რა უნდა იცოდეთ ქსელის უსაფრთხოების შესახებ?

ქსელის ფაირვოლიარის განვითარებული და ცნობილი უსაფრთხოების პროდუქტი ფუნქციების სერიით, რომელიც შექმნილია ჰოსტირებულ ორგანიზაციის აპლიკაციებსა და მონაცემთა სერვერებზე პირდაპირი წვდომის თავიდან ასაცილებლად. ქსელური firewall-ები უზრუნველყოფს მოქნილობას როგორც შიდა ქსელებისთვის, ასევე ღრუბლისთვის. ღრუბლისთვის არსებობს ღრუბელზე ორიენტირებული შეთავაზებები, ასევე IaaS პროვაიდერების მიერ გამოყენებული მეთოდები იგივე შესაძლებლობების განსახორციელებლად.

უსაფრთხო ვებ-გეითვეიინტერნეტის გამტარუნარიანობის ოპტიმიზაციისგან მომხმარებლების დაცვამდე განვითარდა ინტერნეტიდან წამოსული მავნე შეტევებისგან. URL-ის ფილტრაცია, ანტივირუსული, HTTPS-ის საშუალებით წვდომის მქონე ვებსაიტების გაშიფვრა და შემოწმება, მონაცემთა დარღვევის პრევენცია (DLP) და ღრუბლოვანი წვდომის უსაფრთხოების აგენტის (CASB) შეზღუდული ფორმები ახლა სტანდარტული ფუნქციებია.

დისტანციური წვდომასულ უფრო ნაკლებად არის დამოკიდებული VPN-ზე და სულ უფრო მეტად ნულოვანი ნდობის მქონე ქსელურ წვდომაზე (ZTNA), რაც მომხმარებლებს საშუალებას აძლევს, წვდომა ჰქონდეთ ინდივიდუალურ აპლიკაციებზე კონტექსტური პროფილების გამოყენებით, აქტივებისთვის ხილვადობის გარეშე.

შეჭრის პრევენციის სისტემები (IPS)შეტევების აღმოსაჩენად და დასაბლოკად, IPS მოწყობილობების დაუპატჩებელ სერვერებთან დაკავშირებით, შეუზღუდავი დაუცველობების თავიდან ასაცილებლად. IPS შესაძლებლობები ხშირად შედის სხვა უსაფრთხოების პროდუქტებში, თუმცა ჯერ კიდევ არსებობს დამოუკიდებელი პროდუქტები. IPS-ები კვლავ იწყებენ აღმავლობას, რადგან ღრუბლოვანი სისტემების კონტროლი ნელ-ნელა ჩართავს მათ პროცესში.

ქსელში წვდომის კონტროლიუზრუნველყოფს ქსელში არსებული ყველა კონტენტის ხილვადობას და პოლიტიკაზე დაფუძნებულ კორპორატიულ ქსელურ ინფრასტრუქტურაზე წვდომის კონტროლს. პოლიტიკას შეუძლია განსაზღვროს წვდომა მომხმარებლის როლის, ავთენტიფიკაციის ან სხვა ელემენტების საფუძველზე.

DNS-ის გაწმენდა (დომენური სახელების გასუფთავებული სისტემა)არის მომწოდებლის მიერ მოწოდებული სერვისი, რომელიც მოქმედებს როგორც ორგანიზაციის დომენური სახელების სისტემა, რათა თავიდან აიცილოს საბოლოო მომხმარებლების (მათ შორის დისტანციურად მომუშავე თანამშრომლების) წვდომა საეჭვო საიტებზე.

DDoS შერბილება (DDoS შერბილება)ზღუდავს განაწილებული მომსახურების უარყოფის შეტევების დესტრუქციულ გავლენას ქსელზე. პროდუქტი იყენებს მრავალშრიან მიდგომას ქსელის რესურსების დასაცავად firewall-ის შიგნით, ქსელის firewall-ის წინ განლაგებული და ორგანიზაციის გარეთ არსებული რესურსების, როგორიცაა ინტერნეტ სერვისის პროვაიდერების რესურსების ქსელები ან კონტენტის მიწოდება.

ქსელის უსაფრთხოების პოლიტიკის მართვა (NSPM)მოიცავს ანალიზსა და აუდიტს ქსელის უსაფრთხოების მარეგულირებელი წესების ოპტიმიზაციისთვის, ასევე ცვლილებების მართვის სამუშაო პროცესების, წესების ტესტირების, შესაბამისობის შეფასებისა და ვიზუალიზაციისთვის. NSPM ინსტრუმენტს შეუძლია გამოიყენოს ვიზუალური ქსელის რუკა ყველა მოწყობილობისა და firewall-ზე წვდომის წესების საჩვენებლად, რომლებიც მოიცავს ქსელის მრავალ გზას.

მიკროსეგმენტაციაარის ტექნიკა, რომელიც ხელს უშლის უკვე მომხდარი ქსელური შეტევების ჰორიზონტალურად გადაადგილებას კრიტიკულ აქტივებზე წვდომისკენ. ქსელური უსაფრთხოების მიკროიზოლაციის ინსტრუმენტები სამ კატეგორიად იყოფა:

-  ქსელზე დაფუძნებული ინსტრუმენტები, რომლებიც განლაგებულია ქსელის დონეზე, ხშირად პროგრამულად განსაზღვრულ ქსელებთან ერთად, ქსელთან დაკავშირებული აქტივების დასაცავად.

-  ჰიპერვიზორზე დაფუძნებული ინსტრუმენტები დიფერენციალური სეგმენტების პრიმიტიული ფორმებია, რომლებიც ჰიპერვიზორებს შორის გადაადგილებული გაუმჭვირვალე ქსელური ტრაფიკის ხილვადობის გაუმჯობესებას ისახავს მიზნად.

-  ჰოსტ აგენტზე დაფუძნებული ინსტრუმენტები, რომლებიც აგენტებს აინსტალირებენ ჰოსტებზე, რომელთა იზოლირებაც ქსელის დანარჩენი ნაწილისგან სურთ; ჰოსტ აგენტის გადაწყვეტა თანაბრად კარგად მუშაობს ღრუბლოვანი სამუშაო დატვირთვებისთვის, ჰიპერვიზორის სამუშაო დატვირთვებისთვის და ფიზიკური სერვერებისთვის.

უსაფრთხო წვდომის სერვისი Edge (SASE)ეს არის ახალი ჩარჩო, რომელიც აერთიანებს ქსელური უსაფრთხოების ყოვლისმომცველ შესაძლებლობებს, როგორიცაა SWG, SD-WAN და ZTNA, ასევე ყოვლისმომცველ WAN შესაძლებლობებს ორგანიზაციების უსაფრთხო წვდომის საჭიროებების მხარდასაჭერად. SASE, რომელიც უფრო კონცეფციას წარმოადგენს, ვიდრე ჩარჩოს, მიზნად ისახავს ერთიანი უსაფრთხოების სერვისის მოდელის უზრუნველყოფას, რომელიც ფუნქციონალურობას ქსელებში უზრუნველყოფს მასშტაბირებადი, მოქნილი და დაბალი შეყოვნების მანერით.

ქსელის აღმოჩენა და რეაგირება (NDR)მუდმივად აანალიზებს შემომავალ და გამავალ ტრაფიკს და ტრაფიკის ჟურნალებს ქსელის ნორმალური ქცევის აღსაწერად, რათა შესაძლებელი იყოს ანომალიების იდენტიფიცირება და ორგანიზაციებისთვის შეტყობინება. ეს ინსტრუმენტები აერთიანებს მანქანურ სწავლებას (ML), ევრისტიკას, ანალიზს და წესებზე დაფუძნებულ აღმოჩენას.

DNS უსაფრთხოების გაფართოებებიწარმოადგენს DNS პროტოკოლის დამატებებს და შექმნილია DNS პასუხების დასადასტურებლად. DNSSEC-ის უსაფრთხოების უპირატესობები მოითხოვს ავტორიზებული DNS მონაცემების ციფრულ ხელმოწერას, რაც პროცესორზე ინტენსიური მუშაობის პროცესია.

Firewall, როგორც სერვისი (FWaaS)ეს არის ახალი ტექნოლოგია, რომელიც მჭიდრო კავშირშია ღრუბელზე დაფუძნებულ SWGS-თან. განსხვავება არქიტექტურაშია, სადაც FWaaS მუშაობს VPN კავშირების მეშვეობით ქსელის კიდეზე მდებარე საბოლოო წერტილებსა და მოწყობილობებს შორის, ასევე ღრუბელში არსებული უსაფრთხოების სტეკის მეშვეობით. მას ასევე შეუძლია საბოლოო მომხმარებლების დაკავშირება ლოკალურ სერვისებთან VPN გვირაბების საშუალებით. FWaaS ამჟამად SWGS-ზე გაცილებით ნაკლებად გავრცელებულია.