Sareko Pakete Brokergailuek sareko trafikoa prozesatzen dute, beste monitorizazio-gailu batzuek, hala nola, Sarearen errendimenduaren monitorizazioari eta segurtasunarekin lotutako monitorizazioari eskainitakoak, eraginkorrago funtziona dezaten. Ezaugarrien artean, paketeen iragazketa arrisku mailak, paketeen kargak eta hardwarean oinarritutako denbora-zigiluaren txertaketa identifikatzeko.
Sareko Segurtasun Arkitektoahodeiko segurtasun arkitekturarekin, sareko segurtasun arkitekturarekin eta datuen segurtasun arkitekturarekin lotutako erantzukizun multzoari egiten dio erreferentzia. Erakundearen tamainaren arabera, domeinu bakoitzeko arduradun bat izan daiteke. Bestela, erakundeak arduradun bat aukeratu dezake. Edozein modutan, erakundeek erantzule zein den definitu behar dute eta misio-kritiko erabakiak hartzeko ahalmena eman behar diete.
Sareko Arriskuen Ebaluazioa baliabideak konektatzeko barneko edo kanpoko eraso gaiztoak edo gaizki zuzendutako moduen zerrenda osoa da. Ebaluazio integralari esker, erakunde batek arriskuak defini ditzake eta horiek arin ditzake segurtasun-kontrolen bidez. Arrisku hauek izan daitezke:
- Sistemak edo prozesuak ez ulertzea
- Arrisku-mailak neurtzeko zailak diren sistemak
- Arrisku komertzialen eta teknikoen aurrean dauden sistema "hibridoak".
Estimazio eraginkorrak garatzeak IT eta negozio interesdunen arteko lankidetza eskatzen du arriskuaren esparrua ulertzeko. Elkarrekin lan egitea eta prozesu bat sortzea arriskuen irudi zabalagoa ulertzeko azken arrisku multzoa bezain garrantzitsua da.
Zero Trust Arkitektura (ZTA)sareko segurtasun-paradigma bat da, sareko bisitari batzuk arriskutsuak direla eta sarbide-puntu gehiegi daudela guztiz babestuta egoteko. Beraz, babestu eraginkortasunez sareko aktiboak sarean bertan baino. Erabiltzaileari lotuta dagoenez, agenteak erabakitzen du sarbide-eskaera bakoitza onartu ala ez, aplikazioa, kokapena, erabiltzailea, gailua, denbora-epea, datuen sentikortasuna, etab. testuinguru-faktoreen konbinazio batean oinarrituta kalkulatutako arrisku-profil batean oinarrituta. Izenak dioen bezala, ZTA arkitektura bat da, ez produktu bat. Ezin duzu erosi, baina dituen elementu tekniko batzuetatik abiatuta garatu dezakezu.
Sareko suebakiasegurtasun-produktu heldua eta ezaguna da, ostatatutako erakundeen aplikazioetara eta datu-zerbitzarietara sarbide zuzena saihesteko diseinatutako funtzio sorta batekin. Sare-suebakiek malgutasuna eskaintzen dute barne sareetarako zein hodeirako. Hodeiari dagokionez, hodeian oinarritutako eskaintzak daude, baita IaaS hornitzaileek gaitasun bereko batzuk ezartzeko zabaldutako metodoak ere.
Secureweb GatewayInterneteko banda-zabalera optimizatzetik erabiltzaileak Interneteko eraso maltzuretatik babestera igaro dira. URL iragaztea, birusen aurkakoa, deszifratzea eta HTTPS bidez atzitutako webguneen ikuskapena, datu-hausteen prebentzioa (DLP) eta hodeiko sarbidearen segurtasun-agentearen (CASB) forma mugatuak ezaugarri estandarrak dira orain.
Urruneko SarbideaGero eta gutxiago oinarritzen da VPNn, baina gero eta gehiago konfiantzarik gabeko sarerako sarbidean (ZTNA), erabiltzaileei aplikazio indibidualak atzitzeko aukera ematen die testuinguru-profilak erabiliz, aktiboek ikusgai egon gabe.
Intrusioak Prebenitzeko Sistemak (IPS)Adabakirik gabeko ahultasunak erasotzea saihestu IPS gailuak adabaki gabeko zerbitzarietara konektatuz, erasoak detektatzeko eta blokeatzeko. IPS gaitasunak beste segurtasun produktu batzuetan sartzen dira orain, baina produktu autonomoak daude oraindik. IPS berriro hazten hasi da hodeiaren jatorrizko kontrola poliki-poliki prozesuan sartzen dituen heinean.
Sareko Sarbide KontrolaSareko eduki guztiaren ikusgarritasuna eta politikan oinarritutako sare korporatiboaren azpiegiturarako sarbidea kontrolatzen du. Politikak sarbidea defini dezakete erabiltzailearen rolaren, autentifikazioaren edo beste elementu batzuen arabera.
DNS Garbiketa (Domeinu Izen Sistema Sanitizatua)saltzaileak emandako zerbitzu bat da, erakunde baten domeinu-izenen sistema gisa funtzionatzen duena, azken erabiltzaileek (urruneko langileak barne) izen txarra duten guneetara sar ez daitezen.
DDoSmitigation (DDoS arintzea)sarean zerbitzuaren ukapen banatuaren erasoen eragin suntsitzailea mugatzen du. Produktuak geruza anitzeko ikuspegia hartzen du suebakiaren barneko sareko baliabideak babesteko, sareko suebakiaren aurrean zabaldutakoak eta erakundetik kanpo daudenak, hala nola, Interneteko zerbitzu hornitzaileen baliabide sareak edo edukien banaketa.
Sareko Segurtasun Politiken Kudeaketa (NSPM)Sareko Segurtasuna arautzen duten arauak optimizatzeko azterketa eta auditoria dakar, baita aldaketak kudeatzeko lan-fluxuak, arauen probak, betetze-ebaluazioa eta bistaratzea ere. NSPM tresnak sare-mapa bisual bat erabil dezake sareko hainbat bide estaltzen dituzten gailu eta suebakirako sarbide-arau guztiak erakusteko.
Mikrosegmentazioadagoeneko gertatzen diren sareko erasoak horizontalki mugitzea aktibo kritikoetara sartzeko eragozten duen teknika da. Sarearen segurtasunerako mikroisolatze tresnak hiru kategoriatan banatzen dira:
- Sarean oinarritutako tresnak sare geruzan zabaldutakoak, askotan softwareak definitutako sareekin batera, sarera konektatuta dauden aktiboak babesteko.
- Hipervisorean oinarritutako tresnak segmentu diferentzialen forma primitiboak dira hipervisoreen artean mugitzen den sareko trafiko opakuaren ikusgarritasuna hobetzeko.
- Ostalari-agenteetan oinarritutako tresnak, gainerako saretik isolatu nahi dituzten ostalarietan agenteak instalatzen dituztenak; Ostalari-agenteen irtenbideak berdin funtzionatzen du hodeiko lan-karga, hipervisor-eko lan-karga eta zerbitzari fisikoetarako.
Secure Access Service Edge (SASE)sortzen ari den esparru bat da, sareko segurtasun-gaitasun integralak konbinatzen dituena, hala nola SWG, SD-WAN eta ZTNA, baita WAN gaitasun integralak ere, erakundeen Secure Access beharrei laguntzeko. Esparru bat baino kontzeptu bat baino gehiago, SASE-k segurtasun zerbitzu eredu bateratu bat eskaintzea du helburu, sareetan funtzionalitateak eskaintzen dituena modu eskalagarrian, malguan eta latentzia baxuan.
Sarearen detekzioa eta erantzuna (NDR)etengabe aztertzen ditu sarrerako eta irteerako trafikoa eta trafikoaren erregistroak Sarearen portaera normala erregistratzeko, anomaliak identifikatu eta erakundeei abisatu ahal izateko. Tresna hauek ikaskuntza automatikoa (ML), heuristika, analisia eta arauetan oinarritutako detekzioa konbinatzen dituzte.
DNS segurtasun-luzapenakDNS protokoloaren gehigarriak dira eta DNS erantzunak egiaztatzeko diseinatuta daude. DNSSEC-en segurtasun abantailek DNS datu autentifikatuen sinadura digitala eskatzen dute, prozesadorearen prozesu intentsiboa.
Firewall zerbitzu gisa (FWaaS)hodeian oinarritutako SWGSrekin oso lotuta dagoen teknologia berria da. Desberdintasuna arkitekturan dago, non FWaaS sarearen ertzean dauden puntuen eta gailuen arteko VPN konexioen bidez exekutatzen baita, baita hodeian segurtasun pila bat ere. Azken erabiltzaileak tokiko zerbitzuetara ere konekta ditzake VPN tunelen bidez. FWaaS gaur egun SWGS baino askoz gutxiago dira.
Argitalpenaren ordua: 2022-03-23