Мережевий пакетний брокерПристрої обробляють мережевий трафік, щоб інші пристрої моніторингу, такі як ті, що призначені для моніторингу продуктивності мережі та моніторингу безпеки, могли працювати ефективніше. Функції включають фільтрацію пакетів для визначення рівнів ризику, завантаження пакетів та вставку позначок часу на основі обладнання.
Архітектор мережевої безпекистосується набору обов'язків, пов'язаних з архітектурою хмарної безпеки, архітектурою мережевої безпеки та архітектурою безпеки даних. Залежно від розміру організації, за кожен домен може бути відповідальний один співробітник. Або ж організація може обрати керівника. У будь-якому випадку, організаціям необхідно визначити, хто відповідає, та надати їм повноваження приймати критично важливі рішення.
Оцінка мережевих ризиків – це повний перелік способів, за допомогою яких внутрішні або зовнішні зловмисні або неправильно спрямовані атаки можуть бути використані для підключення ресурсів. Комплексна оцінка дозволяє організації визначити ризики та пом’якшити їх за допомогою засобів контролю безпеки. Ці ризики можуть включати:
- Недостатнє розуміння систем або процесів
- Системи, рівні ризику яких важко виміряти
- «гібридні» системи, що стикаються з бізнес-ризиками та технічними ризиками
Розробка ефективних оцінок вимагає співпраці між ІТ-відділами та бізнес-зацікавленими сторонами для розуміння масштабів ризику. Спільна робота та створення процесу для розуміння ширшої картини ризиків так само важливі, як і остаточний набір ризиків.
Архітектура нульової довіри (ZTA)– це парадигма мережевої безпеки, яка припускає, що деякі відвідувачі мережі є небезпечними, і що точок доступу забагато для повного захисту. Тому ефективно захищайте активи в мережі, а не саму мережу. Оскільки агент пов’язаний з користувачем, він вирішує, чи схвалювати кожен запит на доступ на основі профілю ризику, розрахованого на основі комбінації контекстуальних факторів, таких як додаток, місцезнаходження, користувач, пристрій, період часу, чутливість даних тощо. Як випливає з назви, ZTA – це архітектура, а не продукт. Ви не можете її купити, але ви можете розробити її на основі деяких технічних елементів, які вона містить.
Мережевий брандмауер— це зрілий та добре відомий продукт безпеки з низкою функцій, розроблених для запобігання прямому доступу до розміщених організаційних програм та серверів даних. Мережеві брандмауери забезпечують гнучкість як для внутрішніх мереж, так і для хмари. Для хмари існують хмароорієнтовані пропозиції, а також методи, розгорнуті постачальниками IaaS для реалізації деяких аналогічних можливостей.
Шлюз Securewebеволюціонували від оптимізації пропускної здатності Інтернету до захисту користувачів від шкідливих атак з Інтернету. Фільтрація URL-адрес, антивірус, розшифрування та перевірка веб-сайтів, до яких здійснюється доступ через HTTPS, запобігання витокам даних (DLP) та обмежені форми агента безпеки хмарного доступу (CASB) тепер є стандартними функціями.
Віддалений доступвсе менше покладається на VPN, але все більше на мережевий доступ з нульовою довірою (ZTNA), який дозволяє користувачам отримувати доступ до окремих програм за допомогою контекстних профілів, не будучи видимими для ресурсів.
Системи запобігання вторгненням (IPS)запобігати атакам на невиправлені вразливості, підключаючи пристрої IPS до невиправлених серверів для виявлення та блокування атак. Можливості IPS зараз часто включені до інших продуктів безпеки, але все ще існують окремі продукти. IPS знову починають набувати популярності, оскільки хмарний нативний контроль поступово вводить їх у процес.
Контроль доступу до мережізабезпечує видимість усього контенту в Мережі та контроль доступу до корпоративної мережевої інфраструктури на основі політик. Політики можуть визначати доступ на основі ролі користувача, автентифікації або інших елементів.
Очищення DNS (очищена система доменних імен)— це послуга, що надається постачальником і працює як система доменних імен організації, щоб запобігти доступу кінцевих користувачів (включно з віддаленими працівниками) до сумнівних сайтів.
Запобігання DDoS-атак (запобігання DDoS-атак)обмежує руйнівний вплив розподілених атак типу «відмова в обслуговуванні» на мережу. Продукт використовує багаторівневий підхід до захисту мережевих ресурсів всередині брандмауера, тих, що розгорнуті перед мережевим брандмауером, і тих, що знаходяться поза організацією, таких як мережі ресурсів від постачальників інтернет-послуг або доставки контенту.
Управління політикою безпеки мережі (NSPM)включає аналіз та аудит для оптимізації правил, що регулюють мережеву безпеку, а також робочі процеси управління змінами, тестування правил, оцінку відповідності та візуалізацію. Інструмент NSPM може використовувати візуальну карту мережі, щоб показати всі пристрої та правила доступу брандмауера, які охоплюють кілька мережевих шляхів.
Мікросегментація– це метод, який запобігає горизонтальному поширенню вже існуючих мережевих атак для доступу до критично важливих активів. Інструменти мікроізоляції для мережевої безпеки поділяються на три категорії:
- Мережеві інструменти, розгорнуті на мережевому рівні, часто разом із програмно-визначеними мережами, для захисту активів, підключених до мережі.
- Інструменти на основі гіпервізора – це примітивні форми диференціальних сегментів для покращення видимості непрозорого мережевого трафіку, що переміщується між гіпервізорами.
- Інструменти на основі хост-агентів, які встановлюють агенти на хости, які вони хочуть ізолювати від решти мережі; Рішення хост-агента однаково добре працює для хмарних робочих навантажень, робочих навантажень гіпервізора та фізичних серверів.
Безпечний доступ до сервісу на межі (SASE)– це нова платформа, яка поєднує комплексні можливості мережевої безпеки, такі як SWG, SD-WAN та ZTNA, а також комплексні можливості WAN для підтримки потреб організацій у безпечному доступі. SASE, скоріше концепція, ніж платформа, має на меті забезпечити єдину модель служби безпеки, яка забезпечує функціональність у мережах масштабованим, гнучким та низькозатримувальним способом.
Виявлення та реагування в мережі (NDR)постійно аналізує вхідний та вихідний трафік і журнали трафіку для запису нормальної поведінки мережі, що дозволяє виявляти аномалії та повідомляти про них організації. Ці інструменти поєднують машинне навчання (ML), евристику, аналіз та виявлення на основі правил.
Розширення безпеки DNSє доповненнями до протоколу DNS і призначені для перевірки відповідей DNS. Переваги безпеки DNSSEC вимагають цифрового підпису автентифікованих даних DNS, що є процесом, що вимагає ресурсоємного використання процесора.
Брандмауер як послуга (FWaaS)– це нова технологія, тісно пов’язана з хмарними SWGS. Різниця полягає в архітектурі, де FWaaS працює через VPN-з’єднання між кінцевими точками та пристроями на межі мережі, а також через стек безпеки в хмарі. Він також може підключати кінцевих користувачів до локальних сервісів через VPN-тунелі. FWaaS наразі набагато менш поширені, ніж SWGS.
Час публікації: 23 березня 2022 р.
