Варыянты выкарыстання рашэнняў для бачнасці сеткі (visibility)
Што такое бачнасць сеткі (Network Visibility)?
Бачнасць (Visibility) вызначаецца слоўнікам Вэбстэра як "здольнасць быць лёгка заўважаным" або "ступень яснасці". Пад бачнасцю сеткі або прыкладанні маецца на ўвазе выдаленне сляпых зон, якія хаваюць здольнасць лёгка бачыць (або колькасна вызначаць), што адбываецца ў сетцы і/ці прыкладаннях у сетцы. Гэтая бачнасць дазваляе ІТ-камандам хутка ізаляваць пагрозы бяспекі і вырашаць праблемы з прадукцыйнасцю, што ў канчатковым выніку забяспечвае найлепшае ўзаемадзеянне з канчатковым карыстальнікам.
Яшчэ адно разуменне - гэта тое, што дазваляе ІТ-камандам кантраляваць і аптымізаваць сетку нараўне з прыкладаннямі і ІТ-сэрвісамі. Вось чаму бачнасць сеткі, прыкладанняў і бяспекі абсалютна неабходна для любой ІТ-арганізацый.
Самы просты спосаб дамагчыся бачнасці сеткі - гэта рэалізаваць архітэктуру бачнасці (visibility architecture), якая ўяўляе сабой комплексную end-to-end інфраструктуру, якая забяспечвае ў сваю чаргу бачнасць фізічнай і віртуальнай сеткі, прыкладанняў і бяспекі.
Закладка падмурка сеткавай бачнасці
Як толькі архітэктура бачнасці будзе створана, стане даступна мноства варыянтаў выкарыстання. Як паказана ніжэй, архітэктура бачнасці прадстаўляе тры асноўныя ўзроўні бачнасці: узровень доступу, узровень кіравання і ўзровень маніторынгу.
Выкарыстоўваючы паказаныя элементы, ІТ-адмыслоўцы могуць вырашаць розныя праблемы сеткі і прыкладанняў. Ёсць дзве катэгорыі варыянтаў выкарыстання:
- Асноўныя рашэнні бачнасці
- Поўная бачнасць сеткі
Асноўныя рашэнні бачнасці арыентаваны на бяспеку сеткі, эканомію сродкаў і ўхіленне непаладак. Гэта тры крытэрыі, якія ўплываюць на ІТ штомесяц, калі не штодня. Поўная бачнасць сеткі заклікана забяспечыць глыбейшае разуменне абласцей сляпых зон, прадукцыйнасці і адпаведнасці нарматыўным патрабаванням.
Што можна сапраўды рабіць з бачнасцю сеткі (network visibility)?
Існуе шэсць розных варыянтаў выкарыстання бачнасці сеткі, якія дакладна могуць паказаць каштоўнасць. Гэта:
- Паляпшэнне бяспекі сеткі
- Прадастаўленне магчымасцяў стрымлівання і зніжэння выдаткаў
- Паскарэнне траблшутинга і павышэнне надзейнасці сеткі
- Устараненне сляпых зон сеткі
- Аптымізацыя прадукцыйнасці сеткі і прыкладанняў
- Умацаванне захавання нарматыўных патрабаванняў
Ніжэй прыведзены некаторыя канкрэтныя прыклады выкарыстання.
Прыклад №1 - фільтраванне дадзеных для рашэнняў бяспекі, якія стаяць у разрыў сеткі (in-line), павышае эфектыўнасць дадзеных рашэнняў
Мэта гэтага варыянту ў выкарыстанні брокера сеткавых пакетаў (NPB – Network Packet Broker) для фільтрацыі дадзеных з нізкай рызыкай (напрыклад, відэа і голас), каб выключаць іх з праверкі сродкамі бяспекі (сістэмай прадухілення ўварванняў (IPS), прадухілення страты дадзеных (DLP) , сеткавым экранам для вэб-прыкладанняў (WAF) і г.д.). Гэты "нецікавы" трафік можа быць вызначаны і перададзены назад на абыходны камутатар (by-pass switch) і адпраўлены далей у сетку. Перавага гэтага рашэння складаецца ў тым, што WAF ці IPS не павінны марнаваць рэсурсы працэсара (ЦПУ) на аналіз непатрэбных дадзеных. Калі ваш сеткавы трафік утрымоўвае значны аб'ём дадзеных гэтага тыпу, вы можаце рэалізаваць гэтую функцыю і зменшыць нагрузку на свае прылады бяспекі.
У кампаній, былі выпадкі, калі да 35% сеткавага трафіку з нізкім узроўнем рызыкі было выключана з праверкі IPS. Гэта аўтаматычна павялічвае эфектыўную паласу прапускання IPS на 35% і азначае, што вы можаце адкласці набыццё дадатковых IPS або апгрэйд. Мы ўсе ведаем, што сеткавы трафік павялічваецца, таму ў нейкі момант вам спатрэбіцца больш прадукцыйны IPS. Гэта сапраўды пытанне - ці вы хочаце мінімізаваць выдаткі, ці не.
Прыклад №2 - балансіроўка нагрузкі падаўжае жыццё прылад 1-10Гбіт/с у сетцы 40Гбіт/с
Другі прыклад выкарыстання ўключае зніжэнне кошту валодання сеткавым абсталяваннем. Гэта дасягаецца з дапамогай пакет-брокераў (NPB) для балансавання трафіку на прылады бяспекі і маніторынгу. Як балансіроўка нагрузкі можа дапамагчы большасці прадпрыемстваў? Па-першае, павелічэнне колькасці сеткавага трафіку з'яўляецца вельмі распаўсюджанай з'явай. Але як наконт маніторынгу ўплыву росту прапускной здольнасці? Напрыклад, калі вы мадэрнізуеце ядро сеткі з 1 Гбіт/з да 10 Гбіт/з то вам запатрабуюцца прылады 10 Гбіт/з для карэктнага маніторынгу. Калі вы павялічыце хуткасць да 40 Гбіт/з ці 100 Гбіт/з, то пры такіх хуткасцях будзе выбар прылад маніторынгу нашмат менш і кошт іх вельмі высокая.
Пакет-брокеры даюць неабходныя магчымасці агрэгацыі і балансавання нагрузкі. Напрыклад, балансаванне трафіку 40 Гбіт/з дазваляе размеркаваць трафік маніторынгу паміж некалькімі прыладамі 10 Гбіт/з. Пасля гэтага вы зможаце падоўжыць тэрмін службы прылад 10 Гбіт/з, пакуль не з'явіцца досыць сродкаў для набыцця даражэйшых прылад, здольных спраўляцца з больш высокімі хуткасцямі перадачы дадзеных.
Іншы прыклад - аб'яднаць прылады ў адным месцы і перадаць ім неабходныя дадзеныя ад брокера пакетаў. Часам выкарыстоўваюцца асобныя рашэнні, размеркаваныя па сетцы. Дадзеныя апытання, праведзенага кампаніяй Enterprise Management Associates (EMA), паказваюць, што 32% карпаратыўных рашэнняў недастаткова загружаныя, гэта значыць менш за на 50%. Цэнтралізацыя інструментаў і балансіроўка нагрузкі дазваляюць вам аб'ядноўваць рэсурсы і павялічваць выкарыстанне, выкарыстоўваючы менш прылад. Вы можаце часта адкладаць набыццё дадатковых прылад датуль, пакуль каэфіцыент выкарыстання не стане досыць высокім.
Прыклад №3 – траблшутынг для памяншэння/ліквідавання запатрабавання ў атрыманні дазволаў на змены (Change Board permissions)
Пасля таго, як абсталяванне для бачнасці (адказнікі (TAPs), NPB…) усталявана ў сетцы, вам рэдка прыйдзецца ўносіць змены ў сетку. Гэта дазваляе аптымізаваць некаторыя працэсы ўхілення непаладак, каб падвысіць эфектыўнасць.
Напрыклад, пасля таго, як TAP усталяваны («усталяваў і забыўся») ён пасіўна перадае копію ўсяго трафіку ў NPB. Гэта мае велізарную перавагу, паколькі ўхіляе большую частку бюракратычных нюансаў - атрыманні адабрэнняў для ўнясення змен у сетку. Калі таксама ўсталяваць брокер пакетаў, будзе імгненны доступ практычна да ўсіх дадзеных, якія патрэбныя для траблшутынгу.
Калі няма патрэбы ўносіць змен, можна прапусціць этапы ўзгаднення змен і перайсці непасрэдна да адладкі. Гэты новы працэс аказвае вялікі ўплыў на скарачэнне сярэдняга часу на аднаўленне (MTTR - Mean Time to Repair). Даследаванні паказваюць, што ёсць магчымасць зменшыць MTTR да 80%.
Прыклад №4 - Application Intelligence, прымяненне фільтрацыі прыкладанняў і маскіроўкі дадзеных для павышэння эфектыўнасці бяспекі
Што такое інтэлект прыкладанняў (Application Intelligence)? Гэтая тэхналогія даступная ў брокераў пакетаў (NPB) IXIA. Гэта пашыраная функцыянальнасць, якая дазваляе выйсці за межы фільтрацыі пакетаў узроўня 2-4 (мадэлі OSI) і цалкам перайсці на ўзровень 7 (прыкладны ўзровень). Перавага заключаецца ў тым, што дадзеныя аб паводзінах і месцазнаходжанні карыстальнікаў і прыкладанняў могуць стварацца і экспартавацца ў любым неабходным фармаце - неапрацаваныя пакеты, адфільтраваныя пакеты або інфармацыя NetFlow (IxFlow). ІТ-аддзелы могуць выяўляць утоеныя сеткавыя прыкладанні, памяншаць пагрозы сеткавай бяспекі, а таксама змяншаць прастоі сеткі і/ці падвышаць прадукцыйнасць сеткі. Адметныя асаблівасці вядомых і невядомых прыкладанняў могуць быць ідэнтыфікаваны, захоплены і перададзены спецыялізаваным інструментам маніторынгу і бяспекі.
- ідэнтыфікацыя падазроных/невядомых прыкладанняў
- выяўленне падазроных паводзін па геолокации, напрыклад, карыстач з Паўночнай Карэі падлучаецца да Вашага FTP серверу і перадае дадзеныя
- расшыфроўка SSL для праверкі і аналізу патэнцыйных пагроз
- аналіз няправільнай працы прыкладанняў
- аналіз колькасці і росту трафіку для актыўнага кіравання рэсурсамі і прагназавання пашырэння
- маскіроўка канфідэнцыйных дадзеных (крэдытныя карты, уліковыя дадзеныя…) перад адпраўкай
Функцыянал Visibility Intelligence даступны як фізічных і віртуальных (Cloud Lens Private) пакет-брокерах IXIA (NPB), так і ў публічных "аблоках" – Cloud Lens Public:
Акрамя стандартнага функцыяналу NetStack, PacketStack і AppStack:
За апошні час быў дададзены таксама функцыянал бяспекі SecureStack (для аптымізацыі апрацоўкі канфідэнцыйнага трафіку), MobileStack (для аператараў мабільнай сувязі) і TradeStack (для маніторынгу і фільтрацыі дадзеных фінансавага трэйдзінгу):
Высновы
Рашэнні для бачнасці сеткі - магутны інструмент здольны аптымізаваць архітэктуру сеткавага маніторынгу і бяспекі, які стварае фундаментальны збор і абмен неабходнымі дадзенымі.
Варыянты выкарыстання дазваляюць:
- даць доступ да патрэбных спецыфічных дадзеных па меры неабходнасці для дыягностыкі і траблшутынга
- дадаць/выдаліць рашэнні бяспекі, маніторынгу як in-line, так і out-of-band
- паменшыць MTTR
- забяспечыць хуткае рэагаванне на праблемы
- правесці пашыраны аналіз пагроз
- ухіліць большасць бюракратычных узгадненняў
- паменшыць фінансавыя наступствы ўзлому, аператыўна падлучыўшы патрэбныя рашэнні ў сетку і паменшыўшы MTTR
- скараціць кошт і працавыдаткі па наладзе SPAN-порта
Крыніца: habr.com