Damian Kozłowski – Product Manager marki Gigamon
W ramach cyklu artykułów, poświęconych technologii GIGAMON chciałbym zacząć od wyjaśnienia, co tak naprawdę oznacza widoczność podczas ochrony sieci i dlaczego warto odrobić solidnie lekcję przed wyborem dostawcy Network Packet Broker lub innego narzędzia działającego w obszarze network visibility.
Jest rok 2020, ale pomimo znacznych postępów sieci firmowe nadal nie są zabezpieczone przed cyberatakami ani odporne na przestoje. Pogodzenie się z faktem, że zawsze znajdą się słabiej chronione sektory w sieci oraz osoby, które będą w stanie to wykorzystać nie jest skutecznym sposobem obrony. Widoczność sieci zapewnia dogłębne spojrzenie na wszystkie elementy (ruch, aplikacje, wydajność, analizy … lista jest długa), dzięki czemu możesz łatwo zidentyfikować podejrzane działania lub problemy związane z wydajnością.
Pomyśl o tym w następujący sposób: ruch sieciowy dostarcza Ci wszystkich niezbędnych informacji o tym, co dzieje się w Twojej infrastrukturze. Poleganie tylko na jego wycinku lub niepełnych danych często może doprowadzić do różnego rodzaju naruszeń. Wysyłanie natomiast pełnego ruchu doprowadza do spadku wydajności narzędzi analitycznych. Poniżej chciałbym zaprezentować pięć najważniejszych rzeczy jakimi powinniśmy się kierować podczas wyboru rozwiązania network visibility.
- Definicja
Zapewne zastanawiasz się, dlaczego zamierzam omówić koncepcję wyboru narzędzia zaczynając od definicji? Zdecydowanie zbyt wielu dostawców zabezpieczeń twierdzi, że zapewnia widoczność w ruchu sieciowym, gdy tak naprawdę koncentrują się tylko na fragmencie układanki (firewall, endpoint itp.) zamiast patrzeć na to pojęcie w szerszym spektrum. Uważam, że należy myśleć o widoczności jako fundamencie projektowania infrastruktury, ponieważ ma to zasadnicze znaczenie dla jej stabilności, wydajnością, a także bezpieczeństwa.
Wskazówka: Widoczność ma zasadnicze znaczenie dla zapewnienia kondycji sieci i nigdy nie powinna być spychana na dalszy plan. Upewnij się, że wybrany przez Ciebie dostawca oferuje widoczność jako podstawowy element, a nie tylko dodatkową funkcję np.: w przełączniku sieciowym oraz zapewnia narzędzia dla środowisk fizycznych, wirtualnych, a także chmury.
- Przepustowość
Sukces działania coraz większej ilości firm zależy od szybkości ich sieci. Wielkim błędem jest to, że większość sieci firmowych nie jest w stanie nadążyć za rosnącym obciążeniem danych. Jest jeszcze gorzej, gdy narzędzia zaprojektowane do ochrony są tymi, które ją spowalniają.
Twój dostawca „widoczności” powinien mieć zdolność do zabezpieczenia sieci przy jednoczesnej poprawie jej wydajności. Jest to duże wyzwanie i oznacza, że widoczność musi zostać wdrożona niezależnie od używanych narzędzi bezpieczeństwa. W sytuacji, gdy jest pakowana i sprzedawana jako narzędzie, prawie zawsze kończy się to obniżeniem wydajności i przepustowości sieci. Przepustowość jest kluczową, niepodlegającą negocjacjom funkcją, gdy łącza sieciowe lub segmenty są modernizowane do 40G, 100G, a teraz 400G, aby obsłużyć stały wzrost ruchu sieciowego.
Większość narzędzi bezpieczeństwa ma porty o przepustowości 1G, 10G, 25G i 40G, a kilka z nich obsługuje również 100G. Minie trochę czasu, zanim którekolwiek z nich będzie w stanie obsłużyć 400G. Niezależnie od prędkości obsługiwanych portów, jego rzeczywista całkowita wydajność zwykle wynosi mniej niż 100 G. To jest miejsce, w którym dostawca „widoczności” sieci może naprawdę pokazać swoją moc. Przechodząc od wyższych do niższych prędkości portów, agregując wiele łączy / portów i kontrolując dostarczanie ruchu do danego narzędzia bezpieczeństwa z dostosowaniem się do jego przepustowości.
Wskazówka: Chcąc utrzymać płynność działania firmy i jednocześnie zarządzać zagrożeniami bezpieczeństwa, poszukaj rozwiązania zapewniającego widoczność, która dodatkowo nie spowolni Twojej sieci.
- Funkcjonalność
Oprócz przepustowości należy koniecznie upewnić się, że widoczność jest oferowana jako podstawowa funkcjonalność. Musisz być w stanie zobaczyć i przetworzyć cały ruch od pakietów po aplikacje. Sposób podłączenia i zarazem jego elastyczność także nie jest bez znaczenia. Ważne, abyśmy byli wstanie wpiąć nasze rozwiązanie na kopii ruchu, in-linowo, może pojawić się też potrzeba, aby zastosować oba warianty jednocześnie. Dodatkowo niezwykle przydatne mogą okazać się dodatkowe funkcje, takie jak De-duplication, Packet Slicing, Application Session Filtering, Metadata and NetFlow IPFIX Generation, Masking czy też SSL Decryption.
Jak można zauważyć wielu dostawców używa terminu widoczność, ponieważ jest ostatnio bardzo modny i powoduje wzrost zainteresowania ich produktami. Wiedzą, że wszyscy jej potrzebują lub będą potrzebować w kontekście przeprowadzania transformacji cyfrowej. Niestety nie oznacza to, że w sposób właściwy jest rozumiana.
Wskazówka: Chcąc w pełni wykorzystać zalety widoczności sieci, upewnij się, że rozwiązanie, które chcesz wybrać ma wszystkie możliwości niezbędne do skutecznego działania wszystkich narzędzi sieciowych i zabezpieczeń w ramach Twojej infrastruktury.
- Chmura
Bardzo niewielu dostawców widoczności sieci obsługuje infrastrukturę hybrydową (fizyczną, wirtualną, chmurową), choć dziś jest to absolutna konieczność. Wyzwanie polega na tym, że ciężko jest zapewnić wspólne zarządzanie w całej infrastrukturze hybrydowej, ponieważ jest to bardzo trudne technicznie. Wymaga zbudowania platformy widoczności na jednej architekturze, która może obejmować bardzo złożone i różnorodne środowisko IT. Bez wspólnego widoku na całość niemożliwe jest zapewnienie pełnej widoczności we współczesnej infrastrukturze IT, która coraz częściej jest hybrydowa.
Wskazówka: Twój dostawca widoczności sieci musi mieć wspólną architekturę w całej infrastrukturze hybrydowej, abyś mógł zobaczyć cały obraz.
- Koszt
Oczywiście nie możemy uzupełnić listy bez podania kosztów. Nawet jeśli masz nieograniczony budżet, to po prostu źle zarządza się zbyt dużą ilością narzędzi. Dlatego tam, gdzie to możliwe warto wybierać jednego dostawcę. Jeśli dobrze to zrobisz, twoja platforma widoczności powinna faktycznie zaoszczędzić pieniądze, ponieważ odciąży zbędny ruch, a tym samym poprawi sprawność i skuteczność Twoich narzędzi bezpieczeństwa.
Wskazówka: Kontroluj koszty, wybierając rozwiązanie zapewniające widoczność w pełnym zakresie. Oszczędzaj czas, pieniądze i unikaj ewentualnych problemów z późniejszymi integracjami.
Podsumowanie
Wybór dostawcy Network Packet Broker może być trudny, zwłaszcza gdy na rynku nadal jest problem z właściwym zdefiniowaniem widoczności sieci. Mam nadzieje, że te kilka wskazówek pomoże w podjęciu rozważnych i przemyślanych decyzji. Jeśli interesuje Cię ten temat i chciałbyś dowiedzieć się czegoś więcej zapraszam do kontaktu (damian.kozłowski@veracomp.pl).
