ネットワークパケットブローカーデバイスはネットワークトラフィックを処理し、ネットワークパフォーマンス監視やセキュリティ関連監視などの他の監視デバイスがより効率的に動作できるようにします。機能には、リスクレベル、パケット負荷を識別するためのパケットフィルタリング、ハードウェアベースのタイムスタンプ挿入などがあります。
ネットワークセキュリティアーキテクトクラウドセキュリティアーキテクチャ、ネットワークセキュリティアーキテクチャ、データセキュリティアーキテクチャに関連する一連の責任を指します。組織の規模によっては、各ドメインに1名ずつ責任者を配置する場合もあります。あるいは、組織が監督者を選任する場合もあります。いずれの場合も、組織は責任者を定め、ミッションクリティカルな意思決定を行う権限を与える必要があります。
ネットワークリスクアセスメントとは、内部または外部からの悪意のある攻撃や誤った方向への攻撃がリソースへの接続に利用される可能性のある方法を網羅的にリスト化したものです。包括的なアセスメントにより、組織はリスクを定義し、セキュリティ対策を通じてリスクを軽減することができます。これらのリスクには以下が含まれます。
- システムやプロセスに対する理解不足
- リスクレベルを測定するのが難しいシステム
- ビジネス上および技術上のリスクに直面している「ハイブリッド」システム
効果的な見積りを作成するには、IT部門とビジネス部門のステークホルダーが連携し、リスクの範囲を把握する必要があります。より広範なリスクの全体像を把握するためのプロセスを構築し、協力して取り組むことは、最終的なリスクセットの策定と同じくらい重要です。
ゼロトラストアーキテクチャ(ZTA)ネットワークセキュリティパラダイムは、ネットワーク上の訪問者の一部が危険であり、アクセスポイントが多すぎて完全に保護できないという前提に基づいています。したがって、ネットワーク自体ではなく、ネットワーク上の資産を効果的に保護します。エージェントはユーザーに関連付けられているため、アプリケーション、場所、ユーザー、デバイス、期間、データの機密性などのコンテキスト要因の組み合わせに基づいて計算されたリスクプロファイルに基づいて、各アクセス要求を承認するかどうかを決定します。その名前が示すように、ZTAは製品ではなくアーキテクチャです。購入することはできませんが、含まれる技術要素の一部に基づいて開発することは可能です。
ネットワークファイアウォール成熟した定評のあるセキュリティ製品であり、ホストされた組織のアプリケーションやデータサーバーへの直接アクセスを阻止するための一連の機能を備えています。ネットワークファイアウォールは、社内ネットワークとクラウドの両方に柔軟性を提供します。クラウド向けには、クラウド中心の製品や、IaaSプロバイダーが同様の機能の一部を実装する方法が存在します。
セキュアウェブゲートウェイセキュリティは、インターネット帯域幅の最適化から、インターネットからの悪意のある攻撃からユーザーを保護することへと進化してきました。URL フィルタリング、ウイルス対策、HTTPS 経由でアクセスされる Web サイトの復号化と検査、データ侵害防止 (DLP)、および限定的な形式のクラウド アクセス セキュリティ エージェント (CASB) が、現在では標準機能となっています。
リモートアクセスVPN への依存度は低下し、ゼロトラスト ネットワーク アクセス (ZTNA) への依存度は高まっています。これにより、ユーザーは資産に認識されることなくコンテキスト プロファイルを使用して個々のアプリケーションにアクセスできます。
侵入防止システム(IPS)パッチ未適用のサーバーにIPSデバイスを接続し、攻撃を検知・ブロックすることで、パッチ未適用の脆弱性への攻撃を防止します。IPS機能は現在、他のセキュリティ製品に組み込まれていることが多くなっていますが、スタンドアロン製品も依然として存在します。クラウドネイティブ制御によってIPSが徐々にプロセスに組み込まれるようになり、再び注目を集め始めています。
ネットワークアクセス制御ネットワーク上のすべてのコンテンツを可視化し、ポリシーベースの企業ネットワークインフラストラクチャへのアクセスを制御します。ポリシーでは、ユーザーの役割、認証、その他の要素に基づいてアクセスを定義できます。
DNSクレンジング(サニタイズされたドメインネームシステム)は、組織のドメイン ネーム システムとして動作し、エンド ユーザー (リモート ワーカーを含む) が評判の悪いサイトにアクセスするのを防ぐベンダー提供のサービスです。
DDoS緩和(DDoS緩和)ネットワークに対する分散型サービス拒否攻撃(DDoS)による破壊的な影響を最小限に抑えます。本製品は、ファイアウォール内部のネットワークリソース、ネットワークファイアウォールの手前に展開されたリソース、そしてインターネットサービスプロバイダやコンテンツ配信のリソースネットワークなど、組織外部のネットワークリソースを保護する多層アプローチを採用しています。
ネットワーク セキュリティ ポリシー管理 (NSPM)ネットワークセキュリティを管理するルールを最適化するための分析と監査に加え、変更管理ワークフロー、ルールテスト、コンプライアンス評価、可視化といった機能も備えています。NSPMツールは、視覚的なネットワークマップを使用して、複数のネットワークパスをカバーするすべてのデバイスとファイアウォールアクセスルールを表示できます。
マイクロセグメンテーションすでに発生しているネットワーク攻撃が水平方向に広がり、重要な資産にアクセスするのを防ぐ技術です。ネットワークセキュリティのためのマイクロアイソレーションツールは、以下の3つのカテゴリーに分類されます。
- ネットワークに接続された資産を保護するために、ネットワーク層に導入されるネットワークベースのツール。多くの場合、ソフトウェア定義ネットワークと組み合わせて使用されます。
- ハイパーバイザーベースのツールは、ハイパーバイザー間を移動する不透明なネットワーク トラフィックの可視性を向上させるための差分セグメントの原始的な形式です。
- ネットワークの残りの部分から分離するホストにエージェントをインストールするホストエージェントベースのツール。ホストエージェントソリューションは、クラウドワークロード、ハイパーバイザーワークロード、物理サーバーで同様に機能します。
セキュア アクセス サービス エッジ (SASE)SASEは、SWG、SD-WAN、ZTNAといった包括的なネットワークセキュリティ機能と、組織のセキュアアクセスニーズに対応する包括的なWAN機能を統合した、新たなフレームワークです。フレームワークというよりはむしろコンセプトであり、ネットワーク全体にわたってスケーラブルで柔軟性が高く、低レイテンシな機能を提供する統合セキュリティサービスモデルの提供を目指しています。
ネットワーク検出および対応(NDR)受信トラフィックと送信トラフィック、そしてトラフィックログを継続的に分析し、正常なネットワーク動作を記録することで、異常を特定し、組織にアラートを通知します。これらのツールは、機械学習(ML)、ヒューリスティック分析、分析、そしてルールベースの検出を組み合わせています。
DNSセキュリティ拡張DNSプロトコルのアドオンであり、DNS応答を検証するように設計されています。DNSSECのセキュリティ上の利点を得るには、認証されたDNSデータへのデジタル署名が必要であり、これはプロセッサを集中的に使用するプロセスです。
ファイアウォール・アズ・ア・サービス (FWaaS)クラウドベースのSWGSと密接に関連する新しいテクノロジーです。違いはアーキテクチャにあり、FWaaSはエンドポイントとネットワークエッジのデバイス間のVPN接続とクラウド内のセキュリティスタックを介して実行されます。また、VPNトンネルを介してエンドユーザーをローカルサービスに接続することもできます。FWaaSは現在、SWGSよりもはるかに普及していません。
投稿日時: 2022年3月23日
