网络安全可能十分复杂,但它是所有其他信息安全系统的基础。好消息是网络安全已经是一个成熟的市场,这个市场有强大、成熟的供应商,同时还有创新的初创企业,他们不断为我们带来更好的新技术来维护网络的安全并保护资产
网络安全架构(Network security architect)指与云安全架构、网络安全架构和数据安全架构有关的一整套职责。企业机构可以根据自身的规模,为每一个网络安全架构领域单独指定一名负责的人员,也可以指定一名人员监督所有这些领域。无论采用哪种方法,企业机构都需要确定负责的人员并赋予他们做出关键任务决策的权力。
网络风险评估(Network risk assessment )指全面清查内部和外部怀有恶意或粗心的行动者可能利用网络来攻击联网资源的方式。企业机构能够通过全面的评估来定义风险,并通过安全控制措施来减轻风险。这些风险可能包括:
1:对系统或流程理解不透彻
2:难以衡量系统的风险水平
3:同时受到业务和技术风险影响的“混合”系统
IT和业务利益相关者之间必须通过开展协作来了解风险范围,这样才能设计出实用的评估。这一合作流程以及创建一个了解风险全局的流程与确定一套终风险要求同样重要。
网络防火墙(Network firewall)是一种成熟、广为人知的安全产品,它通过一系列功能防止任何人直接访问企业机构应用和数据所在的网络服务器。网络防火墙具有的灵活性使其既可用于本地网络,也可用于云。而在云端,有专门用于云的产品,也有IaaS提供商部署的具有相同功能的策略。
安全网络网关(Secure web gateway)的用途已经从过去的优化互联网带宽发展为保护用户免受互联网恶意内容的影响。诸如URL过滤、反恶意软件、解密和检查通过HTTPS访问的网站、数据丢失预防(DLP)、规定形式的云访问安全代理(CASB)等功能现已成为标准功能。
远程访问(Remote access)对虚拟专用网络()的日益减少,而对零信任网络访问(ZTNA)的日益增加。零信任网络访问使资产对用户不可见并使用上下文配置文件方便对个别应用的访问。
入侵防御系统(IntrusionPrevention System,IPS)为未修补的服务器部署检测和阻止攻击的IPS设备,从而保护无法修补的漏洞(例如在服务提供商不再支持的打包应用上)。IPS功能通常包含在其他安全产品中,但也有独立的产品。由于云原生控制措施在加入IPS方面进展缓慢,IPS正在“东山再起”。
网络访问控制(Network access control )提供了对网络上一切内容的可见性以及基于策略的网络基础设施访问控制。策略可以根据用户的角色、认证或其他因素来定义访问权限。
净化域名系统(SanitizedDomain Name System,DNS)是厂商提供的作为企业机构域名系统运行的服务,可防止终端用户(包括远程工作者)访问有不良声誉的网站。
DDoS攻击缓解(DDoSmitigation)限制了分布式拒绝服务(DDoS)攻击对网络运行的破坏性影响。这些产品采取多层策略来保护防火墙内的网络资源、位于本地但在网络防火墙之前的资源以及位于企业机构外部的资源,例如来自互联网服务提供商或内容交付网络的资源。
网络安全策略管理(NetworkSecurity Policy Management ,NSPM)通过分析和审核来优化指导网络安全的规则并更改管理工作流程、规则测试以及合规性评估和可视化。NSPM工具可以使用可视化网络地图显示叠加在多个网络路径上的所有设备和防火墙访问规则。
微分段(Microsegmentation)可以抑制已经在网络上的攻击者在网络中为了访问关键资产而进行的横向移动。用于网络安全的微分段工具有三类:
1:基于网络的工具部署在网络层面,通常与软件定义网络结合在一起并用于保护与网络连接的资产。
2:基于管理程序的工具是初形态的微分段,此类工具专门用于提高在不同管理程序之间移动的不透明网络流量的可见性。
3:基于主机代理的工具会在将与网络其他部分隔离的主机上安装一个代理;主机代理解决方案在云工作负载、管理程序工作负载和物理服务器上同样有效。
网络检测和响应(Networkdetection and response )持续分析入站和出站流量以及数据流记录,从而记录正常的网络行为,因此它可以识别异常情况并向企业机构发出提醒。这些工具能够结合使用机器学习(ML)、试探法、分析工具和基于规则的检测。
DNS安全扩展(DNSsecurity extensions)是DNS协议的一项能够验证DNS响应的附加功能。DNSSEC的安全优势在于要求对经过验证的DNS数据进行数字签名,而该流程极度消耗处理器资源。