Network Visibility: что это такое, как ее достичь и с помощью каких инструментов
Содержание
● Что такое Network Visibility?● Вызовы относительно больших и разветвленных сетей ● Зачем нужна полная видимость сети? ● Как достичь полной видимости? ● Решения для видимости● Примеры использования решений для видимости сети ● Фильтрование данных для решений безопасности● Балансировка нагрузки● Troubleshooting ● Фильтрование приложений и маскировка данных ● Visibility-решения от CGS Tower Networks ● Выводы
Объемы данных растут с большой скоростью, поэтому в первую очередь компаниям стоит позаботиться о сборе всего трафика сетевой инфраструктуры. Но как обеспечить системы безопасности и мониторинга вашей компании необходимым именно для них трафиком, без лишней информации и без потерь данных? Network visibility — именно тот уровень в архитектуре, который нужен для сбора, обработки и фильтрования действительно важной для организации информации.
В этой статье мы дадим определение понятию Network Visibility, расскажем, как она может помочь решить проблемы доступности и безопасности, как достичь видимости, какие есть виды инструментов видимости. А также порекомендуем решения для сбора и обработки трафика сети, на которые стоит обратить внимание.
Что такое Network Visibility?
Network Visibility (видимость сети или сетевая видимость) означает уровень знаний компании о данных и компонентах корпоративной сети.
На рисунке выше схематически представлены три уровня Network Visibility. Речь пойдет именно об уровнях доступа и управления, поскольку без них мониторинг неполноценен и его результаты не будут достаточно эффективными для принятия решений. И вот почему.
Вызовы относительно больших и разветвленных сетей
Обеспечение безопасности и производительности в больших сетях может быть сложной задачей по ряду причин:
● Пользователи с удаленным доступом. Удаленные сотрудники часто используют различные устройства и интернет-сети для работы. Это может затруднять сбор сетевого трафика, создавая дополнительные риски для безопасности и проблемы с соответствием нормам конфиденциальности информации.● Слепые зоны. Использование зашифрованного трафика, наличие несанкционированных устройств или использование облачных сервисов могут затруднить обнаружение и реагирование на потенциальные угрозы безопасности и проблемы с производительностью. Даже если в сети есть одна слепая зона, то достаточно пропущенного злокачественного байта, чтобы вывести систему из строя или получить злоумышленнику доступ к ней. ● Ограничения инструментов мониторинга и анализа. Такие инструменты могут иметь ограничения на типы отслеживаемого трафика и уровни его детализации.● Сложность сети. Увеличение частоты использования облачных сервисов, IoT-устройств, SDN и NFV затрудняет предоставление полного и точного отображения сетевого трафика инструментами визуализации.
Поэтому за понятием Network Visibility чаще всего стоит процесс удаления слепых зон, которые не позволяют полностью видеть и оценивать состояние сети и приложений. Напротив, полная видимость позволит вашей IT-команде изолировать угрозы и исправить проблемы с производительностью как можно быстрее. Результат — лучшее взаимодействие с конечными пользователями благодаря уменьшению простоев в работе сети или приложений в этой сети.
Зачем нужна полная видимость сети?
Если вы добавите к своей инфраструктуре дополнительный Visibility Layer, то сможете:
● Настроить связь между сетью и решениями безопасности и мониторинга. Инструменты для Network Visibility обеспечивают отражение, сбор, первичную обработку и передачу трафика таким решениям, как DLP, IDS/IPS, SIEM, firewall, WAF, NPM, APM, и инструментам аналитики. ● Устранить слепые зоны сети. Одной из задач сетевой видимости является сбор всех данных и их фильтрация. Поэтому вы получаете полноценную картину сетевого трафика. ● Увеличить эффективность защиты и мониторинга. Visibility-решения обеспечивают системы кибербезопасности и мониторинга необходимыми данными, в необходимом количестве и в нужном формате - они должны предоставлять непрерывную, актуальную и точную информацию обо всех аспектах сети.
Как достичь полной видимости?
Сквозная видимость сети имеет решающее значение для мониторинга и управления производительностью, безопасностью и общим состоянием сети. Достичь этого можно с помощью решений и оборудования, которые помогают собирать и распределять трафик. Давайте рассмотрим, какими могут быть эти решения.
Решения для видимости
Есть несколько типов таких решений, но мы остановимся на трех основных.
● SPAN-порт (Switched Port Analyzer). Также известный как зеркальный порт, он используется для сбора трафика для систем мониторинга, анализа и устранения неисправностей сетевого трафика. Порт SPAN настроен на дублирование или зеркалирование трафика с других определенных портов коммутатора. Продублированный трафик с настроенных портов направляется на порт SPAN. Затем к порту SPAN подключается устройство мониторинга, например, сетевой анализатор или инструмент захвата пакетов для захвата и анализа зеркального трафика. ● Network TAPs (Test Access Points, “тапы” или ответвители сетевого трафика). Это аппаратные устройства, которые в отличие от портов SPAN, физически перехватывают и копируют реальные данные, проходящие через сеть в режиме реального времени. Точки доступа работают пассивно, то есть они не создают задержек и не изменяют проходящий через них трафик. Многие тапы являются двунаправленными, захватывая трафик в обоих направлениях — передачи и приема — одновременно. TAPs считаются более надежными, чем порты SPAN, особенно в средах с высоким трафиком. Они менее подвержены потере пакетов или проблемам с производительностью, которые могут возникнуть при использовании SPAN-портов на коммутаторах.
● Network packet brokers (NPB, сетевые брокеры пакетов) — это сетевые устройства или программное обеспечение, предназначенные для эффективного управления и распределения сетевого трафика. Брокеры пакетов могут агрегировать трафик из различных источников, таких как сетевые каналы, коммутаторы или сегменты, в единый поток для анализа. Они могут фильтровать и выборочно перенаправлять определенные типы трафика к инструментам мониторинга. Это помогает оптимизировать использование ресурсов мониторинга и предотвращает перегрузку инструментов мониторинга нерелевантными данными.
Брокеры пакетов также могут расшифровывать SSL-зашифрованный трафик, позволяя инструментам безопасности проверять содержимое на наличие потенциальных угроз.
Примеры использования решений для видимости сети
Исходя из всего вышесказанного, давайте разберем несколько основных примеров использования visibility-решений.
Фильтрование данных для решений безопасности
В этом варианте мы используем NPB, чтобы отсеять данные с низким риском, которые решениям безопасности нет смысла проверять. Например, исключение видео и голоса из проверки уменьшит нагрузку на процессор IPS, DLP, WAF и другие системы. Взамен этот трафик передается обратно на обходной коммутатор и далее в сеть. Преимущество особенно очевидно, если такие неинтересные для анализа данные составляют значительную часть вашего трафика.
Фильтрование данных также экономит средства. То есть, если вы отбросите 40% лишнего трафика, то на такой же объем увеличится эффективная пропускная способность систем безопасности. А это значит, что фильтрование сетевого трафика напрямую влияет на стоимость использования решения по безопасности: вам не понадобится увеличивать ресурс решения, то есть не надо будет покупать дополнительные лицензии.
Балансировка нагрузки
Вы можете также уменьшить стоимость сетевого оборудования благодаря пакетным брокерам, которые помогают балансировать трафик на инструменты безопасности и мониторинга.
Troubleshooting
Инструменты сетевой видимости позволяют повысить эффективность и оптимизировать процессы устранения неполадок. Например, TAP пассивно передает копии трафика в NPB. Это упрощает бюрократические нюансы, когда нужно получить разрешение на внесение изменений в сеть.
Также брокеры пакетов упрощают доступ ко всем данным, которые нужны для устранения неисправностей. То есть вы сможете уменьшить среднее время на восстановление (MTTR).
Фильтрование приложений и маскировка данных
IT-отделы могут выявлять и идентифицировать скрытые сетевые приложения, уменьшать угрозы сетевой безопасности, а также оптимизировать производительность сети и избегать перебоев в работе. Благодаря visibility-решениям можно определить и зафиксировать свойства известных и неизвестных приложений, а также передать специализированным инструментам для мониторинга и обеспечения безопасности.
Это включает идентификацию подозрительных или неизвестных приложений, выявление необычного поведения по геолокации (например, случаи, когда пользователь из Северной Кореи подключается к FTP-серверу и передает данные). Также вы можете расшифровывать SSL для проверки и анализа потенциальных угроз, анализировать неправильную работу приложений, изучать количество и рост трафика для эффективного управления ресурсами и прогнозирования расширения.
Кроме этого, существует возможность маскировки конфиденциальных данных, таких как номера кредитных карт или учетные данные, перед их отправкой в системы безопасности или мониторинга, обеспечивая высокий уровень конфиденциальности.
Visibility-решения от CGS Tower Networks
CGS Tower Networks предлагает различные решения для повышения прозрачности сети, включая пассивные TAP, которые собирают и анализируют трафик, а также высокоуровневые сетевые брокеры, спроектированные для обработки пакетов и обеспечения максимального уровня кибербезопасности. Схематически это выглядит так:
Кроме того, каждый уровень сети может быть независимо масштабирован с соблюдением требований к прозрачности и обеспечением эффективного решения конкретных задач.
Компания CGS Tower Networks предлагает следующие решения: ● Network Packet Broker (NPB) от CGS оптимизирует работу систем обеспечения кибербезопасности и мониторинга, доставляет необходимые данные в необходимом объеме и формате. Брокеры от CGS Tower Networks разработаны с учетом использования новейших чипсетов и готовых аппаратных платформ, они используют передовые сетевые технологии. Благодаря этому их сетевые пакетные брокеры являются наиболее надежными, масштабируемыми и модульными решениями на рынке. ● CGS Tower TAPs (Test Access Point) — высококачественные пассивные ответвители, которые работают на широком диапазоне скоростей и сплит-коэффициентов. Они обеспечивают полную копию сетевого трафика, значительно расширяя возможности в области безопасности, мониторинга и записи данных.
Выводы
Решение для видимости сети является мощным инструментом, который позволяет оптимизировать архитектуру сетевого мониторинга и безопасности, создавая основу для эффективного сбора и обмена необходимой информацией.
Возможности использования Network Visibility включают: ● Предоставление доступа к конкретным данным по необходимости для диагностики и устранения неисправностей. ● Добавление или удаление решений по безопасности и мониторингу как in-line, так и out-of-band-сети. ● Уменьшение времени восстановления после возникновения проблем. ● Обеспечение быстрого реагирования на обнаруженные инциденты. ● Проведение расширенного анализа угроз. ● Отмену большинства бюрократических согласований. ● Уменьшение финансовых потерь вследствие взломов путем оперативного подключения необходимых решений к сети и сокращения времени восстановления после инцидентов. ● Уменьшение стоимости и трудозатрат, связанных с настройкой SPAN-порта. ● Оптимизацию затрат на системы безопасности и мониторинга