icon

UA

ОТРИМАТИ КОНСУЛЬТАЦІЮ
icon

UA

ОТРИМАТИ КОНСУЛЬТАЦІЮ

Network Visibility: що це таке, як її досягнути та за допомогою яких інструментів 

Зміст

Що таке Network Visibility? Виклики щодо великих та розгалужених мереж Навіщо потрібна повна видимість мережі? Як досягти повної видимості? Рішення для видимості Приклади використання рішень для видимості мережі Фільтрування даних для рішень безпеки Балансування навантаження Troubleshooting Фільтрування додатків і маскування даних Visibility-рішення від CGS Tower Networks Висновки

Об’єми даних зростають з шаленою швидкістю, тому передусім компаніям потрібно подбати про збір всього трафіку мережевої інфраструктури. Але як забезпечити системи безпеки та моніторингу вашої компанії необхідним трафіком саме для них, без зайвої інформації та без втрат даних? Network visibility — саме той рівень в архітектурі, який потрібен для збору, обробки та фільтрування інформації, справді важливої для організації.
У цій статті ми надамо визначення поняття Network Visibility, розкажемо, як вона може допомогти розв'язати проблеми доступності та безпеки, як досягти видимості, які є види інструментів видимості. А також рекомендуємо рішення для збору та обробки трафіку мережі, на які варто звернути увагу.

Що таке Network Visibility?

Network visibility (видимість мережі або мережева видимість) показує рівень знань компанії про дані та компоненти корпоративної мережі.

Illustration

На рисунку вище схематично показано три рівні Network Visibility. Йтиметься саме про рівні доступу та керування, оскільки без них моніторинг неповноцінний і його результати не будуть достатньо ефективними для ухвалення рішень. І ось чому.

Виклики щодо великих та розгалужених мереж

Забезпечення безпеки та продуктивності у великих мережах може бути складним завданням через ряд причин:
● Користувачі з віддаленим доступом. Віддалені співробітники часто використовують різні пристрої та інтернет-мережі для роботи. Це може ускладнювати збір мережевого трафіку, створюючи додаткові ризики для безпеки та проблеми з відповідністю нормам конфіденційності інформації. ● Сліпі зони. Використання зашифрованого трафіку, наявність несанкціонованих пристроїв або використання хмарних сервісів можуть ускладнити виявлення потенційних загроз для безпеки та реагування на них і спричинити проблеми з продуктивністю. Навіть якщо в мережі є одна сліпа зона, то достатньо пропущеного злоякісного байту, щоб вивести систему з ладу чи отримати доступ до неї зловмиснику. ● Обмеження інструментів моніторингу та аналізу. Такі інструменти можуть мати обмеження на типи відстежуваного трафіку та рівні його деталізації. ● Складність мережі. Збільшення частоти використання хмарних сервісів, IoT-пристроїв, SDN та NFV ускладнює надання повного і точного уявлення про мережевий трафік інструментами візуалізації.
Тому за поняттям Network Visibility найчастіше стоїть процес видалення сліпих зон, які не дозволяють повністю бачити та оцінювати стан мережі й додатків. Натомість повна видимість дозволить вашій IT-команді ізолювати загрози та виправити проблеми з продуктивністю якомога швидше. Результат — краща взаємодія з кінцевими користувачами завдяки зменшенню простоїв у роботі мережі або додатків у цій мережі.

Навіщо потрібна повна видимість мережі?

Якщо ви додасте до своєї інфраструктури додатковий Visibility Layer, то зможете:
● Налаштувати зв’язок між мережею та рішеннями безпеки та моніторингу. Інструменти для Network Visibility забезпечують віддзеркалення, збір, первинну обробку і передачу трафіку таким рішенням, як DLP, IDS/IPS, SIEM, firewall, WAF, NPM, APM й інструментам аналітики. ● Усунути сліпі зони мережі. Одним з завдань мережевої видимості є збір всіх даних та їх фільтрування. Тому ви отримуєте повноцінну картину мережевого трафіку. ● Збільшити ефективність захисту та моніторингу. Visibility-рішення забезпечують системи кібербезпеки та моніторингу необхідними даними, в необхідній кількості та в потрібному форматі – вони повинні надавати безперервну, актуальну і точну інформацію про всі аспекти мережі.

Як досягти повної видимості?

Наскрізна видимість мережі має вирішальне значення для моніторингу та управління продуктивністю, безпекою та загальним станом мережі. Досягнути цього можна за допомогою рішень та обладнання, які допомагають збирати та розподіляти трафік. Розгляньмо, яких типів бувають ці рішення.

Рішення для видимості

Є декілька типів таких рішень, але ми зупинимося на трьох основних.
● SPAN-порт (Switched Port Analyzer). Також відомий як дзеркальний порт, він використовується для збору трафіку для систем моніторингу, аналізу та усунення несправностей мережевого трафіку.  Порт SPAN налаштований на дублювання або віддзеркалення трафіку з інших певних портів комутатора. Продубльований трафік з налаштованих портів надсилається на порт SPAN. Потім до порту SPAN підключається пристрій моніторингу, наприклад, мережевий аналізатор або інструмент захоплення пакетів для захоплення та аналізу дзеркального трафіку.  ● Network TAPs (Test Access Points, “тапи” або відгалужувачі мережевого трафіку). Це апаратні пристрої, які на відміну від портів SPAN фізично перехоплююють і копіюють реальні дані, що проходять через мережу, в режимі реального часу. Точки доступу працюють пасивно, тобто вони не створюють затримок і не змінюють трафік, що проходить через них.  Багато тапів є двонаправленими, вони захоплюють трафік в обох напрямках — передачі та прийому — одночасно. TAPs вважаються більш надійними, ніж порти SPAN, особливо в середовищах з високим трафіком. Вони менш схильні до втрати пакетів або проблем з продуктивністю, які можуть виникнути у разі використання SPAN-портів на комутаторах.  ● Network packet brokers (NPB, мережеві брокери пакетів) — це мережеві пристрої або програмне забезпечення, призначені для ефективного управління та розподілу мережевого трафіку.  Брокери пакетів можуть агрегувати трафік з різних джерел, таких як мережеві канали, комутатори або сегменти, в єдиний потік для аналізу. Вони можуть фільтрувати та вибірково перенаправляти певні типи трафіку до інструментів моніторингу. Це допомагає оптимізувати використання ресурсів моніторингу та запобігає перевантаженню інструментів моніторингу нерелевантними даними.  Брокери пакетів також можуть розшифровувати SSL-зашифрований трафік, дозволяючи інструментам безпеки перевіряти вміст на наявність потенційних загроз.

Приклади використання рішень для видимості мережі

З огляду на усе вищесказане, розберімо декілька основних прикладів використання visibility-рішень.

Фільтрування даних для рішень безпеки

У цьому варіанті ми використовуємо NPB, щоб відсіяти дані з низьким ризиком, які рішенням безпеки немає сенсу перевіряти. Наприклад, вилучення відео та голосу з перевірки зменшить навантаження на процесор IPS, DLP, WAF та інші системи. Натомість цей трафік передається назад на обхідний комутатор і далі в мережу. Перевага особливо очевидна, якщо такі нецікаві для аналізу дані становлять значну частину вашого трафіку.

Illustration

Фільтрування даних також економить кошти. Тобто якщо ви відкинете 40% зайвого трафіку, то на такий самий об’єм збільшиться ефективна пропускна спроможність систем безпеки. А це означає, що фільтрація мережевого трафіку напряму впливає на вартість використання рішення з безпеки: вам не знадобиться збільшувати ресурс рішення, тобто не треба буде купувати додаткові ліцензії.

Балансування навантаження

Ви можете також зменшити вартість мережевого обладнання завдяки пакетним брокерам, які допомагають балансувати трафік на інструменти безпеки та моніторингу.

Illustration

Наприклад, якщо ваша мережа працює зі швидкістю 10 Гбіт/с, то для коректної роботи рішення для моніторингу має бути також розраховане на 10 Гбіт/с. Якщо ж у вашій мережі швидкість 40 Гбіт/с, пакетний брокер допоможе розподілити трафік між кількома рішеннями, які використовують 10 Гбіт/с і відтермінувати час покупки нових ресурсів.
Ви також можете об’єднати декілька інструментів і передавати їм трафік через брокер пакетів. Об’єднавши ресурси, ви зможете збільшувати ефективне навантаження.

Troubleshooting

Інструменти мережевої видимості дозволяють підвищити ефективність та оптимізувати процеси усунення несправностей. Наприклад, TAP пасивно передає копії трафіку в NPB. Це спрощує бюрократичні нюанси, коли потрібно отримати дозвіл на внесення змін в мережу.

Також брокери пакетів спрощують доступ до всіх даних, які потрібні для усунення несправностей. Тобто ви зможете зменшити середній час на відновлення (MTTR).

Фільтрування додатків і маскування даних

IT-відділи можуть виявляти та ідентифікувати приховані мережеві додатки, зменшувати загрози мережевої безпеки, а також оптимізувати продуктивність мережі та уникати перебоїв у роботі. Завдяки visibility-рішенням можна визначити та зафіксувати властивості відомих та невідомих додатків, а також передати їх спеціалізованим інструментам для моніторингу та забезпечення безпеки.
Це охоплює ідентифікацію підозрілих або невідомих додатків, виявлення незвичайної поведінки за геолокацією (наприклад, випадки, коли користувач із Північної Кореї підключається до FTP-сервера та передає дані). Також ви можете розшифровувати SSL для перевірки та аналізу потенційних загроз, аналізувати неправильну роботу додатків, вивчати кількість та зростання трафіку для ефективного управління ресурсами та прогнозування розширення.

Окрім цього, існує можливість маскування конфіденційних даних, таких як номери кредитних карток чи облікові дані, перед їхнім відправленням у системи безпеки чи моніторингу із забезпеченням високого рівня конфіденційності.

Visibility-рішення від CGS Tower Networks

CGS Tower Networks пропонує різноманітні рішення для підвищення прозорості мережі, включно з пасивними TAP, які збирають та аналізують трафік, а також високорівневі мережеві брокери, спроєктовані для обробки пакетів та забезпечення максимального рівня кібербезпеки. Схематично це має такий вигляд:

Illustration

Крім того, кожен рівень мережі може бути незалежно масштабований з дотриманням вимог до прозорості і забезпеченням ефективного розвʼязання конкретних завдань.
Компанія CGS Tower Networks пропонує такі рішення: ● Network Packet Broker (NPB) від CGS оптимізує роботу систем забезпечення кібербезпеки та моніторингу, доставляє необхідні дані в необхідному обсязі та форматі. Брокери від CGS Tower Networks розроблені з урахуванням використання новітніх чіпсетів і готових апаратних платформ, з використанням передових мережевих технологій. Завдяки цьому їхні мережеві пакетні брокери є найбільш надійними, масштабованими та модульними рішеннями на ринку. ● CGS Tower TAPs (Test Access Point) — високоякісні пасивні відгалужувачі, які працюють на широкому діапазоні швидкостей та спліт-коефіцієнтів. Вони забезпечують повну копію мережевого трафіку, значно розширюючи можливості в галузі безпеки, моніторингу та запису даних.

Висновки

Рішення для видимості мережі є потужним інструментом, який дозволяє оптимізувати архітектуру мережевого моніторингу та безпеки і створює основу для ефективного збору та обміну необхідною інформацією.
Можливості використання Network Visibility охоплюють: ● Надання доступу до конкретних даних за потребою для діагностики та усунення несправностей. ● Додавання або вилучення рішень з безпеки та моніторингу як in-line, так і out-of-band-мережі. ● Зменшення часу на відновлення після виникнення проблем. ● Забезпечення швидкого реагування на виявлені інциденти. ● Проведення розширеного аналізу загроз. ● Скасування більшості бюрократичних узгоджень. ● Зменшення фінансових втрат внаслідок зломів шляхом оперативного підключення необхідних рішень до мережі та скорочення часу на відновлення після інцидентів. ● Зменшення вартості та трудовитрат, пов'язаних із налаштуванням SPAN-порту. ● Оптимізацію витрат на системи безпеки та моніторингу

Illustration

BAKOTECH – True Value Added IT-дистриб'ютор, що надає професійну до- та пост-продажну, рекламну, підтримку для партнерів та кінцевих замовників.

Optimize
Network

Слідкуйте за оновленнями:

Illustration

BAKOTECH – True Value Added IT-дистриб'ютор, що надає професійну до- та пост-продажну, рекламну, підтримку для партнерів та кінцевих замовників.

Optimize
Network

Слідкуйте за оновленнями: