Netzwerkpaket-BrokerGeräte verarbeiten den Netzwerkverkehr, sodass andere Überwachungsgeräte, z. B. Geräte zur Netzwerkleistungsüberwachung und sicherheitsrelevanten Überwachung, effizienter arbeiten können. Zu den Funktionen gehören Paketfilterung zur Identifizierung von Risikostufen, Paketlasten und hardwarebasiertes Einfügen von Zeitstempeln.
Netzwerksicherheitsarchitektbezieht sich auf eine Reihe von Verantwortlichkeiten im Zusammenhang mit der Cloud-Sicherheitsarchitektur, der Netzwerksicherheitsarchitektur und der Datensicherheitsarchitektur. Abhängig von der Größe der Organisation kann es ein Mitglied geben, das für jede Domäne verantwortlich ist. Alternativ kann die Organisation einen Betreuer wählen. In jedem Fall müssen Organisationen definieren, wer verantwortlich ist, und sie befähigen, geschäftskritische Entscheidungen zu treffen.
Die Netzwerkrisikobewertung ist eine vollständige Liste der Möglichkeiten, wie interne oder externe böswillige oder fehlgeleitete Angriffe zur Verbindung von Ressourcen genutzt werden können. Eine umfassende Bewertung ermöglicht es einer Organisation, Risiken zu definieren und diese durch Sicherheitskontrollen zu mindern. Zu diesen Risiken können gehören:
- Unzureichendes Verständnis von Systemen oder Prozessen
- Systeme, deren Risikoniveau schwer zu messen ist
- „hybride“ Systeme, die geschäftlichen und technischen Risiken ausgesetzt sind
Die Entwicklung effektiver Schätzungen erfordert die Zusammenarbeit zwischen IT- und Geschäftsbeteiligten, um den Umfang des Risikos zu verstehen. Die Zusammenarbeit und die Schaffung eines Prozesses zum Verständnis des Gesamtrisikobildes ist ebenso wichtig wie der endgültige Risikosatz.
Zero-Trust-Architektur (ZTA)ist ein Netzwerksicherheitsparadigma, das davon ausgeht, dass einige Besucher im Netzwerk gefährlich sind und dass es zu viele Zugangspunkte gibt, um vollständig geschützt zu werden. Schützen Sie daher effektiv die Vermögenswerte im Netzwerk und nicht das Netzwerk selbst. Da es mit dem Benutzer verknüpft ist, entscheidet der Agent auf der Grundlage eines Risikoprofils, das auf der Grundlage einer Kombination kontextbezogener Faktoren wie Anwendung, Standort, Benutzer, Gerät, Zeitraum, Datensensibilität usw. berechnet wird, ob jede Zugriffsanfrage genehmigt wird. Wie der Name schon sagt, ist ZTA eine Architektur, kein Produkt. Man kann es nicht kaufen, aber man kann es basierend auf einigen der darin enthaltenen technischen Elemente weiterentwickeln.
Netzwerk-Firewallist ein ausgereiftes und bekanntes Sicherheitsprodukt mit einer Reihe von Funktionen, die den direkten Zugriff auf gehostete Unternehmensanwendungen und Datenserver verhindern sollen. Netzwerk-Firewalls bieten Flexibilität sowohl für interne Netzwerke als auch für die Cloud. Für die Cloud gibt es Cloud-zentrierte Angebote sowie Methoden, die von IaaS-Anbietern eingesetzt werden, um einige der gleichen Funktionen zu implementieren.
Secureweb Gatewayhaben sich von der Optimierung der Internetbandbreite zum Schutz der Benutzer vor böswilligen Angriffen aus dem Internet entwickelt. URL-Filterung, Virenschutz, Entschlüsselung und Überprüfung von Websites, auf die über HTTPS zugegriffen wird, Data Breach Prevention (DLP) und begrenzte Formen von Cloud Access Security Agent (CASB) gehören mittlerweile zu den Standardfunktionen.
Fernzugriffsetzt immer weniger auf VPN, sondern immer mehr auf Zero-Trust Network Access (ZTNA), der es Benutzern ermöglicht, über Kontextprofile auf einzelne Anwendungen zuzugreifen, ohne für Assets sichtbar zu sein.
Intrusion-Prevention-Systeme (IPS)Verhindern Sie Angriffe auf ungepatchte Schwachstellen, indem Sie IPS-Geräte mit ungepatchten Servern verbinden, um Angriffe zu erkennen und zu blockieren. IPS-Funktionen sind mittlerweile häufig in anderen Sicherheitsprodukten enthalten, es gibt jedoch immer noch eigenständige Produkte. IPS beginnen wieder zu steigen, da die cloudnative Steuerung sie langsam in den Prozess einbezieht.
NetzwerkzugriffskontrolleBietet Sichtbarkeit aller Inhalte im Netzwerk und Kontrolle des Zugriffs auf die richtlinienbasierte Netzwerkinfrastruktur des Unternehmens. Richtlinien können den Zugriff basierend auf der Rolle eines Benutzers, der Authentifizierung oder anderen Elementen definieren.
DNS-Bereinigung (bereinigtes Domain Name System)ist ein vom Anbieter bereitgestellter Dienst, der als Domänennamensystem einer Organisation fungiert, um zu verhindern, dass Endbenutzer (einschließlich Remote-Mitarbeiter) auf unseriöse Websites zugreifen.
DDoSmitigation (DDoS-Mitigation)begrenzt die zerstörerischen Auswirkungen verteilter Denial-of-Service-Angriffe auf das Netzwerk. Das Produkt verfolgt einen mehrschichtigen Ansatz zum Schutz der Netzwerkressourcen innerhalb der Firewall, derjenigen, die vor der Netzwerk-Firewall bereitgestellt werden, und derjenigen außerhalb der Organisation, beispielsweise Ressourcennetzwerke von Internetdienstanbietern oder die Bereitstellung von Inhalten.
Netzwerksicherheitsrichtlinienverwaltung (NSPM)umfasst Analysen und Audits zur Optimierung der Regeln, die die Netzwerksicherheit regeln, sowie Änderungsmanagement-Workflows, Regeltests, Compliance-Bewertungen und Visualisierung. Das NSPM-Tool kann mithilfe einer visuellen Netzwerkkarte alle Geräte und Firewall-Zugriffsregeln anzeigen, die mehrere Netzwerkpfade abdecken.
Mikrosegmentierungist eine Technik, die verhindert, dass bereits auftretende Netzwerkangriffe horizontal auf kritische Vermögenswerte zugreifen. Mikroisolationstools für die Netzwerksicherheit lassen sich in drei Kategorien einteilen:
- Netzwerkbasierte Tools, die auf der Netzwerkebene eingesetzt werden, häufig in Verbindung mit softwaredefinierten Netzwerken, um mit dem Netzwerk verbundene Vermögenswerte zu schützen.
- Hypervisor-basierte Tools sind primitive Formen von Differenzsegmenten, um die Sichtbarkeit des undurchsichtigen Netzwerkverkehrs zwischen Hypervisoren zu verbessern.
- Host-Agent-basierte Tools, die Agenten auf Hosts installieren, die sie vom Rest des Netzwerks isolieren möchten; Die Host-Agent-Lösung funktioniert gleichermaßen gut für Cloud-Workloads, Hypervisor-Workloads und physische Server.
Secure Access Service Edge (SASE)ist ein aufstrebendes Framework, das umfassende Netzwerksicherheitsfunktionen wie SWG, SD-WAN und ZTNA sowie umfassende WAN-Funktionen kombiniert, um die sicheren Zugriffsanforderungen von Organisationen zu unterstützen. SASE ist eher ein Konzept als ein Framework und zielt darauf ab, ein einheitliches Sicherheitsdienstmodell bereitzustellen, das Funktionen netzwerkübergreifend skalierbar, flexibel und mit geringer Latenz bereitstellt.
Netzwerkerkennung und -reaktion (NDR)Analysiert kontinuierlich den ein- und ausgehenden Datenverkehr sowie die Datenverkehrsprotokolle, um das normale Netzwerkverhalten aufzuzeichnen, sodass Anomalien identifiziert und Organisationen benachrichtigt werden können. Diese Tools kombinieren maschinelles Lernen (ML), Heuristik, Analyse und regelbasierte Erkennung.
DNS-Sicherheitserweiterungensind Add-ons zum DNS-Protokoll und dienen der Überprüfung von DNS-Antworten. Die Sicherheitsvorteile von DNSSEC erfordern die digitale Signatur authentifizierter DNS-Daten, ein prozessorintensiver Prozess.
Firewall as a Service (FWaaS)ist eine neue Technologie, die eng mit cloudbasiertem SWGS verwandt ist. Der Unterschied liegt in der Architektur, bei der FWaaS über VPN-Verbindungen zwischen Endpunkten und Geräten am Rande des Netzwerks sowie über einen Sicherheitsstapel in der Cloud läuft. Es kann Endbenutzer auch über VPN-Tunnel mit lokalen Diensten verbinden. FWaaS sind derzeit weitaus seltener verbreitet als SWGS.
Zeitpunkt der Veröffentlichung: 23. März 2022