В днешните сложни, високоскоростни и често криптирани мрежови среди, постигането на цялостна видимост е от първостепенно значение за сигурността, мониторинга на производителността и съответствието.Мрежови пакетни брокери (NPBs)са се развили от прости TAP агрегатори до сложни, интелигентни платформи, които са от съществено значение за управление на потока от данни за трафик и осигуряване на ефективна работа на инструментите за мониторинг и сигурност. Ето подробен преглед на техните ключови сценарии на приложение и решения:
Основният проблем, който ННБ решават:
Съвременните мрежи генерират огромни обеми трафик. Свързването на критични инструменти за сигурност и мониторинг (IDS/IPS, NPM/APM, DLP, криминалистика) директно към мрежови връзки (чрез SPAN портове или TAP) е неефективно и често неосъществимо поради:
1. Претоварване на инструментите: Инструментите се заливат с неподходящ трафик, губят пакети и пропускат заплахи.
2. Неефективност на инструментите: Инструментите пилеят ресурси, обработвайки дублирани или ненужни данни.
3. Сложна топология: Разпределените мрежи (центрове за данни, облаци, клонове) правят централизираното наблюдение трудно.
4. Слепи зони при криптиране: Инструментите не могат да проверяват криптиран трафик (SSL/TLS) без декриптиране.
5. Ограничени SPAN ресурси: SPAN портовете консумират ресурси на комутатора и често не могат да обработват трафик с пълна линейна скорост.
Решение на NPB: Интелигентно посредничество на трафика
NPB се намират между мрежовите TAP/SPAN портове и инструментите за мониторинг/сигурност. Те действат като интелигентни „трафик полицаи“, изпълнявайки:
1. Агрегиране: Комбинирайте трафика от множество връзки (физически, виртуални) в консолидирани емисии.
2. Филтриране: Селективно пренасочване само на релевантен трафик към специфични инструменти въз основа на критерии (IP/MAC, VLAN, протокол, порт, приложение).
3. Балансиране на натоварването: Разпределете трафика равномерно между множество екземпляри на един и същ инструмент (напр. клъстерирани IDS сензори) за мащабируемост и устойчивост.
4. Дедупликация: Премахване на идентични копия на пакети, заснети по излишни връзки.
5. Нарязване на пакети: Съкращаване на пакети (премахване на полезния товар), като същевременно се запазват заглавките, намалявайки честотната лента до инструменти, които се нуждаят само от метаданни.
6. SSL/TLS декриптиране: Прекратяване на криптирани сесии (с помощта на ключове), представяне на трафик в чист текст на инструментите за проверка и след това повторно криптиране.
7. Репликация/Мултикастинг: Изпращане на един и същ поток трафик към множество инструменти едновременно.
8. Разширена обработка: Извличане на метаданни, генериране на поток, поставяне на времеви маркировки, маскиране на чувствителни данни (напр. PII).
Вижте тук, за да научите повече за този модел:
Mylinking™ Мрежов пакетен брокер (NPB) ML-NPB-3440L
16*10/100/1000M RJ45, 16*1/10GE SFP+, 1*40G QSFP и 1*40G/100G QSFP28, макс. 320Gbps
Подробни сценарии на приложение и решения:
1. Подобряване на мониторинга на сигурността (IDS/IPS, NGFW, Threat Intel):
○ Сценарий: Инструментите за сигурност са претоварени от големи обеми трафик от изток на запад в центъра за данни, което води до загуба на пакети и пропускане на заплахи за странично движение. Криптираният трафик крие злонамерени полезни товари.
○ Решение за NPB:Агрегирайте трафика от критични вътрешно-DC връзки.
* Прилагайте подробни филтри, за да изпращате само подозрителни сегменти от трафика (напр. нестандартни портове, специфични подмрежи) към IDS.
* Балансиране на натоварването в клъстер от IDS сензори.
* Извършвайте SSL/TLS декриптиране и изпращайте трафик с чист текст към платформата IDS/Threat Intel за задълбочена проверка.
* Премахване на дублирания трафик от излишни пътища.Резултат:По-висок процент на откриване на заплахи, намалени фалшиви отрицателни резултати, оптимизирано използване на ресурсите на IDS.
2. Оптимизиране на мониторинга на производителността (NPM/APM):
○ Сценарий: Инструментите за мониторинг на мрежовата производителност (APM) се затрудняват да съпоставят данни от стотици разпръснати връзки (WAN, клонове, облак). Пълното заснемане на пакети за APM е твърде скъпо и изисква голям капацитет за трафик.
○ Решение за NPB:
* Агрегиране на трафик от географски разпръснати TAP/SPAN към централизирана NPB структура.
* Филтриране на трафика, за да се изпращат само специфични за приложението потоци (напр. VoIP, критичен SaaS) към APM инструментите.
* Използвайте нарязване на пакети за NPM инструменти, които се нуждаят предимно от данни за времето на потока/транзакциите (заглавки), като по този начин драстично намалявате потреблението на честотна лента.
* Репликирайте потоци от ключови показатели за ефективност както към NPM, така и към APM инструменти.Резултат:Холистичен, корелиран поглед върху производителността, намалени разходи за инструменти, минимизирана честотна лента.
3. Видимост на облака (публичен/частен/хибриден):
○ Сценарий: Липса на нативен TAP достъп в публични облаци (AWS, Azure, GCP). Трудност при улавянето и насочването на трафика от виртуална машина/контейнер към инструменти за сигурност и наблюдение.
○ Решение за NPB:
* Разгръщане на виртуални NPB (vNPBs) в облачната среда.
* vNPBs използват трафик от виртуални комутатори (например чрез ERSPAN, VPC Traffic Mirroring).
* Филтриране, агрегиране и балансиране на натоварването на облачния трафик по направления изток-запад и север-юг.
* Сигурно тунелирайте съответния трафик обратно към локални физически NPB или облачни инструменти за мониторинг.
* Интегрирайте се с облачни услуги за видимост.Резултат:Последователен мониторинг на сигурността и производителността в хибридни среди, преодоляване на ограниченията на видимостта в облака.
4. Предотвратяване на загуба на данни (DLP) и съответствие:
○ Сценарий: DLP инструментите трябва да проверяват изходящия трафик за чувствителни данни (PII, PCI), но са залети от неподходящ вътрешен трафик. Съответствието изисква наблюдение на специфични регулирани потоци от данни.
○ Решение за NPB:
* Филтриране на трафика, за да се изпращат само изходящи потоци (например, предназначени за интернет или конкретни партньори) към DLP системата.
* Приложете дълбока проверка на пакети (DPI) върху NPB, за да идентифицирате потоци, съдържащи регулирани типове данни, и да ги приоритизирате за инструмента DLP.
* Маскиране на чувствителни данни (напр. номера на кредитни карти) в пакетитепредиизпращане към по-малко критични инструменти за мониторинг за регистриране на съответствието.Резултат:По-ефективна работа на DLP, намалени фалшиви положителни резултати, рационализиран одит за съответствие, подобрена поверителност на данните.
5. Мрежова криминалистика и отстраняване на проблеми:
○ Сценарий: Диагностицирането на сложен проблем с производителността или нарушение изисква пълно заснемане на пакети (PCAP) от множество точки във времето. Ръчното задействане на заснеманията е бавно; съхраняването на всичко е непрактично.
○ Решение за NPB:
* NPB могат да буферират трафика непрекъснато (с линейна скорост).
* Конфигурирайте задействания (напр. специфично състояние на грешка, пик на трафика, предупреждение за заплаха) на NPB, за да улавяте автоматично съответния трафик към свързано устройство за улавяне на пакети.
* Предварително филтрирайте трафика, изпратен към устройството за заснемане, за да съхранявате само необходимото.
* Репликирайте критичния поток от трафик към устройството за заснемане, без да засягате производствените инструменти.Резултат:По-бързо средно време за разрешаване (MTTR) на прекъсвания/нарушения, целенасочени криминалистични анализи, намалени разходи за съхранение.
Съображения за внедряване и решения:
○Мащабируемост: Изберете NPB с достатъчна плътност на портовете и пропускателна способност (1/10/25/40/100GbE+), за да обработвате текущ и бъдещ трафик. Модулните шасита често осигуряват най-добра мащабируемост. Виртуалните NPB се мащабират еластично в облака.
○Устойчивост: Внедряване на излишни NPB (HA двойки) и излишни пътища към инструментите. Осигуряване на синхронизация на състоянията в HA настройките. Възползвайте се от балансирането на натоварването на NPB за устойчивост на инструментите.
○Управление и автоматизация: Централизираните конзоли за управление са от решаващо значение. Търсете API (RESTful, NETCONF/YANG) за интеграция с платформи за оркестрация (Ansible, Puppet, Chef) и SIEM/SOAR системи за динамични промени в политиките въз основа на предупреждения.
○Сигурност: Осигурете сигурност на интерфейса за управление на NPB. Контролирайте стриктно достъпа. Ако декриптирате трафик, осигурете строги политики за управление на ключове и защитени канали за прехвърляне на ключове. Помислете за маскиране на чувствителни данни.
○Интеграция на инструменти: Уверете се, че NPB поддържа необходимата свързаност на инструментите (физически/виртуални интерфейси, протоколи). Проверете съвместимостта със специфичните изисквания на инструментите.
И така,Брокери на мрежови пакетивече не са опционални луксове; те са основни инфраструктурни компоненти за постигане на действена мрежова видимост в съвременната епоха. Чрез интелигентно агрегиране, филтриране, балансиране на натоварването и обработка на трафика, NPB дават възможност на инструментите за сигурност и мониторинг да работят с максимална ефективност и ефективност. Те разрушават силозите за видимост, преодоляват предизвикателствата на мащаба и криптирането и в крайна сметка осигуряват яснотата, необходима за защита на мрежите, осигуряване на оптимална производителност, спазване на изискванията за съответствие и бързо разрешаване на проблеми. Внедряването на стабилна NPB стратегия е критична стъпка към изграждането на по-прозрачна, сигурна и устойчива мрежа.
Време на публикуване: 07 юли 2025 г.
