公有云、私有云、本地……如今,大量企業(yè)機構(gòu)網(wǎng)絡選擇的出現(xiàn)對網(wǎng)絡安全提出了新的要求。過去的“保護網(wǎng)絡周邊”模式已不再適用,網(wǎng)絡安全領導人正在采用新的方法。
Gartner高級研究總監(jiān)ThomasLintemuth表示:“網(wǎng)絡安全可能十分復雜,但它是所有其他信息安全系統(tǒng)的基礎。好消息是網(wǎng)絡安全已經(jīng)是一個成熟的市場,這個市場有強大、成熟的供應商,同時還有創(chuàng)新的初創(chuàng)企業(yè),他們不斷為我們帶來更好的新技術來維護網(wǎng)絡的安全并保護資產(chǎn)?!?/p>
本文將簡單介紹需要了解的關鍵現(xiàn)代化網(wǎng)絡安全架構(gòu)概念。從網(wǎng)絡安全領導人的角色和責任開始到邏輯架構(gòu),我們將通過描繪安全要求范圍為構(gòu)建網(wǎng)絡安全提供了一個堅實的基礎。
7個關鍵網(wǎng)絡安全概念
網(wǎng)絡安全架構(gòu)(Network security architect)指與云安全架構(gòu)、網(wǎng)絡安全架構(gòu)和數(shù)據(jù)安全架構(gòu)有關的一整套職責。企業(yè)機構(gòu)可以根據(jù)自身的規(guī)模,為每一個網(wǎng)絡安全架構(gòu)領域單獨指定一名負責的人員,也可以指定一名人員監(jiān)督所有這些領域。無論采用哪種方法,企業(yè)機構(gòu)都需要確定負責的人員并賦予他們做出關鍵任務決策的權(quán)力。
網(wǎng)絡風險評估(Network risk assessment )指全面清查內(nèi)部和外部懷有惡意或粗心的行動者可能利用網(wǎng)絡來攻擊聯(lián)網(wǎng)資源的方式。企業(yè)機構(gòu)能夠通過全面的評估來定義風險,并通過安全控制措施來減輕風險。這些風險可能包括:
對系統(tǒng)或流程理解不透徹
難以衡量系統(tǒng)的風險水平
同時受到業(yè)務和技術風險影響的“混合”系統(tǒng)
IT和業(yè)務利益相關者之間必須通過開展協(xié)作來了解風險范圍,這樣才能設計出實用的評估。這一合作流程以及創(chuàng)建一個了解風險全局的流程與確定一套最終風險要求同樣重要。
零信任架構(gòu)(Zero-Trust Architecture,ZTA)是一種假設網(wǎng)絡上的部分行動者具有敵意并且由于接入點數(shù)量過多而無法提供充分保護的網(wǎng)絡安全范式。因此,保護網(wǎng)絡上的資產(chǎn)而不是網(wǎng)絡本身是一種有效的安全態(tài)勢。代理會根據(jù)從應用、位置、用戶、設備、時間、數(shù)據(jù)敏感性等綜合環(huán)境因素計算出的風險狀況,決定是否批準各個與用戶有關的訪問請求。正如其名,零信任架構(gòu)是一個架構(gòu),而不是一個產(chǎn)品。雖然無法購買它,但可以使用這個列表中的一些技術元素來開發(fā)它。
網(wǎng)絡防火墻(Network firewall)是一種成熟、廣為人知的安全產(chǎn)品,它通過一系列功能防止任何人直接訪問企業(yè)機構(gòu)應用和數(shù)據(jù)所在的網(wǎng)絡服務器。網(wǎng)絡防火墻具有的靈活性使其既可用于本地網(wǎng)絡,也可用于云。而在云端,有專門用于云的產(chǎn)品,也有IaaS提供商部署的具有相同功能的策略。
安全網(wǎng)絡網(wǎng)關(Secure web gateway)的用途已經(jīng)從過去的優(yōu)化互聯(lián)網(wǎng)帶寬發(fā)展為保護用戶免受互聯(lián)網(wǎng)惡意內(nèi)容的影響。諸如URL過濾、反惡意軟件、解密和檢查通過HTTPS訪問的網(wǎng)站、數(shù)據(jù)丟失預防(DLP)、規(guī)定形式的云訪問安全代理(CASB)等功能現(xiàn)已成為標準功能。
遠程訪問(Remote access)對虛擬專用網(wǎng)絡(VPN)的依賴性日益減少,而對零信任網(wǎng)絡訪問(ZTNA)的依賴性日益增加。零信任網(wǎng)絡訪問使資產(chǎn)對用戶不可見并使用上下文配置文件方便對個別應用的訪問。
入侵防御系統(tǒng)(IntrusionPrevention System,IPS)為未修補的服務器部署檢測和阻止攻擊的IPS設備,從而保護無法修補的漏洞(例如在服務提供商不再支持的打包應用上)。IPS功能通常包含在其他安全產(chǎn)品中,但也有獨立的產(chǎn)品。由于云原生控制措施在加入IPS方面進展緩慢,IPS正在“東山再起”。
網(wǎng)絡訪問控制(Network access control )提供了對網(wǎng)絡上一切內(nèi)容的可見性以及基于策略的網(wǎng)絡基礎設施訪問控制。策略可以根據(jù)用戶的角色、認證或其他因素來定義訪問權(quán)限。
網(wǎng)絡數(shù)據(jù)包代理(Network packet broker)設備通過處理網(wǎng)絡流量,使其他監(jiān)控設備能夠更加有效地運行,例如專門用于網(wǎng)絡性能監(jiān)控和安全相關監(jiān)控的設備。其功能包括用于確定風險水平的分封數(shù)據(jù)過濾、分配數(shù)據(jù)包負載和基于硬件的時間戳插入等。
凈化域名系統(tǒng)(SanitizedDomain Name System,DNS)是廠商提供的作為企業(yè)機構(gòu)域名系統(tǒng)運行的服務,可防止終端用戶(包括遠程工作者)訪問有不良聲譽的網(wǎng)站。
DDoS攻擊緩解(DDoSmitigation)限制了分布式拒絕服務(DDoS)攻擊對網(wǎng)絡運行的破壞性影響。這些產(chǎn)品采取多層策略來保護防火墻內(nèi)的網(wǎng)絡資源、位于本地但在網(wǎng)絡防火墻之前的資源以及位于企業(yè)機構(gòu)外部的資源,例如來自互聯(lián)網(wǎng)服務提供商或內(nèi)容交付網(wǎng)絡的資源。
網(wǎng)絡安全策略管理(NetworkSecurity Policy Management ,NSPM)通過分析和審核來優(yōu)化指導網(wǎng)絡安全的規(guī)則并更改管理工作流程、規(guī)則測試以及合規(guī)性評估和可視化。NSPM工具可以使用可視化網(wǎng)絡地圖顯示疊加在多個網(wǎng)絡路徑上的所有設備和防火墻訪問規(guī)則。
微分段(Microsegmentation)可以抑制已經(jīng)在網(wǎng)絡上的攻擊者在網(wǎng)絡中為了訪問關鍵資產(chǎn)而進行的橫向移動。用于網(wǎng)絡安全的微分段工具有三類:
基于網(wǎng)絡的工具部署在網(wǎng)絡層面,通常與軟件定義網(wǎng)絡結(jié)合在一起并用于保護與網(wǎng)絡連接的資產(chǎn)。
基于管理程序的工具是最初形態(tài)的微分段,此類工具專門用于提高在不同管理程序之間移動的不透明網(wǎng)絡流量的可見性。
基于主機代理的工具會在將與網(wǎng)絡其他部分隔離的主機上安裝一個代理;主機代理解決方案在云工作負載、管理程序工作負載和物理服務器上同樣有效。
安全訪問服務邊緣(SecureAccess Service Edge ,SASE)是一個新型框架,它將包括SWG、SD-WAN和ZTNA在內(nèi)的全方位網(wǎng)絡安全功能與綜合全面的廣域網(wǎng)功能相結(jié)合,幫助滿足企業(yè)機構(gòu)的安全訪問需求。SASE與其說是一個框架,不如說是一個概念,其目標是實現(xiàn)一個統(tǒng)一的安全服務模式,并且該模式能夠以可擴展、靈活和低延遲的方式提供跨越整個網(wǎng)絡的功能。
網(wǎng)絡檢測和響應(Networkdetection and response )持續(xù)分析入站和出站流量以及數(shù)據(jù)流記錄,從而記錄正常的網(wǎng)絡行為,因此它可以識別異常情況并向企業(yè)機構(gòu)發(fā)出提醒。這些工具能夠結(jié)合使用機器學習(ML)、試探法、分析工具和基于規(guī)則的檢測。
DNS安全擴展(DNSsecurity extensions)是DNS協(xié)議的一項能夠驗證DNS響應的附加功能。DNSSEC的安全優(yōu)勢在于要求對經(jīng)過驗證的DNS數(shù)據(jù)進行數(shù)字簽名,而該流程極度消耗處理器資源。
防火墻即服務(Firewall asa Service ,F(xiàn)WaaS)是一項與云端SWG密切相關的新技術。它的不同之處在于架構(gòu):FWaaS通過端點和網(wǎng)絡邊緣設備之間的VPN連接以及云端的安全棧運行。它還可以通過VPN隧道連接終端用戶與本地服務。FWaaS的普及度遠不如SWG。