NetzwerkpaketbrokerGeräte verarbeiten den Netzwerkverkehr, sodass andere Überwachungsgeräte, beispielsweise solche zur Überwachung der Netzwerkleistung und der Sicherheit, effizienter arbeiten können. Zu den Funktionen gehören Paketfilterung zur Ermittlung von Risikostufen und Paketlasten sowie das Einfügen hardwarebasierter Zeitstempel.
NetzwerksicherheitsarchitektBezieht sich auf eine Reihe von Verantwortlichkeiten im Zusammenhang mit der Cloud-Sicherheitsarchitektur, der Netzwerksicherheitsarchitektur und der Datensicherheitsarchitektur. Je nach Größe der Organisation kann für jeden Bereich ein Mitglied verantwortlich sein. Alternativ kann die Organisation einen Vorgesetzten benennen. In jedem Fall müssen Organisationen die Verantwortlichen definieren und sie befähigen, unternehmenskritische Entscheidungen zu treffen.
Die Netzwerkrisikobewertung bietet eine vollständige Liste der Möglichkeiten, wie interne oder externe böswillige oder fehlgeleitete Angriffe zur Verbindung von Ressourcen eingesetzt werden können. Eine umfassende Bewertung ermöglicht es einem Unternehmen, Risiken zu definieren und durch Sicherheitskontrollen zu minimieren. Zu diesen Risiken können gehören:
- Unzureichendes Verständnis von Systemen oder Prozessen
- Systeme, deren Risikograd schwer zu messen ist
- „Hybridsysteme“, die geschäftlichen und technischen Risiken ausgesetzt sind
Die Entwicklung effektiver Schätzungen erfordert die Zusammenarbeit zwischen IT und Fachabteilungen, um das Risikoausmaß zu verstehen. Die Zusammenarbeit und die Entwicklung eines Prozesses zur Erfassung des Gesamtrisikos ist ebenso wichtig wie die Erstellung eines endgültigen Risikoprofils.
Zero Trust Architektur (ZTA)ist ein Netzwerksicherheitsparadigma, das davon ausgeht, dass einige Besucher im Netzwerk gefährlich sind und die Anzahl der Zugriffspunkte zu hoch ist, um einen umfassenden Schutz zu gewährleisten. Schützen Sie daher effektiv die Ressourcen im Netzwerk und nicht das Netzwerk selbst. Da der Agent dem Benutzer zugeordnet ist, entscheidet er über die Genehmigung jeder Zugriffsanfrage anhand eines Risikoprofils, das auf der Kombination kontextbezogener Faktoren wie Anwendung, Standort, Benutzer, Gerät, Zeitraum, Datensensibilität usw. basiert. Wie der Name schon sagt, ist ZTA eine Architektur, kein Produkt. Sie kann nicht gekauft, aber basierend auf einigen der darin enthaltenen technischen Elemente entwickelt werden.
Netzwerk-Firewallist ein ausgereiftes und bekanntes Sicherheitsprodukt mit einer Reihe von Funktionen, die den direkten Zugriff auf gehostete Unternehmensanwendungen und Datenserver verhindern. Netzwerk-Firewalls bieten Flexibilität sowohl für interne Netzwerke als auch für die Cloud. Für die Cloud gibt es Cloud-zentrierte Angebote sowie Methoden von IaaS-Anbietern, um einige der gleichen Funktionen zu implementieren.
Secureweb Gatewayhaben sich von der Optimierung der Internetbandbreite zum Schutz der Benutzer vor bösartigen Angriffen aus dem Internet entwickelt. URL-Filterung, Virenschutz, Entschlüsselung und Überprüfung von über HTTPS aufgerufenen Websites, Data Breach Prevention (DLP) und eingeschränkte Formen von Cloud Access Security Agents (CASB) gehören heute zu den Standardfunktionen.
Fernzugriffsetzt immer weniger auf VPN, sondern immer mehr auf Zero-Trust Network Access (ZTNA), der es Benutzern ermöglicht, über Kontextprofile auf einzelne Anwendungen zuzugreifen, ohne für Assets sichtbar zu sein.
Intrusion Prevention Systeme (IPS)Verhindern Sie Angriffe auf ungepatchte Schwachstellen, indem Sie IPS-Geräte mit ungepatchten Servern verbinden, um Angriffe zu erkennen und zu blockieren. IPS-Funktionen sind mittlerweile oft in anderen Sicherheitsprodukten enthalten, es gibt aber immer noch eigenständige Produkte. IPS erfreuen sich wieder zunehmender Beliebtheit, da sie durch die Cloud-native Steuerung langsam in den Prozess integriert werden.
NetzwerkzugriffskontrolleBietet Einblick in alle Netzwerkinhalte und ermöglicht die Zugriffskontrolle auf die richtlinienbasierte Unternehmensnetzwerkinfrastruktur. Richtlinien können den Zugriff basierend auf der Rolle eines Benutzers, der Authentifizierung oder anderen Elementen definieren.
DNS-Bereinigung (bereinigtes Domain Name System)ist ein vom Anbieter bereitgestellter Dienst, der als Domänennamensystem einer Organisation fungiert, um zu verhindern, dass Endbenutzer (einschließlich Remote-Mitarbeiter) auf unseriöse Websites zugreifen.
DDoSmitigation (DDoS-Abwehr)Begrenzt die zerstörerischen Auswirkungen von Distributed-Denial-of-Service-Angriffen auf das Netzwerk. Das Produkt verfolgt einen mehrschichtigen Ansatz zum Schutz der Netzwerkressourcen innerhalb der Firewall, der vor der Netzwerk-Firewall bereitgestellten Ressourcen und der Ressourcen außerhalb des Unternehmens, wie z. B. Netzwerke von Ressourcen von Internetdienstanbietern oder Content-Delivery.
Netzwerksicherheitsrichtlinienverwaltung (NSPM)umfasst Analysen und Audits zur Optimierung der Netzwerksicherheitsregeln sowie Änderungsmanagement-Workflows, Regeltests, Compliance-Bewertungen und Visualisierung. Das NSPM-Tool kann mithilfe einer visuellen Netzwerkkarte alle Geräte und Firewall-Zugriffsregeln anzeigen, die mehrere Netzwerkpfade abdecken.
Mikrosegmentierungist eine Technik, die bereits bestehende Netzwerkangriffe daran hindert, horizontal auf kritische Ressourcen zuzugreifen. Mikroisolationstools für die Netzwerksicherheit lassen sich in drei Kategorien einteilen:
- Netzwerkbasierte Tools, die auf der Netzwerkebene eingesetzt werden, oft in Verbindung mit softwaredefinierten Netzwerken, um mit dem Netzwerk verbundene Assets zu schützen.
- Hypervisor-basierte Tools sind primitive Formen von Differenzsegmenten zur Verbesserung der Sichtbarkeit undurchsichtigen Netzwerkverkehrs zwischen Hypervisoren.
- Host-Agent-basierte Tools, die Agenten auf Hosts installieren, die sie vom Rest des Netzwerks isolieren möchten. Die Host-Agent-Lösung funktioniert gleichermaßen gut für Cloud-Workloads, Hypervisor-Workloads und physische Server.
Sicherer Zugriffsdienst-Edge (SASE)ist ein aufstrebendes Framework, das umfassende Netzwerksicherheitsfunktionen wie SWG, SD-WAN und ZTNA sowie umfassende WAN-Funktionen kombiniert, um die Anforderungen von Unternehmen an sicheren Zugriff zu erfüllen. SASE ist eher ein Konzept als ein Framework und zielt darauf ab, ein einheitliches Sicherheitsdienstmodell bereitzustellen, das netzwerkübergreifende Funktionalität skalierbar, flexibel und mit geringer Latenz bereitstellt.
Netzwerkerkennung und -reaktion (NDR)Analysiert kontinuierlich ein- und ausgehenden Datenverkehr sowie Verkehrsprotokolle, um das normale Netzwerkverhalten aufzuzeichnen. So können Anomalien erkannt und Unternehmen darüber informiert werden. Diese Tools kombinieren maschinelles Lernen (ML), Heuristik, Analyse und regelbasierte Erkennung.
DNS-Sicherheitserweiterungensind Erweiterungen des DNS-Protokolls und dienen der Verifizierung von DNS-Antworten. Die Sicherheitsvorteile von DNSSEC erfordern die digitale Signierung authentifizierter DNS-Daten, ein prozessorintensiver Prozess.
Firewall als Service (FWaaS)ist eine neue Technologie, die eng mit Cloud-basierten SWGS verwandt ist. Der Unterschied liegt in der Architektur: FWaaS läuft über VPN-Verbindungen zwischen Endpunkten und Geräten am Netzwerkrand sowie über einen Sicherheits-Stack in der Cloud. Endnutzer können außerdem über VPN-Tunnel mit lokalen Diensten verbunden werden. FWaaS ist derzeit deutlich weniger verbreitet als SWGS.
Veröffentlichungszeit: 23. März 2022
