Hálózati csomagközvetítőAz eszközök feldolgozzák a hálózati forgalmat, hogy más monitorozó eszközök, például a hálózati teljesítmény monitorozására és a biztonsággal kapcsolatos monitorozásra szolgáló eszközök hatékonyabban működhessenek. A funkciók közé tartozik a csomagszűrés a kockázati szintek azonosítására, a csomagterhelések és a hardveralapú időbélyeg beillesztése.
Hálózati biztonsági építésza felhőbiztonsági architektúrához, a hálózati biztonsági architektúrához és az adatbiztonsági architektúrához kapcsolódó felelősségi körökre utal. A szervezet méretétől függően minden egyes tartományért egy-egy felelős tag lehet. Alternatív megoldásként a szervezet választhat egy felügyelőt. Akárhogy is, a szervezeteknek meg kell határozniuk, hogy ki a felelős, és fel kell hatalmazniuk őket a kritikus döntések meghozatalára.
A hálózati kockázatértékelés egy teljes lista azokról a módokról, amelyekkel belső vagy külső rosszindulatú vagy félreirányított támadások segítségével lehet összekapcsolni az erőforrásokat. Az átfogó értékelés lehetővé teszi a szervezetek számára, hogy meghatározzák a kockázatokat, és biztonsági ellenőrzések révén enyhítsék azokat. Ezek a kockázatok a következők lehetnek:
- A rendszerek vagy folyamatok nem megfelelő ismerete
- Nehezen mérhető kockázati szintű rendszerek
- üzleti és technikai kockázatokkal küzdő „hibrid” rendszerek
A hatékony becslések kidolgozásához az informatikai és az üzleti érdekelt felek együttműködésére van szükség a kockázat mértékének megértéséhez. Az együttműködés és egy olyan folyamat létrehozása, amely a tágabb kockázati képet segíti megérteni, ugyanolyan fontos, mint a végső kockázatbecslés.
Zero Trust Architecture (ZTA)egy hálózati biztonsági paradigma, amely feltételezi, hogy a hálózaton egyes látogatók veszélyesek, és túl sok hozzáférési pont van ahhoz, hogy teljes mértékben védve legyenek. Ezért hatékonyan védi a hálózaton lévő eszközöket, nem pedig magát a hálózatot. Mivel a felhasználóhoz kapcsolódik, az ügynök a kontextuális tényezők, például az alkalmazás, a helyszín, a felhasználó, az eszköz, az időszak, az adatérzékenység stb. kombinációja alapján kiszámított kockázati profil alapján dönti el, hogy jóváhagyja-e az egyes hozzáférési kérelmeket. Ahogy a neve is sugallja, a ZTA egy architektúra, nem pedig egy termék. Nem lehet megvenni, de a benne található technikai elemek alapján fejleszthető.
Hálózati tűzfalegy kiforrott és jól ismert biztonsági termék, amely számos olyan funkcióval rendelkezik, amelyek célja a szervezeti alkalmazásokhoz és adatszerverekhez való közvetlen hozzáférés megakadályozása. A hálózati tűzfalak rugalmasságot biztosítanak mind a belső hálózatok, mind a felhő számára. A felhő esetében felhőközpontú ajánlatok, valamint az IaaS-szolgáltatók által alkalmazott módszerek is elérhetők ugyanezen képességek egy részének megvalósítására.
Biztonságos webátjáróAz internetes sávszélesség optimalizálásától a felhasználók internetről érkező rosszindulatú támadások elleni védelméig fejlődtek. Az URL-szűrés, a vírusvédelem, a HTTPS-en keresztül elért webhelyek visszafejtése és ellenőrzése, az adatvédelmi incidensek megelőzése (DLP) és a felhőalapú hozzáférés-biztonsági ügynök (CASB) korlátozott formái ma már standard funkciók.
Távoli hozzáférésegyre kevésbé támaszkodik a VPN-re, és egyre inkább a zéró bizalomú hálózati hozzáférésre (ZTNA), amely lehetővé teszi a felhasználók számára, hogy kontextusprofilok segítségével hozzáférjenek az egyes alkalmazásokhoz anélkül, hogy az eszközök láthatóak lennének.
Behatolásmegelőző rendszerek (IPS)A javítatlan sebezhetőségek támadásainak megakadályozása érdekében IPS-eszközöket csatlakoztatnak javítatlan szerverekhez a támadások észlelése és blokkolása érdekében. Az IPS-képességek ma már gyakran más biztonsági termékek részét képezik, de még mindig vannak önálló termékek. Az IPS-ek ismét kezdenek felemelkedni, ahogy a felhőalapú vezérlés lassan bevonja őket a folyamatba.
Hálózati hozzáférés-vezérlésLáthatóságot biztosít a hálózaton található összes tartalomhoz, és szabályozza a szabályzatalapú vállalati hálózati infrastruktúrához való hozzáférést. A szabályzatok a felhasználó szerepköre, hitelesítése vagy egyéb elemek alapján határozhatják meg a hozzáférést.
DNS-tisztítás (tisztított domainnév-rendszer)egy szolgáltató által nyújtott szolgáltatás, amely egy szervezet domain névrendszereként működik, hogy megakadályozza a végfelhasználók (beleértve a távmunkásokat is) hozzáférését a kétes hírű webhelyekhez.
DDoSmitigation (DDoS-csökkentés)korlátozza az elosztott szolgáltatásmegtagadási támadások hálózatra gyakorolt romboló hatását. A termék többrétegű megközelítést alkalmaz a tűzfalon belüli, a hálózati tűzfal előtt telepített és a szervezeten kívüli erőforrások, például az internetszolgáltatóktól vagy tartalomszolgáltatástól származó erőforrások hálózatainak védelmére.
Hálózati biztonsági irányelvek kezelése (NSPM)magában foglalja az elemzést és az auditálást a hálózati biztonságot szabályozó szabályok optimalizálása érdekében, valamint a változáskezelési munkafolyamatokat, a szabályok tesztelését, a megfelelőségértékelést és a vizualizációt. Az NSPM eszköz vizuális hálózati térképet használhat az összes eszköz és a több hálózati útvonalat lefedő tűzfal-hozzáférési szabályok megjelenítésére.
Mikroszegmentációegy olyan technika, amely megakadályozza, hogy a már folyamatban lévő hálózati támadások horizontálisan folytassák a hozzáférést a kritikus eszközökhöz. A hálózati biztonságot szolgáló mikroizolációs eszközök három kategóriába sorolhatók:
- Hálózatalapú eszközök, amelyeket a hálózati rétegen telepítenek, gyakran szoftveresen definiált hálózatokkal együtt, a hálózathoz csatlakoztatott eszközök védelme érdekében.
- A hipervizor-alapú eszközök a differenciális szegmensek primitív formái, amelyek javítják a hipervizorok között mozgó átlátszatlan hálózati forgalom láthatóságát.
- Host Agent alapú eszközök, amelyek ügynököket telepítenek a hálózat többi részétől elkülöníteni kívánt hosztokra; A hoszt ügynök megoldás ugyanolyan jól működik felhőalapú munkaterhelések, hipervizor munkaterhelések és fizikai szerverek esetén.
Biztonságos hozzáférésű szolgáltatás élvonala (SASE)egy újonnan feltörekvő keretrendszer, amely átfogó hálózati biztonsági képességeket, például SWG-t, SD-WAN-t és ZTNA-t, valamint átfogó WAN-képességeket ötvöz a szervezetek biztonságos hozzáférési igényeinek támogatása érdekében. A SASE inkább koncepció, mint keretrendszer, célja egy egységes biztonsági szolgáltatási modell biztosítása, amely skálázható, rugalmas és alacsony késleltetésű módon biztosít funkcionalitást a hálózatokon keresztül.
Hálózati észlelés és válasz (NDR)folyamatosan elemzi a bejövő és kimenő forgalmat, valamint a forgalmi naplókat a normál hálózati viselkedés rögzítése érdekében, így a rendellenességek azonosíthatók és értesíthetők a szervezetekről. Ezek az eszközök ötvözik a gépi tanulást (ML), a heurisztikát, az elemzést és a szabályalapú észlelést.
DNS biztonsági kiterjesztéseka DNS-protokoll kiegészítői, és a DNS-válaszok ellenőrzésére szolgálnak. A DNSSEC biztonsági előnyeihez hitelesített DNS-adatok digitális aláírása szükséges, ami egy processzorigényes folyamat.
Tűzfal, mint szolgáltatás (FWaaS)egy új technológia, amely szorosan kapcsolódik a felhőalapú SWGS-hez. A különbség az architektúrában rejlik, ahol az FWaaS VPN-kapcsolatokon keresztül fut a hálózat szélén lévő végpontok és eszközök között, valamint egy felhőbeli biztonsági veremként. VPN-alagutakon keresztül is képes a végfelhasználókat a helyi szolgáltatásokhoz csatlakoztatni. Az FWaaS jelenleg sokkal ritkább, mint az SWGS.
Közzététel ideje: 2022. márc. 23.
