NetzwerkpaketbrokerDie Geräte verarbeiten den Netzwerkverkehr, sodass andere Überwachungsgeräte, beispielsweise solche zur Überwachung der Netzwerkleistung und der Sicherheit, effizienter arbeiten können. Zu den Funktionen gehören Paketfilterung zur Identifizierung von Risikostufen, Paketlast und hardwarebasierte Zeitstempelung.
NetzwerksicherheitsarchitektBezeichnet einen Verantwortungsbereich für Cloud-Sicherheitsarchitektur, Netzwerksicherheitsarchitektur und Datensicherheitsarchitektur. Je nach Unternehmensgröße kann für jeden Bereich ein Mitarbeiter zuständig sein. Alternativ kann das Unternehmen einen Vorgesetzten benennen. In jedem Fall müssen Unternehmen die Verantwortlichkeiten klar definieren und die Verantwortlichen befähigen, geschäftskritische Entscheidungen zu treffen.
Die Netzwerkrisikoanalyse ist eine vollständige Auflistung aller Möglichkeiten, wie interne oder externe böswillige oder fehlgeleitete Angriffe zur Vernetzung von Ressourcen genutzt werden können. Eine umfassende Analyse ermöglicht es einem Unternehmen, Risiken zu definieren und diese durch Sicherheitsmaßnahmen zu minimieren. Zu diesen Risiken gehören beispielsweise:
- Unzureichendes Verständnis von Systemen oder Prozessen
- Systeme, bei denen das Risikoniveau schwer zu messen ist
- "Hybride" Systeme sind geschäftlichen und technischen Risiken ausgesetzt
Für die Entwicklung aussagekräftiger Risikoschätzungen ist die Zusammenarbeit von IT- und Fachabteilungen unerlässlich, um das gesamte Risikospektrum zu verstehen. Die gemeinsame Arbeit und die Entwicklung eines Prozesses zum besseren Verständnis des Gesamtrisikobildes sind genauso wichtig wie die endgültige Risikodefinition.
Zero-Trust-Architektur (ZTA)ZTA ist ein Netzwerksicherheitsparadigma, das davon ausgeht, dass einige Besucher im Netzwerk gefährlich sind und die Anzahl der Zugriffspunkte für einen vollständigen Schutz zu groß ist. Daher werden die Ressourcen im Netzwerk effektiv geschützt, anstatt das Netzwerk selbst. Da der Agent dem Benutzer zugeordnet ist, entscheidet er anhand eines Risikoprofils, das aus einer Kombination von Kontextfaktoren wie Anwendung, Standort, Benutzer, Gerät, Zeitraum, Datensensibilität usw. berechnet wird, ob er jede Zugriffsanfrage genehmigt. Wie der Name schon sagt, ist ZTA eine Architektur, kein Produkt. Sie ist nicht käuflich, kann aber auf Basis einiger ihrer technischen Elemente entwickelt werden.
Netzwerk-FirewallNetzwerk-Firewalls sind ein ausgereiftes und bekanntes Sicherheitsprodukt mit einer Reihe von Funktionen, die den direkten Zugriff auf gehostete Anwendungen und Datenserver von Unternehmen verhindern. Sie bieten Flexibilität sowohl für interne Netzwerke als auch für die Cloud. Für die Cloud gibt es cloudzentrierte Lösungen sowie Methoden von IaaS-Anbietern, um ähnliche Funktionen zu implementieren.
Secureweb GatewayDie Funktionen haben sich von der Optimierung der Internetbandbreite hin zum Schutz der Nutzer vor bösartigen Angriffen aus dem Internet weiterentwickelt. URL-Filterung, Virenschutz, Entschlüsselung und Überprüfung von über HTTPS aufgerufenen Websites, Verhinderung von Datenschutzverletzungen (DLP) und eingeschränkte Formen von Cloud Access Security Agents (CASB) gehören heute zum Standard.
Fernzugriffverlässt sich immer weniger auf VPN, sondern immer mehr auf Zero-Trust Network Access (ZTNA), das es Benutzern ermöglicht, über Kontextprofile auf einzelne Anwendungen zuzugreifen, ohne für Assets sichtbar zu sein.
Intrusion Prevention Systems (IPS)Um zu verhindern, dass ungepatchte Sicherheitslücken ausgenutzt werden, werden IPS-Geräte mit ungepatchten Servern verbunden, um Angriffe zu erkennen und zu blockieren. IPS-Funktionen sind mittlerweile häufig in andere Sicherheitsprodukte integriert, es gibt aber auch weiterhin eigenständige Lösungen. Durch die zunehmende Integration in Cloud-native Steuerungssysteme gewinnen IPS-Systeme wieder an Bedeutung.
NetzwerkzugriffskontrolleBietet Einblick in alle Inhalte des Netzwerks und Kontrolle über den Zugriff auf die richtlinienbasierte Unternehmensnetzwerkinfrastruktur. Richtlinien können den Zugriff basierend auf der Rolle, der Authentifizierung oder anderen Elementen eines Benutzers definieren.
DNS-Bereinigung (Bereinigung des Domain Name Systems)ist ein vom Anbieter bereitgestellter Dienst, der als Domain Name System einer Organisation fungiert, um Endbenutzer (einschließlich Remote-Mitarbeiter) daran zu hindern, auf unseriöse Websites zuzugreifen.
DDoS-Abwehr (DDoS-Schutz)Das Produkt begrenzt die zerstörerischen Auswirkungen von DDoS-Angriffen auf das Netzwerk. Es verfolgt einen mehrschichtigen Ansatz zum Schutz von Netzwerkressourcen innerhalb der Firewall, von Ressourcen vor der Firewall und von Ressourcen außerhalb des Unternehmens, wie beispielsweise Ressourcennetzwerke von Internetdienstanbietern oder Content-Delivery-Anbietern.
Netzwerksicherheitsrichtlinienmanagement (NSPM)Das NSPM-Tool umfasst Analysen und Audits zur Optimierung der Netzwerksicherheitsregeln sowie Änderungsmanagement-Workflows, Regeltests, Compliance-Bewertungen und Visualisierungen. Es kann eine visuelle Netzwerkkarte verwenden, um alle Geräte und Firewall-Zugriffsregeln anzuzeigen, die mehrere Netzwerkpfade abdecken.
Mikrosegmentierungist eine Technik, die verhindert, dass bereits laufende Netzwerkangriffe sich horizontal ausbreiten und auf kritische Ressourcen zugreifen. Mikroisolationswerkzeuge für die Netzwerksicherheit lassen sich in drei Kategorien einteilen:
- Netzwerkbasierte Tools, die auf der Netzwerkschicht eingesetzt werden, oft in Verbindung mit softwaredefinierten Netzwerken, um mit dem Netzwerk verbundene Assets zu schützen.
- Hypervisor-basierte Tools sind primitive Formen von Differenzialsegmenten, um die Sichtbarkeit des undurchsichtigen Netzwerkverkehrs zwischen Hypervisoren zu verbessern.
- Hostagentenbasierte Tools, die Agenten auf Hosts installieren, die vom Rest des Netzwerks isoliert werden sollen; Die Hostagentenlösung eignet sich gleichermaßen für Cloud-Workloads, Hypervisor-Workloads und physische Server.
Secure Access Service Edge (SASE)SASE ist ein aufstrebendes Framework, das umfassende Netzwerksicherheitsfunktionen wie SWG, SD-WAN und ZTNA mit umfassenden WAN-Funktionen kombiniert, um die Anforderungen von Unternehmen an sicheren Zugriff zu erfüllen. SASE ist eher ein Konzept als ein Framework und zielt darauf ab, ein einheitliches Sicherheitsdienstmodell bereitzustellen, das Funktionalität netzwerkübergreifend skalierbar, flexibel und mit geringer Latenz bereitstellt.
Netzwerkerkennung und -reaktion (NDR)Es analysiert kontinuierlich den ein- und ausgehenden Datenverkehr sowie die Verkehrsprotokolle, um das normale Netzwerkverhalten zu erfassen und so Anomalien zu erkennen und Organisationen zu benachrichtigen. Diese Tools kombinieren maschinelles Lernen (ML), Heuristiken, Analysen und regelbasierte Erkennung.
DNS-SicherheitserweiterungenDNSSEC ist eine Erweiterung des DNS-Protokolls und dient der Überprüfung von DNS-Antworten. Die Sicherheitsvorteile von DNSSEC erfordern die digitale Signatur authentifizierter DNS-Daten, ein rechenintensiver Prozess.
Firewall as a Service (FWaaS)FWaaS ist eine neue Technologie, die eng mit cloudbasierten SWGS verwandt ist. Der Unterschied liegt in der Architektur: FWaaS nutzt VPN-Verbindungen zwischen Endpunkten und Geräten am Netzwerkrand sowie eine Sicherheitsarchitektur in der Cloud. Zudem ermöglicht es die Anbindung von Endbenutzern an lokale Dienste über VPN-Tunnel. FWaaS ist derzeit deutlich weniger verbreitet als SWGS.
Veröffentlichungsdatum: 23. März 2022
