네트워크 패킷 브로커이 장치들은 네트워크 트래픽을 처리하여 네트워크 성능 모니터링 및 보안 관련 모니터링과 같은 다른 모니터링 장치들이 더욱 효율적으로 작동할 수 있도록 합니다. 주요 기능으로는 위험 수준 식별을 위한 패킷 필터링, 패킷 부하 분석, 하드웨어 기반 타임스탬프 삽입 등이 있습니다.
네트워크 보안 설계자이는 클라우드 보안 아키텍처, 네트워크 보안 아키텍처 및 데이터 보안 아키텍처와 관련된 일련의 책임 영역을 의미합니다. 조직 규모에 따라 각 영역에 대한 책임자를 한 명씩 지정할 수도 있고, 관리자를 지정할 수도 있습니다. 어떤 방식이든 조직은 책임자를 명확히 정의하고 핵심적인 의사 결정을 내릴 수 있도록 권한을 부여해야 합니다.
네트워크 위험 평가는 내부 또는 외부의 악의적이거나 잘못된 공격이 리소스를 연결하는 데 사용될 수 있는 모든 방법을 종합적으로 나열한 것입니다. 포괄적인 평가를 통해 조직은 위험을 정의하고 보안 제어를 통해 이를 완화할 수 있습니다. 이러한 위험에는 다음이 포함될 수 있습니다.
- 시스템 또는 프로세스에 대한 이해 부족
- 위험 수준을 측정하기 어려운 시스템
- 비즈니스 및 기술적 위험에 직면한 "하이브리드" 시스템
효과적인 위험 예측을 위해서는 IT 부서와 비즈니스 부서 이해관계자 간의 협력을 통해 위험 범위를 파악하는 것이 필수적입니다. 더 넓은 범위의 위험을 이해하기 위한 프로세스를 구축하고 함께 노력하는 것은 최종 위험 요소 집합을 도출하는 것만큼이나 중요합니다.
제로 트러스트 아키텍처(ZTA)ZTA(Zero-Temporary Access)는 네트워크 방문자 중 일부는 위험할 수 있고, 접근 지점이 너무 많아 완벽하게 보호하는 것이 불가능하다는 가정을 기반으로 하는 네트워크 보안 패러다임입니다. 따라서 네트워크 자체보다는 네트워크 상의 자산을 효과적으로 보호하는 데 중점을 둡니다. 사용자와 연결된 에이전트는 애플리케이션, 위치, 사용자, 장치, 시간대, 데이터 민감도 등과 같은 상황적 요소를 조합하여 계산된 위험 프로필을 바탕으로 각 접근 요청을 승인할지 여부를 결정합니다. 이름에서 알 수 있듯이 ZTA는 제품이 아닌 아키텍처입니다. 구매할 수는 없지만, 포함된 기술적 요소들을 기반으로 개발할 수 있습니다.
네트워크 방화벽방화벽은 호스팅된 조직 애플리케이션 및 데이터 서버에 대한 직접 접근을 차단하도록 설계된 다양한 기능을 갖춘 성숙하고 잘 알려진 보안 제품입니다. 네트워크 방화벽은 내부 네트워크와 클라우드 환경 모두에 유연성을 제공합니다. 클라우드 환경의 경우, 클라우드 중심의 솔루션뿐만 아니라 IaaS 제공업체가 동일한 기능을 구현하기 위해 사용하는 방법도 있습니다.
Secureweb 게이트웨이인터넷 대역폭 최적화에서 시작하여 이제는 인터넷을 통한 악성 공격으로부터 사용자를 보호하는 방향으로 발전해 왔습니다. URL 필터링, 바이러스 백신, HTTPS를 통해 접속하는 웹사이트의 암호 해독 및 검사, 데이터 유출 방지(DLP), 그리고 제한적인 형태의 클라우드 액세스 보안 에이전트(CASB)는 이제 표준 기능이 되었습니다.
원격 접속VPN에 대한 의존도는 점점 줄어들고 있지만, 자산에 노출되지 않고 사용자가 컨텍스트 프로필을 사용하여 개별 애플리케이션에 액세스할 수 있도록 하는 제로 트러스트 네트워크 액세스(ZTNA)에 대한 의존도는 점점 늘어나고 있습니다.
침입 방지 시스템(IPS)IPS(침투 방지 시스템)는 패치가 적용되지 않은 서버에 장치를 연결하여 공격을 탐지하고 차단함으로써 패치가 적용되지 않은 취약점에 대한 공격을 방지합니다. IPS 기능은 이제 다른 보안 제품에 포함되는 경우가 많지만, 독립형 제품도 여전히 존재합니다. 클라우드 네이티브 제어 방식이 점차 도입됨에 따라 IPS는 다시 주목받고 있습니다.
네트워크 접근 제어네트워크상의 모든 콘텐츠에 대한 가시성을 제공하고 정책 기반 기업 네트워크 인프라에 대한 액세스를 제어합니다. 정책은 사용자의 역할, 인증 또는 기타 요소를 기반으로 액세스를 정의할 수 있습니다.
DNS 클렌징(정리된 도메인 이름 시스템)DNS는 공급업체에서 제공하는 서비스로, 조직의 도메인 이름 시스템(DNS) 역할을 하여 최종 사용자(원격 근무자 포함)가 신뢰할 수 없는 사이트에 접속하는 것을 방지합니다.
DDoS 완화 (DDoS 공격 완화)분산 서비스 거부 공격(DDoS)이 네트워크에 미치는 파괴적인 영향을 제한합니다. 이 제품은 방화벽 내부의 네트워크 리소스, 방화벽 앞에 배치된 리소스, 그리고 인터넷 서비스 제공업체 또는 콘텐츠 전송 네트워크와 같은 조직 외부의 리소스까지 다계층 방식으로 보호합니다.
네트워크 보안 정책 관리(NSPM)NSPM은 네트워크 보안을 관리하는 규칙을 최적화하기 위한 분석 및 감사, 변경 관리 워크플로, 규칙 테스트, 규정 준수 평가 및 시각화를 포함합니다. NSPM 도구는 시각적인 네트워크 맵을 사용하여 여러 네트워크 경로를 포괄하는 모든 장치와 방화벽 액세스 규칙을 표시할 수 있습니다.
미세분할이미 발생한 네트워크 공격이 수평적으로 확산되어 중요 자산에 접근하는 것을 방지하는 기술입니다. 네트워크 보안을 위한 마이크로격리 도구는 세 가지 범주로 나뉩니다.
- 네트워크 계층에 배포되는 네트워크 기반 도구로, 소프트웨어 정의 네트워크와 함께 사용되는 경우가 많으며, 네트워크에 연결된 자산을 보호합니다.
- 하이퍼바이저 기반 도구는 하이퍼바이저 간에 이동하는 불투명한 네트워크 트래픽의 가시성을 향상시키기 위한 차등 세그먼트의 원시적인 형태입니다.
- 호스트 에이전트 기반 도구는 네트워크의 나머지 부분과 격리하려는 호스트에 에이전트를 설치합니다. 호스트 에이전트 솔루션은 클라우드 워크로드, 하이퍼바이저 워크로드 및 물리적 서버에서 모두 효과적으로 작동합니다.
보안 액세스 서비스 에지(SASE)SASE는 SWG, SD-WAN, ZTNA와 같은 포괄적인 네트워크 보안 기능과 포괄적인 WAN 기능을 결합하여 조직의 보안 액세스 요구 사항을 지원하는 새로운 프레임워크입니다. 프레임워크라기보다는 개념에 가까운 SASE는 확장 가능하고 유연하며 지연 시간이 짧은 방식으로 네트워크 전반에 걸쳐 기능을 제공하는 통합 보안 서비스 모델을 목표로 합니다.
네트워크 탐지 및 대응(NDR)지속적으로 수신 및 발신 트래픽과 트래픽 로그를 분석하여 정상적인 네트워크 동작을 기록하고, 이상 징후를 식별하여 조직에 경고합니다. 이러한 도구는 머신 러닝(ML), 휴리스틱, 분석 및 규칙 기반 탐지를 결합합니다.
DNS 보안 확장DNSSEC는 DNS 프로토콜에 추가되는 기능으로, DNS 응답을 검증하도록 설계되었습니다. DNSSEC의 보안 이점을 활용하려면 인증된 DNS 데이터에 디지털 서명을 해야 하는데, 이는 프로세서 자원을 많이 소모하는 작업입니다.
서비스형 방화벽(FWaaS)FWaaS는 클라우드 기반 SWGS와 밀접한 관련이 있는 새로운 기술입니다. 차이점은 아키텍처에 있는데, FWaaS는 엔드포인트와 네트워크 에지의 장치 간에 VPN 연결을 통해 실행되며 클라우드에 보안 스택이 있습니다. 또한 VPN 터널을 통해 최종 사용자를 로컬 서비스에 연결할 수도 있습니다. 현재 FWaaS는 SWGS에 비해 훨씬 덜 일반적입니다.
게시 시간: 2022년 3월 23일
