Брокер сетевых пакетов: ставим внутренние данные под контроль
Обратная сторона компьютеризации бизнеса: сегодня IT-инфраструктура средних размеров предприятия по сложности уже не уступает космическому кораблю. А информационная безопасность становится ключевым фактором - и ее обеспечивают сложные аппаратные и программные средства. Но, как говорят IT- специалисты, эффект от них есть только тогда, когда они могут "видеть" все данные, которые циркулируют в сети предприятия.
"А сделать это не так просто. Когда дело доходит до обеспечения трафиком систем безопасности и мониторинга, специалист по информационной безопасности сталкивается со множеством проблем. Среди таких - ограниченные возможности организации SPAN-сессий, - говорит директор компании "Аккорд груп" Валерий Береговой. - Например, некоторое сетевое оборудование не позволяет использовать более двух сессий мониторинга. Есть также немало оборудования, в котором копия сетевого трафика не реализована".
По словам технического директора "Аккорд груп" Вадима Запарованного, также могут возникнуть проблемы с производительностью оборудования коммутации. "Высокая нагрузка на сетевые устройства может приводить к потере части пакетов мониторинга, ведь обычно SPAN-сессия имеет более низкий приоритет. Встречается и оборудование, имеющее одинаковый приоритет рабочего трафика и трафика мониторинга. Результат: при пиковой нагрузке на коммутаторы теряются пакеты обоих типов трафика", - считает он.
Среди прочих проблем могут быть:
-высокая сложность организации централизованного мониторинга и анализа трафика при наличии нескольких площадок ЦОД. Например, если предприятие использует несколько центров обработки данных или несколько офисов со своими интернет-каналами, репликами информационных ресурсов, которые необходимо централизовано анализировать.
Также во многих устройствах безопасности отсутствует полноценный механизм Bypass, который позволяет снимать трафик в разрыв (Inline-режим) - а это нужно, чтобы не снижалось качество анализа. Не все устройства позволяют в принципе использовать Bypass-модули, ограничено количество поддерживаемых типов коннекторов.
"Сложность мониторинга в таком случае возрастает в геометрической прогрессии. Просто для того чтобы полноценно анализировать эффективность работы внутренней инфраструктуры и защищать ее, приходится использовать целый ряд потребителей, анализирующих трафик. Это системы сетевого анализа IPS, сетевого поведенческого анализа (StealthWatch, Flowmon и др.), системы контроля утечек DLP, SIEM-системы с анализом трафика (RSA Hybrid Packet и др.), системы мониторинга и прочее, - говорит Вадим Запарованный. - А значит, приходится дублировать трафик на множество устройств и обеспечивать комплексный съем трафика из разных сегментов корпоративной сети".
Как же решить все эти задачи? Специалисты по информационной безопасности сходятся во мнении, что это может сделать класс устройств, которые называются брокерами сетевых пакетов (Network Packet Broker, NPB). Другие распространенные названия - пакетный брокер, платформа доставки безопасности (Security Delivery Platform) или средство обеспечения прозрачности сети.
"Как бы не назывался брокер сетевых пакетов в конкретной организации, это всегда устройство, которое перенаправляет сетевой трафик от коммутаторов и маршрутизаторов к разным устройствам сетевой безопасности, управления производительностью и другим устройствам мониторинга сети. Брокер пакетов может обрабатывать проходящий трафик, применяя правила фильтрации, возобновляя потоки трафика и отправляя их к различным инструментам или объединяя трафик из многих входных портов (источников) в один выходной порт (получатель), - рассказывает Валерий Береговой. - Задача этого класса решений - реализовать безопасную, сбалансированную, комплексно охватывающую сетевую инфраструктуру предприятия, подачу трафика на специализированные средства анализа".
Для этого формируется единая точка консолидации трафика, к которой подключаются новые устройства, а также новые источники трафика.
В архитектуре системы сетевого мониторинга брокеры сетевых пакетов помещаются между сетевыми ответвителями и SPAN-портами коммутаторов, с одной стороны, и анализирующими трафик устройствами мониторинга или обеспечения ИБ - с другой. Основное предназначение брокеров - подавать на анализирующие трафик устройства только нужные данные, что повышает эффективность их работы.
Брокеры сетевых пакетов практически линейно масштабируемы за счет добавления TAP-устройств и портов. Для масштабирования территориального (филиального) достаточно добавить в новый офис или ЦОД устройство консолидации. При этом на всех уровнях логической агрегации трафика возможна базовая фильтрация - это позволяет экономить использование канала при масштабных и распределенных внедрениях. Что важно - пакетный брокер устраняет в трафике дублированные пакеты, тем самым снимая лишнюю нагрузку как с устройства, так и с канала передачи данных.
Пакетные брокеры предоставляют пассивные (оптические) и активные TAP-устройства, а также широкое разнообразие поддерживаемых коннекторов, включая Active Optical Cables (AOC), 40 Gb BiDi TAP и др. Здесь главная задача производителя пакетного брокера и TAP-устройства - обеспечить предсказуемое и гарантированное время переключения.
Что касается фильтрации и работы с трафиком, здесь пакетные брокеры предоставляют самые разные варианты:
- простые фильтры на базе сетевых параметров пакета (IP/Port/MAC/TOS/различные метки заголовка и др.);
- адаптивные фильтры и контентные фильтры по содержанию сетевых пакетов, определенному полю в сетевом пакете, GTP-меткам, вплоть до возможности отправки на анализ трафика, содержащего точно определенную последовательность данных в первой части сетевого пакета (через regex-выражение);
- маскирование конфиденциальных данных по регулярным выражениям в сетевом пакете до передачи на анализ в устройство (например, для выполнения требований стандартов PCI DSS/SOX/HIPAA);
- Header striping - удаление ненужного для анализа заголовка инкапсулированного пакета (например, MPLS) или, наоборот, вставка, или замена конкретного бита сетевого пакета на нужный параметр (Tagging);
- съем трафика из виртуальной среды - некоторые производители предоставляют виртуальные устройства для съема трафика виртуальной среды, которые распространяются по виртуальным хостам и за счет интеграции с гипервизором позволяют копировать трафик виртуальных машин (в том числе внутри одного виртуального хоста) в центральный компонент брокера;
- генерация и отправка на анализ метаданных скопированного трафика (NetFlow);
- расшифровка SSL и передача расшифрованных данных на устройство анализа. Реализация отказоустойчивости устройств на уровне передачи трафика, балансировка трафика между устройствами, маршрутизация сервиса анализа между несколькими эшелонами защиты и т. д.
Подводя итоги, можно сказать, что брокер сетевых пакетов - это основа архитектуры визуализации компьютерной сети. Ему доверяют правильность перенаправления трафика в системы управления производительностью, мониторинга и безопасности. Поэтому администратор должен выбирать такой брокер, который способен соответствовать потребностям обработки трафика именно его организации.
Например, важно понимать, повлияет ли применение брокера сетевых пакетов на трафик. И какое количество портов будет использоваться. Имеет ли пакетный брокер достаточно производительную систему коммутации трафика для обработки всех этих портов на полной скорости. Ведь обычно в сети предприятия запущено несколько служб, и у каждой - свои потребности по производительности. Брокер сетевых пакетов должен поддерживать требуемую производительность - она зависит от способности брокера справляться с объемом трафика, который обрабатывается матрицей коммутации.