Verkkopakettien välittäjälaitteet käsittelevät verkkoliikennettä, jotta muut valvontalaitteet, kuten verkon suorituskyvyn valvontaan ja tietoturvaan liittyvät valvontalaitteet, voivat toimia tehokkaammin. Ominaisuuksiin kuuluvat pakettien suodatus riskitasojen ja pakettikuormituksen tunnistamiseksi sekä laitteistopohjainen aikaleiman lisääminen.
Verkkoturvallisuusarkkitehtiviittaa joukkoon vastuita, jotka liittyvät pilvipalveluiden tietoturva-arkkitehtuuriin, verkon tietoturva-arkkitehtuuriin ja tietoturva-arkkitehtuuriin. Organisaation koosta riippuen jokaisesta toimialueesta voi olla yksi vastuussa oleva jäsen. Vaihtoehtoisesti organisaatio voi valita esimiehen. Joka tapauksessa organisaatioiden on määriteltävä, kuka on vastuussa, ja annettava heille valtuudet tehdä kriittisiä päätöksiä.
Verkkoriskien arviointi on täydellinen luettelo tavoista, joilla sisäisiä tai ulkoisia haitallisia tai harhaanjohtavia hyökkäyksiä voidaan käyttää resurssien yhdistämiseen. Kattavan arvioinnin avulla organisaatio voi määritellä riskit ja lieventää niitä tietoturvatoimenpiteiden avulla. Näihin riskeihin voivat kuulua:
- Riittämätön ymmärrys järjestelmistä tai prosesseista
- Järjestelmät, joiden riskitasoja on vaikea mitata
- "hybridi"järjestelmät, joihin kohdistuu liiketoiminta- ja teknisiä riskejä
Tehokkaiden arvioiden kehittäminen edellyttää IT-osastojen ja liiketoiminnan sidosryhmien välistä yhteistyötä riskin laajuuden ymmärtämiseksi. Yhteistyö ja prosessin luominen laajemman riskikuvan ymmärtämiseksi on aivan yhtä tärkeää kuin lopullinen riskijoukko.
Zero Trust Architecture (ZTA)on verkon tietoturvaparadigma, joka olettaa, että jotkut verkossa olevat vierailijat ovat vaarallisia ja että tukiasemia on liian monta, jotta niitä voitaisiin suojata täysin. Siksi se suojaa tehokkaasti verkon resursseja pikemminkin kuin itse verkkoa. Koska agentti on yhteydessä käyttäjään, se päättää, hyväksyykö hän jokaisen käyttöpyynnön riskiprofiilin perusteella, joka lasketaan kontekstuaalisten tekijöiden, kuten sovelluksen, sijainnin, käyttäjän, laitteen, ajanjakson, tietojen arkaluontoisuuden jne., yhdistelmän perusteella. Kuten nimestä voi päätellä, ZTA on arkkitehtuuri, ei tuote. Et voi ostaa sitä, mutta voit kehittää sitä joidenkin sen sisältämien teknisten elementtien perusteella.
Verkon palomuurion kypsä ja tunnettu tietoturvatuote, jossa on useita ominaisuuksia, jotka on suunniteltu estämään suora pääsy isännöityjen organisaatioiden sovelluksiin ja datapalvelimiin. Verkkopalomuurit tarjoavat joustavuutta sekä sisäisille verkoille että pilvelle. Pilvipalveluille on olemassa pilvikeskeisiä tarjouksia sekä IaaS-palveluntarjoajien käyttämiä menetelmiä samojen ominaisuuksien toteuttamiseksi.
Secureweb-yhdyskäytäväovat kehittyneet internetin kaistanleveyden optimoinnista käyttäjien suojaamiseen internetistä tulevilta haitallisilta hyökkäyksiltä. URL-suodatus, virustorjunta, HTTPS:n kautta käytettyjen verkkosivustojen salauksen purkaminen ja tarkastus, tietomurtojen estäminen (DLP) ja rajoitetut pilvikäytön suojausagentin (CASB) muodot ovat nyt vakio-ominaisuuksia.
Etäkäyttöluottaa yhä vähemmän VPN:ään, mutta yhä enemmän nollaluottamusverkkoyhteyteen (ZTNA), jonka avulla käyttäjät voivat käyttää yksittäisiä sovelluksia kontekstiprofiilien avulla ilman, että he ovat näkyvissä resursseille.
Tunkeutumisenestojärjestelmät (IPS)estämään korjaamattomien haavoittuvuuksien hyökkäykset kytkemällä IPS-laitteita korjaamattomiin palvelimiin hyökkäysten havaitsemiseksi ja estämiseksi. IPS-ominaisuudet sisältyvät nykyään usein muihin tietoturvatuotteisiin, mutta on edelleen olemassa itsenäisiä tuotteita. IPS-ratkaisut alkavat nousta uudelleen, kun pilvinatiiviohjaus tuo ne hitaasti mukaan prosessiin.
Verkon käyttöoikeuksien hallintatarjoaa näkyvyyden kaikkeen verkon sisältöön ja hallinnan käytäntöpohjaisen yritysverkon infrastruktuurin käyttöoikeuksille. Käytännöt voivat määrittää käyttöoikeudet käyttäjän roolin, todennuksen tai muiden elementtien perusteella.
DNS-puhdistus (puhdistettu verkkotunnusjärjestelmä)on toimittajan tarjoama palvelu, joka toimii organisaation verkkotunnusjärjestelmänä estääkseen loppukäyttäjiä (mukaan lukien etätyöntekijät) pääsemästä epäluotettaville sivustoille.
DDoSmitigation (DDoS-lieventäminen)rajoittaa hajautettujen palvelunestohyökkäysten tuhoisaa vaikutusta verkkoon. Tuote suojaa monikerroksisesti palomuurin sisäisiä, sen edessä olevia ja organisaation ulkopuolisia resursseja, kuten internet-palveluntarjoajien tai sisällönjakelun resurssiverkkoja.
Verkkoturvallisuuspolitiikan hallinta (NSPM)sisältää analyysin ja auditoinnin verkon tietoturvaa koskevien sääntöjen optimoimiseksi sekä muutoshallinnan työnkulkuja, sääntöjen testausta, vaatimustenmukaisuuden arviointia ja visualisointia. NSPM-työkalu voi käyttää visuaalista verkkokarttaa näyttääkseen kaikki laitteet ja palomuurin käyttösäännöt, jotka kattavat useita verkkopolkuja.
Mikrosegmentointion tekniikka, joka estää jo tapahtuvia verkkohyökkäyksiä etenemästä horisontaalisesti kriittisten resurssien käyttämiseksi. Verkkoturvallisuuden mikroeristystyökalut voidaan jakaa kolmeen luokkaan:
- Verkkopohjaiset työkalut, joita käytetään verkkotasolla, usein yhdessä ohjelmistopohjaisten verkkojen kanssa, verkkoon kytkettyjen resurssien suojaamiseksi.
- Hypervisor-pohjaiset työkalut ovat differentiaalisten segmenttien alkeellisia muotoja, jotka parantavat hypervisorien välillä liikkuvan läpinäkymättömän verkkoliikenteen näkyvyyttä.
- Isäntäagenttipohjaiset työkalut, jotka asentavat agentteja isäntiin, jotka ne haluavat eristää muusta verkosta; Isäntäagenttiratkaisu toimii yhtä hyvin pilvityökuormissa, hypervisor-työkuormissa ja fyysisissä palvelimissa.
Secure Access Service Edge (SASE)on kehittyvä kehys, joka yhdistää kattavat verkkoturvallisuusominaisuudet, kuten SWG:n, SD-WAN:n ja ZTNA:n, sekä kattavat WAN-ominaisuudet organisaatioiden Secure Access -tarpeiden tukemiseksi. SASE on pikemminkin konsepti kuin kehys, ja sen tavoitteena on tarjota yhtenäinen tietoturvapalvelumalli, joka tarjoaa toimintoja eri verkoissa skaalautuvasti, joustavasti ja pienellä latenssilla.
Verkon tunnistus ja vaste (NDR)analysoi jatkuvasti saapuvaa ja lähtevää liikennettä sekä liikennelokeja tallentaakseen normaalin verkon toiminnan, jotta poikkeamat voidaan tunnistaa ja ilmoittaa organisaatioille. Nämä työkalut yhdistävät koneoppimisen (ML), heuristiikkaa, analyysin ja sääntöpohjaisen tunnistuksen.
DNS-tietoturvalaajennuksetovat DNS-protokollan lisäosia ja ne on suunniteltu DNS-vastausten varmentamiseen. DNSSEC:n tietoturvaedut edellyttävät todennetun DNS-datan digitaalista allekirjoittamista, mikä on prosessoriintensiivinen prosessi.
Palomuuri palveluna (FWaaS)on uusi teknologia, joka on läheisesti sukua pilvipohjaiselle SWGS:lle. Ero on arkkitehtuurissa, jossa FWaaS toimii VPN-yhteyksien kautta päätepisteiden ja verkon reunalla olevien laitteiden välillä sekä pilvessä olevan tietoturvapinon kautta. Se voi myös yhdistää loppukäyttäjät paikallisiin palveluihin VPN-tunnelien kautta. FWaaS-ratkaisut ovat tällä hetkellä paljon harvinaisempia kuin SWGS.
Julkaisun aika: 23.3.2022
