公有云、私有云、本地……如今，大量企業機構網絡選擇的出現對網絡安全提出了新的要求。過去的“保護網絡周邊”模式已不再適用，網絡安全領導人正在采用新的方法。

　　Gartner高級研究總監ThomasLintemuth表示：“網絡安全可能十分復雜，但它是所有其他信息安全系統的基礎。好消息是網絡安全已經是一個成熟的市場，這個市場有強大、成熟的供應商，同時還有創新的初創企業，他們不斷為我們帶來更好的新技術來維護網絡的安全并保護資產。”

　　本文將簡單介紹需要了解的關鍵現代化網絡安全架構概念。從網絡安全領導人的角色和責任開始到邏輯架構，我們將通過描繪安全要求范圍為構建網絡安全提供了一個堅實的基礎。

　　7個關鍵網絡安全概念

　　網絡安全架構（Network security architect）指與云安全架構、網絡安全架構和數據安全架構有關的一整套職責。企業機構可以根據自身的規模，為每一個網絡安全架構領域單獨指定一名負責的人員，也可以指定一名人員監督所有這些領域。無論采用哪種方法，企業機構都需要確定負責的人員并賦予他們做出關鍵任務決策的權力。

　　網絡風險評估（Network risk assessment ）指全面清查內部和外部懷有惡意或粗心的行動者可能利用網絡來攻擊聯網資源的方式。企業機構能夠通過全面的評估來定義風險，并通過安全控制措施來減輕風險。這些風險可能包括：

　　對系統或流程理解不透徹

　　難以衡量系統的風險水平

　　同時受到業務和技術風險影響的“混合”系統

　　IT和業務利益相關者之間必須通過開展協作來了解風險范圍，這樣才能設計出實用的評估。這一合作流程以及創建一個了解風險全局的流程與確定一套最終風險要求同樣重要。

　　零信任架構（Zero-Trust Architecture，ZTA）是一種假設網絡上的部分行動者具有敵意并且由于接入點數量過多而無法提供充分保護的網絡安全范式。因此，保護網絡上的資產而不是網絡本身是一種有效的安全態勢。代理會根據從應用、位置、用戶、設備、時間、數據敏感性等綜合環境因素計算出的風險狀況，決定是否批準各個與用戶有關的訪問請求。正如其名，零信任架構是一個架構，而不是一個產品。雖然無法購買它，但可以使用這個列表中的一些技術元素來開發它。

　　網絡防火墻（Network firewall）是一種成熟、廣為人知的安全產品，它通過一系列功能防止任何人直接訪問企業機構應用和數據所在的網絡服務器。網絡防火墻具有的靈活性使其既可用于本地網絡，也可用于云。而在云端，有專門用于云的產品，也有IaaS提供商部署的具有相同功能的策略。

　　安全網絡網關（Secure web gateway）的用途已經從過去的優化互聯網帶寬發展為保護用戶免受互聯網惡意內容的影響。諸如URL過濾、反惡意軟件、解密和檢查通過HTTPS訪問的網站、數據丟失預防（DLP）、規定形式的云訪問安全代理（CASB）等功能現已成為標準功能。

　　遠程訪問（Remote access）對虛擬專用網絡（VPN）的依賴性日益減少，而對零信任網絡訪問（ZTNA）的依賴性日益增加。零信任網絡訪問使資產對用戶不可見并使用上下文配置文件方便對個別應用的訪問。

　　入侵防御系統（IntrusionPrevention System，IPS）為未修補的服務器部署檢測和阻止攻擊的IPS設備，從而保護無法修補的漏洞（例如在服務提供商不再支持的打包應用上）。IPS功能通常包含在其他安全產品中，但也有獨立的產品。由于云原生控制措施在加入IPS方面進展緩慢，IPS正在“東山再起”。

　　網絡訪問控制（Network access control ）提供了對網絡上一切內容的可見性以及基于策略的網絡基礎設施訪問控制。策略可以根據用戶的角色、認證或其他因素來定義訪問權限。

　　網絡數據包代理（Network packet broker）設備通過處理網絡流量，使其他監控設備能夠更加有效地運行，例如專門用于網絡性能監控和安全相關監控的設備。其功能包括用于確定風險水平的分封數據過濾、分配數據包負載和基于硬件的時間戳插入等。

　　凈化域名系統（SanitizedDomain Name System，DNS）是廠商提供的作為企業機構域名系統運行的服務，可防止終端用戶（包括遠程工作者）訪問有不良聲譽的網站。

　　DDoS攻擊緩解（DDoSmitigation）限制了分布式拒絕服務（DDoS）攻擊對網絡運行的破壞性影響。這些產品采取多層策略來保護防火墻內的網絡資源、位于本地但在網絡防火墻之前的資源以及位于企業機構外部的資源，例如來自互聯網服務提供商或內容交付網絡的資源。

　　網絡安全策略管理（NetworkSecurity Policy Management ，NSPM）通過分析和審核來優化指導網絡安全的規則并更改管理工作流程、規則測試以及合規性評估和可視化。NSPM工具可以使用可視化網絡地圖顯示疊加在多個網絡路徑上的所有設備和防火墻訪問規則。

　　微分段（Microsegmentation）可以抑制已經在網絡上的攻擊者在網絡中為了訪問關鍵資產而進行的橫向移動。用于網絡安全的微分段工具有三類：

　　基于網絡的工具部署在網絡層面，通常與軟件定義網絡結合在一起并用于保護與網絡連接的資產。

　　基于管理程序的工具是最初形態的微分段，此類工具專門用于提高在不同管理程序之間移動的不透明網絡流量的可見性。

　　基于主機代理的工具會在將與網絡其他部分隔離的主機上安裝一個代理；主機代理解決方案在云工作負載、管理程序工作負載和物理服務器上同樣有效。

　　安全訪問服務邊緣（SecureAccess Service Edge ，SASE）是一個新型框架，它將包括SWG、SD-WAN和ZTNA在內的全方位網絡安全功能與綜合全面的廣域網功能相結合，幫助滿足企業機構的安全訪問需求。SASE與其說是一個框架，不如說是一個概念，其目標是實現一個統一的安全服務模式，并且該模式能夠以可擴展、靈活和低延遲的方式提供跨越整個網絡的功能。

　　網絡檢測和響應（Networkdetection and response ）持續分析入站和出站流量以及數據流記錄，從而記錄正常的網絡行為，因此它可以識別異常情況并向企業機構發出提醒。這些工具能夠結合使用機器學習（ML）、試探法、分析工具和基于規則的檢測。

　　DNS安全擴展（DNSsecurity extensions）是DNS協議的一項能夠驗證DNS響應的附加功能。DNSSEC的安全優勢在于要求對經過驗證的DNS數據進行數字簽名，而該流程極度消耗處理器資源。

　　防火墻即服務（Firewall asa Service ，FWaaS）是一項與云端SWG密切相關的新技術。它的不同之處在于架構：FWaaS通過端點和網絡邊緣設備之間的VPN連接以及云端的安全棧運行。它還可以通過VPN隧道連接終端用戶與本地服務。FWaaS的普及度遠不如SWG。