來(lái)源:黑客靜姐 | 作者: | 日期:2021-12-27 14:29:55 | 閱讀: 6963
網(wǎng)絡(luò)安全架構(gòu)(Network security architect)是指與云安全架構(gòu)、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)相關(guān)的一系列職責(zé)。根據(jù)組織的規(guī)模,可能每個(gè)域有一位成員負(fù)責(zé)。或者,組織可能選擇一位監(jiān)督人員。無(wú)論采用何種方法,組織都需要定義誰(shuí)該為此負(fù)責(zé),并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力。
網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估(Network risk assessment)是對(duì)內(nèi)外部惡意或失誤造成的,可能被用于網(wǎng)絡(luò)攻擊連接資源方式的完整清單。全面的評(píng)估允許組織定義風(fēng)險(xiǎn)并通過(guò)安全控制來(lái)減輕風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可能包括:
· 對(duì)系統(tǒng)或流程了解不足
· 難以衡量風(fēng)險(xiǎn)水平的系統(tǒng)
· 面臨業(yè)務(wù)和技術(shù)風(fēng)險(xiǎn)的“混合”系統(tǒng)
制定有效的評(píng)估需要IT和業(yè)務(wù)利益相關(guān)者相互協(xié)作,以了解風(fēng)險(xiǎn)的范圍。共同努力并創(chuàng)建一個(gè)了解更大范圍風(fēng)險(xiǎn)全景的過(guò)程與最終的風(fēng)險(xiǎn)集合同樣重要。
零信任架構(gòu)(ZTA)是一種網(wǎng)絡(luò)安全范式,其假設(shè)網(wǎng)絡(luò)上的某些訪問(wèn)者是危險(xiǎn)的,并且有太多的接入點(diǎn)無(wú)法完全保護(hù)。因此,有效的保護(hù)網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身。由于它與用戶相關(guān)聯(lián),代理會(huì)根據(jù)風(fēng)險(xiǎn)概況來(lái)決定是否批準(zhǔn)每個(gè)訪問(wèn)請(qǐng)求,該風(fēng)險(xiǎn)概況根據(jù)應(yīng)用程序、位置、用戶、設(shè)備、時(shí)間段、數(shù)據(jù)敏感性等組合上下文因素計(jì)算得出。顧名思義,ZTA 是一種架構(gòu),而不是一種產(chǎn)品。你買不到,但是,可以根據(jù)其包含的一些技術(shù)元素進(jìn)行開(kāi)發(fā)。
網(wǎng)絡(luò)防火墻(Network firewall)是一種成熟且眾所周知的安全產(chǎn)品,具有一系列旨在防止直接訪問(wèn)托管組織應(yīng)用和數(shù)據(jù)服務(wù)器的功能。網(wǎng)絡(luò)防火墻提供了靈活性,可用于內(nèi)部網(wǎng)絡(luò)和云。對(duì)于云,有以云為中心的產(chǎn)品,以及IaaS提供商部署的方法來(lái)實(shí)現(xiàn)一些相同的功能。
安全Web網(wǎng)關(guān)(Secureweb gateway)已經(jīng)從其過(guò)去優(yōu)化互聯(lián)網(wǎng)帶寬演變?yōu)楸Wo(hù)用戶免受來(lái)自互聯(lián)網(wǎng)的惡意侵害。URL過(guò)濾、反病毒、解密和檢查通過(guò)HTTPS訪問(wèn)的網(wǎng)站、數(shù)據(jù)防泄露(DLP)和有限形式的云訪問(wèn)安全代理(CASB)等功能現(xiàn)已成為標(biāo)配。
遠(yuǎn)程訪問(wèn)(Remote access)對(duì)VPN的依賴越來(lái)越弱,但對(duì)零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)的依賴逐漸增強(qiáng),它使用戶在對(duì)資產(chǎn)不可見(jiàn)的情況下,利用上下文配置文件來(lái)實(shí)現(xiàn)對(duì)單個(gè)應(yīng)用的訪問(wèn)。
入侵防御系統(tǒng)(IPS)通過(guò)將IPS設(shè)備與未打補(bǔ)丁的服務(wù)器連接在一起來(lái)檢測(cè)并阻止攻擊,從而防止未修補(bǔ)的漏洞被攻擊。IPS功能現(xiàn)在通常包含在其他安全產(chǎn)品中,但也仍存在獨(dú)立產(chǎn)品。IPS正開(kāi)始再次興起,因?yàn)樵圃刂圃诼龑⑵浼{入過(guò)程中。
網(wǎng)絡(luò)訪問(wèn)控制(Network access control)提供對(duì)網(wǎng)絡(luò)上所有內(nèi)容的可見(jiàn)性以及對(duì)基于策略法人網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問(wèn)的控制。策略可以根據(jù)用戶的角色、身份驗(yàn)證或其他元素來(lái)定義訪問(wèn)。
網(wǎng)絡(luò)數(shù)據(jù)包代理(Network packet broker)設(shè)備處理網(wǎng)絡(luò)流量,以便其他監(jiān)控設(shè)備(例如專門用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備)可以更有效地運(yùn)行。功能包括用于識(shí)別風(fēng)險(xiǎn)級(jí)別的數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包負(fù)載和基于硬件的時(shí)間戳插入等。
DNS清洗(SanitizedDomain Name System)是供應(yīng)商提供的服務(wù),作為組織的域名系統(tǒng)運(yùn)行,可防止終端用戶(包括遠(yuǎn)程工作人員)訪問(wèn)聲譽(yù)不佳的站點(diǎn)。
DDoS緩解(DDoSmitigation)限制了分布式拒絕服務(wù)攻擊對(duì)網(wǎng)絡(luò)的破壞性影響。產(chǎn)品采用多層方式保護(hù)防火墻內(nèi)部的網(wǎng)絡(luò)資源、部署在網(wǎng)絡(luò)防火墻前面的資源以及組織外部的資源,例如來(lái)自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付的資源網(wǎng)絡(luò)。
網(wǎng)絡(luò)安全策略管理(Network Security PolicyManagement, NSPM)涉及分析和審計(jì)以優(yōu)化指導(dǎo)網(wǎng)絡(luò)安全的規(guī)則,以及變更管理工作流、規(guī)則測(cè)試、合規(guī)性評(píng)估和可視化。NSPM工具可以使用可視化網(wǎng)絡(luò)地圖,顯示覆蓋在多個(gè)網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪問(wèn)規(guī)則。
微隔離(Microsegmentation)是一種技術(shù),可以阻止已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊在其橫向移動(dòng)以訪問(wèn)關(guān)鍵資產(chǎn)。用于網(wǎng)絡(luò)安全的微隔離工具分為三類:
· 部署在網(wǎng)絡(luò)層的基于網(wǎng)絡(luò)的工具,通常與軟件定義網(wǎng)絡(luò)結(jié)合使用,用于保護(hù)連接到網(wǎng)絡(luò)的資產(chǎn)。
· 基于管理程序的工具是微分段的原始形式,用于提高不同管理程序之間移動(dòng)的不透明網(wǎng)絡(luò)流量的可見(jiàn)性。
· 基于主機(jī)代理的工具,在其想要與網(wǎng)絡(luò)其余部分隔離的主機(jī)上安裝代理;主機(jī)代理解決方案同樣適用于云工作負(fù)載、管理程序工作負(fù)載和物理服務(wù)器。
安全訪問(wèn)服務(wù)邊緣(Secure Access Service Edge, SASE)是一種新興框架,它結(jié)合了全面的網(wǎng)絡(luò)安全功能,例如SWG、SD-WAN和ZTNA等,以及全面的WAN功能,可支持組織的安全訪問(wèn)需求。SASE更像是一個(gè)概念而非框架,其目標(biāo)是提供統(tǒng)一的安全服務(wù)模型,以可擴(kuò)展、靈活和低延遲的方式跨網(wǎng)絡(luò)提供功能。
網(wǎng)絡(luò)檢測(cè)和響應(yīng)(Network detection and response, NDR)持續(xù)分析入站和出站流量和流量記錄,以記錄正常的網(wǎng)絡(luò)行為,因此可以識(shí)別異常情況并向組織發(fā)出警報(bào)。這些工具結(jié)合了機(jī)器學(xué)習(xí)(ML)、啟發(fā)式、分析和基于規(guī)則的檢測(cè)。
DNS安全擴(kuò)展(DNSsecurity extensions)是DNS協(xié)議的附加組件,旨在驗(yàn)證DNS響應(yīng)。DNSSEC的安全優(yōu)勢(shì)需要對(duì)經(jīng)過(guò)驗(yàn)證的DNS數(shù)據(jù)進(jìn)行數(shù)字簽名,這是一個(gè)處理器密集型過(guò)程。
防火墻即服務(wù)(FWaaS)是一種與基于云的SWG密切相關(guān)的新技術(shù)。不同之處在于架構(gòu),F(xiàn)WaaS通過(guò)端點(diǎn)和網(wǎng)絡(luò)邊緣設(shè)備之間的VPN連接以及云中的安全堆棧運(yùn)行。它還可以通過(guò)VPN隧道將最終用戶連接到本地服務(wù)。FWaaS當(dāng)前還遠(yuǎn)不如SWG常見(jiàn)。
文章圖片來(lái)源于網(wǎng)絡(luò),僅供交流學(xué)習(xí),版權(quán)歸原作者所有,如有侵權(quán),請(qǐng)聯(lián)系刪除,謝謝!
蘭州網(wǎng)站建設(shè),甘肅制作網(wǎng)站,蘭州點(diǎn)石網(wǎng)絡(luò) 版權(quán)所有 ?2018-2024 隴ICP備12000250號(hào) 甘公網(wǎng)安備: 62010002000051