應該了解的17個網絡安全概念 - 網安 - 專業的網絡安全產業、社區、知識平臺

近日，Gartner發布了17個應該了解的網絡安全概念，同時給出了一張網絡安全邏輯架構圖。提供了了解現代網絡安全架構的關鍵概念基礎。突然感覺，一切好像都不一樣了，網絡已經不再是我們所熟悉的樣子，從這張拓撲圖中可以看到，新環境下無邊界網絡的樣式。

這些關鍵概念包括：

網絡安全架構（Network security architect）是指與云安全架構、網絡安全架構和數據安全架構相關的一系列職責。根據組織的規模，可能每個域有一位成員負責。或者，組織可能選擇一位監督人員。無論采用何種方法，組織都需要定義誰該為此負責，并賦予他們做出關鍵任務決策的權力。

網絡風險評估（Network risk assessment）是對內外部惡意或失誤造成的，可能被用于網絡攻擊連接資源方式的完整清單。全面的評估允許組織定義風險并通過安全控制來減輕風險。這些風險可能包括：

對系統或流程了解不足
難以衡量風險水平的系統
面臨業務和技術風險的“混合”系統

制定有效的評估需要IT和業務利益相關者相互協作，以了解風險的范圍。共同努力并創建一個了解更大范圍風險全景的過程與最終的風險集合同樣重要。

零信任架構（ZTA）是一種網絡安全范式，其假設網絡上的某些訪問者是危險的，并且有太多的接入點無法完全保護。因此，有效的保護網絡上的資產而不是網絡本身。由于它與用戶相關聯，代理會根據風險概況來決定是否批準每個訪問請求，該風險概況根據應用程序、位置、用戶、設備、時間段、數據敏感性等組合上下文因素計算得出。顧名思義，ZTA 是一種架構，而不是一種產品。你買不到，但是，可以根據其包含的一些技術元素進行開發。

網絡防火墻（Network firewall）是一種成熟且眾所周知的安全產品，具有一系列旨在防止直接訪問托管組織應用和數據服務器的功能。網絡防火墻提供了靈活性，可用于內部網絡和云。對于云，有以云為中心的產品，以及IaaS提供商部署的方法來實現一些相同的功能。

安全Web網關（Secureweb gateway）已經從其過去優化互聯網帶寬演變為保護用戶免受來自互聯網的惡意侵害。URL過濾、反病毒、解密和檢查通過HTTPS訪問的網站、數據防泄露(DLP)和有限形式的云訪問安全代理(CASB)等功能現已成為標配。

遠程訪問（Remote access）對VPN的依賴越來越弱，但對零信任網絡訪問（ZTNA）的依賴逐漸增強，它使用戶在對資產不可見的情況下，利用上下文配置文件來實現對單個應用的訪問。

入侵防御系統(IPS) 通過將IPS設備與未打補丁的服務器連接在一起來檢測并阻止攻擊，從而防止未修補的漏洞被攻擊。IPS功能現在通常包含在其他安全產品中，但也仍存在獨立產品。IPS正開始再次興起，因為云原生控制在慢慢將其納入過程中。

網絡訪問控制（Network access control）提供對網絡上所有內容的可見性以及對基于策略法人網絡基礎設施訪問的控制。策略可以根據用戶的角色、身份驗證或其他元素來定義訪問。

網絡數據包代理（Network packet broker）設備處理網絡流量，以便其他監控設備（例如專門用于網絡性能監控和安全相關監控的設備）可以更有效地運行。功能包括用于識別風險級別的數據包過濾、數據包負載和基于硬件的時間戳插入等。

DNS清洗（SanitizedDomain Name System）是供應商提供的服務，作為組織的域名系統運行，可防止終端用戶（包括遠程工作人員）訪問聲譽不佳的站點。

DDoS緩解（DDoSmitigation）限制了分布式拒絕服務攻擊對網絡的破壞性影響。產品采用多層方式保護防火墻內部的網絡資源、部署在網絡防火墻前面的資源以及組織外部的資源，例如來自互聯網服務提供商或內容交付的資源網絡。

網絡安全策略管理（Network Security PolicyManagement, NSPM）涉及分析和審計以優化指導網絡安全的規則，以及變更管理工作流、規則測試、合規性評估和可視化。NSPM工具可以使用可視化網絡地圖，顯示覆蓋在多個網絡路徑上的所有設備和防火墻訪問規則。

微隔離（Microsegmentation）是一種技術，可以阻止已經發生的網絡攻擊在其橫向移動以訪問關鍵資產。用于網絡安全的微隔離工具分為三類：

部署在網絡層的基于網絡的工具，通常與軟件定義網絡結合使用，用于保護連接到網絡的資產。
基于管理程序的工具是微分段的原始形式，用于提高不同管理程序之間移動的不透明網絡流量的可見性。
基于主機代理的工具，在其想要與網絡其余部分隔離的主機上安裝代理；主機代理解決方案同樣適用于云工作負載、管理程序工作負載和物理服務器。

安全訪問服務邊緣（Secure Access Service Edge, SASE）是一種新興框架，它結合了全面的網絡安全功能，例如SWG、SD-WAN和ZTNA等，以及全面的WAN功能，可支持組織的安全訪問需求。SASE更像是一個概念而非框架，其目標是提供統一的安全服務模型，以可擴展、靈活和低延遲的方式跨網絡提供功能。

網絡檢測和響應（Network detection and response, NDR）持續分析入站和出站流量和流量記錄，以記錄正常的網絡行為，因此可以識別異常情況并向組織發出警報。這些工具結合了機器學習(ML)、啟發式、分析和基于規則的檢測。

DNS安全擴展（DNSsecurity extensions）是DNS協議的附加組件，旨在驗證DNS響應。DNSSEC的安全優勢需要對經過驗證的DNS數據進行數字簽名，這是一個處理器密集型過程。

防火墻即服務（FWaaS）是一種與基于云的SWG密切相關的新技術。不同之處在于架構，FWaaS通過端點和網絡邊緣設備之間的VPN連接以及云中的安全堆棧運行。它還可以通過VPN隧道將最終用戶連接到本地服務。FWaaS當前還遠不如SWG常見。