Брокер мережевих пакетівпристрої обробляють мережевий трафік, щоб інші пристрої моніторингу, наприклад призначені для моніторингу продуктивності мережі та моніторингу безпеки, могли працювати ефективніше.Функції включають фільтрацію пакетів для визначення рівнів ризику, завантаження пакетів і апаратну вставку позначок часу.
Архітектор мережевої безпекивідноситься до набору обов’язків, пов’язаних із хмарною архітектурою безпеки, архітектурою безпеки мережі та архітектурою безпеки даних.Залежно від розміру організації, за кожен домен може відповідати один член.Крім того, організація може вибрати керівника.У будь-якому випадку організації повинні визначити відповідальних і надати їм повноваження приймати критично важливі рішення.
Оцінка мережевого ризику – це повний перелік способів використання внутрішніх або зовнішніх зловмисних або неправильно спрямованих атак для підключення ресурсів.Комплексна оцінка дозволяє організації визначити ризики та зменшити їх за допомогою заходів безпеки.Ці ризики можуть включати:
- Недостатнє розуміння систем або процесів
- Системи, рівень ризику яких важко виміряти
- «гібридні» системи, що стикаються з бізнесовими та технічними ризиками
Розробка ефективних оцінок вимагає співпраці між зацікавленими сторонами ІТ та бізнесу, щоб зрозуміти масштаб ризику.Спільна робота та створення процесу для розуміння ширшої картини ризику так само важливі, як і остаточний набір ризиків.
Архітектура нульової довіри (ZTA)це парадигма безпеки мережі, яка припускає, що деякі відвідувачі мережі є небезпечними та що існує забагато точок доступу для повного захисту.Тому ефективно захищайте активи в мережі, а не саму мережу.Оскільки він пов’язаний із користувачем, агент вирішує, чи схвалювати кожен запит на доступ, на основі профілю ризику, розрахованого на основі комбінації контекстних факторів, таких як програма, місцезнаходження, користувач, пристрій, період часу, конфіденційність даних тощо.Як випливає з назви, ZTA — це архітектура, а не продукт.Ви не можете купити його, але ви можете розробити його на основі деяких технічних елементів, які він містить.
Мережевий брандмауерце зрілий і добре відомий продукт безпеки з низкою функцій, призначених для запобігання прямому доступу до розміщених організаційних програм і серверів даних.Мережеві брандмауери забезпечують гнучкість як для внутрішніх мереж, так і для хмари.Для хмари існують пропозиції, орієнтовані на хмару, а також методи, розгорнуті постачальниками IaaS для реалізації деяких із тих самих можливостей.
Шлюз Securewebеволюціонували від оптимізації пропускної здатності Інтернету до захисту користувачів від зловмисних атак з Інтернету.Фільтрація URL-адрес, антивірус, розшифровка та перевірка веб-сайтів, доступ до яких здійснюється через HTTPS, запобігання витоку даних (DLP) і обмежені форми агента безпеки доступу до хмари (CASB) тепер є стандартними функціями.
Віддалений доступвсе менше і менше покладається на VPN, але все більше і більше на доступ до мережі з нульовою довірою (ZTNA), який дозволяє користувачам отримувати доступ до окремих програм за допомогою контекстних профілів без видимості активів.
Системи запобігання вторгненням (IPS)запобігти атакам на невиправлені вразливості, підключивши пристрої IPS до невиправлених серверів для виявлення та блокування атак.Можливості IPS тепер часто включені в інші продукти безпеки, але все ще існують автономні продукти.IPS знову починає зростати, оскільки вбудований хмарний контроль повільно залучає їх до процесу.
Контроль доступу до мережізабезпечує видимість усього вмісту в Мережі та контроль доступу до інфраструктури корпоративної Мережі на основі політики.Політики можуть визначати доступ на основі ролі користувача, автентифікації чи інших елементів.
Очищення DNS (дезінфікована система доменних імен)– це послуга, що надається постачальником, яка працює як система доменних імен організації, щоб запобігти доступу кінцевих користувачів (включно з віддаленими працівниками) до сайтів із поганою репутацією.
DDoSmitigation (пом'якшення DDoS)обмежує руйнівний вплив розподілених атак на відмову в обслуговуванні на мережу.Продукт використовує багаторівневий підхід до захисту мережевих ресурсів усередині брандмауера, тих, що розгорнуті перед мережевим брандмауером, і ресурсів за межами організації, таких як мережі ресурсів від постачальників послуг Інтернету або доставка вмісту.
Керування політикою безпеки мережі (NSPM)передбачає аналіз і аудит для оптимізації правил, що регулюють безпеку мережі, а також робочі процеси керування змінами, тестування правил, оцінку відповідності та візуалізацію.Інструмент NSPM може використовувати візуальну карту мережі, щоб показати всі пристрої та правила доступу до брандмауера, які охоплюють кілька мережевих шляхів.
Мікросегментаціяце техніка, яка запобігає горизонтальному переміщенню вже існуючих мережевих атак для доступу до критичних ресурсів.Інструменти мікроізоляції для безпеки мережі поділяються на три категорії:
- Мережеві інструменти, розгорнуті на мережевому рівні, часто разом із програмно визначеними мережами, для захисту активів, підключених до мережі.
- Інструменти на основі гіпервізора — це примітивні форми диференціальних сегментів для покращення видимості непрозорого мережевого трафіку, що переміщується між гіпервізорами.
- Інструменти на основі агентів хостів, які встановлюють агенти на хости, які вони хочуть ізолювати від решти мережі;Рішення хост-агента однаково добре працює для хмарних робочих навантажень, робочих навантажень гіпервізора та фізичних серверів.
Secure Access Service Edge (SASE)це нова платформа, яка поєднує в собі комплексні можливості мережевої безпеки, такі як SWG, SD-WAN і ZTNA, а також комплексні можливості WAN для підтримки потреб організацій у безпечному доступі.Метою SASE є скоріше концепція, ніж структура, надати уніфіковану модель служби безпеки, яка надає функціональність у мережах у масштабований, гнучкий спосіб із малою затримкою.
Виявлення та відповідь мережі (NDR)постійно аналізує вхідний і вихідний трафік і журнали трафіку для запису нормальної поведінки мережі, щоб можна було виявити аномалії та повідомити організаціям.Ці інструменти поєднують машинне навчання (ML), евристику, аналіз і виявлення на основі правил.
Розширення безпеки DNSє доповненнями до протоколу DNS і призначені для перевірки відповідей DNS.Переваги безпеки DNSSEC вимагають цифрового підпису автентифікованих даних DNS, процес, що вимагає інтенсивного використання процесора.
Брандмауер як послуга (FWaaS)це нова технологія, тісно пов’язана з хмарним SWGS.Різниця полягає в архітектурі, де FWaaS працює через VPN-з’єднання між кінцевими точками та пристроями на межі мережі, а також стек безпеки в хмарі.Він також може підключати кінцевих користувачів до локальних служб через тунелі VPN.FWaaS наразі набагато рідше, ніж SWGS.
Час публікації: 23 березня 2022 р
