NetwerkpakketbrokerDeze apparaten verwerken netwerkverkeer zodat andere monitoringapparaten, zoals apparaten voor netwerkprestatiebewaking en beveiligingsmonitoring, efficiënter kunnen werken. De functies omvatten pakketfiltering om risiconiveaus en pakketbelastingen te identificeren, en hardwarematige tijdstempelinvoeging.
NetwerkbeveiligingsarchitectDit verwijst naar een reeks verantwoordelijkheden met betrekking tot de architectuur van cloudbeveiliging, netwerkbeveiliging en gegevensbeveiliging. Afhankelijk van de grootte van de organisatie kan er één medewerker verantwoordelijk zijn voor elk domein. De organisatie kan er ook voor kiezen om een supervisor aan te wijzen. In beide gevallen moeten organisaties vaststellen wie verantwoordelijk is en hen de bevoegdheid geven om cruciale beslissingen te nemen.
Een netwerkrisicobeoordeling is een complete lijst van de manieren waarop interne of externe kwaadwillige of verkeerd gerichte aanvallen kunnen worden gebruikt om verbinding te maken met resources. Een uitgebreide beoordeling stelt een organisatie in staat risico's te definiëren en deze te beperken door middel van beveiligingsmaatregelen. Deze risico's kunnen onder meer zijn:
- Onvoldoende begrip van systemen of processen
- Systemen waarbij het moeilijk is om het risiconiveau te meten
- "Hybride" systemen die te maken hebben met zakelijke en technische risico's
Het ontwikkelen van effectieve risicoschattingen vereist samenwerking tussen IT- en bedrijfsstakeholders om de omvang van het risico te begrijpen. Samenwerken en een proces opzetten om het bredere risicobeeld te begrijpen is net zo belangrijk als de uiteindelijke risico-inventarisatie.
Zero Trust Architectuur (ZTA)ZTA is een netwerkbeveiligingsparadigma dat ervan uitgaat dat sommige bezoekers op het netwerk gevaarlijk zijn en dat er te veel toegangspunten zijn om volledig te kunnen worden beveiligd. Het doel is daarom om de activa op het netwerk effectief te beschermen in plaats van het netwerk zelf. Omdat de agent is gekoppeld aan de gebruiker, beslist deze of elk toegangsverzoek moet worden goedgekeurd op basis van een risicoprofiel dat is berekend op basis van een combinatie van contextuele factoren zoals applicatie, locatie, gebruiker, apparaat, tijdsperiode, gegevensgevoeligheid, enzovoort. Zoals de naam al aangeeft, is ZTA een architectuur, geen product. Je kunt het niet kopen, maar je kunt het wel ontwikkelen op basis van enkele van de technische elementen die het bevat.
NetwerkfirewallEen firewall is een volwaardig en bekend beveiligingsproduct met een reeks functies die zijn ontworpen om directe toegang tot gehoste applicaties en dataservers van organisaties te voorkomen. Netwerkfirewalls bieden flexibiliteit voor zowel interne netwerken als de cloud. Voor de cloud zijn er cloud-centrische oplossingen, evenals methoden die door IaaS-providers worden ingezet om een aantal van dezelfde mogelijkheden te implementeren.
Secureweb GatewayDe technologie is geëvolueerd van het optimaliseren van internetbandbreedte naar het beschermen van gebruikers tegen kwaadaardige aanvallen vanuit het internet. URL-filtering, antivirus, decryptie en inspectie van websites die via HTTPS worden bezocht, datalekpreventie (DLP) en beperkte vormen van cloudtoegangsbeveiliging (CASB) zijn nu standaardfuncties.
Toegang op afstandHet systeem vertrouwt steeds minder op VPN en steeds meer op zero-trust netwerktoegang (ZTNA), waarmee gebruikers via contextprofielen toegang krijgen tot individuele applicaties zonder dat dit zichtbaar is voor de systemen.
Inbraakpreventiesystemen (IPS)Voorkom aanvallen op ongepatchte beveiligingslekken door IPS-apparaten te koppelen aan ongepatchte servers om aanvallen te detecteren en te blokkeren. IPS-functionaliteit is tegenwoordig vaak geïntegreerd in andere beveiligingsproducten, maar er zijn nog steeds losstaande producten. IPS wint weer aan populariteit nu cloud-native beheer ze geleidelijk aan in processen integreert.
NetwerktoegangscontroleBiedt inzicht in alle content op het netwerk en controle over de toegang tot de op beleid gebaseerde netwerkinfrastructuur van het bedrijf. Beleidsregels kunnen de toegang definiëren op basis van de rol van een gebruiker, authenticatie of andere elementen.
DNS-opschoning (gezuiverd domeinnaamsysteem)Het is een door een leverancier geleverde dienst die fungeert als het domeinnaamsysteem van een organisatie om te voorkomen dat eindgebruikers (inclusief thuiswerkers) toegang krijgen tot onbetrouwbare websites.
DDoS-mitigatie (DDoS-mitigatie)Het product beperkt de destructieve impact van gedistribueerde denial-of-service-aanvallen op het netwerk. Het product hanteert een meerlaagse aanpak voor de bescherming van netwerkbronnen binnen de firewall, bronnen die vóór de firewall zijn geplaatst en bronnen buiten de organisatie, zoals netwerken van internetproviders of contentdistributie.
Netwerkbeveiligingsbeleidsbeheer (NSPM)Dit omvat analyse en auditing om de regels voor netwerkbeveiliging te optimaliseren, evenals workflows voor wijzigingsbeheer, het testen van regels, nalevingsbeoordeling en visualisatie. De NSPM-tool kan een visuele netwerkkaart gebruiken om alle apparaten en firewall-toegangsregels weer te geven die meerdere netwerkpaden bestrijken.
MicrosegmentatieHet is een techniek die voorkomt dat reeds lopende netwerkaanvallen zich horizontaal verspreiden en toegang krijgen tot kritieke systemen. Micro-isolatietools voor netwerkbeveiliging vallen in drie categorieën:
- Netwerkgebaseerde tools die op de netwerklaag worden ingezet, vaak in combinatie met softwaregedefinieerde netwerken, om activa te beschermen die met het netwerk zijn verbonden.
- Hypervisor-gebaseerde tools zijn primitieve vormen van differentiële segmentatie om de zichtbaarheid van ondoorzichtig netwerkverkeer tussen hypervisors te verbeteren.
- Host-agent-gebaseerde tools die agents installeren op hosts die ze willen isoleren van de rest van het netwerk; de host-agent-oplossing werkt even goed voor cloudworkloads, hypervisorworkloads en fysieke servers.
Secure Access Service Edge (SASE)SASE is een opkomend framework dat uitgebreide netwerkbeveiligingsmogelijkheden, zoals SWG, SD-WAN en ZTNA, combineert met uitgebreide WAN-mogelijkheden om te voldoen aan de behoeften van organisaties op het gebied van veilige toegang. SASE is meer een concept dan een framework en heeft als doel een uniform beveiligingsservicemodel te bieden dat functionaliteit levert over netwerken heen op een schaalbare, flexibele en manier met lage latentie.
Netwerkdetectie en -respons (NDR)Deze tools analyseren continu inkomend en uitgaand verkeer en verkeerslogboeken om normaal netwerkgedrag vast te leggen, zodat afwijkingen kunnen worden geïdentificeerd en organisaties hiervan op de hoogte kunnen worden gesteld. Ze combineren machine learning (ML), heuristiek, analyse en op regels gebaseerde detectie.
DNS-beveiligingsuitbreidingenDNSSEC is een uitbreiding op het DNS-protocol en is ontworpen om DNS-reacties te verifiëren. De beveiligingsvoordelen van DNSSEC vereisen de digitale ondertekening van geverifieerde DNS-gegevens, een processorintensief proces.
Firewall als een service (FWaaS)FWaaS is een nieuwe technologie die nauw verwant is aan cloudgebaseerde SWGS. Het verschil zit in de architectuur, waarbij FWaaS werkt via VPN-verbindingen tussen eindpunten en apparaten aan de rand van het netwerk, en een beveiligingsstack in de cloud. Het kan eindgebruikers ook via VPN-tunnels verbinden met lokale services. FWaaS is momenteel veel minder gangbaar dan SWGS.
Geplaatst op: 23 maart 2022
