眾所周知，網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備（Network Packet Brokers，NPB）是消除企業(yè)網(wǎng)絡(luò)盲點的關(guān)鍵。但是不明智地選擇卻會影響到網(wǎng)絡(luò)可視性。本文中，Ixia產(chǎn)品管理高級總監(jiān)Glenn Chagnot將帶領(lǐng)我們探討如何避免這種“失明”。

相信很多人對于駕校教練的囑咐“注意看盲點”這句話印象深刻。因為看不到的危險往往比可以看的到的危險所帶來的傷害更大。這個道理同樣適用于企業(yè)數(shù)據(jù)中心安全——如何應(yīng)對網(wǎng)絡(luò)盲點是許多企業(yè)正下面臨的一個新的挑戰(zhàn)。

隨著眾多典型企業(yè)網(wǎng)絡(luò)信息量與數(shù)據(jù)種類的不斷增長，網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜多變。這種增長使得安全分析變得日益困難，網(wǎng)絡(luò)安全設(shè)備性能變得比以往更加重要。

關(guān)于盲點

為了消除盲點，許多企業(yè)使用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備（NPB）作為網(wǎng)絡(luò)可視性環(huán)境的核心元素接收來自數(shù)據(jù)中心內(nèi)虛擬化和物理網(wǎng)絡(luò)的數(shù)據(jù)包級數(shù)據(jù)。NPB的職責就是居于網(wǎng)絡(luò)探針與企業(yè)的安全與性能監(jiān)測解決方案之間，聚合并過濾所有數(shù)據(jù)包，并把它們傳入安全和監(jiān)測工具。這讓工具得以分析信息并檢測任何潛在的安全或性能問題。

智能NPB通過一系列諸如重復(fù)數(shù)據(jù)刪除與包縮減數(shù)據(jù)包的運行得以在數(shù)據(jù)包傳到監(jiān)測工具之前進行任務(wù)處理，其目的就是通過提高工具效率而降低整體解決方案的成本。一個有效的NPB可以智能處理所有數(shù)據(jù)包，即理論上不會丟失任何數(shù)據(jù)包，所以似乎當今IT和信息安全團隊所面臨的最危險的盲點之一的確有可能是由于為了提高可視性的智能NPB造成的。

問題一：一些NPB在聚合或刪除重復(fù)數(shù)據(jù)時會丟失數(shù)據(jù)包。因此，安全和監(jiān)測工具不僅接收過濾的、簡化的數(shù)據(jù)——它們也會收到不完整的數(shù)據(jù)。在典型操作條件下，高達30%的丟包率對于一些NPB解決方案來說并不罕見。NPB中的任何丟包都會直接并顯著降低安全工具的有效性。例如，如果一個黑客利用數(shù)據(jù)包分片來分割由多個數(shù)據(jù)包組成的漏洞攻擊，那么如果它丟失了幾個相關(guān)的數(shù)據(jù)包，入侵防御系統(tǒng)（IDS）將有可能無法檢測到攻擊。

問題二：如何檢測到數(shù)據(jù)丟失？由于智能NPB的功能就是降低安全與監(jiān)測工具上的負載，它通常會在正常操作中丟棄多余的數(shù)據(jù)包。這使得它幾乎不可能只通過檢查NPB上的計數(shù)器而注意到NPB也丟棄了關(guān)鍵數(shù)據(jù)包。實時網(wǎng)絡(luò)瞬息萬變，因此，不可能即時地識別數(shù)據(jù)包數(shù)量應(yīng)當達到多少。確定一個NPB是否在你的部署中丟棄關(guān)鍵流量的唯一方法就是在決定購買并在實時網(wǎng)絡(luò)中啟用之前，通過一個可控負載對其進行評估。因此，某些NPB不僅有可能會制造盲點，你甚至都不知道還有這些盲點。這些盲點對安全和企業(yè)的影響至關(guān)重要。

你無法確保不可視內(nèi)容的安全性

如果網(wǎng)絡(luò)可視性信息丟失，那么企業(yè)的安全工具的有效性也就無關(guān)緊要了；它們總是會錯過它們看不到的安全事件。因此，盲點可能會隱藏一個網(wǎng)絡(luò)入侵企圖、異常僵尸網(wǎng)絡(luò)流量信號，或成功攻破漏洞之后的數(shù)據(jù)泄漏。它識別異常網(wǎng)絡(luò)活動（例如黑客滲透你的網(wǎng)絡(luò)）所花的時間越長，黑客盜取的信息就越多。

它還會造成合規(guī)問題。必須符合數(shù)據(jù)安全標準（例如PCI DSS）或政府法規(guī)（例如HIPAA）的企業(yè)可能因為未能監(jiān)測100%的數(shù)據(jù)流量而容易違規(guī)。這種違規(guī)可能會在聲譽損失以及政府處罰方面付出慘重代價。即使敏感數(shù)據(jù)并沒有受損，但是無法展示全面的數(shù)據(jù)監(jiān)測也足以讓企業(yè)達不到許多法規(guī)要求。

不完整的數(shù)據(jù)監(jiān)測也意味著不能充分了解流量，這樣就無法預(yù)測系統(tǒng)何時可能出故障——這些都不能幫助IT和安全團隊掌控其網(wǎng)絡(luò)。

確保整體可視性

想找到合適的解決方案？雖然并非所有NPB解決方案都一模一樣，但是NPB解決方案仍然是在獲得整個網(wǎng)絡(luò)環(huán)境可視性的最智能、最有效的方式，它能夠確保安全與性能監(jiān)測工具能夠有效訪問百分之百的企業(yè)信息——只要他們在聚合數(shù)據(jù)包時不丟棄數(shù)據(jù)。

所以，當你想要購置新的NPB時，你一定要向供應(yīng)商提出幾個重要的問題，例如：

你的解決方案如何縮小數(shù)據(jù)包并消除重復(fù)的數(shù)據(jù)包？

它如何在不產(chǎn)生額外丟包的情況下進行這些功能？

它在不同的網(wǎng)絡(luò)負載下表現(xiàn)如何？

做出購買決定之前，精明的決策者從來不會單方面聽信提供商的承諾，他們會利用知名裝置已知負載測試解決方案。相信對這些問題的分享將有助于大家選擇一個真正切實有效的NPB解決方案：一個可以確保消除網(wǎng)絡(luò)安全盲點，能夠看到潛在威脅并采取防御措施的NPB解決方案。