×
Видимая экономика

Надежные и управляемые средства обеспечения "видимости" данных – новая и нетривиальная задача для многих компаний, владеющих собственной ИТ-инфраструктурой и развивающих средства контроля за ней. Каким образом обеспечить средства безопасности или мониторинга полными и достоверными данными о событиях, происходящих в вашей сети, приложениях, сервисах, директору по продажам COMNEWS Ирине Глуховой рассказал руководитель департамента специальных решений компании "Телеком-Защита" Владислав Морозов.

 

- Средства обеспечения "видимости" данных – есть ли для этого какой-то выработанный термин, устоявшееся название?

 

- "Видимость" данных или "видимость" трафика – это прямой перевод с английского словосочетания Traffic Visibility. Данный термин охватывает всю инфраструктуру, которая расположена между вашим сетевым оборудованием (коммутаторы, маршрутизаторы, межсетевые экраны, виртуальные машины, облачные платформы и т.п.) и вашими средствами мониторинга или безопасности.

 

Как развивались продукты для решений TrafficVisibility?

 

- Эта ниша возникла более 10 лет назад на рынках сетевых решений и безопасности. В начале и середине 2000-х годов телеком-операторы переживали бурный рост объемов трафика и в какой-то момент столкнулись с тем, что расширение сетевой инфраструктуры намного опережает возможности развития и роста их собственных системы мониторинга сетей связи, систем контроля качества и т.п. Таким образом, на рынке возник спрос на недорогие, производительные и эффективные решения, которые бы осуществляли агрегацию и базовую фильтрацию трафика. Выгода операторов была как в уменьшении количества точек подключения для систем мониторинга, так и в снижении на порядки объемов трафика, поступающего на вход систем мониторинга: как правило, системе мониторинга "интересен" только сигнальный трафик с заголовками и "не интересно" содержание пользовательского трафика, так называемый payload.

 

Позднее решения по "видимости" трафика начали появляться и в других сегментах. Организации стали предъявлять более строгие требования к безопасности ИТ, защите от вторжений, защите данных, обеспечению устойчивых сервисов. Прежде всего, конечно, это сервис-провайдеры, операторы дата-центров, финансовые структуры и крупные вертикально-интегрированные компании.

 

Зачем нужна инфраструктура TrafficVisibility и из чего она состоит?

 

- Давайте перечислим несколько базовых задач, которые решаются путем развертывания системы "видимости" трафика в вашей сети. Прежде всего, вы экономите бюджет ваших ИТ-подразделений. Решение по "видимости" трафика существенно дешевле, чем эквивалентное по мощности (например, по количеству узлов и портов) расширение систем мониторинга и безопасности.

 

Во-вторых, вы разгружаете ваше сетевое оборудование от нетиповых задач "зеркалирования" трафика. Высвобождаются дополнительные порты, которые будут использоватся по прямому назначению, то есть для передачи данных.

 

В-третьих, нет необходимости согласовывать типы интерфейсов сетевых устройств и средств мониторинга. Например, ваша сеть построена с использованием оптических соединений 10Gbps, а ваше средство мониторинга имеет только несколько медных портов 1Gbps. Конвертация интерфейсов выполняется средствами "видимости" трафика.

 

В-четвертых, ваши средства мониторинга больше не привязаны к определенным площадкам. Например, ваши ЦОД и РЦОД разнесены по разным зданиям кампуса, а вам требуется обеспечить доступность всего трафика для IDS в единой точке.

 

Кроме этого, облегчается или уходит в прошлое большое количество административных задач, сокращается нагрузка на ИТ-инженеров. Например, ваша система анализа поведения NBA (Network Behavior Analysis) имеет три порта по 1Gbps. Потребуется выбор и постоянное поддержание конфигурации сетевых коммутаторов со SPAN-портами так, чтобы только нужный трафик поступал на эти три порта равномерно и без дублирования. Данная задача легко решается в два-три клика мышкой с использованием функционала Load Balancing на NPB (Network Packet Broker).

 

В свою очередь инфраструктура "видимости" трафика состоит из нескольких составляющих. Сбор трафика начинается с ответвителей трафика: тапов (TAPs) и сплиттеров (optical splitters). Для работы с виртуальными платформами используются агенты или agent-free-решения. Ядром являются устройства, обеспечивающие агрегацию, фильтрацию, регенерацию, балансировку и многие другие функции по отношению к трафику. В различных источниках они называются по-разному: data monitoring switch, network packet broker, network tool optimizer и т.п., для простоты будем называть все такие устройства NPB. А централизованная консоль является единой точкой управления всей инфраструктурой "видимости" трафика.

 

Какие еще преимущества есть у продуктов обеспечения "видимости" трафика?

 

- Есть ряд неочевидных, но существенных преимуществ решений "видимости" трафика перед классическими решениями съема трафика с каналов связи. NPB позволяют осуществлять базовую деперсонификацию данных. Например, системе мониторинга мобильного оператора нужно получить данные о каких-то параметрах сигнального протокола, но не нужно знать телефонный номер абонента. Для соблюдения законодательства и конфиденциальности такие идентификаторы могут быть заменены устройствами "видимости" трафика по маске перед отправкой трафика в сторону такой системы мониторинга.

 

NPB умеет разделять и затем собирать обратно трафик от различных средств мониторинга или безопасности, а также строить каскадные перенаправления, передавая трафик последовательно от системы DDoS к системе антивирусной защиты и только затем к конечному получателю. Устройства позволяют настроить широкий набор фильтров и разветвленный алгоритм обработки.

 

NPB может обеспечить данными вашу Big Data или другие средства анализа трафика, минуя все промежуточные устройства. Расширенный функционал некоторых NPB позволяет формировать дампы трафика и передавать их напрямую получателю в режиме реального времени. Таким образом, вы можете мгновенно получить дамп трафика из любой точки вашей сети, где имеются NPB.

 

В современных решениях широко используется виртуализация, часто трафик не выходит за пределы виртуальной машины. Каким образом обеспечивается "видимость" трафика в этом случае?

 

- У всех вендоров NPB есть то или иное решение для работы с виртуальными платформами. Как правило, agent-free-взаимодействие обеспечивается через API-платформы виртуализации, далее интересующий трафик попадает на ближайший NPB и там обрабатывается так же, как и полученный с обычных сетевых соединений.

 

- Какие системы могут получать трафик от NPB?

 

- Это любые активные или пассивные системы мониторинга, безопасности, оптимизации. И вообще все, что может управлять вашим трафиком.

 

Во-первых, это средства сетевой безопасности: IDS (Intrusion Detection Systems), NBA (Network Behavior Analysis), сетевые анализаторы, IPS (Intrusion Prevention System), DLP (Data Loss Prevention), DDoS prevention, DPI (Deep Packet Inspection), защищенные Web-шлюзы и т.п.

 

Во-вторых, это пассивные и активные средства сетевого мониторинга и производительности: непосредственно средства мониторинга сети, средства мониторинга трафика приложений, системы мониторинга Unified communication (вплоть до пассивной записи голосовых переговоров и конференций), средства кэширования и балансировки нагрузки приложений и т.п.

 

В чем разница между NPB и DPI?

 

- Если кратко, то DPI – это много функционала при ограниченной производительности, а NPB – это строго ограниченный функционал при очень высокой производительности. Нужно понимать, что NPB – это средство доставки трафика до потребителя, который хочет с ним работать, но не средство работы с трафиком само по себе.

 

За счет специализированных аппаратных решений NPB может обеспечить производительность в 500Gbps и более неблокируемой обработки трафика на платформе размером в 1 rack unit, осуществляя при этом агрегацию, деинкапсуляцию, репликацию, фильтрацию по стандартным полям IP-, TCP- и UDP-протоколов, обработку по маске и смещению (offset).

 

Вы несколько раз говорили о SPAN-портах и нежелательности использования функций зеркалирования на сетевых устройствах. Можете остановиться на этом моменте подробнее?

 

- Несмотря на то что функционал SPAN (Switch Port Analyzer) был создан как раз для задач мониторинга и анализа трафика, он имеет ряд ограничений.

 

Во-первых, вы отнимаете порты у вашего оборудования, которое предназначено для передачи данных, а не для мониторинга. Например, если у вас пять средств мониторинга – это уже пять занятых портов на вашем коммутаторе.

 

Во-вторых, как правило, SPAN не имеет функций фильтрации и функций балансировки трафика – это значит, что все ваши средства мониторинга будут видеть один и тот же трафик.

 

В-третьих, коммутаторы не обеспечивают работу SPAN на скорости порта. Если у вас 10Gbps порт настроен в SPAN, то вы вряд ли увидите на нем загрузку больше 60-70% - остальное будет теряться.

 

В-четвертых, процесс зеркалирование является нагрузкой на коммутатор и при этом имеет не самый высокий приоритет. Это значит, что в тот момент, когда в вашей сети начались неполадки и перегрузки и мониторинг вам нужен больше всего, ваш коммутатор будет стараться прежде всего коммутировать IP-пакеты. Что он, в принципе, и должен делать. И только потом, по остаточному принципу, коммутатор будет пытаться наполнить SPAN-порт.

 

В-пятых, SPAN не защищен от мини-всплесков трафика (micro-burst). Данный эффект всегда проявляется, когда в один destination-порт направляется трафик из нескольких source-портов. В этом случае трафик, выходящий за границу "всплеска", будет потерян.

 

В сухом остатке можно сказать, что SPAN как технология доставки трафика до средств мониторинга подходит, только либо если у вас небольшая и не сильно нагруженная сеть, либо если вам нужно обеспечить видимость трафика прямо сейчас и любой ценой. В долгосрочном плане строить систему мониторинга и безопасности на SPAN-портах нетехнологично и бесперспективно.

 

В качестве примера можно привести крупнейшего европейского телеком-оператора, в котором стратегически принято решение не использовать функционал SPAN-портов для каких бы то ни было целей. Все функции мониторинга реализованы через тапы и NPB.

 

Ведь можно сказать, что средство безопасности, которое получает 100% трафика, работает на 100%. Средство безопасности, которое получает 99% трафика, работает на 1%. А средство безопасности, которое получает 90% трафика, не работает вообще.

 

Читать подробнее: http://www.comnews.ru/node/82134#ixzz31mKlvgT3