Растущая роль информационных технологий в бизнес-процессах современных организаций и предприятий повышает требования к доступности и безопасности используемых информационных систем. Выполнение данных требований возможно только с применением специализированных систем мониторинга и обеспечения информационной безопасности (ИБ), анализирующих и обрабатывающих сетевой трафик. К такого рода продукции относятся системы обнаружения и предотвращения вторжений (IDS/IPS), предотвращения утечек информации (DLP), глубокого анализа трафика (DPI), мониторинга производительности сети или приложений (NPM/APM). TF-ZONE предлагает решения, обеспечивающие оптимальное использование этих систем посредством реализации иерархической архитектуры съема трафика. Она дает возможность эффективно управлять копиями сетевого трафика, устранять риски перегрузки систем анализа трафика, а также ликвидировать дополнительные точки отказа, создаваемые данными системами.

Основными компонентами иерархической архитектуры съема трафика являются разнообразные ответвители, брокеры сетевых пакетов и обходные коммутаторы. Ответвители выдают точные копии сетевого трафика, поскольку, в отличие от коммутаторов Ethernet со SPAN-портами, никогда не отбрасывают никаких пакетов. Эти копии подаются на брокер сетевых пакетов, который является устройством, обрабатывающим получаемые копии трафика с целью оптимизации их подачи на различные системы анализа трафика. Обходные коммутаторы — устройства, которые ликвидируют точки отказа, создаваемые системами мониторинга и обеспечения ИБ, устанавливаемыми в разрывы линий связи (inline). На рисунке ниже представлен пример архитектуры съема трафика с одним обходным коммутатором, одним брокером сетевых пакетов и одним ответвителем. В крупномасштабных решениях может быть много такого рода устройств, причем реализуются различные топологии межсоединений брокеров (последовательная, звезда, полносвязная). В решениях высокой готовности обходные коммутаторы, брокеры и системы анализа трафика резервируют друг друга.

Иерархическая архитектура съема трафика имеет следующие достоинства:

  • Управляемость: существует единая точка управления политиками работы с копиями трафика.
  • Надежность: дополнительные механизмы проверки жизнеспособности систем анализа трафика позволяют ликвидировать потенциальные точки отказа в сетевой инфраструктуре.
  • Эффективность: механизмы фильтрации, агрегации, регенерации и балансировки трафика обеспечивают наиболее эффективную работу систем анализа трафика.
  • Масштабируемость: для добавления новых систем анализа трафика достаточно иметь свободную портовую емкость на брокере сетевых пакетов.
  • Гибкость: богатый функционал брокеров позволяет направлять на целевые анализаторы только те данные, которые им необходимы.
  • Простота: простые и интуитивно понятные интерфейсы обходных коммутаторов и брокеров сетевых пакетов позволяют персоналу начать работать с ними без прохождения специализированного обучения.

Ответвители

TF.ZONE предлагает широкий спектр продукции для съема трафика с физических линий связи и средства контроля трафика виртуальных сетевых сред.

Съем трафика с физической линии

Осуществляется с помощью физического ответвителя, устанавливаемого в разрыв линии связи. Это устройство на физическом уровне подает точную копию дуплексного трафика в линии (включая все ошибки) на свои порты мониторинга, не оказывая влияния на функционирование линии и не снижая ее надежности. Ответвители, предназначенные для работы на медных линиях связи, автоматически замыкают их при отключении электропитания, а волоконно-оптические ответвители являются полностью пассивными устройствами, функционирующими вообще без электропитания.

TF.ZONE поставляет ответвители для съема трафика с медных и волоконно-оптических линий связи на скоростях до 100 Гбит/с. Наряду с обычными ответвителями, в этот ассортимент входят регенерирующие и агрегирующие ответвители. При наличии ответвителей на линиях связи сети подключение систем мониторинга и обеспечения ИБ к этим линиям и отключение от них реализуются без прерывания передачи трафика.

Контроль трафика виртуальных сред

Оптимальным способом решения данной задачи является использование функций виртуальных ответвителей vTap и Cloud Sensor vTap в решении для мониторинга частных облаков Ixia CloudLense Private. В дополнение к этим функциям решение Ixia CloudLense Private имеет функции обработки ответвленного трафика виртуальной сети (Virtual Packet Processing), включая агрегацию, коммутацию и фильтрацию трафика.

Функция vTap обеспечивает полный контроль трафика, передаваемого между виртуальными машинами через виртуальный коммутатор с минимальным влиянием на работу последнего. Она копирует этот трафик, фильтрует его на уровнях 2–4 модели OSI и направляет отобранный трафик (по туннелю GRE, VLAN или ERSPAN) на физический или виртуальный брокер сетевых пакетов или напрямую на физические и виртуальные системы мониторинга и обеспечения ИБ. Данная функция отслеживает идентификаторы виртуальных машин для непрерывности контроля трафика при их миграции (мониторинг на уровне виртуальных машин). При использовании vTap не нужно устанавливать какие-либо агенты или сервисы на виртуальные машины или уровень приложений.

Функция Cloud Sensor vTap разработана для обеспечения контроля сетевого трафика в тех случаях, когда применяются среды частных облаков, в которых невозможен доступ к гипервизору и виртуальным коммутаторам, что имеет место, например, при использовании Microsoft Azure Stack. Данная функция предполагает применение сенсоров Cloud Sensor vTap, устанавливаемых на виртуальные объекты (instances), расположенные в облаке. Эти сенсоры ответвляют и фильтруют контролируемый трафик, а затем направляют отобранный трафик по туннелю GRE в точки агрегации трафика. Управляют сенсорами с помощью программных средств CloudLens Manager и CloudLens Sensor Management Platform.

Обходные коммутаторы

Эти устройства предназначены для обеспечения бесперебойной работы линий связи при необходимости установки систем мониторинга и обеспечения ИБ в разрывы линий (inline).

В штатном режиме работы обходной коммутатор пропускает трафик линии через подключенную к нему систему мониторинга или обеспечения ИБ (например, IPS). При этом для контроля состояния данной системы обходной коммутатор с определенной периодичностью вставляет в трафик heartbeаt-пакеты.

В случае прекращения приема heartbeat-пакетов, что свидетельствует о выходе из строя системы IPS, обходной коммутатор направит трафик в обход нее. При сбое в подаче электропитания обходной коммутатор переключится в режим пассивной передачи трафика напрямую между своими сетевыми портами.

TF.ZONE поставляет обычные и интеллектуальные модели обходных коммутаторов. Интеллектуальные модели передают SNMP-оповещения о различных событиях (например, о перегрузке своих портов) и разнообразную статистическую информацию о пропускаемом трафике.

Брокеры сетевых пакетов

Брокеры сетевых пакетов представляют собой высокопроизводительные устройства с широкими возможностями по оптимизации подачи контролируемого сетевого трафика на подсоединенные к брокерам системы мониторинга и обеспечения ИБ. Основными функциями брокеров сетевых пакетов являются агрегация, регенерация и фильтрация трафика, а также балансировка нагрузки на системы мониторинга и обеспечения ИБ.

Агрегация трафика — это объединение двух или более поступающих в брокер сетевых потоков в один выходной поток. Тем самым обеспечивается экономное использование сетевых портов систем мониторинга и обеспечения ИБ.

В тех случаях, когда один и тот же трафик нужно контролировать с помощью нескольких разных систем мониторинга и обеспечения ИБ одновременно используют функцию регенерации трафика. Она клонирует входной трафик и выдает его копии на подключенные к брокеру системы мониторинга и обеспечения ИБ. При использовании для съема трафика SPAN-портов коммутатора функция регенерации трафика позволяет экономить процессорную мощность коммутатора и обходить ограничение по числу SPAN-сессий.

Функция фильтрации трафика позволяет удалять из него те пакеты, которые не нужно анализировать, чтобы подавать на системы мониторинга и обеспечения ИБ только интересующий трафик. Тем самым обеспечивается снижение нагрузки на эти системы, повышается эффективность их использования. В базовый функционал брокеров сетевых пакетов входит фильтрация на основе полей заголовков уровней 2–4 (адресов MAC и IP, портов TCP и UDP, меток VLAN и MPLS, значений Ethertype и DSCP).

Функция балансировки нагрузки равномерно распределяет входной трафик по системам мониторинга и обеспечения ИБ, подсоединенным к брокеру сетевых пакетов. Данная функция дает возможность контролировать высокоскоростной трафик с помощью анализаторов с более медленными сетевыми портами и тем самым продлевать их срок эксплуатации. Существует несколько методов балансировки нагрузки. Важно, чтобы брокер мог распределять нагрузку с сохранением целостности потоков пакетов.

Интеллектуальные модели брокеров обладают расширенным функционалом, куда, наряду с вышеописанными функциями, входят функции идентификации и фильтрации трафика приложений, усечения и дедупликации сетевых пакетов, добавления к ним временных меток и меток входных портов (для определения источника трафика).

TF.ZONE предлагает большой ассортимент брокеров сетевых пакетов, среди которых есть моноблочные и модульные устройства с различным функционалом и портами пропускной способностью до 100 Гбит/с. Предлагаемые брокеры имеют удобный интерфейс управления, благодаря которому обеспечиваются:

  • Видимость полной схемы управления потоками трафика, в которой имеется возможность расположить как элементы самого брокера, так и внешние системы.
  • Простота управления брокером, с чем справится любой специалист, имеющий базовые знания сетевых технологий.
  • Возможность использования брокера без проведения дополнительного обучения персонала.

Также предлагается платформа управления, обеспечивающая централизованное управление поддерживаемыми компонентами архитектуры съема трафика (брокерами сетевых пакетов, интеллектуальными ответвителями и др.) как единым целым. Данная платформа автоматически обнаруживает поддерживаемые устройства, обеспечивает их конфигурирование и массовое обновление их ПО, собирает информацию о событиях и выдает аварийные оповещения, визуализирует статистическую информацию о трафике.

Примеры решений

Применение ответвителей, обходных коммутаторов и брокеров сетевых пакетов, открывает широкие возможности по реализации различных вариантов подключения систем мониторинга и обеспечения ИБ, оптимизирующих их использование.

Простейшим вариантом подключения out-of-band-системы, например IDS, к контролируемой линии сети является подключение через ответвитель (обычный или агрегирующий). Это дает возможность не использовать технологию SPAN на коммутаторе сети, что уменьшает риск отказа коммутатора. Кроме того, применение ответвителя гарантирует постоянное получение точной копии трафика контролируемой линии.

В этом примере агрегирующий ответвитель пассивно копирует весь трафик из линии связи, объединяет копии обеих половинок дуплексного трафика в единый поток и подает его на систему IDS. В случае отказа ответвителя трафик проходит сквозь него.

С помощью ответвителя и брокера сетевых пакетов возможно более эффективное внедрение систем предотвращения утечек данных (DLP). Рост эффективности достигается за счет направления на узлы DLP-системы только целевого трафика и балансировки нагрузки между несколькими узлами.

Ответвитель пассивно копирует трафик из линии связи и передает его копию на брокер сетевых пакетов. Последний балансирует нагрузку между узлами DLP-системы, подавая на них только целевой трафик. В случае выхода из строя одного из узлов брокер перенаправляет его трафик на другие узлы системы.

Применение обходного коммутатора и брокера сетевых пакетов позволяет реализовать более гибкое, масштабируемое и безопасное защитное решение. Примером такого решения может быть проект внедрения Web Application Firewall (WAF). Он имеет следующие достоинства: направление на устройства WAF только целевого (HTTP) трафика; создание отказоустойчивого кластера из устройств WAF; балансировка нагрузки между несколькими устройствами WAF; горизонтальное масштабирование ресурсов кластера WAF.

В данном примере обходной коммутатор проверяет состояние линии до брокера сетевых пакетов и в случае отказа линии направляет трафик в обход системы. Брокер сетевых пакетов балансирует нагрузку между устройствами WAF, проверяет состояния линий до каждого WAF и в случае отказа линии до одного из устройств WAF переводит его трафик на оставшиеся устройства.

Для повышения надежности контроля трафика реализуют решения высокой готовности (HA) с зарезервированными обходными коммутаторами, брокерами сетевых пакетов и системами обеспечения ИБ. Пример такого решения представлен на рисунке ниже.

В этом примере поступающий из Интернета поток данных проходит через обходной коммутатор, который постоянно контролирует состояние линий и устройств решения, и поступает на брокеры сетевых пакетов, задействованные в режиме резервирования типа «активный — активный» с полной синхронностью функционирования. Брокеры агрегируют весь трафик, фильтруют его в соответствии с правилами системной политики и равномерно распределяют по подключенным устройствам WAF и IPS/NGFW. После анализа этими устройствами трафик через обходной коммутатор поступает в защищаемую корпоративную ЛВС. Использование брокеров в режиме «активный — активный» обеспечивает почти мгновенную передачу рабочей нагрузки отказавшего брокера действующему, распределение рабочей нагрузки между брокерами, устранение риска сбоя при передаче нагрузки, возможность технического обслуживания одного из брокеров без прерывания передачи трафика.

Решения для оптимального использования систем мониторинга и обеспечения ИБ

Оставить заявку

Отправляя форму, я даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Я понимаю и соглашаюсь, что мои данные будут храниться и обрабатываться в ООО «БИЗон» в течение десяти лет в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
Спасибо

Ваше обращение успешно отправлено