Обеспечение безопасности сетей в быстро меняющейся ИТ-среде и непрерывной эволюции пользователей требует ряда сложных инструментов для выполнения анализа в реальном времени. Ваша инфраструктура мониторинга может иметь мониторинг производительности сети и приложений (NPM/APM), регистраторы данных и традиционные сетевые анализаторы, в то время как ваши системы защиты используют брандмауэры, системы защиты от вторжений (IPS), предотвращение утечки данных (DLP), защиту от вредоносного ПО и другие решения.
Независимо от того, насколько специализированы инструменты безопасности и мониторинга, у всех них есть две общие черты:
• Необходимо точно знать, что происходит в сети
• Результаты анализа основаны только на полученных данных.
Опрос, проведенный Enterprise Management Association (EMA) в 2016 году, показал, что почти 30% респондентов не доверяют своим инструментам получать все необходимые им данные. Это означает, что в сети есть слепые зоны мониторинга, что в конечном итоге приводит к тщетным усилиям, чрезмерным затратам и более высокому риску взлома.
Видимость требует избегания расточительных инвестиций и слепых зон сетевого мониторинга, что требует сбора соответствующих данных обо всем, что происходит в сети. Сплиттеры/разветвители и зеркальные порты сетевых устройств, также известные как порты SPAN, становятся точками доступа, используемыми для захвата трафика для анализа.
Это относительно «простая операция»; реальная проблема заключается в том, чтобы эффективно передавать данные из сети в каждый инструмент, которому они нужны. Если у вас есть только несколько сегментов сети и сравнительно немного инструментов анализа, их можно напрямую соединить. Однако, учитывая скорость, с которой сети продолжают масштабироваться, даже если это логически возможно, есть большая вероятность, что это соединение один к одному создаст неразрешимый кошмар управления.
EMA сообщило, что 35% корпоративных учреждений назвали нехватку портов и сплиттеров SPAN основной причиной, по которой они не могли полностью контролировать свои сетевые сегменты. Порты на высокопроизводительных инструментах анализа, таких как брандмауэры, также могут быть более редкими, поэтому крайне важно не перегружать свое оборудование и не снижать производительность.
Зачем вам нужны сетевые брокеры пакетов?
Брокер сетевых пакетов (NPB) устанавливается между портами сплиттера или SPAN, используемыми для доступа к сетевым данным, а также к средствам безопасности и мониторинга. Как следует из названия, основная функция брокера сетевых пакетов заключается в следующем: координировать данные сетевых пакетов, чтобы гарантировать, что каждый инструмент анализа точно получает необходимые ему данные.
NPB добавляет все более важный уровень интеллекта, который снижает затраты и сложность, помогая вам:
Получить более полные и точные данные для принятия более обоснованных решений
Сетевой брокер пакетов с расширенными возможностями фильтрации используется для предоставления точных и эффективных данных для ваших инструментов мониторинга и анализа безопасности.
Усиление мер безопасности
Когда вы не можете обнаружить угрозу, ее трудно остановить. NPB разработан для того, чтобы гарантировать, что брандмауэры, IPS и другие системы защиты всегда имеют доступ к точным данным, которые им нужны.
Решайте проблемы быстрее
Фактически, только выявление проблемы составляет 85% MTTR. Простой означает потерю денег, а неправильное обращение с ним может иметь разрушительные последствия для вашего бизнеса.
Контекстно-зависимая фильтрация, предоставляемая NPB, помогает быстрее обнаруживать и определять первопричину проблем за счет внедрения расширенного интеллекта приложений.
Увеличивайте инициативу
Метаданные, предоставляемые интеллектуальным NPB через NetFlow, также облегчают доступ к эмпирическим данным для управления использованием полосы пропускания, тенденциями и ростом, чтобы пресечь проблему в зародыше.
Лучшая окупаемость инвестиций
Smart NPB может не только агрегировать трафик из точек мониторинга, таких как коммутаторы, но также фильтровать и сопоставлять данные для улучшения использования и производительности инструментов безопасности и мониторинга. Обрабатывая только релевантный трафик, мы можем улучшить производительность инструментов, уменьшить перегрузку, минимизировать ложные срабатывания и достичь большего покрытия безопасности с меньшим количеством устройств.
Пять способов повысить рентабельность инвестиций с помощью сетевых брокеров пакетов:
• Более быстрое устранение неполадок
• Обнаруживайте уязвимости быстрее
• Уменьшите нагрузку на инструменты безопасности
• Продлите срок службы инструментов мониторинга во время обновлений
• Упростить соблюдение требований
Что именно может сделать НПБ?
Агрегация, фильтрация и доставка данных в теории кажутся простыми. Но на самом деле умный NPB может выполнять очень сложные функции, что приводит к экспоненциальному росту эффективности и безопасности.
Балансировка нагрузки трафика является одной из функций. Например, если вы обновляете сеть вашего центра обработки данных с 1 Гбит/с до 10 Гбит/с, 40 Гбит/с или выше, NPB может замедлиться, чтобы распределить высокоскоростной трафик для существующей партии инструментов мониторинга аналитики низкой скорости 1G или 2G. Это не только увеличивает ценность ваших текущих инвестиций в мониторинг, но и позволяет избежать дорогостоящих обновлений при миграции ИТ.
Другие мощные функции, реализуемые NPB, включают в себя:
Избыточные пакеты данных дедуплицируются
Инструменты анализа и безопасности поддерживают прием большого количества дублирующих пакетов, пересылаемых с нескольких сплиттеров. NPB может устранить дублирование, чтобы предотвратить трату вычислительной мощности инструментов при обработке избыточных данных.
Расшифровка SSL
Шифрование Secure Socket Layer (SSL) является стандартной техникой, используемой для безопасной отправки личной информации. Однако хакеры также могут скрывать вредоносные киберугрозы в зашифрованных пакетах.
Изучение этих данных должно быть расшифровано, но декомпозиция кода требует драгоценной вычислительной мощности. Ведущие брокеры сетевых пакетов могут разгрузить дешифрование от инструментов безопасности, чтобы обеспечить общую видимость и одновременно снизить нагрузку на дорогостоящие ресурсы.
Маскировка данных
Расшифровка SSL делает данные видимыми для любого, у кого есть доступ к инструментам безопасности и мониторинга. NPB может блокировать номера кредитных карт или социального страхования, защищенную информацию о состоянии здоровья (PHI) или другую конфиденциальную личную информацию (PII) перед передачей информации, чтобы она не была раскрыта инструменту и его администраторам.
Удаление заголовка
NPB может удалять заголовки, такие как VLAN, VXLAN, L3VPN, поэтому инструменты, которые не могут обрабатывать эти протоколы, все равно могут получать и обрабатывать пакетные данные. Контекстно-зависимая видимость помогает обнаруживать вредоносные приложения, работающие в сети, и следы, оставленные злоумышленниками при работе в системе и сети.
Применение и разведка угроз
Раннее обнаружение уязвимостей снижает потерю конфиденциальной информации и, в конечном счете, стоимость уязвимости. Контекстно-зависимая видимость, предоставляемая NPB, может использоваться для обнаружения индикаторов вторжения (IOC), определения геолокации векторов атак и борьбы с криптографическими угрозами.
Интеллект приложений выходит за пределы уровней 2–4 (модель OSI) пакетных данных вплоть до уровня 7 (уровень приложений). Можно создавать и экспортировать обширные данные о поведении и местоположении пользователя и приложения для предотвращения атак на уровне приложений, где вредоносный код маскируется под обычные данные и допустимые клиентские запросы.
Контекстно-зависимая видимость помогает обнаруживать вредоносные приложения, работающие в вашей сети, и следы, оставляемые злоумышленниками при работе в вашей системе и сети.
Мониторинг приложений
Видимость восприятия приложения также оказывает глубокое влияние на производительность и управление. Возможно, вы хотите узнать, когда сотрудники использовали облачные сервисы, такие как Dropbox или веб-электронную почту, чтобы обойти политики безопасности и передать файлы компании, или когда бывшие сотрудники пытались получить доступ к файлам с помощью облачных персональных сервисов хранения.
Преимущества НПБ
• Простота использования и управления
• Интеллект для устранения командной нагрузки
• Отсутствие потери пакетов — запуск расширенных функций
• 100% надежность
• Высокопроизводительная архитектура
Время публикации: 20 января 2025 г.
