Осигуряването на сигурността на мрежите в бързо променяща се ИТ среда и непрекъснатата еволюция на потребителите изисква набор от сложни инструменти за извършване на анализ в реално време. Вашата инфраструктура за мониторинг може да включва мониторинг на производителността на мрежата и приложенията (NPM/APM), регистратори на данни и традиционни мрежови анализатори, докато вашите защитни системи използват защитни стени, системи за защита от проникване (IPS), предотвратяване на изтичане на данни (DLP), антивирусни програми и други решения.
Без значение колко специализирани са инструментите за сигурност и мониторинг, всички те имат две общи неща:
• Трябва да знаете точно какво се случва в мрежата
• Резултатите от анализа се основават само на получените данни
Проучване, проведено от Асоциацията за управление на предприятия (EMA) през 2016 г., установи, че близо 30% от анкетираните не се доверяват на инструментите си за получаване на всички необходими данни. Това означава, че в мрежата има слепи зони за наблюдение, което в крайна сметка води до безполезни усилия, прекомерни разходи и по-висок риск от хакване.
Видимостта изисква избягване на разточителни инвестиции и наблюдение на слепите зони в мрежата, което изисква събиране на подходящи данни за всичко, което се случва в мрежата. Разделителите/сплитерите и огледалните портове на мрежовите устройства, известни още като SPAN портове, се превръщат в точки за достъп, използвани за улавяне на трафик за анализ.
Това е относително „проста операция“; истинското предизвикателство е ефективното пренасяне на данните от мрежата до всеки инструмент, който се нуждае от тях. Ако имате само няколко мрежови сегмента и относително малко инструменти за анализ, двата могат да бъдат директно свързани. Въпреки това, предвид скоростта, с която мрежите продължават да се мащабират, дори ако това е логически възможно, има голяма вероятност тази директна връзка да създаде неразрешим кошмар за управление.
EMA съобщи, че 35% от корпоративните институции посочват недостига на SPAN портове и сплитери като основна причина, поради която не са в състояние да наблюдават напълно мрежовите си сегменти. Портовете на висококачествени инструменти за анализ, като например защитни стени, също може да са по-оскъдни, така че е изключително важно да не претоварвате оборудването си и да не влошавате производителността.
Защо са ви необходими мрежови пакетни брокери?
Мрежовият брокер на пакети (NPB) се инсталира между сплитера или SPAN портовете, използвани за достъп до мрежови данни, както и инструменти за сигурност и мониторинг. Както подсказва името, основната функция на мрежовия брокер на пакети е: да координира мрежовите пакетни данни, за да гарантира, че всеки инструмент за анализ получава точно необходимите му данни.
NPB добавя все по-важен слой интелигентност, който намалява разходите и сложността, помагайки ви да:
За получаване на по-пълни и точни данни за по-добро вземане на решения
Мрежовият брокер на пакети с разширени възможности за филтриране се използва за предоставяне на точни и ефективни данни за вашите инструменти за мониторинг и анализ на сигурността.
По-строга сигурност
Когато не можете да откриете заплаха, е трудно да я спрете. NPB е проектиран да гарантира, че защитните стени, IPS и други защитни системи винаги имат достъп до точните данни, от които се нуждаят.
Решавайте проблемите по-бързо
Всъщност, самото идентифициране на проблема е причина за 85% от средния срок за изпълнение (MTTR). Престоите означават загуба на пари, а неправилното им справяне може да има опустошително въздействие върху бизнеса ви.
Контекстно-зависимото филтриране, предоставено от NPB, ви помага да откриете и определите първопричината за проблемите по-бързо, като въвежда усъвършенствана интелигентност на приложенията.
Увеличете инициативността
Метаданните, предоставени от интелигентната NPB чрез NetFlow, също улесняват достъпа до емпирични данни за управление на използването на честотна лента, тенденциите и растежа, за да се пресече проблемът в зародиш.
По-добра възвръщаемост на инвестициите
Интелигентните NPB могат не само да агрегират трафик от точки за наблюдение, като например комутатори, но и да филтрират и събират данни, за да подобрят използването и производителността на инструментите за сигурност и наблюдение. Като обработваме само релевантния трафик, можем да подобрим производителността на инструментите, да намалим задръстванията, да сведем до минимум фалшивите положителни резултати и да постигнем по-голямо покритие на сигурността с по-малко устройства.
Пет начина за подобряване на възвръщаемостта на инвестициите с мрежови пакетни брокери:
• По-бързо отстраняване на неизправности
• По-бързо откриване на уязвимости
• Намалете тежестта на инструментите за сигурност
• Удължете живота на инструментите за мониторинг по време на надстройки
• Опростяване на съответствието
Какво точно може да направи НББ?
Агрегирането, филтрирането и предоставянето на данни звучи просто на теория. Но в действителност, интелигентните NPB могат да изпълняват много сложни функции, което води до експоненциално по-висока ефективност и сигурност.
Балансирането на натоварването е една от функциите. Например, ако надграждате мрежата на вашия център за данни от 1Gbps до 10Gbps, 40Gbps или по-висока, NPB може да забави, за да разпредели високоскоростния трафик към съществуваща партида от нискоскоростни инструменти за анализ на 1G или 2G. Това не само увеличава стойността на текущата ви инвестиция в мониторинг, но и избягва скъпи надстройки при мигриране на ИТ.
Други мощни функции, изпълнявани от NPB, включват:
Излишните пакети данни се дедуплицират
Инструментите за анализ и сигурност поддържат приемането на голям брой дублирани пакети, препратени от множество разделители. NPB може да елиминира дублирането, за да предотврати разхищение на процесорна мощност от инструментите при обработка на излишни данни.
SSL декриптиране
SSL (Secure Socket Layer) криптирането е стандартната техника, използвана за сигурно изпращане на лична информация. Хакерите обаче могат да скрият и злонамерени киберзаплахи в криптирани пакети.
Разглеждането на тези данни трябва да бъде декриптирано, но разлагането на кода изисква ценна изчислителна мощност. Водещите мрежови брокери на пакети могат да разтоварят декриптирането от инструментите за сигурност, за да осигурят цялостна видимост, като същевременно намалят натоварването на скъпите ресурси.
Маскиране на данни
SSL декриптирането прави данните видими за всеки, който има достъп до инструменти за сигурност и мониторинг. NPB може да блокира номера на кредитни карти или номера на социално осигуряване, защитена здравна информация (PHI) или друга чувствителна лична информация (PII), преди да я предаде, така че тя да не се разкрива на инструмента и неговите администратори.
Отстраняване на заглавката
NPB може да премахва заглавки като VLAN, VXLAN, L3VPN, така че инструменти, които не могат да обработват тези протоколи, все още могат да получават и обработват пакетни данни. Контекстно-зависимата видимост помага за откриване на злонамерени приложения, работещи в мрежата, и следите, оставени от нападателите, докато работят в системата и мрежата.
Разузнаване за приложения и заплахи
Ранното откриване на уязвимости намалява загубата на чувствителна информация и в крайна сметка разходите, свързани с уязвимостите. Контекстно-зависимата видимост, предоставяна от NPB, може да се използва за разкриване на индикатори за проникване (IOC), идентифициране на геолокацията на векторите на атака и борба с криптографските заплахи.
Интелигентността на приложенията се простира отвъд слоеве 2 до 4 (OSI модел) на пакетни данни до слой 7 (приложен слой). Могат да се създават и експортират богати данни за поведението и местоположението на потребителите и приложенията, за да се предотвратят атаки на приложния слой, при които злонамерен код се маскира като нормални данни и валидни клиентски заявки.
Контекстно-зависимата видимост помага за откриването на злонамерени приложения, работещи във вашата мрежа, и следите, оставени от нападателите, докато работят през вашата система и мрежа.
Мониторинг на приложенията
Видимостта на възприятието на приложенията също има дълбоко влияние върху производителността и управлението. Може би искате да знаете кога служителите са използвали облачни услуги като Dropbox или уеб-базиран имейл, за да заобиколят политиките за сигурност и да прехвърлят фирмени файлове, или кога бивши служители са се опитали да получат достъп до файлове, използвайки облачни услуги за лично съхранение.
Предимствата на НПБ
• Лесен за използване и управление
• Интелигентност за премахване на екипната тежест
• Без загуба на пакети - изпълнява разширени функции
• 100% надеждност
• Високопроизводителна архитектура
Време на публикуване: 20 януари 2025 г.
