1. 網(wǎng)絡(luò)安全架構(gòu)師
網(wǎng)絡(luò)安全架構(gòu)師是指與云安全架構(gòu)���、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)相關(guān)的一系列職責(zé)。根據(jù)組織的規(guī)模不同����,可能會(huì)有單獨(dú)的人負(fù)責(zé)各個(gè)模塊,也有可能是一個(gè)人來負(fù)責(zé)整體��。無論采用哪種方式����,組織都需要指定相關(guān)責(zé)任人,并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力���。
2. 網(wǎng)絡(luò)風(fēng)險(xiǎn)評估
網(wǎng)絡(luò)風(fēng)險(xiǎn)評估是指對網(wǎng)絡(luò)中已知或潛在的安全風(fēng)險(xiǎn)���、安全隱患,進(jìn)行探測����、識別、控制����、消除的全過程�����,是企業(yè)網(wǎng)絡(luò)安全管理工作的必備措施之一����。通過網(wǎng)絡(luò)安全評估����,可以全面梳理網(wǎng)絡(luò)中的資產(chǎn),了解當(dāng)前存在的安全風(fēng)險(xiǎn)和安全隱患��,并有針對性地進(jìn)行安全加固�����,從而保障網(wǎng)絡(luò)的安全運(yùn)行��。
3. 零信任架構(gòu)(Zero-Trust Architecture, ZTA)
零信任架構(gòu)(Zero-Trust Architecture, ZTA)是一種網(wǎng)絡(luò)安全范式��,它的原理是假設(shè)網(wǎng)絡(luò)上的所有參與者都是不可信的��。因此�����,它保護(hù)的是網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身。由于與用戶相關(guān)����,代理會(huì)根據(jù)應(yīng)用程序��、位置��、用戶����、設(shè)備、時(shí)間�、數(shù)據(jù)敏感性等上下文因素計(jì)算出的風(fēng)險(xiǎn)概況來決定是否批準(zhǔn)每個(gè)訪問請求。顧名思義�����,ZTA 是一種架構(gòu)�,而不是一種產(chǎn)品。你買不到它��,但是你可以根據(jù)其中包含的一些技術(shù)元素進(jìn)行開發(fā)���。
4. 網(wǎng)絡(luò)防火墻
網(wǎng)絡(luò)防火墻是一種成熟安全產(chǎn)品��,具有一系列旨在防止任何人直接訪問托管組織應(yīng)用程序和數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)器的功能�。網(wǎng)絡(luò)防火墻可用于內(nèi)部部署網(wǎng)絡(luò)和云。對于云�,有一些以云為中心的產(chǎn)品,以及IaaS提供商部署的方法來實(shí)現(xiàn)一些相同功能���。
5. 安全Web網(wǎng)關(guān)
安全Web網(wǎng)關(guān)已經(jīng)從其過去優(yōu)化互聯(lián)網(wǎng)帶寬的目的演變?yōu)楸Wo(hù)用戶免受來自互聯(lián)網(wǎng)的惡意內(nèi)容的侵害���。諸如URL 過濾、反惡意軟件����、解密和檢查通過 HTTPS 訪問的網(wǎng)站、數(shù)據(jù)丟失防護(hù) (DLP) 和云訪問安全代理 (CASB) 等功能現(xiàn)已成為標(biāo)準(zhǔn)�。
6. 遠(yuǎn)程訪問
遠(yuǎn)程訪問對虛擬專用網(wǎng)絡(luò)的依賴越來越少,而越來越依賴零信任網(wǎng)絡(luò)訪問 (ZTNA)���,零信任網(wǎng)絡(luò)訪問使資產(chǎn)對用戶不可見�����,并使用上下文配置文件對單個(gè)應(yīng)用程序進(jìn)行訪問�。
7. 入侵防御系統(tǒng) (IPS)
入侵防御系統(tǒng) (IPS)通過在未打補(bǔ)丁的服務(wù)器上放置IPS設(shè)備來檢測和阻止攻擊,從而防止無法修補(bǔ)的漏洞(例如��,服務(wù)提供商不再支持的打包應(yīng)用程序)��。IPS 功能通常包含在其他安全產(chǎn)品中��,但也存在獨(dú)立產(chǎn)品�。IPS正經(jīng)歷著一次復(fù)興,因?yàn)樵圃刂埔恢痹诰徛貙⑵浒ㄔ趦?nèi)�。
8. 網(wǎng)絡(luò)訪問控制
網(wǎng)絡(luò)訪問控制提供對網(wǎng)絡(luò)上所有內(nèi)容的可見性以及對網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問的基于策略的控制����。策略可以根據(jù)用戶的角色、身份驗(yàn)證或其他因素來定義訪問��。
9. 網(wǎng)絡(luò)數(shù)據(jù)包代理
網(wǎng)絡(luò)數(shù)據(jù)包代理設(shè)備處理網(wǎng)絡(luò)流量��,以便其他監(jiān)控設(shè)備(例如專門用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備)可以更有效地運(yùn)行����。功能包括用于識別風(fēng)險(xiǎn)級別的數(shù)據(jù)包數(shù)據(jù)過濾、分配數(shù)據(jù)包負(fù)載和基于硬件的時(shí)間戳插入等��。
10. DNS凈化
DNS凈化 (Sanitized Domain Name System)是一個(gè)由供應(yīng)商提供的服務(wù),它作為組織的域名系統(tǒng)運(yùn)行����,阻止最終用戶(包括遠(yuǎn)程工作人員)訪問聲譽(yù)較差的站點(diǎn)。
11. DDoS防御
DDoS防御可以限制分布式拒絕服務(wù) (DDoS) 攻擊對網(wǎng)絡(luò)操作的破壞性影響���,采用多層方式保護(hù)防火墻內(nèi)部的網(wǎng)絡(luò)資源以及組織外部的資源���,例如來自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付網(wǎng)絡(luò)的資源。
12. 網(wǎng)絡(luò)安全策略管理(NSPM)
網(wǎng)絡(luò)安全策略管理(NSPM)涉及分析和審計(jì)以優(yōu)化指導(dǎo)網(wǎng)絡(luò)安全的規(guī)則�����,以及變更管理工作流�、規(guī)則測試和合規(guī)性評估和可視化。NSPM 工具可以使用可視化網(wǎng)絡(luò)地圖��,顯示覆蓋在多個(gè)網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪問規(guī)則�����。
13. 微分段
微分段是一種技術(shù)���,可以阻止已經(jīng)在網(wǎng)絡(luò)上的攻擊者在其中橫向移動(dòng)以訪問關(guān)鍵資產(chǎn)���。
用于網(wǎng)絡(luò)安全的微分段工具分為三類:
- 基于網(wǎng)絡(luò)的工具����,部署在網(wǎng)絡(luò)級別��,通常與軟件定義網(wǎng)絡(luò)結(jié)合使用�,用于保護(hù)連接到網(wǎng)絡(luò)的資產(chǎn)。
- 基于管理程序的工具���,用于提高不同管理程序之間移動(dòng)的不透明網(wǎng)絡(luò)流量的可見性���。
- 基于主機(jī)代理的工具,在希望從網(wǎng)絡(luò)的其他部分分離出來的主機(jī)上安裝一個(gè)代理;主機(jī)代理解決方案同樣適用于云工作負(fù)載����、管理程序工作負(fù)載和物理服務(wù)器��。
14. 安全訪問服務(wù)邊緣(SASE)
安全訪問服務(wù)邊緣(SASE)是一種新興的網(wǎng)絡(luò)安全框架���,它結(jié)合了SWG�、SD-WAN和ZTNA等全面的網(wǎng)絡(luò)安全功能以及全面的 WAN 功能�,支持組織的安全訪問需求。SASE 更像是一個(gè)概念而非框架,其目標(biāo)是交付一個(gè)統(tǒng)一的安全服務(wù)模型�����,以一種可伸縮����、靈活和低延遲的方式跨網(wǎng)絡(luò)提供功能。
15. 網(wǎng)絡(luò)檢測和響應(yīng)
網(wǎng)絡(luò)檢測和響應(yīng)通過不斷分析入站和出站流量和流量記錄���,記錄正常的網(wǎng)絡(luò)行為���,從而識別異常情況和報(bào)警。
16. DNS安全擴(kuò)展
DNS安全擴(kuò)展是 DNS 協(xié)議的附加組件�����,旨在驗(yàn)證 DNS 響應(yīng)�����。DNSSEC的安全性要求對經(jīng)過驗(yàn)證的DNS數(shù)據(jù)進(jìn)行數(shù)字簽名�,這是一個(gè)處理器密集型的過程。
17. 防火墻即服務(wù)(FWaaS)
防火墻即服務(wù)(FWaaS)是一種與基于云的 SWG 密切相關(guān)的新技術(shù)�����。不同之處在于架構(gòu):FWaaS 通過端點(diǎn)和網(wǎng)絡(luò)邊緣設(shè)備之間的虛擬專用網(wǎng)連接以及云中的安全堆棧運(yùn)行。它還可以通過虛擬專用網(wǎng)隧道將最終用戶連接到本地服務(wù)����。SWG較為常見。
