Nykypäivän monimutkaisissa, nopeissa ja usein salatuissa verkkoympäristöissä kattavan näkyvyyden saavuttaminen on ensiarvoisen tärkeää turvallisuuden, suorituskyvyn valvonnan ja vaatimustenmukaisuuden kannalta.Verkkopakettien välittäjät (NPB:t)ovat kehittyneet yksinkertaisista TAP-aggregaattoreista hienostuneiksi ja älykkäiksi alustoiksi, jotka ovat välttämättömiä liikennetietotulvan hallitsemiseksi ja valvonta- ja tietoturvatyökalujen tehokkaan toiminnan varmistamiseksi. Tässä on yksityiskohtainen katsaus niiden tärkeimpiin sovellusskenaarioihin ja ratkaisuihin:
Ydinongelma, jonka NPB:t ratkaisevat:
Nykyaikaiset verkot tuottavat valtavia tietoliikennemääriä. Kriittisten tietoturva- ja valvontatyökalujen (IDS/IPS, NPM/APM, DLP, forensinen tutkinta) kytkeminen suoraan verkkoyhteyksiin (SPAN-porttien tai TAP-yhteyksien kautta) on tehotonta ja usein mahdotonta seuraavista syistä:
1. Työkalujen ylikuormitus: Työkalut ylikuormittuvat epäolennaisella liikenteellä, pakettien katoamisella ja uhkien ohittamisella.
2. Työkalujen tehottomuus: Työkalut tuhlaavat resursseja käsittelemällä päällekkäistä tai tarpeetonta dataa.
3. Monimutkainen topologia: Hajautetut verkot (datakeskukset, pilvipalvelut, sivukonttorit) tekevät keskitetystä valvonnasta haastavaa.
4. Salauksen sokeat pisteet: Työkalut eivät voi tarkastaa salattua liikennettä (SSL/TLS) ilman salauksen purkamista.
5. Rajoitetut SPAN-resurssit: SPAN-portit kuluttavat kytkimen resursseja eivätkä usein pysty käsittelemään täyttä linjanopeutta.
NPB-ratkaisu: Älykäs liikenteenvälitys
NPB:t sijaitsevat verkon TAP/SPAN-porttien ja valvonta-/tietoturvatyökalujen välissä. Ne toimivat älykkäinä "liikennepoliiseina", jotka suorittavat:
1. Yhdistä: Yhdistä liikenne useista linkeistä (fyysinen, virtuaalinen) konsolidoituihin syötteisiin.
2. Suodatus: Välitä valikoivasti vain olennainen liikenne tietyille työkaluille kriteerien (IP/MAC, VLAN, protokolla, portti, sovellus) perusteella.
3. Kuormituksen tasapainotus: Jaa liikennevirrat tasaisesti saman työkalun useiden instanssien (esim. klusteroitujen IDS-anturien) välillä skaalautuvuuden ja joustavuuden takaamiseksi.
4. Deduplikaatio: Poista redundanttien linkkien kautta kaapattujen pakettien identtiset kopiot.
5. Pakettien viipalointi: Katkaisee paketteja (poistaa hyötykuorman) säilyttäen samalla otsikot, mikä vähentää kaistanleveyttä työkaluille, jotka tarvitsevat vain metadataa.
6. SSL/TLS-salauksen purku: Lopeta salatut istunnot (avaimia käyttäen), esitä selkokielinen liikenne tarkastustyökaluille ja salaa sitten uudelleen.
7. Replikointi/monilähetys: Lähetä sama liikennevirta useille työkaluille samanaikaisesti.
8. Edistynyt käsittely: Metadatan poiminta, tietovirtojen generointi, aikaleimaus, arkaluonteisten tietojen (esim. henkilötietojen) peittäminen.
Löydät täältä lisätietoja tästä mallista:
Mylinking™-verkkopakettien välittäjä (NPB) ML-NPB-3440L
16*10/100/1000M RJ45, 16*1/10GE SFP+, 1*40G QSFP ja 1*40G/100G QSFP28, maks. 320Gbps
Yksityiskohtaiset sovellusskenaariot ja ratkaisut:
1. Tietoturvan valvonnan parantaminen (IDS/IPS, NGFW, uhkien tiedonhankinta):
○ Skenaario: Tietoturvatyökalut ylikuormittuvat datakeskuksen itä-länsi-suuntaisen liikenteen suurista määristä, jotka pudottavat paketteja ja ohittavat sivuttaisliikkeen uhat. Salattu liikenne piilottaa haitallisia hyötykuormia.
○ NPB-ratkaisu:Kriittisten sisäisten tasavirtalinkkien liikenteen yhdistäminen.
* Käytä rakeisia suodattimia lähettääksesi vain epäilyttävät liikennesegmentit (esim. epästandardit portit, tietyt aliverkot) IDS:lle.
* Kuormituksen tasapaino IDS-anturiklusterin kesken.
* Suorita SSL/TLS-salaus ja lähetä selkokielinen liikenne IDS/Threat Intel -alustalle perusteellista tarkastusta varten.
* Poista liikenteen duplikaatit redundanteista poluista.Tulos:Korkeampi uhkien havaitsemisprosentti, vähemmän vääriä negatiivisia tuloksia, optimoitu IDS-resurssien käyttö.
2. Suorituskyvyn seurannan optimointi (NPM/APM):
○ Skenaario: Verkon suorituskyvyn valvontatyökaluilla on vaikeuksia korreloida dataa sadoista hajautetuista linkeistä (WAN, sivutoimistot, pilvi). Täysi pakettien sieppaus APM:ää varten on liian kallista ja kuluttaa paljon kaistanleveyttä.
○ NPB-ratkaisu:
* Yhdistää liikenteen maantieteellisesti hajautetuista TAP/SPAN-verkoista keskitettyyn NPB-verkkoon.
* Suodata liikenne lähettämään vain sovelluskohtaisia virtoja (esim. VoIP, kriittinen SaaS) APM-työkaluille.
* Käytä pakettien viipalointia NPM-työkaluissa, jotka ensisijaisesti tarvitsevat vuon/tapahtuman ajoitusdataa (otsikoita), mikä vähentää merkittävästi kaistanleveyden kulutusta.
* Kopioi keskeiset suorituskykymittarit sekä NPM- että APM-työkaluihin.Tulos:Kokonaisvaltainen, korreloitu suorituskykynäkymä, pienemmät työkalukustannukset, minimoitu kaistanleveyden ylimääräinen resurssi.
3. Pilvipalveluiden näkyvyys (julkinen/yksityinen/hybridi):
○ Skenaario: Natiivin TAP-pääsyn puute julkisissa pilvipalveluissa (AWS, Azure, GCP). Vaikeuksia virtuaalikoneen/kontin liikenteen tallentamisessa ja ohjaamisessa tietoturva- ja valvontatyökaluihin.
○ NPB-ratkaisu:
* Ota käyttöön virtuaalisia NPB-yrityksiä (vNPB) pilviympäristössä.
* vNPB:t käyttävät virtuaalikytkimen liikennettä (esim. ERSPANin tai VPC-liikenteen peilauksen kautta).
* Suodata, kokoa ja kuormita tasaamalla itä-länsi- ja pohjois-eteläsuuntaista pilviliikennettä.
* Tunneloi asiaankuuluva liikenne turvallisesti takaisin paikallisiin fyysisiin NPB-yrityksiin tai pilvipohjaisiin valvontatyökaluihin.
* Integroi pilvinatiiveihin näkyvyyspalveluihin.Tulos:Yhdenmukainen tietoturvan tilanne ja suorituskyvyn seuranta hybridi-ympäristöissä, pilvinäkyvyyden rajoitusten voittaminen.
4. Tietojen menetyksen estäminen (DLP) ja vaatimustenmukaisuus:
○ Skenaario: DLP-työkalujen on tarkastettava lähtevää liikennettä arkaluonteisten tietojen (PII, PCI) varalta, mutta ne ovat täynnä epäolennaista sisäistä liikennettä. Vaatimustenmukaisuus edellyttää tiettyjen säänneltyjen tietovirtojen valvontaa.
○ NPB-ratkaisu:
* Suodata liikenne lähettämään DLP-moottoriin vain lähtevät virrat (esim. internetiin tai tietyille kumppaneille suunnatut).
* Käytä NPB:ssä syvällistä pakettitarkastusta (DPI) säänneltyjä tietotyyppejä sisältävien virtojen tunnistamiseksi ja niiden priorisoimiseksi DLP-työkalua varten.
* Peitä arkaluontoiset tiedot (esim. luottokorttinumerot) paketeissaennenlähettäminen vähemmän kriittisiin valvontatyökaluihin vaatimustenmukaisuuden kirjaamista varten.Tulos:Tehokkaampi DLP-toiminta, vähemmän vääriä positiivisia, virtaviivaisempi vaatimustenmukaisuuden tarkastus, parannettu tietosuoja.
5. Verkkoforensiikka ja vianmääritys:
○ Skenaario: Monimutkaisen suorituskykyongelman tai tietomurron diagnosointi vaatii täydellisen pakettien sieppauksen (PCAP) useista pisteistä ajan kuluessa. Sieppausten manuaalinen käynnistäminen on hidasta; kaiken tallentaminen on epäkäytännöllistä.
○ NPB-ratkaisu:
* NPB:t voivat puskuroida liikennettä jatkuvasti (linjanopeudella).
* Määritä NPB:lle triggerit (esim. tietty virhetilanne, liikennepiikki, uhkahälytys) kaappaamaan automaattisesti asiaankuuluvaa liikennettä yhdistettyyn pakettien sieppauslaitteeseen.
* Esisuodata tallennuslaitteeseen lähetetty liikenne tallentaaksesi vain tarvittavat tiedot.
* Kopioi kriittinen liikennevirta tallennuslaitteeseen vaikuttamatta tuotantotyökaluihin.Tulos:Nopeampi keskimääräinen ratkaisuaika (MTTR) katkoksille/tietomurroille, kohdennetut rikostekniset tallenteet, pienemmät tallennuskustannukset.
Toteutukseen liittyvät näkökohdat ja ratkaisut:
○Skaalautuvuus: Valitse NPB:t, joilla on riittävä porttitiheys ja läpimenoaika (1/10/25/40/100GbE+), käsittelemään nykyistä ja tulevaa liikennettä. Modulaariset rungot tarjoavat usein parhaan skaalautuvuuden. Virtuaaliset NPB:t skaalautuvat joustavasti pilvessä.
○Resilienssi: Toteuta redundantteja NPB:itä (HA-pareja) ja redundantteja polkuja työkaluihin. Varmista HA-asetusten tilasynkronointi. Hyödynnä NPB-kuormituksen tasapainotusta työkalujen resilienssin parantamiseksi.
○Hallinta ja automaatio: Keskitetyt hallintakonsolit ovat ratkaisevan tärkeitä. Etsi API-rajapintoja (RESTful, NETCONF/YANG) integrointiin orkestrointialustojen (Ansible, Puppet, Chef) ja SIEM/SOAR-järjestelmien kanssa dynaamisia käytäntömuutoksia varten hälytysten perusteella.
○Tietoturva: Suojaa NPB-hallintaliittymä. Valvo pääsyä tarkasti. Jos liikenteen salausta puretaan, varmista tiukat avaintenhallintakäytännöt ja suojaa avainten siirtokanavat. Harkitse arkaluonteisten tietojen peittämistä.
○Työkalujen integrointi: Varmista, että NPB tukee vaadittua työkalujen liitettävyyttä (fyysiset/virtuaaliset rajapinnat, protokollat). Tarkista yhteensopivuus tiettyjen työkaluvaatimusten kanssa.
Niin,Verkkopakettien välittäjäteivät ole enää valinnaisia ylellisyyksiä, vaan ne ovat perustavanlaatuisia infrastruktuurikomponentteja toimivan verkon näkyvyyden saavuttamiseksi nykyaikana. Älykkäästi koontamalla, suodattamalla, kuormituksen tasapainottamalla ja käsittelemällä liikennettä NPB:t mahdollistavat turvallisuus- ja valvontatyökalujen toiminnan huipputehokkaasti ja tuloksellisesti. Ne murtavat näkyvyyssiilot, ratkaisevat skaalautuvuuden ja salauksen haasteet ja tarjoavat lopulta selkeyttä, jota tarvitaan verkkojen suojaamiseen, optimaalisen suorituskyvyn varmistamiseen, vaatimustenmukaisuusvaatimusten täyttämiseen ja ongelmien nopeaan ratkaisemiseen. Vankan NPB-strategian toteuttaminen on ratkaiseva askel kohti havaittavamman, turvallisemman ja vikasietoisemman verkon rakentamista.
Julkaisun aika: 07.07.2025
