ماذا تريد أن تعرف عن أمن الشبكات؟

وسيط حزم الشبكةتقوم الأجهزة بمعالجة حركة مرور الشبكة حتى تتمكن أجهزة المراقبة الأخرى، مثل تلك المخصصة لمراقبة أداء الشبكة والمراقبة المتعلقة بالأمان، من العمل بكفاءة أكبر. تتضمن الميزات تصفية الحزم لتحديد مستويات المخاطر، وأحمال الحزم، وإدراج الطابع الزمني المستند إلى الأجهزة.

أمن الشبكات

مهندس أمن الشبكاتيشير إلى مجموعة من المسؤوليات المتعلقة بهندسة الأمان السحابية وهندسة أمان الشبكات وهندسة أمان البيانات. اعتمادا على حجم المنظمة، قد يكون هناك عضو واحد مسؤول عن كل مجال. وبدلاً من ذلك، قد تختار المنظمة مشرفًا. وفي كلتا الحالتين، تحتاج المنظمات إلى تحديد المسؤول وتمكينها من اتخاذ القرارات الحاسمة للمهام.

تقييم مخاطر الشبكة عبارة عن قائمة كاملة بالطرق التي يمكن من خلالها استخدام الهجمات الضارة أو الموجهة بشكل خاطئ الداخلية أو الخارجية لتوصيل الموارد. يسمح التقييم الشامل للمؤسسة بتحديد المخاطر والتخفيف منها من خلال الضوابط الأمنية. قد تشمل هذه المخاطر ما يلي:

-  عدم كفاية الفهم للأنظمة أو العمليات

-  الأنظمة التي يصعب قياس مستويات المخاطرة فيها

-  الأنظمة "الهجينة" التي تواجه المخاطر التجارية والفنية

يتطلب تطوير التقديرات الفعالة التعاون بين تكنولوجيا المعلومات وأصحاب المصلحة في الأعمال لفهم نطاق المخاطر. إن العمل معًا وإنشاء عملية لفهم الصورة الأوسع للمخاطر لا يقل أهمية عن مجموعة المخاطر النهائية.

بنية الثقة المعدومة (ZTA)هو نموذج لأمن الشبكة يفترض أن بعض الزوار على الشبكة يشكلون خطورة وأن هناك عددًا كبيرًا جدًا من نقاط الوصول بحيث لا يمكن حمايتهم بشكل كامل. لذلك، قم بحماية الأصول الموجودة على الشبكة بشكل فعال بدلاً من الشبكة نفسها. نظرًا لارتباطه بالمستخدم، يقرر الوكيل ما إذا كان سيتم الموافقة على كل طلب وصول استنادًا إلى ملف تعريف المخاطر المحسوب بناءً على مجموعة من العوامل السياقية مثل التطبيق والموقع والمستخدم والجهاز والفترة الزمنية وحساسية البيانات وما إلى ذلك. كما يوحي الاسم، ZTA عبارة عن بنية وليست منتجًا. لا يمكنك شرائه، لكن يمكنك تطويره بناءً على بعض العناصر التقنية التي يحتوي عليها.

أمن الشبكة

جدار حماية الشبكةهو منتج أمني ناضج ومعروف مع سلسلة من الميزات المصممة لمنع الوصول المباشر إلى تطبيقات المؤسسة المستضافة وخوادم البيانات. توفر جدران الحماية للشبكة المرونة لكل من الشبكات الداخلية والسحابة. بالنسبة للسحابة، هناك عروض تتمحور حول السحابة، بالإضافة إلى الأساليب التي ينشرها موفرو IaaS لتنفيذ بعض الإمكانات نفسها.

بوابة الويب الآمنةلقد تطورت من تحسين النطاق الترددي للإنترنت إلى حماية المستخدمين من الهجمات الضارة من الإنترنت. أصبحت الآن تصفية عناوين URL ومكافحة الفيروسات وفك التشفير وفحص مواقع الويب التي يتم الوصول إليها عبر HTTPS ومنع خرق البيانات (DLP) والأشكال المحدودة من وكيل أمان الوصول إلى السحابة (CASB) من الميزات القياسية.

الوصول عن بعديعتمد بشكل أقل على VPN، ولكنه يعتمد أكثر فأكثر على الوصول إلى شبكة الثقة المعدومة (ZTNA)، والذي يمكّن المستخدمين من الوصول إلى التطبيقات الفردية باستخدام ملفات تعريف السياق دون أن تكون مرئية للأصول.

أنظمة منع التسلل (IPS)منع الثغرات الأمنية غير المصححة من التعرض للهجوم عن طريق توصيل أجهزة IPS بخوادم غير مصححة لاكتشاف الهجمات ومنعها. غالبًا ما يتم الآن تضمين إمكانات IPS في منتجات الأمان الأخرى، ولكن لا تزال هناك منتجات قائمة بذاتها. بدأت IPS في الارتفاع مرة أخرى حيث يقوم التحكم السحابي الأصلي بإدخالها ببطء في العملية.

التحكم في الوصول إلى الشبكةيوفر رؤية لجميع المحتويات الموجودة على الشبكة والتحكم في الوصول إلى البنية التحتية لشبكة الشركة القائمة على السياسة. يمكن للسياسات تحديد الوصول بناءً على دور المستخدم أو المصادقة أو العناصر الأخرى.

تنظيف DNS (نظام اسم النطاق المعقم)هي خدمة يقدمها البائع وتعمل كنظام اسم مجال خاص بالمؤسسة لمنع المستخدمين النهائيين (بما في ذلك العاملين عن بعد) من الوصول إلى المواقع سيئة السمعة.

تخفيف هجمات DDoS (تخفيف هجمات DDoS)يحد من التأثير المدمر لهجمات رفض الخدمة الموزعة على الشبكة. يتبع المنتج أسلوبًا متعدد الطبقات لحماية موارد الشبكة داخل جدار الحماية، وتلك المنتشرة أمام جدار حماية الشبكة، وتلك الموجودة خارج المؤسسة، مثل شبكات الموارد من موفري خدمات الإنترنت أو تسليم المحتوى.

إدارة سياسة أمان الشبكة (NSPM)يتضمن التحليل والتدقيق لتحسين القواعد التي تحكم أمان الشبكة، بالإضافة إلى سير عمل إدارة التغيير واختبار القواعد وتقييم الامتثال والتصور. يمكن لأداة NSPM استخدام خريطة شبكة مرئية لإظهار كافة الأجهزة وقواعد الوصول إلى جدار الحماية التي تغطي مسارات شبكة متعددة.

التجزئة الدقيقةهي تقنية تمنع هجمات الشبكة التي تحدث بالفعل من التحرك أفقيًا للوصول إلى الأصول المهمة. تنقسم أدوات العزل الجزئي لأمن الشبكات إلى ثلاث فئات:

-  الأدوات المستندة إلى الشبكة والتي يتم نشرها في طبقة الشبكة، غالبًا بالاشتراك مع الشبكات المعرفة بالبرمجيات، لحماية الأصول المتصلة بالشبكة.

-  الأدوات المعتمدة على برنامج Hypervisor هي أشكال بدائية من المقاطع التفاضلية لتحسين رؤية حركة مرور الشبكة غير الشفافة التي تتحرك بين برامج Hypervisor.

-  أدوات تعتمد على وكيل المضيف والتي تقوم بتثبيت الوكلاء على الأجهزة المضيفة التي يريدون عزلها عن بقية الشبكة؛ يعمل حل الوكيل المضيف بشكل جيد على قدم المساواة مع أعباء العمل السحابية، وأعباء عمل برنامج Hypervisor، والخوادم الفعلية.

حافة خدمة الوصول الآمن (SASE)هو إطار عمل ناشئ يجمع بين إمكانات أمان الشبكة الشاملة، مثل SWG وSD-WAN وZTNA، بالإضافة إلى إمكانات WAN الشاملة لدعم احتياجات الوصول الآمن للمؤسسات. تهدف SASE، باعتبارها مفهومًا أكثر من كونها إطار عمل، إلى توفير نموذج خدمة أمان موحد يوفر الوظائف عبر الشبكات بطريقة قابلة للتطوير ومرنة ومنخفضة الكمون.

اكتشاف الشبكة والاستجابة لها (NDR)يحلل باستمرار حركة المرور الواردة والصادرة وسجلات حركة المرور لتسجيل سلوك الشبكة العادي، بحيث يمكن تحديد الحالات الشاذة وتنبيه المؤسسات. تجمع هذه الأدوات بين التعلم الآلي (ML)، والاستدلال، والتحليل، والكشف القائم على القواعد.

ملحقات أمان DNSهي وظائف إضافية لبروتوكول DNS وهي مصممة للتحقق من استجابات DNS. تتطلب المزايا الأمنية لـ DNSSEC التوقيع الرقمي لبيانات DNS المصادق عليها، وهي عملية كثيفة الاستخدام للمعالج.

جدار الحماية كخدمة (FWaaS)هي تقنية جديدة ترتبط ارتباطًا وثيقًا بـ SWGS المستندة إلى السحابة. يكمن الاختلاف في البنية، حيث يتم تشغيل FWaaS من خلال اتصالات VPN بين نقاط النهاية والأجهزة الموجودة على حافة الشبكة، بالإضافة إلى حزمة الأمان في السحابة. يمكنه أيضًا توصيل المستخدمين النهائيين بالخدمات المحلية من خلال أنفاق VPN. تعد FWaaS حاليًا أقل شيوعًا بكثير من SWGS.


وقت النشر: 23 مارس 2022