眾所周知,網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(Network Packet Brokers,NPB)是消除企業(yè)網(wǎng)絡(luò)盲點(diǎn)的關(guān)鍵。但是不明智地選擇卻會(huì)影響到網(wǎng)絡(luò)可視性。
相信很多人對(duì)于駕校教練的囑咐“注意看盲點(diǎn)”這句話印象深刻。因?yàn)榭床坏降奈kU(xiǎn)往往比可以看的到的危險(xiǎn)所帶來(lái)的傷害更大。這個(gè)道理同樣適用于企業(yè)數(shù)據(jù)中心安全——如何應(yīng)對(duì)網(wǎng)絡(luò)盲點(diǎn)是許多企業(yè)正下面臨的一個(gè)新的挑戰(zhàn)。
隨著眾多典型企業(yè)網(wǎng)絡(luò)信息量與數(shù)據(jù)種類的不斷增長(zhǎng),網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜多變。這種增長(zhǎng)使得安全分析變得日益困難,網(wǎng)絡(luò)安全設(shè)備性能變得比以往更加重要。
關(guān)于盲點(diǎn)
為了消除盲點(diǎn),許多企業(yè)使用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(NPB)作為網(wǎng)絡(luò)可視性環(huán)境的核心元素接收來(lái)自數(shù)據(jù)中心內(nèi)虛擬化和物理網(wǎng)絡(luò)的數(shù)據(jù)包級(jí)數(shù)據(jù)。NPB的職責(zé)就是居于網(wǎng)絡(luò)探針與企業(yè)的安全與性能監(jiān)測(cè)解決方案之間,聚合并過(guò)濾所有數(shù)據(jù)包,并把它們傳入安全和監(jiān)測(cè)工具。這讓工具得以分析信息并檢測(cè)任何潛在的安全或性能問(wèn)題。
智能NPB通過(guò)一系列諸如重復(fù)數(shù)據(jù)刪除與包縮減數(shù)據(jù)包的運(yùn)行得以在數(shù)據(jù)包傳到監(jiān)測(cè)工具之前進(jìn)行任務(wù)處理,其目的就是通過(guò)提高工具效率而降低整體解決方案的成本。一個(gè)有效的NPB可以智能處理所有數(shù)據(jù)包,即理論上不會(huì)丟失任何數(shù)據(jù)包,所以似乎當(dāng)今IT和信息安全團(tuán)隊(duì)所面臨的最危險(xiǎn)的盲點(diǎn)之一的確有可能是由于為了提高可視性的智能NPB造成的。
問(wèn)題一:一些NPB在聚合或刪除重復(fù)數(shù)據(jù)時(shí)會(huì)丟失數(shù)據(jù)包。因此,安全和監(jiān)測(cè)工具不僅接收過(guò)濾的、簡(jiǎn)化的數(shù)據(jù)——它們也會(huì)收到不完整的數(shù)據(jù)。在典型操作條件下,高達(dá)30%的丟包率對(duì)于一些NPB解決方案來(lái)說(shuō)并不罕見。NPB中的任何丟包都會(huì)直接并顯著降低安全工具的有效性。例如,如果一個(gè)黑客利用數(shù)據(jù)包分片來(lái)分割由多個(gè)數(shù)據(jù)包組成的漏洞攻擊,那么如果它丟失了幾個(gè)相關(guān)的數(shù)據(jù)包,入侵防御系統(tǒng)(IDS)將有可能無(wú)法檢測(cè)到攻擊。
問(wèn)題二:如何檢測(cè)到數(shù)據(jù)丟失?由于智能NPB的功能就是降低安全與監(jiān)測(cè)工具上的負(fù)載,它通常會(huì)在正常操作中丟棄多余的數(shù)據(jù)包。這使得它幾乎不可能只通過(guò)檢查NPB上的計(jì)數(shù)器而注意到NPB也丟棄了關(guān)鍵數(shù)據(jù)包。實(shí)時(shí)網(wǎng)絡(luò)瞬息萬(wàn)變,因此,不可能即時(shí)地識(shí)別數(shù)據(jù)包數(shù)量應(yīng)當(dāng)達(dá)到多少。確定一個(gè)NPB是否在你的部署中丟棄關(guān)鍵流量的唯一方法就是在決定購(gòu)買并在實(shí)時(shí)網(wǎng)絡(luò)中啟用之前,通過(guò)一個(gè)可控負(fù)載對(duì)其進(jìn)行評(píng)估。因此,某些NPB不僅有可能會(huì)制造盲點(diǎn),你甚至都不知道還有這些盲點(diǎn)。這些盲點(diǎn)對(duì)安全和企業(yè)的影響至關(guān)重要。
你無(wú)法確保不可視內(nèi)容的安全性
如果網(wǎng)絡(luò)可視性信息丟失,那么企業(yè)的安全工具的有效性也就無(wú)關(guān)緊要了;它們總是會(huì)錯(cuò)過(guò)它們看不到的安全事件。因此,盲點(diǎn)可能會(huì)隱藏一個(gè)網(wǎng)絡(luò)入侵企圖、異常僵尸網(wǎng)絡(luò)流量信號(hào),或成功攻破漏洞之后的數(shù)據(jù)泄漏。它識(shí)別異常網(wǎng)絡(luò)活動(dòng)(例如黑客滲透你的網(wǎng)絡(luò))所花的時(shí)間越長(zhǎng),黑客盜取的信息就越多。
它還會(huì)造成合規(guī)問(wèn)題。必須符合數(shù)據(jù)安全標(biāo)準(zhǔn)(例如PCI DSS)或政府法規(guī)(例如HIPAA)的企業(yè)可能因?yàn)槲茨鼙O(jiān)測(cè)100%的數(shù)據(jù)流量而容易違規(guī)。這種違規(guī)可能會(huì)在聲譽(yù)損失以及政府處罰方面付出慘重代價(jià)。即使敏感數(shù)據(jù)并沒有受損,但是無(wú)法展示全面的數(shù)據(jù)監(jiān)測(cè)也足以讓企業(yè)達(dá)不到許多法規(guī)要求。
不完整的數(shù)據(jù)監(jiān)測(cè)也意味著不能充分了解流量,這樣就無(wú)法預(yù)測(cè)系統(tǒng)何時(shí)可能出故障——這些都不能幫助IT和安全團(tuán)隊(duì)掌控其網(wǎng)絡(luò)。
確保整體可視性
想找到合適的解決方案?雖然并非所有NPB解決方案都一模一樣,但是NPB解決方案仍然是在獲得整個(gè)網(wǎng)絡(luò)環(huán)境可視性的最智能、最有效的方式,它能夠確保安全與性能監(jiān)測(cè)工具能夠有效訪問(wèn)百分之百的企業(yè)信息——只要他們?cè)诰酆蠑?shù)據(jù)包時(shí)不丟棄數(shù)據(jù)。
所以,當(dāng)你想要購(gòu)置新的NPB時(shí),你一定要向供應(yīng)商提出幾個(gè)重要的問(wèn)題,例如:
· 你的解決方案如何縮小數(shù)據(jù)包并消除重復(fù)的數(shù)據(jù)包?
· 它如何在不產(chǎn)生額外丟包的情況下進(jìn)行這些功能?
· 它在不同的網(wǎng)絡(luò)負(fù)載下表現(xiàn)如何?
做出購(gòu)買決定之前,精明的決策者從來(lái)不會(huì)單方面聽信提供商的承諾,他們會(huì)利用知名裝置已知負(fù)載測(cè)試解決方案。相信對(duì)這些問(wèn)題的分享將有助于大家選擇一個(gè)真正切實(shí)有效的NPB解決方案:一個(gè)可以確保消除網(wǎng)絡(luò)安全盲點(diǎn),能夠看到潛在威脅并采取防御措施的NPB解決方案。