A hálózatok biztonságának garantálása a gyorsan változó informatikai környezetben és a felhasználók folyamatos fejlődése számos kifinomult eszközt igényel a valós idejű elemzés elvégzéséhez. A monitorozási infrastruktúra tartalmazhat hálózati és alkalmazásteljesítmény-monitorozást (NPM/APM), adatnaplózókat és hagyományos hálózati elemzőket, míg a védelmi rendszerek tűzfalakat, behatolásvédelmi rendszereket (IPS), adatszivárgás-megelőzést (DLP), kártevőirtó rendszereket és egyéb megoldásokat használnak.
Nem számít, mennyire specializáltak a biztonsági és felügyeleti eszközök, két dolog közös bennük:
• Pontosan tudni kell, mi történik a hálózatban
• Az elemzés eredményei kizárólag a kapott adatokon alapulnak
Az Enterprise Management Association (EMA) által 2016-ban végzett felmérés szerint a válaszadók közel 30%-a nem bízik az eszközeiben, hogy minden szükséges adatot megkapjanak. Ez azt jelenti, hogy a hálózatban megfigyelési vakfoltok vannak, ami végső soron hiábavaló erőfeszítésekhez, túlzott költségekhez és a feltörés fokozott kockázatához vezet.
A láthatóság érdekében el kell kerülni a pazarló beruházásokat, és a hálózat monitorozásának vakfoltjait kell létrehozni, amihez releváns adatokat kell gyűjteni a hálózaton zajló minden eseményről. A hálózati eszközök elosztói/szétválasztói és tükrözött portjai, más néven SPAN portok, hozzáférési pontokká válnak a forgalom elemzés céljából történő rögzítéséhez.
Ez egy viszonylag „egyszerű művelet”; az igazi kihívás az, hogy hatékonyan juttassuk el az adatokat a hálózatból minden olyan eszközhöz, amelynek szüksége van rájuk. Ha csak néhány hálózati szegmensünk és viszonylag kevés elemzőeszközünk van, a kettő közvetlenül összekapcsolható. Azonban a hálózatok folyamatos skálázódási sebessége miatt, még ha logikailag lehetséges is, jó esély van arra, hogy ez az egy az egyhez kapcsolat kezelhetetlen rémálommá válik.
Az EMA jelentése szerint a vállalati intézmények 35%-a a SPAN portok és elosztók hiányát jelölte meg fő okként, amiért nem tudták teljes mértékben felügyelni hálózati szegmenseiket. A csúcskategóriás elemzőeszközökön, például a tűzfalakon is ritkábbak lehetnek a portok, ezért kritikus fontosságú, hogy ne terhelje túl a berendezéseit és ne rontsa a teljesítményt.
Miért van szüksége hálózati csomagközvetítőkre?
A hálózati csomagközvetítő (NPB) a hálózati adatok eléréséhez használt elosztó vagy SPAN portok, valamint a biztonsági és felügyeleti eszközök közé van telepítve. Ahogy a neve is sugallja, a hálózati csomagközvetítő alapvető funkciója: a hálózati csomagadatok koordinálása annak biztosítása érdekében, hogy minden elemzőeszköz pontosan megkapja a szükséges adatokat.
Az NPB egyre fontosabb intelligenciaréteget ad hozzá, amely csökkenti a költségeket és a bonyolultságot, és segít Önnek a következőkben:
Átfogóbb és pontosabb adatok beszerzése a jobb döntéshozatal érdekében
A fejlett szűrési képességekkel rendelkező hálózati csomagközvetítő pontos és hatékony adatokat biztosít a monitorozó és biztonsági elemző eszközök számára.
Szigorúbb biztonság
Ha nem észlelhető egy fenyegetés, nehéz megállítani. Az NPB-t úgy tervezték, hogy a tűzfalak, az IPS és más védelmi rendszerek mindig hozzáférjenek a szükséges adatokhoz.
Problémák gyorsabb megoldása
Valójában a probléma azonosítása az átlagos üzemidő (MTTR) 85%-át teszi ki. A leállás pénzkiesést jelent, és a nem megfelelő kezelése pusztító hatással lehet az üzletére.
Az NPB által biztosított kontextus-érzékeny szűrés a fejlett alkalmazásintelligencia bevezetésével segít gyorsabban felfedezni és meghatározni a problémák kiváltó okát.
Növelje a kezdeményezőkészséget
Az intelligens NPB által a NetFlow-n keresztül biztosított metaadatok megkönnyítik az empirikus adatokhoz való hozzáférést is, amelyekkel kezelhető a sávszélesség-használat, a trendek és a növekedés, és így a problémát már a kezdeti szakaszban el lehet hárítani.
Jobb megtérülés a befektetésre
Az intelligens NPB nemcsak a monitorozási pontokból, például a kapcsolókból érkező forgalmat képes összesíteni, hanem szűrni és rendszerezni is az adatokat a biztonsági és monitorozó eszközök kihasználtságának és termelékenységének javítása érdekében. Azzal, hogy csak a releváns forgalmat kezeljük, javíthatjuk az eszközök teljesítményét, csökkenthetjük a torlódást, minimalizálhatjuk a téves riasztásokat, és nagyobb biztonsági lefedettséget érhetünk el kevesebb eszközzel.
Öt módszer a befektetésarányos megtérülés javítására hálózati csomagközvetítőkkel:
• Gyorsabb hibaelhárítás
• Gyorsabb sebezhetőségek észlelése
• Csökkentse a biztonsági eszközök terhelését
• A frissítések során meghosszabbíthatja a felügyeleti eszközök élettartamát
• Egyszerűsítse a megfelelést
Pontosan mit tehet az NPB?
Az adatok összesítése, szűrése és kézbesítése elméletben egyszerűnek hangzik. A valóságban azonban az intelligens NPB-k nagyon összetett funkciókat tudnak ellátni, ami exponenciálisan nagyobb hatékonyságot és biztonsági előnyöket eredményez.
A forgalom terheléselosztása az egyik ilyen funkció. Például, ha az adatközpont hálózatát 1 Gbps-ról 10 Gbps-re, 40 Gbps-re vagy magasabbra frissíti, az NPB lelassíthatja a sebességet, hogy a nagy sebességű forgalmat egy meglévő 1G vagy 2G alacsony sebességű analitikai monitorozó eszközcsomaghoz rendelje. Ez nemcsak a jelenlegi monitorozó beruházás értékét növeli, hanem elkerüli a költséges frissítéseket is az informatikai migráció során.
Az NPB által nyújtott egyéb hatékony funkciók a következők:
A redundáns adatcsomagok deduplikálódnak
Az elemző és biztonsági eszközök támogatják a több elosztótól továbbított nagyszámú ismétlődő csomag fogadását. Az NPB kiküszöbölheti a duplikációkat, megakadályozva, hogy az eszközök pazarolják a feldolgozási teljesítményt a redundáns adatok feldolgozása során.
SSL-dekódolás
A Secure Socket Layer (SSL) titkosítás a személyes adatok biztonságos küldésére használt szabványtechnika. A hackerek azonban rosszindulatú kiberfenyegetéseket is elrejthetnek a titkosított csomagokban.
Az adatok vizsgálata után dekódolni kell a kódot, de a kód visszafejtése értékes feldolgozási teljesítményt igényel. A vezető hálózati csomagbrókerek átruházhatják a dekódolás feladatát a biztonsági eszközökre, hogy biztosítsák az általános láthatóságot, miközben csökkentik a költséges erőforrások terhelését.
Adatmaszkolás
Az SSL-dekódolás láthatóvá teszi az adatokat bárki számára, aki hozzáfér a biztonsági és felügyeleti eszközökhöz. Az NPB blokkolhatja a hitelkártya- vagy társadalombiztosítási számokat, a védett egészségügyi információkat (PHI) vagy más érzékeny, személyazonosításra alkalmas információkat (PII) az információk továbbítása előtt, így azok nem kerülnek nyilvánosságra az eszköz és adminisztrátorai számára.
Fejléc lecsupaszítása
Az NPB képes eltávolítani a fejléceket, például a VLAN, VXLAN, L3VPN protokollt, így azok az eszközök, amelyek nem tudják kezelni ezeket a protokollokat, továbbra is fogadhatnak és feldolgozhatnak csomagkapcsolt adatokat. A kontextusfüggő láthatóság segít felderíteni a hálózaton futó rosszindulatú alkalmazásokat, valamint a támadók által a rendszerben és a hálózatban végzett munkájuk során hátrahagyott lábnyomokat.
Alkalmazás- és fenyegetésfelderítés
A sebezhetőségek korai felismerése csökkenti az érzékeny információk elvesztését és végső soron a sebezhetőségi költségeket. Az NPB által biztosított kontextus-érzékeny láthatóság felhasználható a behatolás jelzőinek (IOC) feltárására, a támadási vektorok geolokációjának azonosítására és a kriptográfiai fenyegetések leküzdésére.
Az alkalmazásintelligencia a csomagalapú adatcsomagok 2–4. rétegén (OSI modell) túlmutat a 7. rétegen (alkalmazásréteg). A felhasználók és alkalmazások viselkedéséről és helyéről gazdag adatok hozhatók létre és exportálhatók, hogy megakadályozzák az alkalmazásrétegbeli támadásokat, ahol a rosszindulatú kód normál adatnak és érvényes klienskéréseknek álcázza magát.
A kontextusfüggő láthatóság segít felderíteni a hálózaton futó rosszindulatú alkalmazásokat, valamint a támadók által a rendszeren és a hálózaton keresztül hátrahagyott lábnyomokat.
Alkalmazásfelügyelet
Az alkalmazások észlelésének láthatósága mélyreható hatással van a teljesítményre és a menedzsmentre is. Talán szeretné tudni, hogy mikor használtak az alkalmazottak felhőalapú szolgáltatásokat, például a Dropboxot vagy a webes e-mailt a biztonsági szabályzatok megkerülésére és a vállalati fájlok átvitelére, vagy mikor próbáltak meg korábbi alkalmazottak felhőalapú személyes tárhelyszolgáltatásokon keresztül hozzáférni a fájlokhoz.
Az NPB előnyei
• Könnyen használható és kezelhető
• Intelligencia a csapat terheinek eltávolítására
• Nincs csomagvesztés – fejlett funkciókat futtat
• 100%-os megbízhatóság
• Nagy teljesítményű architektúra
Közzététel ideje: 2025. január 20.
