Сеткавы брокер пакетаўпрылады апрацоўваюць сеткавы трафік, каб іншыя прылады маніторынгу, такія як тыя, што прызначаныя для маніторынгу прадукцыйнасці сеткі і маніторынгу бяспекі, маглі працаваць больш эфектыўна. Функцыі ўключаюць фільтрацыю пакетаў для вызначэння ўзроўняў рызыкі, загрузкі пакетаў і ўстаўку часовых пазнак на аснове абсталявання.
Архітэктар сеткавай бяспекіадносіцца да набору абавязкаў, звязаных з архітэктурай бяспекі воблака, архітэктурай бяспекі сеткі і архітэктурай бяспекі дадзеных. У залежнасці ад памеру арганізацыі, за кожны дамен можа быць адказны адзін супрацоўнік. Акрамя таго, арганізацыя можа выбраць кіраўніка. У любым выпадку, арганізацыям неабходна вызначыць, хто нясе адказнасць, і даць ім магчымасць прымаць крытычна важныя рашэнні.
Ацэнка рызык сеткі — гэта поўны спіс спосабаў, якімі ўнутраныя або знешнія зламысныя або няправільна накіраваныя атакі могуць быць выкарыстаны для падключэння рэсурсаў. Комплексная ацэнка дазваляе арганізацыі вызначыць рызыкі і змякчыць іх з дапамогай мер бяспекі. Гэтыя рызыкі могуць уключаць:
- Недастатковае разуменне сістэм або працэсаў
- Сістэмы, узровень рызыкі якіх цяжка вымераць
- «гібрыдныя» сістэмы, якія сутыкаюцца з бізнес-рызыкамі і тэхнічнымі рызыкамі
Распрацоўка эфектыўных ацэнак патрабуе супрацоўніцтва паміж ІТ-аддзелам і бізнес-зацікаўленымі бакамі для разумення маштабу рызыкі. Сумесная праца і стварэнне працэсу для разумення больш шырокай карціны рызык гэтак жа важныя, як і канчатковы набор рызык.
Архітэктура нулявога даверу (ZTA)— гэта парадыгма сеткавай бяспекі, якая мяркуе, што некаторыя наведвальнікі ў сетцы небяспечныя і што кропак доступу занадта шмат для поўнай абароны. Такім чынам, эфектыўна абараняйце актывы ў сетцы, а не саму сетку. Паколькі агент звязаны з карыстальнікам, ён вырашае, ці ўхваляць кожны запыт на доступ на аснове профілю рызыкі, разлічанага на аснове камбінацыі кантэкстуальных фактараў, такіх як прыкладанне, месцазнаходжанне, карыстальнік, прылада, перыяд часу, канфідэнцыяльнасць дадзеных і г.д. Як вынікае з назвы, ZTA — гэта архітэктура, а не прадукт. Яе нельга купіць, але можна распрацаваць на аснове некаторых тэхнічных элементаў, якія яна змяшчае.
Сеткавы брандмаўэр— гэта дасведчаны і вядомы прадукт бяспекі з шэрагам функцый, прызначаных для прадухілення прамога доступу да праграм і сервераў дадзеных, размешчаных у арганізацыі. Сеткавыя брандмаўэры забяспечваюць гнуткасць як для ўнутраных сетак, так і для воблака. Для воблака існуюць воблачна-арыентаваныя прапановы, а таксама метады, разгорнутыя пастаўшчыкамі IaaS для рэалізацыі некаторых з тых жа магчымасцей.
Шлюз Securewebпрайшлі шлях ад аптымізацыі прапускной здольнасці Інтэрнэту да абароны карыстальнікаў ад шкоднасных нападаў з Інтэрнэту. Фільтрацыя URL-адрасоў, антывірус, расшыфроўка і праверка вэб-сайтаў, да якіх атрымліваецца доступ праз HTTPS, прадухіленне ўцечак даных (DLP) і абмежаваныя формы агента бяспекі доступу да воблака (CASB) цяпер з'яўляюцца стандартнымі функцыямі.
Аддалены доступусё менш і менш абапіраецца на VPN, але ўсё больш і больш на доступ да сеткі з нулявым даверам (ZTNA), які дазваляе карыстальнікам атрымліваць доступ да асобных праграм з дапамогай кантэкстных профіляў, не будучы бачнымі для рэсурсаў.
Сістэмы прадухілення ўварванняў (IPS)прадухіліць атакі на неабноўленыя ўразлівасці, падключыўшы прылады IPS да неабноўленых сервераў для выяўлення і блакавання атак. Функцыі IPS цяпер часта ўключаны ў іншыя прадукты бяспекі, але ўсё яшчэ існуюць асобныя прадукты. IPS пачынаюць зноў набіраць папулярнасць, паколькі ўбудаваны воблачны кантроль паступова ўводзіць іх у працэс.
Кантроль доступу да сеткізабяспечвае бачнасць усяго кантэнту ў сетцы і кантроль доступу да карпаратыўнай сеткавай інфраструктуры на аснове палітык. Палітыкі могуць вызначаць доступ на аснове ролі карыстальніка, аўтэнтыфікацыі або іншых элементаў.
Ачыстка DNS (ачышчаная сістэма даменных імёнаў)— гэта паслуга, якая прадастаўляецца пастаўшчыком і функцыянуе як сістэма даменных імёнаў арганізацыі, каб прадухіліць доступ канчатковых карыстальнікаў (у тым ліку аддаленых супрацоўнікаў) да сумніўных сайтаў.
Змякчэнне DDoS-атак (Змякчэнне DDoS-атак)абмяжоўвае разбуральны ўплыў размеркаваных атак тыпу «адмова ў абслугоўванні» на сетку. Прадукт выкарыстоўвае шматслаёвы падыход да абароны сеткавых рэсурсаў унутры брандмаўэра, тых, што разгорнуты перад сеткавым брандмаўэрам, і тых, што знаходзяцца па-за арганізацыяй, такіх як сеткі рэсурсаў пастаўшчыкоў інтэрнэт-паслуг або дастаўкі кантэнту.
Кіраванне палітыкай бяспекі сеткі (NSPM)Уключае аналіз і аўдыт для аптымізацыі правілаў, якія рэгулююць сеткавую бяспеку, а таксама працоўныя працэсы кіравання зменамі, тэставанне правілаў, ацэнку адпаведнасці і візуалізацыю. Інструмент NSPM можа выкарыстоўваць візуальную карту сеткі, каб паказаць усе прылады і правілы доступу брандмаўэра, якія ахопліваюць некалькі сеткавых шляхоў.
Мікрасегментацыя— гэта метад, які прадухіляе гарызантальнае распаўсюджванне ўжо існуючых сеткавых атак для доступу да крытычна важных актываў. Інструменты мікраізаляцыі для сеткавай бяспекі падзяляюцца на тры катэгорыі:
- Сеткавыя інструменты, разгорнутыя на сеткавым узроўні, часта ў спалучэнні з праграмна-вызначанымі сеткамі, для абароны актываў, падлучаных да сеткі.
- Інструменты на аснове гіпервізара — гэта прымітыўныя формы дыферэнцыяльных сегментаў для паляпшэння бачнасці непразрыстага сеткавага трафіку, які перамяшчаецца паміж гіпервізарамі.
- Інструменты на аснове агентаў хоста, якія ўсталёўваюць агенты на хосты, якія яны хочуць ізаляваць ад астатняй часткі сеткі; Рашэнне на аснове агентаў хоста аднолькава добра працуе для воблачных нагрузак, нагрузак гіпервізара і фізічных сервераў.
Памежны сэрвіс бяспечнага доступу (SASE)— гэта новая платформа, якая спалучае ў сабе комплексныя магчымасці сеткавай бяспекі, такія як SWG, SD-WAN і ZTNA, а таксама комплексныя магчымасці WAN для падтрымкі патрэб арганізацый у бяспечным доступе. SASE — гэта хутчэй канцэпцыя, чым платформа, і мэтай якой з'яўляецца забеспячэнне адзінай мадэлі службы бяспекі, якая забяспечвае функцыянальнасць у розных сетках маштабуемым, гнуткім і з нізкай затрымкай.
Выяўленне і рэагаванне ў сетцы (NDR)пастаянна аналізуе ўваходны і выходны трафік і журналы трафіку для запісу нармальнай паводзін у сетцы, што дазваляе выяўляць анамаліі і паведамляць пра іх арганізацыям. Гэтыя інструменты спалучаюць машыннае навучанне (ML), эўрыстыку, аналіз і выяўленне на аснове правілаў.
Пашырэнні бяспекі DNSз'яўляюцца дадаткамі да пратакола DNS і прызначаны для праверкі адказаў DNS. Перавагі бяспекі DNSSEC патрабуюць лічбавага подпісу аўтэнтыфікаваных дадзеных DNS, што з'яўляецца працэсам, які патрабуе значных рэсурсаў працэсара.
Брандмаўэр як паслуга (FWaaS)— гэта новая тэхналогія, цесна звязаная з воблачнымі SWGS. Розніца заключаецца ў архітэктуры, дзе FWaaS працуе праз VPN-злучэнні паміж канцавымі кропкамі і прыладамі на мяжы сеткі, а таксама праз стэк бяспекі ў воблаку. Яна таксама можа падключаць канчатковых карыстальнікаў да лакальных сэрвісаў праз VPN-тунэлі. FWaaS у цяперашні час значна радзей сустракаюцца, чым SWGS.
Час публікацыі: 23 сакавіка 2022 г.
