在日新月異的 IT 環境中保證網絡的安全以及用戶的不斷髮展,需要一系列執行實時分析的複雜工具。您的監控基礎設施可能具有網絡和應用性能監控(NPM/APM)、數據記錄器和傳統網絡分析儀,而您的防禦系統則會利用防火牆、入侵保護系統(IPS)、數據防泄漏(DLP)、反惡意軟件和其他解決方案。
無論安全和監控工具有多專業,它們都有兩個共同點:
- 需要準確瞭解網絡中發生的一切
- 分析結果只是基於所收到的數據
企業管理協會(EMA)於2016年進行的一項調查發現,近30%的受訪者不相信他們的工具能夠接收到所需的所有數據。這意味着網絡中存在監控盲點,最終導致徒勞無功、過高的成本和被黑客攻擊的更高風險。
可視性要求避免投資浪費和網絡監測盲點,這需要收集網絡中一切動態的相關數據。分路器/分光器和網絡設備的鏡像端口也被稱之爲SPAN端口,成爲了用於捕獲流量以便進行分析的接入點。
這屬於相對“簡單的操作”,真正的挑戰在於如何有效地將數據從網絡傳送到每個需要它的工具。如果您只有幾個網段和相對較少的分析工具,那麼這兩者可以直接連接。然而,鑑於網絡不斷擴展的速度,即使邏輯上可行,這種一對一的連接很有可能造成難以駕馭的管理噩夢。
EMA報告稱,35%的企業機構認爲SPAN端口和分路器的短缺是他們無法全面監控其網段的主要原因。防火牆等高端分析工具上的端口也可能更加匱乏,因此,切忌超負荷使用設備而導致性能下降,這一點至關重要。
爲何需要網絡數據包代理?
網絡數據包代理(NPB)安裝在用於訪問網絡數據的分路器或 SPAN 端口,以及安全和監控工具之間。顧名思義,網絡數據包代理的基本功能是:協調網絡數據包數據,以確保每個分析工具準確獲得其所需的數據。
NPB增加了一個日益關鍵的智能層,降低了成本和複雜性,可幫助您實現以下目標:
爲更優的決策獲得更全面、 精準的數據
具有高級過濾功能的網絡數據包代理用於爲您的監控和安全分析工具提供精準有效的數據。
更嚴格的安全性
當您無法察覺威脅時,就很難加以阻止。NPB旨在確保防火牆、IPS和其他防禦系統始終能夠獲得精準所需的數據。
更快地解決問題
實際上,僅僅識別存在問題所花費的時間就佔平均修復時間(MTTR)的85%。停機時間意味着金錢流失,而處理不當可能會對您的業務造成毀滅性的影響。
NPB提供的情境感知過濾通過引入高級應用智能,幫助您更快地發現和確定問題的根本原因。
提高主動性
智能NPB通過NetFlow提供的元數據也有助於訪問實證數據,以管理帶寬使用率、趨勢和增長,從而將問題扼殺於搖籃之中。
更好的投資回報率
智能NPB不僅僅可以像交換機那樣從監控點聚合流量,還可以過濾和整理數據,以提高安全性和監控工具的利用率和生產力。只需處理相關的流量,就能提高工具性能、減少擁塞、儘量降低誤報,並且使用更少的設備可以實現更大的安全覆蓋。
利用網絡數據包代理提高投資回報率的5種方法
- 加快故障排除
- 更快地檢測漏洞
- 減少安全工具的負擔
- 在升級期間延長監控
- 工具的壽命
- 簡化合規性
NPB到底能做什麼?
理論而言,聚合、過濾和交付數據聽起來很簡單。但實際上,智能NPB可以執行非常複雜的功能,從而產生以指數級增高的效率和安全收益。
負載均衡流量是其中的功能之一。例如,如果您將數據中心網絡從1Gbps升級到10Gbps、40Gbps或更高,那麼NPB可以減緩速度,以便將高速流量分配給現有的一批1G或2G低速分析監控工具。這不僅擴展了您當前監控投資的價值,同時避免了IT遷移時昂貴的改換升級。
NPB執行的其他強大功能包括:
冗餘數據包去重
分析和安全工具支持接收從多個分路器轉發來的大量重複的數據包。NPB可以消除重複,以防止工具在處理冗餘數據時浪費處理能力。
SSL解密
安全套接層(SSL)加密是用於安全發送私有信息的標準技術。然而,黑客也可以將惡意網絡威脅隱藏在加密數據包中。
檢查這些數據必須解密,但分解代碼需要寶貴的處理能力。領先的網路數據包代理可以從安全工具中卸載解密,以確保總體可視性,同時減輕對高成本資源的負擔。
數據脫敏
SSL解密使任何有權訪問安全和監控工具的人都可以看到數據。NPB可以在傳遞信息之前屏蔽信用卡或社會保險號碼、受保護的健康信息(PHI)或其他敏感的個人身份信息(PII),因此這些信息不會向工具及其管理員公開。
報頭剝離
NPB可以去除VLAN、VXLAN、L3VPN等報頭,因此無法處理這些協議的工具仍然可以接收和處理數據包數據。情境感知可視性有助於發現網絡上運行的惡意應用以及攻擊者在系統和網絡中工作時留下的足跡。
應用和威脅情報
及早發現漏洞可以減少敏感信息丟失和最終的漏洞成本。NPB提供的情境感知可視性可用於揭露入侵指標(IOC)、識別攻擊向量的地理位置以及打擊加密威脅。
應用智能擴展到包數據的第2層至第4層(OSI模型)之外,直至第7層(應用層)。可以創建和導出有關用戶和應用行爲和位置的豐富數據,以用於阻止惡意代碼僞裝爲正常數據和有效客戶端請求的應用層攻擊。
情境感知可視性有助於發現您網絡上運行的惡意應用程序以及攻擊者在系統和網絡中工作時留下的足跡。
應用監控
應用感知的可視性對性能和管理也有深遠的影響。也許您想知道員工何時使用Dropbox等基於雲的服務或基於Web的電子郵件來繞過安全策略以及傳輸公司文件,或者以前的員工何時嘗試使用基於雲的個人存儲服務訪問文件。
NPB爲您帶來的益處
- 易於使用和管理
- 消除團隊負擔的能力
- 無丟包——運行高級功能時100%可靠性
- 高性能架構
