什么是网络安全？

网络安全是用于保护组织的数据、工作负载和云基础设施免遭未经授权访问和滥用的技术、策略和流程。组织的网络将重要的内部数据和资源与公共互联网相连。网络安全可保护各个网络层的资源免受安全风险影响，确保数据的机密性、可用性和完整性。

客户、员工和软件用户信任组织在他们访问资源时保护其隐私和安全。强大的网络安全有助于组织降低数据风险、提高服务可用性，并保持灵活的员工队伍。

保护敏感数据

组织会收集、存储和处理敏感数据以支持其运营。强大的网络安全可以帮助组织防止未经授权访问存储的数据并遵守数据隐私相关法规。

确保应用程序的可用性和可靠性

企业应用程序依赖安全的网络来运行。如果网络受到攻击，用户体验和组织运营将受到干扰。有效的网络安全策略有助于减少威胁对应用程序的影响，或者在遭受入侵时缩短恢复时间。

创造灵活的工作机会

越来越多的公司选择采用混合工作模式。他们会通过网络安全措施和保护工具，保护员工用于远程工作的计算机和设备。这种方式使公司能够监控员工安装的应用程序、应用安全更新，并向安全团队报告可疑活动。

网络安全是一系列策略和控制措施，有助于保护资源，同时确保数据流安全性和系统完整性。

网络安全控制包含四个独立领域，这些领域协同工作以帮助组织抵御威胁。

预防性控制

基于网络的预防性策略和控制措施有助于保护您的数据、工作负载和云基础设施。在此阶段，您可以采用分层防御方法。例如，您可以阻止未经授权访问组织内部网络的尝试、阻止对关键应用程序的访问，以及禁止向外部方传输大量数据。

网络安全风险可能来自授权网络访问，包括意外数据访问和勒索软件事件。网络管理员会部署预防性控制措施，例如防火墙、身份和访问管理（IAM）控制以及网络分段。例如，您可以配置 Web 应用程序防火墙来阻止可疑 IP 地址连接到内部服务器。

主动控制

主动控制旨在防止在网络中创建不合规的资源。这些控制措施可避免网络漏洞被引入运行环境。主动网络控制包括限制资源创建的 IAM 角色、基于合规性的基础设施创建等规则。例如，您可以将所有存储默认配置为严格非公开状态。

检测式控制

检测是一项网络安全活动，用于识别绕过预防性防御措施的威胁或未经授权的流量。安全团队会利用行为分析、威胁情报解决方案和入侵防御系统等检测工具来识别组织网络中的异常模式。完善的检测系统能够识别威胁并提醒安全人员，从而帮助避免数字资产遭受大范围损害。例如，入侵检测系统（IDS）会检测来自未经授权设备的登录尝试，并将事件上报给安全团队进行调查。

响应式控制

响应式控制可帮助组织限制网络安全事件的影响并恢复正常运营。事件发生时，自动补救服务会启动，安全团队会执行响应计划，并向利益相关者告知为遏制网络威胁将采取的缓解措施。自动化系统与安全团队协同工作，隔离受影响的网络、从备份中恢复数据，并通过取证分析清除网络中的威胁。威胁得到控制后，团队会利用调查发现强化网络安全、完善响应计划、优化数据丢失预防策略，以防止将来发生类似的攻击。

安全团队使用各类网络安全工具和策略来预防、检测和应对网络威胁。下面将分享一些常见示例。

网络访问控制

网络访问控制（NAC）可以防止未经授权的用户和不合规设备访问组织的网络和专有资产。NAC 通常与身份和访问管理（IAM）以及基于角色的访问控制（RBAC）解决方案配合使用。它们共同作用，使安全团队能够根据用户的角色、访问时间、位置等参数授予访问权限。当您实施 NAC 时，网络会对所有尝试连接服务器的用户和设备进行身份验证。身份验证通过后，系统会评测用户的权限级别，并根据评测结果授予或拒绝访问权限。

防火墙

防火墙是专门的软件或硬件，可根据预定义规则监控和过滤网络流量。它们通常部署在网络边缘，用于阻止有害流量。基础防火墙可以阻止来自可疑 IP 地址列表的流量。多年来，防火墙不断发展，已具备更适合 Web 应用程序和云环境的高级网络监控功能。

WAF

Web 应用程序防火墙（WAF）是一种可提升 Web 安全性的防火墙类型。WAF 会监控 HTTP 流量，这是网站用于在服务器和浏览器之间通信的一种协议。部署后，WAF 可保护 Web 应用程序免受特定网络威胁，例如 SQL 注入和跨站脚本（XSS）攻击。当威胁行为者向数据库注入代码以窃取或篡改记录时，就会发生 SQL 注入攻击。XSS 则是在合法网站中植入恶意脚本，以窃取敏感信息的攻击。

NGFW

下一代防火墙（NGFW）扩展了传统防火墙的功能。与传统防火墙一样，NGFW 会根据预定义规则监控入站和出站流量。此外，它还增加了高级监控功能（例如深度数据包检测），能够发现普通防火墙可能遗漏的隐藏威胁和数据模式。

DDoS 保护

分布式阻断服务（DDoS）是一种网络攻击，旨在影响目标系统（如网站或应用程序）的可用性。这会导致合法终端用户无法访问和使用这些服务。通常，攻击者会生成大量数据包或请求，最终使目标系统不堪重负。DDoS 攻击会利用多个受感染或受控来源来发起攻击。

端点安全

端点安全是指用于增强网络内设备及请求远程访问设备的数字安全的工具、策略和方法。端点安全解决方案可能具备多种功能，包括补丁监控、流量分析、加密验证和服务控制（包括应用程序限制）。移动设备管理（MDM）是针对连接到企业环境的移动设备的一种特定端点安全形式。

远程访问 VPN

虚拟专用网络（VPN）通过安全服务器路由入站和出站流量。在此过程中，VPN 会使用加密技术对用户发送和接收的数据进行加密处理。它还会隐藏用户的 IP 地址，使用户能够在互联网上保持匿名。这使员工即使在使用不安全 Wi-Fi 的公共场所工作时，也能安全连接到组织的网络。

组织可以通过实施有针对性的策略（涵盖各类设备、用户和网络架构）来建立强大的网络安全管理框架。

零信任网络接入

零信任网络接入（ZTNA）可以确保只有可信用户和设备才能访问网络资源。它可以帮助安全团队抵御计算机网络免受内部和外部威胁。ZTNA 基于最低权限原则，即仅向用户授予完成工作所需的数据访问权限。

例如，假设部门经理试图访问公司的财务数据库。即使他们使用的是连接到公司 VPN 的公司笔记本电脑，且自身是高级员工，ZTNA 系统仍会执行多项验证步骤。系统会通过多重身份验证来验证用户身份、检查设备安全状态（如是否安装最新补丁、防病毒软件）、验证用户的位置和访问时间，并确认用户是否拥有该特定数据库的正确权限。

之后，ZTNA 仅授予用户对该特定应用程序的访问权限（而非整个网络的访问权限），同时持续监控会话中是否存在可疑活动。如果任何安全条件发生变化（例如在其设备上检测到恶意软件），访问权限将立即撤销。这种“永不信任，始终验证”的方法适用于每一次访问请求，无论用户的角色或位置如何。

网络分段

网络分段将网络划分为较小的部分，使其更易于管理和保护。首先，安全团队会根据工作组和互连关系对用户和资源进行分类。然后，他们将相似的用户和资源归到同一个网段，并在网段边界部署防火墙和其他网络安全设备。这允许安全团队应用特定的网络访问策略，防止未经授权的用户访问网络资源。

此外，网络分段有助于防止感染计算机的未授权软件在组织内部传播。例如，如果您根据业务部门对公司网络进行分段，那么影响营销部门的数据事件就不太可能影响人力资源部门。

用户和实体行为分析

分析用户、设备和网络基础设施的行为有助于防范潜在的数据风险。安全团队可以通过机器学习和数据分析来检测异常行为。例如，如果某位员工突然登录其移动应用程序并下载大量敏感数据，网络安全系统会立即向安全人员发出警报。

AWS 网络安全服务在主机、网络和应用程序级边界为您提供细粒度保护。例如：

• Amazon VPC 安全组可以为 AWS 工作负载中的资源提供主机级别的保护。
• AWS Network Firewall 允许您在网络层面严格控制进出 VPC 以及 VPC 之间的流量。它包含有状态检查、入侵防御和 Web 过滤等功能。
• AWS Web 应用程序防火墙使您能够筛选 Web 请求的任何部分（如 IP 地址、HTTP 标头、HTTP 正文或 URI 字符串），以阻挡常见攻击模式（包括 SQL 注入和跨站脚本攻击）。
• AWS Shield 可保护您的网络和应用程序免受最大的 DDoS 攻击，并提供托管式检测与响应服务，以抵御有针对性的攻击。
• 您可以借助 AWS Firewall Manager 实施一套通用的安全规则，轻松让新应用程序和资源从一开始就达到合规要求。

立即创建免费账户，开始使用 AWS 上的网络安全服务。