17网络安全相关概念和缩略语

领导力愿景电子书:2022年安全领导人的首要行动

公共云、私有云、局内云——当今组织网络可用的纯粹选项意味着对网络安全的新要求。过去的“保护网络边界”模式不再有效，网络安全领导者正在采用新的方法。

立即下载:如何使你的信息安全计划成熟

“网络安全可能很复杂，但它是所有其他信息安全系统的基础，”他说托马斯Lintemuth， Gartner的高级总监分析师。“好消息是，网络安全是一个成熟的市场，有强大的、成熟的供应商，还有创新的初创公司，它们不断带来新的、更好的技术，以保证网络安全和资产的保护。”

在这里，我们提供了关于现代网络安全架构需要理解的关键概念的入门知识。从网络安全领导者的角色和职责开始，然后是逻辑架构，映射安全需求的范围为构建提供了坚实的基础。

17个关键网络安全概念

网络安全架构师指的是一套与云安全架构、网络安全架构和数据安全架构相关的职责。根据组织的规模，可能有一个单独的人负责每个域。或者，一个组织可能会指定一个人来监督所有人。无论采用哪种方法，组织都需要定义谁有这个责任，并赋予他们做出关键任务决策的权力。

终极指南:网络安全

网络风险评估是内部和外部的邪恶或粗心的行为者可能使用网络攻击连接资源的方式的全部清单。完整的评估允许组织定义风险，并通过安全控制来减轻风险。这些风险可能包括:

• 不理解的系统或过程
• 风险水平难以衡量的系统
• “混合”系统同时受到业务和技术风险的影响

制作有用的评估需要IT和业务涉众之间的协作，以理解风险的范围。共同工作的过程和为理解广泛的风险图景而创建的过程与风险需求的最终集同样重要。

零信任架构(ZTA)是一种网络安全范式，它的运行假设是网络上的一些参与者是敌对的，并且有太多的入口点需要完全保护。因此，有效的安全立场保护的是网络上的资产，而不是网络本身。由于涉及到用户，代理根据综合上下文因素(如应用程序、位置、用户、设备、一天中的时间、数据敏感性等)计算出的风险概要来决定是否授予每个访问请求。顾名思义，ZTA是一个体系结构，而不是一个产品。你买不到;但是，您可以根据此列表中包含的一些技术元素来开发它。

听:让你的组织零信任

网络防火墙是一款成熟而知名的安全产品，具有一系列功能，旨在防止任何人直接访问承载组织应用程序和数据的网络服务器。网络防火墙提供了灵活性，可用于内部网络和云。对于云，有专注于云的产品，也有IaaS提供商部署的方法来实现一些相同的功能。

安全的网络网关它已经从过去优化互联网带宽的目的演变为保护用户免受来自互联网的恶意内容。URL过滤、反恶意软件、解密和检查通过HTTPS访问的网站、数据丢失预防(DLP)和有限形式的云访问安全代理(CASB)等功能现在已成为标准。

远程访问越来越少地依赖虚拟专用网络(vpn)，越来越多地依赖零信任网络访问(ZTNA)。ZTNA使资产对用户不可见，并使用上下文配置文件来促进对单个应用程序的访问。

入侵防御系统(IPS)通过将IPS设备与未打补丁的服务器连接在一起，以检测和阻止攻击，防止无法打补丁的漏洞(例如，在服务提供商不再支持的打包应用程序上)。IPS功能通常包含在其他安全产品中，但也存在独立的产品。IPS正在经历复兴，因为云原生控制系统在将其纳入其中方面进展缓慢。

网络访问控制提供对网络上所有内容的可见性，以及对访问网络基础设施的基于策略的控制。策略可以根据用户的角色、身份验证或其他因素定义访问。

阅读更多:证明你的网络安全计划有效的4个指标

网络数据包代理设备处理网络流量，以便其他监视设备(例如专门用于网络性能监视和与安全相关的监视的设备)能够更有效地运行。功能包括包数据过滤以识别风险级别、分发包负载和基于硬件的时间戳插入等。

域名系统(DNS)是供应商提供的服务，作为组织的域名系统运行，防止最终用户(包括远程工作者)访问名声不好的网站。

DDoS缓解限制分布式拒绝服务(DDoS)攻击对网络运行的破坏性影响。这些产品采用多层次的方法来保护防火墙内部的网络资源、位于网络防火墙前面的本地资源和组织外部的资源，例如来自互联网服务提供商或内容分发网络的资源。

阅读更多:3个行动帮助你培训更多精通网络安全的员工

网络安全策略管理(NSPM)包括分析和审计，以优化指导网络安全的规则，以及变更管理工作流、规则测试和遵从性评估和可视化。NSPM工具可以使用一个可视化的网络映射，该映射显示了覆盖在多个网络路径上的所有设备和防火墙访问规则。

Microsegmentation是一种阻止已经在网络上的攻击者横向移动以访问关键资产的技术。用于网络安全的微分割工具分为三类:

• 基于网络的工具部署在网络级别，通常与软件定义的网络结合使用，用于保护连接到网络的资产。
• 基于管理程序的工具是微分割的原始形式，开发它是为了增加在不同管理程序之间移动的不透明网络流量的可见性。
• 基于主机代理的工具在它们想要从网络的其余部分分离出来的主机上安装代理;主机-代理解决方案同样适用于云工作负载、管理程序工作负载和物理服务器。

安全接驳服务边缘(SASE)是一个新兴的框架，它结合了全面的网络安全功能，如SWG、SD-WAN和ZTNA等，并具有全面的广域网功能，以支持组织的安全访问需求。与其说SASE是一个框架，不如说它是一个概念，它的目标是交付一个统一的安全服务模型，以可伸缩、灵活和低延迟的方式跨网络提供功能。

网络检测与响应持续分析入站和出站的流量和流记录，以记录正常的网络行为，因此可以识别并向组织发出异常警报。这些工具结合了机器学习(ML)、启发式、分析和基于规则的检测。

DNS安全扩展是DNS协议的附加组件，目的是验证DNS响应。DNSSEC的安全好处需要对经过验证的DNS数据进行数字签名，这是一个处理器密集型的过程。

防火墙即服务(FWaaS)是一种与基于云的SWG密切相关的新技术。不同之处在于体系结构:FWaaS运行于端点和网络边缘设备之间的VPN连接，以及云中的安全堆栈。终端用户也可以通过VPN隧道连接到企业内部业务。FWaaS远没有SWG常见。