设计现代网络安全策略并不容易壮举,因为它必须保护复杂网络的所有组件,同时对性能有限。正如预期的那样,我们对内联和带外安全部署之间的差异以及需要网络抽头或旁路点击的差异。
今天安全策略使用这两种情况,具有一席之地的主动阻塞和被动监控工具。首先让我们清除带外和内联的概念和术语。这些概念由您部署到您正在监视和保护的特定网络段的工具和策略决定。
术语内联和带外频段通常是指解决方案位于网络流量的位置,无论是直接在数据流中,实际处理数据 - 与关键链路一起使用,还是流出数据,处理数据的副本- 在整个网络中使用。
检测带带外安全策略的威胁
带外引用监视分析数据包数据以优化网络性能的工具。带外工具坐出直接流量流和被动处理分组数据,分析实时数据流的特定方面。在安全应用中,该分析用于通过保证数据质量和完整性来改善法医检测并减少MTTR(平均时间到分辨率),从而实现更快的分析和分辨率。
带外安全工具的示例将是入侵检测系统(ID)。IDS监视正在寻找恶意活动或策略违规和日志事件的流量数据,该事件触发IT管理员响应的报告。威胁检测分析了安全生态系统,以识别可能妥协网络的任何东西。
另一个常见的带外安全解决方案是安全信息和事件管理(SIEM)。SIEMS基于流过工具的流量以及其反应方式,从网络工具和硬件事件日志中收集数据,以及它的反应方式,提供安全警报的实时分析。对于无法生成事件日志的设备,SIEM上的数据包解码器可以评估数据包标题,识别错误,并在缺失时从位置创建日志。
数据丢失预防(DLP)是一个解决方案,旨在确保仅由授权的人访问敏感文件,因为人类元素通常是网络中最脆弱的点。DLP可以生成关于正在使用的数据的报告,如果敏感文件被错误地共享敏感文件,则可以实时地从文档中删除敏感信息。
网络分析仪或取证工具捕获,记录和分析网络数据包以确定网络安全攻击的源。取证工具旨在从不同站点或设备中收集的网络流量数据收集证据,例如防火墙和ID。
您可能会问,这些带外安全工具如何获取数据包数据?如果您正在思考来自交换机的跨度端口,则部分正确。有两种方法可以将数据包数据带到这些带外安全工具。正如您现在所听到的那样,跨度端口通常用于低吞吐量情况,并且容易丢弃数据包,重复数据包,体验人为错误,技术上可以被黑客攻击 - 这不是一种良好的现代安全战略的配方。
顶级挑战许多IT团队与带外安全策略的队伍正在确保他们没有丢弃的数据包或盲目,可能会掩盖威胁。这是大多数现代网络都包含可见面料的原因。在最近的一份报告中,EMA [企业管理员工]“建议企业在接入层中尽可能多地使用抽头,以避免网络性能影响和保证数据包保真度。”底线是抽头是一种简单的全证明方法,可以提供100%的可视性,以确保安全策略的成功。对于监视大量网络段的网络,网络抽头容易进入数据包代理,以提供进一步的流量展开,聚合和负载平衡,以简化连接架构。
立即下载:3键到网络弹性[免费白皮书]
具有内联安全策略的主动保护
内联是指路由器,交换机和防火墙等网络设备,这些设备被认为对企业网络功能至关重要。这些设备的任何故障或性能下降通常导致计算程序和过程中的数据包或错误。此外,这些内联设备可以创造或意外停机,这可能导致收入损失,影响公司声誉和干扰服务。乐动体育 足球快讯
内联工具旨在保护网络内的这些关键链接和设备。为此,而不是像乐队外带的兄弟一样被动分析数据的副本,这些工具直接位于流量中,以主动处理原始数据以阻止威胁到达网络或网络的其他部分。
常见的内联工具示例是防火墙。防火墙通常坐在网络的前线,作为公司的主要网络连接到外界,这是“关键链接”作为网络中设备之间的联络。乐动体育 足球快讯防火墙被设计为策略实施者,以防止未经授权访问数据,确保网络机密性。只允许在网络上允许防火墙策略定义的流量 - 尝试访问的任何其他流量都被阻止。Next-Gen防火墙(NGFW)具有超出传统防火墙的其他功能,例如IPS,防病毒和URL过滤功能。
另一个临界内联安全工具是一种入侵防御系统(IPS),它是一种网络安全和威胁防范技术,可提供网络流量的实时检查,以检测和防止威胁。IPS旨在阻止导致数据盗窃的断开尝试,确保网络完整性。任何可疑或恶意数据包从实时网络流丢弃。
当防火墙保护网络时,Web应用程序防火墙(WAF)通过将规则应用于HTTP流量以防止跨站点脚本和SQL注入等攻击来保护运行在服务器上运行的Web应用程序。WAF是一种旨在阻止基于Web的应用程序攻击的设备。
SSL解密在线部署到加密数据包,以便在通过网络或因特网上旅行时不能收集敏感信息,保护如密码,信用卡信息,银行账户信息等。为了确保他们的工作,他们需要在未加密状态访问流量。
DDOS(分布式拒绝服务)保护通过分布式拒绝服务(DDOS)攻击,积极减轻目标服务器或网络,确保网络可用性。DDOS保护都有带外和内联应用。被动DDO缓解有时需要几分钟才能识别攻击并执行缓解。攻击者可以识别这个机会窗口,并适应利用爆发攻击。内联DDOS缓解解决方案在秒内检测和减轻攻击,为快速反应缓解提供更多准确性。内联DDOS保护通常用于深度分组检测(DPI)。DPI检查详细发送的数据,通常通过阻止,重新路由或记录来获取操作。
我知道你在想什么 - 让我们添加水龙头和数据包经纪人,因为这些内联安全解决方案必须要求100%数据包数据!而且,你部分是正确的。内联安全工具需要一组特定的可见性解决方案 - 内联旁路点击。
所有这些主动阻塞设备都坐在直接流量流中。网络会发生什么,如果设备存在问题?只是关闭它?拔插头?或者,我的内联设备内置旁路。我们都希望这很容易。使用全天候业务依赖于可访问性和质量或服务 - 网络停机时间是不可接受的,拥有24/7网络。
内部旁路软件在理论上听起来很好,但如果设备下降,您仍然必须更换它并取下链接,创建单点故障。更不用说在内联工具中添加内部或内置旁路选项往往比您的外部选项更高。外部旁路防止了SPOF可能性,同时也提供了一系列福利。没有维护窗口,想象一下。操作隔离和工具沙箱意味着您可以轻松地借助带外的工具进行更新,安装修补程序,维护或故障排除,以在推送内联之前优化和验证。除了那些增加的维护福利,外部旁路提供了额外的网络弹性,灵活地绕过工具并将网络保持在故障的情况下,或者将网络运行到高可用性[HA]解决方案。旁路水龙头对于您的内联安全策略是一个无智慧。
我们还听取许多安全团队,他们正在寻找通过包含内联的混合设备来简化其安全堆栈的方法花环的edgelens,这允许您从一个设备管理一系列内联和带外工具,提供具有数据包代理的高级功能的旁路点心的可靠性。
希望添加内联或带外安全监控解决方案,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
