از طریق مشاهده برگه Properties Security
اعمال همه این محدودیت ها در امنیت شبکه تاثیر بسزایی دارد. یکی دیگر از این اقدامات برای ایمن نمودن کامپیوتر و در نهایت شبکه مشاهده برگه Properties Security می باشد. در واقع ممکن است در سیستم شما وقتی بر روی Properties یک درایو و پوشه می روید برگه Security وجود نداشته باشد. برای نمایش آن می توانید در My Computer از منوی Tools گزینه Folder Optionsرا انتخاب کنید.
امنیت شبکه از طریق ایجاد رمز عبور برای Screen Saver
کار دیگری که برای این اعمال محدودیت جهت ایجاد امنیتشبکه میتوان ایجاد نمود، ایجاد رمز عبور برای Screen Saver می باشد.
در واقع این کار نوعی سیاست سودمند در Group Policy محسوب می گردد.
Administrative template\Control panel\display\Password product to Screen Saver
با استفاده از این سیاست شما می توانید به وسیله رمز عبور، مانع تغییر تنظیمات Screen Saver توسط افراد غیر مجاز شوید.
امنیت شبکه از طریق مخفی کردن یک درایو
در واقع مخفی کردن یک درایو از دید کاربران نیز در ایمنی شبکه بی تاثیر نیست. گاهی نیاز پیدا می شود که یک درایو را به طور کامل از دید کاربران پنهان کنید. برای این کار در ویندوز ایکس پی بر روی درایو موردنظر راست کلیک کرده و از منوی میانبر ظاهر شده بر روی گزینه Properties کلیک کنید.
از پنجره باز شده به سراغ برگه Security رفته و در قسمت Group usernames می توانید به کمک دکمه های اضافه کردن و حذف نمودن کاربرانی را که مایل هستید به این درایو دسترسی داشته باشند را انتخاب نمایید و برای هر کاربر نیز می توانید اختیارات متفاوتی قائل شوید.
امنیتشبکه با اعمال محدودیت
در نهایت در این محتوا راجع به اقداماتی که جهت امنیتشبکه میتوان نمود به صورت جزئی پرداختیم. باید این موضوع را مورد توجه قرار داد که امنیت در جامعه کنونی حرف نخست را در فضای مجازی می زند. همچنین بدون رعایت آن به هیچ عنوان نمی توان ایمن ماند. پس به هر صورتی که قادر هستیم باید ابتدا ایمنی شبکه را بالا ببریم و سپس اقدام به کار در فضای نا مطمئن و ایمن شبکه نماییم.
پس باید یک مدیر شبکه ابتدا به ایمن سازی شبکه خود بپردازد، سپس به مباحث دیگر شبکه ای توجه کند. برای ایمن سازی شبکه بسیار باید کاردان و خبره بود زیرا که امروزه عوامل مخرب زا بسیار افزایش یافته و در کسری از ثانیه شبکه را از روال عادی خارج و مختل می نمایند.
پورت RDP یک پورت مخصوص مایکروسافت است که به کمک آن میشود از طریق شبکه به یک دستگاه دیگر به وصل شد و آن را تحت کنترل گرفت و از امکانات آن استفاده کرد .در حالت عادی، سرویس RDPبا استفاده از پورت tcp ۳۳۸۹ کار میکند. اگر firewall پورت ۳۳۸۹ را غیرفعال کند دیگر نمی توانید از Remote Desktopاستفاده کنید. ولی می توان شماره ی پورت RDP را با استفاده از فرمت به راحتی عوض کرد. نخستین نسخه از پورت RDPکه منتشر شد RDP ۴.۱ بودکه برای ویندوز NT ۴.۰ رونمایی شد. و آخرین نسخه هم RDP ۷.۰ می باشد این نسخه برای ویندوز سرور ۲۰۰۸ و ویندوز ۷ است.
امکانات ارتباطی، عملکردی و امنیتی در هر نسخه نسبت به نسخه قبلی تغییرات قابل توجه ای داشته است. قابلیت Remote Desktopاین دسترسی را به ما میدهد که مشترکانبه تمامی برنامه ها، منابع سیستم عامل کامپیوتر خود، از راه دور دسترسی داشته باشد. باید به این نکته توجه داشت که خصوصیته Remote Desktop در نسخهHome Edition قابل دسترسی نیست و اگر این نسخه را مورد استفاده قرار میدهید باید آن را به نسخهPro ارتقا دهید.
رمز گذاری ۱۲۸ بیتی بر مبنای الگوی رمزنگاریRC۴ به دلیل تهدید man-in-the-middle در خیلی از گزینه ها، ترافیک می تواند در میان مسیر رمز را باز کند. تهدید man-in-the-middleبه گونه ای است که در آن حمله کننده توانایی read, insert و modify بین دو فرد ارتباط دارد. حمله کننده باید توانایی دیدن و جلوگیری کردن از پیام هایی که بین ۲ قربانی میرود و می اید را داشته باشد .
پشتیبان از TLS به همراهSSL که محدودیت های رمزنگاری شده ای میباشد که ارتباطات ایمن را از طریق نت برای مواردی تامین میکند.
قابلیت صدا به کاربران این دسترسی را میدهد که یک فایل صوتی را در سیستمRemote اجرا کنند و صدای آن را در کامپیوتر Local خودشان داشته باشند.
File System Redirectionبه مشترکان این دسترسی را میدهد که از فایلهای Local خود روی کامپیوتر Remote با استفاده از یک Terminal Session استفاده نماید.
Port Redirectionبهبرنامهاجازهمیدهدتاازراه Terminal Session بهپورتهای Serial و parallel کامپیوتر Local ،دسترسیمستقیمداشتهباشند.
Clip boar کهمی شودبینکامپیوتر Local و Remote بهنوع Share استفادهشود.
بعد از گرفتن قابلیت به سیستم عامل، حتی به صورتی که اپلیکیشن های به مخصوص ضد باج افزار نیز بر روی کامپیوتر نصب باشد، باز هم با توجه به داشتن دسترسی مدیریتی، هکرها دسترسی به حذف هرگونه محصول امنیتی را خواهند داشت، و بعد از آن به سادگی باج افزار خود را پخش و عمل به کدگذاری همه یفایل ها خواهند کرد.
متاسفانه باید بگوییم که به دلیل داشتن قابلیت مدیریتی هیچ یک از اپلیکیشن های امنیتی عمل به مقاومت در برابر آنها نخواهد کرد؛ چون همه ی فعالیت های آنهابر پایه ی قابلیت های مدیریت سیستم و به صورت کاملا قانونی انجام می شود. در نظر بگیرید که نرم افزار ها، اپلیکیشن ها و برنامه های ترمینال سرور مثل سیتریکس، وی ام ویر هورایزن و… هم در صورتی که کانفیگ نادرست، میتوانند این دسترسی را برای هکرها فراهم کنند.
برای جلوگیری از هک شدن و هکر ها چه راه حل هایی وجود دارد؟
وقتی که نیاز به استفاده از کنترل دسکتاپ وجود نداشته باشد، از خاموش بودن پورت آن روی فایروال و خاموش بودن سرور مربوط به آن اطمینان خاطر خوش را حاصل کنید.
رمز عبور انتخابی شما برای این کامپیوتر ها حتما باید پیچیده و غیرقابل گمان باشد زیرا باید از انتخاب رمزهای عبور ساده و مشتقات آن بر روی سرویس جلوگیری کنید.
بر روی لبه های شبکه از فایروال های اطمینان حاصل کنید و با عملکرد مشخص کردن و جلوگیری از نفوذIPS/IDS ها را مورد استفاده خود قرار دهید.
در صورتی که وجود عملکرد جلوگیری کردن IP روی فایروال سخت افزاری، تنها کنترل دسکتاپ را حتما برای IP های مشخص خود و مورد اعتماد خود از بیرون باز کنید. در صورتی که قابلیت، پورت RDP از قبل اعمال شده را از ۳۳۸۹ به پورت مخصوص دیگری تغییر دهید.
از به روز بودن سیستم عاملی که کنترل روی آن فعال شده است، اطمینان حاصل پیدا کنید.
عوض کردن مرتب رمزهای عبور را حتما جدی بگیرید.
ایجاد پالیسی رمز گذاری شده کامپیوتر بعد از تعداد معینی ورود غیر قابل موفق را امتحان و پیاده سازی کنید.
تا حدی که امکان، بررسی کنید که کلیه ی امنیت شبکه توسط فرد مورد نظر و مورد اعتماد و به غیر از مدیر شبکه انجام شود.
امروزه استفاده از شبکهحتی در بیزینس های کوچک هم مورد استفاده قرار میگیرد و فراگیر شده است. در این حالت شبکه های داخلی و اینتعداد از کامپیوتر ها که به شبکه متصل هستندبرای ارتباط با یکدیگر نیاز ی به default gateway ندارند و می توانند از طریق برودکست همدیگر را پیدا کنند. اما default gateway زمانی به کار خواهد آمد که نیاز باشد تا یک شبکه با شبکه های دیگر ارتباط داشته و با IP خارج از شبکه لوکال خود تبادل دیتا داشته باشد.
در واقع default gateway نقش یک روتر را بازی می کند که کامپیوتر های با ای پی متفاوت از شبکه های مختلف را به همدیگر ارتباط دهد. دیوایس های مختلف از شبکههایمتفاوت اطلاعات خود را به این قسمت ارسال می کنند و پس از تبدیل به سیگنالمورد نظر به همدیگر وصل می شوند. در این بین این دروازه دیتاهای مورد نظر را هم به سیگنال قابل انتقال تبدیل کرده و هم وظیفه انتقال آنها را نیز به عهده خواهد گرفت. و از نظر تعریف سخت افزاری هم default gateway رابط بین کارت شبکه کامپیوتر هااز دو شبکه جدا می باشد.
نحوهکارdefault gatewayچگونهاست؟
این دروازهبه عنوان مسیر پیش فرض برای تمام شبکه ها تعریف شده و مورد استفاده قرار می گیرد. مگر اینکه شبکه ای به علت موارد خاص مانند: موارد امنیتی، یا درخواست ارتباط با یک شبکه هدف خاص روتر خاص و مخصوص خود را تعریف کرده باشد که در این صورت آن شبکه فقط از آن مسیر تعریف شده با شبکه مورد نظر ارتباط خواهد داشت. یکی از بیشترین و پرکاربردترین موارد استفاده از default gateway زمانی است که یک دیوایس می خواهد به پیجی وصل شود و از آن استفاده کند.
اهمیتdefault gateway دررفعمشکلشبکه
برای گروه پشتیبانی یک شرکت دانستنای پی این مسیر بسیار مهم است تا بتواند برخی مشکلات شبکه را که در این راستا پیش می آید را مرتفع سازد در این بخش به یک سری استفاده هایی که از این آی پی میشود اشاره خواهیم کرد:
با استفاده از این مورد می توان شبکه را عیب یابی کرده و مشکلات آن را رفع کنیم.
می توان به روتر مورد نظر خود که در این شبکه استفاده می شود توسط برنامه های خاص شبکه ای دسترسی داشته باشیم.
نحوه پیدا کردن آی پیdefault gateway یک شبکه یا مودم
دو روش برای رسیدن به هدف وجود دارد که در این بخش به هر دو مورد اشاره اجمالی خواهیم کرد:
روش اول: در این روش از مسیر Control Panel به Network and Sharing Center باید برویم وگزینه Change adapter options یا Change adapter settings را انتخاب کنیم پس از باز شدن پنجره مورد نظر شبکه ای که میخواهید آی پی default gateway آن را پیدا کنید انتخاب کرده و بر روی آن کلیک کنید و سپس بعد از اینکه پنجره باز شد گزینه Details را انتخاب کنید و بعد از باز شدن منو مورد نظر از قسمت IPv4 می توانید IP این دروازه را مشاهده کنید.
روش دوم: در این روش از منو استارت یا سرچ ویندوز منو Command Prompt را فعال کرده و سپس دستور ipconfig را اجرا نمایید. سپس در منو باز شده شماره ای پی defaultgatewayبرای شما به نمایش در خواهد آمد.
کاربردهایdefault gateway چهمیباشد
آشنایی با این مورد برای کاربران معمولی چندان ضروری نیست ولی افراد ی که وظیفه پشتیبانی و تعمیرات شبکه یک شرکت را بر عهده دارند در صورتی که از این موضوع بی اطلاع باشند به مشکل بر خواهند خورد. در این قسمت به مهمترین استفاده هایی که از default gateway در امور کامپیوتر و شبکه می شود اشاره خواهیم کرد:
کانفیگ مودم
یکی از پرکاربردترین موارد این مورد می باشد. شرکت هایی که فروشنده اینترنت خانگی و همراه هستند از این مورد استفاده میکنند. و معمولا افراد عادی هیچ آشنایی با این مورد نداشته و برای کانفیگ مودم خود نیاز دارند کهفردی از این شرکت ها این مورد را انجام دهد.
برای اتصال شبکه خود با یک شبکه اختصاصی و هدف
در صورتی که کاربر از کارکرد و نحوه استفاده از این دروازه ومسیر آگاهینداشته باشد به هیچ عنوان نخواهد توانست تا یک مسیر اختصاصی برای شبکه خود تعریف کند.
امکان تعمیر و رفع اشکال نرم افزاری و شبکه از راه دور
در بسیاری از مواقع می توان بدونحضور فیزیکی و از راه دور با استفاده از نرم افزار های خاص و همین دروازه و مسیر مشکلات شبکه را رفع کرد. البته باید قبلا آی پی default gateway مورد نظر داشته باشید. البته این روش برای شرکت ها و شبکه های دارای دیتا های با ارزش و سطوح امنیتی به هیچ وجه توصیه نمی شود.
استفاده هکر ها و ضد هکر ها
یکی از راه هایی که معمولا هکر ها می توانند به شبکه ها نفوذ کنند از این راه می باشد. همچنین در صورت آشنایی از این مورد می توان نحوه نفوذ و آی پی نفوذ کننده را نیز ردیابی کرد.
در صورت آشنایی کاربر و شرکت استفاده کننده از default gateway برای امنیت شبکه خود بسیار می تواند مفید باشد. برنامه نویسان با اطلاع از نقاط ضعف و مورد نفوذ این دروازه با نوشتن برنامه می توانند امنیت شبکه را ارتقاء بخشند.
به عنوان یک مدیر شبکه یا کسی که با ساختارهای شبکه آشنایی دارد ، قطعا تا کنون با مبحثی به نام Zone در ساختار DNS برخورد کرده اید. هر چند که به دلیل اینکه در بسیاری از موارد تنظیمات مربوط به Zone ها در DNS بصورت خودکار توسط فرآیند DCPROMO در اکتیودایرکتوری انجام می شود اما به هر حال بد نیست که در خصوص ماهیت اصلی Zone و چیستی آن صحبت کنیم . در این مقاله قصد داریم شما را با مفاهیم تئوری و مفهومی Zone و انواع آن در سیستم عامل های سرور شرکت مایکروسافت آشنا کنیم. ابتدا به بررسی مفهوم Zone می پردازیم و با این سئوال شروع می کنیم که Zone چیست ؟
بد نیست قبل از اینکه به مفهوم فنی Zone بپردازیم واژه Zone را از لحاظ لغوی بررسی کنیم . از لحاظ مفهوم لغوی Zone در فارسی به معنی منطقه ، محدوده ، قلمرو و بخش می باشد. در ساختار DNS نیز Zone به معنی یک بخش مشخص ، یک فضای مدیریت شده ، یک فضای اجرایی در داخل ساختار DNS می باشد که منحصر به یک ساختار نامگذاری مشخص شده است.برای اینکه درک بهتری از مفهوم Zone داشته باشید همان مثال همیشگی را در خصوص DNS به خاطر بیاورید ، DNS را با یک دفترچه تلفن مقایسه کنید .
این دفترچه تلفن دارای ترتیبی است که بر اساس حروف الفبا مرتب شده اند و شماره تلفن ها نیز بر اساس همان ها مرتب شده اند ، شما قطعا می دانید که کسی که دارای نام خانوادگی نصیری است در قسمت حروف الفای نون قرار دارد نه در جای دیگر ، همین مثال را در خصوص Zone ها نیز بکار می بریم . تمامی زیر مجموعه های نام دامنه ای که با آدرس tosinso.com هستند در داخل یک Zone به همان اسم نگهداری می شوند ، برای مثال آدرس IP یا رکورد مربوط به نام دامنه edu.tosinso.com قطعا در Zone مربوط به tosinso.com قرار دارد نه در جای دیگر.
فراموش نکنیم که ساختار Zone ها از همان ساختار سلسله مراتبی DNS پیروی می کند. در هر Zone آدرس های IP و یا نام دامنه ها یا نام Host های مورد نظر برای جستجو همانند شماره تلفن های موجود در دفترچه تلفن وجود دارد.که در اینجا به هر یک از این موجودیت ها به اختصار رکورد گفته می شود. بصورت کلی دو نوع Zone به نامهای Reverse Lookup Zone و Forward Lookup Zone وجود دارد که اینها طبقه بندی کلی مجموعه Zone ها می باشد ، در Forward Lookup Zone نام دامنه خواسته شده به آدرس IP و در Reverse Lookup Zone آدرس IP مقصد به نام دامنه مرتبط می شوند. فارق از اینکه Zone ما از کدامیک از این دو نوع است ، هر یک از این دو نوع Zone کلی به انواع دیگری طبقه بندی می شوند که به شرح زیر می باشد :
Primary zone
Secondary zone
Stub zone
primary zone : وقتی برای اولین بار در DNS یک zone می سازیم باید از نوع primary باشد . این zone ،هم نوشتنی و هم خواندنی است.این zone منبع اصلی اطلاعات است و کپی های اصلی از اطلاعات zone را در یک local file یا در ADDS ذخیره می کند ،وقتی zone در یک فایل ذخیره می شود،به صورت پیشفرض این فایل zone_name.dns نامیده می شود و در پوشه ی %windir%\System32\Dns ،روی سرور قرار می گیرد.تمامی zone ها باید نام داشته باشند،یعنی بر اساس name.name باشند.برای مثال edu.tosinso.com یک نام دامنه است.
secondary zone: این zone هم مانند primary zone است با این تفاوت که DNS سرور Backup است و وقتی ما یک DNS سرور primary داریم قطعا وجود نسخه ی پشتیبان برای آن جز ضروریات است، secondary zone فقط ( Read only ) خواندنی است. هرچیزی که در primary zone ساخته شود در secondary zone هم ساخته خواهد شد که به این فرآیند zone transferring می گویند.secondary zone یک کپی از primary zone است و روی ADDS نمی تواند ذخیره شود و به دلیل اینکه secondary zone ها از نوع استاندارد هستند پایگاه داده آنها در پوشه ی DNS در system32 ذخیره می شود.این زون درخواستها را به primary zone ارجاع می دهد.
Stub zone : این Zone در واقع یک کپی از یک Primary Zone است که صرفا حاوی رکوردهای ضروری برای شناسایی Zone ای است که حاوی کلیه کوردهای Authoritative برای آن Zone است . Stub Zone تا حدود زیادی با Secondary Zone شباهت دارد با این تفاوت که در Secondary Zone کلیه رکوردهایی که در Primary Zone قرار دارد وجود دارد اما در Stub Zone صرفا رکوردهای ضروری برای شناسایی سرورهایی که رکوردهای مورد نظر را در درون خود نگه می دارد. معمولا زمانی از Stub Zone استفاده می کنیم که می خواهیم چندین DNS Namespace متفاوت را برای کاربران خود سرویس دهی کنیم . شما نمی توانید تغییراتی در Stub Zone ایجاد کنید مگر اینکه در Primary Zone ای که از آن گرفته شده است تغییری ایجاد شود.رکورد هایی که در Stub Zone قرار می گیرند به شرح زیر می باشد :
رکوردهای SOA یا Start Of Authority Records
Host name یا A رکوردهای تمام سرورها
NS یا Name Server رکوردهای تمام Name Server های معتبر در زون ها که Glue record نام دارند
SRV(service) و MX و A رکوردهای های مربوط به host ها را ندارد.
پس همانطور که بدیهی است یک Secondary Zone بسیار بزرگتر از یک Stub Zone است. این حجم کوچک Stub Zone ها باعث میشود که ترافیک حاصل از Replication Zone در شبکه بسیار ناچیز باشد،چرا که رکوردهای NS به ندرت تغییر میکنند و در نتیجه نیاز به Replication در آنها زیاد احساس نمیشود.همچنین از آنجا که بیشتر DNS سرورها طوری طراحی میشوند که از ایجاد ترافیک حاصل از Zone Transfer به Secondary Zone جلوگیری شود، تنها SOA ,NS و A رکوردها در Stub Zone برای Name Server ها درخواست میشوند.
در نهایت یکی از مورادی که باعث برتری Stub Zone ها نسبت به Secondary Zone ها میشود این است که Stub Zone ها می توانند Active Directory Integrated باشند اما Secondary Zone ها نمیتوانند.از اینرو به راحتی می توان عمل Replication را بین Stub Zone و دومین کنترلرها انجام داد.توجه کنید که استفاده از Stub Zone در مواقعی که بیش از یک فارست داریم توصیه می شود.از Stub Zone ها به دلیل کاهش ترافیک Zone Transfer بین دو مجموعه ای که به وسیله WAN با یکدیگر ارتباط برقرار کرده اند استفاده میشود.
کاربردهای Stub zone
بروز نگه داشتن اطلاعات Zone ای که Delegate شده است : با بروز شدن اطلاعات stub zone اطلاعات مربوط به child domain ها نیز بروز می شود و همین امر باعث می شود که اطلاعات موجود در parent domain همیشه بروز نگه داشته بشود.
بهبود فرآیند Name Resolution : ساختار stub zone به DNS سرور این امکان را می دهد که بتواند فرآیند Recursion را با استفاده از لیست Name Server هایی که دارد و بدون مراجعه به اینترنت با سرعت بیشتری انجام دهد .
ساده سازی مدیریت DNS : شما با استفاده از ساختار Stub Zone می توانید اطلاعات موجود در خصوص DNS سرور های معتبر را بدون استفاده از ساختار Secondary Zone براحتی منتشر کنید. از جهتی با استفاده از قابلیت Delegation باعث ساده تر شدن فرآیند مدیریت در DNS می شوند.
دو لیست از سرورهای DNS که در مدیریت ،نگهداری و بارگذاری stub zone مشارکت دارند وجود دارند.
لیست ای از سرورهای اصلی (master servers )از آنDNS سروری که stub zone را بارگذاری و آپدیت میکند.که این master server ممکن است primary DNS serverیا secondary DNS server برای zone باشد.
لیستی ازDNS serverهای معتبر و شناخته شده برای zone .
بیگ دیتا به زبان ساده یعنی دیتای حجیم و پیچیده که با سرعت زیاد تولید میشود و تحلیل آن با روشهای سنتی سخت و یا غیرممکن است.
بیگ دیتا یعنی به دست آوردن اطلاعات کاربردی و قابل فهم و قابل پیاده سازی از اطلاعات خامی که به طور مجزا ساختار و معنی و مفهوم خاصی ندارند و قابل استفاده نیستند، بیگ دیتا نام دارد. بیگ دیتا یعنی تحلیل کلان داده. حال ببینیم کلان داده یا داده های حجیم چیست. کلان داده یعنی تمام دیتا و اطلاعاتی که در یک سازمان و شرکت وجود دارد و اصولا دارای سه ویژگی مهم است: حجم زیاد، سرعت تولید بالا، تنوع زیاد. با وجود این ویژگیها باید از راهکار و شیوههایی برای تحلیل استفاده کرد که هزینه مناسبی داشته باشد و از نتایج پردازش آن بتوان برای بهبود در زمینههای مختلف سازمانی مثل بینش و اتوماسیون و تصمیم گیری و مدیریت استفاده کرد.
در مدل ۳v بیگ دیتا، دیتاها دارای سه ویژگی حجم زیاد (volume)، سرعت تولید بالا (velocity)، تنوع زیاد (variety) هستند. چنین حجم از دیتا را نمیتوان با ابزارهای معمولی و ستنی پردازش و تحلیل کرد و باید در زمانی بهینه بتوان از این اطلاعاتِ بدون ساختار و ناقص، نتایجی به دست آورد و بتوان از این اطلاعات استفاده مفید برد.
در مدل ۵v کلان داده، علاوه بر سه ویژگی قبلی، دو ویژگی ارزش (Value) و صحت (Veracity) هم مورد توجه است و نشانگر آن است که ارزش دیتا و درستی دیتا مار را به تحلیل درستتر هدایت میکند وگرنه بدون ارزشمندی و درستی، به بیراهه خواهیم رفت.
تحلیل کلان داده ها در سیستم ها و ابزارهای سنتی مثل دیتابیس، نه تنها هزینه زیادی برای ذخیره لازم دارد بلکه زمان زیادی هم برای تحلیل لازم است که در عمل راهکاری ناکارآمد است. اما اگر دیتای خام جمعآوری شده، ورودیهای یادگیری ماشین و هوش مصنوعی باشند، با استفاده از الگوریتمهای پیچیده میتوان الگوهای تکرارشوندهای را از بین این دیتاها پیدا کرد و فقط لازم است این خروجی را تحلیل کنیم.
مزایای بیگ دیتا و تحلیل کلان داده
از مزایای بیگ دیتا و تحلیل کلان داده این است که:
جوابهای کاملتری دارید چون اطلاعات بیشتری دارید. و هر چه جوابهای کاملتری داشته باشید راحتتر میتوانید مشکلات را حل کنید.
افزایش فروش: ۴۴ درصد از کسبوکارهای کوچک که از ابزارهای تحلیل داده استفاده میکنند، افزایش فروش را گزارش کردهاند.
مدیریت سادهتر داده: شرکتهایی که از تحلیل داده استفاده میکنند، تصمیمهای تجاری خود را ۵ برابر سریعتر انجام میدهند.
مهمترین قسمت تحلیل داده، گرفتن داده، تشخیص داده درست، تروتمیز کردن داده (Data Cleaning) و قرار دادن آن در جای مناسب است. Data Cleaning در واقع به پروسه تشخیص و تصحیح و حتی حذف قسمتهای خراب یا غیردقیق از رکوردها، جدولها و دیتابیس است تا بخشهای ناصحیح، ناکارآمد و نامرتبط با داده حذف شود. در نتیجه دادههای Dirty، جایگزین، اصلاح و یا حذف میشوند و در نهایت چنین دادههایی را میتوان تحلیل کرد. Dirty Data یعنی دادههای ثبت شده در دیتابیس که دارای خطا هستند که دلایل متفاوتی دارد مثلا دادههای منقضی شده یا ناقص، فیلدهای نامناسب و وجود Duplicate در دادههای ثبت شده. متخصصین علم داده، ۶۰ درصد وقت خود را صرف تمیزکاری و برچسبزنی به دادهها (Cleaning and Labeling Data) میکنند.
تاریخچه کلان داده
مفهوم بیگ دیتا مفهوم جدیدی است اما اولین مجموعه دیتاهای بزرگ در دهه ۶۰ و ۷۰ میلادی مطرح بودند. درست زمانی که دیتا تازه داشت کارش را در دنیا شروع میکرد و اولین دیتاسنترها و دیتابیسها در حال شکلگیری بود.
مفهوم بیگ دیتا در اوایل قرن ۲۱ و معرفی مدل ۳V مطرح شد. حدود سال ۲۰۰۵ بود حجم زیادی دیتا توسط مردم در فیس بوک و یوتیوب و دیگر سرویسها در حال تولید بود. Hadoop (برنامه متن بازی که با هدف ذخیره و تحلیل بیگ دیتا به وجود آمد) هم در همین سال توسعه یافت و NoSQL در همین زمان محبوبیت پیدا کرد.
توسعه برنامههای متن بازی مانند Apache Hadoop و Apache Spark (ارایه شده در سال ۲۰۱۴)، از جمله ابزارهای تحلیل بیگ دیتا هستند که نقطه عطفی در رشد بیگ دیتا بودند و باعث شدند کار با بیگ دیتا راحتتر و ذخیره آن کمهزینهتر شود. حالا دیگر فقط انسانها نبودند که روی تحلیل دیتاهایی که هر روز بیشتر و بیشتر تولید میشدند کار میکردند. هم اکنون استفاده ترکیبی از این دو ابزار تحلیل بیگ دیتا بهترین راهکار است .
ظهور اینترنت اشیا که باعث اتصال اشیای بیشتر به هم از طریق اینترنت شد حجم دیتای تولیدی را بیشتر افزایش داد. و در این حین، پردازش رایانش ابری – Cloud Computing وارد میدان شد و قابلیتهای بیگ دیتا را توسعه داد.
Predictive Analytics چیست؟
Predictive Analytics در مبحث کلان دادهها، صنعت بزرگی است و شرکتها از اطلاعات حاصل از آن استفاده میکنند که خود چند مرحله دارد:
جمعآوری دادها: جمعآوری و آمادهسازی دادهها از منابع گوناگون برای تحلیل
تحلیل دادهها: فرایند بررسی، شفافسازی و مدلسازی دادهها
آمار: استفاده از تکنیکها و مدلهای آماری برای تایید فرضیهها با هدف کشف اطلاعات مفید و نتیجهگیری
مدلهای قابل پیشبینی: آمادهسازی مدلهای قابل پیشبینی برای پیشبینی رفتارهای آینده مشتری
اجرای مدلهای قابل پیشبینی: گزینهای برای تصمیمگیری روزانه درباره نتیجهگیری، تهیه گزارشها و نتایج و خودکارسازی تصمیمها براساس مدلسازی آماده میکند.
از طرفی، Predictive Analytics شامل فنون اجرایی تحلیل آماری، پرسشهای تحلیلی و الگوریتمهای خودکار است و قابلیتهای آنالیز و تحلیل پیشرفته را که شامل موارد زیر است، در کنار هم جمع میکند:
ad-hoc statistical analysis
predictive modeling
data mining
text analytics
optimization
real-time scoring
Machine Learning Predictive Analytics
کاربردهای بیگ دیتا
همان طور که گفتیم تحلیل کلان داده و بیگ دیتا عمر زیادی ندارد و دوران جوانی خود را سپری میکند اما توانسته در جای جای زندگی ما تاثیرات مهمی بگذارد. از جمله کاربردهای بیگ دیتا در موارد زیر:
سلامت و پزشکی
رسانه و تلویزیون
صنعت بیمه
برنامه های مسیریابی مانند Waze و Google Maps
رفتارشناسی در شبکه های اجتماعی
بانکداری
پیش بینی وضعیت هوا
بورس و اقتصاد
بازاریابی و دیجیتال مارکتینگ
سیستم های توصیه کنند – Recommendation Engins
مدیریت ارتباط با مشتری – CRM
آموزش
شناسایی مجرمان و تبهکاران و تامین امنیت
کشاورزی
راهنمایی و رانندگی
شبکه و ارتباطات
کاربرد بیگ دیتا در بازاریابی
کاربرد بیگ دیتا در بازاریابی و دیجیتال مارکتینگ به این صورت است که با شناخت مشتریان و بررسی نظر شخصی آنها پرسونای خود را تعریف میکنیم و بدین ترتیب متناسب با پرسونای برند خود کمپینهای تبلیغاتی را طراحی و اجرا میکنیم در نهایت صرفهجویی در هزینه ودرآمد بیشتر نصیب ما خواهد شد.
در طراحی پرسونا استفاده از بیگ دیتا میتواند مواردی مانند نقاط قوت و نقاط ضعف، نیاز به ارتقای خدمات و محصولات، معرفی فرصت تجاری جدید را به شما نشان دهد. حال اگر با توجه به دیتایی که از رفتار مشتری دارید مثلا روی چه مطلبی کلیک کرده یا برایش جذاب است یا کدامیک به کارش نمیآید، کجا زندگی میکند، چه سابقه خریدی دارد و هزاران نکته دیگر میتوانید دقیقا آنچه مورد نیاز اوست را برایش تبلیغ کنید و فرد دقیقا همان زمانی که به محصول و خدمات شما نیاز دارد این تبلیغ را دریافت میکند و احتمال تبدیل شدن او به مشتری و سپس مشتری وفادار بالا خواهد رفت.
در کمپینهای تبلیغاتی توجه به سه نکته مهم است: چه کسی، چه زمانی و چه چیزی. با تحلیل بیگ دیتا میتوانید چندین تبلیغ را برای افراد مختلف و در زمانهای مختلف و با محتواهای مختلف آماده کنید. در این صورت دایره هدف شما گسترش مییابد و درصد موفقیت در تبلیغات بسیار بالا میرود. با استفاده از تحلیل کلان داده در بازاریابی نه تنها هزینه هدفمندی انجام میدهید بلکه نرخ تبدیل به مشتری و در پی آن افزایش درآمد حاصل میشود.
بیگ دیتا در بانکداری
از جمله مزایای کاربرد بیگ دیتا در بانداری به شرح زیر است:
مدیریت ریسک برای کاهش میزان کلاهبرداری و خطا در زمینه تروریسم و فعالیتها جامعه ستیزی
مبارزه با پول شویی
دارای الگوریتم تشخیص کلاهبرداری است و به مشتریانی که اعتبار کمی دارند تسهیلات تعلق نمیگیرد.
ابزارهای هوش تجاری قابلیت تشخیص ریسک های بالقوه را دارد.
امکان آنالیز ترندهای بازار
امکان حل مشکلات به صورت بلادرنگ در شعبات بانک ها
مانیتورینگ دقیق شعبه با نظارت بر کارایی کارمندان و نیازهای مشتریان و …
افزایش کارایی کلی سیستم
ارایه راهکارهای شخصی سازی شده برای مشتریان
بیگ دیتا در بورس
کاربرد بیگ دیتا در بورس از این جهت حایز اهمیت است که با بررسی و تحلیل رفتار بازار میتواند آینده بازار را پیش بینی کند و سود زیادی برای سرمایه گذاران به ارمغان آورد. همچنین امکان تشخیص تقلب و شفافیت در معاملات بورس را به همراه دارد و بدین ترتیب رضایت مشتریان و مدیریت ریسک حاصل میشود. ابزارهای زیادی در زمینه تحلیل بازار بورس در دسترس شما قرار دارد که با آموختن طریقه کار با آن میتوانید معاملات مطمئنتری انجام دهید.
بیگ دیتا در ایران
جای پای تحلیل کلان داده در تمام عرصههای زندگی در ایران خالی است. با وجود کم و کسریهای زیرساختی و نبود متخصصین به میزان کافی ایران را باچالش استفاده از بیگ دیتا مواجه کرده است. جمعآوری اطلاعات از منابع مختلف و تمیزکاری دیتا و دیگر مراحل تحلیل بیگ دیتا، نیازمند پیش زمینههایی چون قانونگذاری، حمایت از داده های شخصی کاربران، رعایت حریم خصوصی، آموزش متخصصین، تامین سخت افزارها و نرم افزارهای موردنیاز، توسعه پلتفرم های بیگ دیتا است. لذا با وجود فعالیتهای برخی شرکت های ایرانی در زمینه بیگ دیتا باز هم آن طور که باید و شاید از این تکنولوژی استفاده نمیشود.
کاربرد بیگ دیتا در کسبوکارهای کوچک و متوسط
وقتی صحبت از بیگ دیتا به میان میآید، کسبوکارهای کوچک و متوسط، ممکن است تصور کنند که این حوزه به درد آنها نمیخورد چرا که طبق تعریف بیگ دیتا، بیگ دیتا به حجم زیادی از داده اطلاق میشود که درون دیتابیسهای بزرگی جای دارند که SMBها هرگز چنین دیتابیسی را تجربه نخواهند کرد. زیرا اگر دادهها زیاد هم باشد اما کسبو کار، بزرگ نیست! پس آیا این تکنولوژی مناسب چنین کسبو کارهایی نیست؟
نتیجهای که بیگ دیتا در تحلیلها عاید ما میکند پروسه یافتن ترندها و الگوها است. اما این نتیجه چه نقشی در SMBها میتواند بازی کند؟ آنچه مسلم است این است که دادهها برای اینکه بینش تجاری ما مشخص کنند، نیازی نیست بزرگ باشند! راههای متفاوتی برای SMBها وجود دارد تا دادهها را جمعآوری، ذخیره و استفاده کنند.
مثلا بینش تجاری ما میتواند شامل عملیات درون سازمانی، رفتار مشتریان، اثرگذاری کمپینها و فرصتهای تجاری بازار باشد. شناسایی مشتریان، علایق مشتریان و کمبودهای بازار هم میتواند مورد توجه باشد. اما داشتن داده به معنای این که بتوانیم از آنها استفاده کنیم نیست. پس نوع دادههایی که ذخیره میکنیم، نیز مهم است.
مزایای تحلیل دادهها برای SMBها بسیار مهم است چرا که باعث تصمیمگیریهای دقیقتر میشود و امکان بررسی اثرات این تصمیمها وجود دارد پس دادهها برای اینکه بر کسبوکار شما تاثیرگذار باشند، نیازی ندارند بیگ و بزرگ باشند.
یکی از ابزارهای ساده و بدون کدنویسی در زمینه کسبو کارهای کوچک ابزار رپیدماینر – RapidMiner و IBM SPSS Modeler و Knime و Orange و SAS است.این ابزارهای با آنالیز مشتری و پیش بینی کالا و خدمات مورد نیاز او و پیشنهاد قیمت مناسب شما را در کسب درآمد بیشتر یاری میکنند.
سایتهایی که روزانه با آنها سروکار داریم دارای نامی منحصر بفرد هستند که به آن دامنه میگویند. دامنه توسط سروی به نام DNS به آدرس IP که در محیط اینترنت قابل شناسایی است تبدیل میشود. برای آشنایی بیشتر با DNS، تنظیمات و خطاهای آن با فالنیک همراه شوید.
هنگام راه اندازی وب سایت باید نام منحصر بفردی به آن اختصاص دهید. به آن نام، دامنه یا Domain میگویند. این نام توسط DNS به IP تبدیل میشود تا در فضای وب قابل شناسایی است. DNS مخفف عبارت Domain Name System است. برای شناسایی دامنه که به سایت شما اشاره کند باید نام آن در DNS Server اضافه شود. DNS SERVER پایگاه دادهای بزرگ است که شامل مجموعهای از دامین ها و IP های مرتبط است. مانند دامین google.com که به آدرس IP ۶۴.۲۳۳.۱۹۱.۲۵۵ ارجاع داده میشود.
DNS سرورهای زیادی در شرکتهای هاستینگ و سازمانها دارد تمام این سرورها با هم در ارتباط هستند. اگر شرکت هاستینگ نام دامنهای را در DNS خود ذخیره کند. به تدریج در زمانی حدود ۴۸ ساعت با تمام DNS های دیگر در سراسر جهان هماهنگ میشود.
DNSها نقش اساسی در اتصال دامنه به هاست دارند و استفاده از اینترنت را آسانتر کردهاند فکر کنید برای دسترسی به سایتها نیاز بود آدرس آنها را حفظ کنید کار سخت و دشواری بود. مزیت مهم دیگر DNS ثبات آن است که تمام اطلاعات مربوط به آدرسهای IP، دامینها و تغییرات آنها را ذخیره میکند و دسترسی به سایتهای مختلف برای کاربران راحت میشود.
تمام سایتهایی که آنها را جستجو میکنید یک آدرس ip دارند. این آدرسها بطور کامل در dns Cache ذخیره میشوند و در بازدید بعدی از همان سایتها دیگر نیاز به DNS Resolver مجدد نیست.
اما هنگامی که ادمین سایتی، نیم سرور (DNS) خود را تغییر دهد، خطاهایی مانند عدم بارگذاری سایت یا بارگذاری سایت طبق اطلاعات قبل از تغییر DNS رخ میدهد. در سیستم عاملهای ویندوز نسخه ۷ و ۸ و ۱۰ مرورگر از اطلاعات ذخیره شده قبلی در DNS استفاده میکند.
برای رفع این خطا باید DNS Cache حذف یا اصطلاحا flush شود. برای اینکار مراحل زیر را انجام دهید.
۱- وارد محیط cmd ویندوز شوید. (Win+R)
۲- عبارت ipconfig/flushdns را تایپ و Enter بزنید.
۳- Cache dns حذف و پیغام Successfully flushed the DNS Resolver Cache نمایش داده میشود.
آموزش ریست dns
در شرایط عادی پس از وارد کردن آدرس سایت در مرورگر و جستجوی آن به سایت مورد نظر منتقل میشوید. ولی ممکن است گاهی پس از جستجوی آدرس سایت با خطای ” DNS PROBE FINISHED NXDOMAIN” مواجه شوید. برای رفع این خطا باید DNS سیستم را ریست کنید.
برای reset کردن dns در ویندوز میتوانید از محیط cmd استفاده کنید. برای اینکار مراحل زیر را انجام دهید:
۱- به محیط cmd وارد شوید (Win+R)
۲- عبارت ipconfig /flushdns را تایپ و سپس Enter کنید.
۳- عبارت ipconfig/registerdns را تایپ و Enter کنید.
۴- عبارت ipconfig/release را تایپ و Enter کنید
۵- عبارت ipconfig/renew را تایپ و Enter کنید.
۶- عبارت netsh winsock reset را تایپ و Enter بزنید.
هنگام استفاده از اینترنت با کندی روبرو میشوید یا مشکلاتی مثل قطع و وصلی ارتباط با شبکه پیش میآید. ممکن است مشکل از کارت شبکه سیستم و تنظیمات نادرست آن باشد. راه حل رفع این مشکلات ریست کردن کارت شبکه است.
برای نمایش تنظیمات کارت شبکه یا تغییر آن میتوانید از خط فرمان Netsh که مخفف Network Shell است در محیط CMD استفاده کنید.
– وارد محیط cmd شوید.
– عبارت ” netsh int ip reset” را تایپ کنید و Enter کنید.(این دستور تنظیمات مربوط به IPV4 یا IP هایی که دستی تنظیم شده اند را حذف میکند.)
– عبارت ” netsh int ipv6 reset” را تایپ و Enter کنید.( این دستور تنظیمات مربوط به IPV6 را حذف میکند.)
برای اعمال تنظیماتی که انجام دادید سیستم را reset کنید.
تنظیمات اولیه dns
برای تغییر تنظیمات فعلی DNS ازطریق تنظیمات شبکه در Control Panel به صورت زیر عمل کنید.
۱- از منو استارت Control Panel را باز کنید.
۲- روی Network and Sharing Center کلیک کنید.
۳- گزینه Change adapter settings را انتخاب کنید.
۴- روی آیکن شبکه متصل به اینترنت کلیک کنید و گزینه Properties را انتخاب کنید.
۵- گزینه Internet Protocol Version 4(TCP/IP V4) را انتخاب کنید.
۶- دکمه Properties را بزنید.
۷- روی گزینه Use the following DNS server addresses کلیک کنید.
۸- آدرسهای preferred و alternate را برای DNS تایپ کنید.
۹- اگر از Google Public DNS، Open DNS یا Cloud Fare استفاده میکنید، میتوانید تنظیمات زیر را اعمال کنید:
Google Public DNS : ۸.۸.۸.۸ , ۸.۸.۴.۴
OpenDNS: ۲۰۸.۶۷.۲۲۲.۲۲۲ , ۲۰۸.۶۷.۲۲۰.۲۲۰
CloudFlare: ۱.۱.۱.۱ , ۱.۰.۰.۱
۱۰- روی دکمه OK و سپس Close کلیک کنید.
مراحل به پایان رسیده است. برای اعمال تغییرات سیستم را ریست کنید. سیستم با تنظیمات DNS که انجام دادید راه اندازی میشود.
چگونه تمامی کسبوکارها از بزرگ گرفته تا کوچک، چه بخش IT داشته باشند چه نداشته باشند، میتوانند از امنیت سایبری بهرهمند شوند. امنیت سایبری یعنی حفاظت از سیستمهای اطلاعاتی از سرقت یا از بین رفتن، که در صورت وقوع باعث وقفه در ارایه خدمات میشود. با فالنیک همراه باشید تا به تعریف فضای سایبری و انواع تهدیدات سایبری و امنیت سایبری یپردازیم.
فضای سایبری به دنیایی مجازی گفته میشود که با متصل کردن کامپیوترها، دستگاههای با قابلیت اتصال به اینترنت، سرورها، روترها و سایر مولفههایی که زیرساخت اینترنت را شکل میدهند پدید میآید. فضای مجازی، برخلاف خود اینترنت، موجودیتی است که توسط این پیوندها پدید میآید.
اصطلاح فضای مجازی اولین بار توسط ویلیام گیبسون نویسنده کانادایی آمریکایی در سال ۱۹۸۲ در داستانی که در مجله Omni منتشر شد و سپس در کتاب Neuromancer به شکل گسترده از آن استفاده شد رواج پیدا کرد. گیبسون در این رمان علمی تخیلی، فضای مجازی را برآیند شکلگیری شبکهای رایانهای در جهانی مملو از موجودات هوشمند مصنوعی تعبیر کرد.
در فرهنگ رایج دهه ۹۰ میلادی، فضای مجازی به عنوان یک اصطلاح کلی برای توصیف مکانی در نظر گرفته شد که مردم هنگام استفاده از اینترنت برای تعامل با یکدیگر از آن استفاده میکردند. این مکان محلی است که بازیهای آنلاین در آن انجام میشود، اتاقهای گفتوگو، پیامرسانهای فوری و شبکههای اجتماعی در آن قرار دارند. اگر این نظریه را ملاک قرار دهیم، وبسایتهای ارائهدهنده بازیهای آنلاین، اتاقهای گفتوگو و شبکههای اجتماعی منشا شکلگیری این مفهوم هستند.
فضای مجازی با ظهور پدیدههای نوظهور دیگری مثل شبکههای اجتماعی و وبلاگها در اواخر قرن بیستویکم به مکانی مهم برای تبادل نظرهای عمومی، اجتماعی و سیاسی تبدیل شد. معمولا بلاگها توسط افرادی ساخته میشوند که عقاید شخصی خود را مینویسند و غالباً به معرفی وبسایتهایی میپردازند که به آنها علاقه دارند. با ظهور گسترده نرمافزارهای وبلاگسازی، حتی افرادی که با توسعه وب آشنا نیستند موفق شدند وبلاگهای خود را ایجاد کنند.
مولفههای فضای سایبری
فضای مجازی یک دامنه جهانی در یک محیط اطلاعاتی متشکل از شبکهها و زیرساختهای فناوری اطلاعات مثل اینترنت، شبکههای ارتباطی راه دور، سیستمهای رایانهای، پردازندهها، کنترلکنندهها و… است. فضای مجازی را میتوان در قالب سه لایه (فیزیکی، منطقی و اجتماعی) و متشکل از پنج مولفه (جغرافیایی، شبکه فیزیکی، شبکه منطقی، پرسونای سایبری و پرسونای کلی) توصیف کرد. توصیف هر یک از این مولفهها به شرح زیر است:
فیزیکی: لایه فیزیکی شامل مولفه جغرافیایی و شبکه فیزیکی است. مولفه جغرافیایی موقعیت فیزیکی عناصر شبکه را نشان میدهد. از منظر مولفه جغرافیایی جنبههای فیزیکی باید با یکدیگر در ارتباط باشند تا امکان تعامل با افرادی که در کشورها یا قارههای دیگر زندگی میکنند فراهم شود. مولفه شبکه فیزیکی، شامل تمامی سختافزارها و زیرساختهایی (سیمی، بیسیم و نوری) است که از شبکه و اتصالات فیزیکی (سیم، کابل، فرکانس رادیویی، روتر، سرور و رایانه) پشتیبانی میکند.
منطقی: لایه منطقی شامل مولفه شبکه منطقی است که ماهیت فنی دارد و شامل اتصالات منطقی بین گرههای شبکه است. به هر دستگاهی که به شبکه متصل باشند گره نام دارد مثل رایانه، دستیارهای شخصی دیجیتال، تلفنهای همراه یا سایر وسایل شبکه. در شبکه مبتنی بر پروتکل اینترنت (IP) یک گره هر دستگاهی است که یک آدرس آیپی دارد.
اجتماعی: لایه اجتماعی شامل جنبههای انسانی و شناختی است و شامل مولفه پرسونای (شخصیت) سایبری و پرسونای واقعی افراد است. مولفه پرسونای سایبری شامل اطلاعاتی است که برای شناسایی یا تعیین هویت یک فرد در شبکه استفاده میشود (آدرس ایمیل، آدرس آیپی رایانه، شماره تلفن همراه و سایر موارد). مولفه پرسونا به ماهیت واقعی افراد در شبکه اشاره دارد. یک فرد میتواند صاحب چند شخصیت سایبری باشد (به عنوان مثال حسابهای ایمیلی مختلف در رایانههای مختلف. پس یک شخص واقعی میتواند حسابهای کاربری مختلفی در فضای سایبری داشته باشد.
اصطلاحات فضای سایبری
فضای سایبری متشکل از میلیاردها اصطلاح کوچک و بزرگی است که هر یک تعاریف و معنای خاص خود را دارند. با اینحال برخی از آنها کاربرد گستردهای داشته و شناخته شدهتر هستند. از مهمترین اصطلاحات در این زمینه باید به اینترنت، آرپانت، زیرساخت ملی اطلاعات، W3، WWW، World Wide Web، فضای سایبری، شبکه اجتماعی، ابرفضا (Hyperspace)، بزرگراه اطلاعات، شبکه آنلاین، ستون فقرات اینترنت، آیکان، شبکه گسترده عریض مستندات فرامتن، سرور اطلاعات، وبلاگ، زبانهای توسعهدهنده وب، هوش مصنوعی، محیط سهبعدی شبیهسازی شده، واقعیت افزوده، واقعیت مجازی و…. اشاره کرد.
امنیت سایبری چیست؟
سازمانها در زمان انجام فعالیتهای تجاری، دادههای حساس را از طریق شبکهها و سایر دستگاهها منتقل میکنند و درست در همین نقطه است که امنیت سایبری با ارائه مجموعهای متشکل از راهحلهای سختافزاری و نرمافزاری به محافظت از این اطلاعات و سیستمهای پردازش یا ذخیره اطلاعات میپردازد.
با افزایش حجم و پیچیدگی حملات سایبری، شرکتها و سازمانها به ویژه آنهایی که وظیفه حفاظت از اطلاعات مربوط به امنیت ملی، بهداشتی یا سوابق مالی را بر عهده دارند باید اقدامات لازم برای محافظت از اطلاعات حساس را انجام دهند. سال گذشته میلادی بود که شرکتهای امنیتی هشدار دادند حملات سایبری و جاسوسی دیجیتال مهمترین تهدید برای امنیت کشورها هستند و حتا از اصطلاح تروریسم برای خطرناک بودن این تهدیدات استفاده کردند.
امنیت سایبری یعنی محافظت از سیستمها، شبکهها و برنامهها در برابر حملات دیجیتالی. دسترسی، تغییر و نابودی اطلاعات مهم، دریافت پول از کاربران و ایجاد وقفه در روال کسبوکارها از اهداف حملات سایبری است.
پیاده سازی امنیت سایبری به صورت موثر و درست، از چالشهای دنیای امروز است چون هم تعداد دستگاهها بیشتر شده و هم هکرها خلاقتر شدهاند.
امنیت سایبری، کامپیوترها، سرورها، موبایلها و سیستمهای الکترونیکی را از حملات شرورانه حفظ میکند و وظیفه آن در سه مورد زیر خلاصه میشود:
۱. حفاظت از دستگاههایی که افراد استفاده میکنند.
۲. حفاظت از اطلاعاتی که روی این دستگاهها قرار دارند.
۳. حفاظت از هویت افرادی که از این اطلاعات استفاده میکنند.
اهمیت امنیت سایبری
تهدیدات سایبری با سرعت زیادی رشد میکند و هر ساله تعداد رخنهها در حال افزایش است. ۷.۹ میلیارد ثبت رخنه تنها در نه ماه اول سال ۲۰۱۹ انجام شده که در مقایسه با همین مدت در سال ۲۰۱۸، بیش از دو برابر (۱۱۲%) شده است. بیشتر رخنهها در سرویسهای پزشکی و سرویسهای عمومی است. جرایم سایبری بیشتر به دنبال اطلاعات پزشکی و مالی است اما کسبوکارهایی که از شبکهها استفاده میکنند هم هدف قرار میگیرند تا به اطلاعات مشتری و شرکت دست یابند یا به مشتری حمله شود.
پیشبینی شده تا سال ۲۰۲۲ حدود ۱۳۴ میلیارد دلار باید صرف امنیت سایبری شود. مسیول هدایت سازمانها برای پیاده سازی مناسب امنیت سایبری در برابر حملات سایبری در سراسر دنیا، دولتها هستند. با انجام چند کار ساده اما به موقع میتواند جلوی ضررهای بیشتر را گرفت. امنیت سایبری با همین هدف باید در صدر برنامههایمان قرار گیرد. چه کسبوکار بزرگ داشته باشیم چه کاربر خانگی باشیم که اطلاعات شخصی مثل عکس و فیلم دارد.
در زمینه امنیت، گاهی بدون در نظر گرفتن پیامدهای منفی و طولانی مدت، تصمیمات نامناسبی میگیریم. افراد باهوش معمولا کارهای غیرعاقلانهای انجام میدهند. لیست بلندبالایی از کارهایی که باید انجام شود، برنامههای فشرده و بودجه کمی که در اختیار است، باعث میشود بدون در نظر گرفتن پیامدهای منفی و طولانی مدت آن، تصمیمات نامناسبی بگیریم. مثلا:
فردی در زمینه ارایه خدمات کاشت چمن فعالیت دارد. مشغله او زیاد است و باعث میشود او از دنداندردی که هفتههاست او را آزار میدهد، چشمپوشی کند. او میداند که باید به دندانپزشک مراجعه کند اما کی؟ عدم حضور در محل کار به معنی از دست دادن ساعات کاری باارزش است. تا این که یک شب این درد ناچیز باعث دردی در دندان آسیاب او شد و علیرغم میلش او را مجبور کرد به اورژانس مراجعه کرده و آن را جراحی کند. کاری که با یک مراجعه ساده و کم هزینه به دندانپزشکی قابل انجام بود، اکنون با هزینهای چندین برابر، از دست رفتن ساعات کاری بسیار و مشتریان منتظر به پایان رسید. مردی باهوش با تصمیمی غیرعاقلانه!
و یا کسی که کار و کسب موفقی در زمینه تحویل گل دارد. او همیشه صدایی از زیر ماشین خود میشنود اما زمانی برای بردن آن به مکانیکی ندارد. سرانجام هم در میانه راه و تحویل سفارش از کار افتاد و باعث شد تحویل چندین سفارش را از دست داد و مجبور به بازپرداخت شد. باید به دنبال ماشین دیگری باشد که همچنان باعث از دست رفتن سفارشات و کارهای دیگر میشود. فردی باهوش با تصمیمی غیرعاقلانه!
فردی که خدمات مالیاتی انجام میدهد. او میداند که باید به پیغام نرم افزار امنیتی خود که مدام هشدار میدهد توجه کند. اما فصل مالیات است و زمانی برای رسیدگی به آن وجود ندارد. در نهایت نیز زمانی رسید که کامپیوترش مورد هجوم یک بدافزار قرار گرفت و چندین فرم مالیاتی در حال رسیدگی را از بین برد. نتیجه آن از دست دادن کار و سیل دادخواستهای مشتریان ناراضی است. متخصص باهوش و تصمیمی غیرعاقلانه!
امنیت سایبری از این جهت مهم است که سازمانهای دولتی، نظامی، شرکتی، مالی و پزشکی حجم گستردهای از اطلاعات را در رایانهها و سایر دستگاهها جمعآوری، پردازش و ذخیره میکنند. بخش قابل توجهی از این دادهها میتوانند اطلاعات حساسی باشند مثل مالکیت معنوی، دادههای مالی، اطلاعات شخصی یا انواع دیگر دادههایی که دسترسی غیر مجاز به آنها یا افشای آنها ضررهای جبرانناپذیری به افراد یا سازمانها وارد میکند.
اهداف امنیت سایبری
هدف امنیت سایبری محافظت از اطلاعات در برابر سرقت و آسیب است. این اطلاعات شامل دادههای حساس، اطلاعات قابل شناسایی و تشخیص هویت افراد، سوابق پزشکی، اطلاعات شخصی، مالکیت معنوی، دادههای مرتبط با فعالیت آژانسهای دولتی و صنعتی میشود.
بدون وجود امنیت سایبری، سازمانها نمیتوانند از خود در برابر نقضهای دادهای (نقض دادهای – Data Breach به رویکردی اشاره دارد که باعث افشای دادههای شخصی کاربران شده و به هکرها اجازه سوء استفاده از اطلاعات و جعل هویت افراد را میدهد.) و حملههای هکری دفاع کنند و به هدفی ساده برای مجرمان سایبری تبدیل میشوند. مخاطرات امنیتی به دلیل گستردهتر شدن ارتباطات در مقیاس جهانی و استفاده از سرویسهای ابری برای ذخیرهسازی اطلاعات حساس و شخصی رو به افزایش است.
پیکربندی غیر اصولی خدمات ابری باعث شده تا حملههای سایبری شکل پیچیدهای به خود بگیرند. هر سازمانی ممکن است قربانی یک حمله سایبری موفق شده و با مشکل نقض دادهای در مقیاس کلان روبرو شود. روزهایی که دیوارهای آتش ساده و نرمافزارهای ضد ویروس تنها راهکارهای امنیتی موثر بودند سپری شده و کارشناسان امنیتی نمیتوانند همچون گذشته به مقابله با تهدیدات سایبری بپردازند و این تهدیدات میتوانند از زوایای مختلفی به سازمانها آسیب زنند.
امنیت سایبری با رویکردهای فنی و آموزشی به مقابله با چالشهای امنیتی میپردازد مثلا کارمندان درباره کلاهبرداریهای سادهای مثل مهندسی اجتماعی (فیشینگ) و حملات پیچیدهتر مثل حملات باج افزاری، بدافزارهایی که برای سرقت مالکیت معنوی یا دادههای شخصی طراحی شدهاند آموزشهای لازم را میبینند.
امنیت سایبری دیگر مفهومی نیست که کسبوکارها به سادگی از آن چشمپوشی کنند. حوادث امنیتی بهطور منظم بر عملکرد مشاغل مختلف در هر اندازهای تأثیرگذار است و اغلب به اعتبار یک شرکت خدشه وارد میکند.
انواع تهدیدات سایبری
تهدیدات در برابر امنیت سایبری به سه دسته تقسیم میشود:
جرایم سایبری – CyberCrime: عبارت است از فرد یا گروهی که سیستمها را هدف قرار میدهند تا درآمد کسب کنند یا خرابکاری کنند.
حمله سایبری – Cyber Attack: اغلب با هدف جمعآوری هدفمند اطلاعات، با انگیزه سیاسی است.
تروریست سایبری – Cyber Terrorisom: با هدف ایجاد رعب و وحشت با خراب کردن سیستمهای الکترونیکی است.
اما برسیم به این مبحث که شرور های سایبری چگونه کنترل سیستم های کامپیوتری را به دست میگیرند. رایجترین روشها برای تهدید امنیت سایبری عبارتند از:
بدافزار – Malware که شامل ویروس، تروژان، باج افزار، Spyware و Adware و Botnets.
SQL injection.
Phishing
Man-in-the-middle attack
Denial-of-service attack
مهندسی اجتماعی -Social engineering
Dridex malware و Romance scams و Emotet malware از جدیدترین روشهای تهدیدات سایبری هستند که در امریکا، انگلیس و استرالیا گزارش شده است.
تهدیدات فضای سایبری با در نظر گرفتن تمامی بردارهای حملهای که کاربران، تجهیزات و شبکهها را نشانه میروند، به صورت زیر دستهبندی میشوند:
تهدیدات شبکهها: کاربران، تجهیزات و کانالهای ارتباطی (شبکههای بیسیم و سیمی) در معرض انواع مختلفی از تهدیدات سایبری نظیر نفوذ، حمله انکار سرویس – DoS، حمله انکار سرویس توزیع شده – DDoS، دوقلوهای شیطانی، حمله مرد میانی، حمله سیلابی، باتنتها، ویروسها، باجافزارها و… قرار دارند.
تهدیدات برنامههای کاربردی: تمامی برنامههای کاربردی از سامانههای مدیریت بانکهای اطلاعاتی گرفته تا برنامههای دسکتاپ، موبایل و سرور ممکن است به آسیبپذیریهایی آلوده باشند که به هکرها اجازه میدهند به واسطه آنها به سامانهها حمله کنند. بهطور مثال، هکرها میتوانند از خطای سرریز بافر برای تغییر کدها و روال اجرای یک برنامه استفاده کرده و با آلودهسازی حافظه اصلی به کدهای مخرب موقت، راه را برای ورود بدافزارها به سامانهها هموار کنند، به همین دلیل برنامهها برای اطمینان از ایمن بودن در برابر حملات نیازمند بهروزرسانی و آزمایش مداوم هستند.
تهدیدات نقاط پایانی: دسترسی از راه دور یکی از ارکان اجتنابناپذیر کسبوکارهای امروزی است. همین مسئله شکاف امنیتی بزرگی به وجود میآورد که در نهایت نقض دادهای را باعث میشود. در این بردار حمله تمرکز هکرها روی کارمندانی است که از منازل خود و از طریق لپتاپهای شخصی به شبکه سازمانی متصل میشوند. در این بردار حمله هکرها میتوانند رمز عبور و نام حساب کاربری یک کارمند را سرقت کرده و به شکل مشروع به شبکه سازمانی نفوذ کنند.
تهدیدات دستکاری دادهها: گاهی اوقات حملههای هکری با هدف دستکاری اطلاعات درون پایگاههای دادهای انجام میشوند. در این بردار حمله هکرها سعی میکنند ابتدا با روبایش یک حساب کاربری به شبکه سازمانی نفوذ کرده، سطح مجوزهای خود را ارتقا داده (مدیر شبکه، مدیر پایگاه داده یا توسعهدهنده پایگاه داده) و در ادامه به ویرایش اطلاعات درون پایگاههای دادهای و نسخههای پشتیبان بپردازند. به همین دلیل بهتر است از لایههای امنیتی چندگانه برای محافظت از اطلاعات شرکت و مشتریان استفاده شود.
تهدیدات هویت: این بردار حمله ارتباط مستقیمی با حمله فیشینگ دارد. در این حمله سعی میشود اطلاعات هویتی مدیرعامل اجرایی یا سایر مدیران اجرایی ارشد سازمان جعل شود و ایمیلهایی با هدف دسترسی به رمزهای عبور، انتقال وجه یا دسترسی به منابع از کارمندان واحدهای مربوطه دریافت شود.
تهدیدات پایگاههای داده و زیرساختها: تمامی شبکههای ارتباطی بزرگ بر پایه تجهیزات فیزیکی و پایگاههای داده کار میکنند. یک حمله موفق به سوییچ یا روتری که آلوده به آسیبپذیری است یا تنظیمات آن به درستی پیکربندی نشدهاند دسترسی نامحدود به منابع را فراهم میکند. در بردار حمله به زیرساختها هکرها سعی میکنند با آلودهسازی تجهیزات مهم مثل سرورها برای اهداف مختلفی نظیر استخراج رمز ارز از آنها استفاده کنند.
تهدیدات تجهیزات همراه: تلفنهای همراه و تبلتها ایدهآلترین ابزارها برای شنود و نفوذ به شبکههای سازمانی هستند. کافی است تنها یک کارمند سازمان بزرگی متقاعد شود تا بدافزاری را روی گوشی خود نصب کند تا به تنهایی هر نوع چالش امنیتی را برای سازمان رقم بزند.
انواع امنیت سایبری
امنیت سایبری به چند زیرمجموعه تقسیم میشود که در ادامه معرفی آنها را معرفی میکنیم.
گزارشها حاکی از آن است که تا پایان سال۲۰۲۱ حملههای سایبری حدود ۶ میلیون دلار به اقتصاد جهانی آسیب وارد میکنند. بر همین اساس راهحلهای امنیتی مختلفی در دسترس شرکتها قرار دارد که همگی در زیرمجموعههای زیر طبقهبندی میشوند:
امنیت زیرساختهای حیاتی: تامین امنیت سایبری زیرساختهای حیاتی به معنای محافظت از شبکههای ارتباطی، شبکه انتقال انرژی، تصفیه آب، چراغهای راهنمایی، پایانههای فروش و مراکز بهداشتی است. این مراکز ممکن است بهطور مستقیم با حملههای سایبری مرتبط نباشند، اما میتوانند به عنوان بستری برای ورود بدافزارها به نقاط پایانی سامانههایی که به آنها متصل میشوند استفاده شوند.
امنیت شبکه: امنیت شبکه از شبکه کامپیوتری در برابر اختلالگران محافظت میکند حال این اختلال میتواند بدافزار باشد و یا هک. امنیت شبکه مجموعه راهکارهایی است که سازمانها را قادر میسازد تا شبکههای رایانهای را از دسترس افراد متجاوز، مهاجمان سازمان یافته و بدافزارها دور نگه دارند. بهطور مثال، سازمانها برای رشد تجاری از کوکیهای شخص ثالث برای ردیابی فعالیتهای کاربران استفاده میکنند، اما گاهی اوقات مشتریان قربانی این مسئله میشوند.
از اینرو برای مقابله با حملات سایبری و بدافزارهای مرتبط با شبکه باید موارد زیر را انجام دهید:
برنامه امنیتی نظارت بر شبکه داخلی و زیرساختها را به کار گیرید و از فناوریهای نوین مثل یادگیری ماشین برای بررسی ترافیک غیر عادی شبکه استفاده کنید.
برای بهبود امنیت شبکه لاگینهای اضافی را محدود کنید.
برنامه تعویض منظم رمزهای عبور را تدوین کنید.
برنامههای ضد ویروس قدرتمند نصب کنید.
دیوارهای آتش را به درستی پیکربندی کنید.
دسترس میهمان یا ناشناس را محدود کنید.
ترافیک ورودی از اینترنت را ارزیابی کنید.
از رمزگذاری برای محافظت از اطلاعات استفاده کنید.
بهبود امنیت با اتکا به ابر: بیشتر سازمانها به دنبال استفاده از هوش مصنوعی برای بهبود مشاغل خود، افزایش تجربه مشتری و بهبود عملکردها هستند. با وجود حجم انبوهی از دادههای تولید شده توسط بخشهای مختلف یک سازمان که اغلب فاقد ساختار و توسط منابع مختلف تولید میشوند، شبکههای سازمانی با تهدید بالقوه روبرو هستند. از اینرو، شرکتهای فعال در زمینه خدمات ابری با پیادهسازی راهکارهای امنیتی بالقوه به سازمانها اجازه میدهند این حجم عظیم از دادههای مستعد چالشهای امنیتی را در فضای خارج از شبکه سازمانی ذخیرهسازی و مدیریت کنند.
امنیت با چاشنی اینترنت اشیا: یکی دیگر از راهکارهای نوین امنیتی، برخواسته از دل اینترنت اشیا است که تا پایان سال۲۰۲۱ بازاری به ارزش ۵۲۰ میلیارد دلار خواهد داشت. تجهیزات و حسگرهای هوشمند در تعامل با اکوسیستم اینترنت اشیا میتوانند از تجهیزات تجاری به بهترین شکل محافظت کنند، زیرا با ارائه اطلاعات لحظهای گزارش دقیقی درباره عملکرد تجهیزات در اختیار شرکتها قرار میدهند.
بهبود امنیت با اتکا به برنامههای امنیتی: کاربران شیفته برنامههای مختلفی هستند که سهولت در انجام کارها را به ارمغان میآورند. برنامههای کاربردی نیز همانند شبکههای ارتباطی مستعد حملههای سایبری است، پس مهم است از راهحلهای نرمافزاری و سختافزاری نظیر سامانههای تشخیص نفوذ، سامانههای پیشگیری از نفوذ، دیوارهای آتش، ضدویروسها و هانیپاتها و ضدبدافزارها برای محافظت از برنامههای کاربردی استفاده کنید.
تدوین برنامه بازیابی پس از فاجعه: در صورت بروز یک حمله سایبری بهتر است از برنامه بازیابی پس از فاجعه برای بازگرداندن اطلاعات سالم استفاده کنید تا کسبوکارتان تداوم پیدا کند. برای این منظور به برنامه جامعی نیاز دارید که توسط کارشناسان امنیتی تدوین شده باشد. Disaster recovery و business continuity مشخص میکنند سازمان چگونه به از دست رفتن دیتا پاسخ میدهد. سیاست Disaster Recovery مشخص میکند چگونه اطلاعات پس از وقوع حادثه، به حالت قبل ریاستور شوند. Business continuity یا استمرار کسبوکار، برنامه سازمان برای بازگشت به شرایط عادی پس از وقوع حوادثی مانند سیل و زلزله است.
امنیت اپلیکیشن: روی نگهداری نرم افزار و دستگاهها تمرکز دارد. قبل از پیاده سازی دستگاه یا برنامه باید زمینه امنیت آن را تامین کرد.
امنیت اطلاعاتی: از یکپارچگی و حریم خصوصی دیتا محافظت میکند. این کار هم در رسانه ذخیره سازی و هم هنگام انتقال اطلاعات انجام میشود.
امنیت عملیاتی: شامل پروسهها و تصمیماتی است که برای کنترل و حفاظت از دیتا انجام میشود. مثلا Permission های کاربر هنگام دسترسی به شبکه و یا فرآیندهایی که مشخص میکنند اطلاعات چه موقع و کجا ممکن است ذخیره یا به اشتراک گذاشته شوند.
آموزش کاربر: به مواردی غیرقابل پیشبینی امنیت سایبری اشاره میکند یعنی افراد. هر کسی ممکن است به طور تصادفی ویروسی وارد سیستم امنیتی کند. آموزش کاربر برای حذف پیوستهای مشکوک در ایمیل، وصل نشدن به USB های ناشناس، و دیگر موارد مهمی که حیاتی است باید جزو برنامه امینت سازمانی هر شرکتی باشد.
تامین امنیت کاربر
بسیاری از شرکتها فقط آنتیویروسی را خریده و نصب میکنند با این تصور که برای حفاظت از آنها کافیست. با وجودی که این کار اهمیت دارد، اما اصلا کافی نیست. در دنیایی که افراد و سازمانهایی هستند که سعی در دزدیدن اطلاعات شما دارند، باید از چندین سطوح امنیتی استفاده کنید که هم شامل نرم افزار میشود و هم سخت افزار. باید از رمزگذاری داده و پسوردهای قوی که کاربران نتوانند آن را غیرفعال کنند نیز استفاده شود. حفاظت ار کاربر و امنیت Endpoint، قسمت مهمی از امنیت سایبری است. این کاربر نهایی است که ممکن است باموبایل و دسکتاپ و لپ تاپ، به طور تصاودفی بدافزار یا هر شکلی از تهدید سایبری را آپلود کند.
امنیت سایبری برای تامین امنیت کاربر از پروتکلهای رمزنگاری استفاده میکند تا ایمیلها، فایلها و دیگر اطلاعات را رمزگذاری کند. این جفاظت تنها در انتقال دیتا نیست بلکه در برابر گم شدن و دزدیده شدن اطلاعات هم هست. نرم افزارهای امنیتی، کامپیوترهای کاربر را اسکن میکنند تا کدهای مشکوک را پیدا و حذف کنند. برنامههای امنیتی حتی میتوانند کدهای خرابکار مخفی در Primary Boot Record را تشخیص داده و حذف کنند و طوری طراحی شدهاند که دیتا را روی هارد درایو رمزگذاری کنند.
پروتکلهای امنیت الکتورنیکی روی تشخیص بلادرنگ تشخیص بدافزار تمرکز دارد. بسیاری از آنها از آنالیز رفتاری و سابقه استفاده میکنند تا رفتار یک برنامه را مانیتور کنند و با کدهایشان در برابر ویروسها و تروژانها مقابله کنند. برنامههای امنیتی با یادگیری رفتار کاربر میتوانند آلودگی را تشخیص دهند.
نشت دادههایی که میتوانند منجر به سرقت هویت و افشای اطلاعات حساس در مکانهای عمومی مثل شبکههای اجتماعی شوند رو به افزایش است. اطلاعات حساس مانند شمارههای تأمین اجتماعی، اطلاعات کارت اعتباری و جزئیات حساب بانکی ممکن است در سرویسهای ذخیرهساز ابری مانند دارپباکس یا گوگل درایو ذخیره شوند.
واقعیت این است که تمامی کاربران فضای سایبری برای انجام فعالیتهای روزمره از سیستمهای کامپیوتری استفاده کرده و به آنها اعتماد میکنند. همین مسئله باعث شده تا وابستگی ما به سرویسهای ابری بیشتر شود، در حالی که ضعفهای مستتر در سرویسهای ابری، تلفنهای هوشمند و اینترنت اشیا به درستی شناسایی نشوند. به همین دلیل مهم است که تفاوت میان امنیت سایبری و امنیت اطلاعات را درک کنیم، حتی اگر مهارتهای فنی این دو اصطلاح به یکدیگر شبیه باشند.
در چند سال گذشته دولتها مقوله امنیت سایبری را به شکل جدیتری مورد توجه قرار دادهاند. GDPR مثال عالی در این زمینه است که سازمانهایی که در اتحادیه اروپا به فعالیت اشتغال دارند را ملزم کرد از قوانین سفت و سخت اتحادیه اروپا پیروی کنند، رویکردی که موفق شده به میزان قابل توجهی مانع نقضهای دادهای شود. از مهمترین نکات امنیت سایبری که باید دقت ویژهای به آنها داشته باشید به موارد زیر باید اشاره کرد:
نقض دادهای را اعلام کنید.
کارشناس امنیت برای محافظت از اطلاعات استخدام کنید.
برای کاربردهای تجاری که نیازمند دادههای کاربران هستند از آنها کسب اجازه کنید.
دادهها را برای حفظ حریم خصوصی افراد ناشناس کنید.
اطلاعات را به شکل عمومی افشا نکنید تا مجبور به پاسخگویی به نهادهای قانونی نشوید.
در صورت نقص دادهای در اسرع وقت به مقامات مربوطه گزارش دهید.
تمام سطوح سازمان را در مورد خطرات مهندسی اجتماعی و کلاهبرداریهای رایج مهندسی اجتماعی مانند ایمیلهای فیشینگ و اشتباه تایپی (typosquatting) و حمله جعل آدرس اینترنتی (URL Hijacking) آگاه کنید.
روی خرید و بهکارگیری ابزارهایی که دسترسی به اطلاعات را محدود میکنند سرمایهگذاری کنید، دسترسی افراد ثالث یا پیمانکاران به اطلاعات سازمانی را محدود کنید و بهطور مداوم دستگاهها، پایگاههای داده و اطلاعاتی که با خطر نشتی روبرو هستند را اسکن کنید.
از گذرواژههای پیچیده و طولانی همراه با احراز هویت دو عاملی یا چند عاملی برای ایمنسازی دسترسی به حسابهای کاربری استفاده کنید. با توجه به اینکه در مکانیزم احراز هویت دو یا چند عاملی از لایههای امنیتی مختلفی برای ایمنسازی دسترسی به حسابها استفاده میشود، اگر هکری بتواند رمز ورود به حساب کاربری را بهطور دقیق حدس بزند، هنوز یک مرحله امنیتی اضافی برای تصاحب حساب کاربری پیش رو دارد.
بهتر است از مکانیزمهای ارتباطی ایمن مثل شبکه خصوصی مجازی برای اتصال به شبکه سازمانی استفاده کنید. اینکار مانع از آن میشود تا هکرها بتوانند با سهولت حملههای مرد میانی را پیادهسازی کنند.
بهتر است برای اتصال به شبکههای سازمانی یا ارسال اطلاعات حساس از وایفای عمومی استفاده نکنید، زیرا این احتمال وجود دارد که هکری قادر به شنود اطلاعات باشد.
نرم افزارها و سیستم عامل خود را آپدیت کنید. بهتر است از جدیدترین وصله ها – Patch استفاده کنید.
از نرم افزار آنتی ویروس استفاده کنید. این راهکار امنیتی، تهدیدات را تشخیص میدهند و پاک میکنند. به یاد داشته باشید همواره آنتی ویروس را آپدیت نگه دارید.
پیوست ایمیلهای دریافتی از فرستنده ناشناس را باز نکنید چون ممکن است بدافزار داشته باشند.
روی لینکهای موجود در ایمیل که از فرستنده ناشناس یا وبسایتِ ناآشنا است کلیک نکنید.
شیوع کووید ۱۹ بیشتر سازمانها را مجبور کرده تا بخش عمدهای از فعالیتهای تجاری خود را آنلاین کرده و به کارمندان اجازه دهند از راه دور کار کنند. به همین دلیل، مشاغل مجبور شدند زیرساختهای گسترشپذیری را برای دسترسی از راه دور به برنامههای کاربردی و دادههای سازمانی آماده کنند. ایمنسازی دسکتاپها و سرورهای مجازی موضوع مهمی است که نباید بیتفاوت از کنار آن گذشت. نکته مهمی که در خصوص ایمنسازی شبکهها، دسکتاپها و سرورهای مجازی باید به آن دقت کنید نوع معماری است که شبکه ارتباطی بر مبنای آن پیادهسازی خواهد شد. بهطور مثال، NSX با ارائه طیف گستردهای از قابلیتهای مدیریتی، نظارتی و امنیتی به سازمانها در پیشبرد این امور کمک میکند.
آیندهای مبتنی بر دورکاری
شواهد نشان میدهند برخی تغییرات در حوزه مشاغل ماندگار خواهند بود که دورکاری کارمندان یکی از آنها است. هکرها و مجرمان سایبری نیز از این موضوع به خوبی آگاه هستند و سعی میکنند با هدف قرار دادن نقاط ضعف مرتبط با کارمندان متصل به منابع سازمانی از محیط خانه به شبکههای ارتباطی سازمانها نفوذ کنند. این موارد شامل مهندسی اجتماعی، کمپینهای فیشینگ، DDoS و بهرهبرداری از آسیبپذیریهای مستتر در روترهای خانگی است. پرداختن به هر یک از این موضوعات به مقاله جداگانهای نیاز دارد. در این مقاله با چگونگی ایمنسازی سرورها و دسکتاپهای مجازی آشنا میشوید.
مجازی سازی شبکه راهکاری برای حفاظت از محیطهای VDI
شرکتهایی مثل Vmware با ارائه راهحلهای نوین مجازی سازی شبکه به شرکتها کمک میکنند بهترین مکانیزمهای تبادل اطلاعات میان کارمندان دور کار و مراکز داده سازمانی را پدید آورند. فناوری زیرساخت دسکتاپ مجازی (VDI) به سازمانها کمک میکند تا بهرهوری کارمندان دورکار را بیشتر و استمرار کارها را تداوم داده و خطر افشا یا نشت دادههای سازمانی را کاهش دهند.
نکات مربوط به حفظ امنیت دسکتاپهای مجازی
در این قسمت میخواهیم درباره نکات مربوط به تامین امنیت دسکتاپ های مجازی بپردازیم:
۱- محافظت از منابع نگهدارنده دسکتاپهای مجازی
هدف اولیه یک حمله هیچگاه هدف واقعی یک هکر نیست. هنگامی که هکری دسترسی به شبکهای پیدا کند از طریق برخی کارهای جانبی سعی میکند سطح دسترسی را افزایش داده تا در نهایت به منابع سیستمی یا حسابهای مدیریتی دست پیدا کند. کاری که زیرساخت دسکتاپ مجازی انجام میدهد تجمیع دسکتاپهای کاربران در مرکز داده و در مکانی است که سرورها میزبان برنامههای مهم و دادهها حساس هستند. همانگونه که میدانید، نیروی انسانی نقطه ضعف زنجیره تامین امنیت هستند و هنگامی که عامل انسانی از طریق مجازی سازی دسکتاپ به مرکز داده وارد شود به یک بردار تهدید جدیدی تبدیل میشود که به مهاجمان اجازه میدهد با شناسایی آسیبپذیریها به دادههای حساس درون سرورها دست پیدا کنند. به همین دلیل مهم است مخازنVDI و مزارع RDSH از سایر بخشهای مهم مرکز داده تفکیک شده و سازماندهی شوند، بدون آنکه نیاز به بازتعریف معماری شبکه ضرورتی داشته باشد. این دقیقا همان قابلیتی است که ویژگی NSX Service-Defined Firewall ارائه میکند.
کارشناسان شبکه میتوانند با تعریف گروههایی که مبحث امنیت در آنها در وضعیت پویا قرار دارد، بر مبنای سنجههایی مانند نام ماشین مجازی، سگمنت شبکه یا برچسب امنیتی به گروهبندی دسکتاپها و اعمال خطمشیهای مختص هر گروه بپردازند تا دسکتاپها از سایر بخشهای مرکز داده تفکیک شوند. انعطافپذیری این معماری به اندازهای زیاد است که اگر در نظر داشته باشید تعداد دسکتاپهای از راه دور را به دلیل تعدد کارمندان دورکار افزایش دهید، این دسکتاپهای جدید به گروههای موجود اضافه میشوند و به محض بالا آمدن دسکتاپ، بدون نیاز به ایجاد هرگونه خطمشی جدید امکان تقسیمبندی بر مبنای خطمشی فعلی وجود دارد، بدون آنکه به معماری جدید شبکه یا اضافه کردن تجهیزات فیزیکی جدید مثل دیوارآتش نیازی باشد.
رویکرد فوق در نقطه مقابل مدل سنتی قرار دارد که در آن ترافیک به/از مخازن دسکتاپ از طریق یک دیوارآتش فیزیکی عبور میکند که دارای خطمشی مبتنی بر آدرس آیپی و زیر شبکه است، محدودیت زیادی در گسترشپذیری دارد و هنگامی که تعداد دسکتاپها افزایش پیدا میکنند باید آدرسهای آیپی در مخازن VDI را به شکل دستی تنظیم کرد. رویکرد فوق زمانبر و مستعد بروز خطا است، عملکرد فرآیندهای کاری را آهسته میکند و خطرپذیری زیرساختها را بیشتر میکند. شکل زیر معماری مبتنی بر گروهبندی پویای دسکتاپها را نشان میدهد.
۲- کنترل دسترسی کاربر-محور را فعال کنید.
بیشتر سازمانها از رویکرد مخازن دسکتاپی متمایز برای تفکیک پیمانکاران و کارمندان استفاده میکنند. فناوریهایی نظیر NSX اجازه میدهند خطمشیهای دسترسی متفاوتی را برای هر یک از این گروهها مشخص کنید، به طوری که تنها کاربرانی که از گروه مربوط به کارمندان به شبکه وارد شدهاند به برنامههای داخلی دسترسی داشته باشند. در این حالت به یک برنامه راهبردی دقیق نیاز دارید. بهطور مثال، تنها کارمندان مخزن حسابداری بتوانند به سوابق مالی کارمندان دسترسی داشته باشند، اما کارمندان واحد بازاریابی به آن دسترسی نداشته باشند.
۳- استقرار دیوارهای آتش نرمافزاری
چگونگی تعریف، بهکارگیری و پیادهسازی دیوارهای آتش به نوع معماری شبکهای که پیادهسازی کردهاید بستگی دارد. بهطور مثال ویژگی NSX Service-Defined Firewall دسترسی به دیوارآتش کاربر-محور یا هویتمحور (IDFW) را امکانپذیر میکند. با استفاده از IDFW، سازمانها میتوانند خطمشیهای دیوارآتش را بر اساس گروههای فعال کاربری ایجاد کنند تا هر کاربر به مجموعه برنامههای مشخصی دسترسی داشته باشد.
در این شیوه، دیوارآتش به جای آنکه بر مبنای الگوی آدرس آیپی کار کند از الگوی نظارت بر استریمهای جریانی استفاده میکند، رویکرد فوق باعث میشود تا دیوارآتش را بتوان در ارتباط با کاربرانی که از دسکتاپ VDI خاص خود به برنامهها دسترسی پیدا میکنند و کاربرانی که دسترسی آنها به دسکتاپ یا برنامهها از طریق میزبان RDS انجام میشود به کار گرفت. با استفاده از NSX-T، قواعد مبتنی بر IDFW میتوانند از پروفایلهای زمینهای لایه ۷ و یا FQDN برای کنترل دقیقتر کاربر استفاده کرد.
امنیت مجازیشده میتواند عملکرد تجهیزات سختافزاری امنیتی سنتی (مانند دیوارهایآتش و ضدویروسها) را شبیهسازی کرده و در قالب راهحلهای نرمافزار در اختیار سازمانها قرار دهد. علاوه بر این، امنیت مجازیشده میتواند قابلیتهای امنیتی اضافی بیشتری ارائه کند که تنها به دلیل مجازی سازی عملکردها در دسترس قرار دارند و برای رفع نیازهای امنیتی خاص یک محیط مجازی طراحی شدهاند. بهطور مثال، یک شرکت میتواند کنترلهای امنیتی (مانند رمزگذاری) را بین لایه کاربرد و زیرساختها قرار دهد یا از استراتژیهایی مانند تقسیمبندی-خرد (micro segmentation) برای کاهش سطح حملههای رایج استفاده کند.
امنیت مجازیشده را میتوان در قالب یک برنامه کاربردی به شکل مستقیم روی یک هایپروایزر نوع اول که بهنام فلز-لخت میگویند (یک گذرگاه اصلی که اجازه میدهد به شکل دقیقی عملکرد برنامههای کاربردی را زیر نظر گرفت) استفاده کرد یا به عنوان یک سرویس میزبانی شده روی یک ماشین مجازی مستقر کرد. رویکرد فوق مزیت بسیار بزرگی دارد که زمان استقرار را کاهش داده و بیشترین عملکرد را ارائه میکند در حالی که مکانیزمهای امنیت فیزیکی به یک دستگاه خاص نیاز دارند و فرآیند مدیریت و استقرار آنها زمانبر است.
سازمانها میتوانند برای ایمنسازی سرورهای مجازی از مکانیزمهای امنیتی شبکه، برنامههای کاربردی و ابر استفاده کنند. برخی از فناوریهای امنیتی مجازی نسخههای بهروز شده و مجازی شده نمونههای سنتی (مانند دیوارهای آتش نسل بعدی) هستند، در حالی که برخی دیگر فناوریهای خلاقانهای هستند که در ساختار شبکه مجازی سازی تعبیه شدهاند. از ۱۰ مورد از مهمترین نکات امنیتی که برای ایمنسازی سرورهای مجازی باید به آنها دقت کنید به موارد زیر باید اشاره کرد:
۱- تقسیمبندی
تقسیمبندی به معنای طبقهبندی منابع خاص است، بهطوری که تنها برنامهها و کاربران خاص به آن دسترسی داشته باشند. رویکرد فوق به شکل کنترل ترافیک بخشهای مختلف شبکه یا لایهها انجام میشود.
۲- تقسیمبندی-خرد
به خطمشیهای امنیتی خاص در سطح بارهایکاری اشاره دارد که مناطق ایمن محدودهای را تعریف میکند تا هر زمان هکری موفق شد به شبکه سازمانی نفوذ کند قدرت مانور محدودی داشته باشد و نتواند به سطوح بالاتر دسترسی پیدا کند. در رویکرد فوق یک مرکز داده به لحاظ منطقی به بخشهای مختلف تقسیم میشود تا تیمهای فناوری اطلاعات بتوانند کنترلهای امنیتی را برای هر بخش به صورت جداگانه تعریف کنند.
۳- تفکیک کردن
به معنای جداسازی بارهای کاری و برنامههای مستقل در یک شبکه است. رویکرد فوق به ویژه در محیطهای مبتنی بر ابر عمومی مهم است و میتواند برای جداسازی شبکههای مجازی از زیرساختهای فیزیکی زیربنایی استفاده شود تا زیرساختها در برابر حمله مصون باشند.
۴- نصب بهروزرسانیها
سرورها باید جدیدترین بهروزرسانیهای منتشر شده را دریافت کنند تا شانس هکرها برای بهرهبرداری از آسیبپذیریهای شناخته شده به حداقل برسد. مهم نیست سرور از سیستمعامل ویندوز یا لینوکس استفاده کند، در هر دو حالت باید فرآیند بهروزرسانی را انجام دهید، به ویژه اگر تولیدکنندگان هیچ گزارشی در ارتباط با بروز مشکل پس از نصب بهروزرسانی منتشر نکردهاند. بهروزرسانی سیستمعامل شامل وصلههایی برای برطرف کردن نقصهای امنیتی است که ممکن است از وجود آنها بی اطلاع باشید. اگر اینکار را انجام ندهید یک سرور مجازی آسیبپذیر خواهید داشت که در صورت بروز حمله، ارائهدهنده سیستمعامل یا خدمات هیچ مسئولیتی در قبال شما نخواهد داشت. نصب ساده بهروزرسانیهای جدید کافی نیست، علاوه بر این باید اطمینان حاصل کنید که همه وصلههای امنیتی پیشنهاد شده توسط تولیدکننده سیستمعامل را نصب کردهاید. اگر تنها وصلههای مربوط به قابلیتهای کارکردی سیستمعامل را بهروز کنید، اما وصلههای امنیتی را نصب نکنید در امنیت کامل قرار نخواهید داشت.
۵- نصب ضد بدافزاری قدرتمند
ارائهدهندگان خدمات IaaS به عنوان بخشی از توافقنامه سطح خدمات (SLA) یک راهحل جامع برای حفاظت از نقاط پایانی متصل به سرور میزبان ارائه میدهند، اما کافی نیست، زیرا مهم است که از ماشینهای مجازی که روی سرور میزبان اجرا میشوند در برابر حملههای هکری محافظت کنید.
بدافزارهایی وجود دارد که بهطور خاص برای هدف قرار دادن ماشینهای مجازی طراحی شدهاند تا ماشینهای میزبان قادر به شناسایی آنها نباشند. بنابراین باید از یک راهحل ضد بدافزاری اکتیو که قادر به شناسایی این حملهها باشد استفاده کنید. اگر خطمشی محافظتی شما به اینگونه باشد که منتظر بمانید تا بدافزاری ماشین مجازی را آلوده کند و در ادامه به سراغ شناسایی آن بروید، صدمات جبرانناپذیری دریافت میکنید. این موضوع به ویژه در مورد حملاتی که به هکرها اجازه میدهد از طریق سرور مجازی به شبکه نفوذ کنند، صادق است، زیرا به هکرها اجازه میدهد به هر ماشین مجازی از طریق سرور میزبان دسترسی پیدا کنند.
۶- از دیوارهای آتش برای محافظت از سرورهای مجازی استفاده کنید.
متاسفانه برخی کارشناسان شبکه تصور میکنند هنگامی که از یک سرور مجازی استفاده میکنند، دیگر هیچگونه ارتباطی با شبکه درون سازمانی برقرار نمیشود، در حالی که اینگونه نیست. بدون تردید، سرور میزبان به یک دیوارآتش مجهز شده که تبادل بستهها با ماشین فیزیکی را کنترل میکند، اما هنوز هم مهم است که نظارت دقیقی بر عملکرد سرور مجازی اعمال کنید. دیوارآتشهای برای متعادلسازی بار و اطمینان از این موضوع که ترافیک میان دو ماشین مجازی ایمن است و تضمین این نکته که ترافیک از ماشین مجازی به خارج از شبکه سازمانی بدون رعایت خطمشیهای امنیتی امکانپذیر نیست استفاده میشوند. علاوه بر این، دیوارآتش با ارائه گزارش کاری میتواند به شما کمک کند اطلاعاتی درباره نقصهای دادهای در سرورهای مجازی به دست آورید. دیوارآتش ترافیک میان ماشینهای مجازی، میان سرور میزبان و سرور مجازی و سرور مجازی و اینترنت را ثبت و نظارت میکند. اگر با وجود تمام تمهیدات، حملهای اتفاق افتد، این نظارت کمک میکند علت بروز مشکل را به سرعت شناسایی کنید و در کوتاهترین زمان برنامه پس از فاجعه را پیادهسازی کنید.
۷- دسترسیها و برنامههای کاربردی غیر ضروری را محدود کنید.
سرور مجازی شبیه به سایر ابزارهای دیجیتال دارای رمزعبور است و شما میتوانید دسترسی به سرور مجازی را با دیگران به اشتراک بگذارید. همانگونه که با ایمیل شخصی خود اینکار را میکنید، مهم است که رمز ورود به سرور مجازی دائما تغییر دهید و دسترسی به دستگاه را محدود کنید. برای پیادهسازی مکانیزمهای امنیتی مضاعف، رمزعبور پیشفرض را تغییر دهید، حساب کارمندان اخراج شده را حذف کرده و پروفایل افرادی که میتوانند به سرور مجازی دسترسی پیدا کنند را بر مبنای سطح دسترسی آنها در فهرست یا گروههایی که ایجاد کردهاید قرار دهید.
۸- سرعت و پهنای باند را مانیتور کنید.
اگر ناگهان متوجه افزایش ترافیک شدید یا سرعت دسترسی به سرور یا ماشینهای مجازی کاهش محسوسی داشت، نشان دهنده یک مشکل جدی است. یک چنین مواردی بیانگر وقوع یک حمله انکار سرویس (DOS) هستند. یک حمله انکار سرویس برای شرکتی که خدمات تمام وقت به مشتریان ارائه میکند فاجعهبار است، زیرا حملات DOS و انکار سرویس توزیع شده (DDoS) دسترسی به خدمات را غیرفعال میکنند و مانع از آن میشوند تا ماشینهای مجازی یا شبکه به شکل درستی کار کنند. تشخیص زودهنگام یکی از کارآمدترین راهحلها برای متوقف کردن هرچه سریعتر حملات DOS و DDoS قبل از بزرگتر شدن آنها است. اگر نظارت دقیقی بر ورای محیط مجازی اعمال کنید این شانس را دارید تا بردارهای مختلف حمله را شناسایی کنید، قبل از آنکه زیرساختها آسیب جدی ببینند.
۹- پشتیبانگیری از دادهها و اسنپشاتهای سرور را فراموش نکنید.
اگر شخصی بتواند بدون محدودیت به سروری دسترسی پیدا کند، دیگر فرصتی نیست که مانع انجام عملیات خرابکارانه توسط این فرد شوید. با اینحال، میتوانید خسارت را به حداقل برسانید. بهترین راهحل در این زمینه پشتیبانگیری منظم از دادهها و تهیه اسنپشاتهای فوری از سرور است که این امکان را میدهد تا سیستم را به شرایط قبل از وقوع حمله، تنظیم کنید.
شرکتهای ارائهدهنده خدمات امنیتی سنتی در زمینه راهحلهای امنیتی مجازی نیز محصولات قدرتمندی ارائه کردهاند. با اینحال، برخی از آنها عملکرد بهتری در مقایسه با نمونههای دیگر دارند. Trend Micro Depp Security، McAfee Move، Symantec Data Center Securtiy، ESET Internet Security، Avast، Avira، BullGuard، Bitdefender GravityZone و Vipre Antivirus از ضدویروسهای خوبی هستند که طیف گستردهای از قابلیتهای امنیتی را ارائه میکنند. البته اگر از راهحلهای مجازیسازی شرکت Vmware استفاده میکنید، vShield مجموعه کاملی از قابلیتهای امنیتی و نظارت بر شبکه را ارائه میکند.
Thin Application چیست؟
Thin Application برنامهای است که روی یک مولفه سختافزاری یا سرور خارج از سازمان قرار میگیرد تا قابلیتهای بیشتری در ارتباط با تعمیر و نگهداری در اختیار مدیران شبکه قرار دهد. ایده thin app بر مبنای سختافزارهای تین کلاینت ایجاد شده که مبتنی بر معماری کلاینت/سرور در محیطهای ابرمحور یا سرورمحور استفاده میشوند.
درست است که thin apps همزمان با روند توسعه سرورها در دنیای فناوری اطلاعات در دسترس بودند، با اینحال این برنامهها عمدتا در ارتباط با سامانههای مجازی و ابری استفاده میشوند. thin app در حوزه مجازیسازی و محیطهای ابرمحور به سرپرستان شبکه اجازه میدهد سامانههایی را پیادهسازی کنند که دادهها و منابع پر کاربرد در آنها ذخیرهسازی شده و از طریق وب در اختیار مشتریان یا کاربران قرار بگیرد. بر مبنای این رویکرد، منطقی است که بسیاری از قابلیتهای کاربردی در سمت سرور به جای سمت کلاینت ذخیرهسازی کنیم.
در حالت کلی بیشتر سرویسهای ابری از یک برنامه thin app استفاده میکنند، بهطوری که کاربر نهایی بتواند با سهولت با فناوریهای زیرساختی مثل بانکهای اطلاعاتی تعامل داشته باشد. ThinApp با جداسازی برنامهها از سیستمعاملها، فرآیند تحویل، استقرار، مدیریت و انتقال برنامهها را ساده کرده و مشکل ناسازگاری برنامهها را برطرف میکند. Thin App به سرپرستان شبکه اجازه میدهد برنامههای کاربردی و دادههای پیکربندی کاربران را به شکل ایمن و مبتنی بر رویکرد جعبه شن در سرور یکسانی ذخیرهسازی کرد.
دومین مزیت بزرگ تین اپها در برطرف کردن مشکل ناسازگاری برنامهها با یکدیگر است، بهطوری که اجازه میدهد برنامهها در نقاط پایانی نصب شوند. علاوه بر این Thin App به میزان قابل توجهی امنیت زیرساختهای مجازی را بهبود میبخشند.
مجازی سازی سرورها در مراکز داده چند سالی است که طرفداران زیادی پیدا کرده اما طرفداران دسکتاپ های مجازی هنوز به پای آن نمیرسند. VMware View محصول شرکت VMware در زمینه دسکتاپ مجازی است که در کنار رقبایش یعنی Citrix XenDesktop و Microsoft Remote Desktop خودنمایی میکند. در این مقاله میپردازیم به این که VMware View چیست و چطور کار میکند همچنین اجزای VMware Horizon View را معرفی و تشریح میکنیم.
vmware horizon که در گذشته به نام Horizon View شناخته میشد محصول vmware در حوزه مجازی سازی است که برای سیستم عاملهای ویندوز، لینوکس و مکاوس تولید شده است. این محصول ابتدا با نام VMware VDM به فروش رسید، اما با انتشار نسخه ۳.۰.۰ در سال ۲۰۰۸ به “VMware View” تغییر نام یافت. سپس همراه با عرضه نسخه ۶ در آوریل ۲۰۱۴ به “Horizon View” تغییر نام دیگری داد و اکنون به نام VMware Horizon شناخته میشود.
VMware Horizon زیرساخت دسکتاپ مجازی و برنامههای کاربردی است که قابلیتهای کاربردی و مهمی در اختیار کاربران قرار میدهد. دسکتاپ مجازی به زبان ساده عبارت است از: ذخیره دسکتاپ کاربر روی سرور مرکزی، این دسکتاپ به صورت ماشین مجازی روی سرور قرار میگیرد. کاربر میتواند از هر مکانی با استفاده از برنامه ریموت کلاینت به سرور وصل شود. معمولا یک سیستم عامل دسکتاپ شبیه به ویندوز مایکروسافت در یک ماشین مجازی روی یک هایپروایزر اجرا میشود.
در واقع کاربر از تین کلاینت برای برقراری این ارتباط استفاده میکند. تین کلاینت ها هم میتوانند سخت افزار ارزان قیمتی باشند که فقط یک مانیتور و موس و کیبورد دارند، هم میتوانند برنامهای باشند که روی PC نصب میشود. چون دسکتاپ روی سرور قدرتمندی قرار گرفته یا به اصطلاح هاست شده، تمام پردازشهای دسکتاپ کاربر روی سرور انجام میشود. پس منابعی که تین کلاینت لازم دارد بسیار کم است و نیازی به قوی بودن Thin Client نیست. اطلاعات بین تین کلاینت و سرور هاست جابجا میشود. این اطلاعات شامل ویدئو، ورودی های موس و کیبورد و اتصالات جانبی مانند USB و پرینتر است.
مولفههای مختلف VMware Horizon عبارتند از:
VMware vSphere Hypervisor (ESXi با مجوز vSphere)
سرور VMware vCenter (مدیریت محیط مجازی سازی)
View Manager (مدیریت پیشرفته View همراه با خودکارسازی و ارائه گزینههای پیشرفته شبیهسازی)
View Manager (مدیریت View Environment)
View Client (برای برقراری ارتباط میان سیستمعامل دسکتاپ و View)
VMware ThinApp (مولفه مجازیساز برنامهها)
View Persona Management (برای مدیریت پروفایل کاربر)
vShield Endpoint (ضدویروسی با قابلیت بارگذاری آفلاین)
VMware View باعث تقویت vSphere که پلتفرم هاست ماشین مجازی است میشود. به عبارت دیگر دسکتاپ های کاربران همان ماشین های مجازی هستند که روی هاست های ESXi یا ESX اجرا میشود. کاربران میتوانند از تمام مزایای vSphere استفاده کنند مثل VMotion و snapshots و Distributed Resource Scheduler یا DRS و …
VMware به ازای هر سوکت پردازنده فیزیکی مجوز vSphere hypervisor را ارائه میدهد. هایپروایزور vSphere برای دسکتاپ از نظر عملکرد همتراز با vSphere Enterprise Plus است. VMware View دارای دو نسخه است:
سازمانی (Enterprise): همراه با vSphere برای دسکتاپها، سرور vCenter و View Manager ارائه میشود.
شرکتی (Premier): همراه با View Composer ، Persona Management ، vShield Endpoint و ThinApp در دسترس مصرفکنندگان قرار دارد.
برای آنکه کاربران به منابع دسکتاپ مثل صفحهکلید، ویدئو، ماوس به بهترین شکل دسترسی پیدا کنند و بتوانند فعالیتهای روزمره را بدون مشکل انجام دهند به یک کانال ارتباطی قدرتمند نیاز است. بر همین اساس VMware View از پروتکلهای VMware Blast Extreme و Microsoft RDP و Teradici PCoIP پشتیبانی میکند تا شرکتها بتوانند بر مبنای نوع معماری که انتخاب کردهاند از گزینه مناسب استفاده کنند.
VMware Horizon Suite بهطور کامل با محصول vSphere ادغام شده تا قدرتمندترین و یکپارچهترین راهکار مجازی سازی در اختیار شرکتها قرار گیرد. محصولات رقیب این شرکت مثل Citrix XenDesktop نمیتوانند همتراز با vSphere و Horizon View راهکاری یکپارچه در اختیار کسبوکارها قرار دهند.
ویژگی ذخیرهسازی و صرفهجویی IOPS که از طریق vSphere و به شکل منحصر به فرد در Horizon View و Horizon Suite وجود دارد به شرکتها اجازه میدهد دادهها را به شکل هوشمندانهتر و دقیقتری ذخیرهسازی کنند.
معرفی VMware Horizon Suite
امروزه نیروی کار سیار به روشی بهتر، ایمنتر و پایدارتر برای دسترسی به فضای کاری و برنامههای کاربردی نیاز دارد. بهطوری که بتواند از هر مکان و هر دستگاهی فعالیتهای روزانه خود را انجام دهد. در همین حال، دپارتمانهای فناوری اطلاعات سازمانها به راهحلی قابل اعتماد نیاز دارند که فرآیند مدیریت آن با سهولت انجام شده و پیچیدگی خاصی نداشته باشد.
برای پاسخگویی به این الزامات حیاتی، شرکت ویامویر محصول VMware VMware Horizon Suite را معرفی کرد. این مجموعه ارزشمند شامل VMware Horizon View و VMware Horizon Mirage و VMware Horizon Workspace است و قابلیتهای کاربردی مهمی به شرح زیر فراهم میکند:
ارائه برنامههای کاربردی و دسکتاپ مجازی
ایمیجی مدیریت شده از ویندوز که قابلیت پشتیبانگیری و بازیابی را ارائه میکند.
اشتراکگذاری فایل
مدیریت فضای کاری موبایل
طبقهبندی برنامههای کاربردی
مدیریت مبتنی بر خطمشیهای متمرکز
ویامویر با ارائه Horizon Suite سعی کرده است تمامی ملزومات موردنیاز شرکتها را در قالب یک مجموعه واحد ارائه کند. محصولی که در مقایسه با نمونههای مشابه مزایای رقابتی زیادی دارد. سازمانهایی که از محصول مذکور استفاده میکنند پس از گذشت مدت زمان کوتاهی متوجه خواهند شد راهحلی که Horizon Suite ارائه میکند در مقایسه با نمونههای مشابه مثل Citrix گزینههای بیشتری در اختیار آنها قرار میدهد. صرفهجویی در هزینههای جانبی و بازگشت سریعتر سرمایه (ROI) تنها بخشی از مزایای شاخص این محصول هستند.
ویامویر در توصیف این محصول میگوید: «قابل اعتماد بودن، پایداری، سادگی در مدیریت و ارائه بهترین تجربه به کاربر نهایی از ویژگیهای مثبت این محصول هستند.» یکی دیگر از مزایای شاخص این محصول تحلیل و خودکارسازی است. تجزیه و تحلیل ابرمحور مبتنی بر VMware vRealize Operations برای دسکتاپها و برنامههای کاربردی دید جامعتری در مقایسه با نمونههای مشابه مثل XenDesktop شرکت سیتریکس ارائه کرده و به تیمهای فناوری اطلاعات کمک میکند با تجزیه و تحلیل عملکرد سرویسها پایداری و عملکرد شبکه را بهبود بخشند.
مجازیسازی دسکتاپ و سرور دو مفهوم عجین شده با یکدیگر هستند، بر همین اساس مهم است که تفاوتهای این دو مفهوم به درستی شرح داده شوند.
در هر دو حالت یک لایه انتزاعی به سرور فیزیکی افزوده میشود که بهنام هایپروایرز معروف است. در بحث مجازیسازی سرور، سرور به شکل انتزاعی به کانتینرهایی تقسیم میشود که این فرآیند ممکن است به شکل سختافزاری انجام شود که بهنام فلز لخت (Bare Metal) معروف است یا میتواند در محیط سیستمعامل میزبان انجام شود. در ادامه میتوان بر مبنای نیازهای کاری کاربران، نرمافزارها را به محیطهای مجازی جداگانهای اضافه کرده، حذف کرده یا اجرا کرد. در رویکرد مجازیسازی سرور ما با ایمیجهایی در تعامل هستیم که به منظور بهبود بارهای کاری و بهبود عملکرد کاربران اجرا میشوند.
مجازی سازی دسکتاپ با راهحلهایی مثل VMware Horizon که اجازه میدهند کاربر سیستم عامل دسکتاپ و نرمافزارهای خاص خود را داشته باشد. به جای آنکه ملزومات روی هارددیسکهای کاربر ذخیرهسازی شوند، دسکتاپها روی ماشین مجازی که سرور آنها را میزبانی میکند اجرا میشوند و کاربر میتواند از کامپیوتر شخصی، تبلت، تینکلاینت، گوشی هوشمند و نمونههای مشابه به ماشین مجازی متصل شود.
چرا سازمانها از مجازی سازی دسکتاپ استفاده میکنند؟
پاسخ در متمرکزسازی دسکتاپ است. قابلیتهای مجازی سازی دسکتاپ با Horizon View عبارتند از:
مجازیسازی دسکتاپ یک ایمیج مستر در اختیار شرکتها قرار میدهد و به آنها اجازه میدهد دسکتاپهای مجازی را از روی آن کپی کنند. رویکرد فوق به ادمینها اجازه میدهد هر زمان کلاینت یا کاربر جدیدی به سازمان اضافه شد به سرعت دسکتاپ جدیدی در اختیارش قرار دهند.
سفارشی سازی دسکتاپها؛ هر زمان بهروزرسانی نرمافزار جدیدی ارائه شد، این امکان فراهم است تا به جای بهروزرسانی تکتک ماشینها تنها نسخه اصلی را ویرایش کنید تا همه دستکاپها بهطور خودکار بهروز شوند. به همین دلیل است که ویامویر محصول VMware Horizon View را یک راهحل جامع سازمانی معرفی میکند.
یکپارچهسازی فضای کاری آنلاین مستتر؛ مجازیسازی دسکتاپ با Horizon View قابلیت اعتبارسنجی بلادرنگ را ارائه کرده، دسترسی به اکتیو دایرکتوری و LDAP به منظور احراز هویت را ساده کرده و دسترسی زمینهمحور (Context-based) کاربران به منابع از طریق یک فضای کاری یکپارچه را ارائه میکند. علاوه بر این با پشتیبانی از احراز هویت دو عاملی که مبتنی بر کارت هوشمند و مکانیزمهای زیستی است، امنیت زیرساختهای ارتباطی را بهبود میبخشد.
مزایای VMware Horizon View
راهکار VMware Horizon View راهکاری قدرتمند برای مدیریت محیط دسکتاپ و برنامههای کاربردی با هدف استفاده بهینه از منابع، افزایش قابلیتهای مدیریتی، بهبود عملکرد و امنیت معرفی میکند. سازمانها دیگر نیازی ندارند برای هر کاربر یک ایستگاه کاری فیزیکی گرانقیمت را آمادهسازی کنند، زیرا ایستگاههای کاری را میتوان با زیروکلاینتها یا تینکلاینتها جایگزین کرد. زیرساخت دسکتاپ مجازی میتواند ایستگاه کاری فیزیکی که کاربران از طریق پروتکل دسکتاپ از راه دور به آن دسترسی دارند را مجازی کند.
مدیریت دسکتاپهای فیزیکی به دلیل تنوع در سختافزارهای به کار گرفته شده در آنها فرآیندی وقتگیر و هزینهبر به شمار میرود. کاری که VMware Horizon View انجام میدهد این است که به دسکتاپهای مختلف اجازه میدهد بهعنوان دسکتاپهای جداگانه در یک سرور فیزیکی اجرا شوند. دسکتاپهای مجازی منابع سرور مانند پردازنده مرکزی، حافظه، فضای ذخیرهسازی و شبکه را به صورت اشتراکی مصرف میکنند. این مسئله مشکلات ناسازگاری سختافزارهایی که در گذشته ایستگاههای کاری فیزیکی با آن دست به گریبان بودند را برطرف میکند. برخلاف سرویسهای Windows Terminal که از محاسبات متمرکز استفاده میکنند، VMware Horizon View توان پردازشی مختص به هر دسکتاپ مجازی را ارائه میکند.
بدون اغراق باید بگوییم که مدیریت ایستگاههای کاری فیزیکی کابوسی شبانه برای سرپرستان شبکه به شمار میروند. هر ایستگاه کاری حاوی سیستمعامل خاص خود است که باید با برنامههای کاربر نصب و بارگذاری شود. سیستمعامل و برنامهها باید مرتباً با وصلههای امنیتی بهروزرسانیها شوند. در سویی دیگر، درایورهای سختافزاری میتوانند باعث ایجاد مشکلاتی در ایستگاههای کاری فیزیکی شوند. علاوه بر این داشتن مدلهای مختلفی از ایستگاههای کاری باعث میشود در زمان بروز مشکل وقت زیادی برای حل آنها صرف شود. شاید فرآیند مدیریت تعداد محدودی از ایستگاههای کاری فرآیند زمانبری نباشد، اما هنگامی که تعداد آنها به صدها و حتی هزاران ایستگاه کاری فیزیکی برسد، آنگاه به نیروی متخصص و صرف هزینههای زیاد نیاز دارید.
Horizon View با ارائه قابلیتهای مدیریتی متمرکز تمامی این مشکلات را برطرف میکند و با ایجاد دسکتاپهای اختصاصی به کاربران اجازه میدهد با سهولت بیشتری به دسکتاپهای مجازی دسترسی داشته باشند. در این حالت، فرآیند مدیریت دسکتاپها ارزانتر و سریعتر شده و منابع به شکل بهینهتری استفاده میشوند.
وصلههای امنیتی و بهروزرسانیهای سیستمعامل تنها روی ایمیج اصلی انجام میشود. در ادامه ایمیج بهروز شده جدید برای همه کاربران مستقر میشود. در این حالت، به جای آنکه بهروزرسانی دسکتاپهای فیزیکی هفتهها به طول انجامد اینکار در عرض چند ساعت یا حتی چند دقیقه انجام میشود. رویکرد فوق به ویژه در ارتباط با حملات روز صفر یک سپر دفاعی محکم در اختیار سازمانها قرار میدهد.
دیگر ضرورتی ندارد تا برنامهها روی هر ایستگاه کاری فیزیکی جداگانه نصب شوند. همه برنامههای پر کاربرد را میتوان روی یک ایمیج کاربر اصلی در زیرساخت دسکتاپ مجازی مستقر کرد و یک دسترسی به کاربران داد. همانند بهروزرسانی سیستمعامل، در ارتباط با برنامهها نیز تنها باید ایمیج اصلی که روی سرور بارگذاری شده وصله یا اصلاح شود.
در مجموع باید بگوییم که VMWare Horizon View به سازمان امکان میدهد در وقت، هزینه و منابع صرفهجویی کنند و یک محیط کاری متمرکز و یکپارچه را پیادهسازی کنند.
معایب VMware Horizon View
از مهمترین معایب Horizon View عبارتند از:
هنگامی که یک بانکاطلاعاتی و سرور جدید برای View Composer تعریف میکنید لازم است از مکانیزم احراز هویت SQL Authentication استفاده کنید، زیرا مکانیزم پیشفرض Windows Authentication پشتیبانی نمیشود. ادمینها تنها زمانی قادر به استفاده از مکانیزم فوق هستند که view composer و بانک اطلاعاتی هر دو روی یک سرور نصب شده باشند. بنابراین اگر ماشینهای جداگانهای برای اsql server و View Connection آماده کرده باشید، امکان بهکارگیری مکانیزم احراز هویت مبتنی بر اکتیو دایرکتوری برای ODBC Connection فراهم نیست.
پیادهسازی آن به وجود نیروهای متخصصی نیاز دارد که دانش خوبی در ارتباط با مجازی سازی و راهکارهای VMware داشته باشند.
پیکربندی آن روی شبکههای بزرگ ارتباطی کمی پیچیده است.
برای پیادهسازی معماری مرتبط با VMware Horizon به نقشه جامعی نیاز است و باید هر زمان تغییری در زیرساختها اعمال شد همه چیز به شکل مستند مکتوب شود.
گاهی اوقات در زمان برقراری ارتباطات ممکن است با پیغام خطاهای مرتبط با SSL با حداقل جزییات روبرو شوید که فرآیند اشکالزدایی را سخت میکنند.
VMwareHorizon برای تمامی کسبوکارها مناسب نیست و قبل از بهکارگیری آن ابتدا باید ملزومات سازمانی را شناسایی کرد.
اگر قرار است از ویدیو کنفرانسهای ویدیویی یا قرار ملاقاتهای آنلاین استفاده کنید بهترین راهحل در این زمینه Skype for Business است. در حالی که اگر دسترسی به برنامههایی مثل WebEx و Zoom و نمونههای مشابه فراهم باشد سازمانها انتخاب بیشتری در این زمینه داشتند.
مراحل نصب و راه اندازی VMware Horizon View
در این قسمت به بررسی اجزا و مولفه های VMware Horizon View و مراحل نصب و راه اندازی vmware horizon view میپردازیم. اجزا مورد نیاز در مجازیسازی Desktop با VMware Horizon عبارتند از:
۱. VMware Horizon View Connection Server
کانکشن سرور، بروکری است که تمام اتصالات View Client به View Desktop فراهم میکند. قبل از اینکه کلاینت بتواند به دسکتاپ وصل شود، باید احراز هویت از طریق پروتکل دسترسی اکتیو دایرکتوری و یا Lightweight انجام شود و سپس با امنیت کامل، اتصال به دسکتاپ برقرار میشود. کانکشن سرور، چک کردن پالیسی ها و Entitlement ها و مدیریت Session های دسکتاپ را هم بر عهده دارد. Connection Server به عنوان VMware View Manager هم شناخته میشود.
مولفه فوق سرور مدیریت مرکزی است که ارتباطات کاربران دسکتاپ مجازی را برقرار میکند و یک کپی از بانک اطلاعاتی LDAP سازمانی را ذخیره میکند.
کانشکن سرور، اولین و مهمترین مولفه برای راه اندازی VDI است که به عنوان سروری داخلی راهاندازی شده و وظیفه مدیریت و آمادهسازی دسکتاپها را برعهده دارد.
۲. VMware Horizon View Security Server
سرور Horizon View Security کارکردی شبیه به کانکشن سرور دارد با این تفاوت که در سمت DMZ شبکه قرار میگیرد.
۳. VMware Horizon View Replica Server
Replica Server، کپی از کانکشن سرور است. در مقاله “Security سرور و Replica سرور در راه اندازی VMware Horizon View” به آن پرداخته شده است.
۴. VMware Horizon View Composer Server
View composer چیست؟ View Composer برنامه آپشنالی است که برای کاهش مقدار فضای دیسک که View Desktop از سرور هاست استفاده میکند، به کار میرود. View Composer بسیار شبیه به مفهوم Snapshot در VMware است.
Vmware View مولفهای است که این امکان را فراهم میکند تا دسکتاپهای کاربران به جای آنکه روی کامپیوترهای شخصی قرار داشته باشند به سرور انتقال پیدا کنند و کاربران از تجهیزات ارزانقیمتتری مثل تینکلاینتها برای برقراری ارتباط با سرور مجازی ساز دسکتاپ استفاده کرده و فعالیتهای روزانه خود را انجام دهند.
به ازای اضافه شدن هر کاربر جدید به سامانه، فضای هارددیسک به میزان قابل توجهی مصرف میشود، View Composer سعی میکند از طریق تکنیکهایی مثل کلون یا ایمیجگیری از دسکتاپهای مجازی به صرفهجویی در منابع ذخیرهسازی بپردازد. بهطور مثال، قادر است از تکنیک کلونهای پیوند داده شده (Linked Clone) استفاده کرده یا دسکتاپهایی که برای مدت زمان طولانی به کار گرفته نشدهاند را حذف کند.
شما میتوانید این سرویس نرمافزاری را روی یک نمونه سرور vCenter یا سرور جداگانهای که ماشینهای مجازی را مدیریت میکند نصب کنید. سپس مولفه View Composer میتواند مجموعهای از کلونهای مرتبط از یک ماشین مجازی والد مشخص را ایجاد کند. این استراتژی هزینه ذخیرهسازی را به میزان ۹۰ درصد کاهش میدهد. هر کلون مرتبط مانند یک دسکتاپ مستقل، با نام میزبان و آدرس آیپی منحصر به فرد عمل میکند، با این حال کلون ساخته شده به فضای ذخیرهسازی قابل توجهی نیاز دارد، زیرا یک ایمیج پایه را با والد خود به اشتراک میگذارد.
از آنجایی که مخازن/استخرهای (Pools) دسکتاپ مرتبط با کلون یک ایمیج پایه هستند، سرپرستان شبکه میتوانند تنها با بهروزرسانی ماشین مجازی والد بهروزرسانیها و وصلهها را نصب کنند، در حالی که تغییری در تنظیمات، دادهها و برنامههای کاربران نهایی به وجود نمیآید.
علاوه بر این، این امکان فراهم است که از View Composer برای ساخت مزارع خودکار پیوند داده شده از طریق میزبانهایی که از پروتکل RDS مایکروسافت استفاده میکنند بهره برد تا برنامههای کاربردی را به شکل دقیقتری در اختیار کاربران نهایی قرار دهند. اگرچه این قابلیت وجود دارد که View Composer را روی میزبان سرور خود نصب کنید، اما به این نکته دقت کنید که سرویس View Composer تنها با یک نمونه سرور vCenter کار میکند. بهطور مشابه، یک نمونه سرور vCenter میتواند فقط با یک سرویس View Composer مرتبط باشد.
مولفه مذکور که روی سرور vCenter نصب شده و فضای ذخیرهسازی دسکتاپ مجازی vCenter Server را مدیریت میکند از طریق شبیهسازی پیوندها به بهبود فرآیند ذخیره سازی کمک میکند. مولفه فوق یک کپی از هارددیسک مجازی پایه متعلق به کاربر (VMDK) ایجاد میکند، دادههای کاربر را با نمونه دیسک اصلی مقایسه میکند و تنها دادههای غیر تکراری کاربر را به شکل محلی ذخیرهسازی میکند تا مشکل افزونگی دادهها به وجود نیاید. این روش میتواند چیزی در حدود پنجاه تا نود درصد در فضای دیسک صرفهجویی میکند. این مولفه از رویکرد شبیه سازی پیوندها برای متصل کردن دسکتاپهای مجازی به دیسکهای والد (Parent) استفاده میکند.
۵. VMware Horizon View Licenses
برای استفاده بهینه از هر برنامهای باید با تفاوتهای موجود بین انواع لایسنس های آن آشنایی داشته باشیم تا بر اساس نیازها بهترین انتخاب را انجام دهیم.
پروتکلهای ارتباطی و Display، برای برقراری ارتباط بین View Client و View Desktop استفاده میشود که عبارتند از Microsoft RDP و VMware PCoIP و Blast Extrem و Hewlett-Packard’s (HP’s) RDS.
۷. VMware Horizon View Client
View Client میتواند تین کلاینتی خاص باشد و یا دسکتاپ و لپ تاپی که برنامه کلاینت – Horizon View Client را اجرا میکند.
این مولفه به دسکتاپهای مجازی کاربران اجازه میدهد با View Connection Server ارتباط برقرار کرده و از طریق سرور اکتیو دایرکتوری که روی Connection Server نصب شده فرآیند احراز هویت را انجام دهند. مولفه فوق را میتوان روی ویندوز، مکاواس یا لینوکس نصب کرد.
۸. View Desktop
View Desktop معمولا ماشین مجازی ای است که روی هاست ESX/ESXi ذخیره میشود اما میتواند یک ترمینال سرور و یا دسکتاپ فیزیکی هم باشد. View Agent روی هر یک از این دستگاهها نصب میشود و برای نظارت و مانیتورینگ اتصال، با View Client ارتباط برقرار میکند. همچنین امکان پرینت و USB را فراهم میکند.
۹. View Agent
مولفهای است که باید بخش ثابت تمام ماشینهای مجازی باشد که قرار است توسط Horizon View Connection Server مدیریت شوند. در اینجا بهتر است عاملی (Agent) روی هر ماشین مجازی نصب شود تا در قالب یک میز کار مجازی در دسترس کاربران قرار گیرد. عامل مذکور ویژگیهای مهمی را برای دسکتاپهای مجازی ارائه میکند که از آن جمله باید به پشتیبانی از یواسبی، تجهیزات جانبی، چاپ کردن و نظارت بر اتصالات اشاره کرد.
۱۰. Horizon Administrator
Horizon Administrator یک رابط وبمحور برای مدیریت زیرساخت دسکتاپ مجازی Horizon VDI است. ویامویر پیشنهاد میکند برای هر سرور اتصال Horizon از یک نمونه مولفه Horizon Administrator استفاده کنید. با استفاده از رابط مذکور، مدیران میتوانند سرورهای vCenter و View Composers را به پیکربندی View اضافه کنند.
۱۱. Workspace ONE UEM
VMware Workspace ONE بستری است که به شما امکان میدهد با کنترل دسترسی یکپارچه، مدیریت برنامه مرکزی و مدیریت نقطه پایانی، برنامههای موردنیاز کاربران را در اختیار آنها قرار دهید. مولفه فوق مبتنی بر فناوری مدیریت یکپارچه (VMware unified endpoint management) است و قابلیت ادغام با VMware Horizon را دارد.
۱۲. Application Delivery
ویامویر از دو مولفه برای ارائه برنامهها به کاربران در محیط مبتنی بر VMware Horizon استفاده میکند:
Volume App: یک برنامه حساس به زمان است که برنامهها را به صورت پویا به دستگاههای کاربر تحویل داده و آنها را مدیریت میکند.
ThinApp: مجازی سازی برنامه بدون عامل (agentless) را ارائه میکند و به کاربران اجازه میدهد بدون نیاز به نصب نرمافزار روی دستگاههای شخصی خود به برنامههای راه دور دسترسی پیدا کنند.