Nätverkspaketmäklareenheter bearbetar nätverkstrafik så att andra övervakningsenheter, till exempel de som är avsedda för övervakning av nätverksprestanda och säkerhetsrelaterad övervakning, kan fungera mer effektivt. Funktioner inkluderar paketfiltrering för att identifiera risknivåer, paketbelastningar och hårdvarubaserad tidsstämpelinsättning.
Nätverkssäkerhetsarkitekthänvisar till en uppsättning ansvarsområden relaterade till molnsäkerhetsarkitektur, nätverkssäkerhetsarkitektur och datasäkerhetsarkitektur. Beroende på organisationens storlek kan det finnas en medlem ansvarig för varje domän. Alternativt kan organisationen välja en handledare. Hur som helst måste organisationer definiera vem som är ansvarig och ge dem möjlighet att fatta uppdragskritiska beslut.
Nätverksriskbedömning är en komplett lista över de sätt på vilka interna eller externa skadliga eller felriktade attacker kan användas för att koppla resurser. Omfattande bedömning gör det möjligt för en organisation att definiera risker och minska dem genom säkerhetskontroller. Dessa risker kan inkludera:
- Otillräcklig förståelse för system eller processer
- System som är svåra att mäta risknivåer
- "hybridsystem" som står inför affärsmässiga och tekniska risker
Att ta fram effektiva uppskattningar kräver samarbete mellan IT- och affärsintressenter för att förstå riskernas omfattning. Att arbeta tillsammans och skapa en process för att förstå den bredare riskbilden är lika viktigt som den slutliga riskuppsättningen.
Zero Trust Architecture (ZTA)är ett nätverkssäkerhetsparadigm som antar att vissa besökare på nätverket är farliga och att det finns för många åtkomstpunkter för att vara helt skyddade. Skydda därför effektivt tillgångarna på nätverket snarare än själva nätverket. Eftersom den är associerad med användaren bestämmer agenten om den ska godkänna varje åtkomstbegäran baserat på en riskprofil som beräknas baserat på en kombination av kontextuella faktorer som applikation, plats, användare, enhet, tidsperiod, datakänslighet och så vidare. Som namnet antyder är ZTA en arkitektur, inte en produkt. Du kan inte köpa den, men du kan utveckla den utifrån några av de tekniska elementen den innehåller.
Nätverksbrandväggär en mogen och välkänd säkerhetsprodukt med en rad funktioner utformade för att förhindra direkt åtkomst till värdbaserade organisationsapplikationer och dataservrar. Nätverksbrandväggar ger flexibilitet för både interna nätverk och molnet. För molnet finns det molncentrerade erbjudanden, såväl som metoder som implementeras av IaaS-leverantörer för att implementera några av samma funktioner.
Secureweb Gatewayhar utvecklats från att optimera Internetbandbredd till att skydda användare från skadliga attacker från Internet. URL-filtrering, antivirus, dekryptering och inspektion av webbplatser som nås över HTTPS, förebyggande av dataintrång (DLP) och begränsade former av molnåtkomstsäkerhetsagent (CASB) är nu standardfunktioner.
Fjärråtkomstförlitar sig mindre och mindre på VPN, men mer och mer på zero-trust network access (ZTNA), som gör det möjligt för användare att komma åt enskilda applikationer med hjälp av kontextprofiler utan att vara synliga för tillgångar.
Intrångsskyddssystem (IPS)förhindra att opatchade sårbarheter attackeras genom att ansluta IPS-enheter till oparpade servrar för att upptäcka och blockera attacker. IPS-funktioner ingår nu ofta i andra säkerhetsprodukter, men det finns fortfarande fristående produkter. IPS börjar stiga igen när molnbaserad kontroll långsamt för dem in i processen.
Nätverksåtkomstkontrollger synlighet till allt innehåll på nätverket och kontroll över åtkomst till den policybaserade företagets nätverksinfrastruktur. Policyer kan definiera åtkomst baserat på en användares roll, autentisering eller andra element.
DNS-rensning (sanerat domännamnssystem)är en tjänst som tillhandahålls av leverantörer som fungerar som en organisations domännamnssystem för att förhindra slutanvändare (inklusive distansarbetare) från att komma åt oansedda webbplatser.
DDoSmitigation (DDoS Mitigation)begränsar den destruktiva effekten av distribuerade överbelastningsattacker på nätverket. Produkten har en flerskiktsstrategi för att skydda nätverksresurser inuti brandväggen, de som används framför nätverksbrandväggen och de utanför organisationen, såsom nätverk av resurser från Internetleverantörer eller innehållsleverans.
Network Security Policy Management (NSPM)involverar analys och revision för att optimera reglerna som styr nätverkssäkerhet, såväl som arbetsflöden för förändringshantering, regeltestning, efterlevnadsbedömning och visualisering. NSPM-verktyget kan använda en visuell nätverkskarta för att visa alla enheter och regler för brandväggsåtkomst som täcker flera nätverksvägar.
Mikrosegmenteringär en teknik som förhindrar att redan förekommande nätverksattacker rör sig horisontellt för att komma åt kritiska tillgångar. Mikroisoleringsverktyg för nätverkssäkerhet delas in i tre kategorier:
- Nätverksbaserade verktyg utplacerade i nätverkslagret, ofta i kombination med mjukvarudefinierade nätverk, för att skydda tillgångar anslutna till nätverket.
- Hypervisorbaserade verktyg är primitiva former av differentiella segment för att förbättra synligheten för ogenomskinlig nätverkstrafik som rör sig mellan hypervisorer.
- Värdagentbaserade verktyg som installerar agenter på värdar som de vill isolera från resten av nätverket; Värdagentlösningen fungerar lika bra för arbetsbelastningar i moln, arbetsbelastningar för hypervisorer och fysiska servrar.
Secure Access Service Edge (SASE)är ett framväxande ramverk som kombinerar omfattande nätverkssäkerhetsfunktioner, såsom SWG, SD-WAN och ZTNA, såväl som omfattande WAN-funktioner för att stödja organisationers behov av säker åtkomst. SASE är mer av ett koncept än ett ramverk och syftar till att tillhandahålla en enhetlig säkerhetstjänstmodell som levererar funktionalitet över nätverk på ett skalbart, flexibelt sätt med låg latens.
Nätverksdetektering och -svar (NDR)analyserar kontinuerligt inkommande och utgående trafik och trafikloggar för att registrera normalt nätverksbeteende, så att avvikelser kan identifieras och varnas till organisationer. Dessa verktyg kombinerar maskininlärning (ML), heuristik, analys och regelbaserad upptäckt.
DNS-säkerhetstilläggär tillägg till DNS-protokollet och är utformade för att verifiera DNS-svar. Säkerhetsfördelarna med DNSSEC kräver digital signering av autentiserade DNS-data, en processorintensiv process.
Brandvägg som en tjänst (FWaaS)är en ny teknik nära relaterad till molnbaserade SWGS. Skillnaden ligger i arkitekturen, där FWaaS körs genom VPN-anslutningar mellan ändpunkter och enheter på kanten av nätverket, samt en säkerhetsstack i molnet. Den kan också ansluta slutanvändare till lokala tjänster via VPN-tunnlar. FWaaS är för närvarande mycket mindre vanliga än SWGS.
Posttid: Mar-23-2022