軟件定義的監控將網絡安全提升到新的高度
流量監控和分析解決方案的虛擬化仍然缺乏我們在過去十年中在IT行業的許多其他領域觀察到的虛擬化方法。收集日志、事件和告警的管理應用程序已經設計成軟件并進行了虛擬化,但是分析網絡流量并創建這些信息的繁重工作仍然基于繁重的方法:使用昂貴、復雜且不靈活的專有應用程序實時處理流量。即使以硬件為中心的網絡部門也在虛擬化交換機和路由器,但許多網絡分析解決方案仍然使用專有硬件。
然而,下一代網絡可見性平臺現在支持流量分析應用程序的虛擬化,從而迎來了用于網絡、應用程序和安全操作的軟件定義分析應用程序的時代。這允許更靈活的分析,更好的理解,以及最重要的是更經濟和可擴展的方法,這是安全行業真正需要的。
HeavyIron用于網絡流量分析
如今,監控網絡流量主要是硬件密集型的,很難跨企業的許多交付平臺和位置進行擴展。但是,監控流量對于評估網絡和應用程序性能,特別是檢測安全威脅至關重要。由于不同的分析目標,許多解決方案分析相同的流量,每個解決方案都在自己的專有硬件上,導致重復的流量,甚至產生更多的硬件來處理和存儲不斷增長的流量。
長期以來,一直存在一個問題,即網絡和安全操作如何構建一個可伸縮的、具有成本效益的系統來解密和分析不斷擴大的網絡流量。幾十年來,服務器和存儲基礎設施已經成功且高效地虛擬化了計算和存儲組件。甚至在過去幾年的網絡中,交換機、路由器和防火墻都已經虛擬化了。虛擬化在流量監控和分析中的應用仍然是一項新興技術。網絡和應用程序管理系統、SIEMs和soar是虛擬化的,因為流量是可管理的,時間不太敏感——但當需要處理太多數據時,即使是這些系統也可能會遇到困難。在大多數情況下都需要專用硬件,特別是當網絡流量超過10gbps時。
當這個模型被復制到許多需要實時流量分析的應用程序中時,就會產生許多“煙囪式”解決方案。這些解決方案使用專門的NIC卡捕獲和分析相同的流量,擁有在fpga上或跨多個處理器同時運行的定制分析引擎,能夠實時跟蹤傳入流量的分析,然后存儲結果并丟棄底層流量。
這些技術的成本和規模限制了IT部門對網絡運營的洞察力,不僅限制了可以分析的通信量,而且只保留了任何事件或觀察的概要細節。另一個限制是丟棄對以后的根本原因分析非常有價值的底層數據。因此,部署通常集中在關鍵的聚合站點,如網絡入口-出口點(南北),但它可能在其他地方(如內部核心網絡或高價值內容)有益或需要。對于那些經常依賴于網絡或端點設備生成的事件和流數據的IT組織來說,這將創建進一步抽象的元數據,以更少的洞察貢獻更多的數據。
可擴展性和經濟可行性
網絡數據包代理是解決這個問題的初始步驟。IT部門很久以前就發現,為每個應用程序單獨使用網絡線路是低效的,并且會產生額外的故障點。這促使了包代理的引入,它聚合來自網絡中多個點的流量,過濾掉不需要的流量,戳戳數據包,為每個工具復制和負載平衡流量,并解密通信。盡管包代理接管了某些網絡流量分析,如NetFlow流量分析,但大部分分析負載仍然依賴于分析應用程序和它們自己的硬件。
此外,過濾掉可能不重要的流量而不分析它(例如,來自應用程序性能監視的YouTube流)對于某些應用程序是有效的。然而,特別是在安全方面,現在所有的流量都是開放的。因此,限制可見性將流量排除在分析之外,并增加錯過導致大規模利用的一次攻擊的風險。然而,這種方法的主要挑戰是,NVF仍然通過流量激增和峰值,并且流量以很高的速率再現,這要求分析應用程序依靠大量的處理來正確地評估峰值速率下的數據。
翻轉網絡分析
我們現在需要考慮虛擬化網絡流量分析,以利用虛擬化環境的可伸縮性。本質上,我們需要重新思考流量分析架構。
網絡流量可見性平臺包括應用程序需要檢查的所有信息,同時允許可靠的流量分配和消耗。如果需要進一步處理,則可能啟動分析引擎的一個新的虛擬實例
現在,每個流量分析應用程序都捕獲流量,進行實時分析,并存儲元數據發現。展望未來,我們需要重新考慮這種方法,進一步集中分析中的流量捕獲和存儲,允許監視應用程序進行近乎實時的分析。這種新策略將進一步的通信量捕獲、解密和存儲功能集中在一個平臺上,并允許利用軟件api分配通信量。現有的NVF技術只集中了流量聚合。通過存儲數據,這實際上擴展了NVF的能力來控制時間,將包代理和包捕獲解決方案的優點結合到一個單一的、統一的平臺中。
這創建了一個網絡流量可見性平臺,其中包括應用程序需要檢查的所有信息,同時允許可靠的流量分配和消耗。如果需要進一步處理,則可以在可靠地捕獲流量并在幾乎實時或實時的情況下隨時可用時啟動分析引擎的一個新的虛擬實例,無論何時啟動資源,都不會丟失一個包。
這大大改變了方法。分析應用程序現在可以實時甚至接近實時地運行,而不是失去流量,而不是大型分析和計算基礎設施在無法跟上流量時失去對信息的訪問。額外的優點是,任何事件周圍的實際網絡流量都可以用于詳細的取證分析,從而更深入地了解事件前后的活動。這種回溯分析與網絡安全尤其相關,因為新的攻擊方法可能已經存在,但未被發現。
這種進一步集中流量收集的方法能夠以極高的速率存儲和分發,允許在較便宜的服務器上虛擬化資源密集型的流量分析和操作,從而消除昂貴的專有硬件。網絡可見平臺吸收了流量峰值和增長,因此針對平均流量消耗的設計成為常態,延長了當前監控和分析設備的壽命,并推遲了必要的改進。隨時數據訪問提供了對任何事件(事件前和事件后)的快速數據包訪問,提供了識別威脅或問題嚴重性、影響和緩解措施的上下文。虛擬化分析允許軟件定義的流量監控和分析,在降低總擁有成本的同時,創建更好的可視性和洞察力。
