NätverkspaketmäklareEnheter bearbetar nätverkstrafik så att andra övervakningsenheter, såsom de som är dedikerade till övervakning av nätverksprestanda och säkerhetsrelaterad övervakning, kan fungera mer effektivt. Funktioner inkluderar paketfiltrering för att identifiera risknivåer, paketbelastningar och hårdvarubaserad tidsstämpelinsättning.
Nätverkssäkerhetsarkitekthänvisar till en uppsättning ansvarsområden relaterade till molnsäkerhetsarkitektur, nätverkssäkerhetsarkitektur och datasäkerhetsarkitektur. Beroende på organisationens storlek kan det finnas en medlem som ansvarar för varje domän. Alternativt kan organisationen välja en handledare. Hur som helst måste organisationer definiera vem som är ansvarig och ge dem befogenhet att fatta affärskritiska beslut.
En nätverksriskbedömning är en komplett lista över de sätt på vilka interna eller externa skadliga eller missriktade attacker kan användas för att ansluta resurser. En omfattande bedömning gör det möjligt för en organisation att definiera risker och minska dem genom säkerhetskontroller. Dessa risker kan inkludera:
- Otillräcklig förståelse för system eller processer
- System som är svåra att mäta risknivåer
- "hybrid"-system som står inför affärsmässiga och tekniska risker
Att utveckla effektiva uppskattningar kräver samarbete mellan IT- och affärsintressenter för att förstå riskomfattningen. Att arbeta tillsammans och skapa en process för att förstå den bredare riskbilden är lika viktigt som den slutliga riskuppsättningen.
Zero Trust-arkitektur (ZTA)är ett nätverkssäkerhetsparadigm som antar att vissa besökare i nätverket är farliga och att det finns för många åtkomstpunkter för att vara helt skyddade. Skydda därför tillgångarna i nätverket effektivt snarare än själva nätverket. Eftersom det är associerat med användaren bestämmer agenten om varje åtkomstförfrågan ska godkännas baserat på en riskprofil beräknad utifrån en kombination av kontextuella faktorer som applikation, plats, användare, enhet, tidsperiod, datakänslighet och så vidare. Som namnet antyder är ZTA en arkitektur, inte en produkt. Du kan inte köpa den, men du kan utveckla den baserat på några av de tekniska element den innehåller.
Nätverksbrandväggär en mogen och välkänd säkerhetsprodukt med en rad funktioner utformade för att förhindra direkt åtkomst till värdbaserade organisationsapplikationer och dataservrar. Nätverksbrandväggar ger flexibilitet för både interna nätverk och molnet. För molnet finns det molncentrerade erbjudanden, såväl som metoder som används av IaaS-leverantörer för att implementera några av samma funktioner.
Secureweb Gatewayhar utvecklats från att optimera internetbandbredd till att skydda användare från skadliga attacker från internet. URL-filtrering, antivirusprogram, dekryptering och inspektion av webbplatser som nås via HTTPS, förebyggande av dataintrång (DLP) och begränsade former av molnåtkomstsäkerhetsagent (CASB) är nu standardfunktioner.
Fjärråtkomstförlitar sig allt mindre på VPN, men mer och mer på zero-trust network access (ZTNA), vilket gör det möjligt för användare att komma åt enskilda applikationer med hjälp av kontextprofiler utan att vara synliga för tillgångar.
Intrångsskyddssystem (IPS)förhindra att opatchade sårbarheter attackeras genom att ansluta IPS-enheter till opatchade servrar för att upptäcka och blockera attacker. IPS-funktioner ingår nu ofta i andra säkerhetsprodukter, men det finns fortfarande fristående produkter. IPS börjar öka igen i takt med att molnbaserad kontroll sakta integrerar dem i processen.
Nätverksåtkomstkontrollger insyn i allt innehåll på nätverket och kontroll över åtkomst till den policybaserade företagsnätverkets infrastruktur. Policyer kan definiera åtkomst baserat på en användares roll, autentisering eller andra element.
DNS-rensning (sanerat domännamnssystem)är en leverantörstjänst som fungerar som en organisations domännamnssystem för att förhindra att slutanvändare (inklusive distansarbetare) får åtkomst till webbplatser med dåligt rykte.
DDoS-reducering (DDoS-reducering)begränsar den destruktiva effekten av distribuerade överbelastningsattacker på nätverket. Produkten använder en flerskiktad metod för att skydda nätverksresurser innanför brandväggen, de som är distribuerade framför nätverkets brandvägg och de utanför organisationen, såsom nätverk av resurser från internetleverantörer eller innehållsleverans.
Hantering av nätverkssäkerhetspolicy (NSPM)innefattar analys och granskning för att optimera de regler som styr nätverkssäkerhet, såväl som arbetsflöden för ändringshantering, regeltestning, efterlevnadsbedömning och visualisering. NSPM-verktyget kan använda en visuell nätverkskarta för att visa alla enheter och brandväggsåtkomstregler som täcker flera nätverksvägar.
Mikrosegmenteringär en teknik som förhindrar att redan pågående nätverksattacker rör sig horisontellt för att komma åt kritiska tillgångar. Mikroisoleringsverktyg för nätverkssäkerhet delas in i tre kategorier:
- Nätverksbaserade verktyg som används på nätverkslagret, ofta i samband med programvarudefinierade nätverk, för att skydda tillgångar anslutna till nätverket.
- Hypervisorbaserade verktyg är primitiva former av differentiella segment för att förbättra synligheten av ogenomskinlig nätverkstrafik som rör sig mellan hypervisorer.
- Hostagentbaserade verktyg som installerar agenter på värdar som de vill isolera från resten av nätverket; Hostagentlösningen fungerar lika bra för molnarbetsbelastningar, hypervisorarbetsbelastningar och fysiska servrar.
Säker åtkomsttjänstkant (SASE)är ett framväxande ramverk som kombinerar omfattande nätverkssäkerhetsfunktioner, såsom SWG, SD-WAN och ZTNA, samt omfattande WAN-funktioner för att stödja organisationers behov av säker åtkomst. SASE är mer ett koncept än ett ramverk och syftar till att tillhandahålla en enhetlig säkerhetstjänstmodell som levererar funktionalitet över nätverk på ett skalbart, flexibelt och låglatens sätt.
Nätverksdetektering och -respons (NDR)analyserar kontinuerligt inkommande och utgående trafik och trafikloggar för att registrera normalt nätverksbeteende, så att avvikelser kan identifieras och varnas till organisationer. Dessa verktyg kombinerar maskininlärning (ML), heuristik, analys och regelbaserad detektion.
DNS-säkerhetstilläggär tillägg till DNS-protokollet och är utformade för att verifiera DNS-svar. Säkerhetsfördelarna med DNSSEC kräver digital signering av autentiserade DNS-data, en processorintensiv process.
Brandvägg som en tjänst (FWaaS)är en ny teknik som är nära besläktad med molnbaserade SWGS. Skillnaden ligger i arkitekturen, där FWaaS körs via VPN-anslutningar mellan slutpunkter och enheter i utkanten av nätverket, samt en säkerhetsstack i molnet. Den kan också ansluta slutanvändare till lokala tjänster via VPN-tunnlar. FWaaS är för närvarande betydligt mindre vanligt än SWGS.
Publiceringstid: 23 mars 2022
