Broker pakietów sieciowychurządzenia przetwarzają ruch sieciowy, dzięki czemu inne urządzenia monitorujące, takie jak te przeznaczone do monitorowania wydajności sieci i monitorowania związanego z bezpieczeństwem, mogą działać wydajniej. Funkcje obejmują filtrowanie pakietów w celu identyfikacji poziomów ryzyka, obciążenia pakietów i sprzętowego wstawiania znaczników czasu.
Architekt Bezpieczeństwa Sieciodnosi się do zestawu obowiązków związanych z architekturą bezpieczeństwa chmury, architekturą bezpieczeństwa sieci i architekturą bezpieczeństwa danych. W zależności od wielkości organizacji za każdą domenę może odpowiadać jeden członek. Alternatywnie organizacja może wybrać przełożonego. Tak czy inaczej, organizacje muszą określić, kto jest odpowiedzialny i upoważnić go do podejmowania decyzji o znaczeniu krytycznym.
Ocena ryzyka sieciowego to pełna lista sposobów wykorzystania wewnętrznych lub zewnętrznych złośliwych lub źle ukierunkowanych ataków do łączenia zasobów. Kompleksowa ocena pozwala organizacji zdefiniować ryzyko i złagodzić je poprzez kontrole bezpieczeństwa. Ryzyka te mogą obejmować:
- Niewystarczające zrozumienie systemów lub procesów
- Systemy, w przypadku których trudno zmierzyć poziom ryzyka
- Systemy „hybrydowe” narażone na ryzyko biznesowe i techniczne
Opracowanie skutecznych szacunków wymaga współpracy pomiędzy interesariuszami IT i biznesowymi, aby zrozumieć zakres ryzyka. Wspólna praca i stworzenie procesu zrozumienia szerszego obrazu ryzyka jest tak samo ważne jak ostateczny zestaw ryzyka.
Architektura Zero Trust (ZTA)to paradygmat bezpieczeństwa sieci, który zakłada, że niektórzy odwiedzający sieć są niebezpieczni i że istnieje zbyt wiele punktów dostępu, aby zapewnić pełną ochronę. Dlatego skutecznie chroń zasoby w sieci, a nie samą sieć. Ponieważ jest powiązany z użytkownikiem, agent decyduje, czy zatwierdzić każde żądanie dostępu w oparciu o profil ryzyka obliczony na podstawie kombinacji czynników kontekstowych, takich jak aplikacja, lokalizacja, użytkownik, urządzenie, okres czasu, wrażliwość danych i tak dalej. Jak sama nazwa wskazuje, ZTA to architektura, a nie produkt. Nie można go kupić, ale można go rozwinąć w oparciu o niektóre zawarte w nim elementy techniczne.
Zapora sieciowato dojrzały i dobrze znany produkt zabezpieczający z szeregiem funkcji zaprojektowanych w celu zapobiegania bezpośredniemu dostępowi do hostowanych aplikacji organizacji i serwerów danych. Zapory sieciowe zapewniają elastyczność zarówno dla sieci wewnętrznych, jak i chmury. W przypadku chmury dostępne są oferty skoncentrowane na chmurze, a także metody wdrażane przez dostawców IaaS w celu wdrożenia niektórych z tych samych możliwości.
Bezpieczna bramka internetowaewoluowały od optymalizacji przepustowości Internetu do ochrony użytkowników przed złośliwymi atakami z Internetu. Filtrowanie adresów URL, ochrona antywirusowa, odszyfrowywanie i inspekcja stron internetowych dostępnych za pośrednictwem protokołu HTTPS, zapobieganie naruszeniom danych (DLP) i ograniczone formy agenta bezpieczeństwa dostępu do chmury (CASB) to obecnie standardowe funkcje.
Dostęp zdalnyw coraz mniejszym stopniu opiera się na VPN, ale coraz bardziej na dostępie sieciowym o zerowym zaufaniu (ZTNA), który umożliwia użytkownikom dostęp do poszczególnych aplikacji za pomocą profili kontekstowych bez bycia widocznym dla zasobów.
Systemy zapobiegania włamaniom (IPS)zapobiegaj atakom na niezałatane luki w zabezpieczeniach, podłączając urządzenia IPS do niezałatanych serwerów w celu wykrywania i blokowania ataków. Funkcje IPS są obecnie często uwzględniane w innych produktach zabezpieczających, ale nadal istnieją produkty samodzielne. IPS zaczynają ponownie rosnąć, ponieważ natywna kontrola w chmurze powoli włącza je do tego procesu.
Kontrola dostępu do siecizapewnia widoczność wszystkich treści w sieci i kontrolę dostępu do infrastruktury sieci korporacyjnej opartej na zasadach. Zasady mogą definiować dostęp na podstawie roli użytkownika, uwierzytelnienia lub innych elementów.
Czyszczenie DNS (oczyszczony system nazw domen)to usługa świadczona przez dostawcę, która działa jako system nazw domen organizacji i uniemożliwia użytkownikom końcowym (w tym pracownikom zdalnym) dostęp do witryn o złej reputacji.
Łagodzenie DDoS (łagodzenie DDoS)ogranicza destrukcyjny wpływ rozproszonych ataków typu „odmowa usługi” na sieć. Produkt wykorzystuje wielowarstwowe podejście do ochrony zasobów sieciowych znajdujących się wewnątrz zapory ogniowej, tych wdrożonych przed zaporą sieciową oraz tych znajdujących się na zewnątrz organizacji, takich jak sieci zasobów dostawców usług internetowych lub dostarczanie treści.
Zarządzanie polityką bezpieczeństwa sieci (NSPM)obejmuje analizę i audyt w celu optymalizacji reguł rządzących bezpieczeństwem sieci, a także przepływy pracy związane z zarządzaniem zmianami, testowanie reguł, ocenę zgodności i wizualizację. Narzędzie NSPM może używać wizualnej mapy sieci, aby pokazać wszystkie urządzenia i reguły dostępu zapory sieciowej, które obejmują wiele ścieżek sieciowych.
Mikrosegmentacjato technika zapobiegająca przemieszczaniu się w poziomie już występujących ataków sieciowych w celu uzyskania dostępu do krytycznych zasobów. Narzędzia do mikroizolacji zapewniające bezpieczeństwo sieci można podzielić na trzy kategorie:
- Narzędzia sieciowe wdrażane w warstwie sieci, często w połączeniu z sieciami zdefiniowanymi programowo, w celu ochrony zasobów podłączonych do sieci.
- Narzędzia oparte na hypervisorach to prymitywne formy segmentów różnicowych poprawiające widoczność nieprzejrzystego ruchu sieciowego przemieszczającego się pomiędzy hypervisorami.
- Narzędzia oparte na agentach hosta, które instalują agentów na hostach, które chcą odizolować od reszty sieci; Rozwiązanie agenta hosta działa równie dobrze w przypadku obciążeń w chmurze, obciążeń hypervisora i serwerów fizycznych.
Krawędź usługi bezpiecznego dostępu (SASE)to wyłaniająca się platforma, która łączy wszechstronne możliwości bezpieczeństwa sieci, takie jak SWG, SD-WAN i ZTNA, a także wszechstronne możliwości sieci WAN w celu wspierania potrzeb organizacji w zakresie bezpiecznego dostępu. SASE to bardziej koncepcja niż struktura, której celem jest zapewnienie ujednoliconego modelu usług bezpieczeństwa, który zapewnia funkcjonalność w sieciach w sposób skalowalny, elastyczny i charakteryzujący się niskimi opóźnieniami.
Wykrywanie i reagowanie sieci (NDR)stale analizuje ruch przychodzący i wychodzący oraz dzienniki ruchu, aby rejestrować normalne zachowanie sieci, dzięki czemu można identyfikować anomalie i powiadamiać organizacje. Narzędzia te łączą uczenie maszynowe (ML), heurystykę, analizę i wykrywanie oparte na regułach.
Rozszerzenia zabezpieczeń DNSsą dodatkami do protokołu DNS i służą do weryfikacji odpowiedzi DNS. Korzyści związane z bezpieczeństwem DNSSEC wymagają cyfrowego podpisywania uwierzytelnionych danych DNS, co jest procesem intensywnie obciążającym procesor.
Zapora sieciowa jako usługa (FWaaS)to nowa technologia ściśle powiązana z chmurowym SWGS. Różnica polega na architekturze, w której FWaaS działa poprzez połączenia VPN pomiędzy punktami końcowymi i urządzeniami na brzegu sieci, a także stos bezpieczeństwa w chmurze. Może także łączyć użytkowników końcowych z usługami lokalnymi za pośrednictwem tuneli VPN. FWaaS są obecnie znacznie mniej powszechne niż SWGS.
Czas publikacji: 23 marca 2022 r