《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Gartner:你需要了解的17個(gè)網(wǎng)絡(luò)安全概念和縮略語(yǔ)

Gartner:你需要了解的17個(gè)網(wǎng)絡(luò)安全概念和縮略語(yǔ)

2021-11-28
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: Gartner

  公有云,、私有云、本地……如今,,大量企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)選擇的出現(xiàn)對(duì)網(wǎng)絡(luò)安全提出了新的要求,。過去的“保護(hù)網(wǎng)絡(luò)周邊”模式已不再適用,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人正在采用新的方法,。

  Gartner高級(jí)研究總監(jiān)ThomasLintemuth表示:“網(wǎng)絡(luò)安全可能十分復(fù)雜,,但它是所有其他信息安全系統(tǒng)的基礎(chǔ)。好消息是網(wǎng)絡(luò)安全已經(jīng)是一個(gè)成熟的市場(chǎng),,這個(gè)市場(chǎng)有強(qiáng)大,、成熟的供應(yīng)商,同時(shí)還有創(chuàng)新的初創(chuàng)企業(yè),,他們不斷為我們帶來(lái)更好的新技術(shù)來(lái)維護(hù)網(wǎng)絡(luò)的安全并保護(hù)資產(chǎn),。”

  本文將簡(jiǎn)單介紹需要了解的關(guān)鍵現(xiàn)代化網(wǎng)絡(luò)安全架構(gòu)概念,。從網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人的角色和責(zé)任開始到邏輯架構(gòu),,我們將通過描繪安全要求范圍為構(gòu)建網(wǎng)絡(luò)安全提供了一個(gè)堅(jiān)實(shí)的基礎(chǔ)。

  7個(gè)關(guān)鍵網(wǎng)絡(luò)安全概念

  網(wǎng)絡(luò)安全架構(gòu)(Network security architect)指與云安全架構(gòu),、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)有關(guān)的一整套職責(zé),。企業(yè)機(jī)構(gòu)可以根據(jù)自身的規(guī)模,為每一個(gè)網(wǎng)絡(luò)安全架構(gòu)領(lǐng)域單獨(dú)指定一名負(fù)責(zé)的人員,,也可以指定一名人員監(jiān)督所有這些領(lǐng)域,。無(wú)論采用哪種方法,企業(yè)機(jī)構(gòu)都需要確定負(fù)責(zé)的人員并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力,。

  網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估(Network risk assessment )指全面清查內(nèi)部和外部懷有惡意或粗心的行動(dòng)者可能利用網(wǎng)絡(luò)來(lái)攻擊聯(lián)網(wǎng)資源的方式,。企業(yè)機(jī)構(gòu)能夠通過全面的評(píng)估來(lái)定義風(fēng)險(xiǎn),并通過安全控制措施來(lái)減輕風(fēng)險(xiǎn),。這些風(fēng)險(xiǎn)可能包括:

  對(duì)系統(tǒng)或流程理解不透徹

  難以衡量系統(tǒng)的風(fēng)險(xiǎn)水平

  同時(shí)受到業(yè)務(wù)和技術(shù)風(fēng)險(xiǎn)影響的“混合”系統(tǒng)

  IT和業(yè)務(wù)利益相關(guān)者之間必須通過開展協(xié)作來(lái)了解風(fēng)險(xiǎn)范圍,,這樣才能設(shè)計(jì)出實(shí)用的評(píng)估。這一合作流程以及創(chuàng)建一個(gè)了解風(fēng)險(xiǎn)全局的流程與確定一套最終風(fēng)險(xiǎn)要求同樣重要,。

  零信任架構(gòu)(Zero-Trust Architecture,,ZTA)是一種假設(shè)網(wǎng)絡(luò)上的部分行動(dòng)者具有敵意并且由于接入點(diǎn)數(shù)量過多而無(wú)法提供充分保護(hù)的網(wǎng)絡(luò)安全范式。因此,,保護(hù)網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身是一種有效的安全態(tài)勢(shì),。代理會(huì)根據(jù)從應(yīng)用,、位置、用戶,、設(shè)備,、時(shí)間,、數(shù)據(jù)敏感性等綜合環(huán)境因素計(jì)算出的風(fēng)險(xiǎn)狀況,,決定是否批準(zhǔn)各個(gè)與用戶有關(guān)的訪問請(qǐng)求。正如其名,,零信任架構(gòu)是一個(gè)架構(gòu),,而不是一個(gè)產(chǎn)品。雖然無(wú)法購(gòu)買它,,但可以使用這個(gè)列表中的一些技術(shù)元素來(lái)開發(fā)它,。

  網(wǎng)絡(luò)防火墻(Network firewall)是一種成熟、廣為人知的安全產(chǎn)品,,它通過一系列功能防止任何人直接訪問企業(yè)機(jī)構(gòu)應(yīng)用和數(shù)據(jù)所在的網(wǎng)絡(luò)服務(wù)器,。網(wǎng)絡(luò)防火墻具有的靈活性使其既可用于本地網(wǎng)絡(luò),也可用于云,。而在云端,,有專門用于云的產(chǎn)品,也有IaaS提供商部署的具有相同功能的策略,。

  安全網(wǎng)絡(luò)網(wǎng)關(guān)(Secure web gateway)的用途已經(jīng)從過去的優(yōu)化互聯(lián)網(wǎng)帶寬發(fā)展為保護(hù)用戶免受互聯(lián)網(wǎng)惡意內(nèi)容的影響,。諸如URL過濾、反惡意軟件,、解密和檢查通過HTTPS訪問的網(wǎng)站,、數(shù)據(jù)丟失預(yù)防(DLP)、規(guī)定形式的云訪問安全代理(CASB)等功能現(xiàn)已成為標(biāo)準(zhǔn)功能,。

  遠(yuǎn)程訪問(Remote access)對(duì)虛擬專用網(wǎng)絡(luò)(VPN)的依賴性日益減少,,而對(duì)零信任網(wǎng)絡(luò)訪問(ZTNA)的依賴性日益增加。零信任網(wǎng)絡(luò)訪問使資產(chǎn)對(duì)用戶不可見并使用上下文配置文件方便對(duì)個(gè)別應(yīng)用的訪問,。

  入侵防御系統(tǒng)(IntrusionPrevention System,,IPS)為未修補(bǔ)的服務(wù)器部署檢測(cè)和阻止攻擊的IPS設(shè)備,從而保護(hù)無(wú)法修補(bǔ)的漏洞(例如在服務(wù)提供商不再支持的打包應(yīng)用上),。IPS功能通常包含在其他安全產(chǎn)品中,,但也有獨(dú)立的產(chǎn)品。由于云原生控制措施在加入IPS方面進(jìn)展緩慢,,IPS正在“東山再起”,。

  網(wǎng)絡(luò)訪問控制(Network access control )提供了對(duì)網(wǎng)絡(luò)上一切內(nèi)容的可見性以及基于策略的網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問控制。策略可以根據(jù)用戶的角色,、認(rèn)證或其他因素來(lái)定義訪問權(quán)限,。

  網(wǎng)絡(luò)數(shù)據(jù)包代理(Network packet broker)設(shè)備通過處理網(wǎng)絡(luò)流量,,使其他監(jiān)控設(shè)備能夠更加有效地運(yùn)行,例如專門用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備,。其功能包括用于確定風(fēng)險(xiǎn)水平的分封數(shù)據(jù)過濾,、分配數(shù)據(jù)包負(fù)載和基于硬件的時(shí)間戳插入等。

  凈化域名系統(tǒng)(SanitizedDomain Name System,,DNS)是廠商提供的作為企業(yè)機(jī)構(gòu)域名系統(tǒng)運(yùn)行的服務(wù),,可防止終端用戶(包括遠(yuǎn)程工作者)訪問有不良聲譽(yù)的網(wǎng)站。

  DDoS攻擊緩解(DDoSmitigation)限制了分布式拒絕服務(wù)(DDoS)攻擊對(duì)網(wǎng)絡(luò)運(yùn)行的破壞性影響,。這些產(chǎn)品采取多層策略來(lái)保護(hù)防火墻內(nèi)的網(wǎng)絡(luò)資源,、位于本地但在網(wǎng)絡(luò)防火墻之前的資源以及位于企業(yè)機(jī)構(gòu)外部的資源,例如來(lái)自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付網(wǎng)絡(luò)的資源,。

  網(wǎng)絡(luò)安全策略管理(NetworkSecurity Policy Management ,,NSPM)通過分析和審核來(lái)優(yōu)化指導(dǎo)網(wǎng)絡(luò)安全的規(guī)則并更改管理工作流程、規(guī)則測(cè)試以及合規(guī)性評(píng)估和可視化,。NSPM工具可以使用可視化網(wǎng)絡(luò)地圖顯示疊加在多個(gè)網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪問規(guī)則,。

  微分段(Microsegmentation)可以抑制已經(jīng)在網(wǎng)絡(luò)上的攻擊者在網(wǎng)絡(luò)中為了訪問關(guān)鍵資產(chǎn)而進(jìn)行的橫向移動(dòng)。用于網(wǎng)絡(luò)安全的微分段工具有三類:

  基于網(wǎng)絡(luò)的工具部署在網(wǎng)絡(luò)層面,,通常與軟件定義網(wǎng)絡(luò)結(jié)合在一起并用于保護(hù)與網(wǎng)絡(luò)連接的資產(chǎn),。

  基于管理程序的工具是最初形態(tài)的微分段,此類工具專門用于提高在不同管理程序之間移動(dòng)的不透明網(wǎng)絡(luò)流量的可見性,。

  基于主機(jī)代理的工具會(huì)在將與網(wǎng)絡(luò)其他部分隔離的主機(jī)上安裝一個(gè)代理,;主機(jī)代理解決方案在云工作負(fù)載、管理程序工作負(fù)載和物理服務(wù)器上同樣有效,。

  安全訪問服務(wù)邊緣(SecureAccess Service Edge ,,SASE)是一個(gè)新型框架,它將包括SWG,、SD-WAN和ZTNA在內(nèi)的全方位網(wǎng)絡(luò)安全功能與綜合全面的廣域網(wǎng)功能相結(jié)合,,幫助滿足企業(yè)機(jī)構(gòu)的安全訪問需求。SASE與其說是一個(gè)框架,,不如說是一個(gè)概念,,其目標(biāo)是實(shí)現(xiàn)一個(gè)統(tǒng)一的安全服務(wù)模式,并且該模式能夠以可擴(kuò)展,、靈活和低延遲的方式提供跨越整個(gè)網(wǎng)絡(luò)的功能,。

  網(wǎng)絡(luò)檢測(cè)和響應(yīng)(Networkdetection and response )持續(xù)分析入站和出站流量以及數(shù)據(jù)流記錄,從而記錄正常的網(wǎng)絡(luò)行為,,因此它可以識(shí)別異常情況并向企業(yè)機(jī)構(gòu)發(fā)出提醒,。這些工具能夠結(jié)合使用機(jī)器學(xué)習(xí)(ML)、試探法,、分析工具和基于規(guī)則的檢測(cè),。

  DNS安全擴(kuò)展(DNSsecurity extensions)是DNS協(xié)議的一項(xiàng)能夠驗(yàn)證DNS響應(yīng)的附加功能,。DNSSEC的安全優(yōu)勢(shì)在于要求對(duì)經(jīng)過驗(yàn)證的DNS數(shù)據(jù)進(jìn)行數(shù)字簽名,而該流程極度消耗處理器資源,。

  防火墻即服務(wù)(Firewall asa Service ,,F(xiàn)WaaS)是一項(xiàng)與云端SWG密切相關(guān)的新技術(shù)。它的不同之處在于架構(gòu):FWaaS通過端點(diǎn)和網(wǎng)絡(luò)邊緣設(shè)備之間的VPN連接以及云端的安全棧運(yùn)行,。它還可以通過VPN隧道連接終端用戶與本地服務(wù),。FWaaS的普及度遠(yuǎn)不如SWG。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]