眾所周知，網絡數據包中轉設備(Network Packet Brokers，NPB)是消除企業網絡盲點的關鍵。但是不明智地選擇卻會影響到網絡可視性。

[[163822]]

相信很多人對于駕校教練的囑咐“注意看盲點”這句話印象深刻。因為看不到的危險往往比可以看的到的危險所帶來的傷害更大。這個道理同樣適用于企業數據中心安全——如何應對網絡盲點是許多企業正下面臨的一個新的挑戰。

隨著眾多典型企業網絡信息量與數據種類的不斷增長，網絡環境變得更為復雜多變。這種增長使得安全分析變得日益困難，網絡安全設備性能變得比以往更加重要。

關于盲點

為了消除盲點，許多企業使用網絡數據包中轉設備(NPB)作為網絡可視性環境的核心元素接收來自數據中心內虛擬化和物理網絡的數據包級數據。NPB的職責就是居于網絡探針與企業的安全與性能監測解決方案之間，聚合并過濾所有數據包，并把它們傳入安全和監測工具。這讓工具得以分析信息并檢測任何潛在的安全或性能問題。

智能NPB通過一系列諸如重復數據刪除與包縮減數據包的運行得以在數據包傳到監測工具之前進行任務處理，其目的就是通過提高工具效率而降低整體解決方案的成本。一個有效的NPB可以智能處理所有數據包，即理論上不會丟失任何數據包，所以似乎當今IT和信息安全團隊所面臨的最危險的盲點之一的確有可能是由于為了提高可視性的智能NPB造成的。

問題一：一些NPB在聚合或刪除重復數據時會丟失數據包。因此，安全和監測工具不僅接收過濾的、簡化的數據——它們也會收到不完整的數據。在典型操作條件下，高達30%的丟包率對于一些NPB解決方案來說并不罕見。NPB中的任何丟包都會直接并顯著降低安全工具的有效性。例如，如果一個黑客利用數據包分片來分割由多個數據包組成的漏洞攻擊，那么如果它丟失了幾個相關的數據包，入侵防御系統(IDS)將有可能無法檢測到攻擊。

問題二：如何檢測到數據丟失?由于智能NPB的功能就是降低安全與監測工具上的負載，它通常會在正常操作中丟棄多余的數據包。這使得它幾乎不可能只通過檢查NPB上的計數器而注意到NPB也丟棄了關鍵數據包。實時網絡瞬息萬變，因此，不可能即時地識別數據包數量應當達到多少。確定一個NPB是否在你的部署中丟棄關鍵流量的唯一方法就是在決定購買并在實時網絡中啟用之前，通過一個可控負載對其進行評估。因此，某些NPB不僅有可能會制造盲點，你甚至都不知道還有這些盲點。這些盲點對安全和企業的影響至關重要。

你無法確保不可視內容的安全性

如果網絡可視性信息丟失，那么企業的安全工具的有效性也就無關緊要了;它們總是會錯過它們看不到的安全事件。因此，盲點可能會隱藏一個網絡入侵企圖、異常僵尸網絡流量信號，或成功攻破漏洞之后的數據泄漏。它識別異常網絡活動(例如黑客滲透你的網絡)所花的時間越長，黑客盜取的信息就越多。

它還會造成合規問題。必須符合數據安全標準(例如PCI DSS)或政府法規(例如HIPAA)的企業可能因為未能監測100%的數據流量而容易違規。這種違規可能會在聲譽損失以及政府處罰方面付出慘重代價。即使敏感數據并沒有受損，但是無法展示全面的數據監測也足以讓企業達不到許多法規要求。

不完整的數據監測也意味著不能充分了解流量，這樣就無法預測系統何時可能出故障——這些都不能幫助IT和安全團隊掌控其網絡。

確保整體可視性

想找到合適的解決方案?雖然并非所有NPB解決方案都一模一樣，但是NPB解決方案仍然是在獲得整個網絡環境可視性的最智能、最有效的方式，它能夠確保安全與性能監測工具能夠有效訪問百分之百的企業信息——只要他們在聚合數據包時不丟棄數據。

所以，當你想要購置新的NPB時，你一定要向供應商提出幾個重要的問題，例如：

· 你的解決方案如何縮小數據包并消除重復的數據包?

· 它如何在不產生額外丟包的情況下進行這些功能?

· 它在不同的網絡負載下表現如何?

做出購買決定之前，精明的決策者從來不會單方面聽信提供商的承諾，他們會利用知名裝置已知負載測試解決方案。相信對這些問題的分享將有助于大家選擇一個真正切實有效的NPB解決方案：一個可以確保消除網絡安全盲點，能夠看到潛在威脅并采取防御措施的NPB解決方案。