Што вам трэба ведаць аб сеткавай бяспецы?

Брокер сеткавых пакетаўпрылады апрацоўваюць сеткавы трафік, каб іншыя прылады маніторынгу, напрыклад, прызначаныя для маніторынгу прадукцыйнасці сеткі і бяспекі, маглі працаваць больш эфектыўна. Функцыі ўключаюць фільтрацыю пакетаў для вызначэння ўзроўню рызыкі, загрузкі пакетаў і апаратную ўстаўку метак часу.

Бяспека сеткі

Архітэктар сеткавай бяспекіадносіцца да набору абавязкаў, звязаных з воблачнай архітэктурай бяспекі, архітэктурай бяспекі сеткі і архітэктурай бяспекі даных. У залежнасці ад памеру арганізацыі, можа быць адзін член, адказны за кожны дамен. Акрамя таго, арганізацыя можа выбраць кіраўніка. У любым выпадку арганізацыі павінны вызначыць, хто нясе адказнасць, і даць ім магчымасць прымаць важныя рашэнні.

Ацэнка сеткавых рызык - гэта поўны спіс спосабаў выкарыстання ўнутраных і знешніх зламысных або няправільных нападаў для злучэння рэсурсаў. Комплексная ацэнка дазваляе арганізацыі вызначаць рызыкі і зніжаць іх з дапамогай кантролю бяспекі. Гэтыя рызыкі могуць уключаць:

-  Недастатковае разуменне сістэм або працэсаў

-  Сістэмы, узровень рызыкі якіх цяжка вымераць

-  «гібрыдныя» сістэмы, якія сутыкаюцца з бізнес- і тэхнічнымі рызыкамі

Распрацоўка эфектыўных ацэнак патрабуе супрацоўніцтва паміж зацікаўленымі бакамі ІТ і бізнесу, каб зразумець маштаб рызыкі. Сумесная праца і стварэнне працэсу для разумення больш шырокай карціны рызыкі гэтак жа важныя, як і канчатковы набор рызык.

Архітэктура нулявога даверу (ZTA)гэта парадыгма сеткавай бяспекі, якая прадугледжвае, што некаторыя наведвальнікі ў сетцы небяспечныя і што існуе занадта шмат кропак доступу для поўнай абароны. Такім чынам, эфектыўна абараняйце актывы ў сетцы, а не саму сетку. Паколькі ён звязаны з карыстальнікам, агент вырашае, ці зацвярджаць кожны запыт доступу на аснове профілю рызыкі, разлічанага на аснове камбінацыі кантэкстных фактараў, такіх як прыкладанне, месцазнаходжанне, карыстальнік, прылада, перыяд часу, канфідэнцыяльнасць даных і гэтак далей. Як вынікае з назвы, ZTA - гэта архітэктура, а не прадукт. Вы не можаце купіць яго, але вы можаце распрацаваць яго на аснове некаторых тэхнічных элементаў, якія ён змяшчае.

сеткавая бяспека

Сеткавы брандмаўэргэта спелы і добра вядомы прадукт бяспекі з шэрагам функцый, прызначаных для прадухілення прамога доступу да размешчаных арганізацыйных праграм і сервераў даных. Сеткавыя брандмаўэры забяспечваюць гнуткасць як для ўнутраных сетак, так і для воблака. Для воблака існуюць прапановы, арыентаваныя на воблака, а таксама метады, разгорнутыя пастаўшчыкамі IaaS для рэалізацыі некаторых такіх жа магчымасцей.

Шлюз Securewebэвалюцыянавалі ад аптымізацыі прапускной здольнасці Інтэрнэту да абароны карыстальнікаў ад шкоднасных нападаў з Інтэрнэту. Фільтраванне URL-адрасоў, антывірус, дэшыфраванне і праверка вэб-сайтаў, доступ да якіх ажыццяўляецца праз HTTPS, прадухіленне ўцечкі дадзеных (DLP) і абмежаваныя формы агента бяспекі доступу да воблака (CASB) цяпер з'яўляюцца стандартнымі функцыямі.

Аддалены доступусё менш і менш залежыць ад VPN, але ўсё больш і больш ад доступу да сеткі з нулявым даверам (ZTNA), які дазваляе карыстальнікам атрымліваць доступ да асобных прыкладанняў з дапамогай кантэкстных профіляў, не будучы бачным для актываў.

Сістэмы прадухілення ўварванняў (IPS)прадухіліць атакі на невыпраўленыя ўразлівасці шляхам падлучэння прылад IPS да невыпраўленых сервераў для выяўлення і блакіроўкі атак. Магчымасці IPS цяпер часта ўключаны ў іншыя прадукты бяспекі, але ўсё яшчэ існуюць аўтаномныя прадукты. IPS зноў пачынае расці, паколькі воблачнае ўласнае кіраванне павольна ўключае іх у працэс.

Кантроль доступу да сеткізабяспечвае бачнасць усяго кантэнту ў сетцы і кантроль доступу да інфраструктуры карпаратыўнай сеткі на аснове палітык. Палітыкі могуць вызначаць доступ на аснове ролі карыстальніка, аўтэнтыфікацыі або іншых элементаў.

Ачыстка DNS (дэзінфікаваная сістэма даменных імёнаў)гэта паслуга, прадастаўленая пастаўшчыком, якая працуе як сістэма даменных імёнаў арганізацыі, каб прадухіліць доступ канчатковых карыстальнікаў (уключаючы аддаленых супрацоўнікаў) да паганых сайтаў.

DDoSmitigation (Змякчэнне DDoS)абмяжоўвае разбуральнае ўздзеянне размеркаваных нападаў адмовы ў абслугоўванні на сетку. Прадукт выкарыстоўвае шматузроўневы падыход да абароны сеткавых рэсурсаў унутры брандмаўэра, тых, што разгорнуты перад сеткавым брандмаўэрам, а таксама па-за межамі арганізацыі, такіх як сеткі рэсурсаў ад пастаўшчыкоў Інтэрнэт-паслуг або дастаўкі кантэнту.

Кіраванне палітыкай бяспекі сеткі (NSPM)ўключае аналіз і аўдыт для аптымізацыі правілаў, якія рэгулююць сеткавую бяспеку, а таксама працоўныя працэсы кіравання зменамі, тэставанне правілаў, ацэнку адпаведнасці і візуалізацыю. Інструмент NSPM можа выкарыстоўваць візуальную карту сеткі, каб паказаць усе прылады і правілы доступу да брандмаўэра, якія ахопліваюць некалькі сеткавых шляхоў.

Микросегментациягэта метад, які прадухіляе ўжо адбыліся сеткавыя атакі ад гарызантальнага перамяшчэння для доступу да крытычна важных актываў. Інструменты мікраізаляцыі для бяспекі сеткі дзеляцца на тры катэгорыі:

-  Сеткавыя інструменты, разгорнутыя на сеткавым узроўні, часта ў спалучэнні з праграмна вызначанымі сеткамі, для абароны актываў, падлучаных да сеткі.

-  Інструменты на аснове гіпервізара - гэта прымітыўныя формы дыферэнцыяльных сегментаў для паляпшэння бачнасці непразрыстага сеткавага трафіку, які рухаецца паміж гіпервізарамі.

-  Інструменты на аснове агентаў хоста, якія ўсталёўваюць агентаў на хосты, якія яны жадаюць ізаляваць ад астатняй часткі сеткі; Рашэнне хост-агента аднолькава добра працуе для нагрузак у воблаку, нагрузак гіпервізара і фізічных сервераў.

Secure Access Service Edge (SASE)гэта новы фрэймворк, які аб'ядноўвае комплексныя магчымасці сеткавай бяспекі, такія як SWG, SD-WAN і ZTNA, а таксама комплексныя магчымасці WAN для падтрымкі патрэб арганізацый у бяспечным доступе. Больш канцэпцыя, чым структура, SASE імкнецца забяспечыць уніфікаваную мадэль службы бяспекі, якая забяспечвае функцыянальнасць у сетках з магчымасцю маштабавання, гнуткасцю і з нізкай затрымкай.

Выяўленне сеткі і адказ (NDR)бесперапынна аналізуе ўваходны і выходны трафік і журналы трафіку, каб запісваць нармальныя паводзіны сеткі, каб анамаліі можна было вызначыць і паведаміць арганізацыям. Гэтыя інструменты спалучаюць машыннае навучанне (ML), эўрыстыкі, аналіз і выяўленне на аснове правілаў.

Пашырэнні бяспекі DNSз'яўляюцца дапаўненнямі да пратаколу DNS і прызначаны для праверкі адказаў DNS. Перавагі бяспекі DNSSEC патрабуюць лічбавага подпісу аўтэнтыфікаваных даных DNS, што з'яўляецца інтэнсіўным працэсарам.

Брандмаўэр як паслуга (FWaaS)гэта новая тэхналогія, цесна звязаная з воблачным SWGS. Розніца заключаецца ў архітэктуры, дзе FWaaS працуе праз VPN-злучэнні паміж канчатковымі кропкамі і прыладамі на мяжы сеткі, а таксама праз стэк бяспекі ў воблаку. Ён таксама можа падключаць канчатковых карыстальнікаў да мясцовых службаў праз VPN-тунэлі. FWaaS у цяперашні час значна радзей, чым SWGS.


Час публікацыі: 23 сакавіка 2022 г