Тармактык пакет брокеритүзмөктөр тармак трафигин иштетет, ошондуктан тармактын иштешин көзөмөлдөө жана коопсуздукка байланыштуу мониторинг жүргүзүүгө арналган башка мониторинг түзмөктөрү натыйжалуураак иштей алат. Функцияларга тобокелдик деңгээлин аныктоо үчүн пакеттерди чыпкалоо, пакет жүктөмдөрү жана жабдыкка негизделген убакыт белгисин киргизүү кирет.
Тармактык коопсуздук архитекторубулут коопсуздугу архитектурасына, тармактык коопсуздук архитектурасына жана маалыматтардын коопсуздугу архитектурасына байланыштуу милдеттердин жыйындысын билдирет. Уюмдун көлөмүнө жараша, ар бир домен үчүн бирден мүчө жооптуу болушу мүмкүн. Же болбосо, уюм жетекчини тандай алат. Кандай болгон күндө да, уюмдар ким жооптуу экенин аныктап, аларга маанилүү чечимдерди кабыл алууга мүмкүнчүлүк бериши керек.
Тармактык тобокелдиктерди баалоо – бул ички же тышкы зыяндуу же туура эмес багытталган чабуулдарды ресурстарды туташтыруу үчүн колдонуунун толук тизмеси. Комплекстүү баалоо уюмга тобокелдиктерди аныктоого жана аларды коопсуздукту көзөмөлдөө аркылуу азайтууга мүмкүндүк берет. Бул тобокелдиктерге төмөнкүлөр кириши мүмкүн:
- Системаларды же процесстерди жетишсиз түшүнүү
- Тобокелдик деңгээлин өлчөө кыйын болгон системалар
- бизнес жана техникалык тобокелдиктерге туш болгон "гибриддик" системалар
Натыйжалуу баалоолорду иштеп чыгуу үчүн IT жана бизнес кызыкдар тараптардын ортосундагы кызматташуу талап кылынат, бул тобокелдиктин көлөмүн түшүнүү үчүн зарыл. Тобокелдиктин кеңири сүрөтүн түшүнүү үчүн биргелешип иштөө жана процессти түзүү акыркы тобокелдиктерди аныктоо сыяктуу эле маанилүү.
Нөлдүк ишеним архитектурасы (ZTA)тармактык коопсуздук парадигмасы болуп саналат, ал тармактагы айрым коноктор кооптуу жана толук коргоо үчүн өтө көп кирүү чекиттери бар деп болжолдойт. Ошондуктан, тармактын өзүн эмес, тармактагы активдерди натыйжалуу коргоңуз. Ал колдонуучу менен байланышкандыктан, агент ар бир кирүү өтүнүчүн тиркеме, жайгашкан жер, колдонуучу, түзмөк, убакыт аралыгы, маалыматтардын сезгичтиги жана башкалар сыяктуу контексттик факторлордун айкалышына негизделген тобокелдик профилинин негизинде бекитүү же бекитпөө чечимин кабыл алат. Аты айтып тургандай, ZTA - бул продукт эмес, архитектура. Аны сатып ала албайсыз, бирок аны анда камтылган кээ бир техникалык элементтердин негизинде иштеп чыга аласыз.
Тармактык брандмауэрхостингдик уюмдун тиркемелерине жана маалымат серверлерине түз кирүүгө жол бербөө үчүн иштелип чыккан бир катар функциялары бар жетилген жана белгилүү коопсуздук продуктусу. Тармактык брандмауэрлер ички тармактар жана булут үчүн ийкемдүүлүктү камсыз кылат. Булут үчүн булутка багытталган сунуштар, ошондой эле IaaS провайдерлери тарабынан ошол эле мүмкүнчүлүктөрдүн айрымдарын ишке ашыруу үчүн колдонулган ыкмалар бар.
Secureweb шлюзуИнтернет өткөрүү жөндөмдүүлүгүн оптималдаштыруудан баштап, колдонуучуларды Интернеттен келген зыяндуу чабуулдардан коргоого чейин өнүккөн. URL чыпкалоо, антивирус, HTTPS аркылуу кирген веб-сайттарды чечмелөө жана текшерүү, маалыматтардын бузулушун алдын алуу (DLP) жана булутка кирүү коопсуздугунун агентинин (CASB) чектелген түрлөрү азыр стандарттуу функциялар болуп саналат.
Алыстан кирүүVPNге барган сайын азыраак таянат, бирок колдонуучуларга активдерге көрүнбөстөн контексттик профилдерди колдонуп жеке тиркемелерге кирүүгө мүмкүндүк берген нөлдүк ишенимсиз тармакка кирүүгө (ZTNA) көбүрөөк таянат.
Кирип кирүүнүн алдын алуу системалары (IPS)IPS түзмөктөрүн патчталбаган серверлерге туташтырып, чабуулдарды аныктоо жана бөгөттөө аркылуу патчталбаган алсыздыктардын чабуулга кабылышынын алдын алуу. IPS мүмкүнчүлүктөрү азыр көп учурда башка коопсуздук продуктуларына кошулат, бирок дагы эле өз алдынча продуктулар бар. Булуттагы жергиликтүү башкаруу аларды акырындык менен процесске киргизгендиктен, IPS кайрадан көтөрүлө баштады.
Тармакка кирүүнү көзөмөлдөөТармактагы бардык мазмундун көрүнүшүн жана саясатка негизделген корпоративдик тармак инфраструктурасына кирүүнү көзөмөлдөөнү камсыз кылат. Саясаттар колдонуучунун ролуна, аутентификациясына же башка элементтерине жараша кирүүнү аныктай алат.
DNS тазалоо (дезинфекцияланган домендик аталыштар системасы)бул акыркы колдонуучулардын (анын ичинде алыскы жумушчулардын) кадыр-баркына шек келтирген сайттарга кирүүсүнө жол бербөө үчүн уюмдун домендик аталыштар системасы катары иштеген сатуучулар тарабынан көрсөтүлгөн кызмат.
DDoS таасирин азайтуу (DDoS таасирин азайтуу)тармакка таратылган кызмат көрсөтүүдөн баш тартуу чабуулдарынын кыйратуучу таасирин чектейт. Бул продукт брандмауэрдин ичиндеги, тармактык брандмауэрдин алдында жайгаштырылган жана уюмдан тышкаркы, мисалы, интернет кызмат көрсөтүүчүлөрүнүн же контентти жеткирүүчүлөрдүн ресурстарынын тармактарын коргоо үчүн көп катмарлуу ыкманы колдонот.
Тармактык коопсуздук саясатын башкаруу (NSPM)Тармак коопсуздугун жөнгө салуучу эрежелерди оптималдаштыруу үчүн талдоону жана аудитти, ошондой эле өзгөрүүлөрдү башкаруу жумуш агымдарын, эрежелерди сыноону, шайкештикти баалоону жана визуализациялоону камтыйт. NSPM куралы бир нече тармак жолдорун камтыган бардык түзмөктөрдү жана брандмауэрге кирүү эрежелерин көрсөтүү үчүн визуалдык тармак картасын колдоно алат.
Микросегментациябул мурунтан эле болуп жаткан тармактык чабуулдардын маанилүү активдерге жетүү үчүн горизонталдуу жылышына жол бербөөчү ыкма. Тармак коопсуздугу үчүн микроизоляция куралдары үч категорияга бөлүнөт:
- Тармакка туташкан активдерди коргоо үчүн, көбүнчө программалык камсыздоо тарабынан аныкталган тармактар менен биргеликте, тармактык деңгээлде жайгаштырылган тармактык куралдар.
- Гипервизорго негизделген куралдар – бул гипервизорлордун ортосунда жылып жаткан тунук эмес тармактык трафиктин көрүнүшүн жакшыртуу үчүн колдонулган дифференциалдык сегменттердин жөнөкөй формалары.
- Тармактын калган бөлүгүнөн бөлүп алгысы келген хостторго агенттерди орноткон хост-агентке негизделген куралдар; Хост-агент чечими булут жумуш жүктөмдөрү, гипервизор жумуш жүктөмдөрү жана физикалык серверлер үчүн бирдей жакшы иштейт.
Коопсуз мүмкүндүк алуу кызматынын чети (SASE)SWG, SD-WAN жана ZTNA сыяктуу комплекстүү тармактык коопсуздук мүмкүнчүлүктөрүн, ошондой эле уюмдардын Коопсуз Кирүү муктаждыктарын колдоо үчүн комплекстүү WAN мүмкүнчүлүктөрүн айкалыштырган жаңыдан пайда болуп келе жаткан алкак. Алкактан көрө концепцияга көбүрөөк окшош болгон SASE тармактар боюнча масштабдуу, ийкемдүү жана аз кечигүү менен функцияларды камсыз кылган бирдиктүү коопсуздук кызматынын моделин камсыз кылууга багытталган.
Тармакты аныктоо жана жооп кайтаруу (NDR)Тармактын кадимки жүрүм-турумун жазуу үчүн кирүүчү жана чыгуучу трафикти жана трафик журналдарын үзгүлтүксүз талдап турат, ошондуктан аномалияларды аныктоого жана уюмдарга эскертүүгө болот. Бул куралдар машиналык окутууну (МА), эвристиканы, анализди жана эрежеге негизделген аныктоону айкалыштырат.
DNS коопсуздук кеңейтүүлөрүDNS протоколуна кошумчалар болуп саналат жана DNS жоопторун текшерүү үчүн иштелип чыккан. DNSSECтин коопсуздук артыкчылыктары аутентификацияланган DNS маалыматтарына санариптик кол коюуну талап кылат, бул процессорду көп талап кылган процесс.
Кызмат катары брандмауэр (FWaaS)булутка негизделген SWGS менен тыгыз байланышта болгон жаңы технология. Айырмасы архитектурасында, мында FWaaS тармактын четиндеги акыркы чекиттер менен түзмөктөрдүн ортосундагы VPN байланыштары, ошондой эле булуттагы коопсуздук стеги аркылуу иштейт. Ошондой эле, ал акыркы колдонуучуларды VPN туннелдери аркылуу жергиликтүү кызматтарга туташтыра алат. FWaaS учурда SWGSке караганда алда канча аз кездешет.
Жарыяланган убактысы: 2022-жылдын 23-марты
