ឈ្មួញកណ្តាលកញ្ចប់បណ្តាញឧបករណ៍ដំណើរការចរាចរណ៍បណ្តាញ ដើម្បីឱ្យឧបករណ៍ត្រួតពិនិត្យផ្សេងទៀត ដូចជាឧបករណ៍ដែលឧទ្ទិសដល់ការត្រួតពិនិត្យដំណើរការបណ្តាញ និងការត្រួតពិនិត្យទាក់ទងនឹងសុវត្ថិភាព អាចដំណើរការបានកាន់តែមានប្រសិទ្ធភាព។ លក្ខណៈពិសេសរួមមាន ការច្រោះកញ្ចប់ ដើម្បីកំណត់កម្រិតហានិភ័យ បន្ទុកកញ្ចប់ និងការបញ្ចូលត្រាពេលវេលាផ្អែកលើផ្នែករឹង។
ស្ថាបត្យករសុវត្ថិភាពបណ្តាញសំដៅទៅលើសំណុំនៃការទទួលខុសត្រូវដែលទាក់ទងនឹងស្ថាបត្យកម្មសុវត្ថិភាពពពក ស្ថាបត្យកម្មសុវត្ថិភាពបណ្តាញ និងស្ថាបត្យកម្មសុវត្ថិភាពទិន្នន័យ។ អាស្រ័យលើទំហំនៃអង្គការ អាចមានសមាជិកម្នាក់ទទួលខុសត្រូវចំពោះដែននីមួយៗ។ ម្យ៉ាងវិញទៀត អង្គការអាចជ្រើសរើសអ្នកត្រួតពិនិត្យ។ ទោះជាយ៉ាងណាក៏ដោយ អង្គការត្រូវកំណត់ថាអ្នកណាជាអ្នកទទួលខុសត្រូវ និងផ្តល់អំណាចដល់ពួកគេដើម្បីធ្វើការសម្រេចចិត្តដ៏សំខាន់។
ការវាយតម្លៃហានិភ័យបណ្តាញគឺជាបញ្ជីពេញលេញនៃវិធីដែលការវាយប្រហារដែលមានគំនិតអាក្រក់ ឬការវាយប្រហារខុសទិសដៅខាងក្នុង ឬខាងក្រៅអាចត្រូវបានប្រើដើម្បីភ្ជាប់ធនធាន។ ការវាយតម្លៃដ៏ទូលំទូលាយអនុញ្ញាតឱ្យអង្គការមួយកំណត់ហានិភ័យ និងកាត់បន្ថយហានិភ័យទាំងនោះតាមរយៈការគ្រប់គ្រងសុវត្ថិភាព។ ហានិភ័យទាំងនេះអាចរួមមាន៖
- ការយល់ដឹងមិនគ្រប់គ្រាន់អំពីប្រព័ន្ធ ឬដំណើរការ
- ប្រព័ន្ធដែលពិបាកវាស់ស្ទង់កម្រិតនៃហានិភ័យ
- ប្រព័ន្ធ "កូនកាត់" ប្រឈមមុខនឹងហានិភ័យអាជីវកម្ម និងបច្ចេកទេស
ការបង្កើតការប៉ាន់ស្មានដែលមានប្រសិទ្ធភាពតម្រូវឱ្យមានកិច្ចសហការរវាងផ្នែកព័ត៌មានវិទ្យា និងអ្នកពាក់ព័ន្ធអាជីវកម្ម ដើម្បីយល់ពីវិសាលភាពនៃហានិភ័យ។ ការធ្វើការជាមួយគ្នា និងការបង្កើតដំណើរការមួយ ដើម្បីយល់ពីរូបភាពហានិភ័យកាន់តែទូលំទូលាយ គឺមានសារៈសំខាន់ដូចគ្នានឹងការកំណត់ហានិភ័យចុងក្រោយដែរ។
ស្ថាបត្យកម្មទុកចិត្តសូន្យ (ZTA)គឺជាគំរូសុវត្ថិភាពបណ្តាញដែលសន្មតថាអ្នកទស្សនាមួយចំនួននៅលើបណ្តាញមានគ្រោះថ្នាក់ ហើយមានចំណុចចូលប្រើច្រើនពេកដែលមិនអាចការពារបានពេញលេញ។ ដូច្នេះ ការពារទ្រព្យសម្បត្តិនៅលើបណ្តាញប្រកបដោយប្រសិទ្ធភាពជាជាងបណ្តាញខ្លួនឯង។ ដោយសារវាត្រូវបានភ្ជាប់ជាមួយអ្នកប្រើប្រាស់ ភ្នាក់ងារសម្រេចចិត្តថាតើត្រូវអនុម័តសំណើចូលប្រើនីមួយៗដោយផ្អែកលើទម្រង់ហានិភ័យដែលគណនាដោយផ្អែកលើការរួមបញ្ចូលគ្នានៃកត្តាបរិបទដូចជាកម្មវិធី ទីតាំង អ្នកប្រើប្រាស់ ឧបករណ៍ រយៈពេល ភាពរសើបទិន្នន័យ និងផ្សេងៗទៀត។ ដូចដែលឈ្មោះបានបង្ហាញ ZTA គឺជាស្ថាបត្យកម្ម មិនមែនជាផលិតផលទេ។ អ្នកមិនអាចទិញវាបានទេ ប៉ុន្តែអ្នកអាចអភិវឌ្ឍវាដោយផ្អែកលើធាតុផ្សំបច្ចេកទេសមួយចំនួនដែលវាមាន។
ជញ្ជាំងភ្លើងបណ្តាញគឺជាផលិតផលសុវត្ថិភាពដែលមានភាពចាស់ទុំ និងល្បីល្បាញជាមួយនឹងលក្ខណៈពិសេសមួយចំនួនដែលត្រូវបានរចនាឡើងដើម្បីការពារការចូលប្រើដោយផ្ទាល់ទៅកាន់កម្មវិធីអង្គការ និងម៉ាស៊ីនមេទិន្នន័យ។ ជញ្ជាំងភ្លើងបណ្តាញផ្តល់នូវភាពបត់បែនសម្រាប់ទាំងបណ្តាញខាងក្នុង និងពពក។ សម្រាប់ពពក មានការផ្តល់ជូនដែលផ្តោតលើពពក ក៏ដូចជាវិធីសាស្ត្រដែលដាក់ពង្រាយដោយអ្នកផ្តល់សេវា IaaS ដើម្បីអនុវត្តសមត្ថភាពមួយចំនួនដូចគ្នា។
ច្រកទ្វារសុវត្ថិភាពគេហទំព័របានវិវត្តពីការបង្កើនប្រសិទ្ធភាពកម្រិតបញ្ជូនអ៊ីនធឺណិត រហូតដល់ការការពារអ្នកប្រើប្រាស់ពីការវាយប្រហារដែលមានគំនិតអាក្រក់ពីអ៊ីនធឺណិត។ ការច្រោះ URL ការកំចាត់មេរោគ ការឌិគ្រីប និងការត្រួតពិនិត្យគេហទំព័រដែលបានចូលប្រើតាមរយៈ HTTPS ការបង្ការការបំពានទិន្នន័យ (DLP) និងទម្រង់មានកំណត់នៃភ្នាក់ងារសុវត្ថិភាពចូលប្រើពពក (CASB) ឥឡូវនេះគឺជាលក្ខណៈពិសេសស្តង់ដារ។
ការចូលប្រើពីចម្ងាយពឹងផ្អែកតិចទៅៗលើ VPN ប៉ុន្តែកាន់តែច្រើនឡើងៗលើការចូលប្រើបណ្តាញសូន្យទុកចិត្ត (ZTNA) ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលប្រើកម្មវិធីនីមួយៗដោយប្រើទម្រង់បរិបទដោយមិនចាំបាច់មើលឃើញដោយទ្រព្យសកម្ម។
ប្រព័ន្ធការពារការឈ្លានពាន (IPS)ការពារភាពងាយរងគ្រោះដែលមិនទាន់បានជួសជុលពីការវាយប្រហារដោយការភ្ជាប់ឧបករណ៍ IPS ទៅកាន់ម៉ាស៊ីនមេដែលមិនទាន់បានជួសជុល ដើម្បីរកឃើញ និងរារាំងការវាយប្រហារ។ សមត្ថភាព IPS ឥឡូវនេះត្រូវបានរួមបញ្ចូលជាញឹកញាប់នៅក្នុងផលិតផលសុវត្ថិភាពផ្សេងទៀត ប៉ុន្តែនៅតែមានផលិតផលដែលឈរតែឯង។ IPS កំពុងចាប់ផ្តើមកើនឡើងម្តងទៀត ខណៈដែលការគ្រប់គ្រងដើមលើពពកនាំពួកវាចូលទៅក្នុងដំណើរការយឺតៗ។
ការគ្រប់គ្រងការចូលប្រើបណ្តាញផ្តល់នូវភាពមើលឃើញចំពោះខ្លឹមសារទាំងអស់នៅលើបណ្តាញ និងការគ្រប់គ្រងការចូលប្រើហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញសាជីវកម្មដែលមានមូលដ្ឋានលើគោលការណ៍។ គោលការណ៍អាចកំណត់ការចូលប្រើដោយផ្អែកលើតួនាទីរបស់អ្នកប្រើប្រាស់ ការផ្ទៀងផ្ទាត់ ឬធាតុផ្សេងទៀត។
ការសម្អាត DNS (ប្រព័ន្ធឈ្មោះដែនដែលបានសម្អាត)គឺជាសេវាកម្មដែលផ្តល់ដោយអ្នកលក់ ដែលដំណើរការជាប្រព័ន្ធឈ្មោះដូមេនរបស់អង្គការ ដើម្បីការពារអ្នកប្រើប្រាស់ចុងក្រោយ (រួមទាំងអ្នកធ្វើការពីចម្ងាយ) ពីការចូលប្រើគេហទំព័រដែលមិនមានកេរ្តិ៍ឈ្មោះ។
ការកាត់បន្ថយ DDoS (ការកាត់បន្ថយ DDoS)កំណត់ផលប៉ះពាល់បំផ្លិចបំផ្លាញនៃការវាយប្រហារបដិសេធសេវាកម្មแบบกระจายលើបណ្តាញ។ ផលិតផលនេះប្រើវិធីសាស្រ្តច្រើនស្រទាប់ដើម្បីការពារធនធានបណ្តាញនៅខាងក្នុងជញ្ជាំងភ្លើង ធនធានដែលដាក់ពង្រាយនៅពីមុខជញ្ជាំងភ្លើងបណ្តាញ និងធនធាននៅខាងក្រៅអង្គការ ដូចជាបណ្តាញធនធានពីអ្នកផ្តល់សេវាអ៊ីនធឺណិត ឬការចែកចាយខ្លឹមសារ។
ការគ្រប់គ្រងគោលនយោបាយសុវត្ថិភាពបណ្តាញ (NSPM)ពាក់ព័ន្ធនឹងការវិភាគ និងការធ្វើសវនកម្ម ដើម្បីបង្កើនប្រសិទ្ធភាពច្បាប់ដែលគ្រប់គ្រងសុវត្ថិភាពបណ្តាញ ក៏ដូចជាលំហូរការងារគ្រប់គ្រងការផ្លាស់ប្តូរ ការធ្វើតេស្តច្បាប់ ការវាយតម្លៃការអនុលោម និងការមើលឃើញ។ ឧបករណ៍ NSPM អាចប្រើផែនទីបណ្តាញដែលមើលឃើញ ដើម្បីបង្ហាញឧបករណ៍ទាំងអស់ និងច្បាប់ចូលប្រើជញ្ជាំងភ្លើង ដែលគ្របដណ្តប់ផ្លូវបណ្តាញច្រើន។
ការបែងចែកជាផ្នែកតូចៗគឺជាបច្ចេកទេសមួយដែលការពារការវាយប្រហារបណ្តាញដែលកំពុងកើតឡើងរួចហើយពីការផ្លាស់ប្តូរផ្ដេកដើម្បីចូលប្រើទ្រព្យសកម្មសំខាន់ៗ។ ឧបករណ៍ Microisolation សម្រាប់សុវត្ថិភាពបណ្តាញត្រូវបានបែងចែកជាបីប្រភេទ៖
- ឧបករណ៍ដែលមានមូលដ្ឋានលើបណ្តាញដែលត្រូវបានដាក់ពង្រាយនៅស្រទាប់បណ្តាញ ជាញឹកញាប់ភ្ជាប់ជាមួយបណ្តាញដែលបានកំណត់ដោយកម្មវិធី ដើម្បីការពារទ្រព្យសកម្មដែលភ្ជាប់ទៅបណ្តាញ។
- ឧបករណ៍ដែលមានមូលដ្ឋានលើ Hypervisor គឺជាទម្រង់បឋមនៃផ្នែកឌីផេរ៉ង់ស្យែល ដើម្បីបង្កើនភាពមើលឃើញនៃចរាចរណ៍បណ្តាញស្រអាប់ដែលផ្លាស់ទីរវាង hypervisors។
- ឧបករណ៍ដែលមានមូលដ្ឋានលើភ្នាក់ងារម៉ាស៊ីនមេ ដែលដំឡើងភ្នាក់ងារនៅលើម៉ាស៊ីនមេដែលពួកគេចង់ញែកចេញពីបណ្តាញដែលនៅសល់; ដំណោះស្រាយភ្នាក់ងារម៉ាស៊ីនមេដំណើរការបានល្អស្មើគ្នាសម្រាប់បន្ទុកការងារលើពពក បន្ទុកការងារលើ hypervisor និងម៉ាស៊ីនមេរូបវន្ត។
គែមសេវាកម្មចូលប្រើសុវត្ថិភាព (SASE)គឺជាក្របខ័ណ្ឌថ្មីមួយដែលរួមបញ្ចូលគ្នានូវសមត្ថភាពសុវត្ថិភាពបណ្តាញដ៏ទូលំទូលាយ ដូចជា SWG, SD-WAN និង ZTNA ក៏ដូចជាសមត្ថភាព WAN ដ៏ទូលំទូលាយ ដើម្បីគាំទ្រដល់តម្រូវការចូលប្រើដោយសុវត្ថិភាពរបស់អង្គការនានា។ SASE គឺជាគំនិតមួយជាជាងក្របខ័ណ្ឌមួយ ដែលមានគោលបំណងផ្តល់នូវគំរូសេវាកម្មសុវត្ថិភាពបង្រួបបង្រួម ដែលផ្តល់មុខងារនៅទូទាំងបណ្តាញក្នុងលក្ខណៈដែលអាចធ្វើមាត្រដ្ឋានបាន អាចបត់បែនបាន និងមានភាពយឺតយ៉ាវទាប។
ការរកឃើញ និងការឆ្លើយតបបណ្តាញ (NDR)វិភាគចរាចរណ៍ចូល និងចេញ ព្រមទាំងកំណត់ហេតុចរាចរណ៍ជាបន្តបន្ទាប់ ដើម្បីកត់ត្រាឥរិយាបថបណ្តាញធម្មតា ដូច្នេះភាពមិនប្រក្រតីអាចត្រូវបានកំណត់អត្តសញ្ញាណ និងជូនដំណឹងដល់អង្គការនានា។ ឧបករណ៍ទាំងនេះរួមបញ្ចូលគ្នានូវការរៀនម៉ាស៊ីន (ML) ការវិភាគបែបវិទ្យាសាស្ត្រ ការវិភាគ និងការរកឃើញផ្អែកលើច្បាប់។
ផ្នែកបន្ថែមសុវត្ថិភាព DNSគឺជាកម្មវិធីបន្ថែមទៅលើពិធីការ DNS ហើយត្រូវបានរចនាឡើងដើម្បីផ្ទៀងផ្ទាត់ការឆ្លើយតប DNS។ អត្ថប្រយោជន៍សុវត្ថិភាពរបស់ DNSSEC តម្រូវឱ្យមានការចុះហត្ថលេខាឌីជីថលនៃទិន្នន័យ DNS ដែលបានផ្ទៀងផ្ទាត់ ដែលជាដំណើរការដែលប្រើប្រាស់ឧបករណ៍ដំណើរការច្រើន។
ជញ្ជាំងភ្លើងជាសេវាកម្ម (FWaaS)គឺជាបច្ចេកវិទ្យាថ្មីមួយដែលទាក់ទងយ៉ាងជិតស្និទ្ធទៅនឹង SWGS ដែលមានមូលដ្ឋានលើពពក។ ភាពខុសគ្នាគឺស្ថិតនៅក្នុងស្ថាបត្យកម្ម ដែល FWaaS ដំណើរការតាមរយៈការភ្ជាប់ VPN រវាងចំណុចបញ្ចប់ និងឧបករណ៍នៅលើគែមនៃបណ្តាញ ក៏ដូចជាជង់សុវត្ថិភាពនៅក្នុងពពក។ វាក៏អាចភ្ជាប់អ្នកប្រើប្រាស់ចុងក្រោយទៅកាន់សេវាកម្មក្នុងស្រុកតាមរយៈផ្លូវរូងក្រោមដី VPN ផងដែរ។ FWaaS បច្ចុប្បន្នមិនសូវមានច្រើនដូច SWGS ទេ។
ពេលវេលាបង្ហោះ៖ ថ្ងៃទី ២៣ ខែមីនា ឆ្នាំ ២០២២
