Fortinet، به عنوان یکی از پیشگامان عرصه امنیت سایبری، همواره در حال توسعه و بهینهسازی سیستم عامل اختصاصی خود، یعنی FortiOS است. در یکی از قابل توجهترین تغییرات اخیر، این شرکت اعلام کرده است که پشتیبانی از قابلیتهای پیشرفته پروکسی (Proxy-based Features) در سیستم عامل FortiOS نسخه ۷.۴ و بالاتر، بر روی تمامی مدلهای فورتیگیت (FortiGate) که دارای حافظه رم (RAM) کمتر از ۲ گیگابایت هستند، حذف خواهد شد. این تصمیم تأثیر مستقیم و گستردهای بر روی مدلهای قدیمیتر و رده پایین این محصول خواهد داشت و درک دلایل و پیامدهای آن برای مدیران شبکه و متخصصان امنیتی امری ضروری است.
قابلیتهای پروکسی (Proxy-based Features) چه هستند؟
قابلیتهای مبتنی بر پروکسی در فورتیگیت، هسته مرکزی دفاع در عمق (Defense-in-Depth) این دستگاه را تشکیل میدهند. این ویژگیها به جای بررسی سطحی هدر بستههای شبکه (Packet Filtering)، به بررسی عمیق محتوای ترافیک میپردازند. از مهمترین این قابلیتها میتوان به فایروال برنامهمحور (Application Firewall)، فیلترگذاری وب (Web Filtering) با پایگاه داده جامع، کنترل برنامه (Application Control)، آنتیویروس (Antivirus)، پویش ضد جاسوسافزار (Anti-Spyware) و حفاظت از نشت داده (Data Loss Prevention یا DLP) اشاره کرد. این سرویسها برای شناسایی و مقابله با تهدیدات پیچیده، نیازمند بازکردن، آنالیز و بازسازی ترافیک در لایه کاربرد (Layer 7) هستند که فرآیندی بسیار منابعبر محسوب میشود.
چرا Fortinet این تغییر را اعمال میکند؟ (دلایل فنی)
دلایل اصلی این تصمیم، ریشه در چالشهای فنی و امنیتی دارد. اولاً، حجم و پیچیدگی تهدیدات سایبری امروزی به طور تصاعدی در حال افزایش است. الگوهای حمله، کدهای مخرب و تکنیکهای فرار از تشخیص، روزبهروز پیشرفتهتر میشوند. برای مقابله مؤثر با این تهدیدات، موتورهای امنیتی پروکسی (مانند موتور آنتیویروس و IPS) نیاز به حافظه رم بیشتری برای بارگذاری پایگاه دادههای بزرگ امضا (Signature Databases) و انجام پردازشهای سنگین دارند. ثانیاً، دستگاههای با رم کمتر از ۲ گیگابایت، فاقد ظرفیت لازم برای اجرای همزمان و روان این سرویسهای پیشرفته هستند که میتواند منجر به کاهش محسوس کارایی (Performance Degradation)، افزایش تأخیر (Latency) و حتی ریستهای غیرمنتظره دستگاه به دلیل اتمام منابع (Out of Memory) شود.
تأثیر مستقیم بر مدلهای خاص و گزینههای پیش رو
این تغییر به طور خاص مدلهای سری ۴۰، ۵۰، ۶۰ و ۸۰ و همچنین سایر مدلهای قدیمی با رم محدود را تحت تأثیر قرار میدهد. پس از بهروزرسانی به FortiOS 7.4 یا بالاتر، این دستگاهها دیگر قادر به فعالسازی قابلیتهای پروکسی نخواهند بود. تنها پروفایل های امنیتی مبتنی بر فیلترگذاری ساده بسته (Packet Inspection) و تهدیدات شناختهشده (Threat Feeds) در دسترس خواهند بود. در چنین سناریویی، سازمانها و کاربران دارای این مدلها سه راه حل اصلی پیش رو دارند: ۱) ادامه استفاده از دستگاه در حالت محدود شده که سطح امنیتی پایینتری را ارائه میدهد. ۲) پایین آوردن نسخه سیستم عامل به نسخههای قدیمیتر (مانند ۷.۲) که هنوز از این قابلیتها پشتیبانی میکنند (راه حلی موقت و نامطلوب از نظر امنیتی). ۳) ارتقاء سختافزاری و سرمایهگذاری بر روی مدلهای جدیدتر فورتیگیت که از رم کافی (۲ گیگابایت و بالاتر) برخوردار هستند.
پیامدهای امنیتی و استراتژیک برای سازمانها
از دیدگاه امنیتی، استفاده از یک فایروال نسل جدید (NGFW) بدون قابلیتهای پروکسی، مانند داشتن یک خودروی فرمول یک با حداکثر سرعت ۶۰ کیلومتر بر ساعت است. سازمانها در معرض تهدیداتی قرار میگیرند که تنها توسط آنالیز عمیق محتوا قابل شناسایی هستند؛ تهدیداتی مانند باجافزارهای ناشناخته (Zero-day Ransomware)، بدافزارهای مبتنی بر وب (Malicious Scripts) و نقض مقررات حفاظت از داده. این تغییر، سازمانها را مجبور میسازد تا به طور جدی به فکر چرخه عمر (Lifecycle) تجهیزات شبکه خود باشند و بودجهریزی برای بهروزرسانی سختافزار را در استراتژی بلندمدت خود بگنجانند.
تمایز بین حالتهای عملیاتی Flow-based و Proxy-based
یک نکته کلیدی برای درک این تغییر، آشنایی با دو حالت عملیاتی اصلی در FortiGate است: حالت Flow-based و حالت Proxy-based. در حالت Flow-based که سبکتر است، دستگاه به بررسی اولیه بستههای شبکه و مقایسه ترافیک با امضاهای شناختهشده میپردازد. این حالت اگرچه سریع و کمتأخیر است، اما در شناسایی تهدیدات پیچیده، بدافزارهای چندبخشی (Polymorphic Malware) و حملات لایه کاربرد دقت کمتری دارد. در مقابل، حالت Proxy-based که منابع بیشتری طلب میکند، ترافیک را به طور کامل بازسازی کرده و مانند یک واسطه کامل (Man-in-the-Middle) عمل مینماید. این امکان را فراهم میسازد تا محتوای فایلها، اسکریپتها و کدهای وبسایتها قبل از رسیدن به کاربر نهایی، به طور عمیق و بدون عجله بررسی شوند. حذف پشتیبانی از Proxy در دستگاههای کمرم، به معنای محدود شدن این دستگاهها به حالت Flow-based و از دست دادن این لایه حیاتی از دفاع است.
تأثیر بر معماری امنیتی و تفکیک پروفایلها
این تغییر مستقیماً بر طراحی پروفایلهای امنیتی تأثیر خواهد گذاشت. پس از اعمال این محدودیت، مدیران شبکه روی دستگاههای affected خواهند دید که گزینههای مربوط به “Proxy Options” در پروفایلهای امنیتی ناپدید شده یا غیرفعال شدهاند. برای مثال، در پروفایل آنتیویروس، گزینههای پیشرفتهای مانند اسکن فایلهای فشرده (Archive Scanning) با عمق زیاد، یا در پروفایل فیلترگذاری وب، قابلیت بازرسی SSL عمیق (Deep SSL Inspection) برای رمزگشایی و بررسی ترافیک HTTPS، دیگر در دسترس نخواهد بود. این امر مدیران را مجبور میکند تا پروفایلهای امنیتی خود را بر اساس فیلترگذاری امضا (Signature-based Filtering) و هوش تهدید (Threat Intelligence Feeds) بازتعریف کنند، که اگرچه مفید است، اما به اندازه تکنیکهای مبتنی بر پروکسی در برابر حملات Zero-day و ناشناخته مؤثر نیست.
ملاحظات مربوط به چرخه عمر محصول و برنامهریزی ارتقاء
این حرکت Fortinet یک نمونه کلاسیک از “اتمام پشتیبانی نرمافزاری برای سختافزارهای قدیمی” (Software End-of-Life for Legacy Hardware) است. شرکتهایی که از مدلهای قدیمی فورتیگیت استفاده میکنند، اکنون در نقطه عطف چرخه عمر محصول خود قرار گرفتهاند. ادامه استفاده از این دستگاهها با نسخههای قدیمیتر سیستم عامل، آنها را در معرض باگهای امنیتی رفعنشده و عدم پشتیبانی فنی قرار میدهد. از طرفی، ارتقاء به مدلهای جدیدتر نه تنها نیازهای امنیتی فعلی را برطرف میکند، بلکه مزایای دیگری همچون پردازندههای قویتر، پورتهای سریعتر (مانند 10Gbps یا 40Gbps)، و پشتیبانی از فناوریهای نوظهور مانند SD-WAN و ZTNA را نیز به ارمغان میآورد. بنابراین، این تغییر را باید یک هشدار تجاری برای برنامهریزی یک مهاجرت کنترلشده و به موقع در نظر گرفت.
جایگزینهای ممکن در معماری شبکه
برای سازمانهایی که به دلایل بودجهای نمیتوانند بلافاصله تمامی دستگاههای قدیمی را ارتقاء دهند، میتوان معماری شبکه را به گونهای بازطراحی کرد که بار بررسی ترافیک پروکسی بر عهده دستگاه دیگری گذاشته شود. یک راهحل، استفاده از یک مدل قویتر فورتیگیت (مانند یک مدل از سری 100F یا بالاتر) در هسته مرکزی شبکه به عنوان “لایه پروکسی اختصاصی” است، در حالی که دستگاههای قدیمیتر در نقش روتر یا فایروال لبه در حالت Flow-based به کار خود ادامه دهند. راهحل دیگر، بررسی سرویسهای امنیتی ابری (Cloud-based Security Services) مانند CASB یا Secure Web Gateway است که میتوانند بخشی از وظایف بازرسی پروکسی را به محیط ابر منتقل کنند. این معماریهای ترکیبی (Hybrid Architectures) میتوانند یک راهحل موقت و مقرونبهصرفه برای عبور از این دوره انتقالی باشند.
پیامدهای عملکردی و تأثیر بر تجربه کاربری
حذف قابلیتهای پروکسی در دستگاههای کمحافظه، تأثیر مستقیمی بر عملکرد و تجربه کاربری خواهد داشت. در حالت Proxy-based، دستگاه قادر است ترافیک رمزگشایی شده را بررسی کرده و محتوای مخرب را مسدود کند، اما در حالت Flow-based تنها امکان شناسایی الگوهای شناخته شده تهدیدات وجود دارد. این مسئله باعث میشود دستگاههای فاقد حافظه کافی نتوانند به طور مؤثر با تهدیدات نوظهور مقابله کنند. همچنین، کاهش سطح بازرسی میتواند منجر به افزایش ناخواسته ترافیک مخرب شود و در نهایت بار پردازشی بیشتری بر روی دستگاههای انتهایی ایجاد کند.
چالشهای مدیریتی و پشتیبانی فنی
این تغییر، چالشهای مدیریتی قابل توجهی برای سازمانها به همراه خواهد داشت. مدیران شبکه باید سیاستهای امنیتی خود را بازنگری کنند و راهکارهای جایگزین برای تأمین امنیت لایه کاربرد بیابند. همچنین، پشتیبانی فنی Fortinet برای دستگاههای قدیمیتر محدود خواهد شد و به روزرسانیهای امنیتی فقط برای مدلهای دارای حافظه کافی ارائه خواهد شد. این مسئله میتواند سازمانها را با ریسک امنیتی قابل توجهی مواجه کند، چرا که دستگاههای قدیمی در برابر آسیبپذیریهای جدید بی دفاع خواهند بود.
راهکارهای مهاجرت و برنامهریزی انتقال
برای مواجهه مؤثر با این تغییر، سازمانها باید برنامه مهاجرت مناسبی تدوین کنند. اولین قدم، تهیه فهرستی از کلیه دستگاههای FortiGate موجود و بررسی مشخصات سختافزاری آنها است. سپس باید نیازهای امنیتی هر بخش ارزیابی شده و اولویتبندی انجام شود. راهکارهای ممکن شامل:
-جایگزینی تدریجی دستگاههای قدیمی با مدلهای جدیدتر
-استقرار معماری چندلایه امنیتی با استفاده از راهکارهای تخصصی پروکسی
-به کارگیری سرویسهای امنیتی ابری برای تکمیل قابلیتهای از دست رفته
تأثیر بر بازار و جایگاه رقابتی Fortinet
این تصمیم Fortinet میتواند تأثیر قابل توجهی بر جایگاه رقابتی این شرکت در بازار داشته باشد. از یک سو، این حرکت نشان دهنده تعهد Fortinet به حفظ استانداردهای امنیتی بالا است. از سوی دیگر، ممکن است برخی مشتریان که به دنبال راهکارهای مقرون به صرفه برای محیطهای کوچک هستند، به سمت رقبا گرایش پیدا کنند. همچنین، این تغییر میتواند فرصتی برای رقبایی باشد که راهکارهای سبکتر و مناسبتر برای دستگاههای کمحافظه ارائه میدهند.
تأثیر بر محیطهای سازی و ابری
این تغییر سیاست تنها به دستگاههای فیزیکی محدود نمیشود. نسخههای مجازی (vFortiGate) و نمونههای ابری FortiGate نیز تابع این قانون خواهند بود. اگر یک vFortiGate با حافظه اختصاصیافته کمتر از ۲ گیگابایت پیکربندی شده باشد، حتی با وجود منابع قابل گسترش میزبان، قابلیتهای پروکسی را از دست خواهد داد. این مسئله چالشهای خاصی را برای محیطهای ابری ترکیبی (Hybrid Cloud) و سازمانهایی که از زیرساخت نرمافزار محور (SDI) استفاده میکنند، ایجاد میکند و نیازمند بازنگری در تخصیص منابع به نمونههای مجازی است.
ملاحظات امنیتی برای صنایع خاص و تنظیمگرها
برای سازمانهای فعال در صنایع شدیداً مقرراتی مانند سلامت، مالی و دولتی، این تغییر میتواند پیامدهای جدی داشته باشد. بسیاری از چارچوبهای انطباقی مانند HIPAA، PCI-DSS و NIST مستلزم استفاده از کنترلهای امنیتی پیشرفته در لایه کاربرد هستند. از دست دادن قابلیتهای پروکسی ممکن است این سازمانها را در معرض عدم انطباق با مقررات قرار دهد. این سازمانها باید فوراً ممیزی امنیتی انجام داده و برای ارتقاء سختافزاری یا استقرار راهکارهای مکمل برنامهریزی کنند.
راهکارهای مدیریت یکپارچه تهدید برای دستگاههای قدیمی
سازمانها میتوانند از طریق FortiManager و FortiAnalyzer راهکارهای مدیریتی برای این چالش بیابند. با استفاده از این پلتفرمها میتوان سیاستهای امنیتی متمرکز تعریف کرد و دستگاههای قدیمی را در کنار مدلهای جدیدتر مدیریت نمود. همچنین با تجزیه و تحلیل لاگها و گزارشهای یکپارچه، میتوان شکافهای امنیتی ایجاد شده را شناسایی و با استفاده از سایر قابلیتهای پلتفرم Fortinet مانند FortiEDR یا FortiWeb آنها را پوشش داد.
زمانبندی بهروزرسانی و برنامه مهاجرت عملی
Fortinet معمولاً این تغییرات را به تدریج و در چندین نسخه از سیستم عامل اعمال میکند. توصیه میشود سازمانها برنامه مهاجرت مرحلهای تدوین کنند که شامل این مراحل است: ابتدا تهیه فهرست دقیق از دستگاههای موجود، سپس اولویتبندی بر اساس حساسیت workloadها، بعد تست کامل compatibility در محیط آزمایشگاهی، و در نهایت اجرای برنامه مهاجرت با درنظرگیری بودجه و زمانبندی مناسب. بهترین راهکار، برنامهریزی برای تکمیل فرآیند مهاجرت قبل از قطع کامل پشتیبانی از نسخههای قدیمیتر سیستم عامل است.
نتیجهگیری
تغییر سیاست Fortinet در حذف پشتیبانی از قابلیتهای پروکسی در دستگاههای با حافظه کمتر از ۲ گیگابایت، صرفاً یک بهروزرسانی فنی نیست، بلکه نشاندهنده تحول اساسی در معماری امنیت سایبری است. این تصمیم به وضوح نشان میدهد که الزامات امنیتی مدرن برای مقابله با تهدیدات پیچیده امروزی، مستلزم سختافزارهای قدرتمند و بهروز است.
از دیدگاه فنی، این تغییر یک الزام اجتنابناپذیر بود. با افزایش حجم و پیچیدگی تهدیدات سایبری، بهویژه در لایه کاربرد، قابلیتهای مبتنی بر پروکسی به منابع سختافزاری قابل توجهی نیاز دارند. دستگاههای کمحافظه فاقد ظرفیت لازم برای اجرای مؤثر این قابلیتها هستند و ادامه پشتیبانی از آنها میتواند باعث ایجاد نقاط ضعف امنیتی در شبکه شود.
برای سازمانها و متخصصان امنیت، این تغییر چندین پیامد کلیدی دارد:
-ضرورت بازنگری در استراتژی مدیریت چرخه عمر تجهیزات امنیتی
-لزوم برنامهریزی برای مهاجرت به سکوهای سختافزاری قدرتمندتر
-اهمیت طراحی معماری امنیتی چندلایه و یکپارچه
-توجه به راهکارهای ترکیبی شامل سرویسهای ابری و راهکارهای مکمل
در نهایت، این حرکت Fortinet تأکید مجددی بر این اصل بنیادین امنیت است: “امنیت مؤثر نیازمند هماهنگی و سازگاری بین سختافزار، نرمافزار و استراتژی است.” سازمانهایی که این تغییر را به عنوان یک فرصت برای بازنگری و تقویت زیرساخت امنیتی خود در نظر گیرند، نه تنها از عهده این تحول برخواهند آمد، بلکه موقعیت بهتری در برابر تهدیدات آینده خواهند داشت. آینده امنیت سایبری به سمت راهکارهای یکپارچه، هوشمند و مقیاسپذیر پیش میرود و سرمایهگذاری بر زیرساختهای مناسب، شرط لازم برای موفقیت در این مسیر است.

