Архитектура Защищенных Сетей. Network Layer. Часть 1
КНИГА
Практическое руководство по построению защищенного ядра сети. Время прочтения — 8 часов.
Стоимость книги — 799 руб.
Стоимость книги — 799 руб.
О чем эта книга?
- Принципы сетевого харденинга.
- Три типовых дизайна корпоративной сети.
- Сегментация vs Микросегментация.
- Stateful Packet Inspection в ядре.
- Встроенные средства защиты сетевого оборудования.
- NGFW vs L3 коммутатор для ядра сети.
- Ключевые характеристики для устройств ядра сети.
- Балансировщики vs Пакетные брокеры.
- NetFlow как ключевой элемент для формирования правил доступа.
- NSPM как инструмент поддержания актуальности правил доступа.
- NAC для контроля на уровне физического порта.
- Принципы организации управляющего трафика.
- PAM для максимальной защиты наиболее критичных ИТ систем.
После прочтения этой книги вы сможете уверенно ориентироваться практически во всех ключевых решениях и технологиях по организации защищенного ядра сети, будете понимать как и для чего они работают, как друг друга дополняют, в какой части сети должны внедряться, какие альтернативы существуют и на что опираться при выборе конкретного вендора.
Для кого эта книга?
- Инженеры. Те, кто проектирует, внедряет и поддерживает различные средства защиты.
- ИТ/ИБ менеджеры. Поможет быстро актуализировать свои знания и увидеть альтернативы на текущем рынке.
- ИТ/ИБ продавцы. Позволит понять типовую архитектуру защищенных сетей и как это все вместе работает.
- Студенты. Книга будет отличным началом для старта карьеры. Вы сможете увидеть всю картину целиком, вместо отдельных “пазлов”.
Решения каких вендоров будут рассмотрены в этой книге?
Содержание книги
1.1. Уровни защиты
1.2. Смысл уровней защиты
1.2. Смысл уровней защиты
3.1 Принципы защиты на уровне сети
3.2 Тренды защиты на уровне сети
3.3.Резюме по главе
3.2 Тренды защиты на уровне сети
3.3.Резюме по главе
4.1 Принципы Configuration Hardening
4.1.1 Hardening на уровне сети
4.1.2 Технические рекомендации по сетевому харденингу
4.2 Архитектура сети
4.2.1 Два типа сегментирования
4.2.2 Ключевые сегменты сети
4.2.3 Сегментация vs Микросегментация
4.2.4 Управляющий трафик
4.2.5 Точки терминации сегментов
4.2.6 Референсные схемы
4.3 Политика доступа
4.3.1 Выбор подхода
4.3.2 SPI или не SPI?
4.3.3 L4 контроль vs App Control
4.3.4 Проблематика создания политики доступа
4.4 Резюме по главе
4.1.1 Hardening на уровне сети
4.1.2 Технические рекомендации по сетевому харденингу
4.2 Архитектура сети
4.2.1 Два типа сегментирования
4.2.2 Ключевые сегменты сети
4.2.3 Сегментация vs Микросегментация
4.2.4 Управляющий трафик
4.2.5 Точки терминации сегментов
4.2.6 Референсные схемы
4.3 Политика доступа
4.3.1 Выбор подхода
4.3.2 SPI или не SPI?
4.3.3 L4 контроль vs App Control
4.3.4 Проблематика создания политики доступа
4.4 Резюме по главе
5.1 NGFW как ядро
5.1.1 Требования к устройству Ядра сети
5.1.2 L3 коммутатор vs NGFW
5.1.2.1 Производительность
5.1.2.2 Масштабируемость
5.1.2.3 Отказоустойчивость
5.1.2.4 Маршрутизация
5.1.2.5 Сводная таблица
5.1.3 Какие NGFW можно рассмотреть?
5.1.4 Check Point
5.1.4.1 Классические шлюзы Check Point
5.1.4.2 Check Point Maestro
5.1.4.3 LightSpeed
5.1.5 UserGate
5.1.5.1 Классический UG NGFW (7-ка)
5.1.5.2 UG FG
5.1.5.3 DCFW (8-ка)
5.1.6 Код Безопасности
5.1.6.1 Континент 4 (NGFW)
5.1.6.2 Масштабируемая платформа КБ
5.1.7 Positive Technologies
5.1.8 Ideco
5.1.8.1 Классический Ideco NGFW
5.1.8.2 Ideco NGFW Novum
5.1.9 Kaspersky
5.1.10 Балансировщики
5.1.10.1 Кластер Active-Active
5.1.10.2 Балансировщики трафика
5.1.10.3 Отечественные балансировщики
5.1.11 Вместо резюме
5.2 Формирование правил доступа
5.2.1 Доступные инструменты
5.2.2 Log-анализаторы
5.2.2.1 Глубина логирования
5.2.2.2 Встроенные системы анализа логов
5.2.2.3 Внешние системы анализа логов
5.2.3 Анализаторы трафика
5.2.3.1 Host Based
5.2.3.2 Network Based
5.2.3.3 Flow Based - золотая середина
5.2.3.4 Flow-протоколы
5.2.3.5 Обзор отечественного рынка NetFlow-анализаторов
5.2.3.6 Neutrino Foresight
5.2.4 Сетевые сканеры
5.2.5 Вместо резюме
5.3 Управление сетевой политикой безопасности
5.3.1 Проблема актуальности правил доступа
5.3.2 Проблема точки применения правил доступа
5.3.3 Network Security Policy Management
5.3.3.1 Архитектурные компоненты типового NSPM
5.3.3.2 Функциональные модули типового NSPM
5.3.4 Обзор отечественного рынка NSPM
5.3.4.1 Efros
5.3.4.2 MIST Insight
5.3.4.3 Нетхаб
5.3.4.4 Встроенный функционал NGFW
5.3.5 Вместо резюме
5.4 Динамическое управление правилами доступа
5.4.1 NAC - Network Access Control
5.4.2 Архитектурные компоненты типового NAC
5.4.3 NAC vs ZTNA
5.4.4 Обзор отечественного рынка NAC
5.4.4.1 Efros DefOps
5.4.4.2 AxelNAC
5.4.4.3 NETAMS WNAM 2
5.4.4.4 Другие NAC решения для удаленного доступа
5.4.5 Вместо резюме
5.5 Защита управляющего трафика
5.5.1 Out-of-band management (OOB)
5.5.2 Двухфакторная аутентификация
5.5.3 Проблемы привилегированного доступа
5.5.4 Управление привилегированным доступом (PAM)
5.5.4.1 Принцип работы типового PAM
5.5.4.2 Типовые функциональные модули PAM
5.5.5 Обзор отечественного рынка PAM
5.5.5.1 Ideed PAM
5.5.5.2 BI.ZONE PAM
5.5.5.3 JumpServer
5.5.6 Вместо резюме
5.1.1 Требования к устройству Ядра сети
5.1.2 L3 коммутатор vs NGFW
5.1.2.1 Производительность
5.1.2.2 Масштабируемость
5.1.2.3 Отказоустойчивость
5.1.2.4 Маршрутизация
5.1.2.5 Сводная таблица
5.1.3 Какие NGFW можно рассмотреть?
5.1.4 Check Point
5.1.4.1 Классические шлюзы Check Point
5.1.4.2 Check Point Maestro
5.1.4.3 LightSpeed
5.1.5 UserGate
5.1.5.1 Классический UG NGFW (7-ка)
5.1.5.2 UG FG
5.1.5.3 DCFW (8-ка)
5.1.6 Код Безопасности
5.1.6.1 Континент 4 (NGFW)
5.1.6.2 Масштабируемая платформа КБ
5.1.7 Positive Technologies
5.1.8 Ideco
5.1.8.1 Классический Ideco NGFW
5.1.8.2 Ideco NGFW Novum
5.1.9 Kaspersky
5.1.10 Балансировщики
5.1.10.1 Кластер Active-Active
5.1.10.2 Балансировщики трафика
5.1.10.3 Отечественные балансировщики
5.1.11 Вместо резюме
5.2 Формирование правил доступа
5.2.1 Доступные инструменты
5.2.2 Log-анализаторы
5.2.2.1 Глубина логирования
5.2.2.2 Встроенные системы анализа логов
5.2.2.3 Внешние системы анализа логов
5.2.3 Анализаторы трафика
5.2.3.1 Host Based
5.2.3.2 Network Based
5.2.3.3 Flow Based - золотая середина
5.2.3.4 Flow-протоколы
5.2.3.5 Обзор отечественного рынка NetFlow-анализаторов
5.2.3.6 Neutrino Foresight
5.2.4 Сетевые сканеры
5.2.5 Вместо резюме
5.3 Управление сетевой политикой безопасности
5.3.1 Проблема актуальности правил доступа
5.3.2 Проблема точки применения правил доступа
5.3.3 Network Security Policy Management
5.3.3.1 Архитектурные компоненты типового NSPM
5.3.3.2 Функциональные модули типового NSPM
5.3.4 Обзор отечественного рынка NSPM
5.3.4.1 Efros
5.3.4.2 MIST Insight
5.3.4.3 Нетхаб
5.3.4.4 Встроенный функционал NGFW
5.3.5 Вместо резюме
5.4 Динамическое управление правилами доступа
5.4.1 NAC - Network Access Control
5.4.2 Архитектурные компоненты типового NAC
5.4.3 NAC vs ZTNA
5.4.4 Обзор отечественного рынка NAC
5.4.4.1 Efros DefOps
5.4.4.2 AxelNAC
5.4.4.3 NETAMS WNAM 2
5.4.4.4 Другие NAC решения для удаленного доступа
5.4.5 Вместо резюме
5.5 Защита управляющего трафика
5.5.1 Out-of-band management (OOB)
5.5.2 Двухфакторная аутентификация
5.5.3 Проблемы привилегированного доступа
5.5.4 Управление привилегированным доступом (PAM)
5.5.4.1 Принцип работы типового PAM
5.5.4.2 Типовые функциональные модули PAM
5.5.5 Обзор отечественного рынка PAM
5.5.5.1 Ideed PAM
5.5.5.2 BI.ZONE PAM
5.5.5.3 JumpServer
5.5.6 Вместо резюме