Broker di pacchetti di reteI dispositivi elaborano il traffico di rete in modo che altri dispositivi di monitoraggio, come quelli dedicati al monitoraggio delle prestazioni di rete e al monitoraggio della sicurezza, possano operare in modo più efficiente. Le funzionalità includono il filtraggio dei pacchetti per identificare i livelli di rischio, il carico dei pacchetti e l'inserimento di timestamp basati su hardware.
Architetto della sicurezza di reteSi riferisce a un insieme di responsabilità relative all'architettura di sicurezza del cloud, all'architettura di sicurezza di rete e all'architettura di sicurezza dei dati. A seconda delle dimensioni dell'organizzazione, potrebbe esserci un membro responsabile per ciascun dominio. In alternativa, l'organizzazione può nominare un supervisore. In entrambi i casi, le organizzazioni devono definire chi è responsabile e conferirgli l'autorità necessaria per prendere decisioni cruciali.
La valutazione del rischio di rete è un elenco completo dei modi in cui attacchi malevoli o mal indirizzati, interni o esterni, possono essere utilizzati per connettere le risorse. Una valutazione completa consente a un'organizzazione di definire i rischi e mitigarli attraverso controlli di sicurezza. Questi rischi possono includere:
- Comprensione insufficiente dei sistemi o dei processi
- Sistemi per i quali è difficile misurare i livelli di rischio
- Sistemi "ibridi" esposti a rischi aziendali e tecnici
Lo sviluppo di stime efficaci richiede la collaborazione tra i responsabili IT e quelli aziendali per comprendere la portata del rischio. Lavorare insieme e creare un processo per comprendere il quadro generale del rischio è altrettanto importante quanto la definizione finale del set di rischi.
Architettura Zero Trust (ZTA)ZTA è un paradigma di sicurezza di rete che presuppone che alcuni visitatori della rete siano pericolosi e che vi siano troppi punti di accesso per poterli proteggere completamente. Pertanto, si concentra sulla protezione delle risorse presenti nella rete piuttosto che sulla rete stessa. Essendo associato all'utente, l'agente decide se approvare ogni richiesta di accesso in base a un profilo di rischio calcolato a partire da una combinazione di fattori contestuali quali applicazione, posizione, utente, dispositivo, periodo di tempo, sensibilità dei dati e così via. Come suggerisce il nome, ZTA è un'architettura, non un prodotto. Non è acquistabile, ma è possibile svilupparla a partire da alcuni degli elementi tecnici che contiene.
Firewall di reteÈ un prodotto di sicurezza maturo e ben noto, dotato di una serie di funzionalità progettate per impedire l'accesso diretto alle applicazioni e ai server dati aziendali ospitati. I firewall di rete offrono flessibilità sia per le reti interne che per il cloud. Per il cloud, esistono offerte specifiche per il cloud, così come metodi implementati dai provider IaaS per replicare alcune delle stesse funzionalità.
Gateway SecureWebSi è passati dall'ottimizzazione della larghezza di banda Internet alla protezione degli utenti da attacchi dannosi provenienti da Internet. Il filtraggio degli URL, l'antivirus, la decrittazione e l'ispezione dei siti web accessibili tramite HTTPS, la prevenzione delle violazioni dei dati (DLP) e forme limitate di agenti di sicurezza per l'accesso al cloud (CASB) sono ormai funzionalità standard.
Accesso remotosi affida sempre meno alle VPN e sempre più all'accesso alla rete a fiducia zero (ZTNA), che consente agli utenti di accedere alle singole applicazioni utilizzando profili di contesto senza essere visibili alle risorse.
Sistemi di prevenzione delle intrusioni (IPS)Prevenire gli attacchi alle vulnerabilità non corrette collegando i dispositivi IPS ai server non aggiornati per rilevare e bloccare gli attacchi. Le funzionalità IPS sono ora spesso incluse in altri prodotti di sicurezza, ma esistono ancora prodotti autonomi. Gli IPS stanno riemergendo grazie alla graduale integrazione nei processi di controllo nativi del cloud.
Controllo dell'accesso alla reteFornisce visibilità su tutti i contenuti presenti in rete e controllo dell'accesso all'infrastruttura di rete aziendale basata su policy. Le policy possono definire l'accesso in base al ruolo dell'utente, all'autenticazione o ad altri elementi.
Pulizia DNS (sistema dei nomi di dominio sanificato)è un servizio fornito da un fornitore che opera come sistema dei nomi di dominio (DNS) di un'organizzazione per impedire agli utenti finali (inclusi i lavoratori da remoto) di accedere a siti web di dubbia reputazione.
Mitigazione DDoS (mitigazione DDoS)Limita l'impatto distruttivo degli attacchi DDoS (Distributed Denial of Service) sulla rete. Il prodotto adotta un approccio multilivello per proteggere le risorse di rete all'interno del firewall, quelle implementate a monte del firewall e quelle esterne all'organizzazione, come le reti di risorse dei provider di servizi Internet o di distribuzione dei contenuti.
Gestione delle politiche di sicurezza di rete (NSPM)Comprende analisi e verifiche per ottimizzare le regole che governano la sicurezza di rete, nonché flussi di lavoro di gestione delle modifiche, test delle regole, valutazione della conformità e visualizzazione. Lo strumento NSPM può utilizzare una mappa di rete visiva per mostrare tutti i dispositivi e le regole di accesso del firewall che coprono più percorsi di rete.
MicrosegmentazioneÈ una tecnica che impedisce agli attacchi di rete già in corso di propagarsi orizzontalmente per accedere a risorse critiche. Gli strumenti di microisolamento per la sicurezza di rete si suddividono in tre categorie:
- Strumenti basati sulla rete, distribuiti a livello di rete, spesso in combinazione con reti definite dal software, per proteggere le risorse connesse alla rete.
- Gli strumenti basati su hypervisor sono forme primitive di segmenti differenziali per migliorare la visibilità del traffico di rete opaco che si sposta tra gli hypervisor.
- Strumenti basati su agenti host che installano agenti sugli host che si desidera isolare dal resto della rete; la soluzione basata su agenti host funziona altrettanto bene per carichi di lavoro cloud, carichi di lavoro hypervisor e server fisici.
Servizio di accesso sicuro (SASE)SASE è un framework emergente che combina funzionalità complete di sicurezza di rete, come SWG, SD-WAN e ZTNA, nonché funzionalità WAN complete per supportare le esigenze di accesso sicuro delle organizzazioni. Più che un framework, SASE è un concetto che mira a fornire un modello di servizio di sicurezza unificato in grado di offrire funzionalità su diverse reti in modo scalabile, flessibile e a bassa latenza.
Rilevamento e risposta di rete (NDR)Analizza continuamente il traffico in entrata e in uscita e i relativi registri per registrare il normale comportamento della rete, in modo da poter identificare le anomalie e segnalarle alle organizzazioni. Questi strumenti combinano apprendimento automatico (ML), euristiche, analisi e rilevamento basato su regole.
Estensioni di sicurezza DNSSi tratta di componenti aggiuntivi del protocollo DNS, progettati per verificare le risposte DNS. I vantaggi in termini di sicurezza offerti da DNSSEC richiedono la firma digitale dei dati DNS autenticati, un processo che richiede un'elevata potenza di calcolo.
Firewall come servizio (FWaaS)Si tratta di una nuova tecnologia strettamente correlata al SWGS basato su cloud. La differenza risiede nell'architettura, in cui FWaaS funziona tramite connessioni VPN tra endpoint e dispositivi ai margini della rete, nonché tramite uno stack di sicurezza nel cloud. Può anche connettere gli utenti finali ai servizi locali tramite tunnel VPN. Attualmente, FWaaS è molto meno diffuso di SWGS.
Data di pubblicazione: 23 marzo 2022
