目录

文章目录

  • 目录
  • 网络安全逻辑架构

网络安全逻辑架构

  • 网络安全架构(Network security architect):指与云安全架构、网络安全架构和数据安全架构有关的一整套职责。企业机构可以根据自身的规模,为每一个网络安全架构领域单独指定一名负责的人员,也可以指定一名人员监督所有这些领域。无论采用哪种方法,企业机构都需要确定负责的人员并赋予他们做出关键任务决策的权力。

  • 网络风险评估(Network risk assessment ):指全面清查内部和外部怀有恶意或粗心的行动者可能利用网络来攻击联网资源的方式。企业机构能够通过全面的评估来定义风险,并通过安全控制措施来减轻风险。这些风险可能包括:

    • 对系统或流程理解不透彻
    • 难以衡量系统的风险水平
    • 同时受到业务和技术风险影响的 “混合” 系统

  • 零信任架构(Zero-Trust Architecture,ZTA):是一种假设网络上的部分行动者具有敌意并且由于接入点数量过多而无法提供充分保护的网络安全范式。因此,保护网络上的资产而不是网络本身是一种有效的安全态势。代理会根据从应用、位置、用户、设备、时间、数据敏感性等综合环境因素计算出的风险状况,决定是否批准各个与用户有关的访问请求。正如其名,零信任架构是一个架构,而不是一个产品。虽然无法购买它,但可以使用这个列表中的一些技术元素来开发它。

  • 网络防火墙(Network firewall):是一种成熟、广为人知的安全产品,它通过一系列功能防止任何人直接访问企业机构应用和数据所在的网络服务器。网络防火墙具有的灵活性使其既可用于本地网络,也可用于云。而在云端,有专门用于云的产品,也有 IaaS 提供商部署的具有相同功能的策略。

  • 安全网络网关(Secure web gateway):的用途已经从过去的优化互联网带宽发展为保护用户免受互联网恶意内容的影响。诸如 URL 过滤、反恶意软件、解密和检查通过 HTTPS 访问的网站、数据丢失预防(DLP)、规定形式的云访问安全代理(CASB)等功能现已成为标准功能。

  • 远程访问(Remote access):对虚拟专用网络(VPN)的依赖性日益减少,而对零信任网络访问(ZTNA)的依赖性日益增加。零信任网络访问使资产对用户不可见并使用上下文配置文件方便对个别应用的访问。

  • 入侵防御系统(IntrusionPrevention System,IPS):为未修补的服务器部署检测和阻止攻击的 IPS 设备,从而保护无法修补的漏洞(例如在服务提供商不再支持的打包应用上)。IPS 功能通常包含在其他安全产品中,但也有独立的产品。由于云原生控制措施在加入 IPS 方面进展缓慢,IPS 正在 “东山再起”。

  • 网络访问控制(Network access control ):提供了对网络上一切内容的可见性以及基于策略的网络基础设施访问控制。策略可以根据用户的角色、认证或其他因素来定义访问权限。

  • 网络数据包代理(Network packet broker):设备通过处理网络流量,使其他监控设备能够更加有效地运行,例如:专门用于网络性能监控和安全相关监控的设备。其功能包括用于确定风险水平的分封数据过滤、分配数据包负载和基于硬件的时间戳插入等。

  • 净化域名系统(SanitizedDomain Name System,DNS):是厂商提供的作为企业机构域名系统运行的服务,可防止终端用户(包括远程工作者)访问有不良声誉的网站。

  • DDoS 攻击缓解(DDoSmitigation):限制了分布式拒绝服务(DDoS)攻击对网络运行的破坏性影响。这些产品采取多层策略来保护防火墙内的网络资源、位于本地但在网络防火墙之前的资源以及位于企业机构外部的资源,例如来自互联网服务提供商或内容交付网络的资源。

  • 网络安全策略管理(NetworkSecurity Policy Management ,NSPM):通过分析和审核来优化指导网络安全的规则并更改管理工作流程、规则测试以及合规性评估和可视化。NSPM 工具可以使用可视化网络地图显示叠加在多个网络路径上的所有设备和防火墙访问规则。

  • 微分段(Microsegmentation):可以抑制已经在网络上的攻击者在网络中为了访问关键资产而进行的横向移动。用于网络安全的微分段工具有三类:

    • 基于网络的工具部署在网络层面,通常与软件定义网络结合在一起并用于保护与网络连接的资产。
    • 基于管理程序的工具是最初形态的微分段,此类工具专门用于提高在不同管理程序之间移动的不透明网络流量的可见性。
    • 基于主机代理的工具会在将与网络其他部分隔离的主机上安装一个代理;主机代理解决方案在云工作负载、管理程序工作负载和物理服务器上同样有效。

  • 安全访问服务边缘(SecureAccess Service Edge ,SASE):是一个新型框架,它将包括 SWG、SD-WAN 和 ZTNA 在内的全方位网络安全功能与综合全面的广域网功能相结合,帮助满足企业机构的安全访问需求。SASE 与其说是一个框架,不如说是一个概念,其目标是实现一个统一的安全服务模式,并且该模式能够以可扩展、灵活和低延迟的方式提供跨越整个网络的功能。

  • 网络检测和响应(Networkdetection and response ):持续分析入站和出站流量以及数据流记录,从而记录正常的网络行为,因此它可以识别异常情况并向企业机构发出提醒。这些工具能够结合使用机器学习(ML)、试探法、分析工具和基于规则的检测。

  • DNS 安全扩展(DNSsecurity extensions):是 DNS 协议的一项能够验证 DNS 响应的附加功能。DNSSEC 的安全优势在于要求对经过验证的 DNS 数据进行数字签名,而该流程极度消耗处理器资源。

  • 防火墙即服务(Firewall asa Service ,FWaaS):是一项与云端 SWG 密切相关的新技术。它的不同之处在于架构:FWaaS 通过端点和网络边缘设备之间的 VPN 连接以及云端的安全栈运行。它还可以通过 VPN 隧道连接终端用户与本地服务。FWaaS 的普及度远不如 SWG。

网络安全 — 安全架构相关推荐

  1. 美国标准的网络安全体系架构

    网络安全体系是一项复杂的系统工程,需要把安全组织体系.安全技术体系和安全管理体系等手段进行有机融合,构建一体化的整体安全屏障.针对网络安全防护,美国曾提出多个网络安全体系模型和架构,其中比较经典的包括 ...

  2. AliOS Things自组织网络安全认证架构概述

    摘要: AliOS Things自组织网络(uMesh)结合阿里云Link ID²设备身份认证平台为物联网嵌入式设备提供了自主安全认证授权接入无线mesh网络的解决方案,并且兼容IEEE802.1X端 ...

  3. 网络安全 虚拟化架构与系统部署

    VMware是基于Linux开发的,稳定性极强,安全性极高,控件所占内存非常小基本等于没有占你资源 VMware公司是按你的CPU收费的,你的硬件有一颗CUP就几万一年 构建桌面端虚拟环境 1.虚拟机 ...

  4. 网络安全新架构:零信任安全

    2019年7月12日,美国国防部发布<国防部数字现代化战略>.<战略>主要由美国国防部首席信息官(DoD CIO)牵头制定,旨在确保国防部以更高效.更有效的方式执行任务,为美国 ...

  5. BCS2022冬奥网络安全“零事故”宣传周:奇安信首次披露“中国架构”

    5月21日,北京网络安全大会BCS2022系列活动冬奥网络安全"零事故"宣传周--"中国架构"峰会顺利举办.来自赛迪.安全牛.FreeBuf多位行业专家分享了最 ...

  6. 系统架构师学习笔记_第十二章_连载

    第十二章  系统安全架构设计 12.1  信息系统安全架构的简单描述 信息安全的特征 是为了保证信息的 机密性.完整性.可用性.可控性.不可抵赖性. 以风险策略为基础. 12.1.1  信息安全的现状 ...

  7. 像搭“乐高”一样实现整合式网络安全体系

    部署多种防护产品,却无法形成防御合力,是当前很多企业网络安全建设都面临的挑战.网络安全能力整合是企业的刚需,也是行业发展的大势所趋.虽然Gartner 提出的网络安全网格架构(CSMA,Cyberse ...

  8. 系统架构设计师教程学习笔记

    http://doc.mbalib.com/view/80a4cb49465991abb50ac02605b44a06.html 一.绪论   1 系统架构的概念     现代信息系统"架构 ...

  9. 【读书笔记】《大型互联网企业安全架构(石祖文)》

    文章目录 Part one:安全理论体系 第一章 安全理念 一.企业安全风险综述 1. 业务与运维安全(生产网安全) 2. 企业内部安全(办公网安全) 3. 法律法规与隐私保护 4. 供应链安全 二. ...

最新文章

  1. Linux Container 研究报告
  2. 如何选购工业级光模块
  3. 计算机系统-理论-静态存储器/动态存储器
  4. 后来,我学会了每做完一件事
  5. Redis3集群搭建
  6. oracle rac 启动失败has,oracle11.2.0.4 rac asm启动故障
  7. C++笔记(6)友元
  8. vue 扁平化_JS数组扁平化(flat)
  9. 麒麟子Cocos Creator 3D研究笔记十:【qfw】开源的Extension Pack for Cocos Creator 3D
  10. o2o实战报错:addShopImg error:null / character to be escaped is missing
  11. 微信公众号开发踩坑指南(3)——公众号返回超链接点击跳转并自动关闭
  12. Java 学习笔记 —— 基础部分
  13. 注释(单行注释、多行注释、文档注释)
  14. 赛门铁克为 Google 域名颁发证书
  15. 【文献阅读】Adaptive Quantitative Trading: An Imitative Deep Reinforcement Learning Approach
  16. Web开发必知的八种隔离级别
  17. buildroot使用详解
  18. iomanip I/O流类库操纵符
  19. 群狼调研开展旅游市场第三方满意度调查
  20. 《Swf文件的那些事》—as函数跨平台的交互详解

热门文章

  1. Swift2.0语言教程之类的方法
  2. mysql中的枚举enum_mysql中枚举类型之enum详解
  3. mysql 获取距离当前最新的记录_一文带你了解 MySQL 中的各种锁机制!
  4. no python application found_用Nginx部署Django服务no python application found
  5. python调包侠_拒绝调包侠,不需要高级算法和数据结构技巧
  6. 如何对单手和双手协同运动方向进行神经表征和解码?北理工研究团队给出了相关方案
  7. Python读取保存在hdf5文件中的脑电数据
  8. ERPLAB中文教程:ERPLAB安装与添加通道
  9. 利用深度学习(Keras)进行癫痫分类-Python案例
  10. 小时候糖吃多了,长大后记性会变差| Nature子刊最新研究