網(wǎng)絡(luò)安全架構(gòu)(Network security architect)是指與云安全架構(gòu)、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)相關(guān)的一系列職責��。根據(jù)組織的規(guī)模����,可能每個域有一位成員負責�。或者�����,組織可能選擇一位監(jiān)督人員�。無論采用何種方法,組織都需要定義誰該為此負責����,并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力。
網(wǎng)絡(luò)風險評估(Network risk assessment)是對內(nèi)外部惡意或失誤造成的�,可能被用于網(wǎng)絡(luò)攻擊連接資源方式的完整清單����。全面的評估允許組織定義風險并通過安全控制來減輕風險��。這些風險可能包括:
· 對系統(tǒng)或流程了解不足
· 難以衡量風險水平的系統(tǒng)
· 面臨業(yè)務(wù)和技術(shù)風險的“混合”系統(tǒng)
制定有效的評估需要IT和業(yè)務(wù)利益相關(guān)者相互協(xié)作�,以了解風險的范圍。共同努力并創(chuàng)建一個了解更大范圍風險全景的過程與最終的風險集合同樣重要�����。
零信任架構(gòu)(ZTA)是一種網(wǎng)絡(luò)安全范式�����,其假設(shè)網(wǎng)絡(luò)上的某些訪問者是危險的�,并且有太多的接入點無法完全保護。因此�����,有效的保護網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身����。由于它與用戶相關(guān)聯(lián),代理會根據(jù)風險概況來決定是否批準每個訪問請求,該風險概況根據(jù)應(yīng)用程序��、位置���、用戶����、設(shè)備����、時間段、數(shù)據(jù)敏感性等組合上下文因素計算得出����。顧名思義�,ZTA 是一種架構(gòu),而不是一種產(chǎn)品��。你買不到����,但是,可以根據(jù)其包含的一些技術(shù)元素進行開發(fā)��。
網(wǎng)絡(luò)防火墻(Network firewall)是一種成熟且眾所周知的安全產(chǎn)品��,具有一系列旨在防止直接訪問托管組織應(yīng)用和數(shù)據(jù)服務(wù)器的功能。網(wǎng)絡(luò)防火墻提供了靈活性���,可用于內(nèi)部網(wǎng)絡(luò)和云�����。對于云�����,有以云為中心的產(chǎn)品�,以及IaaS提供商部署的方法來實現(xiàn)一些相同的功能���。
安全Web網(wǎng)關(guān)(Secureweb gateway)已經(jīng)從其過去優(yōu)化互聯(lián)網(wǎng)帶寬演變?yōu)楸Wo用戶免受來自互聯(lián)網(wǎng)的惡意侵害����。URL過濾�����、反病毒��、解密和檢查通過HTTPS訪問的網(wǎng)站、數(shù)據(jù)防泄露(DLP)和有限形式的云訪問安全代理(CASB)等功能現(xiàn)已成為標配�。
遠程訪問(Remote access)對VPN的依賴越來越弱,但對零信任網(wǎng)絡(luò)訪問 (ZTNA)的依賴逐漸增強�����,它使用戶在對資產(chǎn)不可見的情況下����,利用上下文配置文件來實現(xiàn)對單個應(yīng)用的訪問。
入侵防御系統(tǒng)(IPS)通過將IPS設(shè)備與未打補丁的服務(wù)器連接在一起來檢測并阻止攻擊�����,從而防止未修補的漏洞被攻擊�����。IPS功能現(xiàn)在通常包含在其他安全產(chǎn)品中��,但也仍存在獨立產(chǎn)品�����。IPS正開始再次興起���,因為云原生控制在慢慢將其納入過程中���。
網(wǎng)絡(luò)訪問控制(Network access control)提供對網(wǎng)絡(luò)上所有內(nèi)容的可見性以及對基于策略法人網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問的控制。策略可以根據(jù)用戶的角色�����、身份驗證或其他元素來定義訪問�。
網(wǎng)絡(luò)數(shù)據(jù)包代理(Network packet broker)設(shè)備處理網(wǎng)絡(luò)流量,以便其他監(jiān)控設(shè)備(例如專門用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備)可以更有效地運行����。功能包括用于識別風險級別的數(shù)據(jù)包過濾、數(shù)據(jù)包負載和基于硬件的時間戳插入等���。
DNS清洗(SanitizedDomain Name System)是供應(yīng)商提供的服務(wù)�,作為組織的域名系統(tǒng)運行�,可防止終端用戶(包括遠程工作人員)訪問聲譽不佳的站點。
DDoS緩解(DDoSmitigation)限制了分布式拒絕服務(wù)攻擊對網(wǎng)絡(luò)的破壞性影響����。產(chǎn)品采用多層方式保護防火墻內(nèi)部的網(wǎng)絡(luò)資源、部署在網(wǎng)絡(luò)防火墻前面的資源以及組織外部的資源�����,例如來自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付的資源網(wǎng)絡(luò)。
網(wǎng)絡(luò)安全策略管理(Network Security PolicyManagement, NSPM)涉及分析和審計以優(yōu)化指導網(wǎng)絡(luò)安全的規(guī)則����,以及變更管理工作流、規(guī)則測試���、合規(guī)性評估和可視化���。NSPM工具可以使用可視化網(wǎng)絡(luò)地圖,顯示覆蓋在多個網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪問規(guī)則��。
微隔離(Microsegmentation)是一種技術(shù)����,可以阻止已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊在其橫向移動以訪問關(guān)鍵資產(chǎn)。用于網(wǎng)絡(luò)安全的微隔離工具分為三類:
· 部署在網(wǎng)絡(luò)層的基于網(wǎng)絡(luò)的工具����,通常與軟件定義網(wǎng)絡(luò)結(jié)合使用,用于保護連接到網(wǎng)絡(luò)的資產(chǎn)�。
· 基于管理程序的工具是微分段的原始形式���,用于提高不同管理程序之間移動的不透明網(wǎng)絡(luò)流量的可見性��。
· 基于主機代理的工具�����,在其想要與網(wǎng)絡(luò)其余部分隔離的主機上安裝代理�����;主機代理解決方案同樣適用于云工作負載�、管理程序工作負載和物理服務(wù)器。
安全訪問服務(wù)邊緣(Secure Access Service Edge, SASE)是一種新興框架��,它結(jié)合了全面的網(wǎng)絡(luò)安全功能���,例如SWG����、SD-WAN和ZTNA等��,以及全面的WAN功能����,可支持組織的安全訪問需求�����。SASE更像是一個概念而非框架���,其目標是提供統(tǒng)一的安全服務(wù)模型,以可擴展�、靈活和低延遲的方式跨網(wǎng)絡(luò)提供功能。
網(wǎng)絡(luò)檢測和響應(yīng)(Network detection and response, NDR)持續(xù)分析入站和出站流量和流量記錄���,以記錄正常的網(wǎng)絡(luò)行為�����,因此可以識別異常情況并向組織發(fā)出警報�。這些工具結(jié)合了機器學習(ML)����、啟發(fā)式、分析和基于規(guī)則的檢測�����。
DNS安全擴展(DNSsecurity extensions)是DNS協(xié)議的附加組件��,旨在驗證DNS響應(yīng)。DNSSEC的安全優(yōu)勢需要對經(jīng)過驗證的DNS數(shù)據(jù)進行數(shù)字簽名�,這是一個處理器密集型過程�����。
防火墻即服務(wù)(FWaaS)是一種與基于云的SWG密切相關(guān)的新技術(shù)����。不同之處在于架構(gòu),F(xiàn)WaaS通過端點和網(wǎng)絡(luò)邊緣設(shè)備之間的VPN連接以及云中的安全堆棧運行����。它還可以通過VPN隧道將最終用戶連接到本地服務(wù)。FWaaS當前還遠不如SWG常見���。
文章圖片來源于網(wǎng)絡(luò)��,僅供交流學習�,版權(quán)歸原作者所有���,如有侵權(quán)���,請聯(lián)系刪除�����,謝謝���!
甘公網(wǎng)安備: 62010002000051