وسيط حزم الشبكةتقوم هذه الأجهزة بمعالجة حركة مرور الشبكة لتمكين أجهزة المراقبة الأخرى، مثل تلك المخصصة لمراقبة أداء الشبكة والمراقبة الأمنية، من العمل بكفاءة أكبر. تشمل الميزات تصفية الحزم لتحديد مستويات المخاطر، وأحمال الحزم، وإدراج الطوابع الزمنية باستخدام الأجهزة.
مهندس أمن الشبكاتيشير هذا إلى مجموعة من المسؤوليات المتعلقة ببنية أمن الحوسبة السحابية، وبنية أمن الشبكات، وبنية أمن البيانات. وبحسب حجم المؤسسة، قد يكون هناك عضو واحد مسؤول عن كل مجال. أو قد تختار المؤسسة مشرفًا. وفي كلتا الحالتين، تحتاج المؤسسات إلى تحديد المسؤوليات ومنحها الصلاحيات اللازمة لاتخاذ القرارات الحاسمة.
يُعدّ تقييم مخاطر الشبكة قائمة شاملة بالطرق التي يمكن من خلالها استخدام الهجمات الخبيثة أو الموجهة بشكل خاطئ، سواءً كانت داخلية أو خارجية، لربط الموارد. يُمكّن التقييم الشامل المؤسسة من تحديد المخاطر والتخفيف من حدتها عبر ضوابط أمنية. قد تشمل هذه المخاطر ما يلي:
- عدم كفاية فهم الأنظمة أو العمليات
- الأنظمة التي يصعب قياس مستويات المخاطر فيها
- الأنظمة "الهجينة" التي تواجه مخاطر تجارية وتقنية
يتطلب وضع تقديرات فعّالة تعاونًا بين أقسام تقنية المعلومات والجهات المعنية في قطاع الأعمال لفهم نطاق المخاطر. ويُعدّ العمل المشترك ووضع آلية لفهم الصورة الأوسع للمخاطر بنفس أهمية تحديد مجموعة المخاطر النهائية.
بنية الثقة الصفرية (ZTA)يُعدّ ZTA نموذجًا لأمن الشبكات يفترض أن بعض زوار الشبكة يشكلون خطرًا، وأن عدد نقاط الوصول كبير جدًا بحيث يصعب حمايتها بالكامل. لذا، يركز هذا النموذج على حماية الأصول الموجودة على الشبكة بدلًا من الشبكة نفسها. وبما أنه مرتبط بالمستخدم، يقرر النظام الموافقة على كل طلب وصول بناءً على ملف تعريف للمخاطر يُحسب بناءً على مجموعة من العوامل السياقية، مثل التطبيق والموقع والمستخدم والجهاز والفترة الزمنية وحساسية البيانات، وما إلى ذلك. وكما يوحي الاسم، فإن ZTA عبارة عن بنية، وليست منتجًا. لا يمكنك شراؤها، ولكن يمكنك تطويرها بالاعتماد على بعض عناصرها التقنية.
جدار حماية الشبكةيُعدّ منتجًا أمنيًا راسخًا ومعروفًا، يتميّز بمجموعة من الخصائص المصممة لمنع الوصول المباشر إلى تطبيقات المؤسسة وخوادم البيانات المستضافة. توفر جدران الحماية الشبكية مرونةً عاليةً لكلٍّ من الشبكات الداخلية والسحابة. بالنسبة للسحابة، توجد عروضٌ مُخصصةٌ لها، بالإضافة إلى أساليب يستخدمها مُزودو خدمات البنية التحتية كخدمة (IaaS) لتطبيق بعض هذه الإمكانيات.
بوابة الويب الآمنةتطورت هذه التقنيات من مجرد تحسين عرض النطاق الترددي للإنترنت إلى حماية المستخدمين من الهجمات الخبيثة عبر الإنترنت. أصبحت الآن ميزات قياسية مثل تصفية عناوين المواقع الإلكترونية، ومكافحة الفيروسات، وفك تشفير المواقع الإلكترونية وفحصها عند الوصول إليها عبر بروتوكول HTTPS، ومنع اختراق البيانات (DLP)، وأشكال محدودة من وكيل أمان الوصول إلى السحابة (CASB).
الوصول عن بعديعتمد بشكل أقل فأقل على VPN، ولكنه يعتمد بشكل متزايد على الوصول إلى الشبكة بدون ثقة (ZTNA)، مما يتيح للمستخدمين الوصول إلى التطبيقات الفردية باستخدام ملفات تعريف السياق دون أن يكونوا مرئيين للأصول.
أنظمة منع الاختراق (IPS)تمنع أنظمة منع الاختراق (IPS) استغلال الثغرات الأمنية غير المُعالجة من خلال ربط أجهزة منع الاختراق بالخوادم غير المُعالجة لاكتشاف الهجمات وحظرها. غالبًا ما تُدمج إمكانيات أنظمة منع الاختراق الآن في منتجات أمنية أخرى، ولكن لا تزال هناك منتجات مستقلة. بدأت أنظمة منع الاختراق بالظهور مجددًا مع دمجها تدريجيًا في عمليات التحكم السحابية.
التحكم في الوصول إلى الشبكةيُتيح هذا النظام إمكانية الوصول إلى جميع المحتويات على الشبكة والتحكم في الوصول إلى البنية التحتية للشبكة المؤسسية القائمة على السياسات. ويمكن للسياسات تحديد الوصول بناءً على دور المستخدم أو مصادقته أو عناصر أخرى.
تنظيف نظام أسماء النطاقات (DNS)هي خدمة يقدمها البائع وتعمل كنظام أسماء نطاقات للمؤسسة لمنع المستخدمين النهائيين (بما في ذلك العاملين عن بعد) من الوصول إلى المواقع المشبوهة.
تخفيف هجمات DDoSيحدّ هذا المنتج من التأثير المدمر لهجمات الحرمان من الخدمة الموزعة على الشبكة. ويعتمد نهجًا متعدد الطبقات لحماية موارد الشبكة داخل جدار الحماية، وتلك المنشورة أمامه، وتلك الموجودة خارج المؤسسة، مثل شبكات الموارد من مزودي خدمة الإنترنت أو خدمات توصيل المحتوى.
إدارة سياسات أمن الشبكات (NSPM)يتضمن ذلك التحليل والتدقيق لتحسين القواعد التي تحكم أمن الشبكة، بالإضافة إلى سير عمل إدارة التغيير، واختبار القواعد، وتقييم الامتثال، والتصور. يمكن لأداة NSPM استخدام خريطة شبكة مرئية لعرض جميع الأجهزة وقواعد الوصول لجدار الحماية التي تغطي مسارات شبكة متعددة.
التجزئة الدقيقةهي تقنية تمنع الهجمات الشبكية القائمة من الانتشار أفقيًا للوصول إلى الأصول الحيوية. تنقسم أدوات العزل الجزئي لأمن الشبكات إلى ثلاث فئات:
- أدوات قائمة على الشبكة يتم نشرها على مستوى الشبكة، وغالبًا ما يتم استخدامها بالتزامن مع الشبكات المعرفة بالبرمجيات، لحماية الأصول المتصلة بالشبكة.
- الأدوات القائمة على المشرف هي أشكال بدائية من القطاعات التفاضلية لتحسين رؤية حركة مرور الشبكة المبهمة التي تنتقل بين المشرفين.
- أدوات تعتمد على وكيل المضيف تقوم بتثبيت الوكلاء على المضيفين الذين يرغبون في عزلهم عن بقية الشبكة؛ يعمل حل وكيل المضيف بشكل جيد بنفس القدر لأحمال العمل السحابية وأحمال عمل المشرف الافتراضي والخوادم الفعلية.
خدمة الوصول الآمن على الحافة (SASE)يُعدّ SASE إطار عمل ناشئًا يجمع بين إمكانيات أمن الشبكات الشاملة، مثل SWG وSD-WAN وZTNA، بالإضافة إلى إمكانيات الشبكات الواسعة الشاملة لدعم احتياجات الوصول الآمن للمؤسسات. وهو أقرب إلى مفهوم منه إلى إطار عمل، إذ يهدف SASE إلى توفير نموذج خدمة أمنية موحد يُقدّم وظائف عبر الشبكات بطريقة قابلة للتوسع ومرنة ومنخفضة زمن الاستجابة.
الكشف والاستجابة للشبكة (NDR)تقوم هذه الأدوات بتحليل حركة البيانات الواردة والصادرة وسجلات حركة البيانات بشكل مستمر لتسجيل سلوك الشبكة الطبيعي، مما يسمح بتحديد أي خلل وتنبيه المؤسسات بشأنه. وتجمع هذه الأدوات بين التعلم الآلي، والأساليب الاستدلالية، والتحليل، والكشف القائم على القواعد.
ملحقات أمان نظام أسماء النطاقات (DNS)تُعدّ هذه الإضافات جزءًا من بروتوكول نظام أسماء النطاقات (DNS)، وهي مصممة للتحقق من استجابات نظام أسماء النطاقات. تتطلب مزايا الأمان التي توفرها تقنية DNSSEC التوقيع الرقمي لبيانات نظام أسماء النطاقات الموثقة، وهي عملية تستهلك موارد المعالج بكثافة.
جدار الحماية كخدمة (FWaaS)هي تقنية جديدة وثيقة الصلة بـ SWGS السحابية. يكمن الاختلاف في البنية، حيث تعمل FWaaS عبر اتصالات VPN بين نقاط النهاية والأجهزة على حافة الشبكة، بالإضافة إلى حزمة أمان في السحابة. كما يمكنها ربط المستخدمين النهائيين بالخدمات المحلية عبر أنفاق VPN. وتُعدّ FWaaS حاليًا أقل شيوعًا بكثير من SWGS.
تاريخ النشر: 23 مارس 2022
