Ключ к успеху “ин-лайн архитектуры” информационной безопасности: инспекция трафика и обнаружение уязвимостей

24 ноябрь 2016

Для обеспечения производительности и безопасности корпоративной сети организации требуется соблюдение тонкого баланса. Ключ к успешному мониторингу в “ин-лайн” архитектуре безопасности состоит в контроле трафика и обнаружении уязвимостей, без влияния на доступность сети и приложений.

Для обеспечения производительности и безопасности корпоративной сети организации требуется соблюдение тонкого баланса. Ключ к успешному мониторингу в “ин-лайн” архитектуре безопасности состоит в контроле трафика и обнаружении уязвимостей, без влияния на доступность сети и приложений.

Джейсон Лэндри, старший менеджер по решениям и маркетингу компании IXIA рассказывает о том, как этого добиться: «Когда один из ваших инструментов безопасности перегружен или выходит из строя, вы все еще хотите сохранить беспрерывную передачу трафика, продолжить мониторинг, и предотвратить перебои в работе сети и приложений.»

«Если вы последовательно подключаете устройства безопасности (IPS/IDS/WAF) в разрыв сети, то реализовать это намного сложнее, ведь в случае выхода из строя одного из инструментов может прекратиться подача всего трафика. Это можно решить с помощью резервных каналов связи, но данное решение является дорогостоящим и в момент переключения на них может произойти потеря трафика».

По мнению Лэндри, основное преимущество использования дополнительного архитектурного “ин-лайн” элемента сетевой безопасности, а именно сетевого пакетного брокера (Network Packet Broker), состоит в предоставлении инструменту “ин-лайн” безопасности конкретного типа трафика для контроля которого он предназначен, независимо от того, в каком сегменте сети он находится, и с полной поддержкой отказоустойчивости.

"Это повышает качество анализа и эффективность инструментов безопасности, и оптимизирует их доступ к данным. Сетевой пакетный брокер интуитивно настраивается и интеллектуально коммутирует пакеты с учетом балансировки нагрузки нужных данных на используемые инструменты в каждом конкретном случае,"- объясняет он.

"Архитектура “ин-лайн” безопасности должна включать в себя прозрачный шлюз (bypass switch), который перенаправляет трафик с, и на “ин-лайн” инструменты сетевой безопасности, расположенные во внешнем сегменте сети, и на сетевой пакетный брокер, который перенаправляет отфильтрованный трафик на конкретные инструменты для инспекции и мониторинга."

Лэндри определил ряд желательных функций высокопроизводительной сетевой архитектуры “ин-лайн” безопасности.

Первое - это устойчивость сети к сбоям. Достигается с помощью прозрачного шлюза bypass switch, позволяя администраторам поддерживать и устранять неисправности инструментов сетевой безопасности без потери трафика или прекращения мониторинга сетевой безопасности.

Второе - эффективное использования инструментов сетевой безопасности. Ландри говорит, что эти инструменты должны уметь агрегировать трафик с нескольких каналов связи и обеспечивать полную прозрачность доступа к трафику, для улучшения контроля и обнаружения уязвимостей.

Еще две ключевые особенности этой архитектуры - надежность и высокая доступность. "Развертывание улучшенного варианта “ин-лайн” архитектуры сетевой безопасности за счет резервирования ключевого элемента - сетевого пакетного брокера, устраняет проблему единой точки отказа, где оба устройства являются полнофункциональными (active-active), что имеет важное значение для систем, которые требуют полного восстановления после сбоя, " - говорит Лэндри.

Другие функции пакетного брокера - высокоточная интеллектуальная обработка трафика приложений на основе технологии глубокого анализа пакетов (DPI) и дешифровка трафика SSL, что позволяет получить максимальную отдачу от вложенных инвестиций в безопасность.

"Решения по мониторингу сети требует высокой производительности для обработки огромного объема данных. Ваша инфраструктура сетевой безопасности должна быть достаточно прочной, чтобы защитить ваши активы и данные, и в то же время достаточно эффективной, чтобы не замедлять производительность используемых приложений, " - объясняет Лэндри.

"Это решение также позволяет отслеживать трафик повсюду в вашей сети и использует интеллектуальный контекстно-зависимый анализ для оптимизации производительности инструментов сетевой безопасности, и позволяет автоматически восстанавливать соединения после любого сбоя “ин-лайн” инструментов сетевой безопасности."

Мероприятия