IT для фінсектора

Брокер мережевих пакетів: ставимо внутрішні дані під контроль

Неможливо контролювати те, що не бачиш. Оцінка вхідного/вихідного трафіку корпоративної мережі – кращий захист від нападів і помилок, які можуть призвести до порушення роботи мережі, втрати важливих даних, а значить – до невдоволення клієнтів (читай: до втрати грошей)

Денис Стаджі

журналіст

понеділок, 17 вересня 2018, 07:57

Зворотна сторона комп'ютеризації бізнесу: сьогодні IT-інфраструктура середніх розмірів підприємства по складності вже не поступається космічному кораблю. А інформаційна безпека стає ключовим фактором - і її забезпечують складні апаратні і програмні засоби. Але, як кажуть IT - фахівці, ефект від них є тільки тоді, коли вони можуть "бачити" всі дані, які циркулюють в мережі підприємства.

"А зробити це не так просто. Коли справа доходить до забезпечення трафіком систем безпеки та моніторингу, фахівець з інформаційної безпеки стикається з безліччю проблем. Серед таких - обмежені можливості організації SPAN-сесій, - говорить директор компанії "Аккорд груп" Валерій Берегової. - Наприклад, деякий мережеве обладнання не дозволяє використовувати більше двох сесій моніторингу. Є також чимало обладнання, в якому копія мережевого трафіку не реалізована".

За словами технічного директора "Акорд груп" Вадима Запарованного, також можуть виникнути проблеми з продуктивністю обладнання комутації. "Високе навантаження на мережеві пристрої може призводити до втрати частини пакетів моніторингу, адже зазвичай SPAN-сесія має більш низький пріоритет. Зустрічається і обладнання, що має однаковий пріоритет робочого трафіку і трафіку моніторингу. Результат: при піковому навантаженні на комутатори губляться пакети обох типів трафіку", - вважає він.

Серед інших проблем можуть бути:
-висока складність організації централізованого моніторингу та аналізу трафіку при наявності декількох майданчиків ЦОД. Наприклад, якщо підприємство використовує кілька центрів обробки даних або декілька офісів зі своїми інтернет-каналами, репліками інформаційних ресурсів, які необхідно централізовано аналізувати.

Також у багатьох пристроях безпеки відсутній повноцінний механізм Bypass, який дозволяє знімати трафік розрив (Inline-режим) - а це потрібно, щоб не знижувалася якість аналізу. Не всі пристрої дозволяють у принципі використовувати Bypass-модулі, обмежена кількість підтримуваних типів конекторів.

"Складність моніторингу в такому разі зростає в геометричній прогресії. Просто для того щоб повноцінно аналізувати ефективність роботи внутрішньої інфраструктури і захищати її, доводиться використовувати цілий ряд споживачів, аналізують трафік. Це системи мережевого аналізу IPS, мережевого поведінкового аналізу (StealthWatch, Flowmon та ін), системи контролю витоків DLP, SIEM-системи з аналізом трафіку (RSA Hybrid Packet та ін), системи моніторингу тощо, - каже Вадим Запарованный. - А значить, доводиться дублювати трафік на безліч пристроїв і забезпечувати комплексний з'їм трафіку з різних сегментів корпоративної мережі".

Як же вирішити всі ці завдання? Фахівці з інформаційної безпеки сходяться на думці, що це може зробити клас пристроїв, які називаються брокерами мережевих пакетів (Network Packet Broker, NPB). Інші поширені назви - пакетний брокер, платформа доставки безпеки (Security Delivery Platform) або засіб забезпечення прозорості мережі.

"Як би не називався брокер мережевих пакетів в конкретній організації, це завжди пристрій, який перенаправляє трафік від комутаторів і маршрутизаторів до різних пристроїв мережевої безпеки, управління продуктивністю та інших пристроїв моніторингу мережі. Брокер пакетів може обробляти проходить трафік, використовуючи правила фільтрації, відновлюючи потоки трафіку і відправляючи їх до різних інструментів або об'єднуючи трафік з багатьох вхідних портів (джерел) в один вихідний порт (одержувач), - розповідає Валерій Берегової. - Завдання цього класу рішень - реалізувати безпечну, збалансовану, комплексно охоплює мережеву інфраструктуру підприємства, подачу трафіку на спеціалізовані засоби аналізу".

Для цього формується єдина точка консолідації трафіку, до якої підключаються нові пристрої, а також нові джерела трафіку.

В архітектурі системи мережевого моніторингу брокери мережевих пакетів містяться між мережевими ответвителями і SPAN-портами комутаторів, з одного боку, і аналізують трафік пристроями моніторингу або забезпечення ІБ - з іншого. Основне призначення брокерів - подавати на аналізують трафік пристрою тільки потрібні дані, що підвищує ефективність їх роботи.

Брокери мережевих пакетів практично лінійно масштабованих за рахунок додавання TAP-пристроїв і портів. Для масштабування територіального (філіального) досить додати в новий офіс або ЦОД пристрій консолідації. При цьому на всіх рівнях логічної агрегації трафіку можлива базова фільтрація - це дозволяє економити використання каналу при масштабних і розподілених впроваджень. Що важливо - пакетний брокер усуває трафіку дубльовані пакети, тим самим знімаючи зайве навантаження як з пристрою, так і з каналу передачі даних.

Пакетні брокери надають пасивні (оптичні) і активні TAP-пристрої, а також широке різноманітність підтримуваних конекторів, включаючи Active Optical Cables (AOC), 40 Gb BiDi TAP та ін. Тут головне завдання виробника пакетного брокера і TAP-пристрої - забезпечити передбачене і гарантоване час перемикання.
Що стосується фільтрації та роботи з трафіком, тут пакетні брокери надають найрізноманітніші варіанти:
- прості фільтри на базі мережевих параметрів пакета (IP/Port/MAC/TOS/різні мітки заголовка та ін);
- адаптивні фільтри і контентні фільтри за змістом мережевих пакетів, певним полем в мережевому пакеті, GTP-мітках, аж до можливості відправки на аналіз трафіку, що містить точно визначену послідовність даних у першій частині мережевого пакету (через regex-вираження);
- маскування конфіденційних даних за регулярними виразами в мережевому пакеті до передачі на аналіз в пристрій (наприклад, для виконання вимог стандартів PCI DSS/SOX/HIPAA);
- Header striping - видалення непотрібного для аналізу заголовка інкапсульованого пакету (наприклад, MPLS) або, навпаки, вставка або заміна конкретного біта мережевого пакету на потрібний параметр (Tagging);
- з'їм трафіку з віртуального середовища - деякі виробники надають віртуальні пристрої для знімання трафіку віртуального середовища, які поширюються по віртуальних хостів і за рахунок інтеграції з гіпервізором дозволяють копіювати трафік віртуальних машин (в тому числі в межах одного віртуального хоста) у центральний компонент брокера;
- генерація і відправка на аналіз метаданих скопійованого трафіку (NetFlow);
- розшифровка SSL і передача розшифрованих даних на пристрій аналізу. Реалізація відмовостійкості пристроїв на рівні передачі трафіку, балансування трафіку між пристроями, маршрутизація сервісу аналізу між кількома ешелонами захисту і т. д.

Підводячи підсумки, можна сказати, що брокер мережевих пакетів - це основа архітектури візуалізації комп'ютерної мережі. Йому довіряють правильність перенаправлення трафіку в системи управління продуктивністю, моніторингу та безпеки. Тому адміністратор повинен вибирати такий брокер, який здатний відповідати потребам обробки трафіку саме його організації.

Наприклад, важливо розуміти, чи вплине застосування брокера мережевих пакетів на трафік. І яка кількість портів буде використовуватися. Має пакетний брокер досить продуктивну систему комутації трафіку для обробки всіх цих портів на повній швидкості. Адже зазвичай в мережі підприємства запущено декілька служб, і у кожної - свої потреби по продуктивності. Брокер мережевих пакетів повинен підтримувати необхідну продуктивність - вона залежить від здатності брокера справлятися з обсягом трафіку, який обробляється матрицею комутації.