掃一(yī)掃,查看點石網絡微信公衆号

必須了解的(de)17個網絡安全概念

來源:黑客靜姐 | 作者: | 日期:2021-12-27 14:29:55 | 閱讀: 4017

網絡安全架構(Network security architect)是指與雲安全架構、網絡安全架構和(hé)數據安全架構相關的(de)一(yī)系列職責。根據組織的(de)規模,可(kě)能每個域有一(yī)位成員負責。或者,組織可(kě)能選擇一(yī)位監督人員。無論采用何種方法,組織都需要定義誰該為(wèi)此負責,并賦予他們做(zuò)出關鍵任務決策的(de)權力。

網絡風險評估(Network risk assessment)是對內(nèi)外部惡意或失誤造成的(de),可(kě)能被用于網絡攻擊連接資源方式的(de)完整清單。全面的(de)評估允許組織定義風險并通過安全控制來減輕風險。這些風險可(kě)能包括:

· 對系統或流程了解不足

· 難以衡量風險水平的(de)系統

· 面臨業務和(hé)技術風險的(de)“混合”系統

制定有效的(de)評估需要IT和(hé)業務利益相關者相互協作,以了解風險的(de)範圍。共同努力并創建一(yī)個了解更大範圍風險全景的(de)過程與最終的(de)風險集合同樣重要。

零信任架構(ZTA)是一(yī)種網絡安全範式,其假設網絡上的(de)某些訪問者是危險的(de),并且有太多的(de)接入點無法完全保護。因此,有效的(de)保護網絡上的(de)資産而不是網絡本身。由于它與用戶相關聯,代理(lǐ)會根據風險概況來決定是否批準每個訪問請求,該風險概況根據應用程序、位置、用戶、設備、時間段、數據敏感性等組合上下文因素計算得出。顧名思義,ZTA 是一(yī)種架構,而不是一(yī)種産品。你買不到,但是,可(kě)以根據其包含的(de)一(yī)些技術元素進行開發。

網絡防火牆(Network firewall)是一(yī)種成熟且衆所周知的(de)安全産品,具有一(yī)系列旨在防止直接訪問托管組織應用和(hé)數據服務器的(de)功能。網絡防火牆提供了靈活性,可(kě)用于內(nèi)部網絡和(hé)雲。對于雲,有以雲為(wèi)中心的(de)産品,以及IaaS提供商部署的(de)方法來實現一(yī)些相同的(de)功能。

安全Web網關(Secureweb gateway)已經從其過去(qù)優化互聯網帶寬演變為(wèi)保護用戶免受來自(zì)互聯網的(de)惡意侵害。URL過濾、反病毒、解密和(hé)檢查通過HTTPS訪問的(de)網站、數據防洩露(DLP)和(hé)有限形式的(de)雲訪問安全代理(lǐ)(CASB)等功能現已成為(wèi)标配。

遠程訪問(Remote access)對VPN的(de)依賴越來越弱,但對零信任網絡訪問 (ZTNA)的(de)依賴逐漸增強,它使用戶在對資産不可(kě)見的(de)情況下,利用上下文配置文件來實現對單個應用的(de)訪問。

入侵防禦系統(IPS)通過将IPS設備與未打補丁的(de)服務器連接在一(yī)起來檢測并阻止攻擊,從而防止未修補的(de)漏洞被攻擊。IPS功能現在通常包含在其他安全産品中,但也仍存在獨立産品。IPS正開始再次興起,因為(wèi)雲原生控制在慢慢将其納入過程中。

網絡訪問控制(Network access control)提供對網絡上所有內(nèi)容的(de)可(kě)見性以及對基于策略法人網絡基礎設施訪問的(de)控制。策略可(kě)以根據用戶的(de)角色、身份驗證或其他元素來定義訪問。

網絡數據包代理(lǐ)(Network packet broker)設備處理(lǐ)網絡流量,以便其他監控設備(例如(rú)專門用于網絡性能監控和(hé)安全相關監控的(de)設備)可(kě)以更有效地(dì)運行。功能包括用于識别風險級别的(de)數據包過濾、數據包負載和(hé)基于硬件的(de)時間戳插入等。

DNS清洗(SanitizedDomain Name System)是供應商提供的(de)服務,作為(wèi)組織的(de)域名系統運行,可(kě)防止終端用戶(包括遠程工作人員)訪問聲譽不佳的(de)站點。

DDoS緩解(DDoSmitigation)限制了分布式拒絕服務攻擊對網絡的(de)破壞性影響。産品采用多層方式保護防火牆內(nèi)部的(de)網絡資源、部署在網絡防火牆前面的(de)資源以及組織外部的(de)資源,例如(rú)來自(zì)互聯網服務提供商或內(nèi)容交付的(de)資源網絡。

網絡安全策略管理(lǐ)(Network Security PolicyManagement, NSPM)涉及分析和(hé)審計以優化指導網絡安全的(de)規則,以及變更管理(lǐ)工作流、規則測試、合規性評估和(hé)可(kě)視(shì)化。NSPM工具可(kě)以使用可(kě)視(shì)化網絡地(dì)圖,顯示覆蓋在多個網絡路徑上的(de)所有設備和(hé)防火牆訪問規則。

微隔離(lí)(Microsegmentation)是一(yī)種技術,可(kě)以阻止已經發生的(de)網絡攻擊在其橫向移動以訪問關鍵資産。用于網絡安全的(de)微隔離(lí)工具分為(wèi)三類:

· 部署在網絡層的(de)基于網絡的(de)工具,通常與軟件定義網絡結合使用,用于保護連接到網絡的(de)資産。

· 基于管理(lǐ)程序的(de)工具是微分段的(de)原始形式,用于提高(gāo)不同管理(lǐ)程序之間移動的(de)不透明網絡流量的(de)可(kě)見性。

· 基于主機代理(lǐ)的(de)工具,在其想要與網絡其餘部分隔離(lí)的(de)主機上安裝代理(lǐ);主機代理(lǐ)解決方案同樣适用于雲工作負載、管理(lǐ)程序工作負載和(hé)物理(lǐ)服務器。

安全訪問服務邊緣(Secure Access Service Edge, SASE)是一(yī)種新興框架,它結合了全面的(de)網絡安全功能,例如(rú)SWG、SD-WAN和(hé)ZTNA等,以及全面的(de)WAN功能,可(kě)支持組織的(de)安全訪問需求。SASE更像是一(yī)個概念而非框架,其目标是提供統一(yī)的(de)安全服務模型,以可(kě)擴展、靈活和(hé)低(dī)延遲的(de)方式跨網絡提供功能。

網絡檢測和(hé)響應(Network detection and response, NDR)持續分析入站和(hé)出站流量和(hé)流量記錄,以記錄正常的(de)網絡行為(wèi),因此可(kě)以識别異常情況并向組織發出警報。這些工具結合了機器學(xué)習(ML)、啓發式、分析和(hé)基于規則的(de)檢測。

DNS安全擴展(DNSsecurity extensions)是DNS協議的(de)附加組件,旨在驗證DNS響應。DNSSEC的(de)安全優勢需要對經過驗證的(de)DNS數據進行數字簽名,這是一(yī)個處理(lǐ)器密集型過程。

防火牆即服務(FWaaS)是一(yī)種與基于雲的(de)SWG密切相關的(de)新技術。不同之處在于架構,FWaaS通過端點和(hé)網絡邊緣設備之間的(de)VPN連接以及雲中的(de)安全堆棧運行。它還可(kě)以通過VPN隧道(dào)将最終用戶連接到本地(dì)服務。FWaaS當前還遠不如(rú)SWG常見。


文章(zhāng)圖片來源于網絡,僅供交流學(xué)習,版權歸原作者所有,如(rú)有侵權,請聯系删除,謝謝!

微信公衆号

手機版

蘭州聚哪說網絡科技有限公司 版權所有     ©2018-2024