Broker ng Pakete ng NetworkPinoproseso ng mga device ang trapiko sa Network upang ang iba pang mga device sa pagsubaybay, tulad ng mga nakatuon sa pagsubaybay sa pagganap ng Network at pagsubaybay na may kaugnayan sa seguridad, ay maaaring gumana nang mas mahusay. Kabilang sa mga tampok ang packet filtering upang matukoy ang mga antas ng panganib, mga load ng packet, at paglalagay ng timestamp batay sa hardware.
Arkitekto ng Seguridad sa Networkay tumutukoy sa isang hanay ng mga responsibilidad na may kaugnayan sa arkitektura ng seguridad ng cloud, arkitektura ng seguridad ng network, at arkitektura ng seguridad ng data. Depende sa laki ng organisasyon, maaaring mayroong isang miyembro na responsable para sa bawat domain. Bilang kahalili, maaaring pumili ang organisasyon ng isang superbisor. Alinman dito, kailangang tukuyin ng mga organisasyon kung sino ang responsable at bigyang kapangyarihan sila na gumawa ng mga desisyong kritikal sa misyon.
Ang Network Risk Assessment ay isang kumpletong listahan ng mga paraan kung paano maaaring gamitin ang mga panloob o panlabas na malisyosong o maling direksyon na pag-atake upang ikonekta ang mga mapagkukunan. Ang komprehensibong pagtatasa ay nagbibigay-daan sa isang organisasyon na tukuyin ang mga panganib at bawasan ang mga ito sa pamamagitan ng mga kontrol sa seguridad. Ang mga panganib na ito ay maaaring kabilang ang:
- Hindi sapat na pag-unawa sa mga sistema o proseso
- Mga sistemang mahirap sukatin ang mga antas ng panganib
- Mga sistemang "hybrid" na nahaharap sa mga panganib sa negosyo at teknikal
Ang pagbuo ng epektibong mga pagtatantya ay nangangailangan ng kolaborasyon sa pagitan ng mga stakeholder ng IT at negosyo upang maunawaan ang saklaw ng panganib. Ang pagtutulungan at paglikha ng isang proseso upang maunawaan ang mas malawak na larawan ng panganib ay kasinghalaga ng pangwakas na itinakdang panganib.
Arkitektura ng Zero Trust (ZTA)ay isang paradigma ng seguridad ng network na nagpapalagay na ang ilang bisita sa network ay mapanganib at napakaraming access point para ganap na maprotektahan. Samakatuwid, epektibong protektahan ang mga asset sa network sa halip na ang network mismo. Dahil nauugnay ito sa user, ang ahente ang magpapasya kung aaprubahan ang bawat kahilingan sa pag-access batay sa isang profile ng peligro na kinakalkula batay sa isang kumbinasyon ng mga salik na kontekstwal tulad ng application, lokasyon, user, device, tagal ng panahon, sensitivity ng data, at iba pa. Gaya ng ipinahihiwatig ng pangalan, ang ZTA ay isang arkitektura, hindi isang produkto. Hindi mo ito mabibili, ngunit maaari mo itong paunlarin batay sa ilan sa mga teknikal na elementong nakapaloob dito.
Firewall ng Networkay isang mature at kilalang produkto ng seguridad na may serye ng mga tampok na idinisenyo upang maiwasan ang direktang pag-access sa mga naka-host na application ng organisasyon at mga data server. Ang mga network firewall ay nagbibigay ng kakayahang umangkop para sa parehong mga internal na network at sa cloud. Para sa cloud, may mga handog na nakasentro sa cloud, pati na rin ang mga pamamaraan na inilalapat ng mga provider ng IaaS upang ipatupad ang ilan sa mga parehong kakayahan.
Secureweb Gatewayay umunlad mula sa pag-optimize ng bandwidth ng Internet patungo sa pagprotekta sa mga gumagamit mula sa mga malisyosong pag-atake mula sa Internet. Ang pag-filter ng URL, anti-virus, decryption at inspeksyon ng mga website na na-access sa pamamagitan ng HTTPS, pag-iwas sa paglabag sa datos (DLP), at limitadong anyo ng cloud access security agent (CASB) ay mga karaniwang tampok na ngayon.
Malayuang Pag-accessay lalong hindi umaasa sa VPN, ngunit lalong umaasa sa zero-trust network access (ZTNA), na nagbibigay-daan sa mga user na ma-access ang mga indibidwal na application gamit ang mga context profile nang hindi nakikita ng mga asset.
Mga Sistema ng Pag-iwas sa Panghihimasok (IPS)Pinipigilan ang mga hindi pa na-patch na kahinaan na maatake sa pamamagitan ng pagkonekta ng mga IPS device sa mga hindi pa na-patch na server upang matukoy at harangan ang mga pag-atake. Ang mga kakayahan ng IPS ay madalas na kasama na ngayon sa iba pang mga produkto ng seguridad, ngunit mayroon pa ring mga stand-alone na produkto. Nagsisimula nang tumaas muli ang IPS habang unti-unting isinasama ang mga ito sa proseso gamit ang cloud native control.
Kontrol sa Pag-access sa NetworkNagbibigay ng visibility sa lahat ng nilalaman sa Network at kontrol sa access sa imprastraktura ng Network ng korporasyon na nakabatay sa patakaran. Maaaring tukuyin ng mga patakaran ang access batay sa tungkulin, pagpapatotoo, o iba pang elemento ng isang user.
Paglilinis ng DNS (Sistema ng Nilinis na Pangalan ng Domain)ay isang serbisyong ibinibigay ng vendor na gumagana bilang domain Name System ng isang organisasyon upang maiwasan ang mga end user (kabilang ang mga remote worker) sa pag-access sa mga site na may masamang reputasyon.
DDoSmitigation (Pagpapagaan ng DDoS)Nililimitahan nito ang mapanirang epekto ng mga distributed denial of service attack sa network. Gumagamit ang produkto ng maraming patong na pamamaraan sa pagprotekta sa mga mapagkukunan ng network sa loob ng firewall, iyong mga naka-deploy sa harap ng network firewall, at iyong mga nasa labas ng organisasyon, tulad ng mga network ng mga mapagkukunan mula sa mga Internet service provider o paghahatid ng nilalaman.
Pamamahala ng Patakaran sa Seguridad ng Network (NSPM)Kabilang dito ang pagsusuri at pag-awdit upang ma-optimize ang mga patakarang namamahala sa Seguridad ng Network, pati na rin ang mga daloy ng trabaho sa pamamahala ng pagbabago, pagsubok sa patakaran, pagtatasa ng pagsunod, at paggunita. Maaaring gumamit ang tool na NSPM ng isang visual na mapa ng network upang ipakita ang lahat ng device at mga patakaran sa pag-access sa firewall na sumasaklaw sa maraming path ng network.
Mikrosegmentasyonay isang pamamaraan na pumipigil sa mga nagaganap nang pag-atake sa network na gumalaw nang pahalang upang ma-access ang mga kritikal na asset. Ang mga tool sa microisolation para sa seguridad ng network ay nahahati sa tatlong kategorya:
- Mga tool na nakabatay sa network na inilalagay sa network layer, kadalasang kasabay ng mga software-defined network, upang protektahan ang mga asset na konektado sa network.
- Ang mga tool na nakabatay sa hypervisor ay mga primitibong anyo ng mga differential segment upang mapabuti ang visibility ng opaque network traffic na lumilipat sa pagitan ng mga hypervisor.
- Mga tool na nakabatay sa host agent na nag-i-install ng mga ahente sa mga host na gusto nilang ihiwalay mula sa iba pang bahagi ng network; Ang solusyon ng host agent ay gumagana rin nang maayos para sa mga cloud workload, hypervisor workload, at mga pisikal na server.
Secure Access Service Edge (SASE)ay isang umuusbong na balangkas na pinagsasama ang komprehensibong mga kakayahan sa seguridad ng network, tulad ng SWG, SD-WAN at ZTNA, pati na rin ang komprehensibong mga kakayahan sa WAN upang suportahan ang mga pangangailangan ng mga organisasyon sa Secure Access. Higit na isang konsepto kaysa isang balangkas, nilalayon ng SASE na magbigay ng isang pinag-isang modelo ng serbisyo sa seguridad na naghahatid ng functionality sa mga network sa isang scalable, flexible, at low-latency na paraan.
Pagtuklas at Pagtugon sa Network (NDR)Patuloy na sinusuri ang papasok at palabas na trapiko at mga tala ng trapiko upang itala ang normal na pag-uugali ng Network, upang matukoy at maalerto ang mga organisasyon sa mga anomalya. Pinagsasama ng mga tool na ito ang machine learning (ML), heuristics, pagsusuri, at pagtukoy batay sa panuntunan.
Mga Extension ng Seguridad ng DNSay mga add-on sa DNS protocol at idinisenyo upang beripikahin ang mga tugon ng DNS. Ang mga benepisyo sa seguridad ng DNSSEC ay nangangailangan ng digital signing ng mga authenticated na data ng DNS, isang prosesong nangangailangan ng maraming processor.
Firewall bilang isang Serbisyo (FWaaS)ay isang bagong teknolohiyang malapit na nauugnay sa cloud-based na SWGS. Ang pagkakaiba ay nasa arkitektura, kung saan ang FWaaS ay tumatakbo sa pamamagitan ng mga koneksyon ng VPN sa pagitan ng mga endpoint at device sa gilid ng network, pati na rin ang isang security stack sa cloud. Maaari rin nitong ikonekta ang mga end user sa mga lokal na serbisyo sa pamamagitan ng mga VPN tunnel. Ang mga FWaaS ay kasalukuyang hindi gaanong karaniwan kaysa sa SWGS.
Oras ng pag-post: Mar-23-2022
