[[435353]]

網(wǎng)絡(luò)安全是所有其他信息安全系統(tǒng)的基礎(chǔ)，網(wǎng)絡(luò)安全是一個成熟的市場，擁有強大的、成熟的供應(yīng)商，以及不斷帶來新的更好的技術(shù)的初創(chuàng)公司。

本文介紹了現(xiàn)代網(wǎng)絡(luò)安全架構(gòu)的關(guān)鍵概念。

17個關(guān)鍵的網(wǎng)絡(luò)安全概念

1. 網(wǎng)絡(luò)安全架構(gòu)師

網(wǎng)絡(luò)安全架構(gòu)師是指與云安全架構(gòu)、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)相關(guān)的一系列職責。根據(jù)組織的規(guī)模不同，可能會有單獨的人負責各個模塊，也有可能是一個人來負責整體。無論采用哪種方式，組織都需要指定相關(guān)責任人，并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力。

2. 網(wǎng)絡(luò)風險評估

網(wǎng)絡(luò)風險評估是指對網(wǎng)絡(luò)中已知或潛在的安全風險、安全隱患，進行探測、識別、控制、消除的全過程，是企業(yè)網(wǎng)絡(luò)安全管理工作的必備措施之一。通過網(wǎng)絡(luò)安全評估，可以全面梳理網(wǎng)絡(luò)中的資產(chǎn)，了解當前存在的安全風險和安全隱患，并有針對性地進行安全加固，從而保障網(wǎng)絡(luò)的安全運行。

3. 零信任架構(gòu)(Zero-Trust Architecture, ZTA)

零信任架構(gòu)(Zero-Trust Architecture, ZTA)是一種網(wǎng)絡(luò)安全范式，它的原理是假設(shè)網(wǎng)絡(luò)上的所有參與者都是不可信的。因此，它保護的是網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身。由于與用戶相關(guān)，代理會根據(jù)應(yīng)用程序、位置、用戶、設(shè)備、時間、數(shù)據(jù)敏感性等上下文因素計算出的風險概況來決定是否批準每個訪問請求。顧名思義，ZTA 是一種架構(gòu)，而不是一種產(chǎn)品。你買不到它，但是你可以根據(jù)其中包含的一些技術(shù)元素進行開發(fā)。

4. 網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻是一種成熟安全產(chǎn)品，具有一系列旨在防止任何人直接訪問托管組織應(yīng)用程序和數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)器的功能。網(wǎng)絡(luò)防火墻可用于內(nèi)部部署網(wǎng)絡(luò)和云。對于云，有一些以云為中心的產(chǎn)品，以及IaaS提供商部署的方法來實現(xiàn)一些相同功能。

5. 安全Web網(wǎng)關(guān)

安全Web網(wǎng)關(guān)已經(jīng)從其過去優(yōu)化互聯(lián)網(wǎng)帶寬的目的演變?yōu)楸Ｗo用戶免受來自互聯(lián)網(wǎng)的惡意內(nèi)容的侵害。諸如URL 過濾、反惡意軟件、解密和檢查通過 HTTPS 訪問的網(wǎng)站、數(shù)據(jù)丟失防護 (DLP) 和云訪問安全代理 (CASB) 等功能現(xiàn)已成為標準。

6. 遠程訪問

遠程訪問對虛擬專用網(wǎng)絡(luò)的依賴越來越少，而越來越依賴零信任網(wǎng)絡(luò)訪問 (ZTNA)，零信任網(wǎng)絡(luò)訪問使資產(chǎn)對用戶不可見，并使用上下文配置文件對單個應(yīng)用程序進行訪問。

7. 入侵防御系統(tǒng) (IPS)

入侵防御系統(tǒng) (IPS)通過在未打補丁的服務(wù)器上放置IPS設(shè)備來檢測和阻止攻擊，從而防止無法修補的漏洞(例如，服務(wù)提供商不再支持的打包應(yīng)用程序)。IPS 功能通常包含在其他安全產(chǎn)品中，但也存在獨立產(chǎn)品。IPS正經(jīng)歷著一次復興，因為云原生控制一直在緩慢地將其包括在內(nèi)。

8. 網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制提供對網(wǎng)絡(luò)上所有內(nèi)容的可見性以及對網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問的基于策略的控制。策略可以根據(jù)用戶的角色、身份驗證或其他因素來定義訪問。

9. 網(wǎng)絡(luò)數(shù)據(jù)包代理

網(wǎng)絡(luò)數(shù)據(jù)包代理設(shè)備處理網(wǎng)絡(luò)流量，以便其他監(jiān)控設(shè)備(例如專門用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備)可以更有效地運行。功能包括用于識別風險級別的數(shù)據(jù)包數(shù)據(jù)過濾、分配數(shù)據(jù)包負載和基于硬件的時間戳插入等。

10. DNS凈化

DNS凈化 (Sanitized Domain Name System)是一個由供應(yīng)商提供的服務(wù)，它作為組織的域名系統(tǒng)運行，阻止最終用戶(包括遠程工作人員)訪問聲譽較差的站點。

11. DDoS防御

DDoS防御可以限制分布式拒絕服務(wù) (DDoS) 攻擊對網(wǎng)絡(luò)操作的破壞性影響，采用多層方式保護防火墻內(nèi)部的網(wǎng)絡(luò)資源以及組織外部的資源，例如來自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付網(wǎng)絡(luò)的資源。

12. 網(wǎng)絡(luò)安全策略管理(NSPM)

網(wǎng)絡(luò)安全策略管理(NSPM)涉及分析和審計以優(yōu)化指導網(wǎng)絡(luò)安全的規(guī)則，以及變更管理工作流、規(guī)則測試和合規(guī)性評估和可視化。NSPM 工具可以使用可視化網(wǎng)絡(luò)地圖，顯示覆蓋在多個網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪問規(guī)則。

13. 微分段

微分段是一種技術(shù)，可以阻止已經(jīng)在網(wǎng)絡(luò)上的攻擊者在其中橫向移動以訪問關(guān)鍵資產(chǎn)。

用于網(wǎng)絡(luò)安全的微分段工具分為三類：

• 基于網(wǎng)絡(luò)的工具，部署在網(wǎng)絡(luò)級別，通常與軟件定義網(wǎng)絡(luò)結(jié)合使用，用于保護連接到網(wǎng)絡(luò)的資產(chǎn)。
• 基于管理程序的工具，用于提高不同管理程序之間移動的不透明網(wǎng)絡(luò)流量的可見性。
• 基于主機代理的工具，在希望從網(wǎng)絡(luò)的其他部分分離出來的主機上安裝一個代理;主機代理解決方案同樣適用于云工作負載、管理程序工作負載和物理服務(wù)器。

14. 安全訪問服務(wù)邊緣(SASE)

安全訪問服務(wù)邊緣(SASE)是一種新興的網(wǎng)絡(luò)安全框架，它結(jié)合了SWG、SD-WAN和ZTNA等全面的網(wǎng)絡(luò)安全功能以及全面的 WAN 功能，支持組織的安全訪問需求。SASE 更像是一個概念而非框架，其目標是交付一個統(tǒng)一的安全服務(wù)模型，以一種可伸縮、靈活和低延遲的方式跨網(wǎng)絡(luò)提供功能。

15. 網(wǎng)絡(luò)檢測和響應(yīng)

網(wǎng)絡(luò)檢測和響應(yīng)通過不斷分析入站和出站流量和流量記錄，記錄正常的網(wǎng)絡(luò)行為，從而識別異常情況和報警。

16. DNS安全擴展

DNS安全擴展是 DNS 協(xié)議的附加組件，旨在驗證 DNS 響應(yīng)。DNSSEC的安全性要求對經(jīng)過驗證的DNS數(shù)據(jù)進行數(shù)字簽名，這是一個處理器密集型的過程。

17. 防火墻即服務(wù)(FWaaS)

防火墻即服務(wù)(FWaaS)是一種與基于云的 SWG 密切相關(guān)的新技術(shù)。不同之處在于架構(gòu)：FWaaS 通過端點和網(wǎng)絡(luò)邊緣設(shè)備之間的虛擬專用網(wǎng)連接以及云中的安全堆棧運行。它還可以通過虛擬專用網(wǎng)隧道將最終用戶連接到本地服務(wù)。SWG較為常見。