摘要:衆所周知,網絡資料包中轉裝置(network packet brokers,npb)是消除企業網絡盲點的關鍵。但是不明智地選擇卻會影響到網絡可視性。本文中,ixia産品管理進階總監glenn chagnot将帶領我們探讨如何避免這種“失明”。
相信很多人對于駕校教練的囑咐“注意看盲點”這句話印象深刻。因為看不到的危險往往比可以看的到的危險所帶來的傷害更大。這個道理同樣适用于企業資料中心安全——如何應對網絡盲點是許多企業正下面臨的一個新的挑戰。
随着衆多典型企業網絡資訊量與資料種類的不斷增長,網絡環境變得更為複雜多變。這種增長使得安全分析變得日益困難,網絡安全裝置性能變得比以往更加重要。
關于盲點
為了消除盲點,許多企業使用網絡資料包中轉裝置(npb)作為網絡可視性環境的核心元素接收來自資料中心内虛拟化和實體網絡的資料包級資料。npb的職責就是居于網絡與企業的安全與性能監測解決方案之間,聚合并過濾所有資料包,并把它們傳入安全和監測工具。這讓工具得以分析資訊并檢測任何潛在的安全或性能問題。
智能npb通過一系列諸如重複資料删除與包縮減資料包的運作得以在資料包傳到監測工具之前進行任務處理,其目的就是通過提高工具效率而降低整體解決方案的成本。一個有效的npb可以智能處理所有資料包,即理論上不會丢失任何資料包,是以似乎當今it和資訊安全團隊所面臨的最危險的盲點之一的确有可能是由于為了提高可視性的智能npb造成的。
問題一:一些npb在聚合或删除重複資料時會丢失資料包。是以,安全和監測工具不僅接收過濾的、簡化的資料——它們也會收到不完整的資料。在典型操作條件下,高達30%的丢包率對于一些npb解決方案來說并不罕見。npb中的任何丢包都會直接并顯著降低安全工具的有效性。例如,如果一個黑客利用資料包分片來分割由多個資料包組成的漏洞攻擊,那麼如果它丢失了幾個相關的資料包,入侵防禦系統(ids)将有可能無法檢測到攻擊。
問題二:如何檢測到資料丢失?由于智能npb的功能就是降低安全與監測工具上的負載,它通常會在正常操作中丢棄多餘的資料包。這使得它幾乎不可能隻通過檢查npb上的計數器而注意到npb也丢棄了關鍵資料包。實時網絡瞬息萬變,是以,不可能即時地識别資料包數量應當達到多少。确定一個npb是否在你的部署中丢棄關鍵流量的唯一方法就是在決定購買并在實時網絡中啟用之前,通過一個可控負載對其進行評估。是以,某些npb不僅有可能會制造盲點,你甚至都不知道還有這些盲點。這些盲點對安全和企業的影響至關重要。
你無法確定不可視内容的安全性
如果網絡可視性資訊丢失,那麼企業的安全工具的有效性也就無關緊要了;它們總是會錯過它們看不到的安全事件。是以,盲點可能會隐藏一個網絡入侵企圖、異常僵屍網絡流量信号,或成功攻破漏洞之後的資料洩漏。它識别異常網絡活動(例如黑客滲透你的網絡)所花的時間越長,黑客盜取的資訊就越多。
它還會造成合規問題。必須符合資料安全标準(例如pci dss)或政府法規(例如hipaa)的企業可能因為未能監測100%的資料流量而容易違規。這種違規可能會在聲譽損失以及政府處罰方面付出慘重代價。即使敏感資料并沒有受損,但是無法展示全面的資料監測也足以讓企業達不到許多法規要求。
不完整的資料監測也意味着不能充分了解流量,這樣就無法預測系統何時可能出故障——這些都不能幫助it和安全團隊掌控其網絡。
確定整體可視性
想找到合适的解決方案?雖然并非所有npb解決方案都一模一樣,但是npb解決方案仍然是在獲得整個網絡環境可視性的最智能、最有效的方式,它能夠確定安全與性能監測工具能夠有效通路百分之百的企業資訊——隻要他們在聚合資料包時不丢棄資料。
是以,當你想要購置新的npb時,你一定要向供應商提出幾個重要的問題,例如:
你的解決方案如何縮小資料包并消除重複的資料包?
它如何在不産生額外丢包的情況下進行這些功能?
它在不同的網絡負載下表現如何?
做出購買決定之前,精明的決策者從來不會單方面聽信提供商的承諾,他們會利用知名裝置已知負載測試解決方案。相信對這些問題的分享将有助于大家選擇一個真正切實有效的npb解決方案:一個可以確定消除網絡安全盲點,能夠看到潛在威脅并采取防禦措施的npb解決方案。
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)