NetzwerkpaketbrokerGeräte verarbeiten den Netzwerkverkehr so, dass andere Überwachungsgeräte, z. Zu den Funktionen gehören die Paketfilterung, um Risikopegel, Paketlasten und Hardware-basierte Zeitstempelinsertion zu identifizieren.
NetzwerksicherheitsarchitektBezieht sich auf eine Reihe von Verantwortlichkeiten im Zusammenhang mit Cloud -Sicherheitsarchitektur, Netzwerksicherheitsarchitektur und Datensicherheitsarchitektur. Abhängig von der Größe der Organisation kann ein Mitglied für jede Domäne verantwortlich sein. Alternativ kann die Organisation einen Vorgesetzten wählen. In beiden Fällen müssen Organisationen definieren, wer verantwortlich ist, und sie befähigen, missionskritische Entscheidungen zu treffen.
Die Bewertung des Netzwerkrisikos ist eine vollständige Liste der Art und Weise, wie interne oder externe böswillige oder fehlgeleitete Angriffe zur Verbindung von Ressourcen verwendet werden können. Eine umfassende Bewertung ermöglicht es einer Organisation, Risiken zu definieren und sie durch Sicherheitskontrollen zu mildern. Diese Risiken können umfassen:
- Unzureichendes Verständnis von Systemen oder Prozessen
- Systeme, die schwer zu messen sind, die Risikoniveaus zu messen
- "Hybrid" -Systeme, die geschäftliche und technische Risiken ausgesetzt sind
Die Entwicklung wirksamer Schätzungen erfordert die Zusammenarbeit zwischen IT- und Geschäftsteilnehmern, um den Risikoumfang zu verstehen. Die Zusammenarbeit und Erstellung eines Prozesses, um das breitere Risikobild zu verstehen, ist genauso wichtig wie das endgültige Risiko.
Zero Trust Architecture (ZTA)ist ein Netzwerksicherheitsparadigma, das davon ausgeht, dass einige Besucher im Netzwerk gefährlich sind und zu viele Zugriffspunkte sind, um vollständig geschützt zu sein. Schützen Sie daher die Vermögenswerte im Netzwerk effektiv und nicht im Netzwerk selbst. Da es dem Benutzer verknüpft ist, entscheidet der Agent, ob jede Zugriffsanforderung basierend auf einem Risikoprofil genehmigt wird, das auf einer Kombination von Kontextfaktoren wie Anwendung, Ort, Benutzer, Gerät, Zeitraum, Datenempfindlichkeit usw. berechnet wird. Wie der Name schon sagt, ist ZTA eine Architektur, kein Produkt. Sie können es nicht kaufen, aber Sie können es basierend auf einigen der technischen Elemente entwickeln, die es enthält.
Netzwerk -Firewallist ein ausgereiftes und bekanntes Sicherheitsprodukt mit einer Reihe von Funktionen, die den direkten Zugriff auf gehostete Organisationsanwendungen und Datenserver verhindern sollen. Netzwerk -Firewalls bieten sowohl für interne Netzwerke als auch für die Cloud Flexibilität. Für die Cloud gibt es Cloud-zentrierte Angebote sowie Methoden, die von IaaS-Anbietern bereitgestellt werden, um einige der gleichen Funktionen zu implementieren.
SecureWeb Gatewayhaben sich von der Optimierung der Internetbandbreite zum Schutz von Benutzern vor böswilligen Angriffen aus dem Internet entwickelt. URL-Filterung, Anti-Virus, Entschlüsselung und Inspektion von Websites, auf die auf HTTPS, die Prävention von Datenverletzungen (DLP) und begrenzte Formen des Cloud Access Security Agent (CASB) zugegriffen werden, sind jetzt Standardfunktionen.
Fernzugriffstützt sich immer weniger auf VPN, aber immer mehr für Null-Trust Network Access (ZTNA), mit dem Benutzer auf einzelne Anwendungen zugreifen können, indem sie Kontextprofile verwenden, ohne sich auf Vermögenswerte sichtbar zu machen.
Intrusion Prevention Systems (IPS)Verhindern Sie, dass unpatchierte Schwachstellen angegriffen werden, indem IPS -Geräte an nicht angepatche Server angeschlossen werden, um Angriffe zu erkennen und zu blockieren. IPS-Funktionen sind jetzt häufig in anderen Sicherheitsprodukten enthalten, aber es gibt immer noch eigenständige Produkte. IPs steigen wieder an, da die native Cloud -Steuerung sie langsam in den Prozess bringt.
NetzwerkzugriffskontrolleBietet eine Sichtbarkeit aller Inhalte im Netzwerk und die Kontrolle des Zugriffs auf die in Richtlinien basierende Unternehmensnetzwerkinfrastruktur. Richtlinien können den Zugriff auf der Grundlage der Rolle, der Authentifizierung oder anderer Elemente eines Benutzers definieren.
DNS -Reinigung (sanitierte Domain -Namenssystem)ist ein von Lieferanten bereitgestellter Dienst, der als Domainnamensystem einer Organisation fungiert, um Endbenutzer (einschließlich Remote-Arbeitnehmer) daran zu hindern, auf unanständige Websites zuzugreifen.
DDOSMITIGATION (DDOS -Minderung)Begrenzt die zerstörerischen Auswirkungen einer verteilten Verweigerung von Serviceangriffen auf das Netzwerk. Das Produkt verfolgt einen mehrschichtigen Ansatz zum Schutz der Netzwerkressourcen innerhalb der Firewall, denjenigen, die vor der Netzwerkfeuerwall bereitgestellt werden, und denjenigen außerhalb des Unternehmens, wie z.
Verwaltung der Netzwerksicherheitsrichtlinien (NSPM)Beinhaltet Analyse und Prüfung, um die Regeln zu optimieren, die die Netzwerksicherheit regeln, sowie Änderungsmanagement -Workflows, Regeltests, Compliance -Bewertung und Visualisierung. Das NSPM -Tool kann eine visuelle Netzwerkkarte verwenden, um alle Geräte und Firewall -Zugriffsregeln anzuzeigen, die mehrere Netzwerkpfade abdecken.
Mikrosegmentierungist eine Technik, die verhindert, dass bereits auftretende Netzwerkangriffe sich horizontal zum Zugang zu kritischen Vermögenswerten bewegen. Mikroisolationstools für die Netzwerksicherheit fallen in drei Kategorien:
.
- Hypervisorbasierte Tools sind primitive Formen von Differentialsegmenten, um die Sichtbarkeit des undurchsichtigen Netzwerkverkehrs zwischen Hypervisoren zu verbessern.
- Host-Agent-basierte Tools, die Agenten auf Hosts installieren, die sie vom Rest des Netzwerks isolieren möchten; Die Host -Agent -Lösung funktioniert für Cloud -Workloads, Hypervisor -Workloads und physische Server gleich gut.
Sichere Zugangsservice Edge (SASE)ist ein aufstrebender Rahmen, der umfassende Netzwerksicherheitsfunktionen wie SWG, SD-WAN und ZTNA sowie umfassende WAN-Funktionen kombiniert, um die sicheren Zugangsanforderungen von Organisationen zu unterstützen. SASE ist eher ein Konzept als ein Rahmen und zielt darauf ab, ein einheitliches Sicherheitsdienstmodell bereitzustellen, das Funktionen in skalierbaren, flexiblen und niedrigen Latenz-Art und Weise liefert.
Netzwerkerkennung und Reaktion (NDR)Analysiert kontinuierlich eingehende und ausgehende Verkehrs- und Verkehrsprotokolle, um das normale Netzwerkverhalten aufzuzeichnen. Daher können Anomalien identifiziert und an Organisationen aufmerksam gemacht werden. Diese Tools kombinieren maschinelles Lernen (ML), Heuristiken, Analysen und regelbasierte Erkennung.
DNS -Sicherheitsverlängerungensind Add-Ons zum DNS-Protokoll und sind so konzipiert, dass sie DNS-Antworten überprüfen. Die Sicherheitsvorteile von DNSSEC erfordern die digitale Unterzeichnung authentifizierter DNS-Daten, einen prozessorintensiven Prozess.
Firewall als Dienst (FWAAS)ist eine neue Technologie, die eng mit Cloud-basierten SWGs zusammenhängt. Der Unterschied besteht in der Architektur, wo FWAAs VPN -Verbindungen zwischen Endpunkten und Geräten am Rande des Netzwerks sowie einen Sicherheitsstapel in der Cloud durchläuft. Es kann auch Endbenutzer über VPN -Tunnel mit lokalen Diensten verbinden. FWAAs sind derzeit weitaus seltener als SWGs.
Postzeit: März-23-2022
