安全与监控工具价值最大化的5种方法

    xiaoxiao2021-04-19  248

    摘要:投资回报率(ROI)往往是当今的企业组织在作出一项新技术的采购决策时所考虑的一个重要因素。然而,鉴于企业组织已经在许多安全和监控工具方面进行了大量的投资,您是否考虑过怎样的方法才是有助于您企业最大限度地提高这些相关工具价值的最好方法呢?

    投资回报率(ROI)往往是当今的企业组织在作出一项新技术的采购决策时所考虑的一个重要因素。然而,鉴于企业组织已经在许多安全和监控工具方面进行了大量的投资,您是否考虑过怎样的方法才是有助于您企业最大限度地提高这些相关工具价值的最好方法呢?避免新工具的采购成本是企业IT可以用来最大限度地提高这一投资回报率,并使得您企业的安全和监测解决方案变得更强大的一种方法。

    从您企业的工具投资中获得更多的价值

    一种方法是对于工具的实际使用超出其所规定的适用寿命年限。而另一种方法则是对于工具的使用和访问制定一套严格的限制,从而创造了其自己的低效率。第三种方法是通过部署可视化的架构来跨您企业的整个监控工具优化数据流。最后的一种选择方法可以让您企业从架构体系的变化和增加的采购中实现效率和性能优势,其可以大大提高工具的使用寿命,进而帮助提升您企业监控和安全工具的投资回报率。

    理解消除成本和避免成本之间的差异是非常重要的。成本消除意味着您企业决定不进行采购。这显然具有一个明显的经济益处——没有预算成本费用。然而,随着科技发展的日新月异,一款设备的可用寿命只有三年或更少的时间已经成为一种常态。因此,成本的消除可能帮助您企业节省了前期的预付款,但从长远来看,最终可能会导致您企业需要耗费3到4倍更多的成本费用来为成本代价高昂的网络停机时间买单、雇佣3倍高薪的工程师来应付救火的机会成本,更长的平均修复时间,流程效率低下,面对客户的QoS和QoE问题,以及大规模的违规成本的增加。

    而避免成本则是不同的,其侧重于大规模采购的延迟,但不能消除。本质上,其是关于延长企业组织现有设备的使用寿命——通常通过添加更小的设备采购,以延长设备的使用周期。

    例如,贵公司可以以20万美元的单价采购六款监控工具或斥资120万美元采购安全工具。或者,贵公司也可以采购具备等效容量的三款监测工具,以及一款5万美元的网络包代理设备(network packet broker,NPB)到负载平衡,总价为65万美元。在这种情况下,使用一个网络包代理设备到负载平衡可以帮助您企业节省55万美元。更妙的是,如果您企业有任何3款工具是预先已经存在的,那么,包代理允许您企业继续使用现有的工具较长一段时间。

    监测工具的挑战

    当涉及到从其监控工具中获得价值最大化时,现代企业网络通常会面临四大常见的问题。其中包括:

    ·只获得每款监控工具的恰当的数据

    ·管理监控工具的成本

    ·确保监测工具的功能匹配网络技术的变化

    ·维持最佳的网络安全

    以恰当的工具获得恰当的数据,是具有挑战性的,因为不同的工具需要不同类型的数据。有的需要数据包数据,而另一些则需要NetFlow数据。此外,一些企业组织仍然使用SPAN端口将数据提供给该工具。随着网络的发展,SPAN端口短缺的情况经常发生,造成坐未使用的工具。另一个问题是,如果网卡(tap)被用来直接供给监控工具,那么当太多的网卡在再生器之间被使用时,会造成信号衰减的问题。

    虚拟数据中心带来了另一个重要的障碍,因为高达80%的虚拟流量是东西走向的流量。东西流量从来没有达到机架的顶部,而在机架顶部,其可以被物理网卡捕获,而SPAN端口则意味着,所有的流量位于一个网络盲点。这可能会导致安全性和监管合规性的问题,可以很容易地通过添加虚拟网卡到您企业的物理网卡架构来解决。

    鉴于监测工具可以变得非常昂贵,控制工具的成本是另一个常见的 问题。如果存在太多您企业需要收集数据并插入工具的环节(包括物理和虚拟),尤其如此。有些工程师会为特定的环节使用专用的工具,这无疑增加了所需工具的数量。由于您企业的架构设计,用不了多久,您企业就会有大量未充分利用的(即不必要的)工具。

    对于监控工具而言,网络流量的增加是另一个非常普遍的问题。例如,如果您企业将网络核心从1 GE升级到10GE,那么,贵公司现在将需要10GE的监控工具以配合进行网络监控。而如果升级到40 GE或100GE,可能只有极少数的企业组织在这样的数据速率情况下不使用监控工具的,而在这些数据速率情况下的可用的工具则是非常昂贵的。

    此外,每次当网络技术发生的变化时,为了使得工具具有互操作性,其也需要重新分析和修改。例如,如果您企业执行了加密、VLAN标签、防火墙和IPS功能,那么贵公司将需要对工具进行数据过滤方面的程序化改变。研发新的、用于特殊目的的工具也可能是必需的。

    保持对于网络安全的最佳监控也是一项挑战。举例而言,您企业可能想要通过实现您企业安全工具的高可用性,确保在某款工具发生故障中断的情况下,也能实现顺利切换来提高您的安全防御。还可能需要利用不同的工具来分析相同的数据。而如若缺乏恰当的数据分析架构,该数据的串行链往往是相当困难的。串行数据链需要采用不同的工具来依次分析可疑/恶意流量。数据屏蔽则是另一种常见的 合规性要求的案例情况,对诸如信用卡信息和社会保险号等敏感的和个人身份数据信息。这些数据屏蔽功能需要在数据到达监测工具之前被应用,以保持监管合规性。

    解决方案是什么?

    解决这些问题的最具成本效益的解决方案是将一款可视化的架构纳入到您企业的网络设计方案之中。这有助于通过确保当您需要时对于您所需要的数据的正确访问,来最大限度地提高监控效率。

    一个设计良好的可视性架构可以做到以下几点:

    ·提高监控工具的利用率和使用寿命

    通过滤除不必要的流量到监控工具通过集中监控工具,而不是将它们专门用于特定的网络链接

    ·提高监控工具的效率

    通过将非核心功能卸载到网络包代理设备

    ·提高监控利用率

    通过整合虚拟和物理数据中心的监控策略

    ·提高监测效能

    通过利用诸如串行数据链和高可用性等功能

    所有这些功能有助于最大限度地发挥您企业现有监控工具的价值。一款可视化架构的常见组件包括网卡、包代理设备、应用程序智能和监控工具本身。下图1展示出了部署可视化架构的一个例子。

    获得所有这些益处的代价既不复杂也不昂贵。其涉及到增加两个特定的技术部分:

    ·关键数据访问位置的网卡

    ·网络包代理设备

    有不同类型的网卡和网络访问(外带网卡,内置旁路开关和虚拟网卡),分别被用于不同的案例情况。带外网卡是最常见的。这类网卡对在这一点上通过网络的数据(包括好的和坏的数据包)进行一个完整的复制。然后,数据被发送到可视化架构的其他组件以进行处理。这种类型的网卡可以用来取代 SPAN端口,而且能够带来诸多的益处。例如,网卡是一个“简单设置后就可以放下不管的一劳永逸”类型的设备。因此,没有编程的需要,这意味着对于大多数网络的变化而言,重新编程是没有必要的。网卡的价格点是符合成本效益的,每个端口大约600美元,这意味着他们可以在迁移网络广泛安装,特别是在SPAN端口不可用的地方。

    内嵌的安全工具网络访问是通过使用旁路开关,而不是一个标准的网卡来实现的。在这种情况下,没有一个数据的副本。原始的数据实际上是被转移到一款内嵌工具,借助该工具进行分析,如果其是安全的,然后返回到网络以继续到达其目的地。旁路开关已经将故障转移和Heartbeat Message集成到了其所连接的设备。这使得它可以用于高耐受性和高可用性的解决方案。

    一个虚拟网卡类似于外带网卡,除了其软件是部署在虚拟环境中的,如VMware和KVM。虚拟网卡可以看到所有虚拟机内部和之间的流量,并在虚拟数据中心之外转发数据。

      图1:可见化架构示例

    在您企业的可视化架构中所安装的网卡和旁路开关将把监测数据发送到一个中心集合点,其被称为网络数据包代理,用于聚合、过滤、负载平衡和数据包处理。由于来自于网卡的数据是所有数据的一个完整的副本,故而在被发送到适当的监测工具之前,其中某些数据需要过滤。其他功能,如重复数据删除、数据包分割、时间戳、数据屏蔽等,可以根据实际需要应用到数据。这些功能使得监控工具的效率更高,这意味着他们可以比没有数据包代理处理更多的数据。一个典型的经验法则是,一旦这些功能被卸载到一个带外的网络包代理设备,该工具的效率可以提高60%。

    此外,数据包代理提供聚集和负载均衡的信息到适当的监控工具。这也使得工具更有效,可以在短期内为您企业节省资金。例如,负载平衡可以让您根据需要在多款工具之间传播监控流量。这种情况的一个使用案例是采取更快的10 GE流量,并跨多款1 GE的工具传播该流量,假设您企业有足够多的1 GE工具用于负载的话。这可以让您企业稍微延长1 GE工具的使用寿命,直到您企业有足够的预算购买更昂贵的工具以处理更高的数据速率。另一个使用案例是从利用内联工具(如一个IPS)的检验中使用数据包代理移除低安全威胁数据(如Net ix、Hulu和YouTube)。该数据包代理只是简单地将这种类型的数据路由到旁路开关,这样它就可以继续到达网络中了。检查去除不必要的数据可以为一个IPS节省高达35%的工作量。这使得这些工具更有效,并能节省您的投资。

    情报服务提供了一个额外的数据监控和处理水平。这方面的例子包括在应用程序层的过滤、NetFlow数据的生成、SSL解密、用户和设备地理位置信息的生成和捕获浏览器信息。这些功能特征让您企业能够通过让他们专注于自己的核心功能(如,不在解密上耗费CPU资源),并以最适合工具的形式接收信息(数据包或NetFlow)来延长现有的监测工具的使用寿命。

    结论

    通过恰当的构建可视性的架构能够有助于企业组织在短期和长期运行过程中都可以节省资金。启用您的工具所有的处理能力,使他们能够为您企业服务更长的时间。一款良好的可视性架构使您企业的应用程序和安全性能够变得更强大。其还提供了以下所有的好处:

    ·通过整合数据流,并将其发送给相应的工具来降低工具成本

    ·使用网络数据包代理到负载均衡更高的数据速率流量,跨较低的数据速率工具,以在网络升级中延迟工具升级成本费用

    ·为适量的流量匹配适量的工具,以控制成本

    ·如果高速率工具不可用或成本过高的话,使用网络数据包代理,以利用较低的数据速率工具适应更高的数据速率流量

    ·通过插入网卡和使用网络数据包代理GUI来简单地减少您的工具(和SPAN)端口编程/重新编程的成本和工作精力

    ·通过使用NPB过滤,重复数据删除和数据包增加可以帮助您提高外带工具的效率高达60%

    ·使用NPB过滤,增加您企业内嵌工具的效率高达35%

    ·使内嵌工具的串行数据链和高可用性成为可能

    欲了解更多关于如何轻松地消除可视化和安全盲点,并借助Ixia公司的可视化解决方案和IxVision可视化架构来帮助您企业延长监控工具的使用寿命的信息,

    本文转自d1net(转载)


    最新回复(0)