你需要了解的17個網絡安全概念
網絡安全是所有其他信息安全系統的基礎,網絡安全是一個成熟的市場,擁有強大的、成熟的供應商,以及不斷帶來新的更好的技術的初創公司。
本文介紹了現代網絡安全架構的關鍵概念。
17個關鍵的網絡安全概念
1. 網絡安全架構師
網絡安全架構師是指與云安全架構、網絡安全架構和數據安全架構相關的一系列職責。根據組織的規模不同,可能會有單獨的人負責各個模塊,也有可能是一個人來負責整體。無論采用哪種方式,組織都需要指定相關責任人,并賦予他們做出關鍵任務決策的權力。
2. 網絡風險評估
網絡風險評估是指對網絡中已知或潛在的安全風險、安全隱患,進行探測、識別、控制、消除的全過程,是企業網絡安全管理工作的必備措施之一。通過網絡安全評估,可以全面梳理網絡中的資產,了解當前存在的安全風險和安全隱患,并有針對性地進行安全加固,從而保障網絡的安全運行。
3. 零信任架構(Zero-Trust Architecture, ZTA)
零信任架構(Zero-Trust Architecture, ZTA)是一種網絡安全范式,它的原理是假設網絡上的所有參與者都是不可信的。因此,它保護的是網絡上的資產而不是網絡本身。由于與用戶相關,代理會根據應用程序、位置、用戶、設備、時間、數據敏感性等上下文因素計算出的風險概況來決定是否批準每個訪問請求。顧名思義,ZTA 是一種架構,而不是一種產品。你買不到它,但是你可以根據其中包含的一些技術元素進行開發。
4. 網絡防火墻
網絡防火墻是一種成熟安全產品,具有一系列旨在防止任何人直接訪問托管組織應用程序和數據的網絡服務器的功能。網絡防火墻可用于內部部署網絡和云。對于云,有一些以云為中心的產品,以及IaaS提供商部署的方法來實現一些相同功能。
5. 安全Web網關
安全Web網關已經從其過去優化互聯網帶寬的目的演變為保護用戶免受來自互聯網的惡意內容的侵害。諸如URL 過濾、反惡意軟件、解密和檢查通過 HTTPS 訪問的網站、數據丟失防護 (DLP) 和云訪問安全代理 (CASB) 等功能現已成為標準。
6. 遠程訪問
遠程訪問對虛擬專用網絡的依賴越來越少,而越來越依賴零信任網絡訪問 (ZTNA),零信任網絡訪問使資產對用戶不可見,并使用上下文配置文件對單個應用程序進行訪問。
7. 入侵防御系統 (IPS)
入侵防御系統 (IPS)通過在未打補丁的服務器上放置IPS設備來檢測和阻止攻擊,從而防止無法修補的漏洞(例如,服務提供商不再支持的打包應用程序)。IPS 功能通常包含在其他安全產品中,但也存在獨立產品。IPS正經歷著一次復興,因為云原生控制一直在緩慢地將其包括在內。
8. 網絡訪問控制
網絡訪問控制提供對網絡上所有內容的可見性以及對網絡基礎設施訪問的基于策略的控制。策略可以根據用戶的角色、身份驗證或其他因素來定義訪問。
9. 網絡數據包代理
網絡數據包代理設備處理網絡流量,以便其他監控設備(例如專門用于網絡性能監控和安全相關監控的設備)可以更有效地運行。功能包括用于識別風險級別的數據包數據過濾、分配數據包負載和基于硬件的時間戳插入等。
10. DNS凈化
DNS凈化 (Sanitized Domain Name System)是一個由供應商提供的服務,它作為組織的域名系統運行,阻止最終用戶(包括遠程工作人員)訪問聲譽較差的站點。
11. DDoS防御
DDoS防御可以限制分布式拒絕服務 (DDoS) 攻擊對網絡操作的破壞性影響,采用多層方式保護防火墻內部的網絡資源以及組織外部的資源,例如來自互聯網服務提供商或內容交付網絡的資源。
12. 網絡安全策略管理(NSPM)
網絡安全策略管理(NSPM)涉及分析和審計以優化指導網絡安全的規則,以及變更管理工作流、規則測試和合規性評估和可視化。NSPM 工具可以使用可視化網絡地圖,顯示覆蓋在多個網絡路徑上的所有設備和防火墻訪問規則。
13. 微分段
微分段是一種技術,可以阻止已經在網絡上的攻擊者在其中橫向移動以訪問關鍵資產。
用于網絡安全的微分段工具分為三類:
- 基于網絡的工具,部署在網絡級別,通常與軟件定義網絡結合使用,用于保護連接到網絡的資產。
- 基于管理程序的工具,用于提高不同管理程序之間移動的不透明網絡流量的可見性。
- 基于主機代理的工具,在希望從網絡的其他部分分離出來的主機上安裝一個代理;主機代理解決方案同樣適用于云工作負載、管理程序工作負載和物理服務器。
14. 安全訪問服務邊緣(SASE)
安全訪問服務邊緣(SASE)是一種新興的網絡安全框架,它結合了SWG、SD-WAN和ZTNA等全面的網絡安全功能以及全面的 WAN 功能,支持組織的安全訪問需求。SASE 更像是一個概念而非框架,其目標是交付一個統一的安全服務模型,以一種可伸縮、靈活和低延遲的方式跨網絡提供功能。
15. 網絡檢測和響應
網絡檢測和響應通過不斷分析入站和出站流量和流量記錄,記錄正常的網絡行為,從而識別異常情況和報警。
16. DNS安全擴展
DNS安全擴展是 DNS 協議的附加組件,旨在驗證 DNS 響應。DNSSEC的安全性要求對經過驗證的DNS數據進行數字簽名,這是一個處理器密集型的過程。
17. 防火墻即服務(FWaaS)
防火墻即服務(FWaaS)是一種與基于云的 SWG 密切相關的新技術。不同之處在于架構:FWaaS 通過端點和網絡邊緣設備之間的虛擬專用網連接以及云中的安全堆棧運行。它還可以通過虛擬專用網隧道將最終用戶連接到本地服務。SWG較為常見。
