眾所周知，網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(Network Packet Brokers，NPB)是消除企業(yè)網(wǎng)絡(luò)盲點(diǎn)的關(guān)鍵。但是不明智地選擇卻會影響到網(wǎng)絡(luò)可視性。本文中，Ixia產(chǎn)品管理高級總監(jiān)Glenn Chagnot將帶領(lǐng)我們探討如何避免這種“失明”。

相信很多人對于駕校教練的囑咐“注意看盲點(diǎn)”這句話印象深刻。因?yàn)榭床坏降奈ｋU往往比可以看的到的危險所帶來的傷害更大。這個道理同樣適用于企業(yè)數(shù)據(jù)中心安全——如何應(yīng)對網(wǎng)絡(luò)盲點(diǎn)是許多企業(yè)正下面臨的一個新的挑戰(zhàn)。

隨著眾多典型企業(yè)網(wǎng)絡(luò)信息量與數(shù)據(jù)種類的不斷增長，網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜多變。這種增長使得安全分析變得日益困難，網(wǎng)絡(luò)安全設(shè)備性能變得比以往更加重要。

關(guān)于盲點(diǎn)

為了消除盲點(diǎn)，許多企業(yè)使用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(NPB)作為網(wǎng)絡(luò)可視性環(huán)境的核心元素接收來自數(shù)據(jù)中心內(nèi)虛擬化和物理網(wǎng)絡(luò)的數(shù)據(jù)包級數(shù)據(jù)。NPB的職責(zé)就是居于網(wǎng)絡(luò)探針與企業(yè)的安全與性能監(jiān)測解決方案之間，聚合并過濾所有數(shù)據(jù)包，并把它們傳入安全和監(jiān)測工具。這讓工具得以分析信息并檢測任何潛在的安全或性能問題。

智能NPB通過一系列諸如重復(fù)數(shù)據(jù)刪除與包縮減數(shù)據(jù)包的運(yùn)行得以在數(shù)據(jù)包傳到監(jiān)測工具之前進(jìn)行任務(wù)處理，其目的就是通過提高工具效率而降低整體解決方案的成本。一個有效的NPB可以智能處理所有數(shù)據(jù)包，即理論上不會丟失任何數(shù)據(jù)包，所以似乎當(dāng)今IT和信息安全團(tuán)隊(duì)所面臨的最危險的盲點(diǎn)之一的確有可能是由于為了提高可視性的智能NPB造成的。

問題一：一些NPB在聚合或刪除重復(fù)數(shù)據(jù)時會丟失數(shù)據(jù)包。因此，安全和監(jiān)測工具不僅接收過濾的、簡化的數(shù)據(jù)——它們也會收到不完整的數(shù)據(jù)。在典型操作條件下，高達(dá)30%的丟包率對于一些NPB解決方案來說并不罕見。NPB中的任何丟包都會直接并顯著降低安全工具的有效性。例如，如果一個黑客利用數(shù)據(jù)包分片來分割由多個數(shù)據(jù)包組成的漏洞攻擊，那么如果它丟失了幾個相關(guān)的數(shù)據(jù)包，入侵防御系統(tǒng)(IDS)將有可能無法檢測到攻擊。

問題二：如何檢測到數(shù)據(jù)丟失?由于智能NPB的功能就是降低安全與監(jiān)測工具上的負(fù)載，它通常會在正常操作中丟棄多余的數(shù)據(jù)包。這使得它幾乎不可能只通過檢查NPB上的計數(shù)器而注意到NPB也丟棄了關(guān)鍵數(shù)據(jù)包。實(shí)時網(wǎng)絡(luò)瞬息萬變，因此，不可能即時地識別數(shù)據(jù)包數(shù)量應(yīng)當(dāng)達(dá)到多少。確定一個NPB是否在你的部署中丟棄關(guān)鍵流量的唯一方法就是在決定購買并在實(shí)時網(wǎng)絡(luò)中啟用之前，通過一個可控負(fù)載對其進(jìn)行評估。因此，某些NPB不僅有可能會制造盲點(diǎn)，你甚至都不知道還有這些盲點(diǎn)。這些盲點(diǎn)對安全和企業(yè)的影響至關(guān)重要。

你無法確保不可視內(nèi)容的安全性

如果網(wǎng)絡(luò)可視性信息丟失，那么企業(yè)的安全工具的有效性也就無關(guān)緊要了;它們總是會錯過它們看不到的安全事件。因此，盲點(diǎn)可能會隱藏一個網(wǎng)絡(luò)入侵企圖、異常僵尸網(wǎng)絡(luò)流量信號，或成功攻破漏洞之后的數(shù)據(jù)泄漏。它識別異常網(wǎng)絡(luò)活動(例如黑客滲透你的網(wǎng)絡(luò))所花的時間越長，黑客盜取的信息就越多。

它還會造成合規(guī)問題。必須符合數(shù)據(jù)安全標(biāo)準(zhǔn)(例如PCI DSS)或政府法規(guī)(例如HIPAA)的企業(yè)可能因?yàn)槲茨鼙O(jiān)測100%的數(shù)據(jù)流量而容易違規(guī)。這種違規(guī)可能會在聲譽(yù)損失以及政府處罰方面付出慘重代價。即使敏感數(shù)據(jù)并沒有受損，但是無法展示全面的數(shù)據(jù)監(jiān)測也足以讓企業(yè)達(dá)不到許多法規(guī)要求。

不完整的數(shù)據(jù)監(jiān)測也意味著不能充分了解流量，這樣就無法預(yù)測系統(tǒng)何時可能出故障——這些都不能幫助IT和安全團(tuán)隊(duì)掌控其網(wǎng)絡(luò)。

確保整體可視性

想找到合適的解決方案?雖然并非所有NPB解決方案都一模一樣，但是NPB解決方案仍然是在獲得整個網(wǎng)絡(luò)環(huán)境可視性的最智能、最有效的方式，它能夠確保安全與性能監(jiān)測工具能夠有效訪問百分之百的企業(yè)信息——只要他們在聚合數(shù)據(jù)包時不丟棄數(shù)據(jù)。

所以，當(dāng)你想要購置新的NPB時，你一定要向供應(yīng)商提出幾個重要的問題，例如：

Ÿ 你的解決方案如何縮小數(shù)據(jù)包并消除重復(fù)的數(shù)據(jù)包?

Ÿ 它如何在不產(chǎn)生額外丟包的情況下進(jìn)行這些功能?

Ÿ 它在不同的網(wǎng)絡(luò)負(fù)載下表現(xiàn)如何?

做出購買決定之前，精明的決策者從來不會單方面聽信提供商的承諾，他們會利用知名裝置已知負(fù)載測試解決方案。相信對這些問題的分享將有助于大家選擇一個真正切實(shí)有效的NPB解決方案：一個可以確保消除網(wǎng)絡(luò)安全盲點(diǎn)，能夠看到潛在威脅并采取防御措施的NPB解決方案。