Netwerkpakketmakelaarapparaten verwerken het netwerkverkeer zodat andere bewakingsapparaten, zoals apparaten die zijn bedoeld voor monitoring van netwerkprestaties en beveiligingsgerelateerde monitoring, efficiënter kunnen werken. Functies omvatten pakketfiltering om risiconiveaus, pakketbelastingen en op hardware gebaseerde invoeging van tijdstempels te identificeren.
Netwerkbeveiligingsarchitectverwijst naar een reeks verantwoordelijkheden met betrekking tot cloudbeveiligingsarchitectuur, netwerkbeveiligingsarchitectuur en gegevensbeveiligingsarchitectuur. Afhankelijk van de grootte van de organisatie kan er per domein één lid verantwoordelijk zijn. Als alternatief kan de organisatie een begeleider kiezen. Hoe dan ook, organisaties moeten definiëren wie verantwoordelijk is en hen in staat stellen bedrijfskritische beslissingen te nemen.
Network Risk Assessment is een volledige lijst van de manieren waarop interne of externe kwaadaardige of verkeerd gerichte aanvallen kunnen worden gebruikt om bronnen met elkaar te verbinden. Dankzij een uitgebreide beoordeling kan een organisatie risico's definiëren en deze beperken door middel van beveiligingscontroles. Deze risico's kunnen zijn:
- Onvoldoende begrip van systemen of processen
- Systemen waarbij de risiconiveaus moeilijk te meten zijn
- "hybride" systemen die met zakelijke en technische risico's te maken hebben
Het ontwikkelen van effectieve schattingen vereist samenwerking tussen IT- en zakelijke belanghebbenden om de omvang van de risico's te begrijpen. Samenwerken en een proces creëren om het bredere risicobeeld te begrijpen is net zo belangrijk als de uiteindelijke risicoset.
Zero Trust-architectuur (ZTA)is een netwerkbeveiligingsparadigma dat ervan uitgaat dat sommige bezoekers op het netwerk gevaarlijk zijn en dat er te veel toegangspunten zijn om volledig beschermd te zijn. Bescherm daarom effectief de activa op het netwerk in plaats van het netwerk zelf. Omdat het aan de gebruiker is gekoppeld, beslist de agent of elk toegangsverzoek moet worden goedgekeurd op basis van een risicoprofiel dat wordt berekend op basis van een combinatie van contextuele factoren zoals toepassing, locatie, gebruiker, apparaat, tijdsperiode, gegevensgevoeligheid, enzovoort. Zoals de naam al aangeeft, is ZTA een architectuur en geen product. Je kunt het niet kopen, maar je kunt het wel ontwikkelen op basis van enkele technische elementen die het bevat.
Netwerkfirewallis een volwassen en bekend beveiligingsproduct met een reeks functies die zijn ontworpen om directe toegang tot gehoste organisatieapplicaties en dataservers te voorkomen. Netwerkfirewalls bieden flexibiliteit voor zowel interne netwerken als de cloud. Voor de cloud zijn er cloudgerichte aanbiedingen, evenals methoden die door IaaS-providers worden ingezet om enkele van dezelfde mogelijkheden te implementeren.
Secureweb-gatewayzijn geëvolueerd van het optimaliseren van de internetbandbreedte naar het beschermen van gebruikers tegen kwaadaardige aanvallen vanaf internet. URL-filtering, antivirus, decodering en inspectie van websites die toegankelijk zijn via HTTPS, preventie van datalekken (DLP) en beperkte vormen van cloud access security agent (CASB) zijn nu standaardfuncties.
Toegang op afstandvertrouwt steeds minder op VPN, maar steeds meer op zero-trust netwerktoegang (ZTNA), waarmee gebruikers toegang kunnen krijgen tot individuele applicaties met behulp van contextprofielen zonder zichtbaar te zijn voor assets.
Inbraakpreventiesystemen (IPS)voorkomen dat niet-gepatchte kwetsbaarheden worden aangevallen door IPS-apparaten te verbinden met niet-gepatchte servers om aanvallen te detecteren en te blokkeren. IPS-mogelijkheden zijn nu vaak opgenomen in andere beveiligingsproducten, maar er zijn nog steeds stand-alone producten. IPS begint weer te stijgen nu cloud-native controle ze langzaam in het proces brengt.
Netwerktoegangscontrolebiedt inzicht in alle inhoud op het netwerk en controle over de toegang tot de op beleid gebaseerde bedrijfsnetwerkinfrastructuur. Beleid kan toegang definiëren op basis van de rol van een gebruiker, authenticatie of andere elementen.
DNS-opschoning (opgeschoond domeinnaamsysteem)is een door de leverancier geleverde service die fungeert als het domeinnaamsysteem van een organisatie om te voorkomen dat eindgebruikers (inclusief externe werknemers) toegang krijgen tot beruchte sites.
DDoSmitigatie (DDoS-mitigatie)beperkt de destructieve impact van gedistribueerde denial-of-service-aanvallen op het netwerk. Het product hanteert een meerlaagse aanpak voor het beschermen van netwerkbronnen binnen de firewall, de bronnen die vóór de netwerkfirewall zijn ingezet en de bronnen buiten de organisatie, zoals netwerken van bronnen van internetproviders of de levering van inhoud.
Beheer van netwerkbeveiligingsbeleid (NSPM)omvat analyse en auditing om de regels die van toepassing zijn op netwerkbeveiliging te optimaliseren, evenals workflows voor wijzigingsbeheer, het testen van regels, beoordeling van de naleving en visualisatie. De NSPM-tool kan een visuele netwerkkaart gebruiken om alle apparaten en firewalltoegangsregels weer te geven die meerdere netwerkpaden bestrijken.
Microsegmentatieis een techniek die voorkomt dat reeds voorkomende netwerkaanvallen zich horizontaal verplaatsen om toegang te krijgen tot kritieke assets. Micro-isolatietools voor netwerkbeveiliging vallen in drie categorieën:
- Netwerkgebaseerde tools die op de netwerklaag worden ingezet, vaak in combinatie met softwaregedefinieerde netwerken, om activa die op het netwerk zijn aangesloten te beschermen.
- Op hypervisors gebaseerde tools zijn primitieve vormen van differentiële segmenten om de zichtbaarheid van ondoorzichtig netwerkverkeer dat tussen hypervisors beweegt te verbeteren.
- Op hostagents gebaseerde tools die agenten installeren op hosts die ze willen isoleren van de rest van het netwerk; De hostagent-oplossing werkt even goed voor cloud-workloads, hypervisor-workloads en fysieke servers.
Veilige toegang Service Edge (SASE)is een opkomend raamwerk dat uitgebreide netwerkbeveiligingsmogelijkheden, zoals SWG, SD-WAN en ZTNA, combineert met uitgebreide WAN-mogelijkheden om de behoeften op het gebied van veilige toegang van organisaties te ondersteunen. SASE is meer een concept dan een raamwerk en streeft ernaar een uniform beveiligingsservicemodel te bieden dat functionaliteit over netwerken heen levert op een schaalbare, flexibele manier met lage latentie.
Netwerkdetectie en respons (NDR)analyseert voortdurend inkomend en uitgaand verkeer en verkeerslogboeken om normaal netwerkgedrag vast te leggen, zodat afwijkingen kunnen worden geïdentificeerd en aan organisaties kunnen worden gewaarschuwd. Deze tools combineren machine learning (ML), heuristiek, analyse en op regels gebaseerde detectie.
DNS-beveiligingsextensieszijn add-ons voor het DNS-protocol en zijn ontworpen om DNS-reacties te verifiëren. De beveiligingsvoordelen van DNSSEC vereisen de digitale ondertekening van geauthenticeerde DNS-gegevens, een processorintensief proces.
Firewall as a Service (FWaaS)is een nieuwe technologie die nauw verwant is aan cloudgebaseerde SWGS. Het verschil zit hem in de architectuur, waarbij FWaaS loopt via VPN-verbindingen tussen eindpunten en apparaten aan de rand van het netwerk, evenals een beveiligingsstack in de cloud. Het kan eindgebruikers ook verbinden met lokale diensten via VPN-tunnels. FWaaS komt momenteel veel minder vaak voor dan SWGS.
Posttijd: 23 maart 2022