Przypadki użycia rozwiązań zapewniających widoczność sieci
Co to jest widoczność w sieci?
W słowniku Webstera widoczność definiuje się jako „zdolność bycia łatwym do zauważenia” lub „stopień przejrzystości”. Widoczność sieci lub aplikacji odnosi się do usuwania martwych punktów, które przesłaniają możliwość łatwego zobaczenia (lub określenia ilościowego) tego, co dzieje się w sieci i/lub aplikacjach w sieci. Taka widoczność umożliwia zespołom IT szybkie izolowanie zagrożeń bezpieczeństwa i rozwiązywanie problemów z wydajnością, ostatecznie zapewniając najlepszą możliwą obsługę użytkownika końcowego.
Kolejnym spostrzeżeniem jest to, co pozwala zespołom IT monitorować i optymalizować sieć wraz z aplikacjami i usługami IT. Dlatego widoczność sieci, aplikacji i bezpieczeństwa jest absolutnie niezbędna dla każdej organizacji IT.
Najłatwiejszym sposobem zapewnienia widoczności sieci jest wdrożenie architektury widoczności, czyli kompleksowej, kompleksowej infrastruktury zapewniającej widoczność sieci fizycznej i wirtualnej, aplikacji i zabezpieczeń.
Kładąc podwaliny pod widoczność sieci
Po wdrożeniu architektury widoczności dostępnych staje się wiele przypadków użycia. Jak pokazano poniżej, architektura widoczności reprezentuje trzy główne poziomy widoczności: poziom dostępu, poziom kontroli i poziom monitorowania.
Korzystając z pokazanych elementów, specjaliści IT mogą rozwiązać różnorodne problemy z siecią i aplikacjami. Istnieją dwie kategorie przypadków użycia:
- Podstawowe rozwiązania w zakresie widoczności
- Pełna widoczność sieci
Podstawowe rozwiązania w zakresie widoczności skupiają się na bezpieczeństwie sieci, oszczędnościach i rozwiązywaniu problemów. Są to trzy kryteria, które wpływają na dział IT w ujęciu miesięcznym, jeśli nie codziennym. Pełna widoczność sieci ma na celu zapewnienie lepszego wglądu w martwe punkty, wydajność i zgodność.
Co tak naprawdę możesz zrobić dzięki widoczności sieci?
Istnieje sześć różnych przypadków użycia widoczności sieci, które mogą wyraźnie wykazać wartość. Ten:
— Większe bezpieczeństwo sieci
— Zapewnienie możliwości ograniczenia i ograniczenia kosztów
— Przyspieszenie rozwiązywania problemów i zwiększenie niezawodności sieci
— Eliminacja martwych punktów sieci
— Optymalizacja wydajności sieci i aplikacji
— Wzmocnienie zgodności z przepisami
Poniżej znajduje się kilka konkretnych przykładów użycia.
Przykład nr 1 – filtrowanie danych dla rozwiązań bezpieczeństwa, które są in-line (in-line), zwiększa efektywność tych rozwiązań
Celem tej opcji jest wykorzystanie brokera pakietów sieciowych (NPB) do filtrowania danych niskiego ryzyka (na przykład wideo i głosu) w celu wykluczenia ich z kontroli bezpieczeństwa (system zapobiegania włamaniom (IPS), zapobieganie utracie danych (DLP), zapora sieciowa aplikacji internetowych (WAF) itp.). Ten „nieinteresujący” ruch można zidentyfikować, przekazać z powrotem do przełącznika obejściowego i przesłać dalej do sieci. Zaletą tego rozwiązania jest to, że WAF czy IPS nie musi marnować zasobów procesora (CPU) analizując niepotrzebne dane. Jeśli ruch sieciowy zawiera znaczną ilość tego typu danych, warto wdrożyć tę funkcję i zmniejszyć obciążenie narzędzi bezpieczeństwa.
W firmach zdarzały się przypadki, w których z inspekcji IPS wykluczono aż 35% ruchu sieciowego niskiego ryzyka. To automatycznie zwiększa efektywną przepustowość IPS o 35% i oznacza, że możesz odłożyć zakup dodatkowego IPS lub aktualizację. Wszyscy wiemy, że ruch w sieci rośnie, więc w pewnym momencie będziesz potrzebować wydajniejszego IPS. To naprawdę kwestia tego, czy chcesz minimalizować koszty, czy nie.
Przykład nr 2 – Równoważenie obciążenia wydłuża żywotność urządzeń 1-10 Gb/s w sieci 40 Gb/s
Drugi przypadek użycia polega na obniżeniu kosztów posiadania sprzętu sieciowego. Osiąga się to poprzez wykorzystanie brokerów pakietów (NPB) do równoważenia ruchu z narzędziami bezpieczeństwa i monitorowania. W jaki sposób równoważenie obciążenia może pomóc większości firm? Po pierwsze, wzrost ruchu w sieci jest zjawiskiem bardzo częstym. Ale co z monitorowaniem wpływu wzrostu mocy produkcyjnych? Na przykład, jeśli aktualizujesz rdzeń sieci z 1 Gb/s do 10 Gb/s, do prawidłowego monitorowania potrzebne będą narzędzia 10 Gb/s. Jeśli zwiększysz prędkość do 40 Gbps lub 100 Gbps, to przy takich prędkościach wybór narzędzi monitorujących jest znacznie mniejszy, a koszt bardzo wysoki.
Brokerzy pakietów zapewniają niezbędne możliwości agregacji i równoważenia obciążenia. Na przykład równoważenie ruchu 40 Gb/s umożliwia dystrybucję ruchu monitorującego pomiędzy wiele instrumentów 10 Gb/s. Następnie możesz przedłużyć żywotność urządzeń 10 Gb/s, dopóki nie będziesz mieć wystarczającej ilości pieniędzy, aby kupić droższe narzędzia, które poradzą sobie z większymi szybkościami transmisji danych.
Innym przykładem jest połączenie narzędzi w jednym miejscu i podanie im niezbędnych danych od brokera pakietów. Czasami stosowane są osobne rozwiązania rozproszone w sieci. Dane z ankiety przeprowadzonej przez Enterprise Management Associates (EMA) pokazują, że 32% rozwiązań dla przedsiębiorstw jest wykorzystywanych w niewystarczającym stopniu lub w mniej niż 50%. Centralizacja narzędzi i równoważenie obciążenia umożliwiają łączenie zasobów i zwiększanie ich wykorzystania przy użyciu mniejszej liczby urządzeń. Często możesz poczekać z zakupem dodatkowych narzędzi, aż stopień ich wykorzystania będzie wystarczająco wysoki.
Przykład nr 3 – rozwiązywanie problemów w celu ograniczenia/wyeliminowania konieczności uzyskiwania uprawnień Change Board
Po zainstalowaniu w sieci sprzętu zapewniającego widoczność (TAP, NPB...) rzadko będzie konieczne wprowadzanie zmian w sieci. Pozwala to usprawnić niektóre procesy rozwiązywania problemów w celu poprawy wydajności.
Na przykład po zainstalowaniu protokołu TAP („ustaw i zapomnij”), pasywnie przekazuje kopię całego ruchu do banku NPB. Ma to tę ogromną zaletę, że eliminuje większość biurokratycznych kłopotów związanych z uzyskiwaniem zezwoleń na wprowadzanie zmian w sieci. Jeśli zainstalujesz także brokera pakietów, będziesz mieć natychmiastowy dostęp do prawie wszystkich danych potrzebnych do rozwiązywania problemów.
Jeśli nie ma potrzeby wprowadzania zmian, możesz pominąć etapy zatwierdzania zmian i przejść bezpośrednio do debugowania. Ten nowy proces ma duży wpływ na skrócenie średniego czasu naprawy (MTTR). Badania pokazują, że możliwe jest obniżenie MTTR nawet o 80%.
Studium przypadku nr 4 – Inteligencja aplikacji, wykorzystanie filtrowania aplikacji i maskowania danych w celu poprawy efektywności bezpieczeństwa
Co to jest inteligencja aplikacji? Technologia ta jest dostępna w firmie IXIA Packet Brokers (NPB). Jest to zaawansowana funkcjonalność, która pozwala wyjść poza filtrowanie pakietów w warstwach 2–4 (modele OSI) i przejść aż do warstwy 7 (warstwa aplikacji). Zaletą jest to, że dane o zachowaniu użytkowników i aplikacji oraz lokalizacji można generować i eksportować w dowolnym żądanym formacie – nieprzetworzone pakiety, pakiety filtrowane lub informacje NetFlow (IxFlow). Działy IT mogą identyfikować ukryte aplikacje sieciowe, zmniejszać zagrożenia bezpieczeństwa sieci i skracać przestoje sieci i/lub poprawiać wydajność sieci. Można identyfikować charakterystyczne cechy znanych i nieznanych aplikacji, przechwytywać je i udostępniać wyspecjalizowanym narzędziom monitorującym i zabezpieczającym.
- identyfikacja podejrzanych/nieznanych aplikacji
- identyfikowanie podejrzanych zachowań za pomocą geolokalizacji, np. użytkownik z Korei Północnej łączy się z Twoim serwerem FTP i przesyła dane
- Deszyfrowanie SSL w celu sprawdzania i analizowania potencjalnych zagrożeń
- analiza błędów aplikacji
- analiza wielkości i wzrostu ruchu w celu aktywnego zarządzania zasobami i prognozowania ekspansji
- maskowanie wrażliwych danych (karty kredytowe, dane uwierzytelniające...) przed wysłaniem
Funkcjonalność Visibility Intelligence jest dostępna zarówno u brokerów pakietów fizycznych i wirtualnych (Cloud Lens Private) IXIA (NPB), jak i w publicznych „chmurach” – Cloud Lens Public:
Oprócz standardowej funkcjonalności NetStack, PacketStack i AppStack:
Ostatnio dodano także funkcjonalności bezpieczeństwa: SecureStack (w celu optymalizacji przetwarzania poufnego ruchu), MobileStack (dla operatorów komórkowych) i TradeStack (w celu monitorowania i filtrowania danych dotyczących transakcji finansowych):
odkrycia
Rozwiązania w zakresie widoczności sieci to potężne narzędzia zdolne do optymalizacji monitorowania sieci i architektur bezpieczeństwa, które tworzą podstawowe gromadzenie i udostępnianie niezbędnych danych.
Przypadki użycia umożliwiają:
- zapewnić dostęp do niezbędnych szczegółowych danych potrzebnych do diagnostyki i rozwiązywania problemów
- dodawaj/usuwaj rozwiązania bezpieczeństwa, monitorując zarówno in-line, jak i out-of-band
- zmniejszyć MTTR
- zapewnić szybką reakcję na problemy
- przeprowadzić zaawansowaną analizę zagrożeń
- wyeliminować większość biurokratycznych zezwoleń
- zredukuj skutki finansowe włamania poprzez szybkie podłączenie niezbędnych rozwiązań do sieci i zmniejszenie MTTR
- zmniejszyć koszty i pracę związaną z konfiguracją portu SPAN
Źródło: www.habr.com