Обеспечение безопасности сетей в быстро меняющейся ИТ-среде и постоянном развитии пользователей требует использования ряда сложных инструментов для анализа в режиме реального времени. Ваша инфраструктура мониторинга может включать в себя средства мониторинга производительности сети и приложений (NPM/APM), регистраторы данных и традиционные сетевые анализаторы, а ваши системы защиты — межсетевые экраны, системы защиты от вторжений (IPS), системы предотвращения утечек данных (DLP), средства защиты от вредоносного ПО и другие решения.
Независимо от того, насколько специализированы инструменты безопасности и мониторинга, у всех них есть две общие черты:
• Необходимо точно знать, что происходит в сети
• Результаты анализа основаны только на полученных данных.
Опрос, проведённый Ассоциацией управления предприятиями (EMA) в 2016 году, показал, что почти 30% респондентов не доверяют своим инструментам в получении всех необходимых данных. Это означает, что в сети существуют «слепые зоны» мониторинга, что в конечном итоге приводит к напрасным усилиям, чрезмерным затратам и повышенному риску взлома.
Для обеспечения прозрачности необходимо избегать ненужных инвестиций и «слепых зон» сетевого мониторинга, что требует сбора релевантных данных обо всем происходящем в сети. Разветвители/сплиттеры и зеркальные порты сетевых устройств, также известные как SPAN-порты, становятся точками доступа для сбора трафика для анализа.
Это относительно «простая операция»; настоящая сложность заключается в эффективной передаче данных из сети всем инструментам, которым они необходимы. Если у вас всего несколько сегментов сети и сравнительно немного инструментов анализа, их можно соединить напрямую. Однако, учитывая скорость масштабирования сетей, даже если это логически возможно, существует высокая вероятность того, что такое соединение «один к одному» создаст неразрешимую проблему управления.
По данным EMA, 35% предприятий назвали нехватку SPAN-портов и разветвителей основной причиной невозможности полноценного мониторинга своих сетевых сегментов. Количество портов на высокопроизводительных инструментах анализа, таких как межсетевые экраны, также может быть меньше, поэтому крайне важно не перегружать оборудование и не снижать производительность.
Зачем вам нужны сетевые брокеры пакетов?
Брокер сетевых пакетов (NPB) устанавливается между портами сплиттера или SPAN, используемыми для доступа к сетевым данным, а также для инструментов безопасности и мониторинга. Как следует из названия, основная функция брокера сетевых пакетов заключается в координации данных сетевых пакетов для обеспечения точного получения необходимых данных каждым инструментом анализа.
NPB добавляет все более важный уровень интеллекта, который снижает затраты и сложность, помогая вам:
Для получения более полных и точных данных для принятия более обоснованных решений
Сетевой брокер пакетов с расширенными возможностями фильтрации используется для предоставления точных и эффективных данных для ваших инструментов мониторинга и анализа безопасности.
Усиление мер безопасности
Если угрозу невозможно обнаружить, её сложно остановить. NPB разработан для того, чтобы межсетевые экраны, системы предотвращения вторжений (IPS) и другие системы защиты всегда имели доступ именно к тем данным, которые им необходимы.
Решайте проблемы быстрее
Фактически, 85% среднего времени восстановления работоспособности (MTTR) определяется только выявлением проблемы. Простой — это потеря денег, а неправильное решение проблемы может иметь разрушительные последствия для вашего бизнеса.
Контекстно-зависимая фильтрация, обеспечиваемая NPB, помогает вам быстрее обнаруживать и определять первопричину проблем за счет внедрения расширенного прикладного интеллекта.
Повысить инициативу
Метаданные, предоставляемые интеллектуальным NPB через NetFlow, также облегчают доступ к эмпирическим данным для управления использованием полосы пропускания, тенденциями и ростом, чтобы пресечь проблему на корню.
Лучшая окупаемость инвестиций
Smart NPB может не только агрегировать трафик с точек мониторинга, таких как коммутаторы, но также фильтровать и собирать данные для повышения эффективности использования и производительности инструментов безопасности и мониторинга. Обрабатывая только релевантный трафик, мы можем повысить производительность инструментов, снизить нагрузку, минимизировать количество ложных срабатываний и обеспечить более высокий уровень безопасности при меньшем количестве устройств.
Пять способов повысить рентабельность инвестиций с помощью сетевых брокеров пакетов:
• Более быстрое устранение неполадок
• Обнаруживайте уязвимости быстрее
• Уменьшите нагрузку на инструменты безопасности
• Продлите срок службы инструментов мониторинга во время обновлений
• Упростить соблюдение требований
Что именно может сделать НПБ?
Агрегация, фильтрация и доставка данных в теории кажутся простыми. Но на практике интеллектуальный NPB может выполнять очень сложные функции, что приводит к экспоненциальному росту эффективности и безопасности.
Одна из функций — балансировка нагрузки трафика. Например, при модернизации сети центра обработки данных с 1 Гбит/с до 10 Гбит/с, 40 Гбит/с и выше, брокер сетевых пакетов может снизить скорость, чтобы распределить высокоскоростной трафик между существующими низкоскоростными инструментами мониторинга 1G или 2G. Это не только повышает ценность текущих инвестиций в мониторинг, но и позволяет избежать дорогостоящих обновлений при миграции ИТ-системы.
Другие мощные функции, реализуемые NPB, включают в себя:
Избыточные пакеты данных дедуплицируются
Инструменты анализа и безопасности поддерживают приём большого количества дублирующихся пакетов, пересылаемых с нескольких разветвителей. NPB позволяет устранить дублирование, предотвращая напрасную трату вычислительной мощности инструментов при обработке избыточных данных.
SSL-расшифровка
Шифрование по протоколу Secure Socket Layer (SSL) — стандартный метод, используемый для безопасной передачи конфиденциальной информации. Однако хакеры также могут скрывать вредоносные киберугрозы в зашифрованных пакетах.
Для анализа этих данных требуется их расшифровка, но декодирование кода требует дорогостоящей вычислительной мощности. Ведущие брокеры сетевых пакетов могут снять нагрузку по расшифровке с инструментов безопасности, обеспечив общую прозрачность и одновременно снизив нагрузку на дорогостоящие ресурсы.
Маскировка данных
Расшифровка SSL делает данные видимыми для любого, у кого есть доступ к инструментам безопасности и мониторинга. NPB может блокировать номера кредитных карт или социального страхования, защищённую медицинскую информацию (PHI) или другую конфиденциальную персональную информацию (PII) перед передачей информации, чтобы она не была раскрыта инструменту и его администраторам.
Удаление заголовков
NPB может удалять заголовки, такие как VLAN, VXLAN, L3VPN, поэтому инструменты, не поддерживающие эти протоколы, могут получать и обрабатывать пакетные данные. Контекстно-зависимая видимость помогает обнаруживать вредоносные приложения, работающие в сети, и следы, оставляемые злоумышленниками при их работе в системе и сети.
Аналитика приложений и угроз
Раннее обнаружение уязвимостей снижает риск потери конфиденциальной информации и, в конечном итоге, затраты на устранение уязвимостей. Контекстно-зависимая видимость, обеспечиваемая NPB, может использоваться для обнаружения индикаторов вторжений (IOC), определения геолокации векторов атак и борьбы с криптографическими угрозами.
Аналитика приложений выходит за рамки уровней 2–4 (модель OSI) пакетных данных и достигает уровня 7 (уровень приложений). Можно создавать и экспортировать обширные данные о поведении и местоположении пользователей и приложений, чтобы предотвращать атаки на уровне приложений, когда вредоносный код маскируется под обычные данные и допустимые клиентские запросы.
Контекстно-зависимая видимость помогает обнаружить вредоносные приложения, работающие в вашей сети, а также следы, оставляемые злоумышленниками при работе в вашей системе и сети.
Мониторинг приложений
Видимость восприятия приложения также оказывает существенное влияние на производительность и управление. Возможно, вам интересно узнать, когда сотрудники использовали облачные сервисы, такие как Dropbox или веб-почту, для обхода политик безопасности и передачи корпоративных файлов, или когда бывшие сотрудники пытались получить доступ к файлам, используя облачные сервисы персонального хранения.
Преимущества НПБ
• Простота использования и управления
• Интеллект для устранения командной нагрузки
• Отсутствие потери пакетов — запуск расширенных функций
• 100% надежность
• Высокопроизводительная архитектура
Время публикации: 20 января 2025 г.
