BОб’єми даних зростають з шаленою швидкістю, та чи всі вони потрібні для систем безпеки та моніторингу вашої компанії? Network visibility — саме той рівень в архітектурі, який потрібен для обробки та фільтрування інформації, яка дійсно важлива для організації.
У цій статті ми надамо визначення поняття Network Visibility, розкажемо, як вона може допомогти вирішити проблеми доступності та безпеки, а також рекомендуємо програмне забезпечення для моніторингу, на яке варто звернути увагу.
Що таке Network Visibility?
Network visibility (видимість мережі або мережева видимість) означає рівень знань компанії про дані та компоненти корпоративної мережі.
Навіщо це потрібно?Ми звикли чути, що дані — найцінніше, що є у компанії, і їх потрібно оберігати, як зіницю ока. Проте існує градація ризику, якому можуть наражатися різні типи даних. Виходячи з цього, якщо ви додасте до своєї інфраструктури додатковий Visibility Layer, то зможете:
-
Усунути сліпі зони мережі. Одним з завдань мережевої видимості є збір всіх даних та їх фільтрування. Тому ви отримуєте повноцінну картину мережевого трафіку.
-
Збільшити ефективність захисту та моніторингу. Візібіліті -рішення забезпечують системи кібербезпеки та моніторингу необхідними даними, в необхідній кількості та в потрібному форматі – вони повинні надавати безперервну, актуальну і точну інформацію про всі аспекти мережі.
-
Налаштувати зв’язок між мережею та рішеннями безпеки та моніторингу. Інструменти для network visibility забезпечують віддзеркалення, збір, первинну обробку і передачу трафіку таким рішенням, як DLP, IDS/IPS, SIEM, firewall, WAF, NPM, APM, й інструментам аналітики.
Як досягти повної видимості?
Наскрізна видимість мережі має вирішальне значення для моніторингу та управління продуктивністю, безпекою та загальним станом мережі. Досягнути цього можна за допомогою рішень та обладнання, які допомагають збирати та розподіляти трафік. Правильний вибір такого рішення допоможе зняти обмеження видимості. Отже, варто спочатку розібратися, які це можуть бути перешкоди.
Виклики щодо великих та розгалужених мереж
Забезпечення стабільної та високої якості обслуговування для всіх користувачів у великих мережах може бути складною задачею за рядом причин:
-
· Користувачі з віддаленим доступом. Віддалені співробітники часто використовують різні пристрої та інтернет-мережі для роботи. Це може ускладнювати збір мережевого трафіку, створюючи додаткові ризики для безпеки та проблеми з відповідністю нормам конфіденційності інформації.
-
· Сліпі точки. Використання зашифрованого трафіку, наявність несанкціонованих пристроїв або використання хмарних сервісів можуть ускладнити виявлення та реагування на потенційні загрози безпеці та проблеми з продуктивністю.
-
· Обмеження інструментів моніторингу та аналізу. Такі інструменти можуть мати обмеження на типи відстежуваного трафіку та рівня його деталізації.
-
· Складність мережі. Ріст використання хмарних сервісів, IoT-пристроїв, SDN та NFV ускладнює надання повного і точного уявлення про мережевий трафік інструментами візуалізації.
Для вирішення цих викликів організації можуть використовувати передові рішення для Network Visibility. Розгляньмо, які це можуть бути типи.
Рішення для видимості
Є декілька типів таких рішень, але ми зупинимося на трьох основних.
-
SPAN-порти (Switched Port Analyzer). Також відомий як дзеркальний порт, він використовується для збору трафіку для систем моніторингу, аналізу та усунення несправностей мережевого трафіку. Порт SPAN налаштований на дублювання або віддзеркалення трафіку з інших певних портів комутатора. Продубльований трафік з налаштованих портів надсилається на порт SPAN. Потім до порту SPAN підключається пристрій моніторингу, наприклад, мережевий аналізатор або інструмент захоплення пакетів, для захоплення та аналізу дзеркального трафіку.
-
Network TAPs (Test Access Points, “тапи” або відгалужувачі мережевого трафіку) — це апаратний пристрій, який на відміну від портів SPAN, фізично перехоплює і копіює реальні дані, що проходять через мережу в режимі реального часу. Точки доступу працюють пасивно, тобто вони не створюють затримок і не змінюють трафік, що проходить через них. Багато тапів є двонаправленими, захоплюючи трафік в обох напрямках — передачі та прийому — одночасно. TAPs вважаються більш надійними, ніж порти SPAN, особливо в середовищах з високим трафіком. Вони менш схильні до втрати пакетів або проблем з продуктивністю, які можуть виникнути при використанні SPAN-портів на комутаторах.
-
Network packet brokers (NPB, мережеві брокери пакетів) — це мережевий пристрій або програмне забезпечення, призначене для ефективного управління та розподілу мережевого трафіку. Брокери пакетів можуть агрегувати трафік з різних джерел, таких як різні мережеві канали, комутатори або сегменти, в єдиний потік для аналізу. Вони можуть фільтрувати та вибірково перенаправляти певні типи трафіку до інструментів моніторингу. Це допомагає оптимізувати використання ресурсів моніторингу та запобігає перевантаженню інструментів моніторингу нерелевантними даними. Брокери пакетів також можуть розшифровувати SSL-зашифрований трафік, дозволяючи інструментам безпеки перевіряти вміст на наявність потенційних загроз.
Приклади рішень
CGS пропонує різноманітні рішення для підвищення прозорості мережі, включаючи пасивні TAP, які збирають та аналізують трафік, а також високорівневі мережеві брокери, спроектовані для обробки пакетів та забезпечення максимального рівня кібербезпеки. Крім того, кожен рівень мережі може бути незалежно масштабований з дотриманням вимог до прозорості, забезпечуючи ефективне вирішення конкретних завдань.
Компанія CGS Tower пропонує наступні рішення:
-
Network Packet Broker (NPB) від CGS оптимізує роботу систем забезпечення кібербезпеки та моніторингу, доставляє необхідні дані в необхідному обсязі та форматі. Брокери від CGS розроблені з урахуванням використання новітніх чіпсетів і готових апаратних платформ, використовуючи передові мережеві технології. Завдяки цьому їх мережеві пакетні брокери є найбільш надійними, масштабованими та модульними рішеннями на ринку.
-
CGS Tower TAPs (Test Access Point)™ — високоякісні пасивні відгалужувачі, які працюють на широкому діапазоні швидкостей та спліт-коефіцієнтів. Вони забезпечують повний знімок мережевого трафіку, значно розширюючи можливості в області безпеки, моніторингу та запису даних.
Приклади використання рішень для видимості мережі
Виходячи з усього вищесказаного, розберімо декілька основних прикладів використання візібіліті-рішень.
Фільтрування даних для рішень безпеки
У цьому варіанті ми використовуємо NPB, щоб відсіяти дані з низьким ризиком, які рішенням безпеки немає сенсу перевіряти. Наприклад, виключення відео та голосу з перевірки, зменшить навантаження на процесор IPS, DLP, WAF та інших систем. Натомість цей трафік передається назад на обхідний комутатор і далі в мережу. Перевага особливо очевидна, якщо такі, нецікаві для аналізу, дані становлять значну частину вашого трафіку.
Такий варіант використання також економить кошти. Тобто, якщо ви відкинете 40% зайвого трафіку, то на такий самий об’єм збільшиться ефективна пропускна спроможність систем безпеки. А це означає, що вам не так скоро знадобиться збільшувати ресурс рішення.
Балансування навантаження
Ви можете також зменшити вартість мережевого обладнання завдяки пакетним брокерам, які допомагають балансувати трафік на інструменти безпеки та моніторингу.
Наприклад, якщо ваша мережа працює зі швидкістю 10 Гбіт/с, то для коректної роботи, рішення для моніторингу має бути також розраховане на 10 Гбіт/с. Якщо ж у вашій мережі швидкість 40 Гбіт/с, пакетний брокер допоможе розподілити трафік між кількома рішеннями, які використовують 10 Гбіт/с і відтермінувати час покупки нових ресурсів.
Ви також можете об’єднати декілька інструментів і передавати їм трафік через брокер пакетів. Об’єднавши ресурси, ви зможете збільшувати ефективне навантаження.