需要了解的17个网络安全概念和缩略语

领导力愿景电子书:2022年安全领导人的最高行动

公共云、私有云、内部部署——当今组织网络可用的众多选项意味着对网络安全的新要求。过去的“保护网络周边”模式不再适用，网络安全领导者正在拥抱新的方法。

立即下载:如何使您的信息安全计划成熟

“网络安全可能很复杂，但它是所有其他信息安全系统的基础，”他说托马斯Lintemuth高德纳公司高级董事分析师。“好消息是，网络安全是一个成熟的市场，有强大的、成熟的供应商，还有创新的初创公司，它们不断带来新的、更好的技术，以保持网络安全和资产受到保护。”

在这里，我们提供了理解现代网络安全架构的关键概念的入门。从网络安全领导者的角色和职责开始，然后是逻辑架构，映射安全需求的范围为构建提供了坚实的基础。

17个网络安全关键概念

网络安全架构师指与云安全架构、网络安全架构和数据安全架构相关的一套职责。根据组织的规模，可能会有一个单独的人负责每个域。或者，一个组织可以选择一个人来监督他们所有人。无论采用何种方法，组织都需要定义谁具有这种责任，并赋予他们做出关键任务决策的权限。

终极指南:网络安全

网络风险评估是内部和外部的邪恶或粗心的行为者可能使用网络攻击连接资源的方式的完整清单。全面的评估允许组织定义风险，并通过安全控制减轻风险。这些风险可能包括:

• 不理解的系统或过程
• 风险等级难以衡量的系统
• 同时面临业务和技术风险的“混合”系统

制定有用的评估需要IT和业务涉众之间的协作，以了解风险的范围。共同工作和创建理解广泛风险图景的过程与最终的风险需求集同样重要。

零信任架构(ZTA)是一种网络安全范式，其运行基于这样的假设:网络上的一些参与者是敌对的，并且有太多的入口点需要完全保护。因此，有效的安全姿态保护的是网络上的资产，而不是网络本身。由于与用户有关，代理根据综合上下文因素(如应用程序、位置、用户、设备、一天中的时间、数据敏感性等)计算的风险概况来决定是否授予每个访问请求。顾名思义，ZTA是一个体系结构，而不是一个产品。你买不到它;但是，您可以使用本列表中包含的一些技术元素来开发它。

听:让你的组织为零信任做好准备

网络防火墙是一个成熟和知名的安全产品，具有一系列功能，旨在防止任何人直接访问承载组织应用程序和数据的网络服务器。网络防火墙提供了灵活性，可用于内部网络和云。对于云，有一些专注于云的产品，以及IaaS提供商部署的方法来实现一些相同的功能。

安全web网关已经从过去优化互联网带宽的目的演变为保护用户免受来自互联网的恶意内容的侵害。URL过滤、反恶意软件、解密和检查通过HTTPS访问的网站、数据丢失预防(DLP)和有限形式的云访问安全代理(CASB)等功能现在已成为标准。

远程访问越来越少地依赖于虚拟专用网络(vpn)，而越来越依赖于零信任网络访问(ZTNA)， ZTNA使资产对用户不可见，并使用上下文配置文件促进对单个应用程序的访问。

入侵防御系统(IPS)通过将IPS设备与未打补丁的服务器连在一起来检测和阻止攻击，从而防止无法修补的漏洞(例如，在服务提供商不再支持的打包应用程序上)。IPS功能通常包含在其他安全产品中，但也存在独立产品。IPS正在经历复兴，因为云原生控件在将其包括在内方面一直进展缓慢。

网络访问控制提供对网络上所有内容的可见性，以及对网络基础设施访问的基于策略的控制。策略可以基于用户的角色、身份验证或其他因素来定义访问。

阅读更多:证明网络安全计划有效的4个指标

网络包代理设备处理网络流量，以便其他监视设备(例如专门用于网络性能监视和安全相关监视的设备)能够更有效地运行。功能包括包数据过滤以识别风险级别、分发包负载和基于硬件的时间戳插入等等。

消毒域名系统(DNS)是供应商提供的服务，作为组织的域名系统运行，防止最终用户(包括远程工作人员)访问声誉较差的站点。

DDoS缓解限制分布式拒绝服务(DDoS)攻击对网络运行的破坏性影响。这些产品采用多层方法来保护防火墙内部的网络资源、内部但在网络防火墙前面的资源以及组织外部的资源，例如来自互联网服务提供商或内容交付网络的资源。

阅读更多:3项行动帮助您培训更多精通网络安全的员工

网络安全策略管理(NSPM)涉及分析和审计，以优化指导网络安全的规则，以及变更管理工作流程、规则测试和法规遵从性评估和可视化。NSPM工具可以使用可视化的网络映射，显示覆盖在多个网络路径上的所有设备和防火墙访问规则。

Microsegmentation是一种抑制已经在网络上的攻击者在网络中横向移动以访问关键资产的技术。用于网络安全的微分割工具分为三类:

• 基于网络的工具部署在网络级别，通常与软件定义的网络结合使用，用于保护连接到网络的资产。
• 基于管理程序的工具是微分割的原始形式，用于增加在不同管理程序之间移动的不透明网络流量的可见性。
• 基于主机代理的工具在它们想要从网络中分离出来的主机上安装一个代理;主机-代理解决方案同样适用于云工作负载、管理程序工作负载和物理服务器。

安全接入服务边缘(SASE)是一个新兴的框架，结合了全面的网络安全功能，如SWG、SD-WAN和ZTNA，仅举三个例子，与全面的广域网功能，以支持组织的安全访问需求。与其说SASE是一个框架，不如说它是一个概念，它的目标是交付一个统一的安全服务模型，以一种可扩展、灵活和低延迟的方式跨网络提供功能。

网络检测与响应持续分析入站和出站流量和流记录，以记录正常的网络行为，因此它可以识别并警告组织异常。这些工具结合了机器学习(ML)、启发式、分析和基于规则的检测。

DNS安全扩展是DNS协议的一个附加组件，旨在验证DNS响应。DNSSEC的安全优势需要对经过验证的DNS数据进行数字签名，这是一个处理器密集型过程。

防火墙即服务(FWaaS)是一种与基于云的SWG密切相关的新技术。区别在于架构:FWaaS通过端点和网络边缘设备之间的VPN连接以及云中的安全堆栈进行操作。它还可以通过VPN隧道将最终用户连接到内部服务。FWaaS远没有SWG常见。