Sareko Paketeen BrokerraGailuek Sareko trafikoa prozesatzen dute, beste monitorizazio-gailu batzuek, hala nola Sarearen errendimenduaren monitorizaziorako eta segurtasunarekin lotutako monitorizaziorako dedikatuak, modu eraginkorragoan funtziona dezaten. Ezaugarrien artean, paketeak iragaztea dago, arrisku-mailak identifikatzeko, paketeen kargak eta hardwarean oinarritutako denbora-zigilua txertatzea.
Sare Segurtasun Arkitektoahodeiko segurtasun arkitekturarekin, sareko segurtasun arkitekturarekin eta datuen segurtasun arkitekturarekin lotutako erantzukizun multzo bati egiten dio erreferentzia. Erakundearen tamainaren arabera, domeinu bakoitzeko arduradun kide bat egon daiteke. Bestela, erakundeak gainbegirale bat aukeratu dezake. Nolanahi ere, erakundeek nork duen arduraduna definitu behar dute eta erabaki kritikoak hartzeko ahalmena eman behar diete.
Sareko Arriskuen Ebaluazioa baliabideak konektatzeko barneko edo kanpoko eraso gaizto edo oker zuzenduak nola erabil daitezkeen azaltzen duen zerrenda osoa da. Ebaluazio integralak erakunde bati arriskuak definitzeko eta segurtasun-kontrolen bidez arintzeko aukera ematen dio. Arrisku horien artean egon daitezke:
- Sistemen edo prozesuen ulermen eskasa
- Arrisku-mailak neurtzea zaila den sistemak
- Sistema "hibridoek" negozio- eta teknika-arriskuei aurre egiten diete
Arriskuen irismena ulertzeko, IT eta negozio-interesdunen arteko lankidetza behar da kalkulu eraginkorrak garatzeko. Arriskuen ikuspegi orokorra ulertzeko elkarrekin lan egitea eta prozesu bat sortzea bezain garrantzitsua da azken arrisku-multzoa.
Zero Trust Arkitektura (ZTA)sareko segurtasun paradigma bat da, sareko bisitari batzuk arriskutsuak direla eta guztiz babesteko sarbide puntu gehiegi daudela suposatzen duena. Beraz, sareko aktiboak eraginkortasunez babestu behar dira, sarea bera baino. Erabiltzailearekin lotuta dagoenez, agenteak sarbide eskaera bakoitza onartu ala ez erabakitzen du, aplikazioaren, kokapenaren, erabiltzailearen, gailuaren, denbora-tartearen, datuen sentikortasunaren eta abarren testuinguru-faktoreen konbinazio batean oinarrituta kalkulatutako arrisku-profil baten arabera. Izenak dioen bezala, ZTA arkitektura bat da, ez produktu bat. Ezin duzu erosi, baina garatu dezakezu dituen elementu tekniko batzuen arabera.
Sareko suebakiasegurtasun produktu heldu eta ezaguna da, ostatatutako erakundearen aplikazioetara eta datu-zerbitzarietara zuzeneko sarbidea saihesteko diseinatutako hainbat funtzio dituena. Sareko suebakiek malgutasuna eskaintzen dute bai barne-sareetarako bai hodeirako. Hodeiari dagokionez, hodeian oinarritutako eskaintzak daude, baita IaaS hornitzaileek gaitasun berdin batzuk ezartzeko zabaldutako metodoak ere.
Web atebide seguruaInterneteko banda-zabalera optimizatzetik erabiltzaileak Interneteko eraso gaiztoetatik babestera eboluzionatu dute. URL iragazketa, birusen aurkakoa, HTTPS bidez atzitutako webguneen deszifratzea eta ikuskapena, datu-urraketen prebentzioa (DLP) eta hodeiko sarbide-segurtasun agentearen (CASB) forma mugatuak orain ezaugarri estandarrak dira.
Urruneko sarbideagero eta gutxiago oinarritzen da VPN-n, baina gero eta gehiago zero-trust sareko sarbidean (ZTNA), eta horri esker, erabiltzaileek testuinguru-profilak erabiliz banakako aplikazioetara sar daitezke aktiboentzat ikusgai egon gabe.
Intrusioen Prebentzio Sistemak (IPS)IPS gailuak zerbitzarietara konektatuz konpondu gabeko ahultasunak erasotzea eragotzi, erasoak detektatu eta blokeatzeko. IPS gaitasunak beste segurtasun produktu batzuetan sartzen dira askotan, baina oraindik ere badaude produktu independenteak. IPSak berriro ere goraka doaz, hodeiko bertako kontrolak poliki-poliki prozesuan sartzen dituen heinean.
Sareko sarbide-kontrolaSareko eduki guztiaren ikusgarritasuna eta politika-oinarritutako korporazioko sare-azpiegiturarako sarbidea kontrolatzen ditu. Politikek sarbidea defini dezakete erabiltzailearen rolaren, autentifikazioaren edo beste elementu batzuen arabera.
DNS garbiketa (domeinu izenen sistema desinfektatua)saltzaileak eskaintzen duen zerbitzu bat da, erakunde baten domeinu-izen sistema gisa funtzionatzen duena, azken erabiltzaileek (urruneko langileak barne) ospe txarreko guneetara sartzea eragozteko.
DDoS arintzea (DDoS arintzea)Zerbitzu ukazio banatuko erasoek sarean duten eragin suntsitzailea mugatzen du. Produktuak geruza anitzeko ikuspegia hartzen du suebakiaren barruan dauden sareko baliabideak, suebakiaren aurrean zabaldutakoak eta erakundearen kanpoan daudenak babesteko, hala nola Interneteko zerbitzu hornitzaileen baliabideen sareak edo edukien banaketa.
Sarearen Segurtasun Politikaren Kudeaketa (NSPM)Sarearen Segurtasuna arautzen duten arauak optimizatzeko analisiak eta auditoriak barne hartzen ditu, baita aldaketak kudeatzeko lan-fluxuak, arauen probak, betetze-ebaluazioa eta bistaratzea ere. NSPM tresnak sare-mapa bisual bat erabil dezake hainbat sare-bide hartzen dituzten gailu eta suebaki-sarbide-arau guztiak erakusteko.
Mikrosegmentazioasareko erasoak horizontalki mugitzea eta aktibo kritikoetara sartzea eragozten duen teknika bat da. Sarearen segurtasunerako mikroisolamendu tresnak hiru kategoriatan banatzen dira:
- Sare-geruzan hedatutako sare-tresnak, askotan softwarez definitutako sareekin batera, sarera konektatutako aktiboak babesteko.
Hiperbisoreetan oinarritutako tresnak segmentu diferentzialen forma primitiboak dira, hiperbisoreen artean mugitzen den sare-trafiko opakoaren ikusgarritasuna hobetzeko.
- Sarearen gainerakotik isolatu nahi dituzten ostalarietan agenteak instalatzen dituzten ostalari-agenteetan oinarritutako tresnak; Ostalari-agentearen irtenbideak berdin funtzionatzen du hodeiko lan-kargentzat, hiperbisore-lan-kargentzat eta zerbitzari fisikoentzat.
Sarbide Seguruko Zerbitzu Ertzaren (SASE)SASEk sareko segurtasun gaitasun integralak konbinatzen ditu, hala nola SWG, SD-WAN eta ZTNA, baita WAN gaitasun integralak ere, erakundeen Sarbide Seguruaren beharrak asetzeko. Esparru bat baino kontzeptu bat gehiago, SASEren helburua segurtasun zerbitzu eredu bateratu bat eskaintzea da, sareetan funtzionaltasuna eskalagarrian, malguan eta latentzia baxuko moduan eskaintzen duena.
Sarearen Detekzioa eta Erantzuna (NDR)etengabe aztertzen ditu sarrerako eta irteerako trafikoa eta trafiko-erregistroak Sarearen portaera normala erregistratzeko, anomaliak identifikatu eta erakundeei jakinarazi ahal izateko. Tresna hauek ikaskuntza automatikoa (AA), heuristikoa, analisia eta arauetan oinarritutako detekzioa konbinatzen dituzte.
DNS Segurtasun LuzapenakDNS protokoloaren gehigarriak dira eta DNS erantzunak egiaztatzeko diseinatuta daude. DNSSEC-en segurtasun-onurak DNS datu autentifikatuen sinadura digitala eskatzen dute, prozesadore-intentsiboa den prozesu bat.
Suebakia zerbitzu gisa (FWaaS)hodeian oinarritutako SWGSarekin oso lotuta dagoen teknologia berri bat da. Desberdintasuna arkitekturan dago, non FWaaS-ek VPN konexioen bidez funtzionatzen baitu sarearen ertzean dauden amaierako puntuen eta gailuen artean, baita hodeiko segurtasun pila baten bidez ere. Gainera, azken erabiltzaileak tokiko zerbitzuetara konekta ditzake VPN tunelen bidez. FWaaS-ak SWGS baino askoz ere ohikoagoak dira gaur egun.
Argitaratze data: 2022ko martxoaren 23a
