NetzwerkpaketbrokerGeräte verarbeiten den Netzwerkverkehr, sodass andere Überwachungsgeräte, beispielsweise solche zur Überwachung der Netzwerkleistung und der Sicherheit, effizienter arbeiten können. Zu den Funktionen gehören Paketfilterung zur Identifizierung von Risikostufen und Paketlasten sowie das Einfügen hardwarebasierter Zeitstempel.
NetzwerksicherheitsarchitektBezieht sich auf eine Reihe von Verantwortlichkeiten im Zusammenhang mit der Cloud-Sicherheitsarchitektur, der Netzwerksicherheitsarchitektur und der Datensicherheitsarchitektur. Je nach Größe der Organisation kann für jeden Bereich ein Mitglied verantwortlich sein. Alternativ kann die Organisation einen Vorgesetzten benennen. In jedem Fall müssen Organisationen die Verantwortlichen definieren und sie befähigen, unternehmenskritische Entscheidungen zu treffen.
Die Netzwerkrisikobewertung bietet eine vollständige Liste der Möglichkeiten, wie interne oder externe böswillige oder fehlgeleitete Angriffe zur Vernetzung von Ressourcen eingesetzt werden können. Eine umfassende Bewertung ermöglicht es einem Unternehmen, Risiken zu definieren und durch Sicherheitskontrollen zu minimieren. Zu diesen Risiken können gehören:
- Unzureichendes Verständnis von Systemen oder Prozessen
- Systeme, deren Risikoniveaus schwer zu messen sind
- „Hybridsysteme“, die geschäftlichen und technischen Risiken ausgesetzt sind
Die Entwicklung effektiver Schätzungen erfordert die Zusammenarbeit zwischen IT- und Geschäftsbereichen, um das Ausmaß des Risikos zu verstehen. Die Zusammenarbeit und die Entwicklung eines Prozesses zum Verständnis des Gesamtrisikos ist ebenso wichtig wie die endgültige Risikodefinition.
Zero Trust Architektur (ZTA)ist ein Netzwerksicherheitsparadigma, das davon ausgeht, dass einige Besucher im Netzwerk gefährlich sind und es zu viele Zugriffspunkte gibt, um einen vollständigen Schutz zu gewährleisten. Schützen Sie daher effektiv die Ressourcen im Netzwerk und nicht das Netzwerk selbst. Da der Agent dem Benutzer zugeordnet ist, entscheidet er anhand eines Risikoprofils, das auf der Kombination kontextbezogener Faktoren wie Anwendung, Standort, Benutzer, Gerät, Zeitraum, Datensensibilität usw. basiert, über die Genehmigung jeder Zugriffsanforderung. Wie der Name schon sagt, ist ZTA eine Architektur, kein Produkt. Sie können sie nicht kaufen, aber Sie können sie basierend auf einigen der darin enthaltenen technischen Elemente entwickeln.
Netzwerk-Firewallist ein ausgereiftes und bekanntes Sicherheitsprodukt mit einer Reihe von Funktionen, die den direkten Zugriff auf gehostete Unternehmensanwendungen und Datenserver verhindern. Netzwerk-Firewalls bieten Flexibilität sowohl für interne Netzwerke als auch für die Cloud. Für die Cloud gibt es Cloud-zentrierte Angebote sowie Methoden von IaaS-Anbietern, um einige der gleichen Funktionen zu implementieren.
Secureweb Gatewayhaben sich von der Optimierung der Internetbandbreite zum Schutz der Benutzer vor bösartigen Angriffen aus dem Internet entwickelt. URL-Filterung, Virenschutz, Entschlüsselung und Überprüfung von über HTTPS aufgerufenen Websites, Data Breach Prevention (DLP) und eingeschränkte Formen von Cloud Access Security Agents (CASB) gehören heute zu den Standardfunktionen.
Fernzugriffsetzt immer weniger auf VPN, sondern immer mehr auf Zero-Trust Network Access (ZTNA), der es Benutzern ermöglicht, über Kontextprofile auf einzelne Anwendungen zuzugreifen, ohne für Assets sichtbar zu sein.
Intrusion Prevention Systeme (IPS)Verhindern Sie Angriffe auf ungepatchte Schwachstellen, indem Sie IPS-Geräte mit ungepatchten Servern verbinden, um Angriffe zu erkennen und zu blockieren. IPS-Funktionen sind mittlerweile oft in anderen Sicherheitsprodukten enthalten, es gibt aber auch noch eigenständige Produkte. IPS erfreuen sich wieder zunehmender Beliebtheit, da sie durch die Cloud-native Steuerung langsam in den Prozess integriert werden.
NetzwerkzugriffskontrolleBietet Einblick in alle Inhalte im Netzwerk und Kontrolle über den Zugriff auf die richtlinienbasierte Unternehmensnetzwerkinfrastruktur. Richtlinien können den Zugriff basierend auf der Rolle eines Benutzers, der Authentifizierung oder anderen Elementen definieren.
DNS-Bereinigung (bereinigtes Domain Name System)ist ein vom Anbieter bereitgestellter Dienst, der als Domänennamensystem einer Organisation fungiert, um zu verhindern, dass Endbenutzer (einschließlich Remote-Mitarbeiter) auf unseriöse Websites zugreifen.
DDoSmitigation (DDoS-Abwehr)begrenzt die zerstörerischen Auswirkungen von Distributed-Denial-of-Service-Angriffen auf das Netzwerk. Das Produkt verfolgt einen mehrschichtigen Ansatz zum Schutz der Netzwerkressourcen innerhalb der Firewall, der vor der Netzwerk-Firewall bereitgestellten Ressourcen und der Ressourcen außerhalb des Unternehmens, wie z. B. Netzwerke von Ressourcen von Internetdienstanbietern oder Content Delivery.
Netzwerksicherheitsrichtlinienverwaltung (NSPM)umfasst Analysen und Audits zur Optimierung der Regeln für die Netzwerksicherheit sowie Änderungsmanagement-Workflows, Regeltests, Compliance-Bewertungen und Visualisierung. Das NSPM-Tool kann mithilfe einer visuellen Netzwerkkarte alle Geräte und Firewall-Zugriffsregeln anzeigen, die mehrere Netzwerkpfade abdecken.
Mikrosegmentierungist eine Technik, die verhindert, dass bereits bestehende Netzwerkangriffe horizontal auf kritische Ressourcen zugreifen. Mikroisolationstools für die Netzwerksicherheit lassen sich in drei Kategorien einteilen:
- Netzwerkbasierte Tools, die auf der Netzwerkebene eingesetzt werden, oft in Verbindung mit softwaredefinierten Netzwerken, um mit dem Netzwerk verbundene Assets zu schützen.
- Hypervisor-basierte Tools sind primitive Formen von Differenzsegmenten zur Verbesserung der Sichtbarkeit undurchsichtigen Netzwerkverkehrs zwischen Hypervisoren.
- Host-Agent-basierte Tools, die Agenten auf Hosts installieren, die sie vom Rest des Netzwerks isolieren möchten. Die Host-Agent-Lösung funktioniert gleichermaßen gut für Cloud-Workloads, Hypervisor-Workloads und physische Server.
Secure Access Service Edge (SASE)ist ein neues Framework, das umfassende Netzwerksicherheitsfunktionen wie SWG, SD-WAN und ZTNA sowie umfassende WAN-Funktionen kombiniert, um die Anforderungen von Unternehmen an den sicheren Zugriff zu erfüllen. SASE ist eher ein Konzept als ein Framework und zielt darauf ab, ein einheitliches Sicherheitsdienstmodell bereitzustellen, das netzwerkübergreifende Funktionalität skalierbar, flexibel und mit geringer Latenz bereitstellt.
Netzwerkerkennung und -reaktion (NDR)Analysiert kontinuierlich ein- und ausgehenden Datenverkehr sowie Verkehrsprotokolle, um das normale Netzwerkverhalten aufzuzeichnen. So können Anomalien erkannt und Unternehmen darüber informiert werden. Diese Tools kombinieren maschinelles Lernen (ML), Heuristik, Analyse und regelbasierte Erkennung.
DNS-Sicherheitserweiterungensind Erweiterungen des DNS-Protokolls und dienen der Überprüfung von DNS-Antworten. Die Sicherheitsvorteile von DNSSEC erfordern die digitale Signierung authentifizierter DNS-Daten, ein prozessorintensiver Prozess.
Firewall als Service (FWaaS)ist eine neue Technologie, die eng mit Cloud-basierten SWGS verwandt ist. Der Unterschied liegt in der Architektur: FWaaS läuft über VPN-Verbindungen zwischen Endpunkten und Geräten am Netzwerkrand sowie über einen Sicherheits-Stack in der Cloud. Endbenutzer können außerdem über VPN-Tunnel mit lokalen Diensten verbunden werden. FWaaS ist derzeit deutlich seltener als SWGS.
Veröffentlichungszeit: 23. März 2022
