1. 網(wǎng)絡(luò)安全架構(gòu)師
網(wǎng)絡(luò)安全架構(gòu)師是指與云安全架構(gòu)��、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)相關(guān)的一系列職責(zé)����。根據(jù)組織的規(guī)模不同,可能會(huì)有單獨(dú)的人負(fù)責(zé)各個(gè)模塊�,也有可能是一個(gè)人來(lái)負(fù)責(zé)整體。無(wú)論采用哪種方式�����,組織都需要指定相關(guān)責(zé)任人�����,并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力。
2. 網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估
網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是指對(duì)網(wǎng)絡(luò)中已知或潛在的安全風(fēng)險(xiǎn)��、安全隱患���,進(jìn)行探測(cè)����、識(shí)別����、控制���、消除的全過(guò)程��,是企業(yè)網(wǎng)絡(luò)安全管理工作的必備措施之一��。通過(guò)網(wǎng)絡(luò)安全評(píng)估���,可以全面梳理網(wǎng)絡(luò)中的資產(chǎn),了解當(dāng)前存在的安全風(fēng)險(xiǎn)和安全隱患�,并有針對(duì)性地進(jìn)行安全加固�����,從而保障網(wǎng)絡(luò)的安全運(yùn)行�。
3. 零信任架構(gòu)(Zero-Trust Architecture, ZTA)
零信任架構(gòu)(Zero-Trust Architecture, ZTA)是一種網(wǎng)絡(luò)安全范式���,它的原理是假設(shè)網(wǎng)絡(luò)上的所有參與者都是不可信的���。因此,它保護(hù)的是網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身����。由于與用戶(hù)相關(guān),代理會(huì)根據(jù)應(yīng)用程序����、位置、用戶(hù)����、設(shè)備、時(shí)間�����、數(shù)據(jù)敏感性等上下文因素計(jì)算出的風(fēng)險(xiǎn)概況來(lái)決定是否批準(zhǔn)每個(gè)訪(fǎng)問(wèn)請(qǐng)求。顧名思義�����,ZTA 是一種架構(gòu)��,而不是一種產(chǎn)品���。你買(mǎi)不到它�,但是你可以根據(jù)其中包含的一些技術(shù)元素進(jìn)行開(kāi)發(fā)��。
4. 網(wǎng)絡(luò)防火墻
網(wǎng)絡(luò)防火墻是一種成熟安全產(chǎn)品�����,具有一系列旨在防止任何人直接訪(fǎng)問(wèn)托管組織應(yīng)用程序和數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)器的功能�。網(wǎng)絡(luò)防火墻可用于內(nèi)部部署網(wǎng)絡(luò)和云��。對(duì)于云�����,有一些以云為中心的產(chǎn)品��,以及IaaS提供商部署的方法來(lái)實(shí)現(xiàn)一些相同功能。
5. 安全Web網(wǎng)關(guān)
安全Web網(wǎng)關(guān)已經(jīng)從其過(guò)去優(yōu)化互聯(lián)網(wǎng)帶寬的目的演變?yōu)楸Wo(hù)用戶(hù)免受來(lái)自互聯(lián)網(wǎng)的惡意內(nèi)容的侵害�����。諸如URL 過(guò)濾����、反惡意軟件、解密和檢查通過(guò) HTTPS 訪(fǎng)問(wèn)的網(wǎng)站�、數(shù)據(jù)丟失防護(hù) (DLP) 和云訪(fǎng)問(wèn)安全代理 (CASB) 等功能現(xiàn)已成為標(biāo)準(zhǔn)。
6. 遠(yuǎn)程訪(fǎng)問(wèn)
遠(yuǎn)程訪(fǎng)問(wèn)對(duì)虛擬專(zhuān)用網(wǎng)絡(luò)的依賴(lài)越來(lái)越少�,而越來(lái)越依賴(lài)零信任網(wǎng)絡(luò)訪(fǎng)問(wèn) (ZTNA),零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)使資產(chǎn)對(duì)用戶(hù)不可見(jiàn)�,并使用上下文配置文件對(duì)單個(gè)應(yīng)用程序進(jìn)行訪(fǎng)問(wèn)。
7. 入侵防御系統(tǒng) (IPS)
入侵防御系統(tǒng) (IPS)通過(guò)在未打補(bǔ)丁的服務(wù)器上放置IPS設(shè)備來(lái)檢測(cè)和阻止攻擊����,從而防止無(wú)法修補(bǔ)的漏洞(例如,服務(wù)提供商不再支持的打包應(yīng)用程序)�。IPS 功能通常包含在其他安全產(chǎn)品中,但也存在獨(dú)立產(chǎn)品�����。IPS正經(jīng)歷著一次復(fù)興,因?yàn)樵圃刂埔恢痹诰徛貙⑵浒ㄔ趦?nèi)���。
8. 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制
網(wǎng)絡(luò)訪(fǎng)問(wèn)控制提供對(duì)網(wǎng)絡(luò)上所有內(nèi)容的可見(jiàn)性以及對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪(fǎng)問(wèn)的基于策略的控制��。策略可以根據(jù)用戶(hù)的角色���、身份驗(yàn)證或其他因素來(lái)定義訪(fǎng)問(wèn)。
9. 網(wǎng)絡(luò)數(shù)據(jù)包代理
網(wǎng)絡(luò)數(shù)據(jù)包代理設(shè)備處理網(wǎng)絡(luò)流量�,以便其他監(jiān)控設(shè)備(例如專(zhuān)門(mén)用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備)可以更有效地運(yùn)行。功能包括用于識(shí)別風(fēng)險(xiǎn)級(jí)別的數(shù)據(jù)包數(shù)據(jù)過(guò)濾��、分配數(shù)據(jù)包負(fù)載和基于硬件的時(shí)間戳插入等���。
10. DNS凈化
DNS凈化 (Sanitized Domain Name System)是一個(gè)由供應(yīng)商提供的服務(wù)����,它作為組織的域名系統(tǒng)運(yùn)行����,阻止最終用戶(hù)(包括遠(yuǎn)程工作人員)訪(fǎng)問(wèn)聲譽(yù)較差的站點(diǎn)���。
11. DDoS防御
DDoS防御可以限制分布式拒絕服務(wù) (DDoS) 攻擊對(duì)網(wǎng)絡(luò)操作的破壞性影響���,采用多層方式保護(hù)防火墻內(nèi)部的網(wǎng)絡(luò)資源以及組織外部的資源��,例如來(lái)自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付網(wǎng)絡(luò)的資源�����。
12. 網(wǎng)絡(luò)安全策略管理(NSPM)
網(wǎng)絡(luò)安全策略管理(NSPM)涉及分析和審計(jì)以?xún)?yōu)化指導(dǎo)網(wǎng)絡(luò)安全的規(guī)則�,以及變更管理工作流��、規(guī)則測(cè)試和合規(guī)性評(píng)估和可視化����。NSPM 工具可以使用可視化網(wǎng)絡(luò)地圖,顯示覆蓋在多個(gè)網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪(fǎng)問(wèn)規(guī)則�����。
13. 微分段
微分段是一種技術(shù)�����,可以阻止已經(jīng)在網(wǎng)絡(luò)上的攻擊者在其中橫向移動(dòng)以訪(fǎng)問(wèn)關(guān)鍵資產(chǎn)���。
用于網(wǎng)絡(luò)安全的微分段工具分為三類(lèi):
- 基于網(wǎng)絡(luò)的工具����,部署在網(wǎng)絡(luò)級(jí)別,通常與軟件定義網(wǎng)絡(luò)結(jié)合使用�����,用于保護(hù)連接到網(wǎng)絡(luò)的資產(chǎn)����。
- 基于管理程序的工具,用于提高不同管理程序之間移動(dòng)的不透明網(wǎng)絡(luò)流量的可見(jiàn)性����。
- 基于主機(jī)代理的工具,在希望從網(wǎng)絡(luò)的其他部分分離出來(lái)的主機(jī)上安裝一個(gè)代理;主機(jī)代理解決方案同樣適用于云工作負(fù)載���、管理程序工作負(fù)載和物理服務(wù)器�。
14. 安全訪(fǎng)問(wèn)服務(wù)邊緣(SASE)
安全訪(fǎng)問(wèn)服務(wù)邊緣(SASE)是一種新興的網(wǎng)絡(luò)安全框架��,它結(jié)合了SWG���、SD-WAN和ZTNA等全面的網(wǎng)絡(luò)安全功能以及全面的 WAN 功能,支持組織的安全訪(fǎng)問(wèn)需求�。SASE 更像是一個(gè)概念而非框架,其目標(biāo)是交付一個(gè)統(tǒng)一的安全服務(wù)模型,以一種可伸縮���、靈活和低延遲的方式跨網(wǎng)絡(luò)提供功能�。
15. 網(wǎng)絡(luò)檢測(cè)和響應(yīng)
網(wǎng)絡(luò)檢測(cè)和響應(yīng)通過(guò)不斷分析入站和出站流量和流量記錄����,記錄正常的網(wǎng)絡(luò)行為,從而識(shí)別異常情況和報(bào)警�。
16. DNS安全擴(kuò)展
DNS安全擴(kuò)展是 DNS 協(xié)議的附加組件,旨在驗(yàn)證 DNS 響應(yīng)�����。DNSSEC的安全性要求對(duì)經(jīng)過(guò)驗(yàn)證的DNS數(shù)據(jù)進(jìn)行數(shù)字簽名�����,這是一個(gè)處理器密集型的過(guò)程���。
17. 防火墻即服務(wù)(FWaaS)
防火墻即服務(wù)(FWaaS)是一種與基于云的 SWG 密切相關(guān)的新技術(shù)����。不同之處在于架構(gòu):FWaaS 通過(guò)端點(diǎn)和網(wǎng)絡(luò)邊緣設(shè)備之間的虛擬專(zhuān)用網(wǎng)連接以及云中的安全堆棧運(yùn)行�����。它還可以通過(guò)虛擬專(zhuān)用網(wǎng)隧道將最終用戶(hù)連接到本地服務(wù)。SWG較為常見(jiàn)�。
