网络安全 — 安全架构

网络安全逻辑架构

• 网络安全架构（Network security architect）：指与云安全架构、网络安全架构和数据安全架构有关的一整套职责。企业机构可以根据自身的规模，为每一个网络安全架构领域单独指定一名负责的人员，也可以指定一名人员监督所有这些领域。无论采用哪种方法，企业机构都需要确定负责的人员并赋予他们做出关键任务决策的权力。
• 网络风险评估（Network risk assessment ）：指全面清查内部和外部怀有恶意或粗心的行动者可能利用网络来攻击联网资源的方式。企业机构能够通过全面的评估来定义风险，并通过安全控制措施来减轻风险。这些风险可能包括：
• • 对系统或流程理解不透彻
  • 难以衡量系统的风险水平
  • 同时受到业务和技术风险影响的 "混合" 系统
    *
• 零信任架构（Zero-Trust Architecture，ZTA）：是一种假设网络上的部分行动者具有敌意并且由于接入点数量过多而无法提供充分保护的网络安全范式。因此，保护网络上的资产而不是网络本身是一种有效的安全态势。代理会根据从应用、位置、用户、设备、时间、数据敏感性等综合环境因素计算出的风险状况，决定是否批准各个与用户有关的访问请求。正如其名，零信任架构是一个架构，而不是一个产品。虽然无法购买它，但可以使用这个列表中的一些技术元素来开发它。
• 网络防火墙（Network firewall）：是一种成熟、广为人知的安全产品，它通过一系列功能防止任何人直接访问企业机构应用和数据所在的网络服务器。网络防火墙具有的灵活性使其既可用于本地网络，也可用于云。而在云端，有专门用于云的产品，也有 IaaS 提供商部署的具有相同功能的策略。
• 安全网络网关（Secure web gateway）：的用途已经从过去的优化互联网带宽发展为保护用户免受互联网恶意内容的影响。诸如 URL 过滤、反恶意软件、解密和检查通过 HTTPS 访问的网站、数据丢失预防（DLP）、规定形式的云访问安全代理（CASB）等功能现已成为标准功能。
• 远程访问（Remote access）：对虚拟专用网络（VPN）的依赖性日益减少，而对零信任网络访问（ZTNA）的依赖性日益增加。零信任网络访问使资产对用户不可见并使用上下文配置文件方便对个别应用的访问。
• 入侵防御系统（IntrusionPrevention System，IPS）：为未修补的服务器部署检测和阻止攻击的 IPS 设备，从而保护无法修补的漏洞（例如在服务提供商不再支持的打包应用上）。IPS 功能通常包含在其他安全产品中，但也有独立的产品。由于云原生控制措施在加入 IPS 方面进展缓慢，IPS 正在 "东山再起"。
• 网络访问控制（Network access control ）：提供了对网络上一切内容的可见性以及基于策略的网络基础设施访问控制。策略可以根据用户的角色、认证或其他因素来定义访问权限。
• 网络数据包代理（Network packet broker）：设备通过处理网络流量，使其他监控设备能够更加有效地运行，例如：专门用于网络性能监控和安全相关监控的设备。其功能包括用于确定风险水平的分封数据过滤、分配数据包负载和基于硬件的时间戳插入等。
• 净化域名系统（SanitizedDomain Name System，DNS）：是厂商提供的作为企业机构域名系统运行的服务，可防止终端用户（包括远程工作者）访问有不良声誉的网站。
• DDoS 攻击缓解（DDoSmitigation）：限制了分布式拒绝服务（DDoS）攻击对网络运行的破坏性影响。这些产品采取多层策略来保护防火墙内的网络资源、位于本地但在网络防火墙之前的资源以及位于企业机构外部的资源，例如来自互联网服务提供商或内容交付网络的资源。
• 网络安全策略管理（NetworkSecurity Policy Management ，NSPM）：通过分析和审核来优化指导网络安全的规则并更改管理工作流程、规则测试以及合规性评估和可视化。NSPM 工具可以使用可视化网络地图显示叠加在多个网络路径上的所有设备和防火墙访问规则。
• 微分段（Microsegmentation）：可以抑制已经在网络上的攻击者在网络中为了访问关键资产而进行的横向移动。用于网络安全的微分段工具有三类：
• • 基于网络的工具部署在网络层面，通常与软件定义网络结合在一起并用于保护与网络连接的资产。
  • 基于管理程序的工具是最初形态的微分段，此类工具专门用于提高在不同管理程序之间移动的不透明网络流量的可见性。
  • 基于主机代理的工具会在将与网络其他部分隔离的主机上安装一个代理；主机代理解决方案在云工作负载、管理程序工作负载和物理服务器上同样有效。
    *
• 安全访问服务边缘（SecureAccess Service Edge ，SASE）：是一个新型框架，它将包括 SWG、SD-WAN 和 ZTNA 在内的全方位网络安全功能与综合全面的广域网功能相结合，帮助满足企业机构的安全访问需求。SASE 与其说是一个框架，不如说是一个概念，其目标是实现一个统一的安全服务模式，并且该模式能够以可扩展、灵活和低延迟的方式提供跨越整个网络的功能。
• 网络检测和响应（Networkdetection and response ）：持续分析入站和出站流量以及数据流记录，从而记录正常的网络行为，因此它可以识别异常情况并向企业机构发出提醒。这些工具能够结合使用机器学习（ML）、试探法、分析工具和基于规则的检测。
• DNS 安全扩展（DNSsecurity extensions）：是 DNS 协议的一项能够验证 DNS 响应的附加功能。DNSSEC 的安全优势在于要求对经过验证的 DNS 数据进行数字签名，而该流程极度消耗处理器资源。
• 防火墙即服务（Firewall asa Service ，FWaaS）：是一项与云端 SWG 密切相关的新技术。它的不同之处在于架构：FWaaS 通过端点和网络边缘设备之间的 VPN 连接以及云端的安全栈运行。它还可以通过 VPN 隧道连接终端用户与本地服务。FWaaS 的普及度远不如 SWG。