公有云、私有云、本地……如今,大量企业机构网络选择的出现对网络安全提出了新的要求。过去的“保护网络周边”模式已不再适用,网络安全领导人正在采用新的方法。
Gartner高级研究总监ThomasLintemuth表示:“网络安全可能十分复杂,但它是所有其他信息安全系统的基础。好消息是网络安全已经是一个成熟的市场,这个市场有强大、成熟的供应商,同时还有创新的初创企业,他们不断为我们带来更好的新技术来维护网络的安全并保护资产。”
本文将简单介绍需要了解的关键现代化网络安全架构概念。从网络安全领导人的角色和责任开始到逻辑架构,我们将通过描绘安全要求范围为构建网络安全提供了一个坚实的基础。
7个关键网络安全概念
网络安全架构(Network security architect)指与云安全架构、网络安全架构和数据安全架构有关的一整套职责。企业机构可以根据自身的规模,为每一个网络安全架构领域单独指定一名负责的人员,也可以指定一名人员监督所有这些领域。无论采用哪种方法,企业机构都需要确定负责的人员并赋予他们做出关键任务决策的权力。
网络风险评估(Network risk assessment )指全面清查内部和外部怀有恶意或粗心的行动者可能利用网络来攻击联网资源的方式。企业机构能够通过全面的评估来定义风险,并通过安全控制措施来减轻风险。这些风险可能包括:
-
对系统或流程理解不透彻
-
难以衡量系统的风险水平
-
同时受到业务和技术风险影响的“混合”系统
IT和业务利益相关者之间必须通过开展协作来了解风险范围,这样才能设计出实用的评估。这一合作流程以及创建一个了解风险全局的流程与确定一套最终风险要求同样重要。
零信任架构(Zero-Trust Architecture,ZTA)是一种假设网络上的部分行动者具有敌意并且由于接入点数量过多而无法提供充分保护的网络安全范式。因此,保护网络上的资产而不是网络本身是一种有效的安全态势。代理会根据从应用、位置、用户、设备、时间、数据敏感性等综合环境因素计算出的风险状况,决定是否批准各个与用户有关的访问请求。正如其名,零信任架构是一个架构,而不是一个产品。虽然无法购买它,但可以使用这个列表中的一些技术元素来开发它。
网络防火墙(Network firewall)是一种成熟、广为人知的安全产品,它通过一系列功能防止任何人直接访问企业机构应用和数据所在的网络服务器。网络防火墙具有的灵活性使其既可用于本地网络,也可用于云。而在云端,有专门用于云的产品,也有IaaS提供商部署的具有相同功能的策略。
安全网络网关(Secure web gateway)的用途已经从过去的优化互联网带宽发展为保护用户免受互联网恶意内容的影响。诸如URL过滤、反恶意软件、解密和检查通过HTTPS访问的网站、数据丢失预防(DLP)、规定形式的云访问安全代理(CASB)等功能现已成为标准功能。
远程访问(Remote access)对虚拟专用网络(VPN)的依赖性日益减少,而对零信任网络访问(ZTNA)的依赖性日益增加。零信任网络访问使资产对用户不可见并使用上下文配置文件方便对个别应用的访问。
入侵防御系统(IntrusionPrevention System,IPS)为未修补的服务器部署检测和阻止攻击的IPS设备,从而保护无法修补的漏洞(例如在服务提供商不再支持的打包应用上)。IPS功能通常包含在其他安全产品中,但也有独立的产品。由于云原生控制措施在加入IPS方面进展缓慢,IPS正在“东山再起”。
网络访问控制(Network access control )提供了对网络上一切内容的可见性以及基于策略的网络基础设施访问控制。策略可以根据用户的角色、认证或其他因素来定义访问权限。
网络数据包代理(Network packet broker)设备通过处理网络流量,使其他监控设备能够更加有效地运行,例如专门用于网络性能监控和安全相关监控的设备。其功能包括用于确定风险水平的分封数据过滤、分配数据包负载和基于硬件的时间戳插入等。
净化域名系统(SanitizedDomain Name System,DNS)是厂商提供的作为企业机构域名系统运行的服务,可防止终端用户(包括远程工作者)访问有不良声誉的网站。
DDoS攻击缓解(DDoSmitigation)限制了分布式拒绝服务(DDoS)攻击对网络运行的破坏性影响。这些产品采取多层策略来保护防火墙内的网络资源、位于本地但在网络防火墙之前的资源以及位于企业机构外部的资源,例如来自互联网服务提供商或内容交付网络的资源。
网络安全策略管理(NetworkSecurity Policy Management ,NSPM)通过分析和审核来优化指导网络安全的规则并更改管理工作流程、规则测试以及合规性评估和可视化。NSPM工具可以使用可视化网络地图显示叠加在多个网络路径上的所有设备和防火墙访问规则。
微分段(Microsegmentation)可以抑制已经在网络上的攻击者在网络中为了访问关键资产而进行的横向移动。用于网络安全的微分段工具有三类:
-
基于网络的工具部署在网络层面,通常与软件定义网络结合在一起并用于保护与网络连接的资产。
-
基于管理程序的工具是最初形态的微分段,此类工具专门用于提高在不同管理程序之间移动的不透明网络流量的可见性。
-
基于主机代理的工具会在将与网络其他部分隔离的主机上安装一个代理;主机代理解决方案在云工作负载、管理程序工作负载和物理服务器上同样有效。
安全访问服务边缘(SecureAccess Service Edge ,SASE)是一个新型框架,它将包括SWG、SD-WAN和ZTNA在内的全方位网络安全功能与综合全面的广域网功能相结合,帮助满足企业机构的安全访问需求。SASE与其说是一个框架,不如说是一个概念,其目标是实现一个统一的安全服务模式,并且该模式能够以可扩展、灵活和低延迟的方式提供跨越整个网络的功能。
网络检测和响应(Networkdetection and response )持续分析入站和出站流量以及数据流记录,从而记录正常的网络行为,因此它可以识别异常情况并向企业机构发出提醒。这些工具能够结合使用机器学习(ML)、试探法、分析工具和基于规则的检测。
DNS安全扩展(DNSsecurity extensions)是DNS协议的一项能够验证DNS响应的附加功能。DNSSEC的安全优势在于要求对经过验证的DNS数据进行数字签名,而该流程极度消耗处理器资源。
防火墙即服务(Firewall asa Service ,FWaaS)是一项与云端SWG密切相关的新技术。它的不同之处在于架构:FWaaS通过端点和网络边缘设备之间的VPN连接以及云端的安全栈运行。它还可以通过VPN隧道连接终端用户与本地服务。FWaaS的普及度远不如SWG。
,