Что такое сетевой брокер пакетов?
Сетевой брокер пакетов, именуемый «NPB», — это устройство, которое захватывает, реплицирует и объединяет сетевой трафик данных по внутреннему или внешнему каналу без потери пакетов в качестве «брокера пакетов», управляет и доставляет нужные пакеты нужным инструментам, таким как IDS, AMP, NPM, система мониторинга и анализа в качестве «передатчика пакетов».
Что может делать Network Packet Broker (NPB)?
Теоретически агрегация, фильтрация и доставка данных кажутся простыми. Но на практике интеллектуальный NPB может выполнять очень сложные функции, которые обеспечивают экспоненциальный рост эффективности и безопасности.
Балансировка нагрузки — одна из функций. Например, при модернизации сети центра обработки данных с 1 Гбит/с до 10 Гбит/с, 40 Гбит/с и выше, NPB может снизить скорость, чтобы распределить высокоскоростной трафик между существующим набором низкоскоростных инструментов анализа и мониторинга 1G или 2G. Это не только увеличивает ценность текущих инвестиций в мониторинг, но и позволяет избежать дорогостоящих обновлений при миграции ИТ-системы.
Другие мощные функции, которые выполняет NPB, включают:
-Дедупликация избыточных пакетов
Инструменты анализа и безопасности поддерживают прием большого количества дублирующихся пакетов, пересылаемых от нескольких дистрибьюторов. NPB устраняет дублирование, предотвращая напрасную трату вычислительной мощности инструмента при обработке избыточных данных.
-SSL-расшифровка
Шифрование по протоколу SSL (Secure Sockets Layer) — стандартный метод безопасной передачи конфиденциальной информации. Однако хакеры также могут скрывать вредоносные сетевые угрозы в зашифрованных пакетах.
Проверка этих данных требует расшифровки, но уничтожение кода требует значительных вычислительных мощностей. Ведущие сетевые агенты пакетов могут разгрузить инструменты безопасности от расшифровки, обеспечив общую прозрачность и одновременно снизив нагрузку на дорогостоящие ресурсы.
-Маскирование данных
Расшифровка SSL позволяет любому, у кого есть доступ к инструментам безопасности и мониторинга, просматривать данные. NPB может блокировать номера кредитных карт или социального страхования, защищённую медицинскую информацию (PHI) или другую конфиденциальную персональную информацию (PII) перед передачей информации, чтобы она не была раскрыта инструменту или его администраторам.
-Очистка заголовка
NPB может удалять заголовки, такие как VLAN, VXLAN и L3VPN, поэтому инструменты, не поддерживающие эти протоколы, могут получать и обрабатывать пакетные данные. Контекстно-зависимая видимость помогает выявлять вредоносные приложения, работающие в сети, и следы, оставляемые злоумышленниками при работе в системах и сетях.
-Применение и анализ угроз
Раннее обнаружение уязвимостей может снизить риск потери конфиденциальной информации и, в конечном итоге, затраты на устранение уязвимостей. Контекстно-зависимая видимость, обеспечиваемая NPB, может использоваться для выявления метрик вторжений (IOC), определения географического положения векторов атак и борьбы с криптографическими угрозами.
Аналитика приложений выходит за рамки уровня 2 и уровня 4 (модель OSI) пакетных данных и достигает уровня 7 (уровень приложений). Можно создавать и экспортировать обширные данные о пользователях, поведении и местоположении приложений для предотвращения атак на уровне приложений, при которых вредоносный код маскируется под обычные данные и допустимые клиентские запросы.
Контекстно-зависимая видимость помогает обнаружить вредоносные приложения, работающие в вашей сети, а также следы, оставляемые злоумышленниками при работе в системах и сетях.
-Применение сетевого мониторинга
Видимость данных на уровне приложений также оказывает существенное влияние на производительность и управление. Возможно, вам будет интересно узнать, когда сотрудник ИСПОЛЬЗУЕТ облачный сервис, такой как Dropbox, или веб-почту для обхода политик безопасности и передачи корпоративных файлов, или когда бывший сотрудник пытался получить доступ к файлам через облачное хранилище.
Время публикации: 23 декабря 2021 г.
