应该了解的17个网络安全概念 - 网安 - 专业的网络安全产业、社区、知识平台

近日，Gartner发布了17个应该了解的网络安全概念，同时给出了一张网络安全逻辑架构图。提供了了解现代网络安全架构的关键概念基础。突然感觉，一切好像都不一样了，网络已经不再是我们所熟悉的样子，从这张拓扑图中可以看到，新环境下无边界网络的样式。

这些关键概念包括：

网络安全架构（Network security architect）是指与云安全架构、网络安全架构和数据安全架构相关的一系列职责。根据组织的规模，可能每个域有一位成员负责。或者，组织可能选择一位监督人员。无论采用何种方法，组织都需要定义谁该为此负责，并赋予他们做出关键任务决策的权力。

网络风险评估（Network risk assessment）是对内外部恶意或失误造成的，可能被用于网络攻击连接资源方式的完整清单。全面的评估允许组织定义风险并通过安全控制来减轻风险。这些风险可能包括：

对系统或流程了解不足
难以衡量风险水平的系统
面临业务和技术风险的“混合”系统

制定有效的评估需要IT和业务利益相关者相互协作，以了解风险的范围。共同努力并创建一个了解更大范围风险全景的过程与最终的风险集合同样重要。

零信任架构（ZTA）是一种网络安全范式，其假设网络上的某些访问者是危险的，并且有太多的接入点无法完全保护。因此，有效的保护网络上的资产而不是网络本身。由于它与用户相关联，代理会根据风险概况来决定是否批准每个访问请求，该风险概况根据应用程序、位置、用户、设备、时间段、数据敏感性等组合上下文因素计算得出。顾名思义，ZTA 是一种架构，而不是一种产品。你买不到，但是，可以根据其包含的一些技术元素进行开发。

网络防火墙（Network firewall）是一种成熟且众所周知的安全产品，具有一系列旨在防止直接访问托管组织应用和数据服务器的功能。网络防火墙提供了灵活性，可用于内部网络和云。对于云，有以云为中心的产品，以及IaaS提供商部署的方法来实现一些相同的功能。

安全Web网关（Secureweb gateway）已经从其过去优化互联网带宽演变为保护用户免受来自互联网的恶意侵害。URL过滤、反病毒、解密和检查通过HTTPS访问的网站、数据防泄露(DLP)和有限形式的云访问安全代理(CASB)等功能现已成为标配。

远程访问（Remote access）对VPN的依赖越来越弱，但对零信任网络访问（ZTNA）的依赖逐渐增强，它使用户在对资产不可见的情况下，利用上下文配置文件来实现对单个应用的访问。

入侵防御系统(IPS) 通过将IPS设备与未打补丁的服务器连接在一起来检测并阻止攻击，从而防止未修补的漏洞被攻击。IPS功能现在通常包含在其他安全产品中，但也仍存在独立产品。IPS正开始再次兴起，因为云原生控制在慢慢将其纳入过程中。

网络访问控制（Network access control）提供对网络上所有内容的可见性以及对基于策略法人网络基础设施访问的控制。策略可以根据用户的角色、身份验证或其他元素来定义访问。

网络数据包代理（Network packet broker）设备处理网络流量，以便其他监控设备（例如专门用于网络性能监控和安全相关监控的设备）可以更有效地运行。功能包括用于识别风险级别的数据包过滤、数据包负载和基于硬件的时间戳插入等。

DNS清洗（SanitizedDomain Name System）是供应商提供的服务，作为组织的域名系统运行，可防止终端用户（包括远程工作人员）访问声誉不佳的站点。

DDoS缓解（DDoSmitigation）限制了分布式拒绝服务攻击对网络的破坏性影响。产品采用多层方式保护防火墙内部的网络资源、部署在网络防火墙前面的资源以及组织外部的资源，例如来自互联网服务提供商或内容交付的资源网络。

网络安全策略管理（Network Security PolicyManagement, NSPM）涉及分析和审计以优化指导网络安全的规则，以及变更管理工作流、规则测试、合规性评估和可视化。NSPM工具可以使用可视化网络地图，显示覆盖在多个网络路径上的所有设备和防火墙访问规则。

微隔离（Microsegmentation）是一种技术，可以阻止已经发生的网络攻击在其横向移动以访问关键资产。用于网络安全的微隔离工具分为三类：

部署在网络层的基于网络的工具，通常与软件定义网络结合使用，用于保护连接到网络的资产。
基于管理程序的工具是微分段的原始形式，用于提高不同管理程序之间移动的不透明网络流量的可见性。
基于主机代理的工具，在其想要与网络其余部分隔离的主机上安装代理；主机代理解决方案同样适用于云工作负载、管理程序工作负载和物理服务器。

安全访问服务边缘（Secure Access Service Edge, SASE）是一种新兴框架，它结合了全面的网络安全功能，例如SWG、SD-WAN和ZTNA等，以及全面的WAN功能，可支持组织的安全访问需求。SASE更像是一个概念而非框架，其目标是提供统一的安全服务模型，以可扩展、灵活和低延迟的方式跨网络提供功能。

网络检测和响应（Network detection and response, NDR）持续分析入站和出站流量和流量记录，以记录正常的网络行为，因此可以识别异常情况并向组织发出警报。这些工具结合了机器学习(ML)、启发式、分析和基于规则的检测。

DNS安全扩展（DNSsecurity extensions）是DNS协议的附加组件，旨在验证DNS响应。DNSSEC的安全优势需要对经过验证的DNS数据进行数字签名，这是一个处理器密集型过程。

防火墙即服务（FWaaS）是一种与基于云的SWG密切相关的新技术。不同之处在于架构，FWaaS通过端点和网络边缘设备之间的VPN连接以及云中的安全堆栈运行。它还可以通过VPN隧道将最终用户连接到本地服务。FWaaS当前还远不如SWG常见。