Что такое сетевая безопасность?

Сетевая безопасность – это технологии, политики и процессы, используемые для защиты данных, рабочих нагрузок и облачной инфраструктуры организации от несанкционированного доступа и неправомерного использования. Сеть организации связывает крайне важные внутренние данные и ресурсы с общедоступным Интернетом. Сетевая безопасность защищает ресурсы на различных сетевых уровнях от рисков нарушения безопасности, обеспечивая конфиденциальность, доступность, целостность и удобство использования данных.

Клиенты, сотрудники и пользователи программного обеспечения доверяют организациям защиту своей конфиденциальности и безопасности при доступе к ресурсам. Надежная сетевая безопасность помогает организациям снизить связанные с данными риски, повысить доступность сервисов и сохранить адаптивность персонала.

Защита конфиденциальных данных

Организации собирают, хранят и обрабатывают конфиденциальные данные для поддержки своей деятельности. Высокая безопасность сети может помочь организациям предотвратить несанкционированный доступ к хранимым данным и соблюсти законы о конфиденциальности данных.

Обеспечение доступности и надежности приложений

Для работы корпоративных приложений необходимо наличие безопасной сети. Если сеть будет скомпрометирована, ход взаимодействия с пользователями и организационные операции могут быть нарушены. Эффективные стратегии сетевой безопасности помогут уменьшить угрозу воздействия на приложения, или, в случае взлома, сократить время восстановления.

Создавайте гибкие рабочие возможности

Все больше компаний отдают предпочтение гибридной рабочей среде. Для этого они обеспечивают безопасность компьютеров и устройств, используемых сотрудниками для удаленной работы, реализуя меры сетевой безопасности и внедряя инструменты защиты. Такой подход позволяет компаниям отслеживать устанавливаемые сотрудниками приложения, применять обновления безопасности и сообщать о подозрительных действиях своим службам безопасности.

Сетевая безопасность – это серия политик и средств управления, которые помогают защитить ресурсы, обеспечивая при этом безопасные потоки данных и целостность системы.

Четыре отдельных области управления сетевой безопасностью помогают защитить организацию от угроз.

Профилактический контроль

Сетевые превентивные политики и средства управления помогают защитить данные, рабочие нагрузки и облачную инфраструктуру. На этом этапе можно использовать многоуровневый подход к защите. Например, можно блокировать попытки несанкционированного доступа к внутренней сети организации, предотвращать доступ к критически важным приложениям и прекращать передачу больших объемов данных внешним сторонам.

Риски кибербезопасности возникают из-за авторизованного доступа к сети, включая непреднамеренный доступ к данным и события, связанные с программами-вымогателями. Сетевые администраторы используют превентивные средства управления, такие как брандмауэры, средства управления идентификацией и доступом (IAM) и сегментация сети. Например, можно настроить брандмауэр веб-приложения таким образом, чтобы он блокировал подключение подозрительных IP-адресов к внутренним серверам.

Упреждающее управление

Средства упреждающего управления предназначены для предотвращения создания в сети ресурсов, не соответствующих требованиям. Эти средства управления предотвращают внедрение в среду сетевых уязвимостей. Упреждающее управление сетями включает такие правила, как использование ролей IAM, ограничивающих создание ресурсов, и создание инфраструктуры на основе соответствия требованиям. Например, по умолчанию можно настроить все хранилища строго закрытыми.

Средства обнаружения

Обнаружение – это активность в сфере кибербезопасности, направленная на выявление угроз или несанкционированного трафика, который не соответствует параметрам превентивной защиты. В целях обнаружения службы безопасности используют специализированные инструменты (включая системы поведенческой аналитики, аналитики угроз и предотвращения вторжений) для выявления необычных закономерностей в сети организации. Эффективная система обнаружения выявляет угрозы и предупреждает сотрудников службы безопасности для предотвращения широкомасштабного ущерба цифровым активам. Например, система обнаружения вторжений (IDS) обнаруживает попытки входа в систему с помощью неавторизованных устройств и сообщает об инцидентах специалистам по безопасности для дальнейшего расследования.

Адаптивное управление

Средства адаптивного управления помогают организации ограничить влияние событий, связанных с сетевой безопасностью, и возобновить стабильную работу. В случае возникновения инцидента запускаются службы автоматического устранения неполадок, а специалисты по безопасности разрабатывают планы реагирования, информируя заинтересованные стороны о мерах по предотвращению сетевых угроз. Автоматизированные системы и специалисты по безопасности совместно работают над изоляцией затронутых сетей, восстановлением данных из резервных копий и проведением криминалистического анализа для устранения угроз из сети. После локализации последствий специалисты используют полученные данные для укрепления сетевой безопасности, совершенствования плана реагирования, уточнения стратегий предотвращения потери данных, а также предотвращения аналогичных атак в будущем.

Службы безопасности используют различные инструменты и стратегии сетевой безопасности для предотвращения, обнаружения сетевых угроз и реагирования на них. Ниже приведены типичные примеры.

Управление сетевым доступом

Решение по управлению сетевым доступом (NAC) предотвращает доступ неавторизованных пользователей и устройств, которые не соответствуют требованиям, к сети и собственным активам организации. Решение по NAC часто работает в сочетании с решениями по управлению идентификацией и доступом (IAM) и управлению доступом на основе ролей (RBAC). В совокупности они позволяют службам безопасности предоставлять пользователям разрешение на доступ в зависимости от их роли, времени доступа, местоположения и других параметров. После внедрения решения по NAC сеть будет аутентифицировать каждого пользователя и каждое устройство, которые пытаются подключиться к серверу. После аутентификации система оценит уровень разрешений пользователя и, в зависимости от результата, предоставит доступ или откажет в нем.

Брандмауэры

Брандмауэры – это специализированное программное или аппаратное обеспечение, которое отслеживает и фильтрует сетевой трафик в соответствии с заранее определенными правилами. Зачастую их размещают на краю сети, чтобы блокировать вредоносный трафик. Базовый брандмауэр может предотвращать трафик с IP-адресов, внесенных в список подозрительных. С годами брандмауэры развивались и теперь включают расширенные возможности сетевого мониторинга, которые больше подходят для веб-приложений и облачных сред.

WAF

Брандмауэр веб-приложений (WAF) – это тип брандмауэра, который повышает веб-безопасность. WAF отслеживает HTTP-трафик – тип протокола, который веб-сайты используют для связи между сервером и браузером. После развертывания WAF будет защищать веб-приложение от определенных киберугроз, таких как внедрение SQL-кода и атаки с использованием межсайтового скриптинга (XSS). Внедрение SQL-кода происходит, когда злоумышленники внедряют код в базу данных для кражи записей или манипулирования ими. XSS – это атака, при которой на подлинном веб-сайте размещают вредоносные скрипты для кражи конфиденциальной информации.

NGFW

Брандмауэр нового поколения (NGFW) имеет расширенные возможности по сравнению с обычным брандмауэром. Как и обычный брандмауэр, NGFW отслеживает входящий и исходящий трафик на основе заранее определенных правил. Однако в него добавлены расширенные функции мониторинга, такие как глубокая инспекция пакетов, для выявления скрытых угроз и шаблонов данных, которые обычные брандмауэры могут пропустить.

Защита от DDoS-атак

Распределенная атака типа «отказ в обслуживании» (DDoS) – это киберсобытие, которое негативно влияет на доступность атакуемой системы, например веб-сайта или приложения. В результате подлинные конечные пользователи не могут получить доступ к этим сервисам и использовать их. Как правило, злоумышленники генерируют большие объемы пакетов или запросов, пытаясь перегрузить атакуемую систему. Для DDoS-атаки используются несколько скомпрометированных или контролируемых источников.

Защита адресов

Решения по защите адресов – это инструменты, политики и методы, повышающие цифровую безопасность устройств в сети и устройств, запрашивающих удаленный доступ. Решения по защите адресов могут иметь несколько функций, включая мониторинг исправлений, анализ трафика, проверку шифрования и управление сервисами, включая ограничение приложений. Управление мобильными устройствами (MDM) – это особая форма защиты адресов для мобильных устройств, подключенных к корпоративной среде.

Удаленный доступ через VPN

Виртуальная частная сеть (VPN) направляет входящий и исходящий трафик через защищенные серверы. Там VPN шифрует отправляемые и получаемые пользователями данные с помощью технологий шифрования. Она также скрывает IP-адрес пользователя, что позволяет ему оставаться анонимным в Интернете. Благодаря этому сотрудники могут безопасно подключаться к сети организации даже при работе в общественных местах с незащищенным Wi-Fi.

Организации могут создать надежную систему управления сетевой безопасностью, внедрив целевые стратегии, охватывающие различные типы устройств, пользователей и сетевых архитектур.

Сетевой доступ с нулевым доверием

Сетевой доступ с нулевым доверием (ZTNA) обеспечивает доступ к сетевым ресурсам только доверенным пользователям и устройствам. Это помогает службам безопасности защитить компьютерную сеть от внутренних и внешних угроз. ZTNA основан на принципе наименьшей привилегии, при котором пользователям предоставляется разрешение только на данные, необходимые для выполнения их работы.

Например, предположим, что руководитель отдела пытается получить доступ к финансовой базе данных компании. Несмотря на то что он использует корпоративный ноутбук, подключенный к корпоративной сети VPN, и является сотрудником, занимающим высокую должность, система ZTNA все равно будет применять несколько этапов проверки. Она проверит личность пользователя с помощью многофакторной аутентификации, состояние безопасности устройства (последние исправления, антивирусное программное обеспечение), местоположение и время доступа, а также то, что пользователь имеет соответствующие разрешения для конкретной базы данных.

В этом случае ZTNA предоставит доступ только к этому конкретному приложению, а не ко всей сети, и будет выполнять непрерывный мониторинг сеанса на предмет подозрительной активности. Если какое-либо условие безопасности изменится (например, на устройстве будет обнаружена вредоносная программа), доступ будет немедленно аннулирован. Этот подход «никогда не доверять, всегда проверять» применяется к каждому запросу на доступ в любое время, независимо от роли или местоположения пользователя.

Сегментация сети

Сегментация сети – это разделение сети на более мелкие части, что упрощает управление и защиту. Сначала службы безопасности классифицируют пользователей и ресурсы на основе их рабочих групп и взаимосвязей. Затем они группируют подобных пользователей и ресурсы в один сегмент сети с брандмауэрами и другими устройствами сетевой безопасности на границе. Благодаря этому службы безопасности могут применять конкретные политики сетевого доступа и предотвращать доступ неавторизованных пользователей к сетевым ресурсам.

Кроме того, сегментация сети помогает предотвратить распространение несанкционированного программного обеспечения, заражающего компьютер, по всей организации. Например, при сегментировании корпоративных сетей на основе отделов компании, инциденты с данными, затрагивающие маркетинговые подразделения, вряд ли повлияют на отдел управления персоналом.

Аналитика поведения пользователей и сущностей

Анализ поведения пользователей, устройств и сетевой инфраструктуры помогает предотвратить потенциальные риски, связанные с данными. Службы безопасности могут выявлять нетипичное поведение с помощью машинного обучения и аналитики данных. Например, если сотрудник внезапно войдет в свое мобильное приложение и начнет загружать большое количество конфиденциальных данных, система сетевой безопасности немедленно предупредит сотрудников службы безопасности.

Сервисы сетевой безопасности AWS обеспечивают полную защиту на уровне хостов, сетей и приложений. Ниже приведены примеры.

• Группы безопасности Amazon VPC обеспечивают защиту ресурсов рабочих нагрузок AWS на уровне хостинга.
• Сетевой брандмауэр AWS позволяет жестко контролировать трафик, исходящий от облаков VPC и между ними на сетевом уровне. Он включает такие возможности, как инспекция пакетов с хранением состояния, предотвращение вторжений и веб-фильтрация.
• Брандмауэр веб-приложений AWS позволяет фильтровать любую часть веб-запроса, например IP-адреса, HTTP-заголовки, тело HTTP или строки идентификаторов URI, для блокировки распространенных шаблонов атак, таких как внедрение SQL-кода или межсайтовый скриптинг.
• AWS Shield защищает сети и приложения даже от наиболее масштабных DDoS-атак и предоставляет средства управляемого обнаружения и реагирования для отражения целевых атак.
• Диспетчер брандмауэра AWS упрощает работу по приведению новых приложений и ресурсов в соответствие со стандартным набором правил безопасности.

Начните работу по обеспечению сетевой безопасности в AWS, создав бесплатный аккаунт уже сегодня.