Broker di pacchetti di reteI dispositivi elaborano il traffico di rete in modo che altri dispositivi di monitoraggio, come quelli dedicati al monitoraggio delle prestazioni di rete e alla sicurezza, possano operare in modo più efficiente. Le funzionalità includono il filtraggio dei pacchetti per identificare i livelli di rischio, il carico dei pacchetti e l'inserimento di timestamp basato su hardware.
Architetto della sicurezza di reteSi riferisce a un insieme di responsabilità relative all'architettura di sicurezza del cloud, all'architettura di sicurezza della rete e all'architettura di sicurezza dei dati. A seconda delle dimensioni dell'organizzazione, potrebbe esserci un membro responsabile per ciascun dominio. In alternativa, l'organizzazione può scegliere un supervisore. In entrambi i casi, le organizzazioni devono definire chi è responsabile e autorizzarlo a prendere decisioni critiche per la missione.
La valutazione dei rischi di rete è un elenco completo dei modi in cui attacchi dannosi o mal indirizzati, interni o esterni, possono essere utilizzati per connettere le risorse. Una valutazione completa consente a un'organizzazione di definire i rischi e mitigarli attraverso controlli di sicurezza. Questi rischi possono includere:
- Comprensione insufficiente dei sistemi o dei processi
- Sistemi in cui è difficile misurare i livelli di rischio
- Sistemi "ibridi" che affrontano rischi aziendali e tecnici
Per sviluppare stime efficaci è necessaria la collaborazione tra gli stakeholder IT e aziendali per comprendere la portata del rischio. Lavorare insieme e creare un processo per comprendere il quadro generale del rischio è importante tanto quanto l'insieme finale dei rischi.
Architettura Zero Trust (ZTA)È un paradigma di sicurezza di rete che presuppone che alcuni visitatori della rete siano pericolosi e che ci siano troppi punti di accesso per essere completamente protetti. Pertanto, protegge efficacemente le risorse sulla rete piuttosto che la rete stessa. Essendo associato all'utente, l'agente decide se approvare ciascuna richiesta di accesso in base a un profilo di rischio calcolato in base a una combinazione di fattori contestuali come applicazione, posizione, utente, dispositivo, periodo di tempo, sensibilità dei dati e così via. Come suggerisce il nome, ZTA è un'architettura, non un prodotto. Non è possibile acquistarla, ma è possibile svilupparla in base ad alcuni degli elementi tecnici che contiene.
Firewall di reteè un prodotto di sicurezza maturo e ben noto, dotato di una serie di funzionalità progettate per impedire l'accesso diretto alle applicazioni e ai server dati dell'organizzazione ospitata. I firewall di rete offrono flessibilità sia per le reti interne che per il cloud. Per il cloud, esistono offerte incentrate sul cloud, nonché metodi implementati dai provider IaaS per implementare alcune delle stesse funzionalità.
Gateway Securewebsi sono evolute dall'ottimizzazione della larghezza di banda Internet alla protezione degli utenti dagli attacchi dannosi provenienti da Internet. Il filtraggio degli URL, l'antivirus, la decrittazione e l'ispezione dei siti web a cui si accede tramite HTTPS, la prevenzione delle violazioni dei dati (DLP) e forme limitate di agente di sicurezza per l'accesso al cloud (CASB) sono ormai funzionalità standard.
Accesso remotosi affida sempre meno alle VPN e sempre di più all'accesso di rete zero-trust (ZTNA), che consente agli utenti di accedere alle singole applicazioni utilizzando profili di contesto senza essere visibili alle risorse.
Sistemi di prevenzione delle intrusioni (IPS)Impedire che le vulnerabilità non corrette vengano attaccate collegando i dispositivi IPS a server non corretti per rilevare e bloccare gli attacchi. Le funzionalità IPS sono ormai spesso incluse in altri prodotti di sicurezza, ma esistono ancora prodotti stand-alone. Gli IPS stanno tornando a crescere man mano che il controllo cloud nativo li integra gradualmente nel processo.
Controllo dell'accesso alla reteFornisce visibilità a tutti i contenuti sulla rete e controllo dell'accesso all'infrastruttura di rete aziendale basata su policy. Le policy possono definire l'accesso in base al ruolo dell'utente, all'autenticazione o ad altri elementi.
Pulizia DNS (Domain Name System sanificato)è un servizio fornito dal fornitore che opera come Domain Name System di un'organizzazione per impedire agli utenti finali (inclusi i lavoratori da remoto) di accedere a siti poco affidabili.
DDoSmitigation (Mitigazione DDoS)Limita l'impatto distruttivo degli attacchi DDoS sulla rete. Il prodotto adotta un approccio multilivello per proteggere le risorse di rete all'interno del firewall, quelle distribuite davanti al firewall di rete e quelle esterne all'organizzazione, come le reti di risorse dei provider di servizi Internet o di distribuzione di contenuti.
Gestione delle policy di sicurezza della rete (NSPM)Comprende analisi e auditing per ottimizzare le regole che governano la sicurezza di rete, nonché flussi di lavoro di gestione delle modifiche, test delle regole, valutazione della conformità e visualizzazione. Lo strumento NSPM può utilizzare una mappa di rete visiva per mostrare tutti i dispositivi e le regole di accesso al firewall che coprono più percorsi di rete.
MicrosegmentazioneÈ una tecnica che impedisce agli attacchi di rete già in corso di spostarsi orizzontalmente per accedere a risorse critiche. Gli strumenti di microisolamento per la sicurezza di rete rientrano in tre categorie:
- Strumenti basati sulla rete distribuiti a livello di rete, spesso insieme a reti definite dal software, per proteggere le risorse connesse alla rete.
- Gli strumenti basati su hypervisor sono forme primitive di segmenti differenziali per migliorare la visibilità del traffico di rete opaco che si sposta tra hypervisor.
- Strumenti basati su agenti host che installano gli agenti sugli host che desiderano isolare dal resto della rete; la soluzione dell'agente host funziona altrettanto bene per carichi di lavoro cloud, carichi di lavoro hypervisor e server fisici.
Servizio di accesso sicuro Edge (SASE)è un framework emergente che combina funzionalità complete di sicurezza di rete, come SWG, SD-WAN e ZTNA, con funzionalità WAN complete per supportare le esigenze di accesso sicuro delle organizzazioni. Più che un framework, SASE mira a fornire un modello di servizio di sicurezza unificato che distribuisca funzionalità su tutte le reti in modo scalabile, flessibile e a bassa latenza.
Rilevamento e risposta in rete (NDR)Analizza costantemente il traffico in entrata e in uscita e i log del traffico per registrare il normale comportamento della rete, in modo da poter identificare anomalie e segnalarle alle organizzazioni. Questi strumenti combinano apprendimento automatico (ML), euristica, analisi e rilevamento basato su regole.
Estensioni di sicurezza DNSSono componenti aggiuntivi del protocollo DNS e sono progettati per verificare le risposte DNS. I vantaggi in termini di sicurezza di DNSSEC richiedono la firma digitale dei dati DNS autenticati, un processo che richiede un elevato utilizzo di risorse di elaborazione.
Firewall come servizio (FWaaS)è una nuova tecnologia strettamente correlata a SWGS basato su cloud. La differenza sta nell'architettura, dove FWaaS opera tramite connessioni VPN tra endpoint e dispositivi ai margini della rete, oltre a uno stack di sicurezza nel cloud. Può anche connettere gli utenti finali ai servizi locali tramite tunnel VPN. FWaaS è attualmente molto meno diffuso di SWGS.
Data di pubblicazione: 23 marzo 2022
