რა უნდა იცოდეთ ქსელის უსაფრთხოების შესახებ?

ქსელის პაკეტის ბროკერიმოწყობილობები ამუშავებენ ქსელის ტრაფიკს, რათა სხვა მონიტორინგის მოწყობილობებმა, როგორიცაა ქსელის მუშაობის მონიტორინგი და უსაფრთხოებასთან დაკავშირებული მონიტორინგი, უფრო ეფექტურად იმუშაონ. მახასიათებლებში შედის პაკეტის ფილტრაცია რისკის დონის, პაკეტის დატვირთვის და ტექნიკის ბაზაზე დროის ანაბეჭდის დასადგენად.

ქსელის უსაფრთხოება

ქსელის უსაფრთხოების არქიტექტორიეხება ღრუბლოვანი უსაფრთხოების არქიტექტურასთან, ქსელის უსაფრთხოების არქიტექტურასთან და მონაცემთა უსაფრთხოების არქიტექტურასთან დაკავშირებული პასუხისმგებლობების ერთობლიობას. ორგანიზაციის ზომიდან გამომდინარე, თითოეულ დომენზე შეიძლება იყოს პასუხისმგებელი ერთი წევრი. ალტერნატიულად, ორგანიზაციას შეუძლია აირჩიოს ხელმძღვანელი. ნებისმიერ შემთხვევაში, ორგანიზაციებმა უნდა განსაზღვრონ ვინ არის პასუხისმგებელი და მისცეს მათ უფლება მიიღონ მისიის კრიტიკული გადაწყვეტილებები.

ქსელის რისკის შეფასება არის სრული სია იმ გზებისა, რომლითაც შესაძლებელია შიდა ან გარე მავნე ან არასწორად მიმართული თავდასხმების გამოყენება რესურსების დასაკავშირებლად. ყოვლისმომცველი შეფასება საშუალებას აძლევს ორგანიზაციას განსაზღვროს რისკები და შეამციროს ისინი უსაფრთხოების კონტროლის საშუალებით. ეს რისკები შეიძლება შეიცავდეს:

-  სისტემების ან პროცესების არასაკმარისი გაგება

-  სისტემები, რომლებიც რთულია რისკის დონის გაზომვა

-  "ჰიბრიდული" სისტემები ბიზნეს და ტექნიკური რისკების წინაშე

ეფექტური შეფასებების შემუშავება მოითხოვს IT და ბიზნესის დაინტერესებულ მხარეებს შორის თანამშრომლობას რისკის ფარგლების გასაგებად. ერთობლივი მუშაობა და პროცესის შექმნა რისკის უფრო ფართო სურათის გასაგებად ისეთივე მნიშვნელოვანია, როგორც საბოლოო რისკის ნაკრები.

ნულოვანი ნდობის არქიტექტურა (ZTA)არის ქსელის უსაფრთხოების პარადიგმა, რომელიც ვარაუდობს, რომ ქსელის ზოგიერთი ვიზიტორი საშიშია და რომ არის ძალიან ბევრი წვდომის წერტილი, რომ სრულად იყოს დაცული. ამიტომ, ეფექტურად დაიცავით აქტივები ქსელში, ვიდრე თავად ქსელი. როგორც ეს ასოცირდება მომხმარებელთან, აგენტი წყვეტს, დაამტკიცოს თუ არა წვდომის თითოეული მოთხოვნა რისკის პროფილის საფუძველზე, რომელიც გამოითვლება კონტექსტუალური ფაქტორების კომბინაციით, როგორიცაა აპლიკაცია, მდებარეობა, მომხმარებელი, მოწყობილობა, დროის პერიოდი, მონაცემთა მგრძნობელობა და ა.შ. როგორც სახელი გულისხმობს, ZTA არის არქიტექტურა და არა პროდუქტი. თქვენ არ შეგიძლიათ მისი ყიდვა, მაგრამ შეგიძლიათ განავითაროთ ის ზოგიერთი ტექნიკური ელემენტის საფუძველზე, რაც მას შეიცავს.

ქსელის უსაფრთხოება

ქსელის Firewallარის მომწიფებული და კარგად ცნობილი უსაფრთხოების პროდუქტი, ფუნქციების სერიით, რომელიც შექმნილია ჰოსტინგის ორგანიზაციის აპლიკაციებსა და მონაცემთა სერვერებზე პირდაპირი წვდომის თავიდან ასაცილებლად. ქსელის ბუხარი უზრუნველყოფს მოქნილობას როგორც შიდა ქსელებისთვის, ასევე ღრუბელისთვის. ღრუბელისთვის არის ღრუბელზე ორიენტირებული შეთავაზებები, ისევე როგორც მეთოდები, რომლებიც გამოიყენება IaaS პროვაიდერების მიერ იმავე შესაძლებლობების განსახორციელებლად.

Secureweb Gatewayგანვითარდა ინტერნეტის გამტარუნარიანობის ოპტიმიზაციიდან მომხმარებელთა დასაცავად ინტერნეტის მავნე თავდასხმებისგან. URL-ის გაფილტვრა, ანტივირუსული, HTTPS-ით წვდომის მქონე ვებსაიტების გაშიფვრა და შემოწმება, მონაცემთა დარღვევის პრევენცია (DLP) და ღრუბლოვანი წვდომის უსაფრთხოების აგენტის შეზღუდული ფორმები (CASB) ახლა სტანდარტული ფუნქციებია.

დისტანციური წვდომასულ უფრო და უფრო ნაკლებად ეყრდნობა VPN-ს, მაგრამ უფრო და უფრო მეტ ქსელს ნულოვანი ნდობის წვდომაზე (ZTNA), რომელიც მომხმარებლებს საშუალებას აძლევს შევიდნენ ინდივიდუალურ აპლიკაციებზე კონტექსტური პროფილების გამოყენებით, აქტივებისთვის ხილვის გარეშე.

შეჭრის პრევენციის სისტემები (IPS)თავიდან აიცილოთ დაუფარავი დაუცველობების თავდასხმა, IPS მოწყობილობების დაკავშირებით დაუმონტაჟებელ სერვერებთან, რათა აღმოაჩინონ და დაბლოკონ თავდასხმები. IPS შესაძლებლობები ახლა ხშირად შედის უსაფრთხოების სხვა პროდუქტებში, მაგრამ ჯერ კიდევ არსებობს ცალკეული პროდუქტები. IPS კვლავ იწყებს ზრდას, რადგან ღრუბლოვანი კონტროლი ნელ-ნელა ახორციელებს მათ პროცესში.

ქსელში წვდომის კონტროლიუზრუნველყოფს ქსელის ყველა კონტენტის ხილვადობას და კონტროლს წვდომის პოლიტიკაზე დაფუძნებულ კორპორატიულ ქსელის ინფრასტრუქტურაზე. პოლიტიკას შეუძლია განსაზღვროს წვდომა მომხმარებლის როლზე, ავთენტიფიკაციაზე ან სხვა ელემენტებზე დაყრდნობით.

DNS წმენდა (გასუფთავებული დომენის სისტემა)არის მომწოდებლის მიერ მოწოდებული სერვისი, რომელიც მოქმედებს როგორც ორგანიზაციის დომენური სახელების სისტემა, რათა თავიდან აიცილოს საბოლოო მომხმარებლებს (მათ შორის დისტანციურ მუშაკებს) წვდომა არასანდო საიტებზე.

DDoSmitigation (DDoS Mitigation)ზღუდავს დესტრუქციულ ზემოქმედებას განაწილებული უარის თქმის სერვისზე ქსელზე. პროდუქტს აქვს მრავალშრიანი მიდგომა, რათა დაიცვას ქსელის რესურსები firewall-ში, ქსელის firewall-ის წინ განლაგებული და ორგანიზაციის გარეთ, როგორიცაა რესურსების ქსელები ინტერნეტ სერვისის პროვაიდერებისგან ან შინაარსის მიწოდება.

ქსელის უსაფრთხოების პოლიტიკის მენეჯმენტი (NSPM)მოიცავს ანალიზს და აუდიტს ქსელის უსაფრთხოების წესების ოპტიმიზაციის მიზნით, ასევე მართვის სამუშაო ნაკადების შეცვლას, წესების ტესტირებას, შესაბამისობის შეფასებას და ვიზუალიზაციას. NSPM ხელსაწყოს შეუძლია გამოიყენოს ვიზუალური ქსელის რუკა, რათა აჩვენოს ყველა მოწყობილობა და firewall წვდომის წესები, რომლებიც მოიცავს ქსელის მრავალ ბილიკს.

მიკროსეგმენტაციაარის ტექნიკა, რომელიც ხელს უშლის უკვე მომხდარ ქსელურ შეტევებს ჰორიზონტალურად გადაადგილებისგან კრიტიკულ აქტივებზე წვდომისთვის. მიკროიზოლაციის ინსტრუმენტები ქსელის უსაფრთხოებისთვის იყოფა სამ კატეგორიად:

-  ქსელზე დაფუძნებული ხელსაწყოები, რომლებიც განლაგებულია ქსელის ფენაზე, ხშირად პროგრამული უზრუნველყოფის განსაზღვრულ ქსელებთან ერთად, ქსელთან დაკავშირებული აქტივების დასაცავად.

-  Hypervisor-ზე დაფუძნებული ინსტრუმენტები არის დიფერენციალური სეგმენტების პრიმიტიული ფორმები ჰიპერვიზორებს შორის მოძრავი ქსელის გაუმჭვირვალე ტრაფიკის ხილვადობის გასაუმჯობესებლად.

-  ჰოსტის აგენტზე დაფუძნებული ინსტრუმენტები, რომლებიც აყენებენ აგენტებს ჰოსტებზე, რომელთა იზოლირება სურთ ქსელის დანარჩენი ნაწილისგან; მასპინძელი აგენტის გადაწყვეტა თანაბრად კარგად მუშაობს ღრუბლოვანი დატვირთვისთვის, ჰიპერვიზორის დატვირთვისთვის და ფიზიკური სერვერებისთვის.

უსაფრთხო წვდომის სერვისის ზღვარი (SASE)არის განვითარებადი ჩარჩო, რომელიც აერთიანებს ყოვლისმომცველ ქსელის უსაფრთხოების შესაძლებლობებს, როგორიცაა SWG, SD-WAN და ZTNA, ისევე როგორც ყოვლისმომცველი WAN შესაძლებლობები ორგანიზაციების უსაფრთხო წვდომის საჭიროებების მხარდასაჭერად. უფრო მეტად კონცეფცია, ვიდრე ჩარჩო, SASE მიზნად ისახავს უზრუნველყოს უსაფრთხოების სერვისის ერთიანი მოდელი, რომელიც უზრუნველყოფს ფუნქციონირებას ქსელებში მასშტაბური, მოქნილი და დაბალი შეფერხების გზით.

ქსელის გამოვლენა და რეაგირება (NDR)განუწყვეტლივ აანალიზებს შემომავალ და გამავალ ტრაფიკს და ტრაფიკის ჟურნალებს ქსელის ნორმალური ქცევის ჩასაწერად, ასე რომ, ანომალიების იდენტიფიცირება და ორგანიზაციების გაფრთხილება შესაძლებელია. ეს ხელსაწყოები აერთიანებს მანქანურ სწავლებას (ML), ევრისტიკას, ანალიზს და წესებზე დაფუძნებულ გამოვლენას.

DNS უსაფრთხოების გაფართოებებიარის დანამატები DNS პროტოკოლისთვის და შექმნილია DNS პასუხების გადამოწმებისთვის. DNSSEC-ის უსაფრთხოების უპირატესობები მოითხოვს დამოწმებული DNS მონაცემების ციფრულ ხელმოწერას, პროცესორის ინტენსიურ პროცესს.

Firewall როგორც სერვისი (FWaaS)არის ახალი ტექნოლოგია, რომელიც მჭიდროდ არის დაკავშირებული ღრუბელზე დაფუძნებულ SWGS-თან. განსხვავება არის არქიტექტურაში, სადაც FWaaS გადის VPN კავშირებით ბოლო წერტილებსა და მოწყობილობებს შორის ქსელის კიდეზე, ისევე როგორც უსაფრთხოების დასტა ღრუბელში. მას ასევე შეუძლია დააკავშიროს საბოლოო მომხმარებლები ადგილობრივ სერვისებთან VPN გვირაბების საშუალებით. FWaaS ამჟამად გაცილებით ნაკლებად გავრცელებულია, ვიდრე SWGS.


გამოქვეყნების დრო: მარ-23-2022