作者:Sunday老师 | 来源:互联网 | 2023-09-24 15:12
什么是网络数据包代理?为何需要网络数据包代理?为更优的决策获得更全面、精准的数据更严格的安全性更快地解决问题提高主动性更好的投资回报率NPB到底能做什么?冗余数据包去重SSL解密报
什么是网络数据包代理?
- 为何需要网络数据包代理?
- 为更优的决策获得更全面、 精准的数据
- 更严格的安全性
- 更快地解决问题
- 提高主动性
- 更好的投资回报率
- NPB到底能做什么?
- 冗余数据包去重
- SSL解密
- 报头剥离
- 应用和威胁情报
- 应用监控
- NPB为您带来的益处
在日新月异的 IT 环境中保证网络的安全以及用户的不断发展,需要一系列执行实时分析的复杂工具。您的监控基础设施可能具有网络和应用性能监控(NPM/APM)、数据记录器和传统网络分析仪,而您的防御系统则会利用防火墙、入侵保护系统(IPS)、数据防泄漏(DLP)、反恶意软件和其他解决方案。
无论安全和监控工具有多专业,它们都有两个共同点:
- 需要准确了解网络中发生的一切
- 分析结果只是基于所收到的数据
企业管理协会(EMA)于2016年进行的一项调查发现,近30%的受访者不相信他们的工具能够接收到所需的所有数据。这意味着网络中存在监控盲点,最终导致徒劳无功、过高的成本和被黑客攻击的更高风险。
可视性要求避免投资浪费和网络监测盲点,这需要收集网络中一切动态的相关数据。分路器/分光器和网络设备的镜像端口也被称之为SPAN端口,成为了用于捕获流量以便进行分析的接入点。
这属于相对“简单的操作”,真正的挑战在于如何有效地将数据从网络传送到每个需要它的工具。如果您只有几个网段和相对较少的分析工具,那么这两者可以直接连接。然而,鉴于网络不断扩展的速度,即使逻辑上可行,这种一对一的连接很有可能造成难以驾驭的管理噩梦。
EMA报告称,35%的企业机构认为SPAN端口和分路器的短缺是他们无法全面监控其网段的主要原因。防火墙等高端分析工具上的端口也可能更加匮乏,因此,切忌超负荷使用设备而导致性能下降,这一点至关重要。
为何需要网络数据包代理?
网络数据包代理(NPB)安装在用于访问网络数据的分路器或 SPAN 端口,以及安全和监控工具之间。顾名思义,网络数据包代理的基本功能是:协调网络数据包数据,以确保每个分析工具准确获得其所需的数据。
NPB增加了一个日益关键的智能层,降低了成本和复杂性,可帮助您实现以下目标:
为更优的决策获得更全面、 精准的数据
具有高级过滤功能的网络数据包代理用于为您的监控和安全分析工具提供精准有效的数据。
更严格的安全性
当您无法察觉威胁时,就很难加以阻止。NPB旨在确保防火墙、IPS和其他防御系统始终能够获得精准所需的数据。
更快地解决问题
实际上,仅仅识别存在问题所花费的时间就占平均修复时间(MTTR)的85%。停机时间意味着金钱流失,而处理不当可能会对您的业务造成毁灭性的影响。
NPB提供的情境感知过滤通过引入高级应用智能,帮助您更快地发现和确定问题的根本原因。
提高主动性
智能NPB通过NetFlow提供的元数据也有助于访问实证数据,以管理带宽使用率、趋势和增长,从而将问题扼杀于摇篮之中。
更好的投资回报率
智能NPB不仅仅可以像交换机那样从监控点聚合流量,还可以过滤和整理数据,以提高安全性和监控工具的利用率和生产力。只需处理相关的流量,就能提高工具性能、减少拥塞、尽量降低误报,并且使用更少的设备可以实现更大的安全覆盖。
利用网络数据包代理提高投资回报率的5种方法
- 加快故障排除
- 更快地检测漏洞
- 减少安全工具的负担
- 在升级期间延长监控
- 工具的寿命
- 简化合规性
NPB到底能做什么?
理论而言,聚合、过滤和交付数据听起来很简单。但实际上,智能NPB可以执行非常复杂的功能,从而产生以指数级增高的效率和安全收益。
负载均衡流量是其中的功能之一。例如,如果您将数据中心网络从1Gbps升级到10Gbps、40Gbps或更高,那么NPB可以减缓速度,以便将高速流量分配给现有的一批1G或2G低速分析监控工具。这不仅扩展了您当前监控投资的价值,同时避免了IT迁移时昂贵的改换升级。
NPB执行的其他强大功能包括:
冗余数据包去重
分析和安全工具支持接收从多个分路器转发来的大量重复的数据包。NPB可以消除重复,以防止工具在处理冗余数据时浪费处理能力。
SSL解密
安全套接层(SSL)加密是用于安全发送私有信息的标准技术。然而,黑客也可以将恶意网络威胁隐藏在加密数据包中。
检查这些数据必须解密,但分解代码需要宝贵的处理能力。领先的网路数据包代理可以从安全工具中卸载解密,以确保总体可视性,同时减轻对高成本资源的负担。
数据脱敏
SSL解密使任何有权访问安全和监控工具的人都可以看到数据。NPB可以在传递信息之前屏蔽信用卡或社会保险号码、受保护的健康信息(PHI)或其他敏感的个人身份信息(PII),因此这些信息不会向工具及其管理员公开。
报头剥离
NPB可以去除VLAN、VXLAN、L3VPN等报头,因此无法处理这些协议的工具仍然可以接收和处理数据包数据。情境感知可视性有助于发现网络上运行的恶意应用以及攻击者在系统和网络中工作时留下的足迹。
应用和威胁情报
及早发现漏洞可以减少敏感信息丢失和最终的漏洞成本。NPB提供的情境感知可视性可用于揭露入侵指标(IOC)、识别攻击向量的地理位置以及打击加密威胁。
应用智能扩展到包数据的第2层至第4层(OSI模型)之外,直至第7层(应用层)。可以创建和导出有关用户和应用行为和位置的丰富数据,以用于阻止恶意代码伪装为正常数据和有效客户端请求的应用层攻击。
情境感知可视性有助于发现您网络上运行的恶意应用程序以及攻击者在系统和网络中工作时留下的足迹。
应用监控
应用感知的可视性对性能和管理也有深远的影响。也许您想知道员工何时使用Dropbox等基于云的服务或基于Web的电子邮件来绕过安全策略以及传输公司文件,或者以前的员工何时尝试使用基于云的个人存储服务访问文件。
NPB为您带来的益处
- 易于使用和管理
- 消除团队负担的智能
- 无丢包——运行高级功能时100%可靠性
- 高性能架构
虹科电子
lyy@hkaco.com