網(wǎng)絡(luò)安全架構(gòu)（Network security architect）是指與云安全架構(gòu)、網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全架構(gòu)相關(guān)的一系列職責(zé)。根據(jù)組織的規(guī)模，可能每個(gè)域有一位成員負(fù)責(zé)?；蛘?，組織可能選擇一位監(jiān)督人員。無(wú)論采用何種方法，組織都需要定義誰(shuí)該為此負(fù)責(zé)，并賦予他們做出關(guān)鍵任務(wù)決策的權(quán)力。

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估（Network risk assessment）是對(duì)內(nèi)外部惡意或失誤造成的，可能被用于網(wǎng)絡(luò)攻擊連接資源方式的完整清單。全面的評(píng)估允許組織定義風(fēng)險(xiǎn)并通過(guò)安全控制來(lái)減輕風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可能包括：

· 對(duì)系統(tǒng)或流程了解不足

· 難以衡量風(fēng)險(xiǎn)水平的系統(tǒng)

· 面臨業(yè)務(wù)和技術(shù)風(fēng)險(xiǎn)的“混合”系統(tǒng)

制定有效的評(píng)估需要IT和業(yè)務(wù)利益相關(guān)者相互協(xié)作，以了解風(fēng)險(xiǎn)的范圍。共同努力并創(chuàng)建一個(gè)了解更大范圍風(fēng)險(xiǎn)全景的過(guò)程與最終的風(fēng)險(xiǎn)集合同樣重要。

零信任架構(gòu)（ZTA）是一種網(wǎng)絡(luò)安全范式，其假設(shè)網(wǎng)絡(luò)上的某些訪問(wèn)者是危險(xiǎn)的，并且有太多的接入點(diǎn)無(wú)法完全保護(hù)。因此，有效的保護(hù)網(wǎng)絡(luò)上的資產(chǎn)而不是網(wǎng)絡(luò)本身。由于它與用戶相關(guān)聯(lián)，代理會(huì)根據(jù)風(fēng)險(xiǎn)概況來(lái)決定是否批準(zhǔn)每個(gè)訪問(wèn)請(qǐng)求，該風(fēng)險(xiǎn)概況根據(jù)應(yīng)用程序、位置、用戶、設(shè)備、時(shí)間段、數(shù)據(jù)敏感性等組合上下文因素計(jì)算得出。顧名思義，ZTA 是一種架構(gòu)，而不是一種產(chǎn)品。你買(mǎi)不到，但是，可以根據(jù)其包含的一些技術(shù)元素進(jìn)行開(kāi)發(fā)。

網(wǎng)絡(luò)防火墻（Network firewall）是一種成熟且眾所周知的安全產(chǎn)品，具有一系列旨在防止直接訪問(wèn)托管組織應(yīng)用和數(shù)據(jù)服務(wù)器的功能。網(wǎng)絡(luò)防火墻提供了靈活性，可用于內(nèi)部網(wǎng)絡(luò)和云。對(duì)于云，有以云為中心的產(chǎn)品，以及IaaS提供商部署的方法來(lái)實(shí)現(xiàn)一些相同的功能。

安全Web網(wǎng)關(guān)（Secureweb gateway）已經(jīng)從其過(guò)去優(yōu)化互聯(lián)網(wǎng)帶寬演變?yōu)楸Ｗo(hù)用戶免受來(lái)自互聯(lián)網(wǎng)的惡意侵害。URL過(guò)濾、反病毒、解密和檢查通過(guò)HTTPS訪問(wèn)的網(wǎng)站、數(shù)據(jù)防泄露(DLP)和有限形式的云訪問(wèn)安全代理(CASB)等功能現(xiàn)已成為標(biāo)配。

遠(yuǎn)程訪問(wèn)（Remote access）對(duì)VPN的依賴(lài)越來(lái)越弱，但對(duì)零信任網(wǎng)絡(luò)訪問(wèn) （ZTNA）的依賴(lài)逐漸增強(qiáng)，它使用戶在對(duì)資產(chǎn)不可見(jiàn)的情況下，利用上下文配置文件來(lái)實(shí)現(xiàn)對(duì)單個(gè)應(yīng)用的訪問(wèn)。

入侵防御系統(tǒng)(IPS)通過(guò)將IPS設(shè)備與未打補(bǔ)丁的服務(wù)器連接在一起來(lái)檢測(cè)并阻止攻擊，從而防止未修補(bǔ)的漏洞被攻擊。IPS功能現(xiàn)在通常包含在其他安全產(chǎn)品中，但也仍存在獨(dú)立產(chǎn)品。IPS正開(kāi)始再次興起，因?yàn)樵圃刂圃诼龑⑵浼{入過(guò)程中。

網(wǎng)絡(luò)訪問(wèn)控制（Network access control）提供對(duì)網(wǎng)絡(luò)上所有內(nèi)容的可見(jiàn)性以及對(duì)基于策略法人網(wǎng)絡(luò)基礎(chǔ)設(shè)施訪問(wèn)的控制。策略可以根據(jù)用戶的角色、身份驗(yàn)證或其他元素來(lái)定義訪問(wèn)。

網(wǎng)絡(luò)數(shù)據(jù)包代理（Network packet broker）設(shè)備處理網(wǎng)絡(luò)流量，以便其他監(jiān)控設(shè)備（例如專(zhuān)門(mén)用于網(wǎng)絡(luò)性能監(jiān)控和安全相關(guān)監(jiān)控的設(shè)備）可以更有效地運(yùn)行。功能包括用于識(shí)別風(fēng)險(xiǎn)級(jí)別的數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包負(fù)載和基于硬件的時(shí)間戳插入等。

DNS清洗（SanitizedDomain Name System）是供應(yīng)商提供的服務(wù)，作為組織的域名系統(tǒng)運(yùn)行，可防止終端用戶（包括遠(yuǎn)程工作人員）訪問(wèn)聲譽(yù)不佳的站點(diǎn)。

DDoS緩解（DDoSmitigation）限制了分布式拒絕服務(wù)攻擊對(duì)網(wǎng)絡(luò)的破壞性影響。產(chǎn)品采用多層方式保護(hù)防火墻內(nèi)部的網(wǎng)絡(luò)資源、部署在網(wǎng)絡(luò)防火墻前面的資源以及組織外部的資源，例如來(lái)自互聯(lián)網(wǎng)服務(wù)提供商或內(nèi)容交付的資源網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全策略管理（Network Security PolicyManagement, NSPM）涉及分析和審計(jì)以優(yōu)化指導(dǎo)網(wǎng)絡(luò)安全的規(guī)則，以及變更管理工作流、規(guī)則測(cè)試、合規(guī)性評(píng)估和可視化。NSPM工具可以使用可視化網(wǎng)絡(luò)地圖，顯示覆蓋在多個(gè)網(wǎng)絡(luò)路徑上的所有設(shè)備和防火墻訪問(wèn)規(guī)則。

微隔離（Microsegmentation）是一種技術(shù)，可以阻止已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊在其橫向移動(dòng)以訪問(wèn)關(guān)鍵資產(chǎn)。用于網(wǎng)絡(luò)安全的微隔離工具分為三類(lèi)：

· 部署在網(wǎng)絡(luò)層的基于網(wǎng)絡(luò)的工具，通常與軟件定義網(wǎng)絡(luò)結(jié)合使用，用于保護(hù)連接到網(wǎng)絡(luò)的資產(chǎn)。

· 基于管理程序的工具是微分段的原始形式，用于提高不同管理程序之間移動(dòng)的不透明網(wǎng)絡(luò)流量的可見(jiàn)性。

· 基于主機(jī)代理的工具，在其想要與網(wǎng)絡(luò)其余部分隔離的主機(jī)上安裝代理；主機(jī)代理解決方案同樣適用于云工作負(fù)載、管理程序工作負(fù)載和物理服務(wù)器。

安全訪問(wèn)服務(wù)邊緣（Secure Access Service Edge, SASE）是一種新興框架，它結(jié)合了全面的網(wǎng)絡(luò)安全功能，例如SWG、SD-WAN和ZTNA等，以及全面的WAN功能，可支持組織的安全訪問(wèn)需求。SASE更像是一個(gè)概念而非框架，其目標(biāo)是提供統(tǒng)一的安全服務(wù)模型，以可擴(kuò)展、靈活和低延遲的方式跨網(wǎng)絡(luò)提供功能。

網(wǎng)絡(luò)檢測(cè)和響應(yīng)（Network detection and response, NDR）持續(xù)分析入站和出站流量和流量記錄，以記錄正常的網(wǎng)絡(luò)行為，因此可以識(shí)別異常情況并向組織發(fā)出警報(bào)。這些工具結(jié)合了機(jī)器學(xué)習(xí)(ML)、啟發(fā)式、分析和基于規(guī)則的檢測(cè)。

DNS安全擴(kuò)展（DNSsecurity extensions）是DNS協(xié)議的附加組件，旨在驗(yàn)證DNS響應(yīng)。DNSSEC的安全優(yōu)勢(shì)需要對(duì)經(jīng)過(guò)驗(yàn)證的DNS數(shù)據(jù)進(jìn)行數(shù)字簽名，這是一個(gè)處理器密集型過(guò)程。

防火墻即服務(wù)（FWaaS）是一種與基于云的SWG密切相關(guān)的新技術(shù)。不同之處在于架構(gòu)，F(xiàn)WaaS通過(guò)端點(diǎn)和網(wǎng)絡(luò)邊緣設(shè)備之間的VPN連接以及云中的安全堆棧運(yùn)行。它還可以通過(guò)VPN隧道將最終用戶連接到本地服務(wù)。FWaaS當(dāng)前還遠(yuǎn)不如SWG常見(jiàn)。

文章圖片來(lái)源于網(wǎng)絡(luò)，僅供交流學(xué)習(xí)，版權(quán)歸原作者所有，如有侵權(quán)，請(qǐng)聯(lián)系刪除，謝謝！