ネットワークパケットブローカーデバイスは、ネットワーク パフォーマンスの監視やセキュリティ関連の監視専用の他の監視デバイスなど、より効率的に動作できるように、ネットワーク トラフィックを処理します。機能には、リスク レベル、パケット負荷、ハードウェア ベースのタイムスタンプ挿入を識別するパケット フィルタリングが含まれます。
ネットワークセキュリティアーキテクトクラウド セキュリティ アーキテクチャ、ネットワーク セキュリティ アーキテクチャ、およびデータ セキュリティ アーキテクチャに関連する一連の責任を指します。組織の規模によっては、各ドメインを担当するメンバーが 1 人いる場合があります。あるいは、組織がスーパーバイザーを選ぶこともあります。いずれにせよ、組織は誰が責任者であるかを定義し、ミッションクリティカルな意思決定を行えるようにする必要があります。
ネットワーク リスク評価は、内部または外部の悪意のある攻撃または誤った方向の攻撃がリソースに接続するために使用される可能性がある方法の完全なリストです。包括的な評価により、組織はリスクを定義し、セキュリティ管理を通じてリスクを軽減できます。これらのリスクには次のものが含まれる可能性があります。
- システムまたはプロセスの理解が不十分
- リスクレベルの測定が難しいシステム
- ビジネス上および技術上のリスクに直面する「ハイブリッド」システム
効果的な見積もりを作成するには、IT 部門とビジネス関係者が協力してリスクの範囲を理解する必要があります。協力してより広範なリスクの全体像を理解するプロセスを作成することは、最終的なリスクセットと同じくらい重要です。
ゼロトラスト アーキテクチャ (ZTA)は、ネットワーク上の一部の訪問者は危険であり、完全に保護するにはアクセス ポイントが多すぎることを前提としたネットワーク セキュリティ パラダイムです。したがって、ネットワーク自体ではなく、ネットワーク上の資産を効果的に保護します。エージェントはユーザーに関連付けられているため、アプリケーション、場所、ユーザー、デバイス、期間、データ機密性などのコンテキスト要因の組み合わせに基づいて計算されたリスク プロファイルに基づいて、各アクセス リクエストを承認するかどうかを決定します。名前が示すように、ZTA は製品ではなくアーキテクチャです。購入することはできませんが、それに含まれる技術要素の一部に基づいて開発することはできます。
ネットワークファイアウォールは、ホストされている組織のアプリケーションやデータ サーバーへの直接アクセスを防止するために設計された一連の機能を備えた、成熟したよく知られたセキュリティ製品です。ネットワーク ファイアウォールは、内部ネットワークとクラウドの両方に柔軟性を提供します。クラウドの場合は、クラウド中心の製品のほか、同じ機能の一部を実装するために IaaS プロバイダーによって展開される方法もあります。
セキュアウェブゲートウェイインターネット帯域幅の最適化から、インターネットからの悪意のある攻撃からユーザーを保護することへと進化してきました。 URL フィルタリング、ウイルス対策、HTTPS 経由でアクセスされる Web サイトの復号化と検査、データ侵害防止 (DLP)、および限定された形式のクラウド アクセス セキュリティ エージェント (CASB) が標準機能になりました。
リモートアクセスVPN への依存度はますます低くなり、ゼロトラスト ネットワーク アクセス (ZTNA) への依存度が高まっています。ZTNA により、ユーザーは資産に表示されずにコンテキスト プロファイルを使用して個々のアプリケーションにアクセスできるようになります。
侵入防御システム (IPS)IPS デバイスをパッチが適用されていないサーバーに接続し、攻撃を検出してブロックすることで、パッチが適用されていない脆弱性が攻撃されるのを防ぎます。現在、IPS 機能は他のセキュリティ製品に組み込まれていることが多いですが、スタンドアロン製品もまだ存在します。クラウドネイティブ制御が徐々にプロセスに組み込まれるにつれて、IPS が再び上昇し始めています。
ネットワークアクセス制御ネットワーク上のすべてのコンテンツの可視性と、ポリシーベースの企業ネットワーク インフラストラクチャへのアクセス制御を提供します。ポリシーは、ユーザーのロール、認証、またはその他の要素に基づいてアクセスを定義できます。
DNSクレンジング(サニタイズドドメインネームシステム)は、エンド ユーザー (リモート ワーカーを含む) が評判の悪いサイトにアクセスするのを防ぐために、組織のドメイン ネーム システムとして動作するベンダー提供のサービスです。
DDoSmitigation (DDoS 軽減)ネットワーク上の分散型サービス拒否攻撃による破壊的な影響を制限します。この製品は、ファイアウォール内部のネットワーク リソース、ネットワーク ファイアウォールの前面に展開されているネットワーク リソース、およびインターネット サービス プロバイダーやコンテンツ配信からのリソースのネットワークなどの組織外部のネットワーク リソースを保護するために、多層アプローチを採用しています。
ネットワーク セキュリティ ポリシー管理 (NSPM)これには、ネットワーク セキュリティを管理するルールを最適化するための分析と監査のほか、変更管理ワークフロー、ルール テスト、コンプライアンス評価、視覚化が含まれます。 NSPM ツールは、ビジュアル ネットワーク マップを使用して、複数のネットワーク パスをカバーするすべてのデバイスとファイアウォール アクセス ルールを表示できます。
マイクロセグメンテーションすでに発生しているネットワーク攻撃が水平方向に移動して重要な資産にアクセスすることを防ぐ技術です。ネットワーク セキュリティのためのマイクロアイソレーション ツールは、次の 3 つのカテゴリに分類されます。
- ネットワークに接続されている資産を保護するために、ネットワーク層に展開されるネットワーク ベースのツール。多くの場合、ソフトウェア デファインド ネットワークと連携します。
- ハイパーバイザーベースのツールは、ハイパーバイザー間を移動する不透明なネットワークトラフィックの可視性を向上させるための差分セグメントの原始的な形式です。
- ネットワークの残りの部分から隔離したいホストにエージェントをインストールするホスト エージェント ベースのツール。ホスト エージェント ソリューションは、クラウド ワークロード、ハイパーバイザー ワークロード、物理サーバーに対して同様に機能します。
セキュア アクセス サービス エッジ (SASE)は、SWG、SD-WAN、ZTNA などの包括的なネットワーク セキュリティ機能と、組織のセキュア アクセス ニーズをサポートする包括的な WAN 機能を組み合わせた新しいフレームワークです。 SASE はフレームワークというより概念であり、スケーラブルかつ柔軟で低遅延の方法でネットワーク全体に機能を提供する統合セキュリティ サービス モデルを提供することを目的としています。
ネットワークの検出と応答 (NDR)インバウンドおよびアウトバウンドのトラフィックとトラフィック ログを継続的に分析して通常のネットワーク動作を記録するため、異常を特定して組織に警告できます。これらのツールは、機械学習 (ML)、ヒューリスティック、分析、ルールベースの検出を組み合わせています。
DNS セキュリティ拡張機能は DNS プロトコルのアドオンであり、DNS 応答を検証するように設計されています。 DNSSEC のセキュリティ上の利点には、認証された DNS データのデジタル署名が必要であり、これはプロセッサを集中的に使用するプロセスです。
サービスとしてのファイアウォール (FWaaS)は、クラウドベースの SWGS と密接に関連した新しいテクノロジーです。違いはアーキテクチャにあり、FWaaS はネットワークのエッジにあるエンドポイントとデバイス間の VPN 接続、およびクラウド内のセキュリティ スタックを通じて実行されます。また、VPN トンネルを通じてエンドユーザーをローカル サービスに接続することもできます。 FWaaS は現在、SWGS よりもはるかに一般的ではありません。
投稿日時: 2022 年 3 月 23 日
