מה אתה צריך לדעת על אבטחת הרשת?

ברוקר מנות רשתהתקנים מעבדים את תעבורת הרשת כך שמכשירי ניטור אחרים, כגון אלה המוקדשים לניטור ביצועי רשת וניטור הקשור לאבטחה, יכולים לפעול בצורה יעילה יותר. התכונות כוללות סינון מנות לזיהוי רמות סיכון, עומסי מנות והכנסת חותמת זמן מבוססת חומרה.

אבטחת רשת

אדריכל אבטחת רשתמתייחס למערכת של אחריות הקשורה לארכיטקטורת אבטחת ענן, ארכיטקטורת אבטחת רשת וארכיטקטורת אבטחת נתונים. בהתאם לגודל הארגון, ייתכן שיהיה חבר אחד שאחראי על כל תחום. לחילופין, הארגון יכול לבחור מפקח. כך או כך, ארגונים צריכים להגדיר מי אחראי ולהעצים אותם לקבל החלטות קריטיות למשימה.

הערכת סיכוני רשת היא רשימה מלאה של הדרכים שבהן ניתן להשתמש בהתקפות זדוניות או מכוונות שגויות פנימיות או חיצוניות לחיבור משאבים. הערכה מקיפה מאפשרת לארגון להגדיר סיכונים ולהפחית אותם באמצעות בקרות אבטחה. סיכונים אלו עשויים לכלול:

-  הבנה לא מספקת של מערכות או תהליכים

-  מערכות שקשה למדוד רמות סיכון

-  מערכות "היברידיות" העומדות בפני סיכונים עסקיים וטכניים

פיתוח אומדנים אפקטיביים מצריך שיתוף פעולה בין IT ובעלי עניין עסקיים כדי להבין את היקף הסיכון. עבודה משותפת ויצירת תהליך להבנת תמונת הסיכונים הרחבה יותר חשובה לא פחות ממערך הסיכונים הסופי.

ארכיטקטורת אפס אמון (ZTA)היא פרדיגמת אבטחת רשת שמניחה שחלק מהמבקרים ברשת מסוכנים ושיש יותר מדי נקודות גישה מכדי להיות מוגנות במלואן. לכן, הגן ביעילות על הנכסים ברשת ולא על הרשת עצמה. מכיוון שהוא משויך למשתמש, הסוכן מחליט אם לאשר כל בקשת גישה על סמך פרופיל סיכון המחושב על סמך שילוב של גורמים הקשריים כגון אפליקציה, מיקום, משתמש, מכשיר, פרק זמן, רגישות לנתונים וכן הלאה. כפי שהשם מרמז, ZTA היא ארכיטקטורה, לא מוצר. אתה לא יכול לקנות אותו, אבל אתה יכול לפתח אותו על סמך חלק מהאלמנטים הטכניים שהוא מכיל.

אבטחת רשת

חומת אש של רשתהוא מוצר אבטחה בוגר ומוכר עם סדרה של תכונות שנועדו למנוע גישה ישירה ליישומי ארגון מתארחים ולשרתי נתונים. חומות אש ברשת מספקות גמישות הן לרשתות פנימיות והן לענן. עבור הענן, יש הצעות ממוקדות בענן, כמו גם שיטות שנפרסו על ידי ספקי IaaS כדי ליישם חלק מאותן יכולות.

Secureweb Gatewayהתפתחו מאופטימיזציה של רוחב הפס באינטרנט להגנה על משתמשים מפני התקפות זדוניות מהאינטרנט. סינון כתובות אתרים, אנטי וירוס, פענוח ובדיקה של אתרי אינטרנט שאליהם ניגש באמצעות HTTPS, מניעת פרצות נתונים (DLP) וצורות מוגבלות של סוכן אבטחת גישה לענן (CASB) הם כעת תכונות סטנדרטיות.

גישה מרחוקמסתמך פחות ופחות על VPN, אך יותר ויותר על גישה לרשת אפס אמון (ZTNA), המאפשרת למשתמשים לגשת ליישומים בודדים באמצעות פרופילי הקשר מבלי להיות גלויים לנכסים.

מערכות למניעת חדירות (IPS)למנוע תקיפת פגיעויות שטרם תוקנו על ידי חיבור התקני IPS לשרתים לא מתוקנים כדי לזהות ולחסום התקפות. יכולות IPS נכללות כיום לעתים קרובות במוצרי אבטחה אחרים, אך עדיין קיימים מוצרים עצמאיים. IPS מתחילים לעלות שוב כאשר שליטה מקורית בענן מביאה אותם לאט לאט לתהליך.

בקרת גישה לרשתמספק נראות לכל התוכן ברשת ושליטה בגישה לתשתית הרשת הארגונית מבוססת המדיניות. מדיניות יכולה להגדיר גישה על סמך תפקיד המשתמש, האימות או אלמנטים אחרים של המשתמש.

ניקוי DNS (מערכת שמות מתחם מחוטא)הוא שירות המסופק על ידי ספק הפועל כמערכת שמות דומיינים של ארגון כדי למנוע ממשתמשי קצה (כולל עובדים מרוחקים) לגשת לאתרים חסרי מוניטין.

DDoSmitigation (DDoS Mitigation)מגביל את ההשפעה ההרסנית של התקפות מניעת שירות מבוזרות על הרשת. המוצר נוקט בגישה רב-שכבתית להגנה על משאבי רשת בתוך חומת האש, על אלו הפרוסים מול חומת האש של הרשת ועל אלו מחוץ לארגון, כגון רשתות של משאבים מספקי שירותי אינטרנט או אספקת תוכן.

ניהול מדיניות אבטחת רשת (NSPM)כולל ניתוח וביקורת כדי לייעל את הכללים השולטים באבטחת הרשת, כמו גם תהליכי עבודה של ניהול שינויים, בדיקות כללים, הערכת תאימות והדמיה. כלי NSPM יכול להשתמש במפת רשת ויזואלית כדי להציג את כל ההתקנים וכללי הגישה של חומת האש המכסים נתיבי רשת מרובים.

מיקרו-סגמנטציההיא טכניקה המונעת מהתקפות רשת שכבר מתרחשות לנוע אופקית כדי לגשת לנכסים קריטיים. כלי מיקרו-בידוד לאבטחת רשת מתחלקים לשלוש קטגוריות:

-  כלים מבוססי רשת הפרוסים בשכבת הרשת, לרוב בשילוב עם רשתות מוגדרות תוכנה, כדי להגן על נכסים המחוברים לרשת.

-  כלים מבוססי Hypervisor הם צורות פרימיטיביות של מקטעים דיפרנציאליים לשיפור הנראות של תעבורת רשת אטומה הנעה בין Hypervisors.

-  כלים מבוססי סוכנים המתקינים סוכנים במארחים שהם רוצים לבודד משאר הרשת; פתרון הסוכן המארח עובד באותה מידה עבור עומסי עבודה בענן, עומסי עבודה של Hypervisor ושרתים פיזיים.

Secure Access Service Edge (SASE)היא מסגרת מתפתחת המשלבת יכולות אבטחת רשת מקיפות, כגון SWG, SD-WAN ו-ZTNA, כמו גם יכולות WAN מקיפות לתמיכה בצרכי הגישה המאובטחת של ארגונים. יותר מושג מאשר מסגרת, SASE שואפת לספק מודל שירות אבטחה אחיד המספק פונקציונליות על פני רשתות בצורה מדרגית, גמישה ועם אחזור נמוך.

זיהוי ותגובה של רשת (NDR)מנתח באופן רציף תעבורה נכנסת ויוצאת ויומני תעבורה כדי לתעד התנהגות רגילה ברשת, כך שניתן לזהות חריגות ולהתריע בפני ארגונים. כלים אלה משלבים למידת מכונה (ML), היוריסטיקה, ניתוח וזיהוי מבוסס כללים.

הרחבות אבטחת DNSהם תוספות לפרוטוקול DNS ונועדו לאמת תגובות DNS. יתרונות האבטחה של DNSSEC מחייבים חתימה דיגיטלית של נתוני DNS מאומתים, תהליך עתיר מעבד.

חומת אש כשירות (FWaaS)היא טכנולוגיה חדשה הקשורה קשר הדוק ל-SWGS מבוסס ענן. ההבדל הוא בארכיטקטורה, שבה FWaaS פועל דרך חיבורי VPN בין נקודות קצה והתקנים בקצה הרשת, כמו גם מחסנית אבטחה בענן. זה יכול גם לחבר משתמשי קצה לשירותים מקומיים דרך מנהרות VPN. FWaaS נפוצים כיום הרבה פחות מ-SWGS.


זמן פרסום: 23-3-2022