Пакетные брокеры: решаемые проблемы и варианты реализации

Пакетные брокеры: решаемые проблемы и варианты реализации

Что такое пакетные брокеры, каким образом они работают и какие проблемы решают? В статье рассказывается о тонкостях внедрения средств обеспечения прозрачности сети, а также перечисляются основные решения этого класса, представленные на российском рынке.

 

 

 

 

 

  1. Введение
  2. Проблемы, решаемые пакетными брокерами
  3. Архитектура
  4. Варианты реализации
  5. Выводы

 

Введение

Пакетный брокер, платформа доставки безопасности (Security Delivery Platform — термин, введенный в обращение компанией Gigamon), или средство обеспечения прозрачности сети — все это названия одного класса решений, позволяющих реализовать безопасную, сбалансированную, комплексно охватывающую сетевую инфраструктуру предприятия подачу трафика на специализированные средства анализа.

Рассмотрим основные проблемы, решаемые пакетными брокерами, а также их возможности, архитектуру и варианты реализации.

 

Проблемы, решаемые пакетными брокерами

Перечислим основные, лежащие на поверхности проблемы, решаемые путем применения пакетных брокеров:

  • ограниченные возможности организации SPAN-сессий: например, коммутационное оборудование одного из известных производителей не позволяет использовать более двух сессий мониторинга, существует также широкий спектр оборудования, в котором механизмы зеркалирования трафика не реализованы.
  • проблемы с производительностью оборудования коммутации: высокая нагрузка на устройства коммутации может приводить к потере части пакетов мониторинга, так как обычно SPAN-сессия имеет более низкий приоритет. Более того, в нашей практике также встречалось оборудование, в котором «боевой» трафик и трафик мониторинга имел одинаковый приоритет. В результате на пиках загрузки устройств коммутации наблюдалась потеря пакетов обоих типов трафика.
  • высокая сложность организации централизованного мониторинга и анализа трафика при наличии ассиметричной маршрутизации или территориально распределенных точек съема трафика, например, если предприятие имеет два и более ЦОД или несколько офисов со своими интернет-каналами, репликами информационных ресурсов, которые необходимо централизовано анализировать.

Использование пакетных брокеров также позволяет преодолеть ряд сложностей, затрудняющих внедрение на предприятии передовых средств обеспечения информационной безопасности:

  • Отсутствие в устройствах (Tools) (Для удобства описания производители ввели термин Tool — устройство, представляющее собой конечного потребителя и анализатора трафика. В области информационной безопасности Security Tools — это системы IPS, DLP и др. В настоящей статье для обозначения конечных потребителей и анализаторов трафика используется термин «устройство».) полноценного механизма Bypass, обеспечивающего съем трафика в разрыв (Inline-режиме): в некоторых сетевых инфраструктурах полный съем трафика без потери качества анализа возможен только в Inline-режиме, однако в этом случае возникает проблема гарантии сервиса:
    • активные Bypass-модули снижают общую надежность системы, не всегда возможно организовать вариант замыкания трафика при физическом отключении оборудования;
    • еще один важный аспект Bypass – время переключения и потери сигнала не должны превышать допустимых значений, иначе это будет оказывать негативное влияние на сеть и сервисы.
  • Не все устройства позволяют в принципе использовать Bypass-модули, ограничено количество поддерживаемых типов коннекторов.
  • Полноценная концепция защиты и анализа эффективности работы внутренней инфраструктуры подразумевает использование целого ряда потребителей, анализирующих трафик: систем сетевого анализа IPS, сетевого поведенческого анализа (StealthWatch, Flowmon и др.), систем контроля утечек DLP, SIEM-систем с анализом трафика (RSA Hybrid Packet и др.), систем мониторинга и т. д. Это порождает необходимость дублирования трафика на множество устройств и комплексного съема трафика из разных сегментов корпоративной сети.
  • Не во всех сетевых инфраструктурах произведена сегментация трафика, но при этом, например, требуется анализировать выделенный пользовательский трафик, который логически не отделен от серверного или инфраструктурного трафика. Задача фильтрации трафика повышает требования к производительности устройства.
  • Неохотная поддержка со стороны ИТ-подразделений задач по внедрению и настройке подачи трафика на сетевом оборудовании, необходимость временной остановки корпоративных сервисов для этого. Внедрение системы копирования трафика на базе пакетных брокеров выполняется единоразово и позволяет ИТ-подразделениям без дополнительных трудозатрат получать для анализа только необходимую часть трафика.

 

Архитектура

Рассмотрим архитектурные и функциональные особенности применения пакетных брокеров:

  • В первую очередь, они обеспечивают единую точку консолидации трафика, к которой подключаются новые устройства, а также новые источники трафика. Пакетные брокеры практически линейно масштабируемы за счет добавления TAP-устройств и портов. Территориальное и филиальное масштабирование реализуется добавлением в новый офис или ЦОД устройства консолидации, которое передает данные на компонент, к которому подключено устройство. Как правило, на всех уровнях логической агрегации трафика возможна базовая фильтрация, что дает экономию в утилизации канала при масштабных и распределенных внедрениях. Что важно — пакетный брокер выполняет дедупликацию трафика (устранение дублированных пакетов) и снимает эту нагрузку как с устройства, так и с канала передачи данных.
  • Пакетные брокеры предоставляют пассивные (оптические) и активные TAP-устройства, а также широкое разнообразие поддерживаемых коннекторов, включая Active Optical Cables (AOC), 40 Gb BiDi TAP и др. При этом обеспечение предсказуемого и гарантированного времени переключения является профильной задачей для производителя пакетного брокера и TAP-устройства.
  • Системы пакетных брокеров предоставляют разнообразие вариантов в части фильтрации и работы с трафиком:
    • простые фильтры на базе сетевых параметров пакета (IP/Port/MAC/TOS/различные метки заголовка и др.);
    • адаптивные фильтры и контентные фильтры по содержанию сетевых пакетов, определенному полю в сетевом пакете, GTP-меткам, вплоть до возможности отправки на анализ трафика, содержащего точно определенную последовательность данных в первой части сетевого пакета (через regex-выражение);
    • маскирование конфиденциальных данных по регулярным выражениям в сетевом пакете до передачи на анализ в устройство (например, для выполнения требований стандартов PCI DSS/SOX/HIPAA);
  • Header striping — удаление ненужного для анализа заголовка инкапсулированного пакета (например, MPLS) или, наоборот, вставка или замена конкретного бита сетевого пакета на нужный параметр (Tagging).
  • Съем трафика из виртуальной среды — некоторые производители пакетных брокеров предоставляют виртуальные устройства для съема трафика виртуальной среды, которые распространяются по виртуальным хостам и, за счет интеграции с гипервизором, позволяют копировать трафик виртуальных машин (в том числе внутри одного виртуального хоста) в центральный компонент брокера.
  • Генерация и отправка на анализ метаданных скопированного трафика (NetFlow).
  • Расшифровка SSL и передача расшифрованных данных на устройство анализа.
  • Реализация отказоустойчивости устройств на уровне передачи трафика, балансировка трафика между устройствами, маршрутизация сервиса анализа между несколькими эшелонами защиты и т. д.

 

Варианты реализации

Производители, имеющие в своем портфолио системы пакетных брокеров, представленные на российском рынке:

  • Gigamon Visibility Platform (Gigamon),
  • Ixia Visibility Solutions (Ixia),
  • Brocade Network Packet Broker (Brocade),
  • Big Monitoring Fabric (BigSwitch),
  • VSS Monitoring (Netscout) и др.

В основном, реализации близки по архитектуре и не имеют принципиальных различий. Ключевые различия решений заключаются в вариативности работы с технологиями:

  • наличие или отсутствие специализированных устройств для съема трафика из виртуальной среды;
  • механизмы работы с Rx/Tx-потоками;
  • тип реализации — программно-аппаратный комплекс или чисто программное решение, устанавливаемое на открытом серверном оборудовании (Open Server);
  • возможности и технологии фильтров, включая механизмы вторичного фильтрования или дублирования трафика на различные фильтры (например, в некоторых решениях для этого необходимы дополнительные интерфейсы);
  • доступные механизмы отказоустойчивости и балансировки нагрузки при подаче трафика на целевые устройства и др.

 

Выводы

Внедрение системы пакетных брокеров является комплексной задачей, требующей учета особенностей сетевой инфраструктуры предприятия, а также тонкостей и вариантов использования проектируемых технических средств. Поэтому оправданным представляется привлечение для проектирования и внедрения рассматриваемого класса решений профессиональных команд исполнителей, а также использование оборудования тех производителей, которые имеют хорошо отлаженную службу технической поддержки и базу знаний решенных интеграционных проблем.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru