Zprostředkovatel síťových paketůzařízení zpracovávají síťový provoz, takže jiná monitorovací zařízení, jako jsou zařízení určená pro monitorování výkonu sítě a monitorování související se zabezpečením, mohou fungovat efektivněji. Mezi funkce patří filtrování paketů k identifikaci úrovní rizika, zatížení paketů a vkládání časového razítka na základě hardwaru.
Architekt síťové bezpečnostiodkazuje na soubor povinností souvisejících s architekturou zabezpečení cloudu, architekturou zabezpečení sítě a architekturou zabezpečení dat. V závislosti na velikosti organizace může být za každou doménu odpovědný jeden člen. Alternativně si organizace může vybrat supervizora. Ať tak či onak, organizace musí definovat, kdo je odpovědný, a zmocnit je k přijímání zásadních rozhodnutí.
Network Risk Assessment je úplný seznam způsobů, jakými mohou být interní nebo externí škodlivé nebo nesprávně zaměřené útoky použity k připojení zdrojů. Komplexní hodnocení umožňuje organizaci definovat rizika a zmírňovat je pomocí bezpečnostních kontrol. Tato rizika mohou zahrnovat:
- Nedostatečné porozumění systémům nebo procesům
- Systémy, u kterých je obtížné měřit úrovně rizika
- „hybridní“ systémy čelící obchodním a technickým rizikům
Vypracování efektivních odhadů vyžaduje spolupráci mezi IT a obchodními partnery, aby bylo možné pochopit rozsah rizika. Spolupráce a vytvoření procesu k pochopení širšího obrazu rizik je stejně důležité jako konečný soubor rizik.
Architektura nulové důvěry (ZTA)je paradigma síťového zabezpečení, které předpokládá, že někteří návštěvníci v síti jsou nebezpeční a že existuje příliš mnoho přístupových bodů na to, aby byly plně chráněny. Proto efektivně chraňte aktiva v síti spíše než samotnou síť. Protože je spojen s uživatelem, agent rozhoduje, zda schválí každou žádost o přístup na základě rizikového profilu vypočítaného na základě kombinace kontextových faktorů, jako je aplikace, umístění, uživatel, zařízení, časové období, citlivost na data a tak dále. Jak již název napovídá, ZTA je architektura, nikoli produkt. Nemůžete si ji koupit, ale můžete ji vyvinout na základě některých technických prvků, které obsahuje.
Síťový firewallje vyspělý a dobře známý bezpečnostní produkt s řadou funkcí navržených tak, aby zabránily přímému přístupu k hostovaným organizačním aplikacím a datovým serverům. Síťové firewally poskytují flexibilitu jak pro interní sítě, tak pro cloud. Pro cloud existují nabídky zaměřené na cloud a také metody nasazené poskytovateli IaaS k implementaci některých stejných funkcí.
Secureweb Gatewayse vyvinuly z optimalizace internetové šířky pásma k ochraně uživatelů před škodlivými útoky z internetu. Filtrování adres URL, antivirus, dešifrování a kontrola webových stránek přístupných přes HTTPS, prevence narušení dat (DLP) a omezené formy agenta zabezpečení přístupu ke cloudu (CASB) jsou nyní standardními funkcemi.
Vzdálený přístupspoléhá stále méně na VPN, ale stále více na síťový přístup s nulovou důvěrou (ZTNA), který umožňuje uživatelům přistupovat k jednotlivým aplikacím pomocí kontextových profilů, aniž by byl viditelný pro aktiva.
Systémy prevence narušení (IPS)zabránit napadení neopravených zranitelných míst připojením zařízení IPS k neopraveným serverům za účelem detekce a blokování útoků. Funkce IPS jsou nyní často součástí jiných bezpečnostních produktů, ale stále existují samostatné produkty. IPS začínají znovu stoupat, protože je do procesu pomalu přivádí cloudové nativní řízení.
Řízení přístupu k sítiposkytuje viditelnost veškerého obsahu v síti a kontrolu přístupu k podnikové síťové infrastruktuře založené na zásadách. Zásady mohou definovat přístup na základě role uživatele, autentizace nebo jiných prvků.
Čištění DNS (vyčištěný systém doménových jmen)je služba poskytovaná dodavatelem, která funguje jako systém doménových jmen organizace, aby zabránil koncovým uživatelům (včetně vzdálených pracovníků) v přístupu na stránky s pochybnou pověstí.
DDoSmitigation (DDoS Mitigation)omezuje destruktivní dopad útoků distribuovaného odmítnutí služby na síť. Produkt využívá vícevrstvý přístup k ochraně síťových zdrojů uvnitř firewallu, zdrojů nasazených před síťovým firewallem a zdrojů mimo organizaci, jako jsou sítě zdrojů od poskytovatelů internetových služeb nebo doručování obsahu.
Správa zásad zabezpečení sítě (NSPM)zahrnuje analýzu a audit pro optimalizaci pravidel, kterými se řídí zabezpečení sítě, stejně jako pracovní postupy pro správu změn, testování pravidel, hodnocení shody a vizualizaci. Nástroj NSPM může používat vizuální mapu sítě k zobrazení všech zařízení a pravidel přístupu k bráně firewall, která pokrývají více síťových cest.
Mikrosegmentaceje technika, která zabraňuje již existujícím síťovým útokům v horizontálním pohybu za účelem přístupu ke kritickým aktivům. Nástroje mikroizolace pro zabezpečení sítě spadají do tří kategorií:
- Síťové nástroje nasazené na síťové vrstvě, často ve spojení se softwarově definovanými sítěmi, k ochraně aktiv připojených k síti.
- Nástroje založené na hypervizoru jsou primitivní formy diferenciálních segmentů pro zlepšení viditelnosti neprůhledného síťového provozu pohybujícího se mezi hypervizory.
- Nástroje založené na hostitelských agentech, které instalují agenty na hostitele, které chtějí izolovat od zbytku sítě; Řešení hostitelského agenta funguje stejně dobře pro cloudové úlohy, hypervizory a fyzické servery.
Secure Access Service Edge (SASE)je nově vznikající rámec, který kombinuje komplexní schopnosti zabezpečení sítě, jako jsou SWG, SD-WAN a ZTNA, a také komplexní schopnosti WAN pro podporu potřeb organizací na bezpečný přístup. SASE je spíše konceptem než rámcem a jeho cílem je poskytovat jednotný model bezpečnostních služeb, který poskytuje funkce napříč sítěmi škálovatelným, flexibilním a nízkolatenčním způsobem.
Detekce a odezva sítě (NDR)nepřetržitě analyzuje příchozí a odchozí provoz a protokoly provozu, aby zachytil normální chování sítě, takže lze identifikovat anomálie a upozornit organizace. Tyto nástroje kombinují strojové učení (ML), heuristiku, analýzu a detekci založenou na pravidlech.
Rozšíření zabezpečení DNSjsou doplňky k protokolu DNS a jsou určeny k ověřování odpovědí DNS. Bezpečnostní výhody DNSSEC vyžadují digitální podepisování ověřených DNS dat, což je proces náročný na procesor.
Firewall jako služba (FWaaS)je nová technologie úzce související s cloudovým SWGS. Rozdíl je v architektuře, kde FWaaS běží přes VPN připojení mezi koncovými body a zařízeními na okraji sítě, stejně jako bezpečnostní stack v cloudu. Může také připojit koncové uživatele k místním službám prostřednictvím tunelů VPN. FWaaS jsou v současnosti mnohem méně běžné než SWGS.
Čas odeslání: 23. března 2022