Que devez-vous savoir sur la sécurité du réseau ?

Courtier de paquets réseauLes appareils traitent le trafic réseau afin que d'autres appareils de surveillance, tels que ceux dédiés à la surveillance des performances du réseau et à la surveillance liée à la sécurité, puissent fonctionner plus efficacement. Les fonctionnalités incluent le filtrage des paquets pour identifier les niveaux de risque, les charges de paquets et l'insertion d'un horodatage matériel.

Sécurité du réseau

Architecte de sécurité réseaufait référence à un ensemble de responsabilités liées à l'architecture de sécurité du cloud, à l'architecture de sécurité du réseau et à l'architecture de sécurité des données. Selon la taille de l'organisation, il peut y avoir un membre responsable de chaque domaine. Alternativement, l'organisation peut choisir un superviseur. Quoi qu’il en soit, les organisations doivent définir qui est responsable et leur donner les moyens de prendre des décisions critiques.

L'évaluation des risques réseau est une liste complète des façons dont des attaques internes ou externes malveillantes ou mal dirigées peuvent être utilisées pour connecter des ressources. Une évaluation complète permet à une organisation de définir les risques et de les atténuer grâce à des contrôles de sécurité. Ces risques peuvent inclure :

-  Compréhension insuffisante des systèmes ou des processus

-  Systèmes difficiles à mesurer les niveaux de risque

-  Les systèmes « hybrides » face aux risques métiers et techniques

L'élaboration d'estimations efficaces nécessite une collaboration entre les parties prenantes informatiques et commerciales pour comprendre l'étendue du risque. Travailler ensemble et créer un processus permettant de comprendre l’ensemble des risques est tout aussi important que l’ensemble des risques final.

Architecture de confiance zéro (ZTA)est un paradigme de sécurité réseau qui suppose que certains visiteurs du réseau sont dangereux et qu'il y a trop de points d'accès pour être entièrement protégés. Par conséquent, protégez efficacement les actifs du réseau plutôt que le réseau lui-même. Comme il est associé à l'utilisateur, l'agent décide d'approuver ou non chaque demande d'accès en fonction d'un profil de risque calculé sur la base d'une combinaison de facteurs contextuels tels que l'application, l'emplacement, l'utilisateur, l'appareil, la période de temps, la sensibilité des données, etc. Comme son nom l'indique, ZTA est une architecture et non un produit. Vous ne pouvez pas l'acheter, mais vous pouvez le développer en fonction de certains des éléments techniques qu'il contient.

sécurité du réseau

Pare-feu réseauest un produit de sécurité mature et bien connu doté d'une série de fonctionnalités conçues pour empêcher l'accès direct aux applications d'organisation hébergées et aux serveurs de données. Les pare-feu réseau offrent une flexibilité pour les réseaux internes et le cloud. Pour le cloud, il existe des offres centrées sur le cloud, ainsi que des méthodes déployées par les fournisseurs IaaS pour mettre en œuvre certaines des mêmes fonctionnalités.

Passerelle Web sécuriséesont passées de l’optimisation de la bande passante Internet à la protection des utilisateurs contre les attaques malveillantes provenant d’Internet. Le filtrage d'URL, l'antivirus, le décryptage et l'inspection des sites Web accessibles via HTTPS, la prévention des violations de données (DLP) et des formes limitées d'agent de sécurité d'accès au cloud (CASB) sont désormais des fonctionnalités standard.

Accès à distances'appuie de moins en moins sur le VPN, mais de plus en plus sur l'accès réseau sans confiance (ZTNA), qui permet aux utilisateurs d'accéder à des applications individuelles à l'aide de profils contextuels sans être visibles par les actifs.

Systèmes de prévention des intrusions (IPS)Empêchez les vulnérabilités non corrigées d'être attaquées en connectant des appareils IPS à des serveurs non corrigés pour détecter et bloquer les attaques. Les fonctionnalités IPS sont désormais souvent incluses dans d'autres produits de sécurité, mais il existe encore des produits autonomes. Les IPS recommencent à augmenter à mesure que le contrôle natif du cloud les intègre lentement au processus.

Contrôle d'accès au réseauoffre une visibilité sur tout le contenu du réseau et un contrôle de l'accès à l'infrastructure du réseau d'entreprise basée sur des politiques. Les stratégies peuvent définir l'accès en fonction du rôle d'un utilisateur, de son authentification ou d'autres éléments.

Nettoyage DNS (système de noms de domaine aseptisé)est un service fourni par un fournisseur qui fonctionne comme un système de noms de domaine d'une organisation pour empêcher les utilisateurs finaux (y compris les travailleurs distants) d'accéder à des sites peu recommandables.

DDoSmitigation (Atténuation DDoS)limite l’impact destructeur des attaques par déni de service distribué sur le réseau. Le produit adopte une approche multicouche pour protéger les ressources réseau à l'intérieur du pare-feu, celles déployées devant le pare-feu réseau et celles à l'extérieur de l'organisation, telles que les réseaux de ressources des fournisseurs de services Internet ou de diffusion de contenu.

Gestion des politiques de sécurité réseau (NSPM)implique une analyse et un audit pour optimiser les règles qui régissent la sécurité du réseau, ainsi que des flux de travail de gestion des changements, des tests de règles, une évaluation de la conformité et une visualisation. L'outil NSPM peut utiliser une carte visuelle du réseau pour afficher tous les appareils et les règles d'accès au pare-feu qui couvrent plusieurs chemins réseau.

Microsegmentationest une technique qui empêche les attaques réseau déjà existantes de se déplacer horizontalement pour accéder aux ressources critiques. Les outils de microisolation pour la sécurité des réseaux se répartissent en trois catégories :

-  Outils basés sur le réseau déployés au niveau de la couche réseau, souvent en conjonction avec des réseaux définis par logiciel, pour protéger les actifs connectés au réseau.

-  Les outils basés sur un hyperviseur sont des formes primitives de segments différentiels pour améliorer la visibilité du trafic réseau opaque circulant entre les hyperviseurs.

-  Outils basés sur des agents hôtes qui installent des agents sur les hôtes qu'ils souhaitent isoler du reste du réseau ; La solution d'agent hôte fonctionne aussi bien pour les charges de travail cloud, les charges de travail d'hyperviseur et les serveurs physiques.

Service d'accès sécurisé Edge (SASE)est un cadre émergent qui combine des fonctionnalités complètes de sécurité réseau, telles que SWG, SD-WAN et ZTNA, ainsi que des fonctionnalités WAN complètes pour répondre aux besoins d'accès sécurisé des organisations. Plus un concept qu'un cadre, SASE vise à fournir un modèle de service de sécurité unifié qui fournit des fonctionnalités sur les réseaux de manière évolutive, flexible et à faible latence.

Détection et réponse réseau (NDR)analyse en permanence le trafic entrant et sortant ainsi que les journaux de trafic pour enregistrer le comportement normal du réseau, afin que les anomalies puissent être identifiées et alertées aux organisations. Ces outils combinent l'apprentissage automatique (ML), l'heuristique, l'analyse et la détection basée sur des règles.

Extensions de sécurité DNSsont des modules complémentaires au protocole DNS et sont conçus pour vérifier les réponses DNS. Les avantages en matière de sécurité du DNSSEC nécessitent la signature numérique des données DNS authentifiées, un processus gourmand en ressources processeur.

Pare-feu en tant que service (FWaaS)est une nouvelle technologie étroitement liée au SWGS basé sur le cloud. La différence réside dans l'architecture, où FWaaS s'exécute via des connexions VPN entre les points finaux et les appareils en périphérie du réseau, ainsi qu'une pile de sécurité dans le cloud. Il peut également connecter les utilisateurs finaux aux services locaux via des tunnels VPN. Les FWaaS sont actuellement beaucoup moins courants que les SWGS.


Heure de publication : 23 mars 2022