Брокер за мрежни пакетиУредите го обработуваат мрежниот сообраќај, така што другите уреди за следење, како што се оние наменети за следење на мрежните перформанси и следење поврзано со безбедноста, можат да работат поефикасно. Карактеристиките вклучуваат филтрирање на пакети за да се идентификуваат нивоата на ризик, оптоварувањето на пакетите и вметнување на временски печат базиран на хардвер.
Архитект за мрежна безбедностсе однесува на збир на одговорности поврзани со архитектурата за безбедност во облак, архитектурата за безбедност на мрежата и архитектурата за безбедност на податоците. Во зависност од големината на организацијата, може да има еден член одговорен за секој домен. Алтернативно, организацијата може да избере супервизор. Во секој случај, организациите треба да дефинираат кој е одговорен и да го овластат да донесува критични одлуки за мисијата.
Проценката на мрежен ризик е комплетен список на начини на кои внатрешните или надворешните злонамерни или погрешно насочени напади можат да се користат за поврзување на ресурсите. Сеопфатната проценка ѝ овозможува на организацијата да ги дефинира ризиците и да ги ублажи преку безбедносни контроли. Овие ризици може да вклучуваат:
- Недоволно разбирање на системите или процесите
- Системи кај кои е тешко да се измерат нивоата на ризик
- „хибридни“ системи кои се соочуваат со деловни и технички ризици
Развивањето ефективни проценки бара соработка помеѓу ИТ и деловните засегнати страни за да се разбере обемот на ризикот. Заедничката работа и креирањето процес за разбирање на пошироката слика за ризикот е исто толку важно како и конечниот збир на ризици.
Архитектура со нулта доверба (ZTA)е парадигма за мрежна безбедност која претпоставува дека некои посетители на мрежата се опасни и дека има премногу точки за пристап за да бидат целосно заштитени. Затоа, ефикасно заштитете ги средствата на мрежата, а не самата мрежа. Бидејќи е поврзан со корисникот, агентот одлучува дали да одобри секое барање за пристап врз основа на профил на ризик пресметан врз основа на комбинација од контекстуални фактори како што се апликација, локација, корисник, уред, временски период, чувствителност на податоци и така натаму. Како што имплицира името, ZTA е архитектура, а не производ. Не можете да ја купите, но можете да ја развиете врз основа на некои од техничките елементи што ги содржи.
Мрежен заштитен ѕиде зрел и добро познат безбедносен производ со низа функции дизајнирани да спречат директен пристап до хостирани апликации на организацијата и сервери за податоци. Мрежните заштитни ѕидови обезбедуваат флексибилност и за внатрешните мрежи и за облакот. За облакот, постојат понуди фокусирани на облакот, како и методи распоредени од IaaS провајдерите за да имплементираат некои од истите можности.
Безбедна мрежаеволуираа од оптимизирање на пропусниот опсег на интернет до заштита на корисниците од малициозни напади од интернет. Филтрирањето на URL-адреси, антивирусот, дешифрирањето и проверката на веб-страниците до кои се пристапува преку HTTPS, спречувањето на кршење на податоци (DLP) и ограничените форми на агент за безбедност на пристап до облак (CASB) сега се стандардни карактеристики.
Далечински пристапСе потпира сè помалку на VPN, но сè повеќе на мрежен пристап со нулта доверба (ZTNA), што им овозможува на корисниците пристап до индивидуални апликации користејќи контекстуални профили без да бидат видливи за средствата.
Системи за спречување на упади (IPS)спречување на напади врз незакрпени ранливости со поврзување на IPS уреди со незакрпени сервери за откривање и блокирање на напади. Можностите на IPS сега често се вклучени во други безбедносни производи, но сè уште постојат самостојни производи. IPS повторно почнуваат да се појавуваат бидејќи контролата во облак полека ги вклучува во процесот.
Контрола на пристап до мрежаОвозможува видливост на целата содржина на мрежата и контрола на пристапот до корпоративната мрежна инфраструктура базирана на политики. Политиките можат да дефинираат пристап врз основа на улогата на корисникот, автентикацијата или други елементи.
Чистење на DNS (Систем за санитизирани имиња на домени)е услуга обезбедена од добавувач која работи како систем на имиња на домени на организацијата за да ги спречи крајните корисници (вклучувајќи ги и работниците од далечина) да пристапуваат до несоодветни страници.
DDoS ублажување (DDoS ублажување)го ограничува деструктивното влијание на дистрибуираните напади со одбивање на услуга врз мрежата. Производот користи повеќеслоен пристап за заштита на мрежните ресурси во рамките на заштитниот ѕид, оние распоредени пред мрежниот заштитниот ѕид и оние надвор од организацијата, како што се мрежи на ресурси од даватели на интернет услуги или испорака на содржина.
Управување со политики за безбедност на мрежата (NSPM)вклучува анализа и ревизија за оптимизирање на правилата што ја регулираат мрежната безбедност, како и работни процеси за управување со промени, тестирање на правилата, проценка на усогласеноста и визуелизација. Алатката NSPM може да користи визуелна мрежна мапа за да ги прикаже сите уреди и правила за пристап до заштитен ѕид што покриваат повеќе мрежни патеки.
Микросегментацијае техника што спречува веќе постоечките мрежни напади да се движат хоризонтално кон пристап до критични средства. Алатките за микроизолација за мрежна безбедност спаѓаат во три категории:
- Мрежно-базирани алатки распоредени на мрежниот слој, често во комбинација со софтверски дефинирани мрежи, за заштита на средствата поврзани со мрежата.
- Алатките базирани на хипервизор се примитивни форми на диференцијални сегменти за подобрување на видливоста на непроѕирниот мрежен сообраќај што се движи помеѓу хипервизорите.
- Алатки базирани на хост-агенти кои инсталираат агенти на хостови што сакаат да ги изолираат од остатокот од мрежата; Решението на хост-агентот работи подеднакво добро за работни оптоварувања во облак, работни оптоварувања на хипервизор и физички сервери.
Услуга за безбеден пристап Edge (SASE)е нова рамка што комбинира сеопфатни можности за мрежна безбедност, како што се SWG, SD-WAN и ZTNA, како и сеопфатни можности за WAN за поддршка на потребите за безбеден пристап на организациите. SASE, кој е повеќе концепт отколку рамка, има за цел да обезбеди унифициран модел на безбедносни услуги што испорачува функционалност низ мрежите на скалабилен, флексибилен и со ниска латентност начин.
Мрежно откривање и одговор (NDR)континуирано анализира влезен и излезен сообраќај и логови на сообраќај за да го евидентира нормалното однесување на мрежата, за да можат да се идентификуваат аномалиите и да се известат организациите за нив. Овие алатки комбинираат машинско учење (ML), евристика, анализа и откривање базирано на правила.
DNS безбедносни екстензиисе додатоци на DNS протоколот и се дизајнирани да ги потврдат DNS одговорите. Безбедносните придобивки од DNSSEC бараат дигитално потпишување на автентицирани DNS податоци, процес што бара многу работа на процесорот.
Заштитен ѕид како услуга (FWaaS)е нова технологија тесно поврзана со SWGS базиран на облак. Разликата е во архитектурата, каде што FWaaS работи преку VPN врски помеѓу крајните точки и уредите на работ на мрежата, како и безбедносен стек во облакот. Исто така, може да ги поврзе крајните корисници со локални услуги преку VPN тунели. FWaaS во моментов се многу поретки од SWGS.
Време на објавување: 23 март 2022 година
